نرم افزارهای امنیتی

نرم افزارهای امنیتی

نرم افزار امنیتی چیست:

 

اگر شک دارید که اتفاق نادرستی در کامپیوتر یا شبکه در حال رخ دادن است، چه کاری انجام می دهید؟ اگر بخواهید ترافیک شبکه را مورد بررسی قرار دهید، از چه چیزی استفاده می کند؟ ترافیک خوب را چگونه از ترافیک بد تشخیص می دهید؟ اگر با مشکلی برخورد کنید، چه کاری انجام می دهید؟ چگونه مشکل را حل نموده و مطمئن شوید که دیگر چنین مشکلی رخ نخواهد داد؟ پاسخ به هیچ یک از این سوالات ساده نمی باشد.

چگونه از داده های خود محافظت کنید؟ آیا به دلیل این که یک روز در میان اقدام به ایجاد نسخه پشتیبان می نمائید، داده های شما در امان هستند؟ آیا تا به حال نسخه های پشتیبان خود را تست نموده اید تا از درست بودن آنها اطمینان حاصل کنید؟ متأسفانه، اگر فرآیند و مراحل ایجاد نسخه پشتیبان از اولویت بالایی برخوردار نباشد، احتمال از دست دادن داده ها وجود دارد. ترکیبی از سخت افزار امنیتی، نرم افزار امنیتی و پیاده سازی دقیق سیاست های امنیتی می تواند در محافظت از یک شبکه و داده های آن بسیار موثر باشد.

 

۱ـ ردیابی شبکه :

اگر بدنبال اطلاعات در ارتباط با  رمزنگاری و امنیت شبکه هستید، می توانید به لینک قرار داده ده بر روی رمزنگاری و امنیت شبکه مراجعه فرمایید.

به دام انداختن بسته اگر از طریق به کار بردن یک حالت خاص از کارت شبکه که به حالت بی قائده (Promiscuous mode) موسوم است صورت پذیرد را ردیابی بسته (Packet Sniffing) نیز می گویند. یک کارت شبکه معمولاً بسته های مختلفی را دریافت می کند اما تنها بسته های انتخاب شده را در صورتی که بسته ها حاوی آدرس های MAC متناظر با کارت شبکه باشند، به لایه های بالاتر بسته TCP/IP انتقال می دهد.

وقتی کارت شبکه در حالت بی قاعده قرار می گیرد، به کلیه بسته ها اجازه می دهد تا به بسته TCP/IP عبور نمایند. WireShark از برنامه ای به نام WinPcap که کارت شبکه را در حالت بی قاعده قرار می دهد و وارد روتین شبکه بندی سطح پایین می شود تا از انتقال همه بسته ها توسط کارت شبکه جلوگیری نماید استفاده می کند.

نرم افزارهای امنیتی

حالت بی قاعده، به دام انداختن کلیه بسته های موجود در ترافیک شبکه را تضمین نمی‌کند و تنها بسته های موجود در کابل شبکه متصل به کامپیوتر بدام خواهند افتاد. یکی از روش های مربوط به محدودیت مبتنی بر سوئیچ، استفاده از یک سوئیچ مدیریت شده می باشد که امکان طراحی یک پورت قرینه (Mirror Port) را فراهم می کند.

نرم افزارهای امنیتی

۲ـ پویش پورت:

 

تعداد ۶۵۵۳۶ پورت UDP و ۶۵۵۳۶ پورت TCP بر روی پشته TCP/IP در حال اجرا بر روی یک کامپیوتر شبکه شده وجود دارد. با استفاده از دستور NETSTAT می توان فهرستی از پورت های مورد استفاده را به دست آورد. فرمان NETSTAT-A-N اسامی خاص را به آدرس های IP یا شماره های پورت متناظرشان تبدیل می کند.

