راهکارهایی که برای تامین امنیت سرور باید به آن‌ها دقت کنید

امنیت سرور چیست؟

امنیت سرور در ساده‌ترین تعریف به فرایندها، ابزارها و خط‌مشی‌هایی اشاره دارد که برای محافظت از داده‌ها و دارایی‌های ارزشمند میزبانی شده روی سرور و محافظت از منابع سرور از آن‌ها استفاده می‌شود. به‌طور معمول، سرورها میزبان اطلاعات حساسی هستند که هکرها علاقه زیادی به آن‌ها دارند و سعی می‌کنند به روش‌های مختلف به این اطلاعات دسترسی پیدا کرده، آن‌ها را خراب کرده یا اطلاعات جعلی را با اطلاعات واقعی روی سرور ترکیب کنند. کارشناسان شبکه و امنیت برای کارآمدتر کردن راه‌حل‌های امنیتی از مکانیزم لایه‌بندی امنیتی استفاده می‌کنند، به‌طوری که ابتدا مشکلات احتمالی شبکه، سیستم‌عامل سرور، نرم‌افزارهای کاربردی و در نهایت چالش‌های محیط فیزیکی را شناسایی و طبقه‌بندی می‌کنند و در ادامه راه‌حلی برای غلبه بر مشکلات پیشنهاد می‌کنند. 

مسائل مشترک امنیتی سرور

به‌طور معمول، سرورها با چالش‌های نرم‌افزاری تقریبا مشابهی روبرو هستند که مشکلات امنیتی را به وجود می‌آورند. کارشناسان شبکه برای شناسایی و رفع مشکلات امنیتی سرورها از مکانیزمی به‌نام چک‌لیست امنیتی استفاده می‌کنند. در این چک‌لیست تمامی مواردی که نیازمند رسیدگی هستند درج و اولویت‌بندی می‌شوند و بر مبنای اولویتی که دارند به آن‌ها رسیدگی می‌شود. از مسائل امنیتی مشترک سرورها به موارد زیر باید اشاره کرد: 

1. گذرواژه‌ها

گذرواژه‌های ضعیف به‌سادگی هک می‌شوند و متاسفانه به‌کارگیری مکانیزم‌های ساده‌ امنیتی باعث تشدید این مسئله می‌شوند. اگر نگران یکپارچگی گذرواژه‌ها هستید و برای بخش‌های مختلف سازمان گذرواژه‌هایی تعریف کرده‌اید که باید در بازه‌های زمانی مختلف تغییر کنند، بهتر است از یک نرم‌افزار مدیریت گذرواژه استفاده کنید. 

2. سیستم‌عامل و نرم‌افزارهای قدیمی و به‌روز نشده 

هکرها به‌طور مداوم نقاط ضعف نرم‌افزارها و سیستم‌عامل‌ها را شناسایی و از آن‌ها سوء استفاده می‌کنند، بنابراین مهم است که نسخه‌های قدیمی نرم‌افزارها و سیستم‌عامل‌ها را کنار گذاشته و از نسخه‌های جدیدتر استفاده کنید. به‌طور مثال، در ایران خیلی شایع است که برخی از شرکت‌ها از سیستم‌عامل‌های ویندوز سرور 2012 یا 2016 استفاده می‌کنند، در حالی که ویندوز سرور 2019 نه تنها قابلیت‌های کاربردی زیادی ارایه می‌کند، بلکه در برابر برخی از حمله‌های سایبری نیز مقاوم است. 

3. مدیریت وصله‌ها

شرکت‌های بزرگی مثل مایکروسافت، سیسکو و VMware در بازه‌های زمانی کوتاه‌مدت وصله‌های مختلفی برای آسیب‌پذیری‌های شناخته شده در سطح سیستم‌عامل ارایه می‌کنند. همواره این احتمال وجود دارد که وصله‌ای ارایه شود و شما از وجود آن مطلع نباشید، بنابراین مهم‌ است از سامانه‌های مدیریت وصله استفاده کنید. سامانه مدیریت وصله بستری برای به‌روزرسانی نرم‌افزارهای سازمانی با توجه به محدودیت‌های موجود در سازمان‌ها و نرم‌افزار‌ها ارایه می‌کند. نرم‌افزارهایی که سازمان‌ها از آن استفاده می‌کنند، به دلیل به‌روز نبودن به آسیب‌پذیری‌های مختلفی آلوده هستند. کاری که یک سامانه مدیریت وصله انجام می‌دهد این است که دریافت، نصب و مدیریت وصله‌ها را برای کاربر نهایی ساده می‌کند. از مزایای بالقوه این سامانه‌ها باید به امکان نصب نرم‌افزارها از راه دور توسط مدیر سامانه، ارایه گزارش‌هایی در خصوص به‌روز بودن سامانه‌ها، عدم وابستگی به پلتفرم خاص و موارد این چنینی اشاره کرد. از محصولات قدرتمند در این زمینه باید به KASPERSKY ENDPOINT SECURITY FOR BUSINESS Core اشاره کرد که یک کنسول مرکزی در اختیار سرپرستان شبکه قرار می‌دهد تا بتوانند ابزارهای فیزیکی، مجازی و همراه را کنترل و محافظت کنند. 

