کو‌کی‌ها و مسائل امنیتی

کو‌کی‌ها و مسائل امنیتی

بررسی انواع کوکی‌

علاوه بر کوکی‌های موقت و ماندگار که در مقاله قبل در مورد آن صحبت شد، کوکی‌ها دسته‌بندی دیگری نیز دارند:

کوکی‌های شخص‌اول! در مقابل کوکی‌های شخص‌ثالث: یک کوکی شخص‌اول از وب‌سایتی نشات می‌گیرد یا به آن فرستاده می‌شود که در آن زمان در حال مشاهده آن هستید. این کوکی‌ها معمولا برای ذخیره اطلاعات مانند اولویتهای شما استفاده می‌شوند. یک کوکی شخص ثالث از وب‌سایت متفاوت با آنچه در حال مشاهده آن هستید نشات می‌گیرد یا به آن فرستاده می‌شود. وب‌سایتهای شخص‌ثالث معمولا محتویاتی روی وب‌سایتی که در حال مشاهده هستید، ارائه می‌کنند. برای مثال، بسیاری سایتها از تبلیغات وب‌سایتهای شخص‌ثالث استفاده می‌کنند و آن وب‌سایتها ممکن است از کوکی استفاده کنند. یک استفاده معمول برای این نوع از کوکی ردیابی استفاده از صفحه‌وب شما برای تبلیغات یا سایر مقاصد بازاریابی است. این نوع کوکی‌ها می‌توانند موقت یا ماندگار باشند.

نوعی از کوکی‌ها هستند که بعنوان کوکی‌های ناخوشایند نامیده می‌شوند. کوکی‌هایی هستند که ممکن است اجازه دسترسی به اطلاعات شخصا قابل‌شناسایی شما را برای اهداف ثانویه بدون اجازه شما، فراهم کنند.

مزایا و معایب کوکی‌ها از دید کاربران اینترنت

اگرچه خیلی‌ها از کوکی‌ها تصورات بدی دارند، اما اکنون می‌دانید که کابردهای خوبی نیز دارند. بسیاری از افراد کوکی‌ها را دوست ندارند زیرا آنها را ابزار “بردار بزرگ” (کسی که همواره ناظر بر اعمال و رفتار آنهاست) می‌دانند. بعبارتی بعلت ردیابی شدن  توسط کوکی‌ها، به آنها سوءظن دارند. این افراد باید بدانند که این نوع ردگیری می‌تواند توسط تکنیک‌های دیگر نیز انجام گیرد، اما از کوکی‌ها بدلیل ثبات بیشتر آنها نسبت به سایر روش‌ها استفاده می‌شود. برای آنان که دوست ندارند دیگران بدانند در اینترنت چه می‌کنند یا به کدام سایتها سر می‌زنند، این امر مساله ساز است.

مردم همچنان کوکی‌ها دوست ندارند، زیرا آنها را موجوداتی ‌‌”آب‌زیرکاه” می‌دانند. مگر اینکه نسخه‌های جدید مرورگرها را داشته باشید تا بتوانید با تنظیماتی که انجام می‌دهید از ورود آنها مطلع شوید، در غیر اینصورت آنها بدون هیچ نشانی وارد هارد شما می‌شوند. سیس می‌توانند بدون اطلاع کاربر کارهای خاصی انجام دهند (شاید هدف قرار دادنتان برای اعمال تبلیغاتی).

بهرحال فکر کردن به این موضوع خوشایند نیست که در آینده نزدیک علائق خصوصی ما ممکن است برای کسانی که دوست نداریم، فاش شود. این نگرانی و عیب اصلی کوکی‌هاست. تقریبا قرار دادن ویروس از طریق کوکی فعلا ممکن نیست و جای نگرانی ندارد. همچنین کوکی‌ها نمی‌توانند به هارد شما صدمه وارد کنند، یا از آنچه روی هارد خود دارید، تصویری تهیه کنند یا هر کار دیگری شبیه اینها. کوکی‌ها فقط آنچه را شما به آنها می‌گویید، میدانند. بهرحال اگر شما اطلاعاتی را در وب‌سایتی وارد کنید، مطمئنا در جایی در یک کوکی قرار خواهد گرفت. جایگزینهای آینده بجای کوکی‌ها باید با آغوش باز پذیرفته شود و اگرچه ممکن است همه چیز را حل نکنند، اما بعضی از نگرانیها را از بین خواهند برد.

مسائل امنیتی مربوط به کوکی‌ها

کوکی‌ها باعث بعضی خطرات امنیتی می‌شوند. می‌توانند توسط افرادی که بسته‌های اطلاعاتی را شنود می‌کنند برای اهداف غیراخلاقی استفاده شوند و باعث دسترسی غیرمجاز به وب‌سایت‌ها یا تراکنش‌های غیرمجاز شوند. (یک سیستم شنود، کامپیوتری است که نرم‌افزارهایی را اجرا می‌کند تا تمام بسته‌های TCP/IP وارد و خارج‌شونده را بررسی ‌کند)

ایجادکنندگان وب‌سایتها کوکی‌ها را می‌سازند تا امکان دسترسی بهتر به سایتشان را فراهم کنند، یا در انواع دیگر تراکنش با سرورشان استفاده می‌شوند. آنها باید از امکان وقوع این امر مطلع باشند و سیستم را طوری طراحی کنند تا خطر را به حداقل ممکن برسانند.

چند مورد وجود دارد که ایجادکننده وب‌سایت می‌تواند انجام دهد:

·   مطمئن شود که کوکی‌ها کمترین اطلاعات خصوصی را دربردارند.

·   مطمئن شود که اطلاعات حساس قرارگرفته در کوکی‌ها همیشه رمزنگاری می‌شود. (هرگز و هرگز شناسه‌ها و کلمات عبور نباید بصورت متن رمز‌نشده استفاده و ذخیره شوند)

·   کل کوکی را رمز کند.

