روشهايي برای حفاظت از شبکهها
بهروز کماليان
www.Systemgroup.net
در این مبحث قصد داریم بیشتر به جنبه امنیت سرورها از دیدگاه TCP/IP بپردازیم. ما برای ایمن کردن شبکه هایی که بر پایه TCP/IP هستند از حفاظت لایه کاربردی ، لایه سوکت حفاظت شده یا (ssl Secure Socket Layer) و حفاظت پروتکل اینترنت (IPSec) استفاده می کنیم .
حفاظت لایه کاربردی
TCP/IP شامل عملیاتهای حفاظتی نمی باشد و بجای آن برنامه هایی که TCP/IP را به کار می گیرند خودشان امنیت داده ها را به عهده می گیرند. اگر برنامه کاربردی به اطمینان نیاز داشت ، تهیه کنندگان برنامه کاربردی مجبور بودند قابلیت های پنهان سازی را به برنامههای کاربردی اضافه کنند. برای شناسایی تهیه کنندگان برنامه کاربردی گاهی اوقات از امضاي دیجیتالی استفاده می کنند تا مشخص کنند که داده از کجا می آید. وقتی که برنامه کاربردی بررسی از جامعیت داده را نیازمند بود مجبور بود تا یک سرجمع کدنویسی شده قوی را شامل شود. برنامه کاربردی داده را با استفاده از این تکنیک ها، قبل از فرستادن به پشته TCP/IP برای نقل و انتقال محافظت می کند. ابزار بسیاری برای حفاظت داده در لایه کاربردی توسعه یافته اند ولی فقط برای گونه هایی از برنامه های کاربردی مفیدند. از ابزارهایی که برای محافظت لایه برنامه کاربردی که به طور گسترده استفاده می شوند می توان به PGP و S/MIME و SSH اشاره کرد. PGP برای کد گذاری و امضا کردن دیجیتالی فایل ها که می توانند به وسیله بعضی از نرم افزارهای به اشتراک گذاری فایل مانند سیستم فایل شبکه یا Windows File Sharing یا FTP فرستاده شوند. هر دو نسخه رایگان و تجاری PGP امروزه برای email و فرستادن فایل به طور گسترده استفاده می شود. S/MIME یک استاندارد استفاده شونده گسترده برای حفاظت email در سطح برنامه های کاربردی است. اکثر کلاینت های مهم email امروزی مثل Microsoft Outlook ابزار S/MIME را پشتیبانی می کنند. SSH یاSecure Shell یک دسترسی از راه دور به کاربر می دهد تا اعلانی را در طول نشست امن فرمان دهد. نسخه رایگان SSH به همراه سورس کد آن در سایت www.openssh.com برای دانلود موجود است و نسخه های تجاری SSH در سایت www.ssh.com قابل دسترسی اند ولی به یک نکته امنیتی درباره SSH اشاره کنم که نسخه های پایین SSH و OpenSSH دارای حفره های آسیب پذیر هستند که به ما اجازه نفوذ به سرورهای Unix و Linuxو به دست گرفتن کنترل کامل سرور را از راه دور می دهند و چون SSH و OpenSSH به روی پورت 22 سرورهای Unix و سرورهای مبتنی بر کد باز نصب می شوند مورد علاقه هکرها هستند و اگر قرار باشد که SSH در سیستم ما نصب شود بهتر است از آخرین نسخه آن و به همراه Patch ها و اصطلاحات امنیتی ارائه شده ار سوی شرکت SSH استفاده کنیم و راه نفوذ به پورت 22 را با این کار ببندیم .