فرمان NETSTAT-A-B-N فرآیندهای متناظر با پورت های باز را نشان می دهد. پورت های باز یکی از انواع آسیب پذیری ها ( Vulnerability ) می باشد. آسیب پذیری های شناخته شده بی شماری برای وب سرورهای موجود وجود دارد از جمله : حملات سر ریز بافر ( Buffer overflow attacks ) ، URL های اشتباه و سایر حملاتی که برای نفوذ به وب سرور و نصب یا تغییر آن جهت در دست گرفتن کنترل وب سرور .علاوه بر اسکن (Scan) یک سیستم یا شبکه ای از سیستم ها برای یافتن پورت های باز، فرآیند پویش باید برای جستجوی سایر انواع آسیب پذیری ها مثل وصله های اعمال نشده، هات فیکس ها (hotfixes) و آپدیت های امنیتی (Security Updates)، سرویس های مشکوک ( Questionable Services) و حساب های مدیریتی پیش فرض ( Default Administrator Account ) نیز گسترش یابد.

نرم افزار GFI LANguard یک پویشگر آسیب پذیری است که سیستم میزبان ( Host ) یا هر کامپیوتر یا کلیه کامپیوتر های روی یک شبکه محلی یا هر جایی بر روی انترنت را اسکن می کند.

۳ـ شکستن کلمات فروش:

 

شکستن کلمه عبور (Password Cracking) اصطلاحی است که متناظر با هر یک از روش های ممکن جهت یافتن کلمات عبور می باشد. متداولترین رویکردها عبارتند از : حدس زدن ، Brute Force و حملات دیکشنری (Dictionary Attacks).

 

ـ حدس یک کلمه عبور:

 

حدس زدن یک کلمه عبور می تواند یک رویکرد کاملاً تصادفی باشد. تنها نوشتن کلمات یا ترکیبی از حروف ، اعداد و سیمبل ها تا زمانی که یکی از آنها عمل نماید اما در  این روش احتمال زیادی برای موفقیت وجود ندارد.

 

ـ شکستن کلمه عبور با روش Brute Force:

 

روش Brute Force وقت گیرترین روش برای شکستن یک کلمه عبور می باشد. زیرا در این روش همه ترکیبات ممکن مانند حروف، ارقام و سیمبل ها مورد آزمایش قرار می گیرد. تا در نهایت کلمه عبور صحیح پیدا گردد. سیاستی که پشت کلمات عبور قدرتمند وجود دارد این است که کلمات عبور حداقل باید طولی برابر ۸ و ترکیبی از حروف کوچک، بزرگ، اعداد و کاراکترهای خاص باشند. کلمه عبوری که با این سیاست ایجاد شود را کلمه عبوری قوی (  Strong Password )  می گویند.

 

ـ حملات دیکشنری:

 

حمله دیکشنری (Dictionary Attacks) نام خود را از فهرست متداولی از کلمات عبور مورد استفاده برای شکستن یک کلمه عبور گرفته است. این فهرست حاوی کلمات عبوری می باشدکه معمولاً توسط بسیاری از کابران مورد استفاده قرار می گیرند.

روش هایی برای مقابله با شکستن کلمات عبور وجود دارد. نخست، یک کلمه عبور قدرتمند انتخاب کنید. یک کلمه عبور قدرتمند شامل ترکیبی از حداقل ۸ حروف، عدد و سیمبل می باشد. دوم اینکه کلمات عبور خود را در جایی یادداشت نکنید. در زمانی که کلمه عبور را وارد می کنید، اجازه ندهید کسی به دستان شما نگاه کند. هرگز کلمه عبور خود را به کسی ندهید. مرتباً کلمه عبور خود را تغییر دهیدو کلمات عبور قبلی را دوباره استفاده نکنید.

 

سیاست کلی در مورد کلمات عبور:

 

۱ـ تمام کلمات عبور در سطح سیستم باید حداقل سه ماه یکبار عوض شوند.

۲ـ تمام کلمات عبور سطح کاربر ( مانند Email یا کامپیوتر) باید هر شش ماه تغییر کنند که البته تغییر چهار ماهه توصیه می شود.

۳ـ حساب های کاربری که مجوز های سطح سیستم دارند باید کلمات عبوری داشته باشند که با کلمات عبور دیگر حساب های آن کابر متفاوت باشد.

۴ـ کلمات عبور نباید در ایمیل ها یا سایر شکل های ارتباطات الکترونیکی درج شوند.

۵ـ  باید رهنمود های زیر در تمام کلمات عبور سطح سیستم و سطح کاربر رعایت شود.

