همه چیز در مورد امنیت
http://www.sharemation.com/devilhell/back-track-hd-install-fa.pdf
موفق و سربلند باشید .
http://www.sharemation.com/devilhell/firewall%20with%20windows.pdf
موفق و سربلند باشید.
مقدمه
:مدت زیادی بود که دوستان زیادی این سوالات براشون پیش اومده بود که
:-
چطور می تونم هک کنم؟-
چطور می تونم یه هکر بشم؟-
به من هک یاد میدی؟-
هکر واقعی کیه؟-
راه هکر شدن کدومه؟-
من سیدی آموزشی فلان رو خریدم، ولی چیزی یادنگرفتم! باید چیکار کنم؟-
و . . .تا اینکه من این مطلب رو دیدم که توسط یه هکر واقعی نوشته شده بود . . .
دانلود کنید :
http://www.sharemation.com/devilhell/guide-001.pdf
مطالعه این دوقسمت نیز توصیه میشود . لینک:
http://devilhell.blogfa.com/post-61.aspx
http://devilhell.blogfa.com/post-62.aspx
موفق و سربلند باشید
در یک نگاه ، Jeanson James Ancheta یک هکر 21 ساله اهل کالیفرنیای آمریکا می باشد که بیش از 400,000 دستگاه کامپیوتر را تحت سلطه خود در آورده بود !!!
او و شبکه Botmaster مخفیانه ای که در اختیار داشت و با همکاری دوستانش که در کل یک شبکه Botnet غیر قانونی را راه انداخته بودند ، توانسته بودند به صورت غیر قانونی به مشتریان و تمامی کامپیوترهای در دسترس نامه های مزاحم و یا همان Spam ارسال کنند که از این طریق مبع درآمدی را برای خود کسب کرده بودند .
در همین راستا ، پلیس طبق برنامه ریزی دقیق و با همکاری شخصی که اسمش فاش نشده ولی گمان می رود یکی از اعضای این شبکه بود در یک زمان مناسب به شبکه Botnet حمله کردند و وی و تعداد دیگری را دستگیر کردند .
همچنین Ancheta به سه سال حبس و پرداخت 15,000 $ جریمه محکوم شده است در ضمن پلیس در بررسی حسابهای شخصی وی و خانه او مبلغ 60,000 $ و یک ماشین BMW مدل بالا و تعداد زیادی دستگاههای کامپیوتری و ارتباطی را کشف و ضبط کردند .
این درحالی است که افراد زیادی در شبکه اینترنت با استفاده از آخرین تکنیکها و تکنولوژی ها و ابزارهای نفوذ گری قادر هستند تا انواع حیله ها و کارهای خود را روی هزاران کامپیوتر انجام دهند ، Ancheta تنها نمونه ای از صدها نفر از افراد استفاده از چنین شبکه هایی می باشد که روز به روز در حال گسترش هستند .
منبع : IT-OBSERVER
به زبان شیرین انگلیسی بخونید:
Be afraid. Threats to corporate security are everywhere. Just when you
thought your network was safe from hackers, along came wi-fi - or your
iPod-wielding workforce - and opened a whole new can of worms.
Security is by its nature ever-evolving. Just as one threat is apparently
locked down, another springs up to take its place - or an old one rears its
head in a new form. Grappling with this malicious hydra it's no wonder the
security space spawns new terms and phrases at a rate of knots - and you're
supposed to keep up with them all.
A is for Antivirus
B is for Botnets
C is for CMA
D is for DDoS
E is for Extradition
F is for Federated identity
G is for Google
H is for Hackers
I is for IM
J is for Jaschan (Sven)
K is for Kids
L is for Love Bug
M is for Microsoft (Micro$hit)
N is for Neologisms
O is for Orange
P is for Passwords
Q is for Questions
R is for Rootkits
S is for Spyware
T is for Two-factor authentication
U is for USB sticks/devices
V is for Virus variants
W is for Wi-fi
X is for OS X
Y is for You
Z is for Zero-day
And while the rise of the net has opened many doors, it has also kicked down
a few that really should be locked. Google is an undeniably wonderful tool
for helping people find anything and everything, but such power, especially
when rolled onto desktop PCs in a corporate setting, can be abused as well.
And it is the human urge to misuse technology that keeps security
professionals working in overdrive.
Human failings of a less malicious kind are yet another headache for IT
departments - from poor choice of passwords to dodgy downloads.