کوکی‌ها باید اطلاعات کافی را برای تایید اینکه فرد استفاده کننده از کوکی، مجاز به استفاده از آن است، دارا باشند. بیشتر سایتهای استفاده‌کننده از کوکی، اطلاعات زیر را نیز لحاظ می‌کنند:

·   اطلاعات لازم برای دادن اجازه به فرد

·   ساعت و تاریخ

·   آدرس IP استفاده کننده وب

·   تاریخ انقضاء

·   کد MAC (Message Authenticity Check)

قراردادن آدرس IP به این منظور است که کوکی تنها در صورتی تایید شود که آدرس IP ذخیره‌شده در سرور با آدرس IP مرورگر فرستنده کوکی یکسان باشد. تاریخ انقضاء مدت زمان استفاده از یک کوکی را محدود می‌کند و MAC تضمین می‌کند که کوکی دچار تغییر نشده است.

کد MAC شامل یک رشته ادغامی از فیلدهای داده در کوکی و یک رشته مخفی است که به آن اضافه می‌شود. اطلاعات کد می‌شود سپس مجددا ادغام می‌شود و دوباره کد می‌شود. نتیجه نهایی در داده کوکی قرار می‌گیرد. هنگامی که کوکی به سرور برمی‌گردد، سرور خود، MAC را تولید می‌کند و با MAC موجود در کوکی مقایسه می‌کند. در صورت یکسان بودن، نشانه عدم تغییر کوکی است.

کار با کوکی‌ها

مرورگرهای جدید اجازه نحوه کار با کوکی‌ها را به شما می‌دهند؛ می‌توانید تنظیمات مرورگر خود را طوری انجام دهید که به شما قبل از قراردادن کوکی روی کامپیوترتان خبر داده شود. (این کار به شما این امکان را می‌دهد که اجازه قراردادن کوکی را بدهید یا خیر)؛ همچنین می‌توانید توسط مرورگر خود جلوی ورود تمام کوکی‌ها را بگیرید.

بعنوان مثال در اینترنت اکسپلورر امکان تنظیم نحوه برخورد با کوکی‌ها از سایتهای مشخص گرفته تا کل سایتها وجود دارد. برای اطلاع یافتن بیشتر از نحوه کار با کوکی‌ها راهنمای مرورگر خود را مطالعه کنید.

منبع: www.securitydocs.com

Windows XP Service Pack 2

Windows XP Service Pack 2

در این نوشته سعی داریم به معرفی مختصر ویژگی های امنیتی Windows XP Service Pack 2 بپردازیم که البته کامل نمی باشد و منبع آن نیز از مستندات منتشر شده توسط مایکروسافت است.

هدف اصلی SP2، بهبود امنیت کاربران ویندوز XP است که این کار را با 4 رویکرد انجام می دهد:

- محافظت بهتر از شبکه
- بهبود حفاظت از حافظه
- ایمن سازی امور مربوط به E-Mail
- امنیت در مرور اینترنت (توسط Internet Explorer)

