امنیت Security

Byadmin

25 نکته برای بالا بردن امنیت سرورهای لینوکس

25 نکته برای بالا بردن امنیت سرورهای لینوکس

25 نکته برای بالا بردن امنیت سرورهای لینوکس

Linux-Security-and-Hardening

همیشه گفته می شود که لینوکس در حالت عادی تا حدی ایمن است. اگرچه، لینوکس مدل امنیتی خود را به صورت پیشفرض دارد، اما نیاز است که مطابق با خواسته های شما سازگار شود و به این ترتیب امنیت بیشتری به وجود می آید. لینوکس از لحاظ مدیریتی پیچیده تر است اما انعطاف پذیری و تنظیمات بیشتری را در اختیار می دهد.

ایمن سازی سیستم از هکرها یک وظیفه ای چالش برانگیز برای مدیران IT است. این اولین مقاله مرتبط با “چگونگی ایمن سازی لینوکس باکس” و یا “سخت سازی لینوکس باکس” است. در این نوشته 25 نکته کاربردی را برای ایمن سازی سیستم لینوکسی شما ارائه می دهیم و امیدواریم که برای شما در ایمن سازی سیستم های لینوکسی مفید باشد.

  1. امنیت فیزیکی سیستم: گام نخست غیر فعال سازی بوت  CD/DVD از Bios  سیستم ، تجهیزات بیرونی، فلاپی درایو تنظیم نمایید. سپس، پسورد BIOS را تنظیم کرده و همچنین پسورد GRUB را برای محدود کردن دسترسی فیزیکی به سیستم خود فعال نمایید.
  2. پارتیشن بندی دیسک: مهم است که پارتیشن های متعددی برای بدست آوردن امنیت بالاتر داده در موارد اتفاقات پیش بینی نشده داشته باشید. با ایجاد پارتیشن های متعدد، داده می تواند جداسازی و گروه بندی شود. وقتی که تصادف غیر منتظره اتفاق می افتد، فقط داده ها در یک پارتیشن خاص آسیب می بینند، در حالی که دیتا در دیگر پارتیشن ها بدون آسیب می مانند. شما باید مطمئن شوید که پارتیشن های زیر را دارید و سایر اپلیکیشن ها باید در یک فایل سیستم مجاز تحت/opt نصب گردند.
/
/boot
/usr
/var
/home
/tmp
/opt
  1. پکیج ها را حداقل کنید تا آسیب پذیری به حداقل برسد

آیا واقعا می خواهید تمام سرویس ها را نصب کنید؟ پیشنهاد می گردد که از نصب پکیج های بدون استفاده پرهیز کنید تا از آسیب پذیری در پکیج ها جلوگیری کنید. این ممکن است ریسک آسیب در یک سرویس را که می تواند منجر به آسیب به سایر سرویس ها شود را به حداقل برساند. سرویس های بدون استفاده را یافته و آنها را حذف و یا غیر فعال کنید تا آسیب پذیری به کمترین حد ممکن برسد. از فرمان “chkconfig” برای پیدا کردن سرویس های که بر روی runlevel 3 اجرا شده اند استفاده کنید.

# /sbin/chkconfig –list |grep ’3:on’

به محض اینکه هر سرویس ناخواسته ای را در حال اجرا یافتید، با فرمان زیر آنها را غیر فعال کنید.

# chkconfig serviceName off

از RPM package manager مانند “yum” یا “apt-get” برای لیست کردن همه پکیج های نصب شده بر سیستم استفاده کرده و آنها را با فرمان های زیر حذف کنید.

# yum -y remove package-name

# sudo apt-get remove package-name

  1. پورت های شبکه در حال Linstening را کنترل کنید.

با کمک فرمان شبکه “netstat” می توانید کلیه پورت های باز و برنامه های مربوطه را مشاهده نمایید. همانگونه که در بالا گفته شد، از فرمان”chkconfig” برای غیرفعال کردن کلیه سرویس های ناخواسته بر روی سیستم استفاده کنید.

# netstat -tulpn

  1. از Secure Shell)SSH) استفاده کنید.

پروتکل های telnet و rlogin از متن ساده و رمزگذاری نشده استفاده می کنند که ناقض امنیت هستند. SSH یک پروتکل امن است که از تکنولوژی رمز گذاری در طول ارتباط با سرور استفاده می کند.

بجز موارد ضروری هرگز با کاربر root به طور مستقیم وارد سیستم نشوید. از فرمان “sudo” برای اجرای سایر فرمان ها استفاده کنید. “sudo” در فایل /etc/sudoers قرار گرفته است که می تواند توسط visudo که در ویرایشگر VI باز می شود، ویرایش می شود.

همچنین پیشنهاد می شود که پورت SSH 22 پیش فرض را با بعضی پورت های سطح بالاتر تعویض کنید. تنظیمات اصلی SSH را باز کرده و پارامتر های زیر را برای دسترسی کاربران عادی محدود کنید.

# vi /etc/ssh/sshd_config

غیر فعالسازی لاگین با root

PermitRootLogin no

اجازه تنها به کاربران خاص

AllowUsers username

از نسخه 2 پروتکل SSH استفاده کنید

Protocol 2

  1. مرتبا سیستم را بروز رسانی کنید.

همیشه سیستم خود را با آخرین پچ ها، فیکس های امنیتی و کرنل منتشر شده به روز نگه دارید.

# yum updates

# yum check-update

  1. Cronjob ها را قفل کنید.

Cron ویژگی مخصوص به خود را دارد، که اجازه می دهد مشخص کنید چه کسانی باید و چه کسانی نباید jobها را اجرا کنند. این امر با استفاده از فایل های /etc/cron.allow و /etc/cron.deny کنترل می شود. برای بستن دسترسی یک کاربر به cron ، به سادگی نام کاربر را در cron.deny اضافه کنید و برای اجازه دادن به یک کاربر برای اجرای cron آن را در cron.allow اضافه کنید. اگر تمایل به غیر فعال کردن همه کاربران در استفاده از cron دارید خط “ALL” را در فایل cron.deny اضافه کنید.

# echo ALL >>/etc/cron.deny

  1. استفاده از فلش مموری ها توسط پورت USB را غیر فعال کنید.

بسیاری از دفعات این اتفاق پیش می آید که ما می خواهیم کاربران را از استفاده از فلش مموری برای حفاظت از داده ها در برابر سرقت محدود کنیم. یک فایل با عنوان “/etc/modprobe.d/no-usb” ایجاد کرده و با اضافه کردن خط زیر ذخیره سازها بر روی پورت USB از دسترس خارج می شوند.

install usb-storage /bin/true

  1. از SELinux استفاده کنید.

لینوکس بهبود یافته از لحاظ امنیتی (SELinux) یک مکانیزم امنیتی اجباری برای کنترل دسترسی است که در کرنل ایجاد شده است. غیر فعال سازی SELinux به معنای برداشتن مکانیزم امنیتی از سیستم است. قبل از برداشتن این سیستم بدقت به آن بیندیشید. اگر سیستم شما به اینترنت متصل است به صورت همگانی در دسترس است، بیشتر در مورد آن بیندیشید.

SELinux سه حالت اصلی عملکرد را ارائه می دهد که عبارتند از:

  • Enforcing: این یک حالت پیش فرض است که خط مشی امنیتی SELinux در ماشین را فعال و اجرا می کند.
  •  Permissive: در این حالت،SELinux خط مشی امنیت ماشین را اجرا نخواهد کرد، فقط امور مربوط لاگ برداری و اعلان ها انجام می شود. این حالت برای ایرادیابی موارد مرتبط با SELinux بسیار مفید است.
  • Disabled: SELinux غیر فعال شده است.

شما می توانید وضعیت فعلی SELinux را از خط فرمان با استفاده از “system-config-selinux” و “getenforce” و یا “sestatus”مشخص کنید.

# sestatus

اگر این سرویس غیرفعال است با استفاده از فرمان زیر SELinux را فعال کنید.

# setenforce enforcing

همچنین می توان با استفاده از فایل آدرس “/etc/selinux/config” می توانید این فایل را مدیریت کنید.

  1. دسکتاپ KDE/GNOME را حذف کنید.

نیازی به اجرای دسکتاپ های X Window مانند KDE ویا GNOME بر روی سرور اختصاصی LAMP شما وجود ندارد. شما می توانید آنها را برای افزایش امنیت سرور و بهبود عملکرد آن حذف و یا غیر فعال کنید.

# yum groupremove “X Window System”

  1.  IPv6 را غیر فعال کنید.

اگر از پروتکل IPv6 استفاده نمی کنید، باید آن را غیر فعال کنید، زیرا بیشتر اپلیکیشن ها و Policy ها به پروتکل IPv6 نیاز ندارند و در حال حاضر وجود این پروتکل در سرور ضروری نیست. به فایل network configuration رفته و خطوط زیر را برای غیر فعال کردن IPv6 به آن اضافه کنید.

# vi /etc/sysconfig/network

NETWORKING_IPV6=no

IPV6INIT=no

  1.  کاربران را در استفاده از کلمات عبور قدیمی محدود کنید.

عدم اجازه به کاربران برای استفاده از کلمات عبور قدیمی که قبلا از آن استفاده کرده اند، بسیار کاربردی است. فایل کلمات عبور قدیمی در /etc/security/opasswd ذخیره شده است. با استفاده از ماژول PAM این فایل قابل دسترسی است.

فایل “etc/pam.d/system-auth” را تحت RHEL یا CentOS یا Fedora باز کنید.

# vi /etc/pam.d/system-auth

فایل “etc/pam.d/common-password” را تحت Ubuntu یا Debian یا Linux Mint باز کنید.

# vi /etc/pam.d/common-password

خط زیر را به بخش “auth” اضافه کنید.

auth    sufficientpam_unix.so likeauth nullok

خط زیر را به بخش “password” اضافه کنید تا کاربر را از استفاده مجدد از 5 کلمه عبور قبلی خودش محدود کنید.

password   sufficientpam_unix.so nullok use_authtok md5 shadow remember=5

تنها 5 کلمه عبور آخر توسط سرور به خاطر آورده می شوند. اگر تلاش کنید که از 5 کلمه عبور آخر خود استفاده کنید پیام خطایی مانند زیر دریافت می کنید.

Password has been already used. Choose another.

