امنیت کافینت(2)

خوب ما تا اينجا رسيديم كه چطور رو cd rom يا فايل هامون پسورد بزاريم حالا ميخوام دسترسي user ها رو به جاهاي مختلف منع كنيم واسه اينكار از همون پنجره سمت راست مجدد گزينه new patch rule رو ميزنيد و از browese به اين مسير ميريد
1.C:\WINDOWS\regedit.exe با زدن گزينه disallowed اجازه دسترسي به رجيستري رو هم قطع ميكنيد حالا اين كار چند تا خوبي داره چند تا بدي به ترتيب ميگم براتون
1. با اينكار user حق اضافه يا كم كردن هيچ key رو به رجيستري نداره خوب بچه هاي عاقلم اگر گفتين اين يعني چي يعني اينكه سيستم شما در مقابل 99٪ از ويروساي كه پخش ميشن امن شده چرا؟ چون ويروس نميتونه توي رجيستري توي شاخه run خودش رو add كنه و با روشن و خاموش شدن سيستم نميتونه فعال بشه من خودم اينو 200 بار تستش هم كردم حتي تروجان ها هم نميتونن عمل كنن اما خوب حالا مشكلي رو كه پيدا ميكنه سيستم ميشه چي؟
2. ميشه اينكه شما واسه نصب هر برنامه جديد دچار مشكل ميشين مگر اينكه با admin بياين بالا يا اينكه دوباره همين مراحل رو بريد و رجيستري رو ازاد كنيد و بعد از نصب مجدد ببندينش اما يك راه الن كه اينو گفتم رسيده به ذهنم كه تست ميكنم رو سيستم خودم بعد بهتون ميگم اما بنظرو در كل ارزشش رو داره بستن رجيستري

خوب حالا براي بستن command به اين شاخه ميرين
C:\WINDOWS\system32\cmd.exe
و مراحل بالا رو تكرار ميكنيد يعني گزينه dissalow رو ميزنيد

حالا بهترين جاش اگر گفتين چيه ؟
خوب بريم سراغه كنترل پنل حالا مثلا ميخوايد add remov رو بردارين چند تا راه دارين يكيش اضافه كردن يك value به رجيستري هست كه الان تو ذهنم ندارمش كامل و يكي ديگش هم تكرار اين مراحل و رفتن به مسير زير
3.C:\WINDOWS\system32\appwiz.cpl


خوب حالا اينجا هم تعدادي از مسير ها و كارشون رو ميگم ديكه بزار يكم هم سيستما شما خراب شه (اخه من تا اينا رو ياد گرفتم 20 تا 30 تا ويندوز نصب كردم

1.C:\WINDOWS\system32\desk.cpl با اين ميتونيد پنجره display propertis رو بر دارين يعني چي هان؟ عيني اينكه باباي user هم بياد نميتونه backgrounde شما رو عوض كنه و كلا حق هيچ گونه دسترسي به تنضيمات نمي با شددد

2.C:\WINDOWS\system32\hdwwiz.cpl
براي حذف و عدم دسترسي به add remove hardwer

3.C:\WINDOWS\system32\access.cpl
براي عدم دسترسي به accessibility options

4.C:\WINDOWS\system32\nusrmgr.cpl
براي عدم دسترسي به قسمت تعريف يوزر

خوب گمونم اندازه كافي سيستمتون رو ميتونيد با اينها خراب كنيد
+ نوشته شده در یکشنبه سی ام مرداد ۱۳۸۴ ساعت 19:26 توسط امیر  | 

امنیت کافینت(1)

