Skip to Content

آرشیو دسته بندی ها:Security

حملات DDoS

حملات DDoS

حملات DDoS همواره یکی از نگرانی های ارائه دهندگان سرویس های اینترنتی بوده است. به همین دلیل در این مقاله قصد داریم شما عزیزان را با این گروه از حملات سایبری آشنا کنیم. ولی پیش از شرح مفهوم حملات DDoS، لازم است توضیحاتی در مورد پدر آنها یعنی حملات DoS داده شود.

حملات DDoS

حملات DDoS

حمله DoS چیست؟

اصطلاح DoS مخفف واژه Denial-of-service است. حملات DoS به حملاتی گفته می شوند که در آنها فرد مهاجم تلاش می کند دسترسی کاربران به اطلاعات و یا سرویس های مورد نظرشان را مختل نماید. در این نوع، حمله مهاجم یا مستقیما به رایانه و شبکه قربانیان حمله می کند و یا به شبکه و سرور های ارائه دهندگان سرویس ها حمله می کند. این حملات خرابکارانه با اهداف گوناگونی ممکن است صورت گیرد. بعنوان مثال در بعضی حملات دسترسی کاربران به ایمیل های شخصی شان ناممکن می گردد، در برخی دیگر از باز شدن صفحات یک وب سایت توسط بازدیدکنندگان جلوگیری می شود و در بعضی دیگر امکان لاگین کردن به حساب های بانکی از بین می رود.

حملات DoS به طرق گوناگونی ممکن است انجام پذیرند. در رایج ترین نوع این حمله، فرد مهاجم سیل عظیمی از اطلاعات را به سمت شبکه هدف می فرستد و بصورت لحظه ای، بار زیادی را بر روی سرور یا سرور های هدف وارد می آورد. هنگامی که شما بعنوان یک کاربر معمولی آدرس سایتی را در مرورگر خود وارد می کنید و کلید اینتر را فشار می دهید، درخواستی از کامپیوتر شما به سمت سرور مربوطه، با هدف باز شدن صفحه مورد نظرتان، ارسال می شود. توجه داشته باشید که هر سروری ظرفیتی محدود دارد و در هر لحظه تنها می تواند به تعداد مشخصی از درخواست ها پاسخ دهد. مهاجمان از همین ظرفیت محدود برای انجام اعمال خرابکارانه خود استفاده می کنند و با ارسال درخواست های بسیار زیاد (بیش از ظرفیت پاسخ گویی سرور هدف)، بار سنگینی را بر روی سرور وارد کرده و باعث می شوند سرور نتواند به درخواست های کاربران پاسخ دهد. به این حالت denial-of-service گفته می شود چرا که فرد مهاجم از ارائه سرویس توسط سرور به کاربران جلوگیری کرده است. حملاتی که با این تفکر و هدف انجام می شوند در اصطلاح حملات DoS نامیده می شوند.

یکی دیگر از انواع رایج این دسته از حملات، حمله به ایمیل های افراد می باشد. در این گروه از حملات، مهاجم با ارسال حجم زیادی از هرزنامه ها به حساب ایمیل شما، دریافت ایمیل شما را دچار اشکال می کند. شما از هر سرویس ایمیلی که استفاده کنید، حجم محدودی از فضا را برای دریافت ایمیل های ورودی در اختیار خواهید داشت. مهاجمان با استفاده از این محدودیت و با ارسال تعداد زیادی ایمیل با حجم های بالا این ظرفیت محدود را مورد هدف قرار می دهند و از دریافت ایمیل توسط سرویس ایمیل مورد استفاده شما جلوگیری می کنند.

اکنون که با مفهوم حملات DoS آشنا شدیم به سراغ نوع پیشرفته تر این حملات یعنی حملات DDoS می رویم.

به چه حملاتی DdoS گفته می شود؟

اصطلاح DDoS مخفف Distributed Denial-of-service می باشد که همانطور که از ظاهر آن نیز برداشت می شود، نوع توزیع شده حملات DoS به شمار می رود. در حملات DoS مهاجم حملات خود را از طریق یک ماشین انجام می داد. این مسئله او را با محدودیت هایی مواجه می کند. یکی از این محدودیت ها شناسایی IP مهاجم توسط سرورها و بلاک کردن فرد مهاجم است. محدود بودن توان تخریبی فرد مهاجم هم یکی دیگر از این محدودیت ها بشمار می رود.

در حملات DDoS مهاجمان با استفاده از حفره های امنیتی موجود در کامپیوتر های کاربران، به سیستم های انان نفوذ کرده و بصورت نا محسوس از این سیستم ها استفاده سوء می کنند. آنها با استفاده از سیستم های فربانیان خود حجم بالایی از درخواست ها را به سمت سرور یا شبکه مورد هدف خود ارسال می کنند. در این حملات مهاجمان معمولا به چندین کامپیوتر نفوذ کرده و حملات خود را بطور همزمان از طریق آنها انجام می دهند. بهمین دلیل به این حملات توزیع شده گفته می شود. طبیعی است که حجم اطلاعات این نوع حملات و شدت آن نسبت به حملا DoS بسیار بیشتر خواهد بود.

روش های مقابله با حملات DoS و DDoS

برای مقابله با این حملات راهکار های اندکی وجود دارد که برخی از آنها را در ادامه می آوریم:

1- کنترل پیوسته ترافیک ورودی به سرور

2- افزودن فیلتر هایی به روتر ها، به منظور حذف بسته های دریافتی از منبع های مشکوک

3- استفاده از سرویس های مقابله با حملات DDoS

4- استفاده از فایروال یا دیواره آتش  به منظور محدود کردن ترافیک ورودی

اگر چه استفاده از سرویس های CDN به تنهایی جلوی وقوع این حملات را نمی گیرند، اما آستانه ظرفیت وب سایت و یا سرویس شما را در مواجهه با این حملات افزایش می دهند. با این وجود بکارگیری راهکار های گفته شده در سرویس های CDN برای مقابله با حملات DDoS همچنان یک ضرورت بحساب می آید که ارائه دهندگان سرویس های CDN باید به آن توجه ویژه داشته باشند.