If the business of securing computers and networks is a lucrative one -
something Microsoft has become keen to capitalise on of late - so too is the
international business of high-tech cyber crime that underpins it. Cyber
crime is a hot political potato too: the UK government has just updated the
Computer Misuse Act to close a loophole regarding denial of service attacks
and provide for stiffer penalties for hacking offences.
The rise of wi-fi, remote working and mobile technology has taken security
concerns out of the office. Threats follow the data and if the data is out
there somewhere, you can guarantee the threats won't be far behind...
امیدوارم به زبان انگلیسی عادت کنید. چون بزودی اتفاقات خوبی قراره بیافته.
اشاره :
از زمان ارایه سیستمعامل شبكهای ویندوز 0.4NT، وب سرورIIS یكی از اجزای سیستمعاملهای سرور مایكروسافت بوده كه نصب یا عدم نصب آن از طرف كاربر به صورت دلخواه و به راحتی در هر زمانی قابل انجام بوده است. به عنوان مثال ویندوز 0.4 NT همراه 4IIS ، ویندوز 2000 همراه 5 IIS و ویندوز XP به همراه 1.5 IIS به بازار ارایه شدند. تا قبل از ویندوز 2003، كلیه ویرایشها و نسخههای مختلف IIS بسیار مشابه هم بودند و میشد آنها را جزء یك خانواده به حساب آورد، اما پس از آن و با به میان آمدن ویندوز 2003، كه نسخه ششم IIS را به همراه خود داشت، قضیه كاملاً متفاوت شد. در این نسخه كه میتوان آن را یك بازنویسی كامل از وب سرور قدیمی دانست، بسیاری از مدلهای اجرای كد، تسهیلات مربوط به مدیریت و سرعت و كارایی آن، دچار تغییرات و بهبودهای قابل ملاحظهای شدهاست. از طرف دیگرآپاچی با سابقهای بیشتر كه براساس كدینگ http كار میكرد، همواره به عنوان سمبل وب سرورهای دنیای یونیكس مطرح بود. نسخه1.3 x آپاچی كه تا سال 2002 مورد استفاده قرار میگرفت، با استفاده از ترفندهای تكنیكی خاصی برروی سایر سیستمعاملها و حتی ویندوز هم قابل نصب و اجرا بود. اما با پیدایش آپاچی نسخه 2، همین معادلات هم دچار تحولی بزرگ گردید. این نسخه كه دارای محیطی كاملاً تغییر یافته بوده و توابع درون آن با ظرافت هر چه تمامتر استقلال خود را از سیستمعامل تثبیت كرده بودند، توانست بر روی كلیه سیستمعاملهای ویندوز، یونیكس، لینوكس، مكOSX و حتی سیستمعاملهای دیگری چونVMS و Be OS نصب و اجرا شود.
مقایسه
در مقام مقایسه IIS و آپاچی میتوان گفت كه هر كدام دارای مزایا و معایبی نسبت به یكدیگر هستند. IIS فقط برای اجرا در ویندوز ساخته شده است بهخصوص نسخه ششم آن فقط در ویندوز 2003 قابلاجرا میباشد. اگر چه بسیاری از كارشناسان، این مسئله را نوعی نقطهضعف در ساختار IIS میدانند، برخی دیگر هماهنگی بسیار دقیق میان آن و ویندوز 2003 و سرویسهای دیگر سیستمعامل را كه باعث آسانتر بودن مدیریت IIS شده است، از نقاط برتری آن به حساب میآورند. بهخصوص در نسخه ششم جدا شدن ماژول مخصوص دریافت درخواستها(Request) از ماژول ویژه پردازش آنها، سهم بهسزایی در افزایش كارایی آن داشته است. در این روش ماژول Listener كه در كرنل مستقر شده است (Http.sys)، درخواستهای ارسالی از طرف كلاینتها را دریافتكرده و آنها را به ترتیب در داخل یك یا چند صف درخواست قرار میدهد. سپس IIS به این درخواستها با اختصاص حداقل یك پروسه كاری (Worker Process) به هر درخواست، پاسخ میدهد. این ویژگی باعث میشود حتی زمانی كه IIS به شدت مشغول پاسخدهی به درخواستهای قبلی است، ماژول جداگانهای كه در كرنل مستقر است، بتوانند درخواستهای جدید را دریافت كرده و حداقل آنها را در انتظار پاسخ قرار دهند. همچنین با این وضعیت، سیستمعامل میتواند كنترل بهتری را در اختصاص پروسههای لازم به IIS جهت پردازش درخواستها انجام دهد. در آپاچی هم جریان تا حدودی مشابه همین روال است. در این جا تعدادی ماژول با قابلیت انجام چند پردازش در واحد زمان (Multi Processing module) وظیفه دریافت و پاسخ به درخواستها را برعهده دارند. این ماژولها كه با استفاده از تكنولوژی APR یا Apache Portable Runtime برروی بسیاری از سیستمعاملهایی كه از كدهای كامپایل شده زبان C پشتیبانی میكنند، قابل اجرا هستند، با استفاده از امكانات و قابلیتهایMultithreading همان سیستمعامل میزبان به سرعت و به صورت همزمان درخواستهای رسیده از طرف كلاینتها را دریافت و پردازش میكنند.