مشخصات کلمات عبور ضعیف عبارتند از: کلمه عبور شامل کمتر از هشت حرف است، کلمه عبور کلمه است که در یک فرهنگ لغت یافت می شود، کلمه عبور کلمه ای است که کاربرد عمومی دارد مانند: نام خانوادگی، حیوانات اهلی، دوستان، همکاران، شخصیت های خیالی و غیره، نام های و اصطلاحات کامپیوتری، فرمان ها، سایت ها، شرکت ها، سخت افزار و نرم افزار، نام شرکت یا کلمات مشتق شده از این نام، تاریخ های تولد و سایر اطلاعات شخصی مانند آدرس ها و شماره های تلفن، الگوهای کلمات یا شماره ها مانند aaabbb، qwerty، zyxwvuts، ۱۲۳۳۲۱ و غیره.

 

مشخصات کلمه عبور مناسب عبارتند از:

 

هم شامل حرف کوچک (A..Z) هستند، علاوه بر حروف از ارقام و سمبل ها هم در آنها استفاده می شود مانند ۰-۹ *پ$%&^@#}{\ و حداقل هشت حرف دارند، کلمه ای در هیچ زبان، گویش یا صنف خاص نیستند، بر پایه اطلاعات شخصی، اسم یا فامیل نیستند. اکثر سیستم های عامل دارای این قابلیت هستند که اگر پس از چند بار تلاش جهت ورود به حساب کاربری، نتوان به آن وارد شد، آن حساب کاربری را قفل نمایند. متاسفانه این قابلیت به طور پیش فرض غیر فعال می باشد.

 

۵ـ تشخیص نفوذ:

 

تشخیص نفوذ (Intrusion Detection) عبارت است از فرآیند تشخیص تلاش هایی که جهت دسترسی غیر مجاز به یک شبکه یا کاهش کارآیی آن انجام می شوند.در تشخیص نفوذ باید درک صحیحی از چگونگی انجام حملات پیدا کرد. سپس بنا بر درک به دست آمده، روشی دو مرحله ای را برای متوقف کردن حملات برگزید. ماهیت حمله عدم پذیرش سرویس یا DOS به این صورت است که کامپیوتر هدف از ارائه خدمات عادی خود سر باز می زند. یک عدم پذیرش سرویس پیچیده می تواند بر روی سیستم های کامپیوتری مهاجم زیادی توزیع گردد. این نوع حمله به حمله توزیع شده عدم پذیرش سرویس یا DDOS موسوم می باشد.

امضاء (Signature) مشخصه منحصر به فردی از یک حمله است که می تواند تشخیص داده شود. امضای یک حمله می تواند در دو جای مختلف شناسایی شود: به محض ورود به شبکه یا به محض ورود به کامپیوتر. این تفاوتی است که بین تشخیص نفوذ مبتنی بر شبکه و تشخیص نفوذ مبتنی بر میزبان وجود دارد.

 

ـ تشخیص نفوذ مبتنی بر میزبان:

 

در تشخیص نفوذ مبتنی بر میزبان (Host-based intrusion detection) هر کامپیوتر روی شبکه مسئول بررسی ترافیک خود و شناسایی امضاهای انواع مختلف نفوذ می باشد. پیاده سازی تشخیص نفوذ مبتنی بر میزبان می تواند بسیار گران تمام شود زیرا برای هر سیستم موجود در شبکه باید دیوار آتش، آنتی ویروس یا سایر نرم افزار های محافظتی را خریداری نمود.

نرم افزارهای امنیتی

روش تشخیص نفوذ مبتنی بر میزبان، یک روش غیر متمرکز نیز می باشد، زیرا تشخیص نفوذ بر روی سیستم های تکی انجام می شود. سیستم تشخیص نفوذ مبتنی بر میزبان می تواند حملات و تهدیداتی را روی سیستم های بحرانی که توسط سیستم های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند، تشخیص دهد. HIDS فقط از میزبان هایی که روی آن مستقر است محافظت می کند و کارت واسط شبکه (NIC) آنها به صورت پیش فرض در حالت با قاعده (non promiscuous mode) کار می کند.

