آموزش رایگان سکیوریتی پلاس؛ پیاده‌سازی امنیت مبتنی بر میزبان چیست؟

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

در شماره قبل دیدیم که ایمن‌سازی سامانه‌ها، حذف نرم‌افزارهای غیرضروری و غیرفعال کردن سرویس‌های غیر ضروری اهمیت زیادی دارد. به‌طوری که هنگام ایمن‌سازی یک سیستم، باید هر یک از سرویس‌های در حال اجرا در سیستم را بررسی کنید و مشخص کنید که آیا سرویس مورد نیاز است یا خیر. اگر سرویس مورد نیاز نیست، باید غیرفعال شود. همچنین، به عنوان بخشی از ایمن‌سازی سیستم، باید اطمینان حاصل می‌کردیم که حساب‌های غیرضروری غیرفعال شده‌اند و نام حساب‌های پیش‌فرض مانند «administrator» تغییر پیدا کرده‌اند و در نهایت سیستم را به‌طور منظم وصله‌های امنیتی را دریافت کرده است. نکته مهم دیگری که باید در بحث امن‌سازی سامانه‌ها و شبکه‌ها باید به آن دقت کنید سفت‌افزار نصب شده روی سوییچ‌ها است. حتما سفت‌افزار روترها و سوئیچ‌ها را به‌روز کنید. در محیط‌های بسیار امن، پورت‌های استفاده نشده روی سوئیچ را غیرفعال کنید و پورت‌ها را به دقت پیکربندی کنید. رویکرد فوق ارتباط مستقیمی با مک‌آدرس دارد. مطمئن شوید به جای تلنت از پروتکل‌های مدیریت ایمن در دستگاه‌های شبکه مثل SSH استفاده می کنید. استاندارد 802.1X به عنوان استاندارد کنترل دسترسی پورت شناخته می‌شود و با استفاده از یک سرور احراز هویت مرکزی مانند RADIUS، کنترل می‌کند که چه کسی به یک شبکه سیمی یا بی‌سیم دسترسی دارد. از میان بسیاری از ابزارهای نرم‌افزاری که می‌توانید برای بهبود ایمن‌سازی سامانه‌ها استفاده کنید، دو روش رایج، الگوهای امنیتی و خط‌مشی‌های گروهی هستند. شما می‌توانید از یک الگوی امنیتی برای ساخت خط پایه امنیتی خود استفاده کنید. نکته مهم دیگری که نباید از آن غافل شوید، بحث ایمن‌سازی سرور است. به‌طور مثال، اجازه دادن به انتقال منطقه به یک میزبان خاص برای سرورهای DNS، قرار دادن سرورهای عمومی مانند DNS و سرورهای وب در DMZ، و غیرفعال کردن ویژگی‌های استفاده نشده در سرور وب نکات مهمی هستند که باید به آن دقت کنید.

اکنون قصد داریم، راه‌های پیاده‌سازی امنیت در یک سیستم (معروف به میزبان) و برنامه‌هایی که روی آن سیستم اجرا می‌شوند با استفاده از راه‌حل‌های امنیتی رایج مانند حفاظت نقطه پایانی، یکپارچگی بوت و ویژگی‌های امنیت داده را بررسی کنیم.

حفاظت نقطه پایانی (Endpoint Protection)

حفاظت نقطه پایانی که به عنوان امنیت نقطه پایانی نیز شناخته می‌شود، اصطلاحی است که برای فناوری‌هایی استفاده می‌شود که می‌توانند برای محافظت از دستگاه‌های سرویس گیرنده مانند رایانه‌های رومیزی، لپ‌تاپ، تبلت و دستگاه‌های تلفن همراه (همگی به عنوان نقطه پایانی شناخته می‌شوند) استفاده شود. در زیر فهرستی از فناوری‌هایی که باید برای کمک به محافظت از نقاط پایانی در مورد آن‌ها اطلاع داشته باشید را فهرست کرده‌ایم:

■   آنتی‌ویروس: در شماره‌های گذشته اطلاعات کافی در ارتباط با بدافزارها و ویروس‌ها به دست آوردیم. برای محافظت در برابر انواع مختلف ویروس‌ها، حتماً نرم‌افزار آنتی‌ویروس را روی نقاط پایانی (مشتری‌ها) نصب کنید و تعاریف ویروس را به‌روز نگه دارید تا سطح امنیت به بالاترین حد خود برسد.

■   ضد بدافزار: برای محافظت در برابر سایر اشکال بدافزار، باید ضد بدافزار را نصب کنید. اغلب اوقات نرم‌افزار ضد بدافزار و آنتی‌ویروس در قالب یک بسته به بازار عرضه می‌شوند.