ادامه مطلب

مفهوم آنتی ویروس

مفهوم آنتی ویروس

مفهوم آنتی ویروس

مفهوم آنتی ویروس

مفهوم آنتی ویروس: نرم‌افزار ضدویروس (Anti Virus) که با نام‌های ویروس‌ یاب و ویروس‌ کش هم شناخته می‌شود، نرم‌افزاری است که با مشاهده و بررسی محتوای پرونده‌ها به دنبال الگوهای آشنای ویروسها یا کرم‌های اینترنتی می‌‌گردند. در صورت مشاهده این الگوها که به آن امضای ویروس (Virus Signature) گفته می‌شود، از ورود آن به کامپیوتر شما و اجرا شدن‌اش جلوگیری می‌کنند و یا به شما هشدار لازم را می‌‌دهند و از شما دستور می‌گیرند که آیا فایل را حذف کنند و یا سعی نمایند آن را اصلاح و پاکسازی کنند. شرکتهای سازنده نرم‌افزارهای ضدویروس، با ساخته شدن ویروسهای جدید، الگوهای نرم افزاری آنها را کشف و جمع آوری می‌کنند و به همین علت اغلب لازم است تا این نرم‌افزارها هر از چندگاهی به‌روزرسانی (Update) شوند تا الگوهای جدید ویروسها را دریافت کنند. ویروسهای رایانه‌ای برنامه‌هایی دارای درجه‌ای از هوشمندی هستند و روشهای بسیاری وجود دارد که توسط آنها اطلاعاتی از رایانه‌ شما به نویسنده‌ ویروس یا افراد سودجوی دیگر ارسال شود. به‌عنوان مثال، شما در حال نگاه کردن به یک فیلم روی اینترنت هستنید، یا در حال خواندن یک نامه و بسیاری کارهای عادی دیگر… و بدون آنکه بدانید در همان زمان به ویروسی اجازه داده‌اید تا کامپیوتر شما را بررسی و تحلیل کند. بسیاری از اوقات هنگامی که شما آنها را شناسایی می‌‌کنید و از بین می‌‌برید، خبر ندارید که ویروس برای ورود مجدد و فعال شدن در کامپیوتر شما قبلا چاره لازم را اندیشیده است و راه‌های دیگری (Backdoors) برای حمله مجدد به رایانه یا شبکه رایانه‌ای شما ایجاد کرده است.

ادامه مطلب

مفهوم ISMS

مفهوم ISMS

مفهوم ISMS

مفهوم ISMS

ISMS چیست؟

برگرفته از کلمات زیر و به معنای سیستم مدیریت امنیت اطلاعات است.

Information Security Management System

ISO (سازمان بین المللی استاندارد سازی) و IEC (کمیسیون بین المللی الکتروتکنیک) در کنار هم سیستم تخصصی استاندارد سازی جهانی را تشکیل داده اند که بالاترین مرجع استانداردسازی ISMS است.

ISO و IEC در زمینه فناوری اطلاعات، یک کمیته فنی مشترک را تاسیس نموده اند که به آن ISO/IEC JTC 1 گفته می شود.

انتشار استاندارد به صورت استاندارد بین المللی مستلزم تایید از سوی حداقل 75% از آراء هیات ها و سازمان های ملی می باشد.

هدف از تهیه این استاندارد بین المللی، ارائه مدلی است که بر اساس آن بتوان یک سیستم مدیریت امنیت اطلاعات یا همان ISMS را ایجاد، اجرا، بهره برداری، پایش، بازنگری، نگهداری و بهبود و ارتقاء بخشید. و …

ادامه مطلب

پاک کردن ویروس Autorun

پاک کردن ویروس Autorun

پاک کردن ویروس Autorun

پاک کردن ویروس Autorun

راحترین راه نصب آنتی ویروس آویرا و چک کردن و پاک کردن این ویروس است .

روشهای دستی برای از بین بردن این ویروس

این روشها هم برای فلش مموری ها و هم برای درایوها صادق می باشد .

روش اول :

برای از بین بردن این ویروس شما نباید به هیچ عنوان روی درایو یا فولدری دابل کلیک کنید . چون این ویروس با دابل کلیک کردن روی درایو ها فعال می شود .

پس اولین کار این است که شما وقتی سیستم را روشن کردید به هیچ عنوان روی درایوی دابل کلیک نکنید .
قبل از انجام مراحل زیر شما باید حتما با یکی از انتی ویروسهای NOD32 یا کسپراسکای و Avastt سیستم را به طور کامل ویروس یابی کرده باشید . تا ابتدا ویروسهای احتمالی از سیستم شما پاکسازی شود .

دلیل این که چرا باید قبل از پاکسازی ویروس اتوران به طور دستی باید از انتی ویروس های گفته شده استفاده کرد را در روش دوم توضیح داده شده است .

ابتدا فلش مموری را به کامپیوتر وصل کنید . و سپس منتظر بمانید تا درایو مربوط به ان در my computer ظاهر شود . بعد از ظاهر شدن درایو مربوط به فلش مموری دیگر روی هیچ یک از درایو های کامپیوتر و حتی فلش مموری دابل کلیک نکنید .

حالا مراحل زیر را ابتدا انجام دهید .

ابتدا وارد My Computer شوید .
بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید
راهنمایی : اگر Folder Optionss شما وجود ندارد و ممکن است پاک شده باشد در زیر برنامه هایی برای برگرداندن ان معرفی کرده ام .

در پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .
کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید . حالا okk کنید

از این به بعد تا پاک سازی کامل این ویروس از داخل درایو ها روی هیچ کدام از درایو ها نباید دابل کلیک کرد بلکه باید با راست کلیک روی درایو و زدن open وارد درایو شوید .

(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شد و دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید)

ابتدا با راست کلیک روی درایو C و زدن OPEN وارد ان شوید و فایلی به نام autorun.inf را از داخل درایو هایتان پاک کنید . سپس با راست کلیک و زدن open وارد درایو های دیگر شوید و همچین فایلی را از داخل همه درایو ها پیدا کرده و پاک کنید .

بعد از این که شما همه فایلهای autorun.inf را از داخل همه درایو ها پاک کردید باید بلافاصله بدون انجام هیچ کار اضافی ( حتی نباید جایی کلیک کنید ) سیستم را Reset کنید .

حتما باید سیستم بلافاصله ریست شود .

فرض می کنیم فلش مموری یا RAM مربوط به موبایل شما نیز به این ویروس مبتلا شده باشد .

شما باید فلش مموری یا موبایل خودتون را به کامپیوتر متصل کنید و بعد از دیدن درایو مربوط به ان با راست کلیک و زدن open وارد ان شوید و فایلی به نام autorun.inf را از داخل ان پاک کنید و همین طور که فلش مموری یا موبایل شما به کامپیوتر متصل است سیستم را Reset کنید .

این اموزش مربوط به ویروس autorun.inf بود . اما همیشه این ویروس به تنهایی در درایو های شما قرار نمی گیرد بلکه ممکن است همراه خود چندین فایل exe نیز داشته باشد که اگر شما کامل مقاله را مطالعه فرمایید اسم انها گفته شده است که شما در حین پاک کردن ویروس autorun.inf باید انها را نیز همراه این ویروس از داخل درایو ها پاک کنید .

++++++++++++++++++++++++++++++++++

روش دوم :

برای این که متوجه شوید کامپیوتر شما به ویروس autorun.inf مبتلا شده است یا نه ، باید ابتدا فایلهای مخفی و سوپرهایدن را قابل روئیت کنید .

چون این ویروس به صورت مخفی و سیستمی می باشد .

برای این که فایلهای مخفی را بتوانید ببینید از روش اول برای از بین بردن autorun.inf استفاده کنید . اما گاهی اوقات به دلیل دچار شدن به یک ویروس دیگر شما قادر به دیدن فایلهای مخفی نیستید .
برای این کار کافی است مسیر زیر را دنبال کنید .

سپس در محیط cmd به root درایو ها رفته ( برای رفتن به ریشه یک درایو باید از دستور cd\ استفاده کنید ) و عبارت dir /ah را تایپ کنید با این کار تمامی فایلهای و فایلهای مخفی درایو به شما نشان داده خواهد شد . که شما با این روش می تونید ببینید که ایا کامپیوتر شما به ویروس autorun.inf مبتلا شده است یا نه .

