اصول امنيت برنامه های وب

[B@RBOD]

سرويس ها


بر روی يك روتر پيكربندی شده هر پورت فعال با يك سرويس خاص مرتبط می گردد . به منظور كاهش ميدان عملياتی مهاجمان ، سرويس های پيش فرض كه به وجود آنان نياز نمی باشد را می بايست غيرفعال نمود . به عنوان نمونه سرويس های bootps و finger كه از آنان بندرت استفاده می گردد را می توان غيرفعال نمود . همچنين لازم است پورت های‌فعال بر روی روتر بررسی و پورت هائی را كه به وجود آْنها نياز نمی باشد را غيرفعال نمود.

[B@RBOD]

بازبينی و لاگينگ


به صورت پيش فرض ، روتر تمامی عمليات deny را لاگ می نمايد . وضعيت فوق نمی بايست تغيير داده شود .همچنين لازم است كه فايل های لاگ شده به صورت اداواری بررسی تا از وقوع حملات احتمالی پيشگيری بعمل آيد . برخی از روترهای مدرن دارای مجموعه ای از امكانات جديد به منظور انجام عمليات مختلف و آماری بر روی داده لاگ شده می باشند .

[B@RBOD]

تشخيص مزاحمين


به منظور پيشگيری از حملات مبتنی بر TCP/IP ، روتر می بايست قادر به شناسائی زمان بروز يك تهاجم و اعلام آن به مدير سيستم باشد . مهاجمان در ابتدا سعی می نمايند كه با اولويت های امنيتی يك شبكه آشنا شده و در ادامه با تمركز بر روی آنها حملات خود را برنامه ريزی می نمايند . با استفاده از سيستم های تشخيص دهنده مزاحمين ( IDS برگرفته شده از Intrusion Detection Systems ) ، می توان زمان و ماهيت وقوع يك تهاجم را بررسی نمود .

[B@RBOD]

خلاصه

در اين مطلب ضمن بيان عناصر كليدی موجود در زيرساخت يك شبكه به مسائل امنيتی مرتبط با روتر اشاره گرديد . به منظور پيكربندی ايمن روتر ، اقدامات متعددی را می بايست انجام داد :

• نصب آخرين patch و نسخه های بهنگام شده
  عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )
  بلاك كردن پورت های شناخته شده
  كنترل و نظارت بر ترافيك ورودی و خروجی شبكه
  مانيتورينگ ترافيك ICMP
  مديريت و كنترل ايمن اينترفيس ها
  غيرفعال كردن امكان مديريت از طريق وب
  استفاده از روتينگ ايستا
  غيرفعال كردن سرويس های استفاده نشده نظير bootps و Finger
  استفاده از از رمزهای عبور قدرتمند
  لاگ كردن فعاليت ها به منظور تشخيص و بررسی ادواری ترافيك غيرطبيعی
  مشاهده و كنترل ping بسته های اطلاعاتی با ظرفيت بالا
• غير فعال كردن بسته های اطللاعاتی RIP ( برگرفته از Routing Information Protocol در صورت استفاده بر روی روتر مرزی)

[B@RBOD]

بهنگام سازی و نصب patches


با عضويت در خبرنامه شركت هائی كه از محصولات نرم افزاری و يا سخت افزاری آنها در زيرساخت فن آوری اطلاعات استفاده شده است ،‌ می توان به سرعت از توصيه های امنيتی آنها آگاهی يافت . شركت های معتبر در صورت بروز مشكل در يك محصول سخت افزاری و يا نرم افزاری در اولين فرصت اقدام به ارائه patch مربوطه می نمايند و اين موضوع را از طريق پست الكترونيكی به اطلاع مشتركان خود می رسانند . توجه داشته باشيد كه همواره قبل از بكارگيری نسخه های بهنگام شده در يك محيط عملياتی ، آنها را تست و پس از حصول اطمينان از صحت عملكرد ، اقدام به نصب نهائی آنها در محيط واقعی نمود .