■   تشخیص و پاسخ نقطه پایانی (Endpoint detection and response): یک فناوری امنیتی کاربردی است که فعالیت و رویدادهای انجام شده روی دستگاه‌های نقطه پایانی را بررسی می‌کند، داده‌های جمع‌آوری‌شده از دستگاه نقطه پایانی را به پایگاه داده مرکزی ارسال می‌کند، داده‌های جمع‌آوری‌شده را تجزیه و تحلیل می‌کند، و هرگونه تهدید بالقوه امنیت سایبری را شناسایی می‌کند. نرم‌افزار EDR می‌تواند هر زمان تهدیدی را شناسایی کرد که ممکن است امنیت داده‌ها را با چالش جدی روبرو کنند، گزارشی در اختیار سرپرست شبکه قرار دهد تا اقدامات لازم برای کاهش تهدیدات را انجام دهد.

■   DLP: در مقالات قبلی اطلاعات کاملی در ارتباط با DLP ارائه کردیم، اما فقط برای جمع‌بندی نهایی باید به این نکته اشاره کنیم که DLP راه‌حلی است که می‌توانید برای محافظت از داده‌های حساسی که احتمال انتشار آن‌ها به خارج از سازمان وجود دارد استفاده کنید. راه‌حل فوق به شما اجازه می‌دهد روی عملکرد کلاینت‌ها نظارت دقیقی اعمال کنید و قبل از آن‌که اقدام مخربی انجام شود، مانع انجام آن شوید. به‌طور مثال، می‌توانید یک راه‌حل DLP را در نرم‌افزار ایمیل خود پیاده‌سازی کنید که از اشتراک‌گذاری شماره‌های کارت اعتباری در یک آدرس ایمیل (یا سایر داده‌های حساس) توسط کارمندان جلوگیری می‌کند.

■   فایروال مبتنی بر میزبان (Host-based firewall): یک فایروال مبتنی بر میزبان، نرم‌افزار دیوار آتشی است که روی سیستم نصب یا فعال می‌شود و کنترل دقیقی روی ترافیکی که به سیستم وارد یا از آن خارج می‌شود اعمال می‌کند. به عنوان مثال، اگر یک سرور اینترانت در شبکه دارید که برای ارائه صفحات وب به مشتریان طراحی شده است، می‌توانید فایروال مبتنی بر میزبان را در آن سیستم فعال کنید و فقط اجازه دهید ترافیک HTTP یا HTTPS به سیستم برسد. این راهی برای محافظت از آن سیستم در برابر ترافیک مخرب است، مثلاً اگر یک هکر وارد شبکه شود یا شاید بدافزاری در شبکه دیوارآتش مبتنی بر میزبان به خوبی این موضوع را تشخیص می‌دهد. مثال دیگری که کاربرد خوب فایروال مبتنی بر میزبان را نشان می‌دهد این است که لپ‌تاپی را به یک شبکه نامعتبر مانند شبکه بی‌سیم فرودگاه یا هتل وصل می‌کنید. به عنوان مثال، اگر کارمندی دارید که در حال مسافرت و اقامت در هتل‌ها است، باید فایروال مبتنی بر میزبان را روی لپ‌تاپ کارمند فعال کنید، زیرا شبکه وای‌فای هتل به‌عنوان یک شبکه غیر قابل اعتماد در نظر گرفته می‌شود.

■   سیستم تشخیص نفوذ مبتنی بر میزبان (Host-Based Intrusion Detection System): یک سیستم تشخیص نفوذ مبتنی بر میزبان به گزارش‌ها و رویدادهای یک سیستم نگاه می‌کند تا تشخیص دهد آیا حمله‌ به سیستم انجام شده یا خیر. سیستم تشخیص نفوذ اعلانی را ارسال می‌کند که یک نفوذ احتمالی رخ داده است، اما سعی نمی‌کند مشکل را برطرف کند و تنها اطلاع‌رسانی می‌کند.

■   سیستم پیشگیری از نفوذ مبتنی بر میزبان (Host-Based Intrusion Prevention System): یک سیستم پیشگیری از نفوذ مبتنی بر میزبان مانند HIDS است به این معنا که حملات احتمالی به سیستم را شناسایی می‌کند، اما می‌تواند اقدامات اصلاحی انجام دهد، مانند مسدود کردن ارتباطات یک آدرس IP که ایجاد ترافیک مشکوک را پدید می‌آورد.

■   فایروال نسل بعدی (NGFW): فایروال نسل بعدی یک فایروال معمولی است که ترافیک را فیلتر می‌کند، به علاوه بازرسی عمیق بسته را انجام می‌دهد (بارداده بسته را بازرسی می‌کند)، و همچنین شامل ویژگی‌های جلوگیری از نفوذ مانند مواردی که است در IPS وجود دارد.