4. مسدود کردن پورت‌های بلااستفاده باز شبکه 

پورت‌های باز ساده‌ترین، نقطه‌ای هستند که هکرها برای ورود به شبکه‌های سازمانی از آن‌ها استفاده می‌کنند. اگر پورت باز بدون استفاده‌ای دارید یا پورتی مرتبط با سرویسی دارید که هیچ‌گاه از آن سرویس استفاده نمی‌کنید بهتر است پورت باز را ببندید.

5. حذف حساب‌های کاربری قدیمی 

حساب‌های کاربری کارمندانی که از شرکت جدا شده، اما همچنان در پایگاه داده سازمان وجود دارند، یک رخنه امنیتی بزرگ به شمار می‌روند که باید به سرعت تعیین تکلیف شوند. 

6. امنیت فیزیکی ضعیف

تهدیدات همیشه ماهیت فیزیکی ندارند و در حقیقت تهدید‌های مجازی خطرناک‌تر از تهدیدهای فیزیکی هستند. به‌طور مثال، استقرار سرور در یک مکان غیر ایمن یا قرار دادن در یک فضای اشتراکی که امنیت درستی ندارد، باعث به خطر افتادن اطلاعات سازمانی می‌شوند. 

چگونه سرور را ایمن کنیم؟ 

هنگامی که درباره امنیت سرور صحبت می‌کنیم، تمرکزمان روی مباحث نرم‌افزاری و اصولی است که باید به لحاظ نرم‌افزاری به آن‌ها دقت کنید. از جمله نکات مهم در این زمینه به موارد زیر باید اشاره کرد: 

1. از یک ارتباط ایمن برای اتصال به سرور استفاده کنید

یک ارتباط ایمن شامل یک مکانیزم احراز هویت مبتنی بر گذرواژه و استفاده از پروتکل SSH است که یک ارتباط رمزنگاری شده و ایمن را پیاده‌سازی می‌کند. پروتکل SSH از یک جفت کلید امنیتی رمزنگاری شده استفاده می‌کند که ترکیبی از یک کلید عمومی و خصوصی است. در این مکانیزم کلید عمومی بدون مشکل به‌اشتراک قرار می‌گیرد، اما کلید خصوصی باید توسط کاربر پنهان نگه داشته شود. به‌کارگیری پروتکل SSH بهترین راه برای پیاده‌سازی ارتباطات ایمن است. برخلاف تلنت که در گذشته استفاده می‌شد و اطلاعات را به‌شکل ساده مبادله می‌کرد، در پروتکل SSH تمام داده‌ها به شکل رمزنگاری شده انتقال پیدا می‌کنند. برای این منظور باید SSH Daemon را نصب کنید و یک SSH Client داشته باشید که با آن دستورات را ارسال کرده و سرورها را مدیریت کنید. به‌طور پیش‌فرض، SSH از پورت 22 استفاده می‌کند که تمامی کارشناسان امنیتی و هکرها از این نکته اطلاع دارند. بنابراین ایده بدی نیست که شماره پورت مورد استفاده را تغییر دهید. 

2. با استفاده از یک شبکه خصوصی ایمن به سرور متصل شوید 

کارشناسان شبکه به ندرت از یک ارتباط مستقیم برای برقراری ارتباط با سرور استفاده می‌کنند و در بیشتر موارد از یک شبکه خصوصی مجازی که ارتباط میان دو نقطه پایانی را رمزنگاری می‌کند استفاده می‌کنند. یک شبکه خصوصی به کاربران اجازه می‌دهد از یک آدرس آی‌پی خصوصی برای ارتباط با سرور استفاده کنند. 