خوب اولين قدم اينه كه يك usere محدود درست كنيد و واسه اينكار توي منوي run اين متن رو وارد مي كنيد control userpasswords2 بعدش توي صفحه user accounts يدونه از user ها رو انتخاب ميكنين يا اينكه يدونه براش تعريف ميكنين بعد با زدن دكمه properties و رفتن به گزينه group membership گزينه دوم رو انتخاب مي كنيد كه نوشته restricted user و دكمه ok رو ميزنين و خارج ميشين با اين كار user محدود دارين اما مشكل اينه كه اين userهنوز خيلي كارا ميتونه كنه ميتونه برنامه نصب كنه ميتونه بره تو رجيستري ميتونه بره داخل پرامپت و از همه مهم تر دستكاري تنضيمات شبكه و ... حالا واسه اينكه حتي اجازه نداشته باشه cd-rom يا flopy رو بدون پسورد باز كنه اين مراحل رو طي ميكنين از control panel به قسمت administrator tools وارد ميشين و از اونجا local Security policy رو باز ميكنيد بعد از قسمت سمت راست روي گزينه software restriction policie يدونه كليك مي كنين و در حالي كه رنكش آبي شده از منوي action گزينه create new action رو انتخاب ميكنيد بعد از صفحه اي كه سمت چپ بهتون ميده گزينه additional rules رو انتخاب ميكنيد حالا اينجا اگر دقت كرده باشين به يك رشته از رجيستر هست مثلا اين %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% با زدن رو اين عبارت و با انتخاب گزينه disallow از گزينه security level اجازه دسترسي user رو به شاخه program fail ممنوع ميكنيد مگر اينكه پسورد داشته باشه و واسه اينكه خودتون بتونيد وارد بشين با راست كليك كردن رو پوشه مورد نظر و انتخاب گزينه run as ميتونيد خودتون وارد بشين حالا برا اينكه روي cd rom يا فلاپي پس بزارين هم همون قسمت سمت چپ راست كليك ميكنيد و گزينه new path rule رو انتخاب ميكنيد و از منو browse درايو cdrom رو انتخاب ميكنيد و گزينه disallowed رو ميزنين و بعد هم ok
حالا برا بستن باقي قسمت ها هم باشه واسه ادامه فقط يك چيزي مثل من شوت بازي در نيارين و برين گند بزنين به سيستم اخه من موقعي كه اينارو تمرين مي كردم 7 تا ويندوز عوض كردم خوب نظر بدين كه اگر خوب بود برم بقيشم بنويسم
+ نوشته شده در یکشنبه سی ام مرداد ۱۳۸۴ ساعت 19:24 توسط امیر  | 

روشهايي براي حفاظت از شبکه ها

به گزارش سايت آشيانه، ما براي ايمن کردن شبکه هايي که بر پايه TCP/IP هستند از حفاظت لايه کاربردي ، لايه سوکت حفاظت شده يا Secure Socket Layer) ssl) و حفاظت پروتکل اينترنت (IPSec) استفاده مي کنيم .