نکته: برای آزمون سکیوریتی پلاس باید در مورد راه‌حل‌های امنیتی مختلفی که برای بهبود امنیت دستگاه‌های نقطه پایانی در دسترس قرار دارند اطلاعات کافی داشته باشید.

یکپارچگی بوت (Boot Integrity)

یکی از راه‌های متداول دسترسی مهاجمان به داده‌های حساس شرکت، یافتن یک لپ‌تاپ گمشده یا سرقت یک لپ‌تاپ و سپس راه‌اندازی سیستم‌عامل دیگری است که بر روی رسانه‌های قابل بوت مانند درایو USB قابل راه‌اندازی یا درایو DVD قرار دارد. پس از بوت شدن دستگاه توسط سیستم عامل مخرب، هکر می‌تواند فایل‌های موجود در لپ‌تاپ را مرور کند (با فرض این‌که رمزگذاری نشده باشد). برای کمک به جلوگیری از بروز این نوع حمله، باید از رمزگذاری کامل دیسک استفاده کنید، اما همچنین می‌توانید از ویژگی‌های یکپارچگی بوت یک سیستم برای تأیید این‌که محیط بوت تغییر نکرده است استفاده کنید. در ادامه چند راه‌حل وجود دارد که می‌توانید برای اطمینان از یکپارچگی بوت استفاده کنید:

■   راه‌اندازی امن بوت/رابط سفت‌افزار توسعه‌پذیر یکپارچه (UEFI): یکی از ویژگی‌های فناوری UEFI که اهمیت زیادی دارد و ویندوز 11 نیز روی آن تاکید دارد Secure Boot است. فناوری فوق تشخیص می‌دهد که آیا تغییراتی در محیط بوت اتفاق افتاده یا خیر. اگر محیط بوت تغییر کرده باشد، ویژگی Secure Boot فرآیند بوت را متوقف می‌کند. در این حالت، ویژگی فوق با ذخیره مقادیر هش فایل‌های بوت و تأیید آن‌ها اجازه راه‌اندازی را می‌دهد.

■   Measured Boot Measured Boot: مشابه Secure Boot است، به این معنا که قبل از راه‌اندازی سیستم، یکپارچگی محیط بوت را تأیید می‌کند. Measured Boot این‌کار را با ذخیره هش فایل‌های بوت در تراشه TPM  سرنام Trusted Platform Module  که روی سیستم نصب شده انجام می‌دهد.

پایگاه داده

آزمون سکیوریتی پلاس از شما انتظار دارد، در مورد راه‌حل‌های امنیتی که برای ایمن‌ساسازی داده‌های حساس در پایگاه داده از آن‌ها استفاده می‌شوند اطلاعات کافی داشته باشید. این اطلاعات در مورد توکن‌سازی (Tokenization)، هش کردن  (hashing)، و نمک‌زدن (Salting) است.

توکن‌سازی

توکن‌سازی زمانی انجام می‌شود که داده‌های حساس به جای آن‌که همراه با داده‌های کاربردی ذخیره شوند با اطلاعات رمزنگاری ‌شده توکن (نشانه) ذخیره می‌شوند. البته سرویس توکن یک مقدار جایگزین برای داده‌های حساس ارائه می‌دهد که نامربوط است. در این‌جا سرویس توکنی، قابلیتی در اختیار کارشناسان قرار می‌دهد تا کلیدی برای شناسایی داده‌های حساس و غیر مرتبط داشته باشند. به‌عنوان مثال، اگر در نظر دارید از تکنیک فوق در ارتباط با یک وب‌سایت خرید آنلاین استفاده کنید مراحل به شرح زیر هستند:

1. وب‌سایت شماره کارت اعتباری را از کاربر درخواست می‌کند.

2. هنگامی که کاربر شماره کارت اعتباری خود را وارد می‌کند، وب سایت با سرویس توکن که در یک شبکه امن قرار دارد ارتباط برقرار می‌کند و شماره کارت اعتباری را در اختیار سرویس توکن قرار می‌دهد.

3. سرویس رمز یک شماره جایگزین ایجاد می‌کند تا در هنگام خرید از آن استفاده شود و آن را به وب‌سایت ارسال می‌کند تا با داده‌های مشتری در پایگاه داده تجارت الکترونیک ذخیره شود.

4. سرویس توکن نقشه‌برداری از شماره کارت اعتباری واقعی و مقدار جایگزین را در پایگاه داده خدمات توکن ذخیره می‌کند.