  1.   چگونه انقضا کلمه عبور کاربر کنترل کنیم

در لینوکس، کلمه عبور کاربران در “/etc/shadow” و در فرمت رمزگذاری شده ذخیره می شود. برای کنترل انقضا کلمه عبور کاربران، شما باید از فرمان “chage” استفاده کنید. این فرمان اطلاعات انقضا کلمه عبور و زمان آخرین تغییر کلمه عبور را نشان می دهد. این جزئیات توسط سیستم، برای تصمیم در خصوص زمان تغییر یک کلمه عبور توسط کاربر استفاده می شود.

برای دیدن اطلاعات مدت زمان مربوط به کاربر مانند تاریخ انقضا و زمان از فرمان زیر استفاده کنید.

#chage -l username

برای تغییر مدت زمان کلمه عبور از فرمان زیر استفاده کنید.

#chage -M 60 username

#chage -M 60 -m 7 -W 7 userName

پارامتر ها

-M تنظیم حداکثر تعداد روز ها

-m تنظیم حداقل تعداد روزها

-W تنظیم تعداد روزها برای پیام خطا

  1.    بستن و باز کردن حساب کاربری بصورت دستی

ویژگی های باز و بسته کردن بسیار مفید هستند و به جای حذف یک حساب کاربری از سیستم، شما می توانید آن را برای یک مدت مشخص ببندید. برای بستن یک کاربر خاص، شما می توانید از فرمان زیر استفاده کنید.

# passwd -l accountName

توجه: کاربر بسته شده فقط برای کاربر root در دسترس است. این بسته بودن با جایگزینی کلمه عبور رمز گذاری شده با یک رشته (!) اجرا می شود.اگر کسی تلاش کند با استفاده از این حساب کاربری به سیستم دسترسی داشته باشد پیام خطایی مانند زیر دریافت می کند.

# su – accountName

This account is currently not available.

برای باز کردن و یا فعال کردن دسترسی به حساب کاربری بسته شده، از فرمان زیر استفاده کنید. این فرمان رشته (!) با کلمه عبور رمزگذاری شده را حذف می کند.

# passwd -u accountName

  1.   اعمال کلمات عبور قوی تر

تعدادی از کاربران از کلمات عبور آسان و ضعیف استفاده می کنند و کلمه عبور آنها به آسانی با یک directory و با brute force attack هک می شود. ماژول “pam_cracklib” که در PAM (Pluggable Authentication Modules) قرار دارد، کاربران را ملزم به انتخاب کلمات عبور قوی می کند. فایل زیر را با یک برنامه ویرایشگر باز کنید.

# vi /etc/pam.d/system-auth

یک خط برای ملزم کردن استفاده از پارامترهای اعتباری مانند (lcredit,ucredit,dcredit and ocredit) اضافه کنید.

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

  1.    iptable را فعال کنید (Firewall) .

به شدت پیشنهاد می گردد که Linux firewall را برای ایمن شدن در برابر دسترسی غیرقانونی به سرور فعال کنید. از ruleهایی که در iptables است، برای فیلتر کردن پکت های فوروارد شده ورودی و خروجی استفاده کنید. ما می توانیم آدرس منبع و مقصد را برای اجازه دادن و یا متوقف کردن در یک شماره پورت خاص udp/tcp استفاده کنیم.

  1.   در Inittab حالت Ctrl+Alt+Delete را غیر فعال کنید.

در بیشتر توزیع های لینوکس، فشردن Ctrl+Alt+Delete سیستم شما را به فرآیند ریبوت می برد. بنابراین این ایده خوبی نیست که این ویژگی در سرورها فعال باشد.زیرا فشردن تصادفی این دکمه ها می تواند سرور شما را ریبوت کند.

این عمل در “/etc/inittab” انجام می شود. اگر شما دقیق به این فایل نگاه کنید، می بینید که خطی شبیه به آنچه در ادامه است در آن وجود دارد. در حالت پیش فرض خط فعال است اما برای غیر فعال شدن این دکمه باید از آن را به حالت کامنت درآورد.

# Trap CTRL-ALT-DELETE

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

  1.   حساب های کاربری را برای کلمات عبور خالی کنترل کنید.

هر حساب کاربری یک کلمه عبور خالی دارد که به این مفهوم است که این حساب برای دسترسی غیر مجاز به هرکسی در وب باز شده است و این بخشی از امنیت در یک سرور لینوکس است. بنابراین ، شما باید مطمئن شوید که همه حساب های کاربری کلمه عبور قوی داشته و هیچکس دسترسی غیر مجاز ندارد. حساب های کاربری بدون کلمه عبور ریسک های امنیتی هستند و می توانند به آسانی هک شوند. برای کنترل اینکه آیا حساب کاربری بدون کلمه عبور وجود دارد، فرمان زیر را به کار برید.

# cat /etc/shadow | awk -F: ‘($2==””){print $1}’

  1.    قبل وارد حساب شدن بنر SSH را به کاربر نمایش دهید.

این ایده خوبی است که همیشه یک اعلان قانونی و یا امنیتی با برخی نکات امنیتی قبل از اعتبارسنجی SSH داشته باشید. برای فعال کردن چنین بنری مفاله زیر را مطالعه کنید.

  1.    پایش فعالیت های کاربر

اگر با تعداد زیادی کاربران سروکار دارید، مهم است که اطلاعات فعالیت و process هایی که مورد استفاده هر کاربر بوده است را جمع آوری کرده و در زمان مناسب و یا درشرایطی که موارد امنیتی و بررسی عملکرد اتفاق می افتد، آن ها را تحلیل نمایید. اما چگونه ما می توانیم اطلاعات فعالیت کاربران را پایش و جمع آوری کنیم.

دو ابزار ارزشمند با نام های “psacct” و “acct” وجود دارند که برای پایش فعالیت کاربران و process ها در یک سیستم استفاده می شوند. این ابزار ها در پس زمینه سیستم اجرا شده و به طور پیوسته فعالیت هر کاربر در یک سیستم و منابع مصرف شده توسط سرویس های مختلف مانند Apache، MySQL، SSH، FTP و غیره دنبال می کنند. برای اطلاعات بیشتر درخصوص نصب، ساختاربندی و استفاده از این سرویس ها آدرس زیر را مشاهده کنید.

  1. لاگ ها را مرتبا بازبینی کنید.

لاگ ها را به سرور اختصاصی لاگ انتقال دهید. این امر می تواند از دسترسی و تغییر آسان توسط مزاحمان در لاگ ها جلوگیری به عمل می آورد. در ادامه لاگ فایل های پیش فرض و معمول لینوکس با نام و کاربری توضیح داده شده اند.

  •         /var/log/message  جایی که کل لاگ های سیستم و فعالیت های فعلی در آن ثبت می شود
  •         /var/log/auth.log لاگ های اعتبار سنجی.
  •         /var/log/kern.log لاگ های کرنل
  •         /var/log/cron.log لاگ های Cron
  •         /var/log/maillog لاگ های میل سرور
  •         /var/log/boot.log لاگ های بوت سیستم
  •         /var/log/mysqld.log لاگ های سرور دیتابیس MySQL
  •         /var/log/secure لاگ اعتبار سنجی
  •         /var/log/utmp or /var/log/wtmp فایل رکورد های ورود به سیستم
  •         /var/log/yum.log:  فایل های لاگ YUM
  1.   پشتیبان گیری از فایل های مهم

در یک سیستم تولید، ضروری است که از فایل های مهم پشتیبان گیری شده و محلی خارج از محل سرور برای بازیابی در شرایط اتفاقات غیر مترقبه، امن نگهداری شوند.

  1.  باندینگ NIC

دو حالت در NIC bonding وجود دارد که باید در رابط باندینگ به آن اشاره شود

  •         Mode=0 Round Robin
  •         Mode=1 Active and Backup

NIC Bonding به ما کمک می کند که از عدم ارتباط در یک نقطه اجتناب کنیم. دو کارت شبکه اترنت را با هم باند کرده و یک رابط مجازی می سازم که از طریق آن می توان یک IP آدرس اختصاص داده و با دیگر سرور ها در تماس بود. شبکه ما در حالتی که یک NIC Card به هر دلیلی از کار باز ایستد، همچنان در دسترس است.

  1.   boot/ را در حالت read-only نگه دارید.

کرنل لینوکس و فایل های مرتبط با آن در دایرکتوری /boot قرار گرفته اند که در حالت پیش فرض به صورت read-write است. تغییر آن به read-only ریسک تغییرات غیر مجاز در فایل های حیاتی بوت را کاهش می دهد. برای انجام این کار، فایل /etc/fstab را باز کنید.

# vi /etc/fstab

خط زیر را به انتهای آن اضافه کرده، فایل ذخیره نموده و از فایل خارج شوید.

LABEL=/boot /boot ext2 defaults,ro 1 2

لطفا توجه نمایید که باید برای تغییرات بعد در کرنل باید این دایرکتوری را به حالت read-write بازگردانید.

  1.  ICMP و درخواست Broadcast را نادیده بگیرید.

خطوط زیر را در فایل “/etc/sysctl.conf” برای نادیده گرفتن درخواست ping و broadcast اضافه کنید.

Ignore ICMP request:

net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:

net.ipv4.icmp_echo_ignore_broadcasts = 1

تغییرات و تنظیمات جدید را با اجرای فرمان زیر بارگزاری کنید.

#sysctl -p

اگر شما نکته دیگری را می شناسید که از این لیست جا مانده است لطفا آن را در بخش پاسخ ها بیان کنید. ما همیشه علاقمند دریافت نظرات شما هستیم.

منبع : http://www.tecmint.com//

Byadmin

مفهوم IDS

مفهوم IDS

IDS یك سیستم محافظتی است كه خرابكاریهای در حال وقوع روی شبكه را شناسایی می كند و با استفاده از تشخیص نفوذ كه شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری كنترل كامپیوترها و نهایتا هك كردن می باشد ، می تواند نفوذ خرابكاریها را گزارش و كنترل كند.

روش كار به این صورت است كه با استفاده از تشخیص نفوذ كه شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری كنترل كامپیوترها و نهایتا هك كردن می باشد ، می تواند نفوذ خرابكاری ها را گزارش و كنترل كند.
از قابلیتهای دیگر IDS ، امكان تشخیص ترافیك غیرمتعارف از بیرون به داخل شبكه و اعلام آن به مدیر شبكه و یا بستن ارتباط های مشكوك و مظنون می باشد. ابزار IDS قابلیت تشخیص حملات از طرف كاربران داخلی و كاربران خارجی را دارد.