محافظت از شبکه با فایروال پیشرفت کرده ویندوز است (که قبلا تحت عنوان Internet Connection Firewall وجود داشت) که به صورت پیش فرض فعال می باشد.این فایروال در مراحل اولیه بوت شدن ویندوز، قبل از اینکه Network Stack فعال شود، شروع به کار می کند و نفوذ گر در مراحل اولیه بالا آمدن سیستم هم نمی تواند آن را مورد حمله قرار دهد. همچنین هنگام خاموش شدن سیستم نیز، این فایروال بسیار دیر خاموش می شود و بعد از اینکه لایه های شبکه غیر فعال شدند، این فایروال کار خود را پایان می دهد. این فایروال دارای واسط کاربری قابل قبولی برای مدیریت آن می باشد و قابل مدیریت و اعمال سیاست از سوی مدیر شبکه یا همان Domain Administrator می باشد. همچنین از IPv6 که در این نسخه از ویندوز ارائه شده است نیز پشتیبانی می کند.
RPC[1] که در دو سال گذشته، هدف حملات اصلی کرم های اینترنتی بود نیز در این نسخه از ویندوز بهبود یافته است. آسیب پذیری کمتر، سطوح دسترسی[2] بیشتر و همچنین امکان استفاده از آن در شبکه های محدود و مدیریت آن برای جلوگیری از حملات خارج از شبکه از بهبودهایی است که در RPC صورت گرفته است.
مدیریت دسترسی بیشتر روی DCOM[3] برای پایین آوردن احتمال حمله از این طریق، از ویژگی های دیگر SP2 است. در این نسخه، تنها مدیران تایید هویت شده حق اتصال و فعال کردن از راه دور اجزا COM  را دارند و تنها کاربران تأئید هویت شده می توانند به صورت از راه دور، COMها را صدا(Call) کنند.
ویژگی امنیتی قابل توجه دیگر در SP2، حمایت و پشتیبانی از پردازنده های با تکنولوژی NX[4] است. در این مدل، ویندوز صفحه های حافظه که مربوط به Data هستند را برچسب غیر اجرایی (non-executable) می زند و بدین طریق، از بسیاری از حملات Buffer Overflow که با فرستادن Data به صورت خاص، ویندوز را وادار به اجرای آن می کردند، جلوگیری می شود. شایان ذکر است که در حال حاضر، تنها پردازنده هایی که NX را پشتیبانی می کنند، پردازنده های 64 بیتی AMD K8 و Intel Itanium هستند که مایکروسافت امیدوار است سایر پردازنده های 32 و 64 بیتی به زودی از این تکنولوژی استفاده کنند و این امنیت سخت افزاری را برای کاربران فراهم آورند.
در زمینه جلوگیری از Buffer Overflow، علاوه بر پشتیبانی از NX، ویژگی دیگری موسوم به Sandboxing را نیز در ویندوز پیاده سازی کرده اند که طی آن، کلیه کدهای باینری قبل از اجرا، دوباره کامپایل می شوند و ویژگیهای امنیت بافر در آن فعال می شود تا runtime libraryهایی بتوانند در حال اجرا، حملات مبتنی بر Buffer overflow را تشخیص دهند و از آن جلوگیری کنند و Cookieهایی به heap افزوده می شود تا بتواند حملات heap buffer overflow رانیز محافظت کند.
با ارائه نسخه جدیدی از Outlook Express در SP2، از عکسها و کلیه محتوای خارجی[5]  جلوگیری می شود، در مورد سایر برنامه ها که قصد فرستادن E-Mail را دارند، هشدار داده می شود و روی باز کردن و ذخیره کردن ضمیمه نامه ها(Email Attachments) نیز کنترل صورت می گیرد. برای کنترل اجرای ضمیمه های آسیب رسان، از سرویس دیگری به نام New Application Execution Service استفاده می شود. همچنین کاربران این امکان را دارند تا همه نامه ها را به صورت Plain Text یا متنی مشاهده کنند و بدین وسیله از حملاتی که بالقوه ممکن است در HTML صورت پذیرد، جلوگیری کنند. Windows Messenger و MSN Messenger نیز از بهبودهای Attachment استفاده می کنند.
بهبود امنیت Internet Explorer از دغدغه های اصلی SP2 است. مدیریت add-onها و تشخیص توقف سیستم (Crash) مربوط به آنها، کنترل اینکه آیا اطلاعات باینری اجازه اجرا دارند یا خیر، به کار بردن محدودیت های امنیتی برای همه URL Objectها که قبلا تنها در مورد ActiveXها وجود داشت و کنترل روی اجرای همه نوع محتوا (Content) از ویژگی های SP2 هستند. IE SP2 به صورت جدی، امکانات Local Machine Zone را محدود کرده است تا از حملاتی که از این ناحیه امنیتی برای اجرای HTMLهای مخرب استفاده می کردند، جلوگیری کند. همچنین IE بر سازگاری اطلاعات همه انواع فایلها که از طرف سرورها فرستاده می شود، نظارت می کند که اطلاعاتی که برای یک نوع فایل خاص فرستاده می شود از همه نظر مطابق آنچه مورد انتظار است باشد؛ همچنین فایلها را sniff می کند تا کدهای مخرب را درون فایلهای ظاهرا بی خطر شناسایی کند. IE SP2 از دسترسی به cached scriptable object جلوگیری می کند، یعنی صفحه های HTML تنها به اشیاء مربوط به خود دسترسی دارند و بدین وسیله، از حملاتی که روی مدل cross-domain security model انجام می شوند تا حد زیادی جلوگیری می کند، به scriptها اجازه نمی دهد که به رخدادها (events) و محتوای سایر فریم ها گوش دهند و مثلا از دزدیده شدن اطلاعات مربوط به Credit Card در یک فرم دیگر جلوگیری می کند. از ویژگی های دیگر IE، قابلیت جلوگیری از پنجره های pop-up ناخواسته است و کاربر می تواند به دلخواه خود، pop-upها را مدیریت کند. IE همچنین از اطلاعات امضا شده توسط منبع غیر مطمئن[6] جلوگیری می کند، کد های امضا شده با امضای الکترونیکی[7] غیر معتبر را به صورت پیش فرض مانع می شود. همچنین IE از کدهای مربوط به تغییر اندازه پنجره ها و تغییر status bar محافظت می کند.
در SP2، با استفاده از DirectX 9 و Windows Media Player 9، ویژگی های امنیتی، سرعت و کارایی آنها را افزایش داده است.
با افزودن امکاناتی به سیستم Update ویندوز، به روز رسانی و نصب patchها را سریع، ساده ، اتوماتیک و امن تر کرده است و حجم این Patchها از این پس، بسیار کمتر خواهد بود و بخش عمده کار به عهده Installer خواهد بود. با استفاده ازWindows Installer 3.0، امکانات زیادی در زمینه امنیت در نصب برنامه ها افزوده شده است و سیستم مدیریت patchها و حجم کمتر patchها را با استفاده از تکنولوژی Delta Compression فراهم کرده است و patch removal را نیز قابل اطمینان تر کرده است.
وجود Windows Security Center از امکانات جدید ویندوز SP2 است که با فراهم کردن یک محیط user friendly و ثابت برای کاربر، امکان مدیریت امنیتی متمرکز ویندوز را برای کاربران فراهم می کند. مدیریت فایروال ویندوز، به روز رسانی ویندوز، گزینه های امنیتی اینترنت و محافظت در مقابل ویروسها از امکانات این محیط است. این امکان وجود دارد تا در این محیط از فایروال خود ویندوز استفاده شود و یا تولید کنندگان دیگر فایروال شخصی، محصولات خود را برای این محیط سازگار کنند. درمورد Anti-Virus این امکان در Security Center قرار داده شده تا سایر شرکتهای تولید کننده Anti-Virus خود را با این محیط مطابقت دهند و هنوز مایکروسافت راه حل مستقلی در این زمینه ندارد.

برای اطلاعات بیشتر، به منابع منتشر شده توسط مایکروسافت مراجعه کنید:

http://download.microsoft.com/download/6/6/c/66c20c86-dcbe-4dde-bbf2-ab1fe9130a97/windows%20xp%20sp%202%20white%20paper.doc
http://www.microsoft.com/technet/prodtechnol/winxppro/sp2preview.mspx
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx
http://www.microsoft.com/technet/community/columns/cableguy/cg0104.mspx
http://msdn.microsoft.com/security/productinfo/xpsp2/default.aspx?pull=/library/en-us/dnwxp/html/securityinxpsp2.asp

منبع: http://www.secinfo.info

--------------------------------------------------------------------------------

[1]- Remote Procedure Call
[2]- Permission level

[3]- Distributed Component Object Model

[4]- Execution Protection

[5]- External Content

[6]- Signed content from untrusted publishers

حمله به نشست[1]

حمله به نشست[1]

این گونه حملات برنامه هایی را هدف قرار می دهند که مدیریت ارتباطات کاربران به خوبی در آنها انجام نمی شود و نقاط ضعفی در این فرایند وجود دارد. پروتکل HTTP ذاتاً برای ارسال گسسته اطلاعات از سرور به سمت سرویس  گیرنده طراحی شده است. در این شرایط هر برنامه ای که برای ارائه خدمات خود ناچار به نگه داری سابقه فعالیت هایی که کاربر بر روی سایت انجام داده باشد، باید بر این چالش غلبه کرده و پیام های گسسته را به یک نشست پیوسته تبدیل نماید. راه حل هایی که برای این مسئله ارائه می شوند همه در لایه کاربرد هستند و مستقل از وب سرور می باشند.