HIDS ها به واسط مکانشان بر روی میزبانی که باید مورد نظارت قرار گیرد، از همه انواع اطلاعات محلی اضافی با پیاده سازی امنیتی ( شامل فراخوانی های سیستمی، تغییرات فایل های سیستمی و اتصالات سیستم) مطلع می باشند.مزیت دیگر HIDS توانایی سازماندهی در این باره این که نفوذ از کجا، توسط چه کسی و چه موقع اتفاق افتاده است را فراهم می کنند. این عمل بسیار مفید است چون هیچ گونه کم کاری و حذف وجود ندارد. در IDS های مبتنی بر میزبان احتمال هشدارهای نادرست بسیار کم است، چرا که اطلاعات مستقیماً به کاربران برنامه های کاربردی باز می گردد. این IDS ها ترافیک کمتری نسبت به NIDS داشته و تاکید بیشتری روی حسگرهای چندگانه مجزا و ایستگاه های مدیریت مرکزی دارند.

از معایب HIDS ها سازگاری کم بین سیستم عامل و در نتیجه نرم افزارهای چندگانه است. اغلب IDS های مبتنی بر میزبان تنها برای یک سیستم عامل نوشته می شوند. دیگر اینکه HIDS ها بعضی از حملات را که در لایه های پایین شبکه انجام می شوند، شناسایی نمی کنند.

 

ـ تشخیص نفوذ مبتنی بر شبکه:

 

تشخیص نفوذ مبتنی بر شبکه (Network-based intrusion detection) جهت تشخیص نفوذ و محافظت در مقابل آن به یک رویکرد متمرکز وابسته است. IDS می تواند یک کامپیوتر باشد که در حال اجرای نرم افزاری مثل Snort می باشد. Snort نرم افزاری است که ترافیک شبکه را برای شناسایی امضاء های حملات شناخته شده مورد بررسی قرار می دهد. هشدار نادرست (False Positive)، اخطاری است که وقتی ترافیک های معمولی و خوب با یکی یا چند تا از قوانین موجود برای ترافیک های بد مطابقت می کند، صادر می شود.

نرم افزارهای امنیتی

IDS می تواند یک سیستم غیر فعال (Passive System) یا یک سیستم فعال (Active System) باشد. یک IDS فعال ضمن کشف مشکل، خودش آن را بدون دخالت کاربر از طریق قطع ترافیک بد مرتفع می نماید. نام NIDS از این حقیقت گرفته شده است که به دلیل محلی که قرار می گیرد، بر تمام شبکه نظارت دارد. شناسایی و تشخیص نفوذ های غیر مجاز قبل از رسیدن به سیستم های بحرانی، بر عهده سیستم تشخیص نفوذ مبتنی بر شبکه است.

NIDS ها غالباً از دو بخش (Monitor) و عامل ( Agent) تشکیل شده اند. این دو بخش اغلب در پشت دیوار آتش و بقیه نقاط دسترسی برای تشخیص هر نوع فعالیت مجاز نصب می شود. ناظر (Monitor) یک دستگاه یا یک بسته نرم افزاری شبکه را به منظور یافتن بسته های اطلاعاتی مشکوک بررسی می کند.

یک عامل نرم افزاری است که به طور جداگانه روی هر یک از کامپیوتر های مورد نیاز قرار می گیرد و نقش ارسال اطلاعات را به صورت بازخوردی به ناظر بر عهده دارد. همچنین ممکن است بخش دیگری هم به نام کنسول مدیریت وجود داشته باشد که به شکلی مطمئن به ناظر متصل می شود و از آن گزارش دریافت می کند و نیز به تبادل اطلاعات مربوط به تنظیم پیکربندی سیستم می پردازد.

عامل های شبکه می توانند جایگزین زیر ساختار شبکه شوند تا ترافیک شبکه ر اجستجو کنند. نصب عامل ها و ناظر ها این مزیت را دارد که هر نوع حمله ای را در ابتدا از بین می برد. عموماً کارت شبکه کامپیوتر در حالت با قاعده ( Non promiscuous mode) کار می کند. در این حالت عملیات، تنها بسته هایی که در حال ارسال به آدرس MAC کارت شبکه هستند یا بسته های پخش شده جهت تحلیل به پشته پروتکل فرستاده می شوند.