در مورد آپاچی نسخه دوم، مسئله به این سادگی و روانی نیست و قاعدتاً مدیریت امنیت در مورد آن پیچیدهتر و وقتگیرتر از IIS است. البته اكنون ماژولها و آداپتورهای جدیدی در آپاچی تعبیه شده كه امكان ارتباط بین آن و اكتیودایركتوری ویندوز یا Password یونیكس را بهوجود میآورد، اما باز هم میتوان گفت كه اصولاً با وجود این ارتباط هم در آپاچی، سیستمعامل و وب سرور هر كدام ساز خود را میزنند و آپاچی چندان از قواعد امنیتی تعریف شده در سیستمعامل تبعیت نمیكند. البته بسیاری از طرفداران آپاچی این مسئله را نوعی نقطه قوت آپاچی دانسته و با ذكر این نكته كه اولاً هر درخواست از طرف خارج باید از دو سد محكم سیستمعامل و وب سرور عبور كند و ثانیاً حفرههای امنیتی در سیستمعاملهای یونیكس و آپاچی بسیار كمتر از ویندوز و IIS است، استفاده از آپاچی را از لحاظ امنیتی دارای ریسك كمتری نسبت به IIS میدانند.
از لحاظ پروتكلهای امنیتی، هر دو وب سرور كلیه پروتكلها از جمله SSL ،IPsec و مكانیسمهای هویتسنجی Basic Digest LDAP را پشتیبانی میكنند.
كارایی
مقایسه كارایی آپاچی و IIS همواره از مشكلترین بحثهای تكنیكی دنیای وب سرورها بوده است؛ چرا كه این نوع مقایسه مستلزم بهوجود آوردن شرایط یكسان آزمایش به صورت منصفانه برای دو طرف رقابت است كه دست یافتن به این شرایط، كاری آسان و صددرصد قابل انجام نمیباشد. شاید به تصور خیلیها میتوان زمان دریافت، پردازش و پاسخ هر دو وب سرور به یك صفحه CGI یا JSP (كه مورد پشتیبانی هر است) را برروی یك سرور با مشخصات سختافزاری یكسان به معرض آزمون گذاشت، اما این هم به نمیتواند تنهایی پاسخگوی معمای كارایی باشد. چرا كه اولاً شاید هر دو وب سرور ادعای بهترین كارایی خود در تكنولوژی مشتركی مثل JSP را نداشته باشند. مثلاً شاید مایكروسافت ASP.NET را كه فعلا در آپاچی پشتیبانی نمیشود، بهترین عرصه برای نمودارشدن كارایی IIS بداند. ثانیاًٌ نباید فراموش كرد كه آپاچی، یك وب سرور چند سكویی میباشد و این باعث میشود تا صورت مسئله كمی پیچیدهتر شود و كسانی كه میخواهند به داوری مسابقه كارایی این دو وب سرور بنشینند را با سؤالی جدیدتر روبرو كند و آن هم این است كه IIS ویندوز را با آپاچی كدام سیستمعامل مقایسه كنیم ؟ آیا اصولاً آپاچی ادعایی بر ارایه بهترین كیفیت و كارایی خود برروی سیستمعامل مشترك ویندوز را دارد یا اینكه كماكان به سرعت خود برروی سیستمعاملهای یونیكس و لینوكس میبالد؟
در آپاچی نیز اوضاع به همین گونه است. ماژولهای modperl وmodphp با استفاده از همان مكانیسم cache سرعت تولید صفحات دینامیك را همانند صفحات استاتیك به حداكثر خود میرسانند. همچنین دقیقاً مشابه فیلترهای ASP و ISAPI در IIS، در این جا هم ماژولهای Perl و PHP مستقیماً درخواستهای كلاینتها را مورد بررسی قرار داده و پاسخ لازم را ارسال میكنند و بدین وسیله از ارجاع درخواستها به محیط خارج آپاچی و كند شدن روند پاسخ جلوگیری میكنند.