3. از پروتکل‌های SSL/TLS استفاده کنید 

گواهی‌نامه‌های امنیتی سرور یکی دیگر از مکانیزم‌های قدرتمند برای حفظ امنیت سرور هستند. گواهی‌های امنیتی سرور پروتکل‌های رمزنگاری مبتنی بر پروتکل لایه سوکت‌ امن (SSL)  و پروتکل امنیت لایه حمل و نقل (TLS) هستند که برای احراز هویت و رمزگذاری استفاده می‌شوند. این پروتکل‌ها با ترکیب داده‌های حساس ارسالی از طریق اینترنت، مثل گذرواژه‌ها، نام‌های کاربری و جزییات کارت اعتباری با داده‌های درهم‌کننده (هش) اجازه می‌دهند اطلاعات به شکل ایمن و غیرقابل فهم انتقال پیدا کنند. 

4. سیستم‌عامل را به‌روز نگه‌ دارید

به‌طور معمول، هکرها روی بهره‌برداری از آسیب‌پذیری‌های شناسایی شده، اما وصله نشده سرورها حساب زیادی باز می‌کنند. متاسفانه در این زمینه برخی کارشناسان ایرانی دقت نظر لازم را ندارند و هنگامی که زیرساخت با یک حمله سایبری روبرو می‌شود، سراسیمه به‌روزرسانی سیستم‌عامل را انجام می‌دهند. به‌روزرسانی‌ها به‌شکل وصله‌های امنیتی منتشر می‌شوند و باید بلافاصله پس از انتشار روی سیستم‌عامل نصب شوند. عدم به‌روز نگه داشتن سیستم‌عامل سرور باعث می‌شود تا آسیب‌پذیری‌های شناخته شده روی سرور باز باقی بمانند. 

5. سیستم‌عامل سرور باید بر مبنای خط‌مشی‌های مشخصی پیکربندی شود

برای آن‌که میزان خطر‌پذیری سرورها را به حداقل برسانید، باید فرایند پیکربندی سیستم‌عامل را بر مبنای خط‌مشی‌های مشخصی انجام دهید که به‌نام چک‌لیست امنیتی سرور شهرت دارند. از نکات مهم در این زمینه به موارد زیر باید اشاره کرد:

• تغییر گذرواژه‌های پیش‌فرض تجهیزات و نرم‌افزارهای ثالث نصب شده. 
• تعیین حداقل امتیازات کاربران برای انجام وظایف.
• حذف یا غیرفعال کردن حساب‌های غیر ضروری.
• تعریف خط‌مشی‌های دقیق برای گذرواژه‌ها و اطمینان از تطابق گذرواژه‌های تعریف شده توسط کاربران با خط‌مشی‌ها.
• غیرفعال کردن سرویس‌ها و برنامه‌های غیرضروری.

7. پروتکل امن انتقال فایل

هیچ کاری خطرناک‌تر از آن نیست که از پروتکل FTP برای انتقال فایل‌ها به سرور یا اشترا‌ک‌گذاری فایل‌ها استفاده کنید، زیرا پروتکل فوق اطلاعات را به شکل متن خام ارسال می‌کند. به‌جای این‌کار بهتر است از پروتکل FTPS سرنام File Transfer Protocol Secure  استفاده کنید. عملکرد این پروتکل مشابه با FTP است، با این تفاوت که فایل‌ها و اطلاعات هویتی را به‌شکل رمزنگاری شده ارسال می‌کند. FTPS هم از یک کانال فرمان و هم از یک کانال داده استفاده می‌کند و کاربر ‌می‌تواند هر دو کانال را رمزگذاری کند. البته به این نکته دقت کنید که تنها از فایل‌ها هنگام انتقال محافظت می‌کند. به محض رسیدن اطلاعات به سرور، داده‌ها دیگر رمزگذاری نمی‌شوند. به همین دلیل، رمزگذاری فایل‌ها قبل از ارسال، یک لایه امنیتی مضاعف ایجاد می‌کند که امنیت سرور را بهبود می‌بخشد. 

8. نظارت بر ورود به سیستم

به‌کارگیری نرم‌افزارهای پیشگیری از نفوذ برای نظارت بر تلاش‌های ورود به سیستم راهی برای محافظت از سرور در برابر حمله‌های جست‌وجوی فراگیر است. حمله‌های جست‌وجوی فراگیر مبتنی بر آزمون و خطا هستند و سعی می‌کنند ترکیبی از حروف و اعداد را برای دسترسی به سیستم استفاده کنند. نرم‌افزار پیشگیری از نفوذ بر تمامی فایل‌های ورود به سیستم نظارت می‌کند و اگر تلاشی برای ورود به سیستم را مشکوک شناسایی کند، این موضوع را گزارش می‌دهد. علاوه بر این، اگر تعداد تلاش‌ها از تعداد مشخصی عبور کند، آدرس‌های آی‌پی را برای مدت معینی یا به‌طور کامل مسدود می‌کند. 