SSL ( The Secure Socket Layer )
سایتها و سرورهای معتبر در سراسر جهان از ابزار SSL به صورت گسترده استفاده می کنند. SSL به برنامه کاربردی اجازه اعتبار سنجی و کدگذاری کردن ارتباطات در طول شبکه را می دهند. برنامه کاربردی که به حفاظت نیاز داشته باشد باید از SSL استفاده کند تا همه فایل ها - بسته ها و داده هایی که در طول شبکه فرستاده می شوند را کدگذاری کند و اطلاعات را به پشته TCP/IP منتقل نماید. SSL می تواند یک راه اعتبارسنجی سرور به سرور را تهیه کند و هم می تواند اعتبارسنجی هم سرور و هم کلاینت مثل کامپیوتر شما را با تأمین اینکه هر دو طرف شناسنامه دیجیتالی را شناسایی کرده اند حمایت کند. برای اینکه کار SSL را بهتر درک کنید من یک مثال می زنم، بارها شده شما به سایت های مختلف از جمله یاهو و ... مراجعه کردید بدون اینکه به قسمت پایین مرورگر وب خودتان توجه کرده باشید، وقتی شما وب سایت حفاظت شده ای را باز می کنید و عکس کلیدی که در قسمت پایین و گوشه سمت راست مرورگر اینترنتتان به صورت قفل شده نشان داده می شود، Internet Explorer شما ارتباط SSL را با آن سایت برقرار کرده و مشخصاتش را تغییر داده است. وقتی که از HTTPS استفاده می کنید شما واقعاً پروتکل HTTPروی SSL که البته توسط TCP/IP حمل شده است را اجرا می کنید چون SSL اغلب با مرورگر وب و HTTP در ارتباط است و به همین دلیل امروزه در اکثر سایت های معتبر از SSL استفاده می شود. SSL امنیت بالایی را مهیا می کند اما برای اینکه در هر برنامه کاربردی مورد استفاده قرار گیرد ، هر برنامه سرور و کلاینت باید دوباره تهیه شوند تا قابلیت های SSL را شامل شوند و اگر شما حفاظت SSL را برایFTP یا Telnet می خواهید باید سرور و کلاینت برنامه کاربردی که SSL را ساپورت می کنند را پیدا یا خلق کنید . ولی چون در دنیای هکرها هیچ چیز غیر ممکن نیست می توان با استفاده از روشهایی مثل Sniffing و برنامه هایی مثلAchilles که ابزاری است برای ویرایش کوکی ها به سرورهایی که حتی ازSSL استفاده می کنند نفوذ کرد که در درس های بعدی طرز کار با این برنامه ها توضیح داده خواهد شد.
حفاظت پروتکل اینترنت IPSecure
IPSec نسخه ایمن پروتکل اینترنت یعنیIP است و امنیت را دقیقاً در پشتهTCP/IP ایجاد می کند. بنابراین برنامه هایی که ازIP استفاده می کنند با استفاده از IPSec می توانند ارتباط امنی را بدون هیچ تغییری در برنامه شان ( کاری کهSSL با تغییر در برنامه ها انجام می داد و وقت گیر بود ) ایجاد کنند. IPSec در لایهIP اعمالی از قبیل پیشنهاد اعتبار سنجی داده مبدأ ، خصوصی سازی ، جامعیت داده و حفاظت در برابر پاسخها را انجام می دهد. هر دو سیستمی که با نسخه های یکسانی از IPSec باشند می توانند به طور حفاظت شده در طول شبکه ، از جمله کامپیوتر من و سرور شما یا سرور من و دیواره آتش شما و یا فایروال شما و مسیریاب من ارتباط برقرار کنند. از آنجایی که IPSec در لایهIP عرضه شده است هر پروتکل با لایه بالاتر مانندUDP - TCP می تواند از IPSec بهره ببرند. مهمتر از همه اینکه هر برنامه کاربردی در بالای آن پروتکل لایه بالاتر می تواند از قابلیت های حفاظتی IPSec بهره ببرد. IPSec در نسخه 4 ، IP که من و شما هر روز در اینترنت استفاده می کنیم جاسازی شده است. IPSec همچنین در نسل بعدی آیپی به عنوانIP نسخه 6 ساخته شده است. IPSec از دو پروتکل تشکیل شده است ، هدر شناساییAH وESP که هر کدام قابلیت های حفاظتی خودشان را نشان می دهند. این نکته را هم ذکر کنم کهAH و ESP می توانند به طور مستقل و یا با هم در یک بسته استفاده شوند. ولی متأسفانه IPSec هنوز به عنوان یک ابزار عمومی برای حفاظت از ارتباطات در سراسر اینترنت استفاده نمی شود و دلایل مختلفی هم برای این کار وجود دارد که البته امیدواریم در آینده ای نزدیک بتوانیم از IP نسخه 6 که از IPSec به صورت ایمن تر بهره می برد در کشورمان ایران استفاده کنیم.