یک روش برای از بین بردن ویروس autorun.inf استفاده از همین محیط cmd می باشد . که شما باید با استفاده از دستورات داس به root درایو ها رفته و با استفاده از دستور del /a/f autorun.inf این ویروس را از تمامی درایو ها خود پاک کنید . توجه کنید که ابتدا باید درایو c را پاک کرده و بعد بقیه درایو ها را پاک کنید . بعد از این کار بلافاصله کامپیوتر را ریستارت کنید . Start->Run->cmd.exe
گاهی اوقات بعد از این که شما به طور دستی اقدام به پاکسازی ویروس اتوران می کنید بعد از چند ثانیه این ویروس دوباره سر جای خود برمی گردد .

این مشکل به این دلیل است که جدیدا ویروس اتوران پیشرفت زیادی کرده و به تنهایی فقط شامل یک فایل notpad به اسم autorun.inf نیست بلکه همراه این فایل چند فایل exe نیز وجود دارد که به این فایل ضمیمه شده اند که نشان از پشرفت این ویروس داشته است .

چند تا از فایلهای exe که اخیرا همراه این ویروس در درایو ها ایجاد می شود و مانع از پاکسازی ویروس اتوران به طور دستی می شود فایلهایی به اسم ۳o.exe و sxs.exe و semo2x.exe و system.exe و m88coaim.exe می باشد .

متاسفانه فایل های exe را نمی توان به طور دستی پاک کرد به خاطر این که بعد از پاک شدن سریعا در عرض چند ثاینه یک جایگزین برای خود درست می کنند .

پس برای این که بتوانید به راحتی و به طور دستی ویروس اتوران را پاک کنید باید ابتدا فایهای exe ضمیمه ان را از بین ببریم برای این کار من انتی ویروس Avast را پیشنهاد می کنم که قادر به از بین بردن برنامه های exe ضمیمه شده به ویروس اتوران است مخصوصا فایل ۳o.exe . بعد از ان شما به راحتی می توانید به طور دستی فایل autorun.inf را از درایوها پاک کنید .

پس شرط از بین بردن ویروس اتوران به طور دستی این است که شما قبل از ان با انتی ویروس Avast سیستم را به طور کامل ویروس یابی کنید تا برنامه های exe همراه ویروس اتوران از بین بروند .

++++++++++++++++++++++++++++++++++

روش سوم :

این روش شاید دیگر به این راحتی ها جواب ندهد به این دلیل که ویروس اتوران پیشرفت کرده و دیگر به تنهایی فقط شامل یه فایل notpad نیست بلکه همراه خود چندین فایل exe نیز دارد . اما گفتن این روش هم خالی از لطف نیست .
یک روش هم برای از بین بردن ویروس اتوران این است که برنامه notpad را باز کنید و دستور زیر را در ان کپی کنید و سپس با نام و پسوند autorun.inf ذخیره کنید .

کد:

[AutoRun]

open=explorer.exep

سپس به مسیر tools->folder options->view رفته و تیک گزینه hide extensions for known file types را بردارید تا پسوند فایلهای نیز نمایان شود .

سپس فایلهای مخفی و سوپرهایدن را قابل روئیت کنید و فایل autorun.inf خود را در همه درایو ها کپی کنید با این کار اگر فایل اتوارن دیگری در درایو شما باشد اخطاری مبنی بر جایگزین کردن فایل به شما داده خواهد شد که شما با زدن گزینه yes پیغام را تائید کنید .

این کار را برای تمام درایو ها انجام دهید . با این کار فایل اتوران شما جایگزین ویروس اتوران خواهد شد .
همان طور که گفتم شاید این روش دیگر جواب ندهد .

+++++++++++++++++++++++++++++++

روش چهارم :

یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسه های temp1.exe و temp2.exe رو از بین ببرید . برای این کار ابتدا باید سیستم را به صورت safe mode راه اندازی کنید .

شما نباید روی درایو ها یتان دابل کلیک کنید چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدن پروسه های temp1.exe و temp2.exe می شود .

بعد از راه اندازی سیستم به صورت safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده و به پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe را حذف کنید .

البته در بعضی از نسخه های ویروس copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه ها را با راست کلیک باز کنید .

نکته : قبل از اینکار باید ابتدا این پروسه ها را از Task Manager پاک کنید . برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید .

ویروس autorun.inf با هر بار فعال شدن موجب میشه که دو فایل xcopy.exe و host.exe درون همون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.

شما نباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید .

برای تشخیص ویروس xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمی معادل ۳۲ کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهد بود .

حالا فایلهای سیستمی را مانند ورش اول از حالت هایدن خارج کنید و ویروس autorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهایی با عنوان xcopy.exe و host.exe بودند با خیال راحت پاک کنید .

برای از بین بردن ویروس autorun.inf از برنامه ای که بدین منظور ایجاد شده است نیز می توانید استفاده کنید .

برنامه به صورت فشرده شده میباشد ابتدا ان را از حالت فشرده خارج سازید و برنامه را اجرا کنید و سپس گزینه scan را بزنید تا شروع به پاک سازی این ویروس از درایو ها شما کند .

اگر فلش مموری یا موبایل شما نیز دچار این ویروس شده است ان را به کامپیوتر متصل نمایید و سپس این برنامه را اجرا کنید تا این ویروس را از داخل usb درایوهای شما نیز پاک سازی نماید .


copy.exe تروجانی است که گاهی اوقات در تمامی درایو های شما قرار میگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرا می کنه .

ادامه مطلب

نشانه های یک رایانه آلوده

نشانه های یک رایانه آلوده

نشانه های یک رایانه آلوده

نشانه های یک رایانه آلوده

همیشه آسان نیست که بگوییم آیا رایانه به خطر افتاده است یا خیر. بیش از چیزی که تاكنون بوده است، نویسندگان ویروس ها، کرم ها، تروجان ها و بدافزارهای جاسوسی(spyware) در مقیاس وسیع ، در حال مخفی سازی کدها و ِاعمال برنامه هایشان روی یک رایانه آلوده هستند. به همین دلیل ، پیروی از توصیه ارائه شده در این راهنما ضروری می باشد؛ مخصوصاّ نرم افزار امنیتی اینترنت را نصب کنید و مطمئن شوید وصله های امنیتی را روی سیستم عامل و برنامه ها نصب می کنید و به طور منظم از اطلاعات خود، نسخه پشتیبان تهیه نمایید.
تهیه فهرستی از نشانه های مشخصه از یک رایانه تحت خطر، بسیار دشوار است ؛زیرا نشانه های یکسان نیز می توانند توسط مشکلات سخت افزاری و یا نرم افزاری حادث شوند. موارد زیر تنها نمونه هايي از آنها می باشد:

 

