مباحث مرتبط با امنيت در شبکه

[koorosh]

صادق جان، اينجا تا بحال نديدم کسی باشه که علاقه داشته باشه کارهای تحقيقاتی انجام بده. بحث های ما در مورد مباحث امنيتی با بحث های اينجا کمی متفاوته. اينجا بايد به مسائل کاربردی پرداخت.
مخاطبان اين انجمن صاحبان شبکه های کوچکی هستند که به دلايل مختلف (اکثرا صرفه جويی مالی) از داشتن يک مدير شبکه متبحر محرومند. اين شبکه ها منافذ بسيار زيادی دارند که موجب ميشود ارزشمند ترين نقطه شبکه يعنی بانک اطلاعاتی کاربران آن از بين برود! اين يعنی از بين رفتن همه چيز . . .
حالا بايد فرض کنيم يه شبکه داريم که کلا 2 - 3 تا سيستم بيشتر توش موجود نيست. يکی اش هم Accounting است که کل Database بر روی اون قرار داره.
حالا امان از روزی که IP اين سيستم Valid و password مدير سيستم (Administrator) ساده باشه! (مثلا 123 يا Admin يا . . . )
يا اينکه امان از روزی که از برنامه هايی برای Accounting استفاده بشه که ضعف های امنيتی زيادی دارند! (اسم هم ببرم؟!)
و يا اينکه مثلا بانک اطلاعاتی اش توسط کسی نصب شده باشه که هيچ چيز از اون Database نميدونه!
و باز امان از روزی که يک بچه! برای لذت بردن! بياد و همه کاسه و کوزه رو به هم بريزه!

بايد يه سری توصيه های امنيتی تهيه کنيم که مثل يک Check List در اختيار افراد باشه که سيستم هاشون رو کنترل کنن.

 

[aryagohar]

در ادامه صحبت هاي كوروش جان
1- بعد از نصب ويندوز كاربر Administrator رو disable كنيد و يه كاربر جديد به يه اسم دلخوا و با پسوردي كه از حروف و اعداد تشكيل شده بسازيد و بهش اختيارات كامل مديريتي رو بديد
2- در مواقعي كه نياز به Terminal Service يا هر نرم افزار Remote Administration نداريد اونها رو disable كنيد.
3- حتما از Nat استفاده كنيد.
4- در صورت عدم نياز IIS رو حذف كنيد. و اگر استفاده مي كنيد دسترسي ها رو كنترل كنيد و هميشه Update ها رو بگيريد.( حتي براي شبكه محلي)
5- از نصب كردن برنامه هايي P2P مثل Kaza و Imesh و Morphius روي سرور خودداري كنيد.
6- سعي كنيد كه از Messenger روي سرور به غير از موارد ضروري استفاده نكنيد.
7- .... ادامه دارد.

 

[a_arabbeigi]

بايد يه سری توصيه های امنيتی تهيه کنيم که مثل يک Check List در اختيار افراد باشه که سيستم هاشون رو کنترل کنن.[/QUOTE]


ما مخلص همه دوستانيم به خصوص آقا كورش كه اگه درست فهميده باشم مدوراتور سايت هم هستند.من هم با نظر ايشون مبني بر درست كردن يه چك ليست موافقم ولي اگه يه قسمت ديگه مخصوص Security و امنيت در شبکه داشته باشيم و مستقل از بقيه مباحث فکر کنم بهتر باشه و براي دوستان هم اينطوري راحتتره؟
بهر حال با اينکه يه تازه کار بيشتر نيستم ولي قول ميدم تا آخرش باهاتون باشم و بتونيم در رفع مشکلات دوستان به هم کمک کنيم.
[email protected]

 

[koorosh]

a_arabbeigi عزيز،
بزودی در نظر داريم تغييراتی انجام بديم که فضای اينجا رو تخصصی تر کنيم و بحث های مختلف رو بصورت مجزا مطرح کنيم و پيش بريم.
يکی از بخشهای اختصاصی مربوط به مسائل امنيتی در شبکه هاست.

اگه دوستان ديگه هم مثل آقا رضا لطف کنند و مسائلی رو که به نظرشون ميرسه که برای بالا بردن سطح امنيتی شبکه مفيده رو بنويسن بزودی ميتونيم با جمع کردن اين نوشته ها يه Check List کامل آماده کنيم.

هميشه به خاطر داشته باشيم که فقط امکانات مورد نياز رو روی سيستم نصب کنيم. دليلی نداره که سيستم ما کلکسيونی از Service ها باشه.

در مورد SQL Server
هيچگاه در هنگام نصب، گزينه Blank password for SA رو انتخاب نکنيم.

قراره با هم بريم جلو . . .

 

[securityman]

سلام
من کم میام شرمنده واسه اينکه گرفتارم
اقا اول بريم کار firewall ,اون تا لايه 4 جلوی نفوز رو میگيره (البته استثنا هم هست)
ولی تو ايران اکثره نفوذها تو لايهapplication
است واسه همين ids نياز است
اينو بگم من خيلی isp هارو میشناسم که میشه database شون رو تغير داد(drop,update,....!!!!)
واسه اينکه اونا اصلان به security اهميت نمیدن

مثلا tiny personal firewall خيلی تو ispها پر کار برده ولی defualt setting انbuffer overflow داره!!!!!!