بهروز کماليان
www.Systemgroup.net
در این مبحث قصد داریم بیشتر به جنبه امنیت سرورها از دیدگاه TCP/IP بپردازیم. ما برای ایمن کردن شبکه هایی که بر پایه TCP/IP هستند از حفاظت لایه کاربردی ، لایه سوکت حفاظت شده یا (ssl Secure Socket Layer) و حفاظت پروتکل اینترنت (IPSec) استفاده می کنیم .
حفاظت لایه کاربردی
TCP/IP شامل عملیاتهای حفاظتی نمی باشد و بجای آن برنامه هایی که TCP/IP را به کار می گیرند خودشان امنیت داده ها را به عهده می گیرند. اگر برنامه کاربردی به اطمینان نیاز داشت ، تهیه کنندگان برنامه کاربردی مجبور بودند قابلیت های پنهان سازی را به برنامههای کاربردی اضافه کنند. برای شناسایی تهیه کنندگان برنامه کاربردی گاهی اوقات از امضاي دیجیتالی استفاده می کنند تا مشخص کنند که داده از کجا می آید. وقتی که برنامه کاربردی بررسی از جامعیت داده را نیازمند بود مجبور بود تا یک سرجمع کدنویسی شده قوی را شامل شود. برنامه کاربردی داده را با استفاده از این تکنیک ها، قبل از فرستادن به پشته TCP/IP برای نقل و انتقال محافظت می کند. ابزار بسیاری برای حفاظت داده در لایه کاربردی توسعه یافته اند ولی فقط برای گونه هایی از برنامه های کاربردی مفیدند. از ابزارهایی که برای محافظت لایه برنامه کاربردی که به طور گسترده استفاده می شوند می توان به PGP و S/MIME و SSH اشاره کرد. PGP برای کد گذاری و امضا کردن دیجیتالی فایل ها که می توانند به وسیله بعضی از نرم افزارهای به اشتراک گذاری فایل مانند سیستم فایل شبکه یا Windows File Sharing یا FTP فرستاده شوند. هر دو نسخه رایگان و تجاری PGP امروزه برای email و فرستادن فایل به طور گسترده استفاده می شود. S/MIME یک استاندارد استفاده شونده گسترده برای حفاظت email در سطح برنامه های کاربردی است. اکثر کلاینت های مهم email امروزی مثل Microsoft Outlook ابزار S/MIME را پشتیبانی می کنند. SSH یاSecure Shell یک دسترسی از راه دور به کاربر می دهد تا اعلانی را در طول نشست امن فرمان دهد. نسخه رایگان SSH به همراه سورس کد آن در سایت www.openssh.com برای دانلود موجود است و نسخه های تجاری SSH در سایت www.ssh.com قابل دسترسی اند ولی به یک نکته امنیتی درباره SSH اشاره کنم که نسخه های پایین SSH و OpenSSH دارای حفره های آسیب پذیر هستند که به ما اجازه نفوذ به سرورهای Unix و Linuxو به دست گرفتن کنترل کامل سرور را از راه دور می دهند و چون SSH و OpenSSH به روی پورت 22 سرورهای Unix و سرورهای مبتنی بر کد باز نصب می شوند مورد علاقه هکرها هستند و اگر قرار باشد که SSH در سیستم ما نصب شود بهتر است از آخرین نسخه آن و به همراه Patch ها و اصطلاحات امنیتی ارائه شده ار سوی شرکت SSH استفاده کنیم و راه نفوذ به پورت 22 را با این کار ببندیم .