  • رایانه شما غیرعادی رفتار می کند ؛یعنی به صورتی که قبلاً ندیده اید.
  • پیغام ها یا تصاویر غیرمنتظره مشاهده می کنید.
  • صداهای غیرمنتظره و به صورت تصادفی می شنوید.
  • برنامه ها به صورت غیرمنتظره اجرا می شوند.
  • دیواره آتش خصوصی شما به شما اعلان می نماید یک برنامه کاربردی تلاش نموده است به اینترنت متصل شود (و آن برنامه ای نیست که شما اجرا کرده اید).
  • دوستانتان به شما می گویند پیغام های الكترونيكي، از آدرس شما دریافت کرده اند؛ در حالی که چیزی برايشان ارسال نکرده اید.
  • رایانه شما به طور مکرر، هنگ می کند یا برنامه ها به کندی اجرا می شوند.
  • پیغام های خطای سیستمی زیادی را دریافت می کنید.
  • هنگامی که رایانه را راه اندازی می کنید، سیستم عامل بارگذاری نمی شود.
  • پیام هایی دریافت می کنید مبنی بر این که فایل ها یا پوشه های شما پاک شده اند یا تغییر یافته اند.
  • هنگامی که از در حال اجرا بودن برنامه ای مطلع نیستید، دسترسی به هارد دیسک به شما اعلان می شود (توسط یکی از چراغ های چشمک زن کوچک).
  • مرورگر وب شما به طور غیرعادی رفتار می کند .برای مثال ، نمی توانید پنجره مرورگر را ببندید

 

راهکارهای پاکسازی کامپیوتر از فایل های آلوده

  • اگر هر یک از موارد بالا را تجربه نمودید، وحشت زده نشوید. ممکن است یک مشکل سخت افزاری یا نرم افزاری داشته باشید تا یک ویروس، کرم یا تروجان. موارد زیر را باید انجام دهید:
  • اتصال رایانه خود را از اینترنت قطع کنید.
  • اگر سیستم عامل شما بارگذاری نشد،رایانه را در حالت safe mode راه اندازی نمایید (هنگام روشن کردن رایانه کلید F8 را نگه دارید. سپس ‘safe mode’ را از منویی که ظاهر می شود انتخاب نمایید) یا این که رایانه را از یک CD راه انداز، بوت نمایید
  • اگر در حذف برنامه های مخرب مشکلی دارید، وب سایت شرکت سازنده نرم افزار امنیتی را بابت اطلاعات درباره برنامه های کمکی،جهت پاک کردن آن برنامه مخرب بررسی نمایید
  • مطمئن شوید امضاهای نرم افزاری آنتی ویروس شما، به روز است. در صورت امکان، بسته های به روزآوری را به کمک رایانه ای که فکر می کنید به خطر افتاده است ،دانلود نکنید، بلکه از رایانه دیگری استفاده کنید(برای مثال به کمک رایانه یک دوست). این موضوع مهم است: اگر رایانه شما آلوده شده است و به اینترنت متصل می شوید، یک برنامه مخرب ممکن است اطلاعات مهمی به یک هکر راه دور ارسال نماید یا این که خود را به افرادی ارسال نماید که آدرس های ایمیل آنها در رایانه شما ذخیره شده است
  • اگر رایانه شما به یک شبکه محلی متصل است ،آن را از شبکه قطع کنید
  • کل رایانه را اسکن کنید
  • اگر یک برنامه مخرب پیدا شد، از رهنمودهای تهیه شده توسط فروشنده نرم افزار امنیتی اینترنت پیروی نمایید. برنامه های خوب امنیتی ،گزینه ای را برای از حالت آلوده خارج کردن فایل های آلوده و پاک کردن کرم ها و تروجان ها، ارائه می نماید. آنها همچنین یک فایل گزارش ایجاد می کنند که اسامی فایل های آلوده و برنامه های مخرب یافت شده در رایانه شما را فهرست می نماید
  • اگر نرم افزار امنیتی اینترنت در رایانه شما چیزی پیدا نکرد، سیستم شما احتمالاً آلوده نشده است. سخت افزار و نرم افزار نصب شده روی رایانه خود را بررسی نمایید (هرگونه نرم افزار بدون لیسانس و فایل های زاید را پاک کنید) و مطمئن شوید آخرین وصله های امنیتی سیستم عامل و برنامه ها نصب شده باشند
  • در صورت لزوم، با قسمت پشتیبانی فنی شرکت سازنده نرم افزار امنیتی برای مشورت بیشتر، تماس بگیرید. شما همچنین می توانید از آنها بپرسید که چگونه می توان یک فایل نمونه را برای بررسی بیشتر توسط یک ویروس یاب ارسال نمایید
ادامه مطلب

آموزش نصب و استفاده از ابزار IPTraff

آموزش نصب و استفاده از ابزار IPTraff

IPTraff یک ابزار تحت کنسول متن باز برای مانیتور شبکه در سیستم های لینوکسی میباشد. IPTraff میتواند تعداد کانکشن و ترافیک پروتکل TCP/UDP روی کارت شبکه را مانیتور کند. این ابزار میتواند شما را در برسی و نظارت درخواست های ارسال شده سمت سرور یاری نمایید. IPTraff از یک TUI کاربر پسند استفاده میکند و این رابط کاربری میتواند برای کاربران مبتدی بسیار مفید باشد. در این مقاله نصب IPTraf روی لینوکس توضیع RHEL/ CentOS و Ubunt/Debian آموزش داده خواهد شد.

iptraf

برخی از امکانات ارائه شده توسط این ابزار به شرح زیر میباشد :

  • مانیتور اطلاعات ترافیک IP که در شبکه شما در حال گردش میباشد. این شامل اطلاعات Flag های پروتکل TCP، شمارنده packet و بایت ها، مشخصات ICMP و نوع packet های OSPF میباشد.
  • این ابزار امکان نمایش اطلاعات کلی و جزئییات کارت شبکه مانند: ICMP، UDP، TCP، IP ، ارور های مربوط به IP، فعالیت های کارت شبکه، شمارنده حجم packet ها را دارا میباشد.
  • مانیتور سرویس TCP  و UDC امکان شمارش packet های ورودی و خروجی روی پورت های شناخته شده را به شما میدهد.
  • این ابزار از کارت شبکه های FDDI، ISDN، SLIP، PPP و Loopback نیز پشتیبانی میکند.
  • امکان فیلتر کردن نتایج
  • Full-Screen بوده و از منو و محیط کاربر پسند نیز برخوردار است.

آموزش نصب IPTraff در سیستم های Ubunto/Debian و Centos/RHEL

Centos/RHEL

برای نصب میتوانید به سادگی با استفاده از  دستور زیر IPTraff را نصب نمایید :

نمونه خروجی دستور بالا :

 

Ubuntu/Debian :

برای نصب روی توضیع Debian و Ubunto میتوانید از دستور زیر استفاده نمایید :

 

نحوه استفاده از ابزار IPTraff

بطور کلی فرم استفاده از این ابزار به شکل زیر میباشد :

برای شروع مانیتورینگ کارت شبکه eth0 باید از دستور زیر استفاده نمایید:

و برای مانیتورینگ تمامی کارت شبکه ها نیز میتوانید از دستور زیر استفاده نمایید :

خروجی دستور به شکل زیر خواهد بود:

iptraf-output

جهت دسترسی به منوی اصلی کافیست دستور iptraf را در محیط Command line وارد نمایید :

خروجی دستور بصورت زیر خواهد بود :

iptraf-menus


نمونه دستورات به همراه مثال

مشاهده امار کلی کارت شبکه :

مشاهده جزئیات اطلاعات کارت شبکه eth0 :

مانیتور TCP و UDP روی کارت شبکه eth0 :

نمایش شمارنده packet روی کارت شبکه eth0 :

 

جهت مشاهده راهنمای کامل این ابزار میتوانید Manual ان را با دستور man iptraff مطالعه نمایید تا بطور کامل با این ابزار اشنا شوید.

