tablighat1


آشنایی با فناوری های امنیتی – قسمت دوم


%d8%a2%d8%b4%d9%86%d8%a7%db%8c%db%8c-%d8%a8%d8%a7-%d9%81%d9%86%d8%a7%d9%88%d8%b1%db%8c-%d9%87%d8%a7%db%8c-%d8%a7%d9%85%d9%86%db%8c%d8%aa%db%8c-%e2%80%93-%d9%82%d8%b3%d9%85%d8%aa-%d8%af%d9%88%d9%85

در بخش قبل با فناوری های احراز هویت آشنا شدیم در این بخش در مورد فناوری های امنیتی لایه میزبان و کاربرد بحث خواهیم کرد.

امنیت میزبان و کاربرد

امنیت میزبان و کاربرد از طریق فناوری­ هایی تامین می­شود که روی سیستم­ های نهایی (end system) اجرا شده و از سیستم عامل، سیستم فایل، و کاربردها محافظت کند که در زیر به این فناوری­ ها اشاره شده است.

بررسی یکپارچگی سیستم فایل­ها

بررسی یکپارچگی سیستم فایل­ ها یکی از مهمترین فناوری­ های امنیتی برای میزبان­ ها و سرورهای مهم است. این فناوری با اجرای یک تابع درهم ساز (hashing) روی فایل­ های مهم سیستم، چکیده محتوای آن­ها را محاسبه و ذخیره می­کند. به این ترتیب اگر یک ابزار جاسوسی، ویروس یا هر برنامه دیگری سبب تغییر فایل مهمی شود، این تغییر درمحاسبه آتی چکیده فایل­ ها ثبت می­شود.

حفاظ­های میزبان

حفاظ­های میزبان در صورتی که بر روی یک PC کلاینت اجرا شوند حفاظ شخصی هم نامیده می شوند، وظیفه آن­ها همان چیزی است که از نامشان بر می­آید: حفاظی که روی یک میزبان اجرا می­شود و تنها از آن میزبان محافظت می­کند. بسیاری از حفاظ­ های میزبان شکل ساده­ای از IDS را نیز ارائه می­دهند.

نگهداری از حفاظ­ های میزبان روی تمام PCهای کلاینت (یا حتی فقط سیستم­ های مهم) از نظر اجرایی دشوار است. این حفاظ­ها همانند حفاظ­ های شبکه تنها به خوبی پبکربندیشان وابسته هستند. برخی از حفاظ­ ها با استفاده از ویزاردهایی کاربر را در پیکربندی صحیح یاری می­کنند؛ برخی دیگر از کاربر می­خواهند که حفاظ را در یکی از سه  وضعیت پیش فرض، محتاط یا وسواسی (paranoid) قرار دهد. هر قدر امنیت پیکربندی حفاظ افزایش یابد، تاثیر آن بر کاربر بیشتر خواهد بود.حفاظ­ ها معمولا به کاربر می­گویند که فلان کاربر قصد دسترسی به شبکه را دارد و از او کسب اجازه می­کنند؛ اما اغلب به جای نام کاربر به نام یک فایل اجرایی اشاره می­شود، که ممکن است کاربر را گیج کند و او نتواند تصمیم درست را بگیرد. این گونه اشتباه­ ها مشکلات را بیشتر می­ کنند و سبب می­ شوند که تعداد تماس­ ها با مرکز پشتیبانی شما افزایش یابد. حفاظ­ های میزبان به مرور زمان بهبود می­یابند. با توجه به فناوری­ های امروزی بهتر است از ساده­ترین پیکربندی برای PC کاربران استفاده کنید (مثلا ترافیک به بیرون مجاز باشد، و ترافیک به داخل مسدود شود).از حفاظ­ های میزبان تنها در صورتی باید بر روی سرورها استفاده کرد که افزایش چشم­گیری بر بهبود امنیت سیستم داشته باشد مثلا در صورتی که سرور پشت حفاظ شبکه باشد استفاده از حفاظ میزبان باعث بهبود جزئی امنیت سیستم خواهد شد اما نیازمندی­ های مدیریت را افزایش خواهد داد. به روز رسانی و مقاوم­سازی میزبان­ها بیش از نصب حفاظ میزبان در امنیت آن­ها تاثیر گذار است؛ بنابراین از حفاظ به عنوان جایگزینی برای روش­ های درست نظارت بر سیستم­ ها استفاده نباید استفاده کرد.

HIDS

HIDS به صورت فرایندی نرم­افزاری روی سیستم نصب می­گردد. سیستم سنتی HIDS به بررسی Log Fileهای ثبت شده، برای یافتن ازاطلاعات خاص می­ پرداخت. فرایند HIDS به صورت دوره­ای به دنبال Log Fileهای جدید ثبت شده می­گردد و آن­ها را با قواعد از پیش تنظیم شده مقایسه می­کند اگر Log File با قاعده­ای مطابقت کند، HIDS هشدار می­دهد. برای آنکه HIDS کار خود را به درستی انجام دهد لازم است اطلاعات لازم در Log fileها ثبت شده باشد. بنابر این درصورتی که اطلاعاتی که بیشتر جالب توجه است توسط برنامه کاربردی تولید شده باشد، لازم است آن اطلاعات توسط برنامه مذکور داخل Log Fileهای استاندارد قرار داده شود تا HIDS قادر به بررسی Log Fileهای برنامه کاربردی باشد.

اخیرا شکل جدیدی از HIDS ایجاد شده است که درخواست­ های رسیده به هسته سیستم عامل (Kernel) را بررسی می­کند. این نوع HIDSها بر طبق نشانه­ های حملات شناخته شده برنامه ریزی شده است به طوری که اگر درخواست سیستمی با هر یک از این نشانه ها تطبیق داشته باشد، هشدار خواهد داد.

هر دو نوع از HIDSها قادرند فایل­های روی سیستم را از نظر دستکاری کنترل کنند. این کار با پیاده­سازی Checksum رمز­نویسی روی فایل و با استفاده از یک تابع در­هم­سازی (Hashing) همانند MD5 انجام می شود.

مزیت­های HIDS

تا مادامیکه تهاجم صورت گرفته Log Message تولید می­کند، HIDS ترافیک حمله­ ای که به سیستم گسیل داده شده است را گم نخواهد کرد.

HIDS می­تواند موفق بورن تهاجم را تشخیص دهد .HIDS این کار را با بررسی Log Message ها و دیگر نشانه ­های موجود روی سیستم (از قبیل دستکاری فایل­ های پیکربندی یا System key) انجام می دهد.

HIDS می­تواند با تایین کاربران قانونی سیستمی، تلاش­ های غیر مجاز برای دسترسی را تشخیص دهد.

معایب HIDS

مهاجم می­تواند فرایند HIDS را شناسایی و غیر فعال کند.

سیستم HIDS فقط در مواردی اعلام خطر می­کند که درخواست­ های سیستم و محتویات Log Fileها با قواعد و نوشته­ های از قبل تعیین شده تطبیق داشته باشد.

برخی سیستم­ های HIDS روی پشتیبانی و سیستم عامل تاثیر می­گذارند این مسئله به HIDSای که در خواست­ های سیستمی را بررسی می­کند مربوط است.

پیکربندی HIDS ها را باید همانند NIDS ها به دقت تنظیم کرد تا  امکان اتهام غلط  (false positive) کاهش یابد و حملات به درستی کشف شود.

البته تنظیم HIDS کار ساده­تری است، چون این تنظیمات خاص یک میزبان است نه کل شبکه.

Antivirus

ضد ویروس میزبان از فناوری­ های مهم در امنیت کامپیوتر­ها به شمار می­رود. از این فناوری بیشتر از هر فناوری امنیتی دیگری استفاده می­ شود. بهتر است Antivirusها را روی تمام سرورها و میزبان­ های شبکه (مخصوصا سرورها و میزبان­های ویندوزی) نصب گردد.

مزایای استفاده از Antivirus

حفظ امنیت اطلاعات و داده­ ها .

جلوگیری از نفوذ ویروس­ ها و تروجان­ ها و کرم­ ها و برنامه­ های مخرب .

جلوگیری از نفوذ هکرها و کراکرها.

کاهش قابل توجه هزینه­ های تعمیر و نگهداری و پشتیبانی کامپیوترها و شبکه­ ها.

کاهش هزینه در مواقعی که ویروس­ ها یا دیگر برنامه­ های مخرب فایل­ ها و اطلاعات را پاک می­کنند و نیاز به بازیابی اطلاعات است و در این مواقع نیاز به صرف هزینه­ های زیاد از نظر زمانی و مالی می باشد تا شاید اطلاعات بازیابی گردند.

استفاده بهینه از منابع سیستم ( بسیاری از ویروس­ ها و برنامه­ های مخرب منابع سیستم را جهت استفاده اهداف خود اشغال می­کنند).

مشکل نصب مجدد سیستم عامل (بسیاری از ویروس­ ها و تروجان­ ها به فایل­ های سیستم عامل آسیب جدی وارد می­کنند و در این مواقع چاره­ای بجز تعویض سیستم عامل وجود ندارد)

به نقل از فرید جباری از نتورک پروف


برچسب ها:, , , , , , , , ,
ارسال شده در ترفند و آموزش امنيت شبكه | بدون نظر »

نظر بدهید

به صورت خودکار کلمات فینگلیش را به فارسی تبدیل کن. در صورتی که می خواهید انگلیسی تایپ کنید Ctrl+g را فشار دهید.