مدیریت
در مورد مدیریت وب سرور، اختلافاتی بین دو وب سرور مذكور وجود دارد. آپاچی در نسخههای اولیه خود، وب سروری كاملا TextBased به نظر میرسید كه صرفاً با دستكاری مستقیم در فایلهای پیكربندی، تنظیم وب سرور و یا با استفاده از دستورات خط فرمان مدیریت آن امكانپذیر بود. اما اكنون بسیاری از واسط كاربرهای گرافیكی مثل Comanche قادرند یك محیط گرافیكی كاربرپسند و در واقع یك لایه بیرونی برای كار با آپاچی فراهم كنند. در این زمینه لیستی از واسط كاربرهای گرافیكی تهیه شده در سایت آپاچی به نشانی http://gui.apache.org موجود و قابل داونلود است. البته بسیاری از كاربران وجود مدیریت و تنظیمات Text Based را برای آپاچی یك مزیت عنوان میكنند. به عقیده این افراد، با این نوع پیكربندی آپاچی میتوان به سادگی و صرفاً با كپی كردن چند فایل از كامپیوتری به كامپیوتر دیگر همه تنظیمات یك سرور آپاچی را به سرور دیگر منتقل و از صرف وقت برای تنظیم دستی آن خلاص شد. این مسئله برای وب سروری مثل IIS كه تنظیمات خود را در قالب فایلهای باینری نگهداری میكند، قابل انجام نیست. البته در IIS 6 تنظیمات وب سرور در قالب فایلهای XML قابل دسترسی است. و بدینوسیله و با روش Import و Export میتوان تنظیمات یك وبسرور را به دیگری منتقل كرد. همچنین اینكه علاوه بر این كار، IIS 6 امكان مدیریت راهدور را از طریق دستورات خط فرمان و اجرای آن با پروتكل Telnet را مشابه آپاچی به كاربران خود داده است. در ضمن هر دو وب سرور، امكان مدیریت از طریق وب را به كاربران دادهاند. IIS از طریق Web Based Administration و آپاچی با استفاده از ابزاری به نام Webmin این تسهیلات را مهیا كردهاند.
IIS 6 با جدا كردن حافظه و محل اجرای برنامههای وب از یكدیگر، باعث شده است در صورت بروز یك مشكل در هر یك از برنامههای در حال اجرا، این مشكل به سایر برنامهها و پردازشهای در حال اجرا سرایت نكند. در آپاچی نسخه دوم این عمل تا حدودی قابل انجام است. بدینمعنی كه اصولاً آپاچی با مكانیسمهای تشخیص و ترمیم خطا، از سرایت مشكل به قسمتها و پردازشهای دیگر جلوگیری میكند، اما به طور كلی نمیتواند همانند IIS عمل جداسازی برنامهها از یكدیگر را انجام دهد و در برخی موارد، بروز یك مشكل در یكی از پردازشها، مدیر وب را ناچار به راهاندازی مجدد (Restart) وب سرور میكند.
نكته دوم در این مقایسه هم به نفع IIS تمام میشود. بدین صورت كه در نسخه ششم آن امكان پیكربندی مجدد سیستم حتی در زمان اجرای پردازشها و بدوننیاز به راهاندازی مجدد وبسرور امكانپذیر است. این امكان كه به آن Live Configuration گفته میشود، سبب میشود مدیر سیستم بتواند بدون آنكه وب سرور و در نتیجه بسیاری از پردازشهای در حال اجرا و درخواستهای در حال پاسخگیری را متوقف كند، تنظیمات IIS را تغییر دهد و وب سرور را Refresh كند. در صورتی كه در آپاچی نسخه دوم، این عمل بدون بوت كردن مجدد وب سرور میسر نیست.