حفاظت لايه کاربردي
TCP/IP شامل عملياتهاي حفاظتي نمي باشد و بجاي آن برنامه هايي که TCP/IP را به کار مي گيرند خودشان امنيت داده ها را به عهده مي گيرند . اگر برنامه کاربردي به اطمينان نياز داشت ، تهيه کنندگان برنامه کاربردي مجبور بودند قابليت هاي پنهان سازي را به برنامه هاي کاربردي اضافه کنند . براي شناسايي تهيه کنندگان برنامه کاربردي گاهي اوقات از امضاء ديجيتالي استفاده مي کنند تا مشخص کنند که داده از کجا مي آيد .
وقتي که برنامه کاربردي بررسي از جامعيت داده را نيازمند بود مجبور بود تا يک سرجمع کدنويسي شده قوي را شامل شود . برنامه کاربردي داده رابا استفاده از اين تکنيک ها ، قبل از فرستادن به پشته TCP/IP براي نقل و انتقال محافظت مي کند . ابزار بسياري براي حفاظت داده در لايه کاربردي توسعه يافته اند ولي فقط براي گونه هايي از برنامه هاي کاربردي مفيدند . از ابزارهايي که براي محافظت لايه برنامه کاربردي که به طور گسترده استفاده مي شوند مي توان به PGP و S/MIME و SSH اشاره کرد .
PGP براي کد گذاري و امضا کردن ديجيتالي فايل ها که مي توانند به وسيله بعضي از نرم افزارهاي به اشتراک گذاري فايل مانند سيستم فايل شبکه يا Windows File Sharing يا FTP فرستاده شوند . هر دو نسخه رايگان و تجاري PGP امروزه براي email و فرستادن فايل به طور گسترده استفاده مي شود . S/MIME يک استاندارد استفاده شونده گسترده براي حفاظت email در سطح برنامه هاي کاربردي است . اکثر کلاينت هاي مهم email امروزي مثل Microsoft Outlook ابزار S/MIME را پشتيباني مي کنند . SSH يا Secure Shell يک دسترسي از راه دور به کاربر مي دهد تا اعلاني را در طول نشست امن فرمان دهد . نسخه رايگان SSH به همراه سورس کد آن در سايت http://www.openssh.com براي دانلود موجود است و نسخه هاي تجاري SSH در سايت http://www.ssh.com قابل دسترسي اند ولي به يک نکته امنيتي درباره SSH اشاره کنم که نسخه هاي پايين SSH و OpenSSH داراي حفره هاي آسيب پذير هستند که به ما اجازه نفوذ به سرورهاي Unix و Linux و به دست گرفتن کنترل کامل سرور را از راه دور مي دهند و چون SSH و OpenSSH به روي پورت 22 سرورهاي Unix و سرورهاي مبتني بر کد باز نصب مي شوند مورد علاقه هکرها هستند و اگر قرار باشد که SSH در سيستم ما نصب شود بهتر است از آخرين نسخه آن و به همراه Patch ها و اصطلاحات امنيتي ارائه شده ار سوي شرکت SSH استفاده کنيم و راه نفوذ به پورت 22 را با اينکار ببنديم .

The Secure Socket Layer
سايتها و سرورهاي معتبر در سراسر جهان از ابزار SSL به صورت گسترده استفاده مي کنند . SSL به برنامه کاربردي اجازه اعتبار سنجي و کدگذاري کردن ارتباطات در طول شبکه را مي دهند . برنامه کاربردي که به حفاظت نياز داشته باشد بايد از SSL استفاده کند تا همه فايل ها - بسته ها و داده هايي که در طول شبکه فرستاده مي شوند را کدگذاري کند و اطلاعات را به پشته TCP/IP منتقل نمايد . SSL مي تواند يک راه اعتبارسنجي سرور به سرور را تهيه کند و هم مي تواند اعتبارسنجي هم سرور و هم کلاينت مثل کامپيوتر شما را با تأمين اينکه هر دو طرف شناسنامه ديجيتالي را شناسايي کرده اند حمايت کند . براي اينکه کار SSL را بهتر درک کنيد من يک مثال مي زنم ، بارها شده شما به سايت هاي مختلف از جمله ياهو يا آشيانه ... مراجعه کرديد بدون اينکه به قسمت پايين مرورگر وب خودتان توجه کرده باشيد ، وقتي شما سايت وب حفاظت شده اي را باز مي کنيد و عکس کليدي که در قسمت پايين و گوشه سمت راست مرورگر اينترنتتان به صورت قفل شده نشان داده مي شود ، Internet Explorer شما ارتباط SSL را با آن سايت برقرار کرده و مشخصاتش را تغيير داده است .
وقتي که از HTTPS استفاده مي کنيد شما واقعاً پروتکل HTTP روي SSL که البته توسط TCP/IP حمل شده است را اجرا مي کنيد چون SSL اغلب با مرورگر وب و HTTP در ارنباط است و به همين دليل امروزه در اکثر سايت هاي معتبر از SSL استفاده مي شود . SSL امنيت بالايي را مهيا مي کند اما براي اينکه در هر برنامه کاربردي مورد استفاده قرار گيرد ، هر برنامه سرور و کلاينت بايد دوباره تهيه شوند تا قابليت هاي SSL را شامل شوند و اگر شما حفاظت SSL را براي FTP يا Telnet مي خواهيد بايد سرور و کلاينت برنامه کاربردي که SSL را ساپورت مي کنند را پيدا يا خلق کنيد . ولي چون در دنياي هکرها هيچ چيز غير ممکن نيست مي توان با استفاده از روشهايي مثل Sniffing و برنامه هايي مثل Achilles که ابزاري است براي ويرايش کوکي ها به سرورهايي که حتي از SSL استفاده مي کنند نفوذ کرد که در درس هاي بعدي طرز کار با اين برنامه ها را برايتان توضيح مي دهم .