طبعا مشابه همه کد نویسی ها ممکن است مدیریت نشست با امنیت بالا پیاده سازی شود و یا ضعف هایی در پیاده سازی وجود داشته باشد، که این به معنای وجود نقاط آسیب پذیر در برنامه می باشد. خطراتی که در چنین شرایطی برنامه و سرمایه های سایت را تهدید می کند به دو دسته کلی زیر قابل تقسیم بندی هستند:

·         افزایش افقی اختیارات

در این نوع حملات کاربر قادر است به گونه ای نشانه[2] نشست را مورد استفاده قرار دهد که اطلاعات و قابلیت های کاربر دیگری در دسترسش قرار گیرد. برای انجام این نوع حملات هکر باید در گروه کاربر قربانی عضو باشد. در صورت وقوع این نوع حملات اطلاعات افشا می شود، ولی ساختار دسترسی مبتنی بر نقش[3] در سیستم حفظ می شود.

·         افزایش عمودی اختیارات

هکر با استفاده از نشانه نشست به اطلاعات و مجوزهای کاربری با حقوق بالاتر دسترسی می یابد. قربانی در این نوع حملات حقوقی بالاتر از فرد حمله کننده دارد و بنابراین علاوه بر امکان دسترسی هکر به اطلاعات کاربر امکان تغییر آن ها و انجام اعمالی که مجوز مدیریتی لازم دارند نیز فراهم می آید.

در نتیجه این نوع حمله اطلاعات شخصی کاربران فاش شده، امکان دزدی خدمات، اطلاعات کارت های اعتباری، ارسال هرزنامه و رد سرویس[4] بوجود می آید.

حمله به مدیریت نشست فرایندی ۴ مرحله ای است:

·         یافتن حامل حالت[5]

در این مرحله باید محل ذخیره سازی نشانه ها شناسایی شود. برای این کار کوکی های Stateful، کوکی های نشست، پارامتر های URL  و فیلد های مخفی بررسی شوند.

·         رمزگشایی اطلاعات حالت

پس از یافتن حامل حالت (نشانه نشست) باید مشخصات آن استخراج شوند. با استفاده از روش های تحلیل نشانه باید مشخص شود که آیا بخش هایی از نشانه کد شده است یا خیر؟ وجود برچسب های زمانی و سایر الگوهایی که نمونه هایی از آنها در جدول زیر ارائه شده اند تشخیص داده شود. آیا مقادیر به صورت تصادفی تولید می شوند و یا قطعی هستند؟

·         استفاده مجدد از اطلاعات حالت

بدون توجه به امکان رمزگشایی حامل حالت، باید اطلاعات حالت چند کاربر را گرفت. با جایگذاری نشانه های سایر کاربران می توان محدودیت هایی را که سیستم در برابر نشست های غیرمعتبر ایجاد می کند شناسایی نمود.

·         تغییر اطلاعات حالت

در صورتی که امکان رمزگشایی حامل باشد می توان با تغییر آن نشست کاربر دیگر را ربوده و یا استراق سمع نمود. با تغییر اطلاعات حالت می توان حقوق بیشتری به دست آورد.

نشانه	شرح	حمله خاص
مقدار افزایشی	استفاده از شمارنده برای دنبال کردن نشست جاری، شماره درخواست، ارجاع به یک فایل موقت یا سایر متغیر های گذرا. این نوع نشانه ها عدد یا رشته می باشند.	متنوع
برچسب زمان یا تاریخ	این برچسب نوع خاصی از برچسب های با مقدار افزایشی است که بدون توجه به نوع کاربر و نشست همواره افزایشی است. در بیشتر موارد این برچسب شامل یک رشته طولانی عددی یا یک عدد ۱۰ رقمی است.	اعتباردهی مجدد به شناسه نشست و تغییر زمان انقضاء نشست.
مقدار ایستا	مقداری که بدون توجه به نشست، زمان و کاربر ثابت است. این نشانه می تواند شناسه یک زبان (به عنوان مثال ۱۲۵۶ برای عربی) و یا پرچمی خاص باشد که توسط برنامه استفاده شده است.	اعتبارسنجی ورودی
مقدار شبه تصادفی	در بیشتر موارد این مقدار نشانه نشست است.	ربودن نشست
اطلاعات profile	مقادیری که برنامه ها در رابطه با هویت کاربران خود درخواست می کنند، شامل نام، نام خانوادگی، آدرس  e-mail، آدرس پستی، شماره تلفن، سن، تاریخ تولد و ....	جعل هویت. دسترسی به اطلاعات فردی دیگر (افزایش افقی اختیارات)
آدرس IP  سرور	سرور آدرس IP خود را در کوکی قرار می دهد.	لو رفتن اطلاعات شبکه
آدرس IP  سرویس گیرنده	سرویس گیرنده آدرس IP  خود را در کوکی قرار می دهد.	ربودن نشست
اعداد دو بایتی	اعداد دو بایتی در کوکی ممکن است شماره یک پورت باشند. برای کشف این مسئله باید مقادیر را مورد ارزیابی قرار داد.	لو رفتن اطلاعات شبکه

---

[1]- Session

[2]- Token

[3]- Role-based

[4]- Denial of service

[5]- State

انتخاب و محافظت از کلمات عبور

انتخاب و محافظت از کلمات عبور

کلمات عبور بخش مهمی از امنیت کامپیوتر هستند و در حقیقت در خط مقدم حفاظت از اکانت کاربران قرار می گیرند. یک کلمه عبور نامناسب ممکن است منجر به سوءاستفاده از کل شبکه شود. بهمین دلیل تمام کارمندان شامل پیمانکاران و فروشندگان که به سیستم شرکت دسترسی دارند مسوول انتخاب کلمه عبور مناسب و محافظت از آن هستند.