Apache 2.1 Alpha
در نسخه 1/2 آپاچی كه نسخه ابتدایی آلفای آن اكنون قابل دریافت و نصب است، وعدههای بسیاری برای افزایش كارایی یا پوشاندن نقاط ضعف نسخههای قبلی داده شدهاست. بسیاری از ماژولهای مربوط به chaching Authn/Authz مورد بازبینی قرار گرفته و نسبت به نسخههای سابقشان از كارایی بهتری برخوردارند. پروتكل http در این نسخه قادر است فایلها یا درخواستهای با بیش از دو گیگابایت را دریافت و پردازش كند. مكانیسم smart Filtering در آپاچی 1/2 از یك شیوه جدید فیلترگذاری پویا برخوردار است كه باعث میشود تا هر فیلتر براساس نوع درخواست یا پاسخی كه قرار است كنترل شود، فعال یا غیرفعال عمل كند. همچنین در این نسخه ماژول جدیدی برای ثبت كردن خطاهایی كه در ارتباط با كلاینتها رخ میدهد، تعبیه شده است. مدیریت حافظه stack برای پردازشهای در حال اجرا تغییریافته و اكنون آپاچی قادر است براساس سكویی كه برروی آن در حال اجرا است، میزان این حافظه را افزایش دهد. از لحاظ امنیتی به غیر از تغییرات ایجاد شده در ماژولهای مربوط به هویتسنجی كه بیشتر باعث افزایش سرعت فرآیندهای مربوط به آنها شده است، ماژول modssl نیز اكنون با پشتیبانی از RFC7182، قادراست به جای برقراری ارتباط به روش متنی (chear text)، از روش كدگذاری TLS برای این كار استفاده كند.
منبع: http://www.ictna.ir
امنيت اطلاعات و ايمن سازی کامپيوترها به يک ضرورت غيرقابل انکار در عصر اطلاعات تبديل شده است. پرداختن به مقوله امنيت اطلاعات با زبانی ساده بيش از هر زمان ديگر احساس می شود، چراکه هر يک از عوامل انسانی و غيرانسانی دارای جايگاه تعريف شده ای در نطام مهندسی امنيت اطلاعات می باشند. آشنائی اصولی و منطقی با اين نطام مهندسی و آگاهی از عناصر موجود در اين ساختار به همراه شناخت علمی نسبت به مسئوليت هر يک از عناصر فوق، امری لازم و حياتی است.
فايروال ها ، يکی از عناصر اساسی در نطام مهندسی امنيت اطلاعات می باشند که استفاده از آنان به يک ضرورت اجتناب ناپذير در دنيای امنيت اطلاعات و کامپيوتر تبديل شده است . بسياری از افرادی که جديدا" قدم در عرصه گسترده امنيت اطلاعات می گذارند ، دارای نگرانی و يا سوالات مفهومی خاصی در ارتباط با فايروال ها و جايگاه استفاده از آنان در جهت ايمن سازی شبکه های کامپيوتری می باشند .
در اين مطلب قصد داريم به برخی از مفاهيم و نکات مهم و اساسی در خصوص فايروال ها اشاره ای داشته باشيم تا از اين رهگذر بتوانيم دانش لازم به منظور بکارگيری و مديريت بهينه فايروال ها را بدست آوريم .
NAT ( برگرفته از Network Address Translation )
اولين و در عين حال مهم ترين وظيفه يک فايروال ، جداسازی شبکه داخلی يک سازمان از اينترنت است . يکی از فنآوری های موجود که ما را در جهت نيل به خواسته فوق کمک می نمايد ، جداول NAT می باشند ( NAT ، همچنين کمک لازم در جهت حل معضل کمبود آدرس های IP را ارائه می نمايد ) . مهمترين ايده مطرح شده توسط NAT ، عدم دستيابی به اکثر کامپيوترهای موجود در يک شبکه خصوصی از طريق اينترنت است . يکی از روش های نيل به خواسته فوق ، استفاده از آدرس های IP غيرمعتبر ( Invalid ) می باشد .
در اکثر موارد بکارگيری NAT ، صرفا" آدرس IP معتبر (Valid ) به فايروال نسبت داده می شود و تمامی کامپيوترهائی که مسئوليت حفاظت از آنان به فايروال واگذار شده است ، از آدرس های IP که صرفا" بر روی شبکه داخلی معتبر می باشد ، استفاده می نمايند . با تبعيت از چنين رويکردی ، زمانی که يک کامپيوتر موجود در شبکه داخلی نيازمند برقراری ارتباط با دنيای خارج است ، اقدام به ارسال درخواست خود برای فايروال می نمايد . در ادامه فايروال به نمايندگی از کامپيوتر متقاضی ، درخواست مورد نظر را ارسال می نمايد . در زمان مراجعت درخواست ارسالی ، پاسخ مربوطه به فايروال رسيده و در نهايت ، فايروال آن را برای کامپيوتر موجود در شبکه داخلی ارسال می نمايد .