بر خلاف نظر عمومی كه معتقدند هر نرم افزاری را می توان به جای IDS استفاده كرد، دستگاه های امنیتی زیر نمی توانند به عنوان IDS مورد استفاده قرار گیرند:
۱- سیستم هایی كه برای ثبت وقابع شبكه مورد استفاده قرار می گیرند مانند : دستگاههایی كه برای تشخیص آسیب پذیری در جهت از كار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.

۲- ابزارهای ارزیابی آسیب پذیری كه خطاها و یا ضعف در تنظیمات را گزارش می دهند.

۳-نرم افزارهای ضدویروس كه برای تشخیص انواع كرمها، ویروسها و به طوركلی نرم افزارهای خطرناك تهیه شده اند.

۴-دیواره آتش (Firewall )

۵-مكانیزمهای امنیتی مانند SSL ، VPN و Radius و … .

چرا دیواره آتش به تنهایی كافی نیست ؟

به دلایل زیر دیواره های آتش نمی توانند امنیت شبكه را به طور كامل تامین كنند :
۱. چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
۲.تمام تهدیدات خارج از دیواره آتش نیستند.
۳.امنیت كمتر در برابر حملاتی كه توسط نرم افزارها مختلف به اطلاعات و داده های سازمان می شود ، مانند Active ، Java Applet، Virus Programs.

تكنولوژی IDS
۱- Plain Hand Work
۲- Network Based
۳- Host Based
۴- Honey pot

(NIDS (Network Bas
گوش دادن به شبكه و جمع آوری اطلاعات ازطریق كارت شبكه ای كه در آن شبكه وجود دارد.
به تمامی ترافیك های موجود گوش داده و در تمام مدت در شبكه مقصد فعال باشد.

(HIDS (Host Base
تعداد زیادی از شركتها در زمینه تولید این نوع IDS فعالیت می كنند.
روی PC نصب می شود و از CPU و هارد سیستم استفاده می كنند.
دارای اعلان خطر در لحظه می باشد.
جمع آوری اطلاعات در لایه Application
مثال این نوع IDS ، نرم افزارهای مدیریتی می باشند كه ثبت وقایع را تولید و كنترل می كنند.

Honey pot
سیستمی می باشد كه عملا طوری تنظیم شده است كه در معرض حمله قرار بگیرد. اگر یك پویشگری از NIDS ، HIDS و دیواره آتش با موفقیت رد شود متوجه نخواهد شد كه گرفتار یك Honey pot شده است. و خرابكاری های خود را روی آن سیستم انجام می دهد و می توان از روشهای این خرابكاریی ها برای امن كردن شبكه استفاده كرد.

محل قرارگیری IDS
محل قراگیری IDS ها كجاست ؟
بیرون دیواره آتش ؟
داخل دیواره آتش (داخل DMZ یا شبكه داخلی )؟
چه ترافیكی را می بایست كنترل كند؟
چه چیزهایی را می بایست كنترل كند؟

كارآیی یك IDS خوب وقتی مشخص می شود كه :
بتوان كنترل و مدیریت آن را به صورت ۲۴ ساعته و ۷ روز در هفته انجام داد.
توسط یك مدیر با دانش بالا مدیریت شود تا بتواند از وقایع بدست آمده كنترل های جدیدی را روی دیوار آتش پیاده سازی كند.مرتب كنترل وبا توجه به حوادث روزانه (ویروس ها و ورم ها و روش های هك جدید) به روزرسانی شود.

حملات به طور كلی به دو بخش تقسیم می شوند:
۱-غیرفعال:فكر دسترسی به سیستم های آسیب پذیر بدون دستیابی به اطلاعات
۲-فعال:دستیابی بدون اجازه به همراه تغییر در منابع و اطلاعات یك سازمان

از نظر شخص نفوذگر حملات به گروههای زیر تقسیم می شوند:
۱-داخلی:یعنی اینكه حملات از طریق كاركنان و یا شركای تجاری و یا حتی مشتریانی كه به شبكه شما متصل می باشند.
۲- خارجی:حملاتی كه از خارج سازمان و معمولا از طریق اینترنت انجام می گیرد.●شما درمعرض خطر هستید!

برای تشخیص خطرات وحملات احتمالی می بایست سیستم خود را در برابر تقاضاهایی كه سرویس های نامناسب درخواست می كنند مورد بررسی قرار دهید.این بررسی ها در تشخیص حملات واقعی به ما كمك می كند. با توجه به انواع راه هایی كه نفوذ گران برای دسترسی به سیستمها استفده می كنند نگاهی اجمالی به روشهای آسیب رسانی و نفوذ می اندازیم.

استفاده از آسیب پذیری های معروف:دراكثر موارد حمله به معنی تلاش برای استفاده از نقص یا ایجاد آن در سیستم امنیتی یك سازمان اطلاق می شود و این یكی از راههای نفوذگری در شبكه می باشد.اغلب خود سازمان ممكن است از ابزاری برای امن كردن شبكه استفاده كند كه كار حمله كننده را آسان می سازد به بیان واضح تر اینكه ابزارهای امنیتی نیز خود دارای نواقص و حفره های امنیتی می باشد كه اختیارات بیشتری را به نفوذگر می دهد. این نرم افزارها اغلب مانند شمشیر دو لبه عمل می كنند و مورد استفاده هردو گروه كاربران وحمله كنندگان قرارمی گیرد مانند نرم افزارهای كنترل صحت و یكپارچگی فایل یا نرم افزارهایی كه جهت تست آسیب پذیری شبكه مورد استفاده قرارمی گیرند.چك كردن یكپارچگی فایلها با استفاده از روش های سیستمی و با قابلیت ادغام روشهای مختلف با یكدیگر و با ابزارهایی نظیر anti-SATAN یا Courtney امكان پذیر می باشد.

ترافیك خروجی غیر معمول:یك نفوذگر با استفاده از تعداد زیادی Exploit و حتی نفوذ های ناموفق سعی در به دست آوردن كنترل كامپیوتر مقصد دارد. این عملیات نفوذگرانه، ترافیك معمول شبكه را افزایش می دهد و نشانه وقوع یك حمله درآینده می باشد. هر ابزار تست آسیب پذیری می بایست قابلیت تشخیص فعالیت های مشكوك و غیر متعارف را داشته باشد و با ارائه گزارش ، اعلام خطر لازم را به مدیر شبكه بدهد.
حد تكرار برای كمك به تشخیص فعالیتهای واقعی و مشكوك :فعالیتهای شبكه بوسیله دریافت و كنترل بعضی پارامترها قابل شناسایی است مانند User Profile یا از Session State .

زمان بین تكرار فعالیتها: پارامتری برای تشخیص زمان سپری شده بین دو واقعه متوالی. مثلا” وقتی بخواهید با نام كاربری اشتباه وارد سیستم شوید، سه تلاش برای ورود با نام غلط بین فاصله زمانی ۲ دقیقه یك فعالیت مشكوك به نظر می رسد.
اشتباه در تایپ ویا جوابهایی كه در یك Session ایجاد می شود.

پروتكل ها وسرویس های شبكه به صورت كاملا دقیقی مستند شده اند و از ابزارهای نرم افزاری خاص استفاده می كنند. هرگونه ناهماهنگی با قالب شناخته شده( مثل اشتباه در تایپ یك دستور ) ممكن است اطلاعاتی برای شناسایی سرویسهای كه می توانند مورد حمله یك نفوذگر قراربگیرند باشد.اگر امكان Audit در سیستم فعال شده باشد ،مثل Send Mail Relaying، توالی ارتباط Log بصورت معمولی و قابل پیش بینی اتفاق می افتد.هرچند كه اگر در Log دریافت شده دستورات غیر مجاز دیده شود ممكن است نتیجه موارد اشتباه غیر عمدی ویا سعی در Spoofing باشد.( Spoofing به این معنی است كه نفوذگر آدرس خود را به آدرسی كه برای سیستم شناخته شده است تغییر داده و به این ترتیب به سیستم نفوذ می كند.)

تست تلاشهای مخرب ممكن است شامل موارد زیر باشد:
▪ شناسایی تلاشهای متعدد برای جبران خطاهای تایپی و تكرار دستورات
▪ تشخیص خطاهای مكرر برای یافتن پروتكل ها كه بدنبال یك تلاش موفق انجام می شود.
▪ تشخیص خطا و یادگیری در جهت شناسایی نرم افزارهای و یا سیستم عامل های موجود در سایت مقصد.

ناهماهنگی در جهت ارسال و دریافت اطلاعات
هرگونه ناهماهنگی ترافیكی در Packetها یا یك Session نشانه ای از یك حمله پنهانی است. بررسی آدرس مبداء و مقصد ( به صورت ورودی یا خروجی) میتواند جهت Packet را تشخیص بدهد. روند برقراری یك session با تشخیص اولین پیام ارسال شده شناسایی می شود. یك درخواست برای دریافت یك سرویس از شبكه محلی به صورت یك session ورودی است و پروسه فعال كردن یك سرویس بر پابهWeb از یك شبكه محلی یك session خروجی است.

موارد زیر می تواند به عنوان حمله محسوب شود:
▪Packet -هایی كه منشاء آنها اینترنت است بدون اینكه در خواستی از سمت شبكه محلی داشته باشد و وارد شبكه شود.
این حالت ممكن است نشان دهنده یك حمله IP Spoofing از خارج باشد. این مشكلات می توانند درRouter- هایی كه قابلیت مقایسه آدرس مبداء و مقصد را دارند بر طرف شوند .در عمل تعداد اندكی از Router ها در شبكه می توانند به عنوان فایروال عمل كنند.

▪ بر عكس حالت قبلPacket هایی كه به صورت خروجی در یك شبكه محلی ایجاد می شوند و به یك شبكه خارجی فرستاده می شوند.

▪ Packet ها با پورت های مبداء و مقصد غیر مشخص. اگر منبع پورت در مورد یك درخواست ورود یا خروج اطلاعات با نوع سرویس یكسان نباشد ممكن است به عنوان یك تلاش برای نفوذ یا پویش سیستم تلقی شود. بطور مثال در خواست Telnet از روی پورت ۱۰۰ در محیطی كه انتظار چنین پشتیبانی برای سرویس وجود ندارد.ترافیك غیر معمول بیشتر توسط فایروال شناسایی شده و Packet های مشكوك را ازبین می برد. با توجه به اینكه فایروالها همیشه با سیستم های تشخیص نفوذ ادغام نمی شوند ، بنابراین ممكن است كه سیستمهای تشخیص نفوذ راه حلی برای این مشكل باشد.