SSL ( The Secure Socket Layer )
سایتها و سرورهای معتبر در سراسر جهان از ابزار SSL به صورت گسترده استفاده می کنند. SSL به برنامه کاربردی اجازه اعتبار سنجی و کدگذاری کردن ارتباطات در طول شبکه را می دهند. برنامه کاربردی که به حفاظت نیاز داشته باشد باید از SSL استفاده کند تا همه فایل ها - بسته ها و داده هایی که در طول شبکه فرستاده می شوند را کدگذاری کند و اطلاعات را به پشته TCP/IP منتقل نماید. SSL می تواند یک راه اعتبارسنجی سرور به سرور را تهیه کند و هم می تواند اعتبارسنجی هم سرور و هم کلاینت مثل کامپیوتر شما را با تأمین اینکه هر دو طرف شناسنامه دیجیتالی را شناسایی کرده اند حمایت کند. برای اینکه کار SSL را بهتر درک کنید من یک مثال می زنم، بارها شده شما به سایت های مختلف از جمله یاهو و ... مراجعه کردید بدون اینکه به قسمت پایین مرورگر وب خودتان توجه کرده باشید، وقتی شما وب سایت حفاظت شده ای را باز می کنید و عکس کلیدی که در قسمت پایین و گوشه سمت راست مرورگر اینترنتتان به صورت قفل شده نشان داده می شود، Internet Explorer شما ارتباط SSL را با آن سایت برقرار کرده و مشخصاتش را تغییر داده است. وقتی که از HTTPS استفاده می کنید شما واقعاً پروتکل HTTPروی SSL که البته توسط TCP/IP حمل شده است را اجرا می کنید چون SSL اغلب با مرورگر وب و HTTP در ارتباط است و به همین دلیل امروزه در اکثر سایت های معتبر از SSL استفاده می شود. SSL امنیت بالایی را مهیا می کند اما برای اینکه در هر برنامه کاربردی مورد استفاده قرار گیرد ، هر برنامه سرور و کلاینت باید دوباره تهیه شوند تا قابلیت های SSL را شامل شوند و اگر شما حفاظت SSL را برایFTP یا Telnet می خواهید باید سرور و کلاینت برنامه کاربردی که SSL را ساپورت می کنند را پیدا یا خلق کنید . ولی چون در دنیای هکرها هیچ چیز غیر ممکن نیست می توان با استفاده از روشهایی مثل Sniffing و برنامه هایی مثلAchilles که ابزاری است برای ویرایش کوکی ها به سرورهایی که حتی ازSSL استفاده می کنند نفوذ کرد که در درس های بعدی طرز کار با این برنامه ها توضیح داده خواهد شد.
حفاظت پروتکل اینترنت IPSecure
IPSec نسخه ایمن پروتکل اینترنت یعنیIP است و امنیت را دقیقاً در پشتهTCP/IP ایجاد می کند. بنابراین برنامه هایی که ازIP استفاده می کنند با استفاده از IPSec می توانند ارتباط امنی را بدون هیچ تغییری در برنامه شان ( کاری کهSSL با تغییر در برنامه ها انجام می داد و وقت گیر بود ) ایجاد کنند. IPSec در لایهIP اعمالی از قبیل پیشنهاد اعتبار سنجی داده مبدأ ، خصوصی سازی ، جامعیت داده و حفاظت در برابر پاسخها را انجام می دهد. هر دو سیستمی که با نسخه های یکسانی از IPSec باشند می توانند به طور حفاظت شده در طول شبکه ، از جمله کامپیوتر من و سرور شما یا سرور من و دیواره آتش شما و یا فایروال شما و مسیریاب من ارتباط برقرار کنند. از آنجایی که IPSec در لایهIP عرضه شده است هر پروتکل با لایه بالاتر مانندUDP - TCP می تواند از IPSec بهره ببرند. مهمتر از همه اینکه هر برنامه کاربردی در بالای آن پروتکل لایه بالاتر می تواند از قابلیت های حفاظتی IPSec بهره ببرد. IPSec در نسخه 4 ، IP که من و شما هر روز در اینترنت استفاده می کنیم جاسازی شده است. IPSec همچنین در نسل بعدی آیپی به عنوانIP نسخه 6 ساخته شده است. IPSec از دو پروتکل تشکیل شده است ، هدر شناساییAH وESP که هر کدام قابلیت های حفاظتی خودشان را نشان می دهند. این نکته را هم ذکر کنم کهAH و ESP می توانند به طور مستقل و یا با هم در یک بسته استفاده شوند. ولی متأسفانه IPSec هنوز به عنوان یک ابزار عمومی برای حفاظت از ارتباطات در سراسر اینترنت استفاده نمی شود و دلایل مختلفی هم برای این کار وجود دارد که البته امیدواریم در آینده ای نزدیک بتوانیم از IP نسخه 6 که از IPSec به صورت ایمن تر بهره می برد در کشورمان ایران استفاده کنیم.