در این مقاله به نکاتی در مورد ایجاد کلمات عبور قوی و محافظت از آنها و زمان انقضاء و تغییر آنها اشاره می شود. در حقیقت مخاطب این مقاله تمام افرادی هستند که مسوول اکانت یا هر سیستمی هستند که از طریق آن به شبکه یا اطلاعات غیرعمومی دسترسی دارند.

سیاست کلی

·            تمام کلمات عبور در سطح سیستم  باید حداقل سه ماه یکبار عوض شوند.

·            تمام کلمات عبور سطح کاربر  (مانند ایمیل یا کامپیوتر) باید هر شش ماه تغییر کنند که البته تغییر چهار ماهه توصیه می شود.

·            اکانتهای کاربری که مجوزهای سطح سیستم دارند باید کلمات عبوری داشته باشند که با کلمات عبور دیگر اکانتهای  آن کاربر متفاوت باشد.

·            کلمات عبور نباید در ایمیلها یا سایر شکلهای ارتباطات الکترونیکی درج شوند.

·            باید رهنمونهای زیر در تمام کلمات عبور سطح سیستم و سطح کاربر رعایت شود.

راهنماییها

راهنمایی کلی ساخت کلمه عبور

کلمات عبور برای اهداف گوناگونی در شرکتها استفاده می شوند. تعدادی از استفاده های معمول اینها هستند:

·            اکانتهای سطح کاربر

·            اکانتهای دسترسی به وب

·            اکانتهای ایمیل

·            حفاظت از مونیتور

·            کلمه عبور صندوق پستی

·            ورود به روتر محلی

چون سیستمهای بسیار کمی از نشانه های یکبارمصرف استفاده می کنند (مانند کلمات عبور دینامیک که فقط یکبار استفاده می شوند)، هرکسی باید از نحوه انتخاب کلمات عبور مناسب آگاه باشد.

کلمات عبور ضعیف معمولا مشخصات زیر را دارند:

·            کلمه عبور شامل کمتر از هشت حرف است.

·            کلمه عبور کلمه ای است که در یک فرهنگ لغت یافت می شود.

·            کلمه عبور کلمه ای است که کاربرد عمومی دارد مانند:

o           نام خانوادگی، حیوانات اهلی، دوستان، همکاران، شخصیت های خیالی و غیره

o           نامها و اصطلاحات کامپیوتری، فرمانها، سایتها، شرکتها، سخت افزار و نرم افزار.

o           نام شرکت یا کلمات مشتق شده از این نام.

o           تاریخ های تولد و سایر اطلاعات شخصی مانند آدرس ها و شماره های تلفن.

o           الگوهای کلمات یا شماره ها مانند aaabbb، qwerty، zyxwvuts، 123321 و غیره.

o           هرکدام از عبارات فوق بطور برعکس.

o           هرکدام از عبارات فوق که تنها با یک رقم شروع  یا به آن ختم می شود.

کلمات عبور مناسب مشخصات زیر را دارند:

·            شامل هم حروف کوچک و هم بزرگ هستند (a-z و A-Z)

·            علاوه بر حروف از ارقام و نشانه ها هم در آنها استفاده می شود مانند 0-9 و !@#$%^&*()_+|~=’{}[];<>?./

·            حداقل هشت حرف دارند.

·            کلمه ای در هیچ زبان، گویش یا صنف خاص نیستند.

·            برپایه اطلاعات شخصی، اسم یا فامیل نیستند.

·            کلمات عبور هرگز نباید نوشته یا جایی ذخیره شوند. سعی کنید کلمات عبوری انتخاب کنید که بتوانید براحتی در ذهن داشته باشید. یک روش انجام این کار، ایجاد کلمه عبور بر پایه یک ترانه یا عبارت است. برای مثال عبارت “This May Be One Way To Remember” و کلمه عبور می تواند “TmB1w2R!” یا “Tmb1W>r~” یا انواع دیگری از همین الگو باشد.

توجه: این مثالها را بعنوان کلمه عبور استفاده نکنید.

استانداردهای حفاظت از کلمه عبور

از کلمات عبور مشترک برای اکانتهای شرکت و دسترسی های شخصی استفاده نکنید. تا جایی ممکن است، از کلمه عبور مشترک برای نیازهای مختلف شرکت استفاده نکنید. برای مثال، برای سیستمهای مهندسی یک کلمه عبور انتخاب کنید و یک کلمه عبور دیگر برای سیستمهای IT . همچنین برای استفاده از اکانتهای NT و UNIX کلمات عبور متفاوت انتخاب کنید.

کلمات عبور شرکت با هیچ کس از جمله دستیاران و منشی ها در میان نگذارید. باید با تمام کلمات عبور بصورت اطلاعات حساس و محرمانه برخورد شوند.

در اینجا به لیستی از “انجام ندهید ”ها اشاره می شود.

·            کلمه عبور را از طریق تلفن به هیچ کس نگویید.

·            کلمه عبور را از طریق ایمیل فاش نکنید.

·            کلمه عبور را به رئیس نگویید

·            در مورد کلمه عبور در جلوی دیگران صحبت نکنید.

·            به قالب کلمه عبور اشاره نکنید (مثلا نام خانوادگی)

·            کلمه عبور را روی فهرست سوالات یا فرمهای امنیتی درج نکنید.

·            کلمه عبور را با اعضای خانواده در میان نگذارید.

·            کلمه عبور را هنگامی که در مرخصی هستید به همکاران نگویید.

اگر کسی از شما کلمه عبور را پرسید، از ایشان بخواهید که این مطلب را مطالعه کند یا اینکه با کسی در قسمت امنتیت اطلاعات تماس بگیرد.

از ویژگی “Remember Password” یا حفظ کلمه عبور در کامپیوتر استفاده نکنید.

مجددا، کلمات عبور را در هیچ جای محل کار خود ننویسید و در فایل یا هر سیستم کامپیوتری ذخیره نکیند (شامل کامپیوترهای دستی) مگر با رمزکردن.

کلمات عبور را حداقل هر شش ماه عوض کنید (بجز کلمات عبور سطح سیستم که باید هر سه ماه تغییر کنند).