حفاظت پروتکل اينترنت IPSecure
IPSec نسخه ايمن پروتکل اينترنت يعني IP است و امنيت را دقيقاً در پشته TCP/IP ايجاد مي کند . بنابراين برنامه هايي که از IP استفاده مي کنند با استفاده از IPSec مي توانند ارتباط امني را بدون هيچ تغييري در برنامه شان ( کاري که SSL با تغيير در برنامه ها انجام مي داد و وقت گير بود ) ايجاد کنند . IPSec در لايه IP اعمالي از قبيل پيشنهاد اعتبار سنجي داده مبدأ ، خصوصي سازي ، جامعيت داده و حفاظت در برابر پاسخها را انجام مي دهد . هر دو سيستمي که با نسخه هاي يکساني از IPSec باشتد مي توانند به طور حفاظت شده در طول شبکه ، از جمله کامپيوتر من و سرور شما يا سرور من و ديواره آتش شما و يا فايروال شما و مسيرياب من ارتباط برقرار کنند . از آنجايي که IPSec در لايه IP عرضه شده است هر پروتکل با لايه بالاتر مانند UDP - TCP مي تواند از IPSec بهره ببرند . مهمتر از همه اينکه هر برنامه کاربردي در بالاي آن پروتکل لايه بالاتر مي تواند از قابليت هاي حفاظتي IPSec بهره ببرد . IPSec در نسخه 4 ، IP که من و شما هر روز در اينترنت استفاده مي کنيم جاسازي شده است .
IPSec همچنين در نسل بعدي آيپي به عنوان IP نسخه 6 ساخته شده است . IPSec از دو پروتکل تشکيل شده است ، هدر شناسايي AH و ESP که هر کدام قابليت هاي حفاظتي خودشان را نشان مي دهند . اين نکته را هم ذکر کنم که AH و ESP مي توانند به طور مستقل و يا با هم در يک بسته استفاده شوند . ولي متأسفانه IPSec هنوز به عنوان يک ابزار عمومي براي حفاظت از ارتباطات در سراسر اينترنت استفاده نمي شود و دلايل مختلفي هم براي اينکار وجود دارد که البته اميدواريم در آينده اي نزديک بتوانيم از IP نسخه 6 که از IPSec به صورت ايمن تر بهره مي برد در کشورمان ايران استفاده کنيم .
+ نوشته شده در سه شنبه چهارم مرداد ۱۳۸۴ ساعت 18:26 توسط امیر  | 

كاربرد پراكسي در  امنيت شبكه (۲)

در مقايسه فايروال‌ها، ما مفهومي از پراكسي ارائه مي‌دهيم و پراكسي را از فيلتركننده بسته‌ها متمايز مي‌كنيم. با پيش‌زمينه‌اي كه از پراكسي در شماره قبل بيان كرديم، مي‌توانيم در اينجا مزاياي پراكسي‌ها بعنوان ابزاري براي امنيت را ليست كنيم:

·   با مسدود كردن روش‌هاي معمول مورد استفاده در حمله‌ها، هك‌كردن شبكه شما را مشكل‌تر مي‌كنند.

·   با پنهان كردن جزئيات سرورهاي شبكه شما از اينترنت عمومي، هك‌كردن شبكه شما را مشكل‌تر مي‌كنند.