فرض کنيد ، کاربری قصد داشته باشد که يک وب سايت خاص را از طريق کامپيوتر موجود بر روی يک شبکه داخلی ملاقات نمايد .پس از درج آدرس وب سايت مورد نظر در بخش آدرس برنامه مرورگر ، درخواست وی به يک درخواست HTTP ترجمه شده و برای فايروال ارسال می گردد . در ادامه ، فايروال از آدرس IP مختص به خود در ارتباط با درخواست HTTP و به نمايندگی از کاربر ارسال کننده درخواست ، استفاده می نمايد . پس از پاسخ به درخواست ، پاسخ مربوطه برای فايروال ارسال شده و در نهايت فايروال آن را برای کاربر مربوطه ارسال می نمايد .
فيلترينگ پورت ها
فيلترينگ پورت ها از جمله مهمترين عملياتی است که توسط فايروال ها انجام می شود و شايد به همين دليل باشد که اکثر مردم بر اين اعتقاد هستند که فايروال ها صرفا" به همين دليل خاص طراحی و پياده سازی شده اند و اغلب ، آنان را به عنوان ابزاری در جهت فيلترينگ پورت ها تصور می نمايند . همانگونه که می دانيد ، مبادلات اطلاعات مبتنی بر پروتکل TCP/IP با استفاده و محوريت پورت ها انجام می گردد . در اين رابطه 65،535 پورت TCP و به همين اندازه پورت UDP جداگانه وجود دارد که می توان از آنان به منظور مبادله اطلاعات استفاده نمود .
به منظور آشنائی با جايگاه پورت ها و نقش آنان در مبادله اطلاعات در پروتکل TCP/IP ، می توان آنان را نظير ايستگاه های راديوئی تصور نمود . فرض کنيد TCP به عنوان موج FM و UDP به عنوان موج AM باشد . در چنين وضعيتی ، می توان يک پورت در پروتکل TCP/IP را همانند يک ايستگاه راديوئی تصور نمود . همانگونه که يک ايستگاه راديوئی با اهداف خاصی طراحی شده است ، پورت های TCP و UDP نيز چنين وضعيتـی را داشته و با اهداف خاصی طراحی شده اند . يکی از مهمترين دلايل ضرورت استفاده از فايروال ها و فيلترينگ پورت ها ، استفاده غيرمتعارف از پورت ها به منظور نيل به اهدافی ديگر است . مثلا" پورت 21 مربوط به پروتکل TCP بطور سنتی به منظور FTP استفاده می گردد و مهاجمان می توانند از پورت فوق و با استفاده از برنامه هائی نظير Telnet سوء استفاده نمايند ( با اين که پورت فوق به منظور استفاده توسط برنامه Telnet طراحی نشده است ) .
پويش پورت ها و آگاهی از پورت های باز ، از جمله روش های متداولی است که توسط مهاجمان و به منظور يافتن يک نقطه ورود مناسب به يک سيستم و يا شبکه کامپيوتری ، مورد استفاده قرار می گيرد . مهاجمان پس از آگاهی از پورت های باز ، با بکارگيری برنامه هائی نظير Telnet زمينه ورود غير مجاز به يک سيستم را برای خود فراهم می نمايند .
وضعيت فوق و تهديدات امنيتی مرتبط با آن ، ضرورت فيلترينگ پورت ها را به خوبی نشان می دهد . با فيلترينگ پورت ها ، اين اطمينان ايجاد خواهد شد که هيچ چيزی نمی تواند از طريق يک پورت باز ارسال گردد مگر پروتکل هائی که توسط مديريت شبکه به آنان اجازه داده شده است . مثلا" در صورتی که فيلترينگ پورت بر روی پورت 21 مربوط به پروتکل TCP اعمال گردد ، صرفا" به مبادلات اطلاعات مبتنی بر FTP اجازه داده خواهد شد که از اين پورت استفاده نمايند و مبادله اطلاعات به کمک ساير پروتکل ها و بکارگيری پورت فوق ، امکان پذير نخواهد بود .