علائم نفوذ
معمولا با اجرای برنامه های خاص در سیستم انتظار مواجهه با رفتارهای خاص و مشابه وجود دارد
بعضی از موارد مانند موارد زیر :

▪مشخصات تاریخ و زمان : در بعضی محیط های خاص بطور معمول بعضی رفتارها در زمان خاصی در شبكه اتفاق می افتد. مثلا فرض كنید بطور معمول شنبه صبح یكسری اطلاعات به بخش مركزی شركت ارسال می شود كه مربوط به اطلاعات مالی است. چنین ترافیكی در شنبه صبح همیشه اتفاق می افتد و عادی است در صورتیكه چنین ترافیكی روز جمعه اتفاق بیفتد و ثبت شود ، غیر معمول است و باید به عنوان یك رفتار غیر معمول یا نفوذ به سیستم مورد بررسی دقیق قرارگیرد.

▪مشخصات منابع سیستم: بعضی نفوذ های خاص باعث خرابی بعضی پارامترهای خاص سیستم میشود مثلا یك حمله Brute Force برای شكستن حرف رمز باعث در گیر كردن CPU میشود در حالیكه یك حمله DoS همین كاررا با سرویس های سیستم انجام میدهد. استفاده سنگین از منابع سیستم ( پروسسور، حافظه، دیسك سخت ، سرویسها و اتصالات شبكه ) كه در زمانهای غیر معمول اتفاق می افتد برای شناسایی حمله بسیار مفید هستند و باید به آنها بسیار توجه كرد.

▪ Packet هایی با تایید های TCP غیر معمول : اگر در یك Packet نشانه مربوط به ACK فعال باشد و قبل از آن هیچ SYN-Packet ارسال نشده باشد، ممكن است نتیجه یك حمله در سیستم باشدهمچنین این حالت ممكن است اثر یكPacket خراب هم باشد كه در یك شبكه با نرم افزار های خراب ایجاد می شود و واقعا” حمله نفوذی نباشد.

▪ سرویس های مختلف با علایم مختلف : ممكن است در بعضی موارد انتظار ایجاد ترافیك خاص از یك كاربر مشخص داشته باشیم مثلا كاربری كه در یك ماموریت اداری بسر می برد معمولا” فقط نامه های خود را چك می كند ویا فایلی را انتقال می دهد . در صورتیكه دسترسی این كاربر به پورت های مختلف از طریق Tel net ، دلیلی بر امكان نفوذ یا حمله است .

موارد غیر معمول – علامت نفوذ
یك نفوذ كننده بالقوه ممكن است عملیات نفوذ خود را به گونه ای طراحی كند كه اثر جانبی آن باعث رفتارهای غیر معمول در سیستم باشد. مانیتورینگ اثرات جانبی بسیار سخت است چون پیدا كردن محل آنها به سادگی امكان پذیر نیست از موارد غیر منتظره سیستم به موارد زیر می توان اشاره كرد:

۱-مشكلات تعریف نشده در سخت افزار یا نرم افزارسیستم مثل خاموش شدن بدون علت سرور، عدم كاركرد بعضی برنامه های نرم افزاری مانند IIS ، موارد غیر معمول restart شدن سیستم ها ، تغییرات در تنظیم clock سیستم
۲- بروزاشكالات نامشخص در منابع سیستم مثل File System Overflow یا مشغول بودن بیش از حد CPU
۳- دریافت پیام های غیر متعارف از بعضی برنامه های خود اجرا ، مثل پیغامهایی كه نشان دهنده عدم اجرا و یا خطا در هنگام اجرای یك برنامه ایجاد شده باشد.بخصوص برنامه هایی كه برای مانیتور كردن سیستم طراحی شده اند مثل Syslog .
۴- بروز اشكالات نامشخص در كارایی سیستم مثلا” در Router ها یا سرویس های سیستم مثل كند شدن سرور
۵- بروز رفتارهای مشكوك در اجرای برنامه های كاربرمثل اشكال در دسترسی به بعضی منابع شبكه
۶- عملكرد مشكوك در فایلهای ثبت وقایع ( Log ها)بررسی این فایل ها از نظر سایز برای اینكه حجم فایل از اندازه متعارف خیلی بیشتر یا كمتر نباشد. مگر اینكه مدیر شبكه خود چنین تغییری ایجاد كرده باشد.●چگونگی عملكرد IDS

چه باید كرد؟
مهمترین كار یك سیستم كشف نفوذگر،دفاع از كامپیوتر بوسیله شناسایی حمله و جلوگیری از آن است. شناسایی حمله هكر بستگی به نوع و تعداد عكس العمل مورد نظر دارد.

مقابله با نفوذ، نیاز به یك سیستم تركیبی دام گذاری و تله اندازی دارد كه هردو این پروسه ها باید با بررسی و دقت انجام شود. از كارهای دیگری كه باید انجام داد ، تغییر دادن جهت توجه هكر است.هر دوسیستم واقعی و مجازی(Honeypot) به دام اندازی هكر به طور دائمی دیده بانی (Monitor ) می شوند و داده های تولید شده توسط سیستم شناسایی نفوذ گر(IDS) برای شناسایی نحوه عملكرد حمله به دقت بررسی می شود كه این مهمترین وظیفه یك IDS جهت شناسایی حملات و یا نفوذهای احتمالی می باشد.

وقتی كه یك حمله یا نفوذ شناسایی شد، IDS سرپرست شبكه را مطلع می سازد. مرحله بعدی كار می تواند بر عهده سرپرست شبكه یا خود IDS باشد كه از بررسی های به عمل آمده نتیجه گیری كرده و اقدام متقابل را انجام دهد.(مانند جلوگیری از عملكرد یك قسمت بخصوص برای پایان بخشیدن به Session های مشكوك یا تهیه نسخه پشتیبان از سیستم برا ی حفاظت از اطلاعات ، و یا انتقال ارتباط به یك سیستم گمراه كننده مانند Honeypot و چیزهای دیگر كه بر اساس سیاستهای (Policy ) شبكه قابل اجرا باشد . در حقیقت IDS یك از عناصر سیاستهای امنیتی شبكه است.در بین وظایف مختلف IDS ، شناسایی نفوذگر از اساسی ترین آنهاست .حتی ممكن است در مراجع قانونی از نتایج و گزارشات حوادثی كه IDS اعلام می كند استفاده نمود، و از حملاتی كه در آینده اتفاق خواهد افتاد با اعمال وصله های امنیتی مناسب از حمله به یك كامپیوتر بخصوص ویا یك منبع شبكه جلوگیری كرد.
شناسایی نفوذ ممكن است گاهی اوقات زنگ خطر اشتباهی را به صدا در آورد. برای مثال نتیجه خراب كاركردن یك كارت شبكه و یا ارسال شرح یك حمله و یا اثر یك نفوذ ازطریق Email .

ساختار و معماری سیستم تشخیص نفوذ:
سیستم تشخیص نفوذ یك هسته مركزی دارد و یك تشخیص دهنده(موتور تشخیص) است كه مسئولیت تشخیص نفوذ را دارد. این سنسور یك مكانیزم تصمیم گیری بر اساس نوع نفوذ دارد.

این سنسور اطلاعات خام را از سه منبع دریافت می كند.
۱-از اطلاعات موجود در بانك اطلاعلتی خود IDS.
۲-فایل ثبت وقایع سیستم (syslog).
۳-آثار ترافیك عبوری و دیده بانی شبكه.

فایل ثبت وقایع سیستم (syslog) ممكن است به طور مثال اطلاعات پیكربندی سیستم و دسترسی های كاربران باشد. این اطلاعات اساس تصمیم گیری های بعدی مكانیزم سنسور خواهد بود.این سنسور با یك Event Generator كه مسئول جمع آوری اطلاعات است با هم كار می كنند. قوانین جمع آوری اطلاعات كه به وسیله سیاست های Event generator مشخص می شود ، تعیین كننده نوع فیلترینگ از روی حوادث و اطلاعات ثبت شده است.

Event Generator ، مثل سیستم عامل یا شبكه یا یك برنامه اجرایی ، تولید كنندهPolicy هایی هستند كه ممكن است یك واقعه ایجاد شده در سیستم عامل یا Packet های شبكه را ثبت كنند. این مجموعه به همراه اطلاعات Policy می تواند در یك سیستم محافظت شده یا خارج از شبكه قرار داده شود. در بعضی شرایط خاص هیچ محل مشخصی به عنوان محل حفظ اطلاعات ایجاد نمی شود مثل وقتی كه اطلاعات جمع آوری شده از وقایع مستقیما” به یك سیستم آنالیز ارسال می شود.
وظیفه سنسور فیلتر كردن اطلاعات است و حذف كردن هر داده غیر مرتبط كه از طرف منابع دریافت اطلاعات می رسد. تحلیل كننده برای دستیابی به این هدف از Policy های موجود استفاده می كند.تحلیل گر نكاتی مانند اثر و نتیجه حمله ، پرو فایل رفتارهای نرمال و صحیح و پارامترهای مورد نیاز مثل Threshold ها را بررسی می كند .

علاوه بر همه اینها بانك اطلاعاتی كه پارامترهای پیكربندی IDS را در خود نگه می دارد، روشهای مختلف ارتباطی را ایجاد می كنند.سنسور یا گیرنده هم بانك اطلاعاتی خاص خود را دارد، كه شامل تاریخچه پویایی از نفوذهای پیچیده بوده یا با توجه به تعدد حمله مورد تحلیل قرارگرفته است.سیستم تشخیص نفوذ می تواند به صورت متمركز مثل برقراری یك فایروال فیزیكی یا به صورت غیر متمركز انجام شود.یك IDS غیر متمركز شامل تعداد زیادی سیستم تشخیص نفوذ در یك شبكه بزرگ است كه هركدام از آنها با هم در ارتباط هستند.سیستم های پیچیده تر از ساختاری پیروی می كنند كه ماژول های مشابه برنامه های خود اجرایی دارند كه روی هر كامپیوتر اجرا می شوند.

عملكرد این سیستم جایگزین ، مونیتور و فیلتر كردن تمام فعالیتهای مرتبط با یك بخش محافظت شده است كه بتواند یك آنالیز دقیق و پاسخ متناسب از شبكه دریافت كند.یكی از قسمت های بسیار مهم IDS برنامه ای است كه به سرور آنالیز كننده گزارش می دهد ، DIDS(Database IDS) و دارای ابزار آنالیز پیچیده تری است كه حملات غیر متمركز را نیز شناسایی می كند. دلیل دیگری كه وجود دارد مربوط به قابلیت حمل و انتقال درچند منطقه فیزیكی است.علاوه بر این عامل جایگزین مشخص برای تشخیص و شناسایی اثر حمله های شناخته شده می باشد.یك راه حل ساختاری چند برنامه ای كه در سال ۱۹۹۴ ایجاد شد

AAFID یا Autonomous Agent for Intrusion Detection است. این ساختار از یك جایگزین استفاده می كند كه بخش به خصوصی از رفتار سیستم را در زمان خاص دیده بانی می كند. به طور مثال یك جایگزین می تواند تعداد دفعاتی را كه به سیستم Telnet شده تشخیص داده و در صورتی كه این عدد منطقی به نظر نرسد آنرا گزارش كند. یك جایگزین همچنین قابلیت ایجاد زنگ خطر در زمان وقوع یك حادثه مشكوك را دارد.جایگزین ها می توانند مشابه سازی شوند و به سیستم دیگر منتقل گردند.به غیر از جایگزین ها ، سیستم می تواند رابط هایی برای دیده بانی كل فعالیتهای یك كامپیوتر بخصوص داشته باشد.این رابط ها همیشه نتایج عملیات خود را به یك مونیتور مشخص ارسال می كنند. سیستم های مانیتور اطلاعات را از نقاط مختلف و مشخص شبكه دریافت می كنند و این بدین معنی است كه می توانند اطلاعات غیر متمركز را بهم ارتباط دهند و نتیجه گیری نهایی را انجام دهند.به انضمام اینكه ممكن است فیلتر هایی گذاشته شود تا داده های تولید شده را بصورت انتخابی در یافت نماید.

– See more at: http://www.idsco.ir/IDS-%DA%86%DB%8C%D8%B3%D8%AA%D8%9F#sthash.YE3P1rLJ.dpuf

 

Byadmin

پوتی Putty چیست؟

Putty برنامه‌ای برای سرویس‌گیرنده‌ها است که استفاده از پروتکل‌های SSH، Telnet و Rlogin از راه دور به سیستم تحت لینوکس متصل می شود. برای شرح این نرم‌افزار بایستی با برخی اصطلاحات آشنا باشیم:

درگاه(Port): شماره برنامه بر روی یک کامپیوتر خاص و یا به عبارت بهتر شماره شناسایی نرم‌افزار است. مثلاً معمولاً برنامه webserver دارای درگاه ۸۰ است.

نرم-افزار-شبکه-ای-پوتی-ارتباط-ریموت-Putty

SSH: استانداردی برای اتصال به هسته لینوکس می‌باشد این استاندارد اطلاعات را به صورت رمز شده ارسال می‌کند.

Telnet: امکانی است برای چک کردن وجود یک برنامه روی یک درگاه و اتصال به آن.

Rlogin: استاندارد دیگری برای اتصال به سیستم از راه دور.

Raw: استاندارد دیگری برای اتصال است که امروزه کمتر استفاده می‌شود.

به کمک Putty می‌توان در محیط ویندوز از راه دور به یک سیستم لینوکس اتصال برقرار کرد. برای این منظور ابتدا فایل Putty.exe را اجرا می‌کنیم. محیطی همچون شکل روبرو باز می‌گردد. از طریق بخش Category می‌توان تنظیمات این برنامه را جهت اتصال به سرور مورد نظر تغییر داد.

در بخش host name or IP address نام یا IP سیستم موردنظر را وارد می‌نماییم. برای اتصال امن‌تر از استاندارد SSH و درگاه پیش‌فرض ۲۲ استفاده می‌کنیم. می‌توان این نام و IP جهت استفاده مجدد ذخیره نمود. بعد از وارد نمودن IP سیستم، کلید Open را فشار می‌دهیم تا محیط Linux باز گردد. اگر با شبکه جهانی متصل نباشیم پیام خطایی می‌گردد. در صورتی که بدون خطا به سرور لینوکس متصل شویم در آغاز نام کاربری و رمز عبور پرسیده می‌شود: و آنگاه پرامت لینوکس که دارای فرم کلی زیر است ظاهر می‌گردد:

username@localhost

در صورت ریموت موفق شکل زیر ظاهر می شود که باید بر روی گزینه Yes کلیک می کنیم.

Putty-نرم-افزار-طراحی-و-راه-اندازی-شبکه

Byadmin

سیستم مدیریت امنیت اطلاعات ISMS

این روزها در ایران در حوزه امنیت اطلاعات و ارتباطات یک بحث بسیار داغ است و آن چیزی نیست جز سیستم مدیریت امنیت اطلاعات یا چیزی که ما به عنوان ISMS می شناسیم . این سیستم امروزه به شکل یک تب در بین سازمان های دولتی در آمده است و بسیاری از سازمان ها و شرکت ها حتی برای چشم و هم چشمی هم که شده بایستی به سراغ این سیستم بروند. این دقیقا همان مشکلی است که در خصوص سیستم مدیریت کیفیت یا ISO 9000 نیز پیش آمد. یعنی تب بالا می گیرد و همه به سراغش می روند و هر کس و ناکسی ادعای امنیت اطلاعات می کند. از اینها که بگذریم برویم به سراغ اصل سیستم مدیریت امنیت اطلاعات و چیستی آن ، در ابتدا واژه سیستم را تعریف می کنیم و کلیات موضوع سیستم مدیریت امنیت اطلاعات و اجزاء آن را برای شما شرح خواهیم داد پس تا آخر مقاله با ما باشید.

سیستم مدیریت امنیت اطلاعات یا ISMS

 

تعریف سیستم یا System و استاندارد


سیستم به معنی مجموعه ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده اند. در واقع سیستم مدیریت امنیت اطلاعات نیز از مجموعه ای از اجزاء تشکیل شده است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت شما می باشد در کنار هم جمع شده اند. سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا می باشد که ما به خودی خود نمی توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند و یک معیار و پایه و اساس برای اینکار بایستی تعریف شود. تعریف کردن این معیارها بر عهده یک سازمان بین المللی است که استانداردها در آن تهیه و تنظیم می شوند و این سازمان جایی نیست به غیر از سازمان ISO یا International Standardization Organization ، این سازمان وظیفه تدوین استاندارد های یکپارچه در دنیا را بر عهده دارد ، تا به حال هر استانداردی که شنیده اید در این سازمان تعریف و تدوین شده است ، قطعا با ISO 9000 یا استاندارد کیفیت کالا آشنایی دارید ، همین نوع استاندارد برای مدیریت سیستم امنیت اطلاعات با کد ISO 27000 تعریف شده است که در ادامه با آن آشنا خواهید شد.

ساختار یک استاندارد به چه شکل است ؟


همه استانداردها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین المللی ISO یک سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده سازی استانداردها مورد نیاز است ، برای مثال یکی از کنترل های سیستم مدیریت امنیت اطلاعات این است که بایستی بر روی امنیت فیزیکی درب های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل ها معیار را برای ما تشریح می کنند اما چگونگی انجام شدن آن را تعریف نمی کنند و این یک اصل است. هر استانداردی برای خود دارای یک سری کنترل است که در قالب سرفصل هایی ارائه می شوند. همیشه در تمامی سازمان ها لازم نیست تمامی این معیارها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده سازی کنید ، شما بر حسب سرویس و نیازی که دارید از بین این کنترل ها ، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده سازی می کنید. اما بعد از اینکه شما از بین کنترل های موجود ، آنهایی که مورد نیازتان هستند را انتخاب کردید ، بایستی آنها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه سازی و تدوین کنید . بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می آید که به آن خط مشی یا Policy گفته می شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می کنید. خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین می کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. توجه کنید که در این مستند چگونگی برقراری امنیت تشریح نشده است ، چگونگی انجام و پیاده سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می شود.

فواید استفاده از سیستم مدیریت امنیت اطلاعات ( ISMS ) چیست ؟


طبیعی است که شما زمانیکه به یک کشور خارجی سفر می کنید یکی از مهمترین معیارها برقرار بودن امنیت در آن کشور است ، همین موضوع باعث ترقیب شدن توریست ها برای سفر کردن و سرمایه گذاری در آن کشور می شود . در خصوص سازمان ها هم به همین شکل است ، اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت کند تجارتی دائمی و همراه با ریسک کمتر خواهد داشت ، تصور کنید شخصی قصد سرمایه گذاری در یک شرکت را دارد ، اگر این شرکت که در کار تولید مواد اولیه رنگ پلاستیک است فرمول ساخت رنگ را به درستی امن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن است بازار کار خود را از دست بدهد ، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش تهديدها می شود.پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمينان از سازگاري با استانداردهای امنيت اطلاعات و محافظت از داده ها ، قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات ، ايجاد اطمينان نزد مشتريان و شرکاي تجاري ،امکان رقابت بهتر با ساير شرکت ها و ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات شود.

سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است ؟


همانطور که اشاره کردیم ، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد ؟ بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات ، هر دستگاه یا سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:

  • مستند اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه ( Security Policy )
  • مستند طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه ( Risk Assessment )
  • مستند طرح امنيت فضاي تبادل اطلاعات دستگاه
  • مستند طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه ( Disaster Recovery)
  • مستند برنامة آگاهي رساني امنيتي به پرسنل دستگاه ( Awareness )
  • مستند برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه

 

مراحل پیاده سازی و دریافت استاندارد ISO 27001 یا ISMS چیست ؟


 

  1. سازمان قصد به دریافت استاندار ISO 27001 می گیرد . ( نیت می کنیم )
  2. این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می گذارد.
  3. شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می کند .
  4. بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می شود .
  5. قبل از اینکه سر ممیز اصلی ( Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی ، بازرسی های لازم را انجام می دهند .
  6. از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می شود برای انجام بازرسی های لازم.
  7. در صورت تایید صلاحیت و کسب حداقل امتیازات لازم ، گواهینامه صادر می شود.

 

مشکلات معمول در پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS )


  • بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.

 

  • امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیاده سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین المللی از چرخه ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی ، انجام ، آزمایش و اعمال مجدد طراحی استفاده می شود.

 

PDCA

 

  • ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس نا امنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.

 

  • امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.ITPro باشید.
Byadmin

مفهوم DDOS Attack و راههای جلوگیری از آن

مفهوم-DDOS-Attack-و-راههای-جلوگیری-از-آن

امروزه مقوله امنیت و شاخه های آن در فضای وب به امری حیاتی و همه گیر تبدیل شده است، مخصوصا برای صاحبان سایت ها و مهم تر از آن برای مدیران سرورهای وب، چرا که آسیب پذیری و ضعف امنیتی به عنوان عاملی بازدارنده در مسیر پیشرفت و توسعه اهدافشان در وب است، بعضا شاهد هستیم که افراد مختلف با انگیزه های متفاوت اقدام به هک و ایجاد اختلال در سایت ها و سرورها و در نتیجه باعث از دسترس خارج شدن و یا در حالتی پیشرفته تر از کنترل خارج شدن آنها می شوند، این افراد برای رسیدن به مقاصدشان از شیوه های متفاوتی استفاده می کنند که البته بسته به میزان هوشمندی مدیران سرور و رعایت نکات امنیتی در سیستم های مدیریت محتوا، خیلی از این روش ها به راحتی قابل پیشگیری است؛ اما آنچه در این مطلب قصد داریم به آن بپردازیم، آشنا کردن شما با نوعی از ایجاد اختلال در وب موسوم به حمله های DDOS یا distributed denial of service attack است که بیشترین شیوع را دارد.

 

How DDoS Attacks Work

According to this report on eSecurityPlanet, in a DDoS attack, the incoming traffic flooding the victim originates from many different sources – potentially hundreds of thousands or more. This effectively makes it impossible to stop the attack simply by blocking a single IP address; plus, it is very difficult to distinguish legitimate user traffic from attack traffic when spread across so many points of origin.

The Difference Between DoS and DDos Attacks

A Denial of Service (DoS) attack is different from a DDoS attack. The DoS attack typically uses one computer and one Internet connection to flood a targeted system or resource. The DDoS attack uses multiple computers and Internet connections to flood the targeted resource. DDoS attacks are often global attacks, distributed via botnets.

Types of DDoS Attacks

There are many types of DDoS attacks. Common attacks include the following:

  • Traffic attacks: Traffic flooding attacks send a huge volume of TCP, UDP and ICPM packets to the target. Legitimate requests get lost and these attacks may be accompanied by malware exploitation.
  • Bandwidth attacks: This DDos attack overloads the target with massive amounts of junk data. This results in a loss of network bandwidth and equipment resources and can lead to a complete denial of service.
  • Application attacks: Application-layer data messages can deplete resources in the application layer, leaving the target’s system services unavailable.
Byadmin

شنود جاسوسان آمریکایی و بریتانیایی از میلیون ها کاربر در سراسر جهان

شنود-جاسوسان-آمریکایی-و-بریتانیایی-از-میلیون-ها-کاربر-در-سراسر-جهان

بر اساس اسنادی که ادوارد اسنودن به تازگی منتشر کرده، مشخص گشته است که NSA و دفتر مرکزی ارتباطات دولت بریتانیا، با یکدیگر جهت نفوذ به مجموعه Gemalto همکاری داشته اند. اما نفوذ به یک شرکت خصوصی چرا باید تا این حد دارای اهمیت باشد که اسنودن را وادار کند، اطلاعات مربوط به آن را افشا نماید؟

بد نیست بدانید که شرکت Gemalto یکی از بزرگترین کمپانی های تولید کننده سیم کارت است که در سطح جهان، کاربران بسیاری از محصولات آن استفاده می نمایند.در نتیجه، نفوذ به چنین شرکتی به سازمان های اطلاعاتی اجازه می دهد تا به ارتباطات خیل زیادی از کاربران دسترسی پیدا کنند و عملیات شنود خود را به راحتی هرچه تمام تر به انجام رسانند.

در اواسط سال ۲۰۱۰، تیم مشترکی با همکاری NSA و همتای بریتانیایی ایجاد شد. این تیم، که وظیفه بهره برداری جاسوسی از دستگاه های موبایل را بر عهده داشت، پس از مدتی اندک توانست به شبکه داخلی Gemalto نفوذ پیدا کند.در مرحله بعد، جاسوسان آمریکایی و بریتانیایی، با استفاده از ابزار XkeyScore، که توسط NSA ساخته شده است، موفق شدند به محتوای ایمیل های کارمندان Gemalto دسترسی پیدا کنند. آنها امیدوار بودند که با خواندن ایمیل ها، بتوانند اطلاعاتی را به دست آوردند که در فرآیند شنود از کاربران، به کمکشان بیاید.

پس از مدتی جستجو در میان ایمیل های رد و بدل شده، جاسوسان سرانجام منبع طلا را پیدا کردند. آن ها دریافتند که با استفاده از KIS می توانند به راحتی هرچه تمام تر به محتوای تماس ها و پیامک های مشترکان Gemalto دسترسی پیدا کنند.

KIS در واقع یک شناساگر رمزنگاری شده است که بین سیم کارت شما و اپراتور سرویس دهنده، به اشتراک گذاشته می شود. جاسوسان با نفوذ به Gemalto توانستند به میلیون ها KIS دست پیدا کنند و از این طریق راه خود را برای شنود از تعداد بسیاری زیادی کاربر، هموار سازند.

با توجه به تعداد سیم کارت های Gemalto که در سراسر جهان مورد استفاده قرار می گیرد و تکنولوژی های پیشرفته NSA، پیش بینی می شود که حریم خصوصی کاربران بسیاری در این فرآیند نقض شده باشد. Gemalto هنوز در این رابطه اظهار نظری رسمی را منتشر نکرده است.

 

Byadmin

محصولات F5

 

شرکت F5 که کار خود را با تولید محصولات Load Balancer در سال 1996 آغاز نمود ، توانست در سال 2010 میلادی در زمره 100 شرکت برتر در حال رشد آمریکا قرار گیرد و امروزه محصولاتش در تمام کشورهای دنیا مورد استفاده قرار میگیرد.از مهمترین محصولات این شرکت BIG-IP نام دارد که در ابتدا صرفا جهت load balancing و local traffic management مورد استفاده قرار میگرفت ، ولی اکنون دارای قابلیت هایی نظیر : کنترل دسترسی ، امنیت سیستم ها و برنامه ها ، فیلتر نمودن ایمیل ها و فرشده سازی هوشمند نیز میباشد .به گزارش گارتنر (Gartner) شرکت F5 هموراه در چند سال اخیر به عنوان پرچمدار بازار فروش تجهیزات و محصولات Application Delivery Controller و Application Delivery Networking بوده است .  f5_networks_logo شرکت
مروری بر محصولات :از مهم ترین محصولات این کمپانی می توان به BIG-IP اشاره نمود که یک اپلاینس شبکه بوده ( مجازی و یا سخت افزاری ) و روی آن سیستم عامل معروف F5 به نام TMOS یا Traffic Management Operating System اجرا میگردد . بر روی این محصول ماژول های گوناگونی نصب میگردد که در نهایت ماهیت و عمکلکرد BIG-IP را تعیین میکند .از آن جمله می توان به موارد ذیل اشاره نمود :
 f5 networks-viprion-4480 محصولات ·         Local Traffic Manager (LTM): Local load balancing based on a full-proxy architecture.·         Global Traffic Manager (GTM): Global server load balancing using DNS.·         Link Controller: Inbound and outbound ISP load balancing.·         Application Security Manager (ASM): A web application firewall.·         WebAccelerator: An asymmetric or symmetric advanced caching solution for HTTP and HTTPS traffic.·         Edge Gateway: An SSL VPN.

·         WAN Optimisation Module: A data centre symmetric WAN optimization solution.

·         Access Policy Manager (APM): Provides access control and authentication for HTTP and HTTPS applications.

از محصولات دیگر میتوان به FirePass نیز اشاره نمود که یک دستگاه SSL VPN میباشد . SSL VPN نسبت به IPsec VPN مزایای قایل توجهی دارد . محصول FirePass به صورت مجازی نیز ارائه میگردد .خانواده ARX نیز از محصولات دیگر این کمپانی بوده گه جهت سرویس دادن فایل ها به صورت مجازی و به عنوان یک واسط با پروتکل های CIFS و NFS ارائه سرویس مینماید . گروه فنی و مهندسی وی سنتر فروش تجهیزات F5 را در ایران انجام می دهد  و با در اختیار داشتن چندین Source و Supplier قوی در کشورهای متعدد به همراه تجربه و دانش فنی خویش ، نه تنها امکان تامین سریع محصولات این کمپانی را با قیمت مناسب داشته ، بلکه امکان پشتیبانی و آموزش های لازم نیز میسر میباشد .شما میتوانید جهت دریافت قیمت و زمان تحویل با ایمیل inquiry@vcenter.ir این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید مکاتبه نمایید .

 

شرکت مهندسین مشاور تکین توسعه کیان | امنیت نرم افزارهای تحت وب | F5 ASM محصول

معرفی محصول F5 Application Security Manager


امروزه با رشد و گسترش و همچنین تنوع در ترافیک وب سایت ها و در نتیجه افزایش حساسیت داده ها ما با چالش امنیت سرویس های تحت وب و امنیت برنامه های کاربردی روبرو خواهیم شد . با توجه به، آسیب پذیری های امنیتی و حملات و تهدیدات پیشرفته و جدید در چندین لایه شبکه محافظت از دارای های اطلاعاتی امری اجتباب ناپذیر در سازمان شما خواهد بود در عین حال حفظ شهرت شما با محرمانه بودن، در دسترس بودن، و عملکرد مناسب برنامه های کاربردی است که باعث اعتبار و پایداری در کسب و کار شما می شود.

محصول F5 BIG-IP® Application Security Manager یکی از منعطف ترین محصولات در زمینه امنیت وب سرویس ها و برنامه های کاربردی تحت وب معرفی می شود و همچنین از محصولات پر فروش و محبوب در بازار فن آوری می باشد.

این فایروال امنیت برنامه های وب را در محیط های مختلف شبکه از جمله مجازی ، رایانش ابری و همچنین خصوصی و شبکه های ساخت یافته تامین می کند.