نرم افزارهای امنیتی

NIDS باید در حالت بی قاعده ( Promiscuous Mode) کار کند تا بر ترافیک شبکه که در حال ارسال به آدرس MAC خودش نست نظارت داشته باشد. در حالت بی قاعده، NIDS ها می تواند روی همه ارتباطات در سگمنت های شبکه شنود کند. عملیات کارت شبکه NIDS در حالت بی قاعده، برای حفاظت شبکه ضروری است.

 

۵ـ دسترسی از راه دور:

 

روش های زیادی برای دسترسی راه دور به یک شبکه کامپیوتری وجود دارد. برخی از این روش ها استفاده از FTP، Telnet، Web access، email، dial-up و دسترسی بی سیم هستند. همه این روش ها وقتی که به شکل ناامنی مورد استفاده قرار گیرند، آسیب پذیر هستند. علاوه بر بدام انداختن (Capture) نام کاربری و کلمه عبور تمامی جلسات FTP، Telnet، Web access، email نیز می توانند به دام افتند و بدین ترتیب شنود کننده می تواند هر کاری که کاربر در حال انجام است را ببیند.

 

۶ـ سیاست ها و رویه های امنیتی:

 

سیاست های امنیتی ایجاد شده توسط یک سازمان به استفاده صحیح از سخت افزار، نرم افزار و سرویس هایی که توسط یک شبکه و کامپیوتر های روی آن شبکه فراهم می شود ارتباط دارد. درایورهای USB به روش متداولی برای انتقال داده ها مبدل شده اند. درایور های USB با چندین تهدید امنیتی درگیر هستند. آنها را می توان برای به سرقت بردن اطلاعات سری و محرمانه از یک شبکه به کار برد. آنها می توانند کدهای بدافزار را به شبکه وارد کنند. آنها می توانند با سیستم عامل قابل بوت خودشان پیکربندی شوند. برای آگاه سازی کاربران از حقوق و مسئولیت هایی که در قبال استفاده از کامپیوتر های موجود شبکه مؤسسه دارند، از AUP یا سیاست مورد استفاده مورد استفاده قابل قبول استفاده می شود. AUP قوانینی را مشخص می کند که در آنها نحوه استفاده از کامپیوترها و شبکه، فعالیت های غیر مجاز و ممنوع  تعیین می شوند.

AUP قوانینی را مشخص می کند که در آنها نحوه استفاده از کامپیوترها و شبکه ، فعالیت های غیر مجاز و ممنوع تعیین می شوند.AUP مؤلفه مورد نیاز یک برنامه امنیتی استفاده شده در یک مؤسسه می باشد که می تواند فعالیت های کاربرانی که قوانین را زیر پا می گذارند محدود نماید.سیاست ها و رویه ها دو چیز متفاوت هستند. یک سیاست امنیتی قوانین و انتظاراتی را مشخص کرده و پیامدهای حاصل از عدم رعایت آنها را نیز تعیین می نماید. یک رویه امنیتی مراحل لازم برای اجرای سیاست را توضیح می دهد. سیاست ها و رویه های امنیتی باید توسط گروهی از افراد که نماینده کلیه بخش های یک سازمان هستند و حداقل با دو هدف ایجاد شوند. هدف اول دستیابی به حفاظت کامل از مؤسسه است. هدف دوم هماهنگ و سازگار ماندن با قوانین محلی و دولتی است.

 

۸ـ روش های عیب یابی:

 

دیوار آتش می‌تواند تلاش هایی که برای دسترسی یه یک وب سایت ممنوع صورت می گیرد را کشف نماید. IDS می تواند الگوی ترافیکی که نمایانگر یک نوع حمله شناخته شده می باشد را شناسایی نماید. ردیاب بسته غالباً از DNS معکوس استفاده خواهد کرد تا یک آدرس IP به دام افتاده را در نام دامنه خود قرار دهد. دیدن شواهدی از یک DNS معکوس ، علامتی برای فعال بودن یک ردیاب بر روی سیستم می باشد.

 

نتیجه گیری :

 

در این مقاله در رابطه با انواع نرم افزارهای امنیتی و معرفی هر کدام از آنها توضیح داده خواهد شد. شرکت فناوران عصر شبکه آترا امیدواراست تا با انتشار مقاله نرم افزارهای امنیتی، گامی مؤثر در راستای شناخت شما عزیزان برداشته و شما را در راستای افزایش دانش IT  خود یاری نماید.

دیدگاه کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *