Security Essentials
4 گام در سیستم عامل های مایکروسافتی معرفی شده که هرکس این 4 گام را در کامپیوترش رعایت کند ، می گویند کامپیوترش Health و سالم و امن هست.
این 4 گام عبارتند از:
1.Firewall always on
فایروال همیشه روشن باشد.
2. Antivirus always Update
آنتی ویروس داشته باشی و همیشه هم آپدیت باشد چون خیلی مهمه!
3.Antispyware always update
آنتی اسپای ور داشته باشی و همیشه هم آپدیت باشد.
4.Windows always update
ویندوز همیشه آپدیت باشد.
در شبکه های مایکروسافتی سروری داریم به نام NAP که مخفف Network Access Protection هست ، کار این سرور این هست که هر کسی وارد شبکه می شود آن 4 گام را روی آن تست می کند و بر اساس آن 4 تا امتیاز سالم بودن می دهد.
مثلا در این NAP سرور می توان تعیین کرد که هر کسی امتیازش زیر 50 شد نتواند به شبکه ما وارد شود.
تهدیداتی که در دنیای شبکه همیشه مارا تهدید می کنند:
1.virus: ویروس نام آشنا ترین تهدید هست که همه جا سروکله اش پیدا شده است.برنامه هایی هستند که برای اجرا شدن نیاز به Host دارند. یک جورایی حتما باید روی آن کلیک شود تا اجرا شود.
2. Worm: برنامه هایی که برای اجرا شدن نیاز به Host ندارند و فقط به دنبال کانکشن می گردند.
3.Trojan: برنامه هایی هستند که دو کار انجام می دهند:
الف- کنترل سیستم ما را به طرف مقابل می دهند.
ب- اطلاعات ما را ناخواسته ارسال می کنند.
به نظر شما کدام خطرناک تر هست؟
تروجان خطرناک ترین تهدید محسوب می شود و بعد از آن Worm و در مرحله آخر ویروس.
از کجا بفهمیم نرم افزاری که ما استفاده می کنیم تروجان هست یا خیر؟ یا اینکه تروجانی روی سیستم ما هست که بدون اجازه ما مشغول فعالیت باشد؟
Task Manager را باز کنید (Ctrl + Alt+Del را به صورت ترکیبی همزمان بگیرید) ، به سربرگ Processes بروید و از سربرگ view گزینه Select Columns را انتخاب کنید و از پنجره ظاهر شده گزینه PID (Process Identifier) را انتخاب کنید و OK بزنید.
حالاپروسه هایی که PID اونها زیر 1024 باشدو در مود کاربری هم در حال اجرا باشند یعنی در ستون یوزرنیم اسم کامپیوتر شما باشد ، و برای خود سیستم هم نباشد(مثلا explorer برای خود سیستم هست و PID اش زیر 1000 هست) ، صددرصد تروجان هست.
اما از کجا بفهمیم که سیستم ویروسی هست یا خیر؟
در Run ویندوز تایپ می کنیم Msconfig و Ok می کنیم.
در پنجره ظاهر شده ، وارد سربرگ Startup می شویم. همه نرم افزارهایی که موقع استارت آپ باید اجرا شوند بی چون وچرا اینجا هستند . حال اگر نرم افزاری نام نداشت و یا اسم عجیب و غریب داشت و در اینجا جلوی نامش تیک خورده بود صددرصد ویروس هست.
البته راه ازبین بردنش به سادگی برداشتن تیک جلوی آن نیست ولی از این طریق حداقل مطمئن می شوید که ویروسی هستید.
خب از اینجا به بعد بحث Firewall رو شروع می کنم که ممکن است به خودی خود چندین جلسه به درازا بکشد.
Firewall
نرم افزار یا سخت افزاری است که بر اساس Rule ها یا قوانینی که ما برای آن تعیین می کنیم، جلوی برخی از ترافیک ها را می بندد و یا به برخی از ترافیک ها اجازه عبور می دهد.
فایروال ها می توانند سخت افزاری باشند مثل: PIX و ASA و UTM و Cyberoam
و میتوانند نرم افزاری باشند مثل: Windows Firewall و ISA و Zone alarm
فایروال ها به خودی خود کاری انجام نمی دهند و آنها بر اساس Rule هایی که ما نوشتیم کانفیگ می شوند.
فایروال ها در مواجهه با ترافیک سه کار انجام می دهند:
1.Allow: اجازه عبور می دهند.
2. Deny: جلوی ترافیک را می بندند.
3.Reject: جلوی ترافیک را می بندند و خبر هم می دهند که این کار را کردند.
ما دونوع فایروال در ویندوزهای NG مثل 7 داریم :
1. Windows Firewall: این فایروال رو به صورت مشترک هم ویندوزهای Legacy دارند هم ویندوزهای Next Generation.
2.Windows firewall with advanced security: این را فقط ویندوزهای NG مثل 7 و Vista دارند.
نکته ای که وجود دارد این هست که ما تا قبل از 2004 به فایروال ویندوز XP، ویندوز Firewall نمی گفتیم، و همزمان با آمدن XP sp2 این اسم اختصاص پیدا کرد.
نام قبلی فایروال ویندوز XP، ICF بود که مخفف Internet Connection Firewall هست.
از سال 2004 به بعد که نام فایروال ویندوز تغییر کرد، کنسولی به ویندوز اضافه شد به نام Security Center که این کنسول در ویندوز7 به نام Action Center تغییر نام پیدا کرد.
اما از نکات بگذریم همانطور که در بالا گفتیم دو نوع فایروال در ویندوزهای NG وجود داشت ، فرقشان در چیست؟
ویندوز فایروال که در XP هم وجد داشت ، فقط می تواند جلوی ترافیک Inbound را بگیرد، یعنی ترافیک هایی که از بیرون قصد داشتند به سیستم ما وارد شوند.
اما Windows Firewall With advanced security هم می تواند جلوی ترافیک Inbound را بگیرد و هم جلوی ترافیک Outbound .به این فایروال ها در اصطلاح Two-way stateful-Inspection Windows Firewall هم می گویند.
اما فایروال ها در چه لایه هایی از مدل هفت لایه ای OSI کار می کنند؟
فایروال ها در لایه 2 (Data Link) و 3 (Network) و 4 (Transport) و 5 (Session) و 7 (Application) کار می کنند.
یک به یک به توضیح آنها می پردازیم:
- اون دسته از فایروال هایی که در لایه Data Link یعنی لایه دو کار می کنند ، فیلترینگشان بر اساس Mac Address هست یعنی اگر بخواهند فیلتر کنند با مک فیلتر می کنند.
- اون دسته از فایروال هایی که در لایه نتورک یعنی لایه 3 فعالیت می کنند، اساس فیلترینگشان براساس IP هست.
- فایروال هایی که در لایه Transport فعالیت می کنند اساس فیلترینگشان براساس Port و کلا براساس Protocol Type هست.
به فایروال هایی که در لایه 3 یعنی Network و لایه 4 یعنی Transport کار می کنند اصطلاحا Packet Filter می گویند
اساس فیلترینگ این فایروال های بر اساس Source IP و Destination IP و Source Port و Destination Port و Protocol Type هست.
- فایروال هایی که در لایه Session فعالیت می کنند اساس فیلترینگشان براساس Session هست.
فایروال هایی که بر اساس Session فعالیت می کنند،جدولی دارند به نام State Table . هر کانکشی که بین دو سیستم زده می شود، در این جدول یادداشت می شود به این صورت که کانکشن فلان ، امروز سر ساعت فلان به فلان کامپیوتر تشکیل شد.