BIG-IP® ASM حفاظت کاملی را در مقابل تهدیدات و آسیب پذیری های ناشناخته در جهت با لا بردن امنیت برنامه های کاربردی تحت وب و سرویس تحت وب فراهم کرده و سطوح دسترسی مناسبی به منابع در راه حل های دیتا سنتر فراهم می آورد


ویژگی های محصول F5 BIG-IP® Application Security Manager
اطمینان از امنیت وب و پایداری سرویس تحت وب:

    • • امکان شناسایی تهدیدات و حملات تحت وب بر اساس مکان مبدا حملات و همچنین حملات انکار سرویس به صورت نمایش گرافیکی و مقابله با جلوگیری از تزریق SQL و تهدیدات بر اساس OWASP Top Ten
    • • محافظت حداکثری در مقابل تهدیدات و حملات بر روی برنامه های تحت وب web 2.0

اطمینان از کارایی و پایداری برنامه های کاربری:

    • • امکان امنیت پیشرفته برای برنامه های کاربردی و افزایش کارایی وکاهش هزینه ها بر اساس حفاظت حداکثری
    • • امکان پایش و مانیتورینگ رفتار ها و اعمال کاربران برنامه های کاربردی تحت وب
    • • امکان بررسی فایل های بارگذاری شده از نظر آسیب پذیری و اثرات بد افزار ها

اطمینان از پیاده سازی سیاست ها به صورت متمرکز:

  • • امکان تعریف و ویرایش و گسترش سیاست های امنیتی به صورت متمرکز و ساخت یافته و کاربر پسند
  • • سازگاری و مطابقت با انواع استاندارد های مرتبط شامل (PCI DSS, HIPAA, Basel II, SOX )

در حال حاضرگروه تکتا کام شرکتی است که خدمات مشاوره،فروش، نصب پیشرفته ، آموزش و پشتیبانی محصولات F5 را به صورت یک Package یا به صورت جداگانه ارائه می نماید و تمامی مراحل کار را به صورت مستند شده در اختیار کار فرما قرار می دهد

Byadmin

CEH چیست؟

CEH Course دوره آموزشی امنیت

مدرک CEH چیست ؟
آزمون و مدرك بین المللی CEH مخفف Certified Ethical Hacker متعلق به EC-Council یا International Council of Electronic Commerce Consultants می باشد .این سازمان كه در نیویورك آمریكا قرار دارد شامل گستره وسیعی از اعضا در سراسر دنیا می باشد.

تاسیس این سازمان با استناد به این واقعیت صورت گرفته است كه دنیای فن آوری اطلاعات به سوی تجارت الكترونیك در حال حركت می باشد و لذا مدارك و دوره های EC-Council نیز بر اساس تركیب تجارت و آموزش تكنیكال و ایجاد بستر مناسب جهت دستیابی به یك كسب و كار موفق بنا نهاده شده است.این مدارك بر اساس ابعاد انكار ناپذیر e-business از جمله open standards, scalability, availability و security ایجاد گردیده و این سازمان نماینده شركتهای بزرگی از جملهMicrosoft ، IBM ، Xerox ، SONY ، Motorola ، Quantum ، Cisco و Verizon می باشد. در حقیقت EC-Council در دنیای صنعت صدای جهانی متخصصین تجارت الكترونیك بوده و در این راستا گام بر می دارد.
یكی از معروفترین و كاربردی ترین مدارك این سازمان مدرك CEH یا مدرك تخصصی هكرهای قانونمند می باشد.این مدرك بر روی تكنیكها و تكنولوژیهای هك از دیدگاه دفاعی تكیه می نماید.تكنیكهای Hacking شامل راهها و روشهایی می باشد كه طی آن برنامه ها به نحوی طراحی می گردند كه كارهایی فراتر از آنچه از آنها انتظار می رود را در جهت سیاستها و پروسه های امنیتی ، انجام دهند.

سیلابس دوره

  • Introduction to Ethical Hacking
  • Hacking Laws
  • Footprinting
  • Google Hacking
  • Scanning
  • Enumeration
  • System Hacking
  • Trojans and Backdoors
  • Viruses and Worms
  • Sniffers
  • Social Engineering
  • Phishing
  • Hacking Email Accounts
  • Denial-of-Service
  • Session Hijacking
  • Hacking Web Servers
  • Web Application Vulnerabilities
  • Web-Based Password Cracking Techniques
  • SQL Injection
  • Hacking Wireless Networks
  • Physical Security
  • Linux Hacking
  • Evading IDS, Firewalls and Detecting Honey Pots
  • Buffer Overflows
  • Cryptography
  • Penetration Testing
  • Covert Hacking
  • Writing Virus Codes
  • Assembly Language Tutorial
  • Exploit Writing
  • Smashing the Stack for Fun and Profit
  • Windows Based Buffer Overflow Exploit Writing
  • Reverse Engineering
  • MAC OS X Hacking
  • Hacking Routers, cable Modems and Firewalls
  • Hacking Mobile Phones, PDA and Handheld Devices
  • Bluetooth Hacking
  • VoIP Hacking
  • RFID Hacking
  • Spamming
  • Hacking USB Devices
  • Hacking Database Servers
  • Cyber Warfare- Hacking, Al-Qaida and Terrorism
  • Internet Content Filtering Techniques
  • Privacy on the Internet
  • Securing Laptop Computers
  • Spying Technologies
  • Corporate Espionage- Hacking Using Insiders
  • Creating Security Policies
  • Software Piracy and Warez
  • Hacking and Cheating Online Games
  • Hacking RSS and Atom
  • Hacking Web Browsers (Firefox, IE)
  • Proxy Server Technologies
  • Data Loss Prevention
  • Hacking Global Positioning System (GPS)
  • Computer Forensics and Incident Handling
  • Credit Card Frauds
  • How to Steal Passwords
  • Firewall Technologies
  • Threats and Countermeasures
  • Case Studies
  • Botnets
  • Economic Espionage
  • Patch Management
  • Security Convergence
  • Identifying the Terrorist

ثبت نام دوره آموزشی امنیت CEH

Byadmin

چگونگی کارکرد کوکی ها

اکثر کوکی‌ها (Cookies) بسیار ساده کار می‌کنند ولی در چند سال اخیر توجه زیادی را به خود جلب کرده‌اند؛ مخصوصاً از سال ۲۰۰۰ که بحث‌ها و تحقیق‌هایی در مورد کنترل امنیت و حیطه شخصی کاربران انجام گرفت

کوکی‌ها جستجوی صفحات اینترنت را بسیار ساده کرده‌اند و مدیران سایت‌ها از آن‌ها برای جمع آوری اطلاعات مفید بازدید کاربران استفاده می‌کنند.

در اینجا به فن آوری ساده‌ کوکی‌ها و همین‌طور کاربردهای آن‌ها نگاهی می‌اندازیم.

دیدگاهی که بعضی از افراد از کوکی‌ها دارند بسیار دور از واقعیت است. اکثر افراد فکر می‌کنند که کوکی‌ها برنامه‌هایی هستند که اطلاعات را از کامپیوتر شما جمع آوری می‌کنند و به سایت خود می‌فرستند. این دیدگاه کاملاً غلط است چون نه تنها کوکی‌ها برنامه نیستند و به همین دلیل هم نمی‌توانند اطلاعات را جمع آوری کنند؛ بلکه هدف کوکی‌ها چیز دیگری است.

می‌توان کوکی را یک فایل متنی که سرور یک سایت روی هارد دیسک کامپیوترتان ذخیره و بعداً دریافت می‌کند، تعریف کرد. برای مثال هر سایت یک کد شناسایی مخصوص به هر بازدید کننده می‌دهد.

اگر از برنامه InternetExplorer در ویندوزXP برای دیدن صفحات وب استفاده می‌کنید، می‌توانید کوکی‌هایی که روی کامپیوترتان ذخیره شده‌اند را در اینجا:

C:\Documents and Settings\Cookies

ببینید. نام هر سایت را نیز می‌توانید از روی نام فایل و یا داخل متن کوکی ببینید.

اگر روی هر کدام از آن‌ها کلیک کنید می‌بینید که یک متن است که دارای یک کد است. توجه داشته باشید که این فایل متن نمی‌تواند هیچ کاری بر روی کامپیوتر شما انجام دهد و هر سایت تنها به کوکی خود دسترسی دارد و نه فایل و یا کوکی سایت دیگری.

کوکی‌ها کمک بزرگی به طراحان و مدیران سایت‌ها می‌کنند. کدی که به کامپیوتر شما داده می‌شود شامل یک کد وضعیت است که نشان می‌دهد جستجوگر اینترنت شما هنگام بازدید سایت در چه وضعیتی قرار دارد. اگر کد شناسایی در کامپیوتر شما وجود داشته باشد نشان می‌دهد که شما آن سایت را بازدید کرده‌اید.

با استفاده از کوکی سایت می‌تواند بداند دقیقاً چند نفر آن را بازدید کرده‌اند. همچنین اینکه چند بار یک کاربر سایت را بازدید کرده و چند نفر از بازدید کننده‌ها جدید هستند. اینکار با استفاده از یک بانک اطلاعاتی انجام می‌شود. هر بار که یک بازدید کننده جدید وارد می‌شود کد شناسایی که به آن داده می‌شود به بانک اطلاعاتی خود سایت می‌رود. دفعات بعدی که همان کاربر به سایت باز می‌گردد توسط یک شمارنده به بازدیدهای قبلی اضافه می‌شود.

بعضی از سایت‌ها را می‌توان به دلخواه خود و تنها برای بازدید خود از نظر ظاهری تغییر داد. برای مثال سایت MSN و Yahoo را می‌توان صفحه اصلی (HomePage) خود کرد و آن را برای بازدید خود تغییر داد. می‌توانید قسمت‌های مختلف هر سایت را به صفحه اصلی اضافه کرد. تعداد ایمیل‌ها را ببینید و آب و هوای شهر خود را در قسمتی از همین صفحه مشاهده کنید. اینکار برای هر کاربر با استفاده از کوکی انجام می‌شود. برای اولین بار که به سایت مورد نظر می‌روید و تغییرات را انجام می‌دهید، اطلاعات این تغییرات در اطلاعات سایت ذخیره می‌شود و از آن به بعد هر بار که سایت کوکی خود را می‌خواند تغییرات مورد نظر شما را اعمال می‌کند.

مشکلاتی نیز در استفاده از کوکی‌ها وجود دارد که فن‌آوری کوکی را زیر سوال می‌برد و آن را ناقص جلوه می‌دهد. گرچه با انجام چند کار ساده می‌توان این مشکلات را برطرف کرد. در اینجا به طرح تعدادی از این مشکلات می‌پردازیم.

فرض کنید که از سایتی برای خرید آنلاین استفاده کرده‌اید. اطلاعات خرید شما در کوکی ذخیره می‌شود و بار دیگر که وارد سایت می‌شوید اطلاعات شما روی جستجوگر می‌ماند. اگر به غیر از شما کسی دیگر از نام کاربری کامپیوترتان استفاده کند دفعه بعدی که به این سایت برود ممکن است اشتباهاً و یا به صورتی عمدی از اطلاعات کارت اعتباری شما استفاده کند. البته با ایجاد چند نام کاربری برای هر کدام از افرادی که از کامپیوتر استفاده می‌کنند می‌‌توانایم مشکل را رفع کرد چون کوکی‌های هر بازدید کننده در اطلاعات خود آن کاربر ذخیره می‌شود.