9. مدیریت کاربران

هر سرور یک حساب کاربری سطح ریشه دارد که می‌تواند هر دستوری را اجرا کند. بنابراین اگر هکرها موفق شوند، کنترل حساب ریشه را به دست آورند، به راحتی قادر به انجام فعالیت‌های مخرب روی سرور هستند. بهتر است حساب کاربری سطح ریشه را غیرفعال کنید تا شانس هکرها برای کنترل کامل سرور را به حداقل برسانید. البته راهکار دیگری نیز وجود دارد که مانع سوء استفاده از امتیازات ریشه شوید. کافی است یک حساب کاربری با امتیازات محدود ایجاد کنید. البته حساب فوق امتیازات گسترده‌ای در حد روت ندارد، اما اجازه می‌دهد دستورات sudo را اجرا کنید. 

10. خط‌مشی‌هایی مرتبط با اشتراک‌گذاری در شبکه 

خط‌مشی‌های صریح و روشنی در ارتباط با اشتراک‌گذاری منابع و فایل‌ها در سطح شبکه وجود دارد که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد: 

• تمامی اشتراک‌گذاری‌های بدون استفاده مثل Administrator Share را حذف کنید. 
• دسترسی‌ها باید تنها به افراد مجاز داده شود و هیچ‌وقت گروه everyone را در فهرست دسترسی‌ها قرار ندهید. 
• تنها پورت‌های مورد استفاده در File and Printer Sharing را در دیوارآتش باز کنید. 
• دسترسی شبکه سازمانی به اینترنت را تنها از طریق پورت‌های خاص مثل 443 مجاز کنید.
• دسترسی به اینترنت را محدود کنید و تنها از پروتکل‌های ایمنی مثل SSL برای دسترسی به اینترنت استفاده کنید. 
• اگر تعداد کلاینت‌هایی که فرایند اشترا‌ک‌گذاری را انجام می‌دهند یا به پوشه دسترسی دارند مشخص است، محدودیت Concurrent Connections را روی پوشه‌ها فعال کنید. 

11. سرویس‌های غیرضروری را غیرفعال کنید 

بهتر است تنها پورت‌های شبکه که سیستم‌عامل و مولفه‌های سیستمی از آن‌ها استفاده می‌کنند را فعال کنید. هرچه تعداد سرویس‌های اضافی کمتر باشد، ایمنی بهبود پیدا می‌کند. 

12. اطلاعات حساس سرور را پنهان کنید

بهتر است، اطلاعات مرتبط با لایه‌های سطح پایین شبکه و زیرساخت را در اختیار همگان قرار ندهید. هرچه تعداد افرادی که در مورد اطلاعات فنی سرور اطلاعات دارند کمتر باشد، خطر حمله‌های هکری کمتر می‌شود. علاوه بر این، بهتر است شماره نسخه‌های نرم‌افزارهایی که روی سرور نصب شده‌اند از دید پنهان باشند. به‌طور معمول، برخی نرم‌افزارها به‌طور پیش‌فرض، تاریخ دقیق انتشار را نشان می‌دهند که می‌تواند به هکرها هنگام جست‌وجوی نقاط ضعف کمک کنند. 

13. از سیستم‌های تشخیص نفوذ استفاده کنید

بهترین مکانیزیمی که برای شناسایی فعالیت‌های غیر مجاز در دسترس‌تان قرار دارد، سیستم تشخیص نفوذ (IDS) مثل Sophos است که  فرآیندهای در حال اجرا روی سرور را کنترل می‌کند. می‌توانید آن‌را به گونه‌ای تنظیم کنید تا عملیات روزمره را بررسی یا اسکن‌های خودکار دوره‌ای را انجام دهد.

14. ارزیابی امنیتی فایل‌ها و پوشه‌ها

یکی از بهترین خط‌مشی‌هایی که برای محافظت از اطلاعات سازمانی باید از آن استفاده کنید، ارزیابی امنیتی فایل‌ها و پوشه‌ها است. از نکات مهمی که باید به آن‌ها دقت کنید به موارد زیر باید اشاره کرد:

• بهتر است از چند پارتیشن روی دیسک سخت استفاده کنید. 
• هیچ‌گاه Home Directory مربوط به وب‌سرور را روی پارتیشن سیستم‌عامل قرار ندهید. 
• فایل‌ها و پوشه‌ها را روی پارتیشن‌هایی قرار دهید که از سیستم فایلی NTFS استفاده می‌کنند. 
• محتویات هر وب‌سایت را در پوشه‌ای غیر از Home Directory وب‌سرور قرار دهید که سیستم ‌فایلی NTFS روی آن نصب شده است. 
• همواره یک وب‌سایت جدید ایجاد کنید و وب‌سایت پیش‌فرض
• (Default Site) را غیر فعال کنید. 
• از وب‌سرور به‌شکل مستمر گزارش‌گیری کنید و گزارش‌ها را بررسی کنید. 
• فایل‌های گزارش وب‌سرور را روی پارتیشنی غیر از پارتیشنی که محتویات وب‌سایت روی آن قرار دارد ذخیره‌سازی کنید. 
• دسترسی گروه Anonymous و Everyone به پوشه‌های System32 و پوشه وب‌سایت‌ها را محدود کنید. 
• اگر از قابلیت Remote IIS Administration یا Remote WW Administration
• استفاده نمی‌کنید، آن‌را به همراه سرویس‌های مرتبط غیر فعال کنید.

15. حسابرسی فایل

ممیزی فایل از تکنیک‌های شناخته شده‌ای است که برای شناسایی تغییرات ناخواسته در سیستم از آن استفاده می‌شود. حسابرسی به این صورت انجام می‌شود که تمامی ویژگی‌های خوب و عادی سیستم را ثبت می‌کنید و در ادامه هرگونه‌ تغییری را با نسخه اولیه ارزیابی می‌کنید تا موارد مشکوک را شناسایی کنید. رویکرد فوق اجازه می‌دهد ناسازگاری‌ها را شناسایی و علت این تغییرات را متوجه شوید. 

16. مکانیزم های امنیتی را روی سرور فعال کنید 

اطمینان حاصل کنید هنگام راه‌اندازی سیستم‌عامل عملیات راه‌اندازی از طریق بوت ایمن (Secure Boot) انجام می‌شود، زیرا Secure Boot تنها اجازه راه‌اندازی سیستم‌عامل و نرم‌افزارهایی را می‌دهد که توسط شرکت سازنده دستگاه تایید شده باشند. علاوه بر این، از قابلیت‌های امنیتی TPM غافل نشوید. 

17. ترتیب راه‌اندازی را مشخص کنید

ترتیب بوت شدن سرورهای فیزیکی یا ماشین‌های مجازی را به‌شکلی تنظیم کنید که به‌طور خودکار و غیرمجاز از رسانه‌های دیگر بوت نشوند. نکته مهم دیگری که باید به آن دقت کنید این است که نرم‌افزارهای غیر ضروری به ویژه آن‌‌هایی که برای کلاینت‌ها طراحی شده‌اند را روی سرور نصب نکنید. 

18. از سرور پشتیبان تهیه کنید

تهیه نسخه پشتیبان از سیستم در صورت بروز خطا راهگشا است. نسخه‌های پشتیبان‌ رمزگذاری شده باید روی رسانه‌ای که ارتباطی با سرور ندارند ذخیره‌سازی شده‌ باشند. اگر بتوانید نسخه‌های پشتیبان را روی سرویس‌های ابری ذخیره‌سازی کنید، در صورت لزوم به راحتی به آن‌ها دسترسی خواهید داشت. 

19. دیوارآتش قدرتمندی را نصب و پیکربندی کنید 

با کنترل و محدود کردن دسترسی به سیستم، امنیت سرور به میزان قابل توجهی بهبود پیدا می‌کند. به‌طور مثال، یک دیوارآتش سخت‌افزاری اختصاصی، در مقابل یک یا چند سرور اختصاصی قرار می‌گیرد و ترافیک ورودی به شبکه را بازرسی می‌کند. علاوه بر این، دیوارهای آتش سخت‌افزاری قابلیت چند کاربره بودن و IPSEC VPN  را دارند. دیوارهای آتش سخت‌افزاری، قابلیت مدیریت از طرف کاربر یا مدیریت از سمت سازمان را دارند. این رویکرد شامل ثبت ترافیک، گزارش‌دهی و مانیتور می‌شود. هنگام راه‌اندازی اولیه سرور یا هنگام ایجاد تغییر در سرویس‌های ارایه شده توسط سرور، باید دیوارآتش را متناسب با تغییرات پیکربندی کنید. در نهایت به این نکته دقت کنید که دیوارهای آتش سخت‌افزاری سرعت و عملکرد بیشتری نسبت به دیوارهای آتش نرم‌افزاری دارند، با این‌حال، هزینه پیاده‌سازی و استفاده از دیوارهای آتش نرم‌افزاری کمتر از دیوارهای آتش سخت‌افزاری است. به‌طور کلی، بهتر است برای برخورداری از بهترین عملکرد در شبکه دیوارهای آتش نرم‌افزاری و سخت‌افزاری را همراه با هم استفاده کنید.