اگر هر اکانت یا کلمه عبور احتمال فاش و سوءاستفاده از آن میرود، به بخش امنیت اطلاعات اطلاع دهید و تمام کلمات عبور را تغییر دهید.

شکستن یا حدس زدن کلمه عبور ممکن است در یک زمان متناوب یا اتفاقی توسط بخش امنیت اطلاعات یا نمانیدگی های آن رخ دهد. اگر کلمه عبور در طول یکی از این پیمایش ها حدس زده یا شکسته شود، از کاربر خواسته خواهد شد که آن را تغییر دهد.

رعایت موارد مذکور، به حفاظت بیشتر از اطلاعات و قسمتهای شخصی افراد کمک خواهد کرد.

بستن درگاه ها بدون استفاده از حفاظ

مقدمه

درگاه های باز[1] همواره راه نفوذی عالی برای حمله کنندگان به سیستم های کامپیوتری هستند. درعین حال که ارتباطات سیستم های کامپیوتری بر روی شبکه از طریق درگاه ها انجام می شود، در صورت عدم پیکربندی مناسب آن ها راه نفوذ برای هکر ها ایجاد می شود. به عنوان مثال اسب های تروا می توانند با استفاده از درگاه های باز برای حمله کنندگان اطلاعات ارسال نمایند. برای این کار هکر به اسب تروایی که بر روی سیستم قرار دارد، از طریق درگاهی خاص، وصل شده و برای انجام وظایفی مورد نظر خود (به عنوان مثال گرفتن یک تصویر از صفحه کار کاربر) درخواست صادر می کند. اسب تروا وظیفه مورد نظر را انجام داده و تصویر را از طریق درگاه باز برای هکر ارسال می کند. در نمونه های جدید اسب تروا شماره درگاه به سادگی قابل تغییر است و بنابراین شناسایی آنها از طریق شماره درگاه ها به دشواری انجام می شود.

برای بستن درگاه ها ابزارها و روش های متنوعی وجود دارد. استفاده از حفاظ ها[2] به عنوان یکی از رایج ترین این روش هاست. استفاده از این ابزار با توجه به هزینه های انواع مختلف آن و همینطور پیچیدگی استفاده از آن می تواند برای بعضی از کاربران مشکل آفرین باشد.

در این مقاله ضمن معرفی مفهوم درگاه روش هایی برای بستن درگاه ها به صورت دستی مورد معرفی قرار می گیرند.

 

درگاه چیست؟

درگاه کانالی ارتباطی است برای کامپیوترهای موجود بر روی شبکه.

برای برقراری ارتباط بین کامپیوترهای مختلف متصل به شبکه استانداردهای متنوعی تدوین شده اند. این استانداردها به روش های انتقال اطلاعات می پردازند و هدف آنها بوجود آوردن امکان تبادل اطلاعات بین سیستم های مختلف است. استاندارد TCP/IP یکی از این استانداردهاست و پروتکلی نرم افزاری برای ساختاردهی و انتقال داده بر روی شبکه (مانند اینترنت) می باشد. از مهمترین مزایای این پروتکل ها عدم وابستگی آنها به سیستم عامل کامپیوترها است و بنابراین انتقال اطلاعات بین کامپیوترهای مختلف موجود بر روی شبکه امکان پذیر می شود.

هر کامپیوتر برای ورود به دنیای اینترنت باید یک آدرس IP [3] معتبر داشته باشد. آدرس IP  ساختاری به صورت زیر دارد:

###.###.###.###

این آدرس از چهار بخش تشکیل شده است که با نقطه از هم جدا شده اند. هر بخش می تواند مقداری بین ۰ تا 255 داشته باشد.با دانستن آدرس IP هر کامپیوتر می توان با آن ارتباط برقرار نموده و داده رد و بدل کرد. اما هنوز در مفهوم ارتباط یک نکته مبهم وجود دارد. کامپیوتر دریافت کننده اطلاعات چگونه باید بفهمد که چه برنامه ای باید داده را دریافت و پردازش کند.

برای حل این مشکل از سیستم درگاه  استفاده شده است. به عبارت دیگر با مشخص کردن درگاه برای هر بسته ارسالی برنامه دریافت کننده هم مشخص می شود و به این ترتیب کامپیوتر گیرنده می تواند داده را در اختیار برنامه مربوطه قرار دهد. هر بسته ای که بر روی شبکه قرار می گیرد باید آدرس IP کامپیوتر گیرنده اطلاعات و همینطور شماره درگاه مربوطه را نیز در خود داشته باشد.

در مقام مقایسه می توان شماره درگاه را با شماره تلفن داخلی مقایسه نمود. شماره تلفن مانند آدرس IP به صورت یکتا مقصد تماس را مشخص می کند و شماره داخلی نشانگر فردی است که تماس باید با او برقرار شود.

شماره درگاه  می تواند عددی بین ۰ تا ۶۵۵۳۶ باشد. این بازه به سه دسته اصلی زیر تقسیم بندی شده است:

·         ۰ تا ۱۰۲۳ که «درگاه های شناخته شده» هستند و برای خدماتی خاص مانند FTP (درگاه ۲۱)، SMTP (درگاه ۲۵)، HTTP (درگاه ۸۰)، POP3 (درگاه ۱۱۰) رزرو شده اند.

·         درگاه های ۱۰۲۴ تا ۴۹۱۵۱ «درگاه های ثبت شده» هستند. به عبارت دیگر این درگاه ها برای خدمات، ثبت شده اند.

·         درگاه های ۴۹۱۵۲ تا ۶۵۵۳۶ «درگاه های پویا و/ یا اختصاصی» هستند. به عبارت دیگر هر شخصی می تواند در صورت نیاز از آنها استفاده نماید.

راه های بستن درگاه ها بدون استفاده از حفاظ

هر درگاه باز یک ورودی بالقوه برای حمله کنندگان به سیستم هاست. بنابراین باید سیستم را به گونه ای پیکربندی نمود که حداقل تعداد درگاه های باز بر روی آن وجود داشته باشد.

در رابطه با درگاه ها باید توجه داشت که هر درگاه بازی الزاما خطرآفرین نیست. سیستم های کامپیوتری تنها در صورتی از ناحیه درگاه ها در معرض خطر قرار دارند که برنامه مرتبط با درگاه کد خطرناکی در خود داشته باشد. بنابراین لزومی ندارد که همه درگاه ها بر روی سیستم بسته شوند. در حقیقت بدون وجود درگاه های باز امکان اتصال به اینترنت وجود ندارد.

 

یک درگاه باز شی فیزیکی نیست و چنین نیست که با بسته شدن آن از بین برود. اگر درگاهی در یک کامپیوتر باز باشد به این معناست که برنامه فعالی بر روی دستگاه وجود دارد که با استفاده از این شماره درگاه با سایر کامپیوترها بر روی شبکه ارتباط برقرار می کند. در واقع درگاه توسط سیستم عامل باز نمی شود، بلکه برنامه  خاصی که در انتظار دریافت داده از این درگاه است آن را باز می کند.

یکی از موثرترین روش هایی که می توان برای بستن درگاه های باز مورد استفاده قرار داد، متوقف نمودن سرویسی  است که بر روی درگاه به ارتباطات گوش فرا داده است. این کار را در Windows 2000 می توان با استفاده از ابزار Control Panel > Administrative Tools > Services و متوقف نمودن سرویس هایی که مورد نیاز نیستند، انجام داد. به عنوان مثال اگر Web services در سیستم مورد نیاز نیست می توان IIS را متوقف نمود. در Unix باید فایل های /etc/rc.d  را ویرایش نمود، و یا از یکی از ابزارهایی که برای این کار در سیستم های Unix و شبیه Unix  وجود دارد (مانند linuxconf) بهره گرفت.

غیر از متوقف کردن سرویس ها، می توان درگاه ها را نیز بر روی ماشین فیلتر نمود. در ویندوز این کار با استفاده از مکانیزم فیلترینگ داخلی انجام پذیر است. برای سیستم عامل ویندوز 2000 می توان از ابزار پیکربندی که در Control Panel > Network>  Local Area Connection > Properties > Internet Protocol (TCP/IP) > Properties > Advanced > Options > TCP/IP Filtering مخفی شده است بهره گرفت. با استفاده از این گزینه می توان بسته های TCP و UDP  را به گونه ای فیلتر نمود که فقط درگاه های خاصی باز باشند و بسته های اطلاعاتی سایر درگاه ها اجازه عبور نداشته باشند. علاوه بر این، در ویندوز می توان فیلترهای محلی (برای درگاه ها و یا میزبان ها) هم تعریف نمود. برای این کار  باید مسیر زیر را طی نمود:

 Control Panel > Administrative Tools> Local Security Policy> IP Security Policies on Local Machine>

Secure Server(Require Security)>  Add

 علاوه بر این بیشتر حفاظ های شخصی هم قابلیت فیلتر بسته های اطلاعاتی مربوط به درگاه های خاص را دارا هستند.

در سیستم عامل های Linux و شبهUnix نیز تعداد زیادی از ابزارهای متنوع برای فیلتر کردن درگاه های ورودی وجود دارد. IPChains که به صورت پیش فرض بر روی بسیاری از نسخه های جدید Linux نصب می شود از جمله ابزارهای مناسب است.

---

[1]- Open ports

[2]- Firewall

[3]- Internet Protocol

شبکه‌های بی‌سیم، کاربردها، مزایا و ابعاد

شبکه‌های بی‌سیم، کاربردها، مزایا و ابعاد

    تکنولوژی شبکه‌های بی‌سیم، با استفاده از انتقال داده‌ها توسط اموج رادیویی، در ساده‌ترین صورت، به تجهیزات سخت‌افزاری امکان می‌دهد تا بدون‌استفاده از بسترهای فیزیکی همچون سیم و کابل، با یکدیگر ارتباط برقرار کنند. شبکه‌های بی‌سیم بازه‌ی وسیعی از کاربردها، از ساختارهای پیچیده‌یی چون شبکه‌های بی‌سیم سلولی -که اغلب برای تلفن‌های همراه استفاده می‌شود- و شبکه‌های محلی بی‌سیم (WLAN – Wireless LAN) گرفته تا انوع ساده‌یی چون هدفون‌های بی‌سیم، را شامل می‌شوند. از سوی دیگر با احتساب امواجی همچون مادون قرمز، تمامی تجهیزاتی که از امواج مادون قرمز نیز استفاده می‌کنند، مانند صفحه کلید‌ها،  ماوس‌ها و برخی از گوشی‌های همراه، در این دسته‌بندی جای می‌گیرند. طبیعی‌ترین مزیت استفاده از این شبکه‌ها عدم نیاز به ساختار فیزیکی و امکان نقل و انتقال تجهیزات متصل به این‌گونه شبکه‌ها و هم‌چنین امکان ایجاد تغییر در ساختار مجازی آن‌هاست. از نظر ابعاد ساختاری، شبکه‌های بی‌سیم به سه دسته تقسیم می‌گردند : WWAN، WLAN و WPAN.

    مقصود از WWAN، که مخفف Wireless WAN است، شبکه‌هایی با پوشش بی‌سیم بالاست. نمونه‌یی از این شبکه‌ها، ساختار بی‌سیم سلولی مورد استفاده در شبکه‌های تلفن همراه است.  WLAN پوششی محدودتر، در حد یک ساختمان یا سازمان، و در ابعاد کوچک یک سالن یا تعدادی اتاق، را فراهم می‌کند. کاربرد شبکه‌های WPAN یا Wireless Personal Area Network برای موارد خانه‌گی است. ارتباطاتی چون Bluetooth و مادون قرمز در این دسته قرار می‌گیرند.