·   با جلوگيري از ورود محتويات ناخواسته و نامناسب به شبكه شما، استفاده از پهناي باند شبكه را بهبود مي‌بخشند.

·   با ممانعت از يك هكر براي استفاده از شبكه شما بعنوان نقطه‌ شروعي براي حمله ديگر، از ميزان اين نوع مشاركت مي‌كاهند.

·   با فراهم‌آوردن ابزار و پيش‌فرض‌هايي براي مدير شبكه شما كه مي‌توانند بطور گسترده‌اي استفاده شوند، مي‌توانند مديريت شبكه شما را آسان سازند.

بطور مختصر مي‌توان اين مزايا را اينگونه بيان كرد؛ پراكسي‌ها به شما كمك مي‌كنند كه شبكه‌تان را با امنيت بيشتر، موثرتر و اقتصادي‌تر مورد استفاده قرار دهيد. بهرحال در ارزيابي يك فايروال، اين مزايا به فوايد اساسي تبديل مي‌شوند كه توجه جدي را مي‌طلبند.

برخي انواع پراكسي

تا كنون به پراكسي بصورت يك كلاس عمومي تكنولوژي پرداختيم. در واقع، انواع مختلف پراكسي وجود دارد كه هركدام با نوع متفاوتي از ترافيك اينترنت سروكار دارند. در بخش بعد به چند نوع آن اشاره مي‌كنيم و شرح مي‌دهيم كه هركدام در مقابل چه نوع حمله‌اي مقاومت مي‌كند.

البته پراكسي‌ها تنظيمات و ويژگي‌هاي زيادي دارند. تركيب پراكسي‌ها و ساير ابزار مديريت فايروال‌ها به مديران شبكه شما قدرت كنترل امنيت شبكه تا بيشترين جزئيات را مي‌دهد. در ادامه به پراكسي‌هاي زير اشاره خواهيم كرد:

·   SMTP Proxy

·   HTTP Proxy

·   FTP Proxy

·   DNS Proxy

SMTP Proxy

‌پراكسي SMTP (Simple Mail Transport Protocol) محتويات ايميل‌هاي وارد شونده و خارج‌شونده را براي محافظت از شبكه شما در مقابل خطر بررسي مي‌كند. بعضي از تواناييهاي آن اينها هستند:

·   مشخص كردن بيشترين تعداد دريافت‌كنندگان پيام: اين اولين سطح دفاع عليه اسپم (هرزنامه) است كه اغلب به صدها يا حتي هزاران دريافت‌كننده ارسال مي‌شود.

·   مشخص كردن بزرگترين اندازه پيام: اين به سرور ايميل كمك مي‌كند تا از بار اضافي و حملات بمباران توسط ايميل جلوگيري كند و با اين ترتيب مي‌توانيد به درستي از پهناي باند و منابع سرور استفاده كنيد.

·   اجازه دادن به كاراكترهاي مشخص در آدرسهاي ايميل آنطور كه در استانداردهاي اينترنت پذيرفته شده است: چنانچه قبلاً اشاره شد، بعضي حمله‌ها بستگي به ارسال كاراكترهاي غيرقانوني در آدرسها دارد. پراكسي مي‌تواند طوري تنظيم شود كه بجز به كاراكترهاي مناسب به بقيه اجازه عبور ندهد.

·   فيلتركردن محتوا براي جلوگيري از انواعي محتويات اجرايي: معمول‌ترين روش ارسال ويروس، كرم و اسب تروا فرستادن آنها در پيوست‌هاي به ظاهر بي‌ضرر ايميل است. پراكسي SMTP مي‌تواند اين حمله‌ها را در يك ايميل از طريق نام و نوع، مشخص و جلوگيري كند، تا آنها هرگز به شبكه شما وارد نشوند.