يا.........
در مورد محيط های کوچک securityبه اون اندازه محيط های
بزرگ نيز نيست ولی اينطور نيست که اسلان نياز نباشه
ids & firewall فرع هستند نه اصل همه چيز به اون admin برميگرده
راستی هرکی میخاد isp چک کنم يه ندا بده من مخلصتونم
البته واسه فقط يه bug خفن نه همه چيز (data base bug!!!!!!)

خلاصه من که چشمم اب نمیخره اين isp ها واسه security کاری بکنن
راستی من دارم رو check point firewall کار میکنم بعدا اگه شد يه زره شرو ور کلی از صفر مینويسم
for data base check in your isp plz contact me at
[email protected]


راستی اگه میخاي يه کم کار firewall درست باشههتما اون رو رو يه سيستمی نصب کن که فقط ويندوز يا ... روش نصب باشه يعنی هيچ
سرويسی رو اون نسب نباشه و هر firewall يه سيستم جداگانه میخاد و همچنين بايد
اون ويندوز safe ya secure بشه كه بعدا ميگم چه جوري

 

[securityman]

hi
chaker agha korosh, sign-protect,ssa1357,aryagohar,ilia,.....
ham hastim
ebraze alaghe khafan be dostane bozorgavari ke hamishe dar hale komak hastand
tnx for all
bye

 

[ssa1357]

سلام من دوباره اومدم.

به به


دو روز من نبودم اومدم ميبينم مباحث باحالي اينجا اومده.

خوب من باالشخصه كاري كردم كه سرور Database رو به جز روتر و اكسس سرور و وب سرور كس ديگيي نبينه. (‌يه رنج IP مخصوص خودش ) در ضمن با كوروش 100%‌موافقم چون اكثر جاهايي كه رفتم ديدم پسورد SQL (‌ واسه يوزر sa) خاليه :blink: يه سري پورتها رو هم كه همگي رو روتر بستيم در مورد Check point هم يه مدت تو يه شبكه نصبتا كوچولو با 42 تا LAN كه حداقل 5 - 6 تا LAN با بيشتر از 100 تا client امتحان كردم خوب جواب ميداد ( البته نصبش رو مديون يكي از دوستام بودم يكمم ازش ياد گرفتم )‌ ولي خدايش يه فايروال با امكانات خيلي خوبه من كه پسنديدم . جالب هم جواب ميداد.( اون تو همون شبكه هستش ولي من ديگه تو اون شبكه كار نميكنم.)

ولي به نظر من فاير والي مثل Check point واسه يه ISP مستحبه واجب نيستش

فعلا همينقدر باز اگه چيزي يادم اومد ميگم.

 

[Delphan]

آدم كه اين بحثهاي امنيتي رو ميخونه ترس ورش ميداره. زماني كه نميدوني ترسي هم نداري. بيخيال بيخيال ميخوابي. ولي الان نه.
راستش من تازگيها كه Cachexpress رو نصب كردم يه سري به log هاش زدم ديدم تو رنج IP ها يكي دو تا IP ناشناخته هست كه 5-2 صبح وصل شدن. يكي دو روز قبل رو هم نگاه كردم باز IP ناشناس بود مثلا 200.44.225.61يا 67.164.42.115
با اين توضيحاتي كه داديد من هيچگونه امنيتي ندارم چون اولا IP هام Valid هستند و دوم اينكه فايروال ندارم.
با اين توضيحات من در اولين قدم چكاري رو انجام بدم از شر اينا خلاص شم تا كم كم كه پيش ميريم بقيه رو هم اعمال كنم. چون من و خيلي ها مثل من هستند كه حرفه اي نيستند و نميتونن همه رو يكدفعه و يكجا اعمال كنن مخصوصا من كه فقط آخر هفته بالا سر ISP هستم.
با تشكر از لطف همه

 

[koorosh]

شما بايد در Configuration > Http Access فقط اجازه عبور برای IP های Range خودت رو صادر کنی. اينگونه Proxy Server ها سريعا پيدا ميشوند و از آنها برای Spam استفاده ميشود.

و يک خواهش از Security Man عزيز،
اگه ممکنه اون مسائلی که ميخوای روی Database ها Check کنی اينجا بنويس.
چون ميخواهيم به اون Check-List نزديک بشيم.

 

[a_arabbeigi]

به به


دو روز من نبودم اومدم ميبينم مباحث باحالي اينجا اومده.