[B@RBOD]

فيلترينگ پورت ها بر روی فايروال روشی موثر و كارآمد برای بلاك كردن بسته های اطلاعاتی مخرب و payload می باشد. امروزه از فناوری های متعددی به منظور فيلترينگ بسته های اطلاعاتی استفاده می گردد . عملكرد اين فايروال ها می تواند ساده نظير فايروال های packet filter باشد كه با بررسی هدر IP در لايه شبكه قادر به فيلترينگ بسته های اطلاعاتی بر اساس آدرس مبداء ، آدرس مقصد و شماره پورت می باشند و يا فايروال های پيچيده نظير فايروال هائی باشد كه قادر به بررسی payload يك برنامه خاص می باشند . در استراتژی دفاع در عمق ، استفاده از فيلترهای لايه ای به عنوان يك روش موثر به منظور بلاك كردن حملات پيشنهاد می گردد .
فايروال ها برای فيلترينگ از روش های متعددی استفاده می نمايند :

• Packet filters : اين نوع فيلترها قادر به فيلترينگ بسته های اطلاعاتی بر اساس پروتكل ، آدرس مبداء و مقصد ، شماره پورت مبداء و مقصد و يا نام كامپيوتر می باشند . فيلترينگ بسته های اطلاعاتی IP ايستا می باشد و مبادله داده از طريق يك پورت خاص بلاك و يا امكان پذير می گردد . بسته های اطلاعاتی بلاك شده لاگ می گردد تا در آينده بتوان رفتار غيرطبيعی شبكه را در مقاطع زمانی خاص بررسی نمود . در لايه شبكه ، payload ناشناخته است و می تواند خطرناك باشد . بدين منظور لازم است از نوع های خاصی از فيلترينگ هوشمند استفاده گردد تا امكان بررسی payload و اتخاذ تصميم بر اساس قوانين كنترل دستيابی فراهم گردد .
  
• Circuit-level filters : در اين نوع فيلترها در مقابل بررسی داده payload ، اطلاعات مربوط به session بررسی می گردد . پس از ايجاد يك درخواست توسط سرويس گيرنده و ارسال مستقيم آن برای فايروال ( و يا gateway ) ، در پاسخ gateway يك ارتباط به سرويس دهنده برای وی را مقداردهی اوليه كرده و خود به عنوان يك كارگزار بين دو نقطه ارتباطی ايفای وظيفه می نمايد . اين نوع فيلترها با آگاهی از قوانين اتصال سطح برنامه ها اين اطمينان را ايجاد می نمايند كه صرفا" بين سرويس گيرنده و سرويس دهنده ارتباطات معتبر برقرار می گردد . همانگونه كه اشاره گرديد فيلترهای فوق payload واقعی را بررسی نمی نمايند و در مقابل ، به منظور حصول اطمينان از يكپارچگی بسته های اطلاعاتی و پيشگيری از سرقت session ، اقدام به شمارش تعداد فريم ها می نمايند .
  LI dir=rtl>Application filters : فيلترهای هوشمند application قادر به آناليز داده ارسالی برای يك برنامه بوده و می توانند پردازش های مختص برنامه شامل بررسی ، گزينش ، بلاك نمودن ، تغيير مسير و حتی تغيير داده را در زمان ارسال از طريق فايروال انجام دهند . اين نوع فيلترها قادر به ارائه يك سيستم تدافعی مناسب در مقابل حملاتی نظير دستورات غيرايمن SMTP ، تهاجم بر عليه سرويس دهندگان داخلی DNS ، حملات مبتنی بر HTTP ( نظير Code Red و Nimda كه از دانش در ارتباط با برنامه ها استفاده می كردند ) ، می باشند . به عنوان نمونه ، يك application filter قادر به بلاك نمودن يك دستور HTTP DELETE می باشد ولی امكان اجرای دستوری نظير يك HTTP GET را فراهم می نمايد . قابليت گزينش محتويات شامل تشخيص ويروس و آناليز واژه ای ، اين نوع فايروال ها را به عنوان گزينه ای مطلوب در وب مطرح نموده است .
  