·   فيلتركردن الگوهاي آدرس براي ايميل‌هاي مقبول\مردود: هر ايميل شامل آدرسي است كه نشان‌دهنده منبع آن است. اگر يك آدرس مشخص شبكه شما را با تعداد بيشماري از ايميل مورد حمله قرار دهد، پراكسي مي‌تواند هر چيزي از آن آدرس اينترنتي را محدود كند. در بسياري موارد، پراكسي مي‌تواند تشخيص دهد چه موقع يك هكر آدرس خود را جعل كرده است. از آنجا كه پنهان كردن آدرس بازگشت تنها دلايل خصمانه دارد، پراكسي مي‌تواند طوري تنظيم شود كه بطور خودكار ايميل جعلي را مسدود كند.

·   فيلتركردن Headerهاي ايميل:Headerها شامل ديتاي انتقال مانند اينكه ايميل از طرف كيست، براي كيست و غيره هستند. هكرها راه‌هاي زيادي براي دستكاري اطلاعات Header براي حمله به سرورهاي ايميل يافته‌اند. پراكسي مطمئن مي‌شود كه Headerها با پروتكل‌هاي اينترنتي صحيح تناسب دارند و ايميل‌هاي دربردارنده headerهاي تغييرشكل‌داده را مردود مي‌كنند. پراكسي با اعمال سختگيرانه استانداردهاي ايميل نرمال، مي‌تواند برخي حمله‌هاي آتي را نيز مسدود كند.

·   تغييردادن يا پنهان‌كردن نامهاي دامنه و IDهاي پيام‌ها: ايميل‌هايي كه شما مي‌فرستيد نيز مانند آنهايي كه دريافت مي‌كنيد، دربردارنده ديتاي header هستند. اين ديتا بيش از آنچه شما مي‌خواهيد ديگران درباره امور داخلي شبكه شما بدانند، اطلاعات دربردارند. پراكسي SMTP مي‌تواند بعضي از اين اطلاعات را پنهان كند يا تغيير دهد تا شبكه شما اطلاعات كمي در اختيار هكرهايي قرار دهد كه براي وارد شدن به شبكه شما دنبال سرنخ مي‌گردند.

در شماره بعد بررسي انواع ديگر پراكسي را ادامه خواهيم داد.
+ نوشته شده در سه شنبه چهارم مرداد ۱۳۸۴ ساعت 18:3 توسط امیر  | 

کاربرد پراکسی در  امنیت شبکه (۱)

بعد از آشنایی با پراکسی در مقاله «پراکسی سرور» در این مقاله به این مطلب می پردازیم که از دیدگاه امنیتی پراکسی چیست و چه چیزی نیست، از چه نوع حملاتی جلوگیری می کند و به مشخصات بعضی انواع پراکسی پرداخته می شود. البته قبل از پرداختن به پراکسی بعنوان ابزار امنیتی، بیشتر با فیلترها آشنا خواهیم شد.

پراکسی چیست؟

در دنیای امنیت شبکه، افراد از عبارت «پراکسی» برای خیلی چیزها استفاده می کنند. اما عموماً، پراکسی ابزار است که بسته های دیتای اینترنتی را در مسیر دریافت می  کند، آن دیتا را می  سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می  دهد. در اینجا از پراکسی به معنی پروسه  ای یاد می  شود که در راه ترافیک شبکه  ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می  گیرد و آن را می  سنجد تا ببیند با سیاست های امنیتی شما مطابقت دارد و سپس مشخص می  کند که آیا به آن اجازه عبور از فایروال را بدهد یا خیر. بسته  های مورد قبول به سرور مورد نظر ارسال و بسته های ردشده دور ریخته می  شوند.