مشکلی دیگر این است که اگر کوکی‌ها پاک شوند دیگر توانایی شناسایی کاربران را ندارند و کد شناسایی جدیدی به کاربران می‌دهند. این کار هم اطلاعات آماری سایت را با مشکل روبرو می‌سازد و هم اگر سایت مورد نظری را به دلخواه تغییر داده‌اید آن تغییرات دیگر اعمال نمی‌شوند. به همین دلیل است که اکثر سایت‌هایی که این قابلیت را دارند از کاربران می‌خواهند که با دریافت نام کاربری و رمز عبور خود را در سایت مشترک کنند تا این اطلاعات با پاک کردن کوکی‌ها از بین نروند.

با وجود مخالفت‌ها و نگرانی‌هایی که در استفاده از کوکی‌ها وجود دارد، می‌بینید که استفاده از آن‌ها تا حدی بی خطر است و قابلیت‌های زیادی را در اینترنت ایجاد می‌کند.

Byadmin

مفهوم SSL و کاربرد آن

SSL چیست؟

ssl مخفف عبارت Secure Sockets Layer است، یک تکنولوژی رمزگذاری که توسط Netscape ابداع شده است. ssl یک ارتباط رمزگذاری شده بین سرور وب شما و مرورگر بازدید کننده از سایت شما ایجاد می کند که این ارتباط اطلاعات خصوصی شما را بدون مشکلاتی نظیر دزدیده شدن و یا دستکاری آنها انتقال می دهد.
برای داشتن قابلیت ssl بر روی وب سایت ، شما نیاز دارید که یک گواهینامه ssl (ssl cetificate) داشته باشید که شما را شناسایی کند و ssl را بر روی سرور شما نصب کند. استفاده از گواهینامه ssl بر روی سایت معمولا” با یک آیکون قفل در مرورگر نشان داده می شود ، البته این می تواند با نوار آدرس سبز رنگ نیز شناسایی شود. وقتی شما ssl را نصب کردیدبوسیله ی تغییر url از http:// به https:// می توانید یک سایت امن داشته باشید . وقتی که گواهینامه ssl بر روی وب سایت نصب شود ، شما می توانید مطمئن باشید اطلاعاتی که وارد می کنید (مانند اطلاعات تماس یا کارت اعتباری) ، امنیت داشته و فقط بوسیله ی سازمانی که دارنده ی آن وب سایت است مشاهده می شود.


میلیون ها کسب و کار اینترنتی از گواهینامه ssl استفاده می کنند تا وب سایتشان امنیت داشته باشد و به مشتریان اجازه دهند تا به آنها اعتماد کنند. به منظور استفاده از پروتکل ssl ، یک وب سرور باید از گواهینامه ssl استفاده کند. گواهینامه های ssl توسط متصدیان ssl (Certificate Authorities) (CAs) ارائه می شود.

ssl چیست

چرا به ssl نیاز داریم؟

اگر شما اطلاعات مهمی مانند شماره های کارت اعتباری یا اطلاعات شخصی را روی یک وب سایت انتقال می دهید ، باید امنیت انتقال را رمزگذاری ssl تأمین کنید. این امکان وجود دارد که هر تکه ای از اطلاعات بوسیله ی گواهینامه ssl امن شده باشد.
مشتری های شما به وب سایت شما بدون گواهینامه ssl اعتماد نمی کنند. بر طبق تحقیقات ، نزدیک ۷۰% از خریداران آنلاین خریدشان را فسخ می کنند چون به آن معامله اعتماد ندارند. در آن موارد ، ۶۴% نشان دادند که حضور یک مارک اعتماد باعث می شود که آن معامله را فسخ نکنند. یک گواهینامه ی ssl می تواند باعث شود که مردم وب سایت شما را رها نکنند و معنی این پول بیشتر برای شماست.

 

متخصص (متصدی) (Certificate Authority) (CA) گواهینامه چیست؟

متصدی گواهینامه ، گواهینامه های دیجیتالی را برای ادارات یا مردم بعد از اعتبار سنجی آنها صادر می کند. متصدیان گواهینامه باید سوابق دقیقی از آنچه صادر شده و اطلاعات استفاده شده جهت صدور آن نگه دارند.

هر متصدی گواهینامه یک بیانیه تمرین گواهینامه (Certification Practice Statement ) (CPS) ارائه می دهد که روش هایی که برای تأیید برنامه های کاربردی استفاده خواهند شد را معرفی می کند.
CA های تجاری خیلی زیادی وجود دارند که مسئولیت این سرویس ها را بر عهده دارند (Verisign). البته موسسات و دولت ها ممکن است CA های شخصی خودشان را داشته باشند و همچنین متصدیان گواهینامه رایگان نیز وجود دارند.
هر متصدی گواهینامه محصولات ، ویژگی های گواهینامه ی ssl ، سطوح رضایت مشتری و نیز قیمت های متفاوتی دارد.

انواع گواهینامه ssl

چطور می توان گواهینامه های ssl را بین متصدیان گواهینامه مقایسه کرد؟

گواهینامه های Verisign بهتر هستند، چون هزینه ی آنها خیلی زیاد است ، درسته؟ نه لزوما”. شما می توانید یک گواهینامه را با ۱۰۰ دلار بگیرید که دقیقا” همان چیزهایی را داشته باشد که یک گواهینامه ی ۸۰۰ دلاری از یک متصدی گواهینامه دیگر دارد. این دقیقا” همان رمزگذاری ssl است.
چرا تفاوت؟ اعتماد بزرگترین تفاوت است. چون Verisign قدمت بیشتری از سایر متصدیان گواهینامه دارد ، بیشتر مردم به آن ها اعتماد دارند بنابراین آنها می توانند مسئولیت بیشتری داشته باشند. در واقع شما اساسا” پول برند را می پردازید.

 

سازگاری SSL با مرورگرها

سازگاری مرورگر چیست؟

گواهینامه ای که شما برای امنیت وب سایتتان خریداری کرده اید، باید توسط گواهینامه های دیگری که در حال حاضر در بخش گواهینامه های مورد اعتماد (Trusted Store) مرورگرهای وب کاربران شما قرار دارد، امضای دیجیتالی شده باشد.در اینصورت مرورگر گواهینامه شما را (در واقع صادر کننده آنرا) با موارد دیگر که دیگر کاربران به آن اعتماد داشته اند و استفاده می کنند مقایسه میکند و اگر در آن لیست مورد مشابه باشد، بصورت خودکار آنرا می پذیرد، و لی در غیر اینصورت با نمایش پیغام هشداری به کاربر سایت این نکته را اعلام می کند که این گواهینامه قبلاً مورد تایید قرار نگرفته است، و کاربر باید آنرا بصورت دستی به لیست اضافه کند.

 

بنابراین سازگاری مرورگر به این معنی است که گواهینامه ای که شما خریداری می کنید باید بوسیله ی گواهینامه ی root ایی که در حال حاضر مورد اعتماد اکثر مرورگرهای وبی که مشتریان شما ممکن است از آنها استفاده کنند ، امضا شده باشد.
گواهینامه هایی که توسط صادر کنندگان بزرگ و معتبر صادر می گردند، تا ۹۹% توسط مرورگرهای شناخته شده و به کاربر اعلام میکند که این سایت و گواهینامه آن مورد تایید است، یا در واقع این گواهینامه با مرورگر سازگار است.

در آدرسهای زیر می توانید لیستی از صادر کنندگان معتبر و گواهینامه های آنها و مرورگرهایی که با آن سازگاری دارند را می توانید بیابید:

 

چند تا دامنه را می توان امن کرد؟

بیشتر گواهینامه های سرور ssl فقط یک دامنه یا زیر دامنه را امن خواهند کرد. برای مثال ، یک گواهینامه می تواند یکی از www.yourdomain.com یا mail.yourdomail.com را امن کند اما نه هر دو تای آنها را. البته گواهینامه همچنان روی نام دامنه ی متفاوت کار خواهد کرد، اما مرورگر وب هر زمان که ببیند نام دامنه در آدرس بار  با نام دامنه در گواهینامه یکی نیست (Common Name) هشدار خواهد کرد. اگر شما نیاز دارید چندین زیر دامنه روی یک نام دامنه را امن کنید ، شما می توانید یک گواهینامه wildcard خریداری کنید. می توانید با یک گواهینامه wildcard یک نام رایج *.yourdomain.com دامنه های www.yourdomain.com ، mail.yourdomain.com ، secure.yourdomain.com و غیره را امن کنید. این جا همچنین گواهینامه های ویژه ای مانند گواهینامه ارتباطات یکپارچه (UC – Unified Communications) برای Exchange Server 2007 مایکروسافت وجود دارد، که می تواند چندین نام دامنه متفاوت را در یک گواهینامه امن کند.

 

لوگوی SSL

مهر و موم (seal) اعتماد چیست؟ (لوگوی اعتماد)

مهر و موم اعتماد یک لوگو است که شما می توانید آن را روی وب سایت خود نمایش دهید تا تأیید کند شما بوسیله ی یک ارائه دهنده ی گواهینامه ویژه اعتبار سنجی شده اید و از گواهینامه ssl آن ها برای امن ساختن سایت خود استفاده می کنید. این لوگو می تواند روی صفحات امن و نا امن نمایش داده شود و برای صفحاتی که مشتری اطلاعات شخصی خود را وارد می کند خیلی مناسب است ، مانند صفحه ی خرید. اما شما میتوانید این لوگو را در هر صفحه ای که به ساختن اعتماد کمک می کند نمایش دهید. مهر و موم اعتماد هر متصدی گواهینامه متفاوت است و بعضی از آنها ممکن است خیلی حرفه ای به نظر برسند بنابراین شما باید در نظر بگیرید چه مهر و موم اعتمادی، اعتماد مشتریان شما را به حد اکثر می رساند.

 

لوگوی SSL

در انتها ضمن اینکه امیدواریم این مطلب هرچند خلاصه و اجمالی توانسته باشد در زمینه SSL اطلاعات خوبی در اختیار شما گذاشته باشد.

حال آیا به نظر شما این گواهینامه در سایتهای ایرانی تا چه حد می تواند برای جلب اعتماد کاربران ایرانی مفید باشد؟ و اصلاً کاربران چقدر به این موضوع توجه و اهمیت می دهند؟