محدوده عملياتی فيلترينگ پورت ها می تواند از موارد اشاره شده نيز تجاوز نموده و در سطح هدر يک بسته اطلاعاتی و حتی محتويات آن نيز تعميم يابد . در چنين مواردی ، هدر بسته اطلاعاتی بررسی و با مشاهده اطلاعاتی نظير آدرس مبداء ، مقصد ، شماره پورت و ساير موارد ديگر در رابطه با آن اتخاذ تصميم می گردد . مشکل موجود در اين رابطه به وجود اطلاعات جعلی و يا نادرست در هدر بسته های اطلاعاتی برمی گردد . مثلا" فرستنده می تواند آدرس های IP و ساير اطلاعات ذخيره شده در هدر بسته های اطلاعاتی را جعل نمايد . به منظور غلبه بر مشکل فوق ، نوع ديگری از فيلترينگ که برخی فايروال ها به آن stateful packet inspections و يا فيلترينگ پويای بسته های اطلاعاتی می گويند ، ايجاد شده است . در مدل فوق ، در مقابل بررسی هدر بسته های اطلاعاتی ، محتويات آنان مورد بازبينی قرار می گيرد . بديهی است با آگاهی از اين موضوع که چه چيزی در بسته اطلاعاتی موجود است ، فايروال ها بهتر می توانند در رابطه با ارسال و يا عدم ارسال آن برای يک شبکه داخلی تصميم گيری نمايند .
ناحيه غيرنطامی ( Demilitarized Zone )
نواحی غيرنظامی ( DMZ ) ، يکی ديگر از ويژگی های ارائه شده توسط اکثر فايروال ها می باشد . DMZ ، ناحيه ای است که تحت قلمرو حفاظتی فايروال قرار نمی گيرد . فايروال های مختلف ، نواحی DMZ را با روش های متفاوتی پياده سازی می نمايند . مثلا" برخی از فايروال ها ، صرفا" شما را ملزم به معرفی آدرس IP ماشينی می نمايند که قصد استقرار آن در ناحيه DMZ وجود دارد .برخی از فايروال ها دارای يک پورت شبکه ای اختصاصی می باشند که می توان از آن برای هر نوع دستگاه شبکه ای که قصد استقرار آن در ناحيه DMZ وجود دارد ، استفاده گردد .
پيشنهاد می گردد ، حتی المقدور از نواحی DMZ استفاده نگردد ، چراکه ماشين های موجود در اين نواحی از امکانات حفاظتی و امنيتی فايروال استفاده نخواهند کرد و تنها گزينه موجود در اين رابطه امکانات ارائه شده توسط سيستم عامل نصب شده بر روی ماشين و ساير توصيه هائی است که با رعايت و بکارگيری آنان ، وضعيت امنيتی سيستم بهتر می گردد .
در صورتی که برای ايجاد يک ناحيه DMZ دلايل موجه و قانع کننده ای وجود دارد ، می بايست با دقت و برنامه ريزی صحيح توام با رعايت مسائل امنيتی اقدام به انجام چنين کاری گردد. در صورتی که ماشين مستقر در ناحيه DMZ دارای يک اتصال به شبکه داخلی نيز باشد ، مهاجمان با تمرکز بر روی ماشين فوق می توانند نقطه مناسبی برای ورود به شبکه را پيدا نمايند . پيشنهاد می گردد به عنوان يک قانون و اصل مهم ، ماشين های موجود در ناحيه DMZ دارای اتصالاتی به غير از پورت DMZ فايروال نباشند .
فورواردينگ پورت ها
در بخش قبل به نحوه عملکرد فيلترينگ پورت ها به منظور بلاک نمودن استفاده از يک پروتکل بجزء يک آدرس IP خاص، اشاره گرديد . فورواردينگ پورت نيز بر اساس همين مفاهيم مطرح و در سازمان هائی که در ارتباط با NAT می باشند ، کارساز خواهد بود .
برای آشنائی با مفهوم فورواردينگ پورت ها ، يک مثال نمونه را بررسی می نمائيم .
فرض کنيد ، سازمانی دارای يک سرويس دهنده وب است که از آدرس IP: 192.168.0.12 ( يک آدرس معتبر نمی باشد ولی فرض کنيد که چنين واقعيتی وجود ندارد ) استفاده می نمايد و می بايست امکان دستيابی عمومی به آن فراهم گردد . در صورتی که سرويس دهنده وب فوق تنها سرويس دهنده موجود در سازمان است که می بايست امکان دستيابی عمومی به آن فراهم گردد ، می بايست يک قانون فيلترينگ بسته های اطلاعاتی در سطح فايروال تعريف گردد که تمامی درخواست های HTTP بر روی پورت 80 و به مقصد هر آدرس موجود در شبکه بجزء آدرس IP:192.168.0.12 ، بلاک گردد . پس از تعريف قانون فوق ، در صورتی که کاربری يک درخواست HTTP را برای آدرس های ديگری ارسال نمايد ، با پيامی مبنی بر اين که وب سايت درخواستی وجود ندارد ، مواجه خواهد شد .