خوب من باالشخصه كاري كردم كه سرور Database رو به جز روتر و اكسس سرور و وب سرور كس ديگيي نبينه. (‌يه رنج IP مخصوص خودش ) در ضمن با كوروش 100%‌موافقم چون اكثر جاهايي كه رفتم ديدم پسورد SQL (‌ واسه يوزر sa) خاليه :blink: يه سري پورتها رو هم كه همگي رو روتر بستيم در مورد Check point هم يه مدت تو يه شبكه نصبتا كوچولو با 42 تا LAN كه حداقل 5 - 6 تا LAN با بيشتر از 100 تا client امتحان كردم خوب جواب ميداد ( البته نصبش رو مديون يكي از دوستام بودم يكمم ازش ياد گرفتم )‌ ولي خدايش يه فايروال با امكانات خيلي خوبه من كه پسنديدم . جالب هم جواب ميداد.( اون تو همون شبكه هستش ولي من ديگه تو اون شبكه كار نميكنم.)

ولي به نظر من فاير والي مثل Check point واسه يه ISP مستحبه واجب نيستش

فعلا همينقدر باز اگه چيزي يادم اومد ميگم.

سلام و عرض ارادت خدمت همه دوستان عزيز مخصوصا پيش كسوت ها
همه مي گن كه پورتها تون رو ببنديد و از Nat استفاده کنيد ولي کسي نگفته که چه پورتهايي را بايد ببنديم مثلا 80 يا ... و من هنوز نمي دونم Nat چيه و چه جوري بايد پياده سازي کرد؟
اگه کسي راهنمايي کنه ممنون مي شم.
[email protected]

 

[koorosh]

پورتهای 135,139,445,593 TCP و 1434 UDP رو ببند. همين!

در مورد NAT قبلا صحبت شده. يه جستجوی کوچيک توی همين Forum بکنی بدک نيست. Network Address Translation

 

[sdsl]

پيشنهاد مي كنم بحث رو همين جا متوقف كنيم..

داره خيلي طولاني مي شه..

بحث امنيت رو به چند بخش ميكنيم..

ميشه زير مجموعه شبكه.

 

[koorosh]

صادق جان. اجازه بده ادامه بديم. يه کم بريم جلو.
بزودی اين کار رو انجام خواهيم داد.

 

[!!!!!!!!!!!!!!!]

آقا به نظر من اگه بشه تا فردا پس فردا يه بخش درست كنيد خيلي بهتره چون تا فضا امادست ميشه زود رديفش كرد.

 

[Delphan]

شماره پورتهايي رو كه بايد بسته شن رو نوشتيد، اگر درخواست بزرگي نيست يكي نوشته رو تكميل كنه و نحوه يا دستورات بستن پورتها رو هم بگه.

 

[i_am_so_kittle]

اگه بخواهي تو روتر ببندي بايد از اين دستورات استفاده كني.

اول بايد يه access-group تو اينترفيس روتر ايجاد كني.
in , out نشانه ورود و خروج است.

ip access-group 112 in
ip access-group 112 out

بعد شروع مي كني به بستن پورتها

access-list 112 deny udp any any eq tftp
access-list 112 deny tcp any any eq 135
access-list 112 deny udp any any eq 135
access-list 112 deny udp any any eq netbios-ns
access-list 112 deny udp any any eq netbios-dgm
access-list 112 deny tcp any any eq 139
access-list 112 deny udp any any eq netbios-ss
access-list 112 deny tcp any any eq 445
access-list 112 deny tcp any any eq 593
access-list 112 deny tcp any any eq 4444
access-list 112 deny udp any any eq snmp
access-list 112 deny udp any any eq snmptrap
access-list 112 deny udp any any eq 1434

وقتي كه اين دستورات رو نوشتي اين كامند رو هم وارد كن.
access-list 112 permit ip any any

 

[!!!!!!!!!!!!!!!]

بابا Delphan جان خودت هم يه كم تلاش بكن اين چيز هارو راحت ميشه پيدا كرد.

 

[koorosh]

بابک جان، ما نياز به يه حرکت دائمی داريم نه يه هجوم زود گذر!
اگه اين حرکت دائمی شد و بحث ها ادامه پيدا کرد، براش يه بخش اختصاصی هم آماده ميکنيم. بايد ببينيم استقبال ازش چقدره.
و اما جناب Delphan ، همونطور که بابک عزيز گفت راهش حرکت کردن خودته. نه اينکه لقمه آماده بخوای!

مثلا برو تحقيق کن ببين اين پورت ها هر کدوم برای چی بايد بسته بشوند.

 

[!!!!!!!!!!!!!!!]

بابک جان، ما نياز به يه حرکت دائمی داريم نه يه هجوم زود گذر!
اگه اين حرکت دائمی شد و بحث ها ادامه پيدا کرد، براش يه بخش اختصاصی هم آماده ميکنيم. بايد ببينيم استقبال ازش چقدره.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
كاملا موافقم ولي كورش جان امنيت چيزي نيست كه بحص هاي شيرين و اموزنده توش كم باشه. ولي خوب حرف شما هم كاملا درسته وحالا بچه ها بايد تلاش كنند و اين بحص امنيت رو بجايي برسونند كه ثابت بشه نياز به
يك بخش جدا داره اون وقط روش اقدام بشه.

 

[aryagohar]

من خودم 2-3 بار در مورد روش ست كردن Nat روي روتر نوشتم. بگرد پيدا مي كني. اگه نيافتي بگو دوباره همينجا بزارم.