پراکسی چه چیزی نیست؟

پراکسی ها بعضی اوقات با دو نوع فایروال اشتباه می  شوند «Packet filter  و  Stateful packet filter» که البته هر کدام از روش ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد

پراکسی با Packet filter تفاوت دارد

ابتدایی ترین روش صدور اجازه عبور به ترافیک بر اساس TCP/IP این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه قرار می گیرد و اطلاعات آدرس را در header IP ترافیک دیتایی که بین آنها عبور می  کند، پیمایش می کند. اطلاعاتی که این نوع فیلتر ارزیابی می کند عموماً شامل آدرس و پورت منبع و مقصد می  شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و بر اساس قوانین ایجاد شده توسط مدیر شبکه بسته را می پذیرد یا نمی پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که header، تمام آن چیزی است که سنجیده می شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد نمی  بیند و به محتوای آسیب رسان اجازه عبور از فایروال را می دهد. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می کند و وضعیت (State) ارتباط را دنبال نمی کند.

 

پراکسی با Stateful packet filter تفاوت دارد

این فیلتر اعمال فیلتر نوع قبل را انجام می دهد، بعلاوه اینکه بررسی می کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت (State) شناخته می  شود.

پروتکل ارتباطی TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP عادی، کامپیوتر A سعی می کند با ارسال یک بسته SYN (synchronize) به کامپیوتر B ارتباط را برقرار کند. کامپیوتر B در جواب یک بسته SYN/ACK (Acknowledgement)  برمی گرداند، و کامپیوتر A یک ACK به کامپیوتر ‍B می فرستد و به این ترتیب ارتباط برقرار می شود. TCP اجازه وضعیتهای دیگر، مثلاً   FIN (finish) برای نشان  دادن آخرین بسته در یک ارتباط را نیز می دهد.

هکرها در مرحله آماده سازی برای حمله، به جمع آوری اطلاعات در مورد سیستم شما می پردازند. یک روش معمول ارسال یک بسته در یک وضعیت غلط به منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ (Reply) به سیستمی که تقاضایی نکرده، می فرستند. معمولاً، کامپیوتر دریافت کننده بیاید پیامی بفرستد و بگوید “I don’t understand” . به این ترتیب، به هکر نشان می دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می  تواند سیستم عامل مورد استفاده را نیز مشخص کند، و برای یک هکر گامی به جلو باشد. یک فیلتر Stateful packet منطق یک ارتباط TCP/IP را می فهمد و می تواند یک “Reply” را که پاسخ به یک تقاضا نیست، مسدود کند ـــ آنچه که یک فیلتر packet ردگیری نمی کند و نمی  تواند انجام دهد. فیلترهای Stateful packet می توانند در همان لحظه قواعدی را مبنی بر اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم تر است. این امنیت محکم تر، بهرحال، تا حدی باعث کاستن از کارایی می شود.  نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می کند.

 

پراکسی ها یا Application Gateways

Application Gateways که عموماً پراکسی نامیده می شود، پیشرفته ترین روش استفاده شده برای کنترل ترافیک عبوری از فایروال ها هستند. پراکسی بین کلاینت و سرور قرار می گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرار شده، می سنجد. پراکسی بار واقعی تمام بسته  های عبوری بین سرور و کلاینت را می سنجد، و می  تواند چیزهایی را که سیاستهای امنیتی را نقض می  کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته ها فقط headerها را می سنجند، در حالیکه پراکسی ها محتوای بسته را با مسدود کردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا، ActiveX و ... غربال می کنند.

پراکسی ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می  سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی ها می توانند کاراکترهای غیرقانونی یا رشته های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی ها تمام اعمال فیلترهای ذکرشده را انجام می دهند. بدلیل تمام این مزیتها، پراکسی ها بعنوان یکی از امن ترین روشهای عبور ترافیک شناخته می شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته ها را پیمایش می کنند. بهرحال «کندتر» بودن یک عبارت نسبی است.

آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه ای است. پراکسی ها باعث کندی سرعت ترافیک در تست های آزمایشگاهی می شوند اما باعث کندی سرعت دریافت کاربران نمی شوند. در شماره بعد بیشتر به پراکسی خواهیم پرداخت.

 
+ نوشته شده در سه شنبه چهارم مرداد ۱۳۸۴ ساعت 18:0 توسط امیر  |