ادامه مطلب

آموزش نصب و راه اندازی فایروال CSF

آموزش نصب و راه اندازی فایروال CSF

نصب فایروال CSF

مقدمه

فایروال CSF به عنوان یک فایروال منبع باز و محبوب میتواند بسیاری از درخواست های شما از یک فایروال نرم افزاری را اجرا کند ، از نمونه قابلیت های این فایروال میتوان به موارد زیر اشاره کرد :
محدود کردن پورت ها در سرعت ، زمان و موقیت IP ورودی ، محدود کردن IP های ورودی متناسب با موقیت و زمان ، رابط گرافیکی در پنل هایی مانند Cpanel ، دایرکت ادمین و … ، جلو گیری از نفوذ هایی از طریق سرویس های SSH ، FTP ، Mailserver و … ، جلوگیری از حملات DDos (البته تاحدودی )
نکته : در برخی حملات DDos به دلیل سرعت بالا و تعداد IP های ورودی محاجم امکان اختلال حتی در مرکز داده مربوطه وجود دارد
در این مطلب میخواهیم به طور خلاصه نصب ، راه اندازی و کانفیگ فایروال نرم افزاری CSF را خدمت شما عزیزان آموزش دهیم ، ضمنا توجه داشته باشید که جهت نصب این فایروال نیاز به دسترسی روت بوده و بدون این دسترسی امکان نصب وجود ندارد.

۱- نصب

ابتدا جهت نصب نیاز است با استفاده از دستور زیر پکیج های مورد نیاز را نصب نمایید

سپس بسته نرم افزاری CSF را دانلود نموده و به صورت زیر در پوشه tmp قرار داده و اسکریپت نصب افزونه را اجرا نمایید
دستورات زیر را به صورت کامل اجرا نمایید

حالا شما میتوانید فایل ها نصبی را حذف نمایید با دستورات زیر :

 

۲- کانفیگ

جهت کانفیگ و پیکربندی این فایروال میتوانید فایل های مربوطه را تغییر دهید
در توزیع ها لینوکس عموما این فایل ها در آدرس /etc/csf/ قرار دارد ، در مورد برخی از این فایل ها توضیحاتی میدیهیم که به شرح زیر است :

  • csf.conf  –  فایل تنظیمات اصلی که در ادامه توضیحاتی راجع به آن خواهیم داد
  • csf.allow  –  یک لیست از IP هایی که اجازه ورود به سرور را دارند
  • csf.deny  –  یک لیست از IP هایی که اجاز ورود به سرور را ندارد
  • csf.ignore  –  یک لیست از IP هایی که میبایست فایروال آن ها را نادیده بگیرد و در هیچ شرایطی مسدود نکند
  • csf.*ignore  –  یک لیست از IP ها ، File ها ، User هایی که میبایست نادیده گرفته شود و مسدود نشود

نکته : در صورت تغییر در هر کدام از فایل های اعلام شده میبایست فایروال ریستارت شود که جهت انجام این کار میتوانید از دستور زیر استفاده نمایید :

در

ادامه مطلب

معرفی و آموزش نصب آنتی ویروس ClamAV

معرفی و آموزش نصب آنتی ویروس ClamAV

آنتی ویروس ClamAv یکی از نرم افزار های تامین امنیت سرور است که جهت اسکن و جستجوی بد افزار استفاده میشود. ClamAv رایگان بوده و معمولا در سرور های لینوکسی نصب و استفاده میشود. این انتی ویروس تقریبا قابل اعتماد بوده و حتی به همرا کنترول پنل های مانند Directadmin و Whm/Cpanel در قالب پلاگین قابل نصب ارائه میشود. در این پست نصب ClamAv و چگونگی استفاده از آن آموزش داده میشود. این انتی ویروس بصورت مولتی پلتفرم ارائه شده و میتوان ClamAv را روی مک و ویندوز نیز نصب نمود، البته در این پست فقط نصب و نحوه استفاده روی توضیع های لینوکسی مورد برسی قرار خواهد گرفت.

install clamav

نصب از طریق سورس | Installing from source

  • برسی ملزومات نصب
  • حذف نسخه های قدیمی Clamav
  • دانلود نسخه مورد نظر روی سرور
  • خارج کردن سورس از حالت فشرده
  • ایجاد گروه و یوزر clamav (باید دستی یک یوزر ایجاد نمایید)
  • اماده سازی گانفیگ
    • برای اماده سازی clamav-milter از دستور مقابل استفاده نمایید: configure –enable-milter/.
    • جهت اماده سازی با امکانات جدید ارائه شده از دستور رو به رو استفاده نمایید: configure –enable-experimental
  • دستور make را اجرا نمایید.
  • سپس دستور make install را اجرا نمایید.
  • پس از نصب دستور ldconfig را اجرا نمایید.
  • سپس سیستم عامل را ریستارت نمایید.
  • پس از reboot دستور freshclam  را جهت اپدیت نرم افزار اجرا نمایید.

ملزومات:

  • C compiler
  • zlib library

نصب از طریق پکیج | Install from packages

Debian :

  • apt-get update
  • apt-get install clamav

RHEL/Centos

  • yum install -y epel-release
  • yum install -y clamav

راهنمای استفاده از clamav در محیط کامند:

  • برای چک کردن تمامی فایل های روی سرور و نمایش همه فایل های اسکن شده از دستور زیر استفاده نمایید:
    • / clamscan -r
  • برای پک کردن همه فایل ها و نمایش فایل های الوده از دستور زیر استفاده نمایید:
    • / clamscan -r –bell -i
  • برای اسکن همه فایل ها و نمایش فایل الوده و اجرا در background از دستور زیر استفاده نمایید:
    • & / clamscan -r -i
  • جهت اسکن فایل های home/ از دستور زیر استفاده نمایید:
    • clamscan -r /home
  • جهت اسکن فایل های پوشه home/ و انتقال فایل های الوده به یک پوشه از دستور زیر استفاده نمایید:
    • clamscan -r –move=/home/USER /home/USER
  • برای اسکن فایل های در پوشه home/ و حذف فایل های الوده از دستور زیر استفاده نمایید:
    • clamscan -r –remove /home/USER
  • برای مشاهده راهنما و دیگر امکانات از دستور زیر استفاده نمایید:
    • clamscan –help

موفق و پیروز باشید.