5. هنگامی که کاربر در زمان دیگری خرید انجام می دهد، برنامه تجارت الکترونیکی ارزش جایگزین را به سرویس رمز ارائه می‌کند تا بتواند شماره کارت اعتباری واقعی را بازیابی کند.

مزیت این توکن‌سازی و سرویس توکن این است که داده‌های تجارت الکترونیکی شماره کارت اعتباری به شکل مستقیم ذخیره نمی‌شوند، بلکه با سرویس توکن بازیابی می‌شوند. سیستم توکن‌سازی و پایگاه داده آن (که شماره کارت اعتباری را ذخیره می کند) در یک شبکه محدود و ایمن قرار دارد که فقط توسط وب‌سایت (و سایر برنامه های کاربردی مجاز) قابل دسترسی است. تکنیک فوق مانع به خطر افتادن شماره کارت اعتباری می‌شود، زیرا اگر سایت تجارت الکترونیک و پایگاه داده هک شود، شماره کارت اعتباری وجود ندارد و پایگاه داده خدمات توکن در شبکه دیگری قرار گرفته که محدود شده است.

نکته: برای آزمون سکیوریتی پلاس، به یاد داشته باشید که باید از داده‌های حساس مانند شماره کارت اعتباری با توکن‌سازی محافظت کنید تا استفاده مجدد از کارت‌های اعتباری به روشی امن تسهیل شود.

هش‌سازی (Hashing)

در مقالات اولیه این آموزش اطلاعات کلیدی در ارتباط با هش‌کردن به دست آوریم، در این‌جا نکات دیگری در ارتباط با این تکنیک را ارائه می‌کنیم. هش کردن زمانی است که داده‌ها توسط یک الگوریتم هش بهم‌ریخته می‌شود. یکی از کاربردهای هش ذخیره‌سازی رمز عبور است. به جای ذخیره رمز عبور کاربر در پایگاه داده به صورت متن ساده، یک سیستم ممکن است رمز عبور را از طریق یک الگوریتم هش بهم‌بریزد و سپس مقدار هش را در پایگاه داده ذخیره کند. به این ترتیب، اگر شخصی پایگاه داده را هک کند، رمز عبور را به صورت متن ساده نمی‌بیند.

بنابراین اگر نسخه متنی ساده رمز عبور در پایگاه داده ذخیره نشود، احراز هویت در این سناریو چگونه کار می‌کند؟ هنگامی که کاربر وارد سیستم می‌شود، رمز عبوری که ارائه می‌دهد در اختیار همان الگوریتم هش قرار می‌گیرد تا مقدار هش ایجاد شود. سپس مقدار هش رمز عبور ساخته شده با مقدار هش در پایگاه داده احراز هویت مقایسه می‌شود و اگر مطابقت داشته باشند، سیستم می‌داند رمز عبور صحیح ارائه شده است.

مشکل این تکنیک در نحوه کار ابزارهای شکستن رمز عبور است. آن‌ها کلمات را از یک فایل لیست رمز عبور (معروف به فایل فرهنگ لغت) می‌گیرند، کلمات را از طریق الگوریتم هش اجرا می‌کنند و سپس هر مقدار هش را با مقدار موجود در پایگاه داده مقایسه می‌کنند تا زمانی که به نتیجه مدنظر برسند.

نمک‌زدن (Salting)

برای جلوگیری از هک شدن رمز عبور هش شده، یکی از تکنیک‌هایی که می‌توان استفاده کرد salting است که شامل گرفتن یک مقدار تصادفی، اضافه کردن آن به مقدار متن ساده و سپس هش کردن ترکیبی از مقدار نمک‌زده شده (Salted) کلمه عبور و ذخیره آن در پایگاه داده است. این مقدار اضافی نیز به‌طور جداگانه ذخیره می‌شود تا زمانی که کاربر وارد سیستم می شود، رمز عبور او با اطلاعات دیگری ذخیره شده و سپس هش می‌شود. اگر مقدار هش تولید شده با مقدار هش ذخیره شده در پایگاه داده مطابقت داشته باشد، کاربر احراز هویت می‌شود.

نکته: برای آزمون سکیوریتی پلاس به یاد داشته باشید که باید از رمزهای عبور ذخیره شده در پایگاه داده با هش و تکنیک salting محافظت کنید. Salting در برابر شکستن رمز عبور هش شده بدون اطلاع از مقدار salt محافظت می‌کند و تضمین می‌کند که احراز هویت تنها در صورتی موفقیت‌آمیز خواهد بود که منطق برنامه اجرا شود و مقدار salt نیز لحاظ شده باشد.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

• تهران: آموزشگاه عصر رایان شبکه
• مهندس اطلاعات 
• تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

استخدام تستر نفوذ