    شبکه‌های WPAN از سوی دیگر در دسته‌ی شبکه‌های Ad Hoc نیز قرار می‌گیرند. در شبکه‌های Ad hoc، یک سخت‌افزار، به‌محض ورود به فضای تحت پوشش آن، به‌صورت پویا به شبکه اضافه می‌شود. مثالی از این نوع شبکه‌ها، Bluetooth است. در این نوع، تجهیزات مختلفی از جمله صفحه کلید، ماوس، چاپگر، کامپیوتر کیفی یا جیبی و حتی گوشی تلفن همراه، در صورت قرارگرفتن در محیط تحت پوشش، وارد شبکه شده و امکان رد و بدل داده‌ها با دیگر تجهیزات متصل به شبکه را می‌یابند. تفاوت میان شبکه‌های Ad hoc با شبکه‌های محلی بی‌سیم (WLAN) در ساختار مجازی آن‌هاست. به‌عبارت دیگر، ساختار مجازی شبکه‌های محلی بی‌سیم بر پایه‌ی طرحی ایستاست درحالی‌که شبکه‌های Ad hoc از هر نظر پویا هستند. طبیعی‌ست که در کنار مزایایی که این پویایی برای استفاده کننده‌گان فراهم می‌کند، حفظ امنیت چنین شبکه‌هایی نیز با مشکلات بسیاری همراه است. با این وجود، عملاً یکی از راه حل‌های موجود برای افزایش امنیت در این شبکه‌ها، خصوصاً در انواعی همچون Bluetooth، کاستن از شعاع پوشش سیگنال‌های شبکه است. در واقع مستقل از این حقیقت که عمل‌کرد Bluetooth بر اساس فرستنده و گیرنده‌های کم‌توان استوار است و این مزیت در کامپیوترهای جیبی برتری قابل‌توجه‌یی محسوب می‌گردد، همین کمی توان سخت‌افزار مربوطه، موجب وجود منطقه‌ی محدود تحت پوشش است که در بررسی امنیتی نیز مزیت محسوب می‌گردد. به‌عبارت دیگر این مزیت به‌همراه استفاده از کدهای رمز نه‌چندان پیچیده، تنها حربه‌های امنیتی این دسته از شبکه‌ها به‌حساب می‌آیند.

منشأ ضعف امنیتی در شبکه‌های بی‌سیم و خطرات معمول

    خطر معمول در کلیه‌ی شبکه‌های بی‌سیم مستقل از پروتکل و تکنولوژی مورد نظر، بر مزیت اصلی این تکنولوژی که همان پویایی ساختار، مبتنی بر استفاده از سیگنال‌های رادیویی  به‌جای سیم و کابل، استوار است. با استفاده از این سیگنال‌ها و در واقع بدون مرز ساختن پوشش ساختار شبکه، نفوذگران قادرند در صورت شکستن موانع امنیتی نه‌چندان قدرت‌مند این شبکه‌ها، خود را به‌عنوان عضوی از این شبکه‌ها جازده و در صورت تحقق این امر، امکان دست‌یابی به اطلاعات حیاتی، حمله به سرویس دهنده‌گان سازمان و مجموعه، تخریب اطلاعات، ایجاد اختلال در ارتباطات گره‌های شبکه با یکدیگر، تولید داده‌های غیرواقعی و گمراه‌کننده، سوءاستفاده از پهنای‌باند مؤثر شبکه و دیگر فعالیت‌های مخرب وجود دارد.

    در مجموع، در تمامی دسته‌های شبکه‌های بی‌سیم، از دید امنیتی حقایقی مشترک صادق است :

             تمامی ضعف‌های امنیتی موجود در شبکه‌های سیمی، در مورد شبکه‌های بی‌سیم نیز صدق می‌کند. در واقع نه تنها هیچ جنبه‌یی چه از لحاظ طراحی و چه از لحاظ ساختاری، خاص شبکه‌های بی‌سیم وجود ندارد که سطح بالاتری از امنیت منطقی را ایجاد کند، بلکه همان گونه که ذکر شد مخاطرات ویژه‌یی را نیز موجب است.

            نفوذگران، با گذر از تدابیر امنیتی موجود، می‌توانند به‌راحتی به منابع اطلاعاتی موجود بر روی سیستم‌های رایانه‌یی دست یابند.

      اطلاعات حیاتی‌یی که یا رمز نشده‌اند و یا با روشی با امنیت پایین رمز شده‌اند، و میان دو گره در شبکه‌های بی‌سیم در حال انتقال می‌باشند، می‌توانند توسط نفوذگران سرقت شده یا تغییر یابند.

          حمله‌های DoS به تجهیزات و سیستم‌های بی‌سیم بسیار متداول است.

            نفوذگران با سرقت کدهای عبور و دیگر عناصر امنیتی مشابه کاربران مجاز در شبکه‌های بی‌سیم، می‌توانند به شبکه‌ی مورد نظر بدون هیچ مانعی متصل گردند.

             با سرقت عناصر امنیتی، یک نفوذگر می‌تواند رفتار یک کاربر را پایش کند. از این طریق می‌توان به اطلاعات حساس دیگری نیز دست یافت.

             کامپیوترهای قابل حمل و جیبی، که امکان و اجازه‌ی استفاده از شبکه‌ی بی‌سیم را دارند، به‌راحتی قابل سرقت هستند. با سرقت چنین سخت افزارهایی، می‌توان اولین قدم برای نفوذ به شبکه را برداشت.

             یک نفوذگر می‌تواند از نقاط مشترک میان یک شبکه‌ی بی‌سیم در یک سازمان و شبکه‌ی سیمی آن (که در اغلب موارد شبکه‌ی اصلی و حساس‌تری محسوب می‌گردد) استفاده کرده و با نفوذ به شبکه‌ی بی‌سیم عملاً راهی برای دست‌یابی به منابع شبکه‌ی سیمی نیز بیابد.

             در سطحی دیگر، با نفوذ به عناصر کنترل کننده‌ی یک شبکه‌ی بی‌سیم، امکان ایجاد اختلال در عمل‌کرد شبکه نیز وجود دارد.

    با مقدمه‌ی ذکر شده، در قسمت‌های آتی می‌توانیم به ویژه‌گی‌های این شبکه‌های، با تفکیک تکنولوژی‌های مرسوم، از بعد امنیتی بپردازیم و چگونه‌گی پیکربندی صحیح یک شبکه‌ی بی‌سیم را، برای بالابردن امنیت آن، بررسی کنیم.