• Stateful inspection : فيلترهای Application محدود به دانش Payload يك بسته اطلاعاتی می باشند و صرفا" سيستم تصميم گيری آنها بر اساس payload انجام می شود . فيلترهای Stateful از payload و context آن به منظور تشخيص قوانين فيلترينگ استفاده می نمايند . استفاده از payload و محتويات بسته اطلاعاتی توسط فايروال های فوق، يكپارچگی session و communication را تضمين می نمايد .
• Custom application filters : اين نوع فيلترها يكپارچگی مبادله اطلاعات بين سرويس دهنده و سرويس گيرنده را ايجاد می نمايند .

در صورت استفاده از فيلترينگ در چندين سطح شبكه ، امنيت محيط عملياتی بيشتر می گردد . به عنوان نمونه ، از يك packet filter می توان به منظور بلاك نمودن ترافيك IP بر روی هر پورتی غير از پورت 80 استفاده نمود و از يك application filter به منظور اعمال محدوديت در ترافيك بر اساس ماهيت توابع HTTP استفاده نمود ( به عنوان نمونه می توان HTTP DELETE را بلاك نمود ) .

[B@RBOD]

مميزی و لاگ


تمامی درخواست های ورودی و خروجی را می بايست صرفنظر از قوانين فايروال لاگ نمود تا امكان تشخيص تلاش برای نفوذ در شبكه و يا حملات موفيقت آميزی كه قبلا" اتفاق افتاده و امكان تشخيص آنها وجود نداشته است ، فراهم گردد . مديران شبكه در برخی موارد مجبور خواهند بود به منظور آگاهی از نحوه انجام يك تهاجم موفقيت آميز ، لاگ های سيستم را بررسی تا نقاط ضعف امنيتی موجود را ترميم و سيستم تدافعی خود را مستحكم تر نمايند . برای ايجاد لاگ و مميزی بكارگيری قوانين زير پيشنهاد می گردد :

• لاگ نمودن تمامی ترافيكی كه از طريق فايروال انجام می شود
  
• نگهداری ايمن و مطمئن فايل های لاگ و بررسی آن در بازه های زمانی خاص ( حتی المقدور می بايست سعی شود كه حجم فايل های لاگ زياد نگردد چراكه بررسی آنها به همان ميزان به زمان بيشتری نياز خواهد داشت ) .
• يكسان نمودن زمان و تاريخ فايروال با ساير تجهيزات شبكه ای

[B@RBOD]

شبكه های Perimeter
از يك فايروال می بايست در هر مكانی كه سرويس دهندگان شما با يك شبكه تائيد نشده تعامل دارند ، استفاده گردد . در صورتی كه سرويس دهندگان وب شما به يك شبكه back-end متصل می شوند ( نظير سرويس دهندگان بانك اطلاعاتی ) ، می بايست دو شبكه را از يكديگر تفكيك نمود . محل استقرار سرويس دهندگان وب ( ناحيه وب ) در معرض ديد عموم قرار دارد . بديهی است كه بروز خطر در ناحيه فوق نمی بايست شبكه های درونی سازمان را با مشكل مواجه نمايد . به صورت پيش فرض ، شبكه Perimeter می بايست تمامی ارتباطات خروجی را بجز آنانی كه انتظارشان را داريم ، بلاك نمايد .
مزايای يك شبكه Perimeter
شبكه های Perimeter دارای مزايای زير می باشند :

• هاست ها مستقيما" در معرض ديد شبكه های تائيد نشده نمی باشند .سرويس های فعال تنها نقطه حملات خارجی می باشند .
• از قوانين امنيتی می توان به منظور كنترل دستيابی بين شبكه ها استفاده نمود .

معايب يك شبكه Perimeter
شبكه های Perimeter دارای معايب زير می باشند :

• پيچيدگی شبكه
  مديريت و اختصاص آدرس IP
• ايجاد هماهنگی لازم بين معماری برنامه و طراحی شبكه Perimeter