ادامه مطلب

معرفی کامل Mod Security

معرفی کامل Mod Security

Mod Security

در این پست از سایت قصد داریم به معرفی کامل Mod Security بپردازیم. ابزار Mod Security یک فایروال برنامه های وب [Web Application Firewall – WAF] است که رایگان ارائه شده است و وب سرور را از حملات و هکر ها حفظ میکند. Mod Security به عنوام ماژول برای آپاچی ارائه شده و روی آن قابل استفاده میباشد. ۷۰% حملات در سطح Web Application یا همان WA میباشد به همین دلیل سازمان ها باید برای ایمن سازی ان تلاش کنند. WAP یا همان Web Application Firewall تولید شد تا یک لایه خارجی امنیتی بین سطح کاربر و برنامه های تحت وب باشد تا درخواست ها قبل از اینکه به WA برسد حملات شناسایی و جلوی ان گرفته شود. این ماژول بصورت Real Time ترافیک روی پروتکل HTTP را مورد برسی قرار داده و با این عمل حملات را قبل از اینکه به WA برسند شناسایی و منحدم میکند.

معرفی کامل Mod Security

معرفی کامل Mod Security

این ماژول هرچند بصورت پایه برای آپاچی منتشر شده اما بر روی برخی دیگر از وب سرور ها نیز قابل استفاده میباشد. اگر از وب سرور دیگری غیر از آپاچی استفاده میکنید میتوانید با یک جستجوی ساده متوجه شوید ایا وب سرور شما از Mod Security پشتیبانی میکند یا خیر !

لاگ کردن ترافیک HTTP

وب سرور ها به یک لاگ ترافیک پیشرفته مجهز میباشند در حالی که این مورد برای WA صدق نمیکند. خیلی ساده برنامه های تحت وب به درستی از درخواست ها و بدنه ان لاک نمی کیرد، این موضوع را اکثر متخصصان و فعالان زمینه هک و امنیت میدانند. به همین علت اکثر حملات اینترنتی مربوط به این لایه بوده و از درخواست POST استفاده میشودو سیستم شما یا سرور بصورت کور کورانه درخواست را انجام میدهد. Mod Security تمامی درخواست ها و پاسخ ها را لاگ میکند و زمانی ها تمامی تراکنش ها لاگ شود امکان برسی درخواست های مشکوک میسر خواهد شد. یکی از امکانات لاگ کردن این است که شما میتوانید مشخص کنید از چه چیزی لاگ گیری شود، تا مطمئن شوید از اطلاعات مورد نیاز شما لاگ گیری میشود. برخی از درخواست/پاسخ ها اطلاعات حساسی را داراست و Mod Security میتواند طوری تنظیم شود که قبل از نوشتن آن اطلاعات روی لاگ ان را ماسک کند.

مانیتور Real Time و شناسایی حملات

در ادامه امکان لاگ گیری Mod Security میتواند بصورت real time ترافیک روی پروتکل HTTP را جهت شناسایی حملات مانیتور نمایید. در این حالت mod security مانند یک نفوذی در بین وب سرور و WA قرار میگیرد، شما میتوانید زمانی که یک درخواست مشکوک به سمت برنامه ارسال شد اقدامات لازم را انجام دهید.

جلوگیری از حملات و پچ کردن مجازی

Mod Security میتواند در زمان حملات بسرعت واکنش نشان دهد تا دسترسی هکر یا بد افزار را به WA شما قطع کند.
بطور کلی سه طریق معمول برای این کار استفاده میشود.

  • Negative security model : مدل امنیتی منفی درخواست ها را برای وجود ناهنجاری، رفتار های غیر متعارف و دیگر خطراتی که ممکن است برای WA داشته باشد برسی میکند. این مدل برای هر درخواست ناهنجار یک Score یا نمره اختصاص داده به به همراه ان اطلاعات دیگری نظیر ادرس IP, جلسه برنامه [application sessions] و اکانت کاربر را نگهداری میکند. درخواست هایی که نمره ناهنجاری ان بالا باشد لاگ گیری و Reject میشود.
  • Positive security model : زمانی که مدل امنیتی مثب فعال و اماده به کار شد فقط درخواست های معتبر [Valid] پذیرش تمامی درخواست های دیگر Reject خواهد شد. برای فعال سازی این مدل نیاز است تا اطلاعات کافی در مورد WA خود داشته باشید. بهتر است این مدل برای WA هایی فعال شود که بصورت سنگین و با ترافیک بالا در حال استفاده بوده و در زمان های طولانی نیز اپدیت میشود تا اعمال تغییر در این مد نیز کاهش یابد.
  • Known weaknesses and vulnerabilities : زبان rule نویسی در Mode Security این ماژول را به یک ابزار External ایده آل برای Patch کردن WA ها تبدیل کرده است، این قابلیت مد سکیوریتی گاها پچ مجازی نیز نامبرده میشود. زمانی که یک اسیبپذیری در WA بوجود امد ممکن است رفع مشکل ماها طول بکشد که شما میتوانید با استفاده از ماژول mod security دسترسی را به بخشی از برنامه که مشکل دار است و یا درخواست هایی که ممکن است WA را تحدید کند را محدود سازید. با این کار نیازی نیست سورس کد WA را دستکاری نمایید. سیستم WA از طریق یک لایه امنیتی از خارج امن خواهد شد.

انعطاف در Rule نویسی

در قلب ماژول امنیتی Mod Security شما یک متور قاعده نویسی انعطاف پذیر [Flexible Rule Engine] و قدرتمند خواهید داشت. با کمی تحقیق توسعه میتوانید شما نیز Rule’s های مورد نیاز خود را برای این ماژول بنوسید تا زمانی که در مانیتور ترافیک موردی مشاهده شد، Mod Security انطور که شما میخواهید رفتار کند.(در آینده نزدیک Rules ها اموزش داده خواهد شد.) Rules ها استاندارد ارائه شده همراه مد سکیوریتی جامع بوده و این امکان را به شما میدهد تا بسیاری از نیازهای شما را جهت امن سازی WA پوشش میدهد. این قاعده ها بصورت گسترده ای کامنت شده و دارای راهنما میباشد که میتوانید از ان برای اهداف اموزشی نیز استفاده نمایید.

مدل Embedded جهت گسترش

Mod Security یک WAF بصورت embeddable میباشد، به این معنی که این ماژول به عنوان بخشی از ساختار وب سرور شما میشود که این مورد شامل آپاچی، IIS و Nginx میشود.
این متد شامل مزایای زیر است:

  1. هیچ تغییری در شبکه شما ایجاد نمیشود. تنهای چند دقیقه نیاز دارید تا مد سکیوریتی را به وب سرور خود اضافه کنید و به این دلیل که این ماژول طوری طراحی شده که کاملا Passive باشد شما به راحتی میتوانید امکاناتی را که نیاز دارید به ان به مرور زمان اضافه کنید، همچنین به راحتی میتوانید ان را غیر فعال و یا حذف نمایید.
  2. این ماژول مانند دیگر محصولات شبکه با یک خطا [SPOF یا No single point of failure] از سرویس دهی خارج نخواهد شد و نیاز نیست تا نگران این موضوع باشید.
  3. به این دلیل که این ماژول به عنوان بخشی از سیستم وب سرور کار میکند پیاده سازی راهکار های Load Balancing و Scaling در سرویس دهی مشکلی ایجاد نخواهد کرد، پس نیاز نیست تا زمانی که نیاز به Load Balancing ندارید نگران ان باشید.
  4. به این دلیل که مد سکیوریتی درون وب سرور فعال بوده و کار میکد سرباری انچنانی برای سرور و شبکه ندارد و کمترین میزان سرباری منابع را در زمان کار بر روی داده خواهد داشت.
  5. Mod Security هیچ مشکلی با دیتای فشرده و یا کد گذاری شده ندارد. بسیاری از سیستم های تخشخیص نفوز [IDS یا Intrusion detection system] با انالیز  ترافیک های SSL مشکل دارند! اما این مشکل برای مد سکیوریتی نخواهد بود به این دلیل که این ماژول درون وب سرور فعال است ترافیک ها بصورت رمزگشایی شده و decompressed شده به ان میرسد.