در مثال فوق ، اين فرض نادرست را کرديم که امکان دستيابی عمومی به آدرس IP:192.168.0.12 وجود دارد . آدرس فوق صرفا" بر روی يک شبکه خصوصی معتبر بوده و امکان دستيابی آن از طريق اينترنت وجود نخواهد داشت . بديهی است در چنين وضعيتی می بايست آدرس سرويس دهنده وب خصوصی خود را با يک آدرس عمومی جايگزين نمائيد . ( با اين که يک گزينه مطلوب در اين رابطه نمی باشد ) . برخی از مراکز ارائه دهنده خدمات اينترنت ( ISP ) ، صرفا" امکان استفاده از يک آدرس IP عمومی را در اختيار شما قرار داده و بديهی است که در چنين مواردی ما دارای گزينه های متعددی برای اختصاص اين آدرس نخواهيم بود و می بايست آن را به فايروال اختصاص داد .
يکی از موارد استفاده سنتی از NAT به مواردی نظير آنچه اشاره گرديد ، بر می گردد . سازمان فرضی دارای صرفا" يک آدرس IP معتبر است و آن را به فايروال نسبت داده و از NAT به منظور تسهيل در مبادله اطلاعات بين ماشين های موجود در شبکه داخلی و اينترنت استفاده می نمايد . در چنين مواردی يک مشکل همچنان باقی می ماند . NAT به منظور بلاک نمودن ترافيک تمامی ارتباطات ورودی بجزء آنانی که درخواست آنان از طرف يکی از ماشين های موجود در شبکه داخلی ارسال شده است ، طراحی شده است و ما همچنان دارای يک سرويس دهنده وب می باشيم که می خواهيم امکان دستيابی عمومی به آن را نيز فراهم نمائيم .
به منظور حل مشکل فوق می توان از فورواردينگ پورت استفاده نمود . در واقع فورواردينگ پورت ، قانونی است که به فايروال می گويد در صورتی که درخواست های خاصی بر روی يک پورت خاص برای وی ارسال شده باشد ، می بايست درخواست مربوطه را برای يک ماشين طراحی شده بدين منظور بر روی شبکه داخلی، ارجاع نمايد . در مثال اشاره شده ، ما قصد داريم امکان دستيابی عمومی به سرويس دهنده وب را فراهم نمائيم . بدين منظور می بايست يک قانون فورواردينگ پورت بدين منظور تعريف که به فايروال اعلام نمايد هر درخواست HTTP بر روی پروتکل TCP و پورت 80 را به آدرس IP:192.168.0.12 تغيير مسير داده و برای آن ارسال نمايد. پس از تعريف قانون فوق ، شخصی که قصد دستيابی به وب سايت سازمان شما را داشته باشد ، پس از فعال نمودن برنامه مرورگر ، اقدام به درج آدرس سايت سازمان شما دربخش مربوطه می نمايد. مرورگر کاربر مورد نظر به منظور آگاهی از آدرس domain سايت سازمان شما ، اقدام به ارسال يک درخواست DNS می نمايد تا از اين طريق نسبت به آدرس IP نسبت داده شده به domain آگاهی لازم را پيدا نمايد . بديهی است آدرسی که پيدا خواهد شد و به عنوان مرجع در اختيار مرورگر قرار خواهد گرفت، همان آدرس IPعمومی است که شما آن را به فايروال نسبت داده ايد . مرورگر در ادامه ، درخواست HTTP را برای آدرس IP عمومی شما ارسال می نمايد که در حقيقت اين درخواست برای فايروال ارسال می گردد . فايروال درخواست را دريافت و آن را برای سرويس دهنده وب ارسال می نمايد ( فورواردينگ ) .
منبع: سخا روش
Prevent hackers, worms and viruses from using buffer overflows to introduce malicious code into your systems!
BufferShield supports the following operating systems:
BufferShield is compatible with Antvirus Software like:
