میز گرد قانون مبارزه با جرایم رایانهای
/font>
مقدمه:
گروه امداد امنیت کامپیوتری ایران از ابتدا قانون مجارات جرایم رایانه ای را با دقت زیر نظر داشته و سعی کرده است با جمع آوری نظرات ، به تدوین قانونی مناسب کمک کند. به همین دلیل بود که پس از حضور در همایش بررسی ابعاد حقوقی فناوری اطلاعات و جمع آوری نظرات بعضی کارشناسان، سعی داشت تا در جلسه ای حضوری و در محیطی صمیمی با دبیر محترم کمیته مبارزه با جرایم رایانه ای به بحث و بررسی قانون بپردازد. خوشبختانه این امر با کمک ماهنامه دنیای کامپیوتر و ارتباطات میسر شد و جلسه ای در دفتر این ماهنامه تشکیل گردید. در این جلسه آقایان رضا پرویزی(دبیر کمیته مبارزه با جرائم رایانهای)، شاهپور دولتشاهی(کارشناس حقوق)، محمود اروجزاده (مدیرمسئول ماهنامه ماهنامه دنیای کامپیوتر و ارتباطات) ، علی مولوی(کارشناس فناوری اطلاعات و عضو تحریریه ماهنامه دنیای کامپیوتر و ارتباطات)، علیرضا قمی(کارشناس امنیت شبکه) و سیدمحمدرضا رشتی (کارشناس فناوری اطلاعات و مدیر سایت "گروه امداد امنیت کامپیوتری ایران")حضور داشتند. متن ذیل گزارشی مختصر از جلسه فوق است.
اروج: جناب آقای پرویزی! لطفاً مختصراً تاریخچهای از زمینه و چگونگی تدوین این پیش
/font>نویس بفرمایید./font>/font>پرویزی: در اواخر شهریور سال 81 با دستور آقای هاشمی شاهرودی: کمیته مبارزه با جرایم رایانه
به این نتیجه رسیدیم که اولویت، ایجاد امنیت در فضای سایبر است. در این زمینه در کشورمان کاری تا بحال نشده بود. البته قبلاً یک کار مطالعاتی در شورای عالی انفورماتیک شده بود. ما به سراغ همه افراد و صاحبنظران در این زمینه رفتیم و نظراتشان را جمع
با فراخوانی در دانشکده
قمی: در مورد تعداد این گروه بفرمایید.
پرویزی: از دانشکده حقوق دانشگاه تهران و شهید بهشتی و امام صادق و دانشگاه آزاد و همچنین از بین قضات تهران، 22 نفر فقط در بخش حقوقی داشتیم. همراه با پیشرفت کار، ما مشاوره هم داشتیم، مثلاً در زمینه حقوق جزایی بین
در مجموع این پیش نویس، با پشتوانه حقوق و فنی و با تلاش و مشاوره فراوان تهیه شده است. بعد این پیش
اروج: مدل مورد نظرتان در تدوین این قانون چه بوده؟ و سهم و نقش هر کدام از دو جنبه حقوقی و فناوری چه میزان بوده است؟
پرویزی: در این زمینه در دنیا عموماً به 3 روش عمل می
/font>شود، در برخی کشورها مانند هند، همان قوانین کیفری سنتی که دارند، مورد استفاده قرار می/font>گیرد و اگر چنانچه موضوع جدیدی (مثلاً دسترسی غیرمجاز در شبکه) مطرح شود، ماده یا موادی به همان قانون یا قانون دیگر اینترنتی اضافه می/font>کنند.رشتی: یکی از مشکلات این است که تا به حال مثلاً امکان جاسوسی از طریق تلفن وجود داشت، ولی مگر قانون جاسوسی از طریق تلفن داشتیم که حالا جاسوسی رایانه
پرویزی: ما همه قانون قوانین مرتبط با جاسوسی را مطالعه کردیم، آیا اسناد طبقه
رشتی: در قانون در جایی بحث بعضی ابزارها و نرم
پرویزی: ببینید نظراتی که برخی دوستان قوه قضاییه داده
قمی: به نظر من لزوماً نه!
/font>پرویزی: چرا، ممکن است الان نباشد، ولی فردا ممکن است هر کسی استفاده غیرمجاز از آن بکند...
قمی: به نظر من ممکن نیست ابزاری پیدا کنیم که "صرفاً" برای هک و ارتکاب جرم باشد، عموماً استفاده امنیتی و مدیریت امنیت هم می
پرویزی: مثلا ابزاری هست که در تماس Dial-up شما با شرکت ISP فقط و فقط برای شنود به کار می
قمی: اما شرکت
/font>های مخابراتی همین ابزار را در کنار تجهیزات خود می/font>فروشند برای Diagnostics/font>پرویزی: ببینید مانند اسلحه است که داشتن آن در کشور ما جرم است، ولی قاضی و پلیس و . . . قانوناً آن را دارند.
رشتی: اگر یک شرکت خصوصی از این ابزارها به منظور بررسی وضعیت یک شبکه استفاده کندتا بتواند نقایص آن را بیابد وگزارش کند، الان مشمول انجام جرم است در این قانون!
پرویزی: معلوم است که بخش
قمی: باید محیط وشرایط کلی به گونه
پرویزی: اشکالی که در چنین نظری وجود دارد، بی
قمی: البته میتوان نوعی قانون مینیمالیستی داشت که نیاز امروز را برطرف کند، و نه قانون حداکثری و گسترده
پرویزی: اتفاقاً این قانون کاملاً حداقلی است و خیلی مباحث در آن دیده نشده، مثلاً بحث اسپم و...
دولتشاهی: اگر می
اروج
پرویزی: البته در دنیا معمولاً شرکتی به نام ISP همه خدمات از قبیل اینترنت و هاستینگ و ثبت دامنه و... را انجام می
مولوی: البته معمولاً به این ترتیب هم نیست که این موارد را بتوان به راحتی پیدا کرد، یعنی این که چنین مصادیقی در همان صفحات اصلی و اولیه قرار نیست که مدیر هاست بتواند به راحتی آن را پیدا کند، بنابراین نمی
پرویزی: قطعاً در آیین
این نکته را هم نباید فراموش کرد که در تدوین این قانون، نمایندگان بخش خصوصی هم حضور داشتهاند(رییس انجمن ISPها) و به اندازه کافی تلاش برای حفظ حقوق بخش خصوصی کرده
قمی: نکته دیگر، حفظ حریم خصوصی کاربران است، اگر قرار باشد همه اطلاعات ردوبدل شده کاربران، ذخیره و بررسی گردد که مبادا در آینده جرمی اتفاق بیفتد، این در واقع تجاوز به حریم خصوصی است...
پرویزی : بله، ولی این برداشت ناشی از یک سوءتفاهم رایج است. ببینید، "داده محتوا" و "داده ترافیک" تفاوتشان همین است، از نگاه ناظر خارجی ، من در ساعت خاصی وارد دفتر مجله کامپیوتر و ارتباطات می
اروج: به این ترتیب در واقع کارت اینترنت با این سازوکار فعلی دیگر نمی/font>
تواند وجود داشته باشد.../font>پرویزی: بله.
قمی: آنچه از "داده ترافیک" فهمیده می
پرویزی: همین طور است. اینها ناشی از سوءتفاهم است. همان طور که گفتم این پیش
نویس همچنان در معرض دید و نظر کارشناسان است، همین طور در سایت مخصوص همایش حقوق فناوری اطلاعات. همه صاحبنظران می/font>توانند نظرات و انتقادهای خود را بر آن بنویسندشود که باید توسط ISP لاگ گرفته و ثبت شود ظاهراً چیزی مانند سیگنالینگ است در تلفن، بنابراین تصور این که همه فعالیت یک کاربر ثبت شود و حجم عظیمی از اطلاعات باید توسط ISPها ذخیره شود درست نیست./font>زادهشوم و با آقای اروجزاده یک ساعت صحبت می/font>کنم، این "داده ترافیک" است و در واقع سابقه کار، ولی این که محتوای صحبت ما چیست Content است. ISP قرار نیست که محتوا را ثبت کند و این که کاربر چه سایت/font>هایی را دیده و... بلکه قرار است نوع خدمات اصلی ثبت شود (پروتکل/font>ها مثل ... , HTTP , Mail , FTP) و نحوه ارتباط (شامل مبدا ارتباط که آدرس IP آن است) و مدت آن و هویت کاربری که تماس گرفته و مبدا ارتباط (شماره کاربر) یعنی هویت تماس گیرنده باید برای شما مشخص باشد و مسیر هم به این معنا که مثلاً شما از داخل یک LAN وصل شده/font>/font>اید به یک ISP و از آنجا به یک ICP کشور، تا اینجا مسیر است.پروتکل های انتقال فایل امن
در این مقاله برای شما بطور مختصر از پروتکل هایی خواهیم گفت که امکانFT یا (File Transfer) یا انتقال فایل را فراهم می آورند یا از بلوکهای سازنده پروتکل های ذکر شده در مقاله رمزنگاری در پروتکل های انتقال استفاده می کنند تا امکان FT امن را ایجاد کنند. درحالیکه پروتکلهای ذکر شده در مقاله مذکور سیستمهای امنیتی عمومی هستند که قابل کاربرد برای FT نیز هستند، آنچه در اینجا اشاره می شود، مشخصاً برای FT ایجاد شده اند:
AS2
AS2 (Applicability Statement 2) گونه ای EDI (Electronic Date Exchange) یا تبادل دیتای الکترونیکی (اگرچه به قالبهای EDI محدود نشده) برای استفاده های تجاری با استفاده از HTTP است. AS2 در حقیقت بسط یافته نسخه قبلی یعنی AS1 است. AS2 چگونگی تبادل دیتای تجاری را بصورت امن و مطمئن با استفاده از HTTP بعنوان پروتکل انتقال توصیف می کند. دیتا با استفاده از انواع محتوایی MIME استاندارد که XML، EDI ، دیتای باینری و هر گونه دیتایی را که قابل توصیف در MIME باشد، پشتیبانی می کند، بسته بندی می شود. امنیت پیام (تایید هویت و محرمانگی) با استفاده از S/MIME پیاده سازی می شود. AS1 در عوض از SMTP استفاده می کند. با AS2 و استفاده از HTTP یا HTTP/S ( HTTP با SSL) برای انتقال، ارتباط بصورت زمان حقیقی ممکن می شود تا اینکه از طریق ایمیل انجام گیرد. امنیت، تایید هویت، جامعیت پیام، و خصوصی بودن با استفاده از رمزنگاری و امضاهای دیجیتال تضمین می شود، که برپایه S/MIME هستند و نه SSL. استفاده از HTTP/S بجای HTTP استاندارد بدلیل امنیت ایجادشده توسط S/MIME کاملاً انتخابی است. استفاده از S/MIME اساس ویژگی دیگری یعنی انکارناپذیری را شکل می دهد، که امکان انکار پیام های ایجادشده یا فرستاده شده توسط کاربران را مشکل می سازد، یعنی یک شخص نمی تواند منکر پیامی شود که خود فرستاده است.
*برای FT :
(File Transfer انتقال فایل یا)
AS2 مشخصاً برای درکنارهم قراردادن ویژگیهای امنیتی با انتقال فایل یعنی تایید هویت، رمزنگاری، انکارناپذیری توسط S/MIME و SSL انتخابی، طراحی شده است. از آنجا که AS2 یک پروتکل در حال ظهور است، سازمانها باید تولید کنندگان را به پشتیبانی سریع از آن تشویق کنند. قابلیت وجود انکارناپذیری در تراکنش های برپایه AS2 از اهمیت خاصی برای سازمانهایی برخوردار است که می خواهند پروسه های تجاری بسیار مهم را به سمت اینترنت سوق دهند. وجود قابلیت برای ثبت تراکنش پایدار و قابل اجراء برای پشتبانی از عملکردهای بسیار مهم مورد نیاز است. AS2 از MDN (Message Disposition Notification) بر پایه RFC 2298 استفاده می کند. MDN (که می تواند در اتصال به سایر پروتکل ها نیز استفاده شود) بر اساس محتوای MIME است که قابل خواندن توسط ماشین است و قابلیت آگاه سازی و اعلام وصول پیام را بوجود می آورد، که به این ترتیب اساس یک ردگیری نظارتی پایدار را فراهم می سازد.
(File Transfer Protocol) FTP
FTP یا پروتکل انتقال فایل به منظور انتقال فایل از طریق شبکه ایجاد گشته است، اما هیچ نوع رمزنگاری را پشتیبانی نمی کند. FTP حتی کلمات عبور را نیز بصورت رمزنشده انتقال می دهد، و به این ترتیب اجازه سوءاستفاده آسان از سیستم را می دهد. بسیاری سرویس ها FTP بی نام را اجراء می کنند که حتی نیاز به کلمه عبور را نیز مرتفع می سازد (اگرچه در این صورت کلمات عبور نمی توانند شنیده یا دزدیده شوند)
*برای FT: FTP بعنوان یک روش امن مورد توجه نیست، مگر اینکه درون یک کانال امن مانند SSL یا IPSec قرار گیرد.گرایش زیادی به FTP امن یا FTP بر اساس SSL وجود دارد.(میتوانید به SFTP و SSL مراجعه کنید)
FTPS و SFTP
SFTP به استفاده از FT بر روی یک کانال که با SSH امن شده، اشاره دارد، در حالیکه منظور از FTPS استفاده از FT بر روی SSL است. اگرچه SFTP دارای استفاده محدودی است، FTPS (که هر دو شکل FTP روی SSL و FTP روی TLS را بخود می گیرد) نوید کارایی بیشتری را می دهد. RFC 2228 (FTPS) رمزنگاری کانالهای دیتا را که برای ارسال تمام دیتا و کلمات عبور استفاده شده اند، ممکن می سازد اما کانالهای فرمان را بدون رمزنگاری باقی می گذارد (بعنوان کانال فرمان شفاف شناخته می شود). مزیتی که دارد این است که به فایروالهای شبکه های مداخله کننده اجازه آگاهی یافتن از برقراری نشست ها و مذاکره پورتها را می دهد. این امر به فایروال امکان تخصیص پورت پویا را می دهد، بنابراین امکان ارتباطات رمزشده فراهم می شود بدون اینکه نیاز به این باشد که تعداد زیادی از شکاف های دائمی در فایروال پیکربندی شوند.
اگرچه معمول ترین کاربردهای FTP ( مخصوصاً بسته های نرم افزاری کلاینت) هنوز کاملاً FTPS (FTP روی SSL) را پشتیبانی نمی کنند و پشتیبانی مرورگر برای SSL، برای استفاده کامل از مجموعه کامل فانکشن های RFC 2228 FTPS کافی نیست، اما این امر در حال پیشرفت است. بسیاری از تولیدکنندگان برنامه های کاربردی در حال استفاده از SSL استاندارد در کنار FTP استاندارد هستند. بنابراین، گرچه در بعضی موارد مسائل تعامل همچنان وجود دارند، اما امیدواری برای پشتیبانی گسترده از FT امن در ترکیب با SSL وجود دارد. (و حتی امیدواری برای پذیرش گسترده مجموعه کامل فانکشن های RFC 2228 FTPS)
سرویسهای امنیتی WEP - Authentication
در قسمت قبل به معرفی پروتکل WEP که عملاً تنها روش امنسازی ارتباطات در شبکههای بیسیم بر مبنای استاندارد 802.11 است پرداختیم و در ادامه سه سرویس اصلی این پروتکل را معرفی کردیم.
در این قسمت به معرفی سرویس اول، یعنی Authentication، میپردازیم.
Authentication
استاندارد 802.11 دو روش برای احراز هویت کاربرانی که درخواست اتصال به شبکهی بیسیم را به نقاط دسترسی ارسال میکنند، دارد که یک روش بر مبنای رمزنگاریست و دیگری از رمزنگاری استفاده نمیکند.
شکل زیر شَمایی از فرایند Authentication را در این شبکهها نشان میدهد :
همانگونه که در شکل نیز نشان داده شده است، یک روش از رمزنگاری RC4 استفاده میکند و روش دیگر از هیچ تکنیک رمزنگارییی استفاده نمیکند.
Authentication بدون رمزنگاری
در روشی که مبتنی بر رمزنگاری نیست، دو روش برای تشخیص هویت مخدوم وجود دارد. در هر دو روش مخدومِ متقاضی پیوستن به شبکه، درخواست ارسال هویت از سوی نقطهی دسترسی را با پیامی حاوی یک SSID (Service Set Identifier) پاسخ میدهد.
در روش اول که به Open System Authentication موسوم است، یک SSID خالی نیز برای دریافت اجازهی اتصال به شبکه کفایت میکند. در واقع در این روش تمامی مخدومهایی که تقاضای پیوستن به شبکه را به نقاط دسترسی ارسال میکنند با پاسخ مثبت روبهرو میشوند و تنها آدرس آنها توسط نقطهی دسترسی نگاهداری میشود. بههمین دلیل به این روش NULL Authentication نیز اطلاق میشود.
در روش دوم از این نوع، بازهم یک SSID به نقطهی دسترسی ارسال میگردد با این تفاوت که اجازهی اتصال به شبکه تنها در صورتی از سوی نقطهی دسترسی صادر میگردد که SSIDی ارسال شده جزو SSIDهای مجاز برای دسترسی به شبکه باشند. این روش به Closed System Authentication موسوم است.
نکتهیی که در این میان اهمیت بسیاری دارد، توجه به سطح امنیتیست که این روش در اختیار ما میگذارد. این دو روش عملاً روش امنی از احراز هویت را ارایه نمیدهند و عملاً تنها راهی برای آگاهی نسبی و نه قطعی از هویت درخواستکننده هستند. با این وصف از آنجاییکه امنیت در این حالات تضمین شده نیست و معمولاً حملات موفق بسیاری، حتی توسط نفوذگران کمتجربه و مبتدی، به شبکههایی که بر اساس این روشها عمل میکنند، رخ میدهد، لذا این دو روش تنها در حالتی کاربرد دارند که یا شبکهیی در حال ایجاد است که حاوی اطلاعات حیاتی نیست، یا احتمال رخداد حمله به آن بسیار کم است. هرچند که با توجه پوشش نسبتاً گستردهی یک شبکهی بیسیم – که مانند شبکههای سیمی امکان محدودسازی دسترسی به صورت فیزیکی بسیار دشوار است – اطمینان از شانس پایین رخدادن حملات نیز خود تضمینی ندارد!
Authentication با رمزنگاری RC4
این روش که به روش «کلید مشترک» نیز موسوم است، تکنیکی کلاسیک است که بر اساس آن، پس از اطمینان از اینکه مخدوم از کلیدی سری آگاه است، هویتش تأیید میشود. شکل زیر این روش را نشان میدهد :
در این روش، نقطهی دسترسی (AP) یک رشتهی تصادفی تولید کرده و آنرا به مخدوم میفرستد. مخدوم این رشتهی تصادفی را با کلیدی از پیش تعیین شده (که کلید WEP نیز نامیده میشود) رمز میکند و حاصل را برای نقطهی دسترسی ارسال میکند. نقطهی دسترسی به روش معکوس پیام دریافتی را رمزگشایی کرده و با رشتهی ارسال شده مقایسه میکند. در صورت همسانی این دو پیام، نقطهی دسترسی از اینکه مخدوم کلید صحیحی را در اختیار دارد اطمینان حاصل میکند. روش رمزنگاری و رمزگشایی در این تبادل روش RC4 است.
در این میان با فرض اینکه رمزنگاری RC4 را روشی کاملاً مطمئن بدانیم، دو خطر در کمین این روش است :
الف) در این روش تنها نقطهی دسترسیست که از هویت مخدوم اطمینان حاصل میکند. به بیان دیگر مخدوم هیچ دلیلی در اختیار ندارد که بداند نقطهی دسترسییی که با آن در حال تبادل دادههای رمزیست نقطهی دسترسی اصلیست.
ب) تمامی روشهایی که مانند این روش بر پایهی سئوال و جواب بین دو طرف، با هدف احراز هویت یا تبادل اطلاعات حیاتی، قرار دارند با حملاتی تحت عنوان man-in-the-middle در خطر هستند. در این دسته از حملات نفوذگر میان دو طرف قرار میگیرد و بهگونهیی هریک از دو طرف را گمراه میکند.
سرویسهای امنیتی 802.11b – Privacy و Integrity
در قسمت قبل به سرویس اول از سرویسهای امنیتی 802.11b پرداختیم. این قسمت به بررسی دو سرویس دیگر اختصاص دارد. سرویس اول Privacy (محرمانهگی) و سرویس دوم Integrity است.
Privacy
این سرویس که در حوزههای دیگر امنیتی اغلب به عنوان Confidentiality از آن یاد میگردد بهمعنای حفظ امنیت و محرمانه نگاهداشتن اطلاعات کاربر یا گرههای در حال تبادل اطلاعات با یکدیگر است. برای رعایت محرمانهگی عموماً از تکنیکهای رمزنگاری استفاده میگردد، بهگونهییکه در صورت شنود اطلاعات در حال تبادل، این اطلاعات بدون داشتن کلیدهای رمز، قابل رمزگشایی نبوده و لذا برای شنودگر غیرقابل سوء استفاده است.
در استاندارد 802.11b، از تکنیکهای رمزنگاری WEP استفاده میگردد که برپایهی RC4 است. RC4 یک الگوریتم رمزنگاری متقارن است که در آن یک رشتهی نیمه تصادفی تولید میگردد و توسط آن کل داده رمز میشود. این رمزنگاری بر روی تمام بستهی اطلاعاتی پیاده میشود. بهبیان دیگر دادههای تمامی لایههای بالای اتصال بیسیم نیز توسط این روش رمز میگردند، از IP گرفته تا لایههای بالاتری مانند HTTP. از آنجایی که این روش عملاً اصلیترین بخش از اعمال سیاستهای امنیتی در شبکههای محلی بیسیم مبتنی بر استاندارد 802.11b است، معمولاً به کل پروسهی امنسازی اطلاعات در این استاندارد بهاختصار WEP گفته میشود.
کلیدهای WEP اندازههایی از ۴۰ بیت تا ۱۰۴ بیت میتوانند داشته باشند. این کلیدها با IV (مخفف Initialization Vector یا بردار اولیه ) ۲۴ بیتی ترکیب شده و یک کلید ۱۲۸ بیتی RC4 را تشکیل میدهند. طبیعتاً هرچه اندازهی کلید بزرگتر باشد امنیت اطلاعات بالاتر است. تحقیقات نشان میدهد که استفاده از کلیدهایی با اندازهی ۸۰ بیت یا بالاتر عملاً استفاده از تکنیک brute-force را برای شکستن رمز غیرممکن میکند. به عبارت دیگر تعداد کلیدهای ممکن برای اندازهی ۸۰ بیت (که تعدد آنها از مرتبهی ۲۴ است) به اندازهیی بالاست که قدرت پردازش سیستمهای رایانهیی کنونی برای شکستن کلیدی مفروض در زمانی معقول کفایت نمیکند.
هرچند که در حال حاضر اکثر شبکههای محلی بیسیم از کلیدهای ۴۰ بیتی برای رمزکردن بستههای اطلاعاتی استفاده میکنند ولی نکتهیی که اخیراً، بر اساس یک سری آزمایشات به دست آمده است، اینست که روش تأمین محرمانهگی توسط WEP در مقابل حملات دیگری، غیر از استفاده از روش brute-force، نیز آسیبپذیر است و این آسیبپذیری ارتباطی به اندازهی کلید استفاده شده ندارد.
نمایی از روش استفاده شده توسط WEP برای تضمین محرمانهگی در شکل زیر نمایش داده شده است :
Integrity
مقصود از Integrity صحت اطلاعات در حین تبادل است و سیاستهای امنیتییی که Integrity را تضمین میکنند روشهایی هستند که امکان تغییر اطلاعات در حین تبادل را به کمترین میزان تقلیل میدهند.
در استاندارد 802.11b نیز سرویس و روشی استفاده میشود که توسط آن امکان تغییر اطلاعات در حال تبادل میان مخدومهای بیسیم و نقاط دسترسی کم میشود. روش مورد نظر استفاده از یک کد CRC است. همانطور که در شکل قبل نیز نشان داده شده است، یک CRC-32 قبل از رمزشدن بسته تولید میشود. در سمت گیرنده، پس از رمزگشایی، CRC دادههای رمزگشایی شده مجدداً محاسبه شده و با CRC نوشته شده در بسته مقایسه میگردد که هرگونه اختلاف میان دو CRC بهمعنای تغییر محتویات بسته در حین تبادل است. متأسفانه این روش نیز مانند روش رمزنگاری توسط RC4، مستقل از اندازهی کلید امنیتی مورد استفاده، در مقابل برخی از حملات شناخته شده آسیبپذیر است.
متأسفانه استاندارد 802.11b هیچ مکانیزمی برای مدیریت کلیدهای امنیتی ندارد و عملاً تمامی عملیاتی که برای حفظ امنیت کلیدها انجام میگیرد باید توسط کسانی که شبکهی بیسیم را نصب میکنند بهصورت دستی پیادهسازی گردد. از آنجایی که این بخش از امنیت یکی از معضلهای اساسی در مبحث رمزنگاری است، با این ضعف عملاً روشهای متعددی برای حمله به شبکههای بیسیم قابل تصور است. این روشها معمولاً بر سهل انگاریهای انجامشده از سوی کاربران و مدیران شبکه مانند تغییرندادن کلید بهصورت مداوم، لودادن کلید، استفاده از کلیدهای تکراری یا کلیدهای پیش فرض کارخانه و دیگر بی توجهی ها نتیجه یی جز درصد نسبتاً بالایی از حملات موفق به شبکههای بیسیم ندارد. این مشکل از شبکههای بزرگتر بیشتر خود را نشان میدهد. حتا با فرض تلاش برای جلوگیری از رخداد چنین سهلانگاریهایی، زمانی که تعداد مخدومهای شبکه از حدی میگذرد عملاً کنترلکردن این تعداد بالا بسیار دشوار شده و گهگاه خطاهایی در گوشه و کنار این شبکهی نسبتاً بزرگ رخ می دهد که همان باعث رخنه در کل شبکه میشود.
کاربرد پراکسی در امنیت شبکه (۱)
بعد از آشنایی با پراکسی در مقاله «پراکسی سرور» در این مقاله به این مطلب می پردازیم که از دیدگاه امنیتی پراکسی چیست و چه چیزی نیست، از چه نوع حملاتی جلوگیری می کند و به مشخصات بعضی انواع پراکسی پرداخته می شود. البته قبل از پرداختن به پراکسی بعنوان ابزار امنیتی، بیشتر با فیلترها آشنا خواهیم شد.
پراکسی چیست؟
در دنیای امنیت شبکه، افراد از عبارت «پراکسی» برای خیلی چیزها استفاده می کنند. اما عموماً، پراکسی ابزار است که بسته های دیتای اینترنتی را در مسیر دریافت می کند، آن دیتا را می سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می دهد. در اینجا از پراکسی به معنی پروسه ای یاد می شود که در راه ترافیک شبکه ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می گیرد و آن را می سنجد تا ببیند با سیاست های امنیتی شما مطابقت دارد و سپس مشخص می کند که آیا به آن اجازه عبور از فایروال را بدهد یا خیر. بسته های مورد قبول به سرور مورد نظر ارسال و بسته های ردشده دور ریخته می شوند.
پراکسی چه چیزی نیست؟
پراکسی ها بعضی اوقات با دو نوع فایروال اشتباه می شوند «Packet filter و Stateful packet filter» که البته هر کدام از روش ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد.
پراکسی با Packet filter تفاوت دارد
ابتدایی ترین روش صدور اجازه عبور به ترافیک بر اساس TCP/IP این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه قرار می گیرد و اطلاعات آدرس را در header IP ترافیک دیتایی که بین آنها عبور می کند، پیمایش می کند. اطلاعاتی که این نوع فیلتر ارزیابی می کند عموماً شامل آدرس و پورت منبع و مقصد می شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و بر اساس قوانین ایجاد شده توسط مدیر شبکه بسته را می پذیرد یا نمی پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که header، تمام آن چیزی است که سنجیده می شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد نمی بیند و به محتوای آسیب رسان اجازه عبور از فایروال را می دهد. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می کند و وضعیت (State) ارتباط را دنبال نمی کند.
پراکسی با Stateful packet filter تفاوت دارد
این فیلتر اعمال فیلتر نوع قبل را انجام می دهد، بعلاوه اینکه بررسی می کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت (State) شناخته می شود.
پروتکل ارتباطی TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP عادی، کامپیوتر A سعی می کند با ارسال یک بسته SYN (synchronize) به کامپیوتر B ارتباط را برقرار کند. کامپیوتر B در جواب یک بسته SYN/ACK (Acknowledgement) برمی گرداند، و کامپیوتر A یک ACK به کامپیوتر B می فرستد و به این ترتیب ارتباط برقرار می شود. TCP اجازه وضعیتهای دیگر، مثلاً FIN (finish) برای نشان دادن آخرین بسته در یک ارتباط را نیز می دهد.
هکرها در مرحله آماده سازی برای حمله، به جمع آوری اطلاعات در مورد سیستم شما می پردازند. یک روش معمول ارسال یک بسته در یک وضعیت غلط به منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ (Reply) به سیستمی که تقاضایی نکرده، می فرستند. معمولاً، کامپیوتر دریافت کننده بیاید پیامی بفرستد و بگوید “I don’t understand” . به این ترتیب، به هکر نشان می دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می تواند سیستم عامل مورد استفاده را نیز مشخص کند، و برای یک هکر گامی به جلو باشد. یک فیلتر Stateful packet منطق یک ارتباط TCP/IP را می فهمد و می تواند یک “Reply” را که پاسخ به یک تقاضا نیست، مسدود کند ـــ آنچه که یک فیلتر packet ردگیری نمی کند و نمی تواند انجام دهد. فیلترهای Stateful packet می توانند در همان لحظه قواعدی را مبنی بر اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم تر است. این امنیت محکم تر، بهرحال، تا حدی باعث کاستن از کارایی می شود. نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می کند.
پراکسی ها یا Application Gateways
Application Gateways که عموماً پراکسی نامیده می شود، پیشرفته ترین روش استفاده شده برای کنترل ترافیک عبوری از فایروال ها هستند. پراکسی بین کلاینت و سرور قرار می گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرار شده، می سنجد. پراکسی بار واقعی تمام بسته های عبوری بین سرور و کلاینت را می سنجد، و می تواند چیزهایی را که سیاستهای امنیتی را نقض می کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته ها فقط headerها را می سنجند، در حالیکه پراکسی ها محتوای بسته را با مسدود کردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا، ActiveX و ... غربال می کنند.
پراکسی ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی ها می توانند کاراکترهای غیرقانونی یا رشته های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی ها تمام اعمال فیلترهای ذکرشده را انجام می دهند. بدلیل تمام این مزیتها، پراکسی ها بعنوان یکی از امن ترین روشهای عبور ترافیک شناخته می شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته ها را پیمایش می کنند. بهرحال «کندتر» بودن یک عبارت نسبی است.
آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه ای است. پراکسی ها باعث کندی سرعت ترافیک در تست های آزمایشگاهی می شوند اما باعث کندی سرعت دریافت کاربران نمی شوند. در شماره بعد بیشتر به پراکسی خواهیم پرداخت.
کاربرد پراکسی در امنیت شبکه (۲)
در مقایسه فایروالها، ما مفهومی از پراکسی ارائه میدهیم و پراکسی را از فیلترکننده بستهها متمایز میکنیم. با پیشزمینهای که از پراکسی در شماره قبل بیان کردیم، میتوانیم در اینجا مزایای پراکسیها بعنوان ابزاری برای امنیت را لیست کنیم:
· با مسدود کردن روشهای معمول مورد استفاده در حملهها، هککردن شبکه شما را مشکلتر میکنند.
· با پنهان کردن جزئیات سرورهای شبکه شما از اینترنت عمومی، هککردن شبکه شما را مشکلتر میکنند.
· با جلوگیری از ورود محتویات ناخواسته و نامناسب به شبکه شما، استفاده از پهنای باند شبکه را بهبود میبخشند.
· با ممانعت از یک هکر برای استفاده از شبکه شما بعنوان نقطه شروعی برای حمله دیگر، از میزان این نوع مشارکت میکاهند.
· با فراهمآوردن ابزار و پیشفرضهایی برای مدیر شبکه شما که میتوانند بطور گستردهای استفاده شوند، میتوانند مدیریت شبکه شما را آسان سازند.
بطور مختصر میتوان این مزایا را اینگونه بیان کرد؛ پراکسیها به شما کمک میکنند که شبکهتان را با امنیت بیشتر، موثرتر و اقتصادیتر مورد استفاده قرار دهید. بهرحال در ارزیابی یک فایروال، این مزایا به فواید اساسی تبدیل میشوند که توجه جدی را میطلبند.
برخی انواع پراکسی
تا کنون به پراکسی بصورت یک کلاس عمومی تکنولوژی پرداختیم. در واقع، انواع مختلف پراکسی وجود دارد که هرکدام با نوع متفاوتی از ترافیک اینترنت سروکار دارند. در بخش بعد به چند نوع آن اشاره میکنیم و شرح میدهیم که هرکدام در مقابل چه نوع حملهای مقاومت میکند.
البته پراکسیها تنظیمات و ویژگیهای زیادی دارند. ترکیب پراکسیها و سایر ابزار مدیریت فایروالها به مدیران شبکه شما قدرت کنترل امنیت شبکه تا بیشترین جزئیات را میدهد. در ادامه به پراکسیهای زیر اشاره خواهیم کرد:
· SMTP Proxy
· HTTP Proxy
· FTP Proxy
· DNS Proxy
SMTP Proxy
پراکسی SMTP (Simple Mail Transport Protocol) محتویات ایمیلهای وارد شونده و خارجشونده را برای محافظت از شبکه شما در مقابل خطر بررسی میکند. بعضی از تواناییهای آن اینها هستند:
· مشخص کردن بیشترین تعداد دریافتکنندگان پیام: این اولین سطح دفاع علیه اسپم (هرزنامه) است که اغلب به صدها یا حتی هزاران دریافتکننده ارسال میشود.
· مشخص کردن بزرگترین اندازه پیام: این به سرور ایمیل کمک میکند تا از بار اضافی و حملات بمباران توسط ایمیل جلوگیری کند و با این ترتیب میتوانید به درستی از پهنای باند و منابع سرور استفاده کنید.
· اجازه دادن به کاراکترهای مشخص در آدرسهای ایمیل آنطور که در استانداردهای اینترنت پذیرفته شده است: چنانچه قبلاً اشاره شد، بعضی حملهها بستگی به ارسال کاراکترهای غیرقانونی در آدرسها دارد. پراکسی میتواند طوری تنظیم شود که بجز به کاراکترهای مناسب به بقیه اجازه عبور ندهد.
· فیلترکردن محتوا برای جلوگیری از انواعی محتویات اجرایی: معمولترین روش ارسال ویروس، کرم و اسب تروا فرستادن آنها در پیوستهای به ظاهر بیضرر ایمیل است. پراکسی SMTP میتواند این حملهها را در یک ایمیل از طریق نام و نوع، مشخص و جلوگیری کند، تا آنها هرگز به شبکه شما وارد نشوند.
· فیلترکردن الگوهای آدرس برای ایمیلهای مقبول\مردود: هر ایمیل شامل آدرسی است که نشاندهنده منبع آن است. اگر یک آدرس مشخص شبکه شما را با تعداد بیشماری از ایمیل مورد حمله قرار دهد، پراکسی میتواند هر چیزی از آن آدرس اینترنتی را محدود کند. در بسیاری موارد، پراکسی میتواند تشخیص دهد چه موقع یک هکر آدرس خود را جعل کرده است. از آنجا که پنهان کردن آدرس بازگشت تنها دلایل خصمانه دارد، پراکسی میتواند طوری تنظیم شود که بطور خودکار ایمیل جعلی را مسدود کند.
· فیلترکردن Headerهای ایمیل: Headerها شامل دیتای انتقال مانند اینکه ایمیل از طرف کیست، برای کیست و غیره هستند. هکرها راههای زیادی برای دستکاری اطلاعات Header برای حمله به سرورهای ایمیل یافتهاند. پراکسی مطمئن میشود که Headerها با پروتکلهای اینترنتی صحیح تناسب دارند و ایمیلهای دربردارنده headerهای تغییرشکلداده را مردود میکنند. پراکسی با اعمال سختگیرانه استانداردهای ایمیل نرمال، میتواند برخی حملههای آتی را نیز مسدود کند.
· تغییردادن یا پنهانکردن نامهای دامنه و IDهای پیامها: ایمیلهایی که شما میفرستید نیز مانند آنهایی که دریافت میکنید، دربردارنده دیتای header هستند. این دیتا بیش از آنچه شما میخواهید دیگران درباره امور داخلی شبکه شما بدانند، اطلاعات دربردارند. پراکسی SMTP میتواند بعضی از این اطلاعات را پنهان کند یا تغییر دهد تا شبکه شما اطلاعات کمی در اختیار هکرهایی قرار دهد که برای وارد شدن به شبکه شما دنبال سرنخ میگردند.