گسرش به عنوان زیرساخت شبکه

مد سکیوریتی میتواند به همان صورت معمول در حالت reverse proxy server نیز روی سرور کار کند که خیلی از کاربران از این روش استفاده میکند.در این حالت یک نصب میتواند تعدادی از وب سرور ها را از حملات حفظ کند.

سازگاری

این ماژول بر روی بسیاری از سیستم عامل ها قابل استفاده میباشد و در حال حاضر روی Linux, Windows, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X و HP-UX قابل فعال سازی و نصب میباشد.

معرفی کامل Mod Security

امیدوارم مطالعه این مقاله کمی با سازکار این WAF اشنایی پیدا کرده باشید. نصب و کانفیگ این ابزار در آینده اموزش داده خواهد شد.

ادامه مطلب

آشنایی با فایروال

آشنایی با فایروال

Firewall در فرهنگ كامپيوتر يعني محافظت از شبكه هاي داخلي در مقابل شبكه هاي خطاكار . معمولا يك شبكه كامپيوتري با تمام دسترسي ها در طرف و در طرف ديگر شما شبكه توليدات شركت را داريد كه بايد در مقابل رفتارهاي مخرب محافظت شود. چند سوال مطرح مي شود كه آيا واقعا نياز به محافظت از يك شبكه داخلي داريم و سوال ديگر اينكه چگونه از طريق يFirewall در فرهنگ كامپيوتر يعني محافظت از شبكه هاي داخلي در مقابل شبكه هاي خطاكار .

معمولا يك شبكه كامپيوتري با تمام دسترسي ها در طرف و در طرف ديگر شما شبكه توليدات شركت را داريد كه بايد در مقابل رفتارهاي مخرب محافظت شود. چند سوال مطرح مي شود كه آيا واقعا نياز به محافظت از يك شبكه داخلي داريم و سوال ديگر اينكه چگونه از طريق يك شبكه عمومي مانند اينترنت به آن دسترسي داشته باشيم .

دليل بسيار ساده اي دارد ؟ كه آن نياز به بقاء و رقابت است . اعتبار كمپانيها در اينترنت به تبليغات توليداتشان مي باشد . اينترنت به صورت شگفت انگيزي در حال رشد است .

مانند يك فروشگاه بسيار بزرگ بيشتر مردم به طرف اينترنت مي آيند وهمانطوريكه در يك فروشگاه بايد محصولات سالم باشند و بعد از فروش گارانتي بشوند اطلاعات و داده و انتقالات آنها نيز بايد به صورت امن و گارانتي شده باشد .

حال بايد مكانيزمهايي براي حفاظت از شبكه داخلي يا اينترنت شركت در مقابل دسترسي هاي غير مجاز ارائه دهيم

 

Firewall هاي مختلفي با ساختارهاي مختلف وجود دارد ولي عقيده اصلي كه پشت آنها خوابيده يكسان است . شما به شبكه اي نياز داريد كه به كاربرانتان اجازه دسترسي به شبكه هاي عمومي مانند اينترنت را بدهد و برعكس .

مشكل زماني پيش مي آيد كه كمپاني شما بدون در نظر گرفتن معيارهاي امنيت بخواهد به اينترنت وصل شود و شما در معرض دسترسي از طرف Server هاي ديگر در اينترنت هستيد. نه تنها شبكه داخلي كمپاني در مقابل دسترسي هاي غير مجاز آسيب پذير است بلكه تمام Server هاي موجود در شبكه كمپاني در معرض خطر هستند .

بنابراين به فكر محافظت از شبكه مي افتيد و اينجاست كه نياز به يك Firewall احساس مي شود .

به هر حال قبل از فكر كردن درباره Firewall بايد سرويسها واطلاعاتي كه مي خواهيد روي اينترنت در دسترس عموم قرار دهيد مشخص كنيد .

آشكارست كه در ابتدا شما مي خواهيد مطمئن شويد كه سرور شما امن است شما مي توانيد مجوزهاي دسترسي , انتقال فايل و اجراي راه دور و همچنين منع مجوزهاي ورود دوباره , Telnet , Ftp , SMTP وديگر سرويسها . اگر شما بخواهيد از اين سرويسها استفاده كنيد نياز به Firewall داريد

به هر حال Firewall چيست ؟ اساسا يك فايروال جداكننده شبكه هاي امن از ناامن در اينترنت است . Firewall تمام اتصالاتي كه از اينترنت به شبكه هاي محافظت وارد مي شوند را فيلتر مي كند .

قبل از تعريف اينكه چه نوع از Firewall ها بهترين مجموعه براي نيازهاي ماست , ما بايد توپولوژي شبكه را براي تعيين اجزاي آن مانند Hub ها , Switch ها , Router ها و Cabling آناليز كنيم تا بهترين Firewall كه مخصوص اين توپولوژي باشد را پيدا كنيم .

براي ايجاد امنيت در شبكه ما نياز به بررسي شبكه داخلي از لحاظ مدل لايه بندي ISO آن داريم بطوريكه مي دانيد Reapter ها و Hub ها در لايه اول , Switch ها و Bridge ها در لايه دوم و Router ها در لايه سوم , يك Firewall در تمام لايه هاي شبكه مي تواند عمل كند ( از جمله در هر هفت لايه ) لايه ها مسئول پاسخگويي به كنترل و ايجاد نشستها و بكارگيري آنها مي باشند . بنابراين با يك Firewall ما مي توانيم جريان اطلاعات را در طول ايجاد كنترل كنيم .

Firewall ها به ما امكان مديريت دروازه هاي ورود به Web را مي دهد و امكان تمركز روي پروژه اصلي را مي دهد .

 

The purpose of a Firewall

Firewall ها به تنهايي نمي توانند امنيت شبكه را برقرار كنند آنها فقط يك قسمت از سايت شما را امن مي كنند و به منظور امنيت شبكه بايد محدوده اي از شبكه را مشخص كنيد و نياز به اين داريد كه چيزهايي در شبكه كه بايد محدود شوند را تعيين كنيد ويك سياست امن را گسترش دهيد و مكانيسمهايي براي اعمال سياستهاي مورد نظر روي شبكه را ايجاد كنيد البته مكانيسمهايي پشت Firewall ها هستند كه مي توانيد به صورت عجيبي سطح امنيت را بالا ببريد .

اين مكانيسمها بعد از اعمال سياست امنيت مشخص مي شوند و نه قبل از آن . براي ايجاد يك مكانيسم امن براي محافظت از Web Site شما بايد يك Firewall براي نيازهاي خود مشخص كنيد وآن را پياده سازي كنيد.