به نظر شما چه لزومی دارد که این کار انجام شود و Session ها به شدت مانیتور شوند؟
بهتر است مثالی عملی در این زمینه بزنم تا کاملا متوجه شوید که چقدر حضور این فایروال ها الزامی است.
تا سال 2005 تکنیکی وجود داشت به نام Session Hijacking ، به معنای دزدیدن Session که دیگر امروزه منسوخ شده است.
روش کار آن به این صورت بود که شخص یوزر نیم وپسورد خریداری می کرد، به سرور وصل می شد و شروع به دانلود اطلاعات می کرد.
شخص هکر می آمدروی Session ها ، ما را از Session اخراج می کرد و خودش شروع به دانلود می کرد.
از سال 2005 به بعد سرور به هر ارتباطی که برقرار می شود، سوال می پرسد و اجازه نمی دهد که اشخاص بدون اجازه دانلود کنند.
به این فایروال ها که در لایه 5 یعنی Session کار می کنند در اصطلاح Stateful می گویند.
- فایروال هایی که در لایه Application کار می کنند، اساس فیلترینگشان بر اساس Application و حتی Content و محتوا می باشد.. مثلا یک لغت خاص را فیلتر می کنیم که اجازه دسترسی به اینترنت را نداشته باشد.
فایروال ویندوز فقط می تواند Packet Filter و Stateful باشد. یعنی در لایه های 3 و 4 و 5 می تواند کار کند.
نکته ای که در اینجا وجود دارد این هست که داشتن تنها فایروال دلیلی بر ایجاد امنیت داخل یک شبکه نیست!! زیرا فایروال به تنهایی مکمل ندارد و باید مکمل های فایروال نصب کنیم.
IDS و IPS مکمل فایروال ها هستند.
IDS مخفف Intrusion Detection System هست که یک سیستم محافظتی است که خرابکاری های در حال وقوع روی شبکه را شناسایی می کند . یکجور یک سیستم مزاحم یاب هست. فقط تشخیص می دهد که به شبکه حمله شده یا داره حمله میشه.اما کار خاصی انجام نمی دهد و به فایروال ها و آنتی ویروس ها ارجاع می دهد.
اما IPS: مخفف Intrusion Prevention System هست که علاوه بر تشخیص ، اقدام به خنثی کردن خرابکاری هم می کند. IPS داخل خودش IDS هم دارد. یعنی تشخیص هم می دهد.
قویترین IPS دنیا Snort هست که سایت آن Snort.org هست که کاملا Free هست البته نسخه پولی هم دارد.
فرق نسخه Free اش با نسخه پولی اش این هست که نسخه Free ماهانه آپدیت می شودو نسخه پولی اش لحظه ای.
مشکلش این هست که کارکردن باهاش سخت هست و کنسول گرافیکی ندارد.
این نرم افزار یک تحلیلگر امنیتی محسوب می شود و داخل خودش هسته آی پی اس Snort را به صورت گرافیکی دارد.
این IPS سیستم عامل Live دارد و وقتی بالا می آید کنسول Web Base دارد.
وبسایت جناب آقای پدرام حیاتی مقاله فارسی رو تحت عنوان آشنایی با سامانه های کشف مزاحمت و آشنایی با Snort منتشر کرده که از اینجا فایل word رو میتونید دانلود کنید و مطالعه بفرمایید.
قبول دارم که مبحث IDS و IPS کمی سنگین شد. سعی میکنم در آینده اگر لینک و سورس های مفیدی در این زمینه پیدا کردم در همین قسمت بگذارم تا با هم این مبحث رو بیشتر وبیشتر یاد بگیریم.
امیدورام جلسه امروز مفید واقع شده باشد. جلسه امروز بیش از حد تئوری شد ، قول می دهم جلسه آینده کاملا عملی بحث فایروال ها رو دنبال کنیم. موفق باشید.
پایان جلسه هفدهم
موضوعات مرتبط: آموزش شیکه Mcitp