ايجاد امنيت از سازماني به سازمان ديگر متفاوت است البته اين بستگي به چيزي كه آنها مخواهند توسعه دهند دارد . مثلا Firewall من اختصاصا روي UNIX , NT , Dos كار مي كند . شما دقيقا به بستر اجرايي مورد نظر خود دقت كنيد همانطور كه اجراي پروژه را مشخص مي كنيم بايد سطوح امنيت را نيز مشخص كنيم تا بتوانيم آن را پياده سازي كنيم . اين يك روش براي موفقيت در پياده سازي مكانيسمهاي امنيت است .

Firewall ها علاوه براين كه امنيت واقعي را برقرار مي كنند يك نقش اساسي در مديريت امنيت را پوشش مي دهند .

 

Firewall Role of Protection The

Firewall ها امنيت در شبكه را برقرار مي كنند و ريسك Server هاي روي شبكه را با فيلتر كردن كاهش مي دهند به عنوان مثال : شببكه داراي ريسك كمتري مي باشد به علت اينكه پروتكلهاي مشخص شده روي Firewall مي توانند روي شبكه اعمال وظيفه كنند .

مشكل فايروالها محدوديت آنها در دسترسي به و از اينترنت است و شما مجبور مي شويد كه از Proxy Server استفاده كنيد .

Firewalls Providing Access Control

سرورها مي توانند از بيرون قابل دسترس باشند مثلا كسي ويروسي را با Mail مي فرستند و بعد از اجرا , فايروال را از كار مي اندازد . بنابراين تا جايي كه امكان دارد از دسترسي مستقيم به سرورها جلوگيري كرد .

 

 

 

 

The Security Role of a Firewall

ما مي توانيم به جاي آنكه Server را محدود كنيم يك سرور را با تمام دسترسيهاي ممكن به اينترنت وصل كنيم و Server ديگر را پشت Firewall به عنوان Backup از سرور قبلي داشته باشيم . با هك شدن يا خرابي سرور اولي ما مي توانيم آن را بازيابي كنيم .

روشهاي ديگر براي اعمال امنيت روي شبكه ممكن است موجب تغييراتي روي هر Server شبكه شود ممكن است تكنيكهاي بهتري نسبت به Firewall ها باشد ولي Firewall ها براي پياده سازي بسيار آسان هستند براي اينكه Firewall ها فقط يك نرم افزار مخصوص هستند .

يكي از مزاياي Firewall ها استفاده آنها براي اينكه بتوانيم با Log كردن دسترسي به سايت آمار دسترسيهاي به سايت خود را مشخص كنيم .

 

Advantages and Disadvantages of Firewalls

Firewall ها داراي مزاياي بسياري مي باشند با اين وجود داراي معايب نيز هستند . بعضي از Firewall در مقابل محدود كردن كاربران و درهاي پشتي (Back door ) كه محل حمله هكرها ست كه امنيت ندارند .

 

Access Restrictions

Firewall ها براي ايجاد امنيت بعضي از سرويسها مانند Telnet , Ftp , Xwindow را از كار مي اندازند و اين تنها محدود به فايروالها نمي شود . بلكه در سطح سايت نيز مي شود اين كار را انجام داد .

Back-Door Challenges: The Modem Threat

تا حالا مشخص شد كه امنيت درهاي پشتي كمپاني به وسيله Firewall تامين نمي شود بنابراين اگر شما هيچ محدوديتي در دسترسي به مودم نداشته باشد اين در بازي براي هكرها ست

SLIP , PPP از راههاي ورودي مي باشند و سئوال پيش مي آيد كه اگر اين سرويسها وجود داشته باشند چرا از Firewall استفاده مي كنيم .

Risk of Insider Attacks

ريسك دسترسي اعضاي داخلي .

Firewall Components

Policy

Advanced Authentication

Packet Filtering

Application gateways

Network Security Policy

تصميم براي برپايي يك Firewall در شبكه دو سطحي مي باشد .

Installation , Use of the System

سياستهاي دسترسي به شبكه محدوديتهايي بر روي شبكه در سطح بالا به ما مي دهد . همچنين چگونگي به كارگيري اين سرويسها را نيز مشخص مي كند .

Flexibility Policy

اگر شما به عنوان گسترش دهنده يك سياست دسترسي به اينترنت يا مدير Web و سرويسهاي الكترونيكي معمولي هستيد اين سياستها به دلايل زير بايد انعطاف پذير باشند

اينترنت هر روز با سرعت غير قابل پيش بيني رشد مي كند . وقتي اينترنت تغيير تغيير مي كند سرويسهاي آن نيز تغيير مي كند . بنابراين سياستهاي كمپاني بايد تغيير كند و شما بايد آماده ويرايش و سازگار كردن اين سياستها بدون تغيير در امنيت اوليه باشد .

كمپاني شما داراي ريسكهاي متغير با زمان است و شما بايد در مقابل اين ريسكها امنيت پردازشها را تامين كنيد .

 

Service-Access Policy

سياستهاي دسترسي بايد روي ورودي كابران متمركز شود .

 

Advanced Authentication

با وجود استفاده از Firewall بسياري از نتايج بد در مورد امنيت از پسوردهاي ضعيف و غير قابل تغيير ناشي مي شوند .

پسوردها در اينترنت از راههاي زيادي شكسته مي شوند بنابراين بهترين پسوردها نيز بي ارزشند .

مسئله اين است كه پسوردهايي كه بايد با يك الگوريتم خاصي ساخته شوند مي توان با آناليز سيستم به پسوردها والگوريتم استفاده شده پي برد مگر اينكه پسوردها بسيار پيچيده باشند.يك كركر مي تواند با برنامه خود پسورد تعدادي از كاربران را امتحان كرده و با تركيب نتايج ساختار كلي الگوريتم استفاده شده را بدست آورد و پسورد كاربران مختلف را مشخص كند.

همچنين بايد فراموش نكرد كه بعضي از سرويسهاي TCP , UDP در سطح آدرس سرور هستند و نيازي به كاربران خاص خود ندارند .

به عنوان مثال يك هكر مي تواند آدرس IP خود را با سرور يك كاربر معتبر يكسان كند واز طريق اين كاربر يك مسير آزاد به سرور مورد نظر باز كند و اين كابر به عنوان يك واسط بين دو سرور عمل مي كند .

هكر مي تواند يك درخواست به كابر داده واين كاربر از سرور خود اطلاعات را به سرور هكر انتقال مي دهد.اين پروسه به عنوان IP Spoofing مي باشد.

بيشتر روترها بسته هاي مسير يابي شده منبع را بلاكه مي كنند و حتي مي توانند آنها از فيلتر Firewall بگذرانند.

 

 

Packet Filtering

معمولا IP Packet Filtering در يك روتر را بريا فيلتر كردن بسته هايي كه بين روترها مياني جابجا مي شوند به كار مي برند اين روترها بسته هاي IP را براساس فيلدهاي زير فيلتر مي كنند .

 

Source ip address

Destination ip address

Tcp/Udp source port

Tcp/Udp destination port

 

 

 

 

ادامه مطلب