حملات پیشرفته تر
در حملاتی که تا اینجا مورد بررسی قرار گرفتند، یک SQL ساده به برنامه تزریق می شد. در صورتی که تدابیر لازمه اندیشیده نشود همه پایگاه های داده در برابر این نوع حملات آسیب پذیر هستند. به عنوان یک واقعیت همه سیستم های مدیریت پایگاه داده نقاط ضعف و قوت خاص خود را دارند و بنابراین امکان نفوذ به آنها برای مهاجم ها در هر زمانی وجود دارد.
یکی دیگر از حملات که از موارد قبلی پیشرفته تر است اجرای دستورات خارجی سیستم عامل می باشد از درون محیط سیستم مدیریت پایگاه داده است. به عنوان مثال SQL Server به کاربران اجازه می دهد که با استفاده از روال ذخیره شده? xp-cmdshell دستورات خارجی سیستم عامل را اجرا کند.
برای بهره گرفتن از این قابلیت کاربر می تواند در بخش ورود اطلاعات صفحه وب متن زیر را وارد نماید:
"exec master..xp-cmdshell "net user HackUser Mypassword /ADD"--
در این صورت برنامه کاربردی عبارت SQL زیر را ساخته و آن را به SQL Server ارسال می نماید:
SELECT CustomerID, CompanyName, ContactName, ContactTitle FROM Customers WHERE CustomerID = ""exec master..xp-cmdshell "net user HackUser Mypassword /ADD"--
بیومتریک و تجهیزات مربوطه- بخش دوم
?- Physiometric (خصوصیات فیزیکی)
سنجش اعضا از قدیمی ترین روشهای تشخیص هویت است که با پیشرفت تکنولوژی به تنوع آن افزوده شده است.
?-? اثر انگشت
این روش قدیمی ترین روش آزمایش تشخیص هویت از راه دور است. اگرچه قبلا اثر انگشت تنها در زمینه جرم قابل بحث بود، تحقیقات در بسیاری کشورها سطحی از پذیرش را نشان میدهد که به این روش اجازه استفاده در برنامه های عمومی را می دهد. سیستمها میتوانند جزئیاتی از اثر انگشت (نقاطی مانند تقاطعها یا کناره های برجستگیها) یا کل تصویر را بگیرند. الگوهای مرجع که برای حفظ این جزئیات بکار میرود در حدود ??? بایت هستند که در مقایسه با تصویر کاملی که از اثر انگشت با حجم ??? تا ???? بایت میباشد,بسیار کوچکتر هستند.
در برنامه های عمومی مشکلاتی در ثبات وجود دارد. بعضی کارگران و معتادان شدید به سیگار, اغلب انگشتانی دارند که تحلیل اثرانگشت آنان مشکل است. با این وجود، طرحهای بلند مدت و موفق زیادی در استفاده از اثر انگشت وجود داشته است.
در حال حاضر اثر انگشت خوانهای زیادی در دامنه وسیعی وجود دارند که به همراه بعضی کارتخوانهااستفاده میشوند. اگرچه در حال حاضر قیمت آنها چندان پایین نیست اما میزان عرضه آنان در فروشگاههای کامپیوتر عادی باعث افت سریع قیمت آنان خواهد شد.
مفاهیم امنیت شبکه
امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
1- شناسایی بخشی که باید تحت محافظت قرار گیرد.
2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
3- تصمیم گیری درباره چگونگی تهدیدات
4- پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف
مفاهیم امنیت شبکه
برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه می پردازیم.
امنیت تجهیزات شبکه
برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.
اهمیت امنیت تجهیزات به دو علت اهمیت ویژهای مییابد :
الف – عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه میدهد که با دستیابی به تجهیزات امکان پیکربندی آنها را به گونهای که تمایل دارند آن سختافزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکانپذیر خواهد شد.
ب – برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حملهها نفوذگران میتوانند سرویسهایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم میشود.
در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار میگیرد. عناوین برخی از این موضوعات به شرح زیر هستند :
- امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه
- امنیت تجهیزات شبکه در سطوح منطقی
- بالابردن امنیت تجهیزات توسط افزونگی در سرویسها و سختافزارها
موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار میگیرند :
- امنیت فیزیکی
- امنیت منطقی
? – امنیت فیزیکی
امنیت فیزیکی بازه وسیعی از تدابیر را در بر میگیرد که استقرار تجهیزات در مکانهای امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جملهاند. با استفاده از افزونگی، اطمینان از صحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سختافزار و یا سرویسدهنده مشابه جایگزین میشود) بدست میآید.
در بررسی امنیت فیزیکی و اعمال آن، ابتدا باید به خطرهایی که از این طریق تجهزات شبکه را تهدید میکنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حملهها میتوان به راهحلها و ترفندهای دفاعی در برار اینگونه حملات پرداخت.
?-? – افزونگی در محل استقرار شبکه
یکی از راهکارها در قالب ایجاد افزونگی در شبکههای کامپیوتری، ایجاد سیستمی کامل، مشابه شبکهی اولیهی در حال کار است. در این راستا، شبکهی ثانویهی، کاملاً مشابه شبکهی اولیه، چه از بعد تجهیزات و چه از بعد کارکرد، در محلی که میتواند از نظر جغرافیایی با شبکهی اول فاصلهای نه چندان کوتاه نیز داشته باشد برقرار میشود. با استفاده از این دو سیستم مشابه، علاوه بر آنکه در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل میکند (مانند زلزله) میتوان از شبکهی دیگر به طور کاملاً جایگزین استفاده کرد، در استفادههای روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکهی مشابه پخش میشود تا زمان پاسخ به حداقل ممکن برسد.
با وجود آنکه استفاده از این روش در شبکههای معمول که حجم جندانی ندارند، به دلیل هزینههای تحمیلی بالا، امکانپذیر و اقتصادی به نظر نمیرسد، ولی در شبکههای با حجم بالا که قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب میآیند از الزامات است.
بیومتریک و تجهیزات مربوطه- بخش اول
برای صدور اجازه ورود برای یک فرد نیاز داریم وی را شناسایی و هویت وی را تایید کنیم و مورد نظر ما انجام بررسیهایی است که بصورت خودکار توسط یک سیستم صورت بگیرد.
در اصل تمام روشهای شناسایی با سه مورد زیر ارتباط دارد:
?- آنچه که شما میدانید (یک کلمه عبور یا PIN)
?- آنجه که شما دارید (یک کارت یا نشانه های دیگر)
?- آنچه که شما هستید (مشخصات فیزیکی یا رفتاری)
مورد آخر به نام زیست سنجی (Biometrics) نیز شناخته میشود.
هرکدام از این موارد مزایا و معایبی دارد: کلمات عبور ممکن است حدس زده شوند یا از دست داده شوند اما به کاربر اجازه میدهند که قدرت خود را در اختیار کس دیگر قرار دهد. بسیاری از افراد براحتی کلمات عبور را فراموش میکنند، مخصوصا اگر بندرت از آنها استفاده کنند. نشانه ها میتوانند گم یا دزدیده شوند اما میتوانند در صورت لزوم به کس دیگر منتقل یا قرض داده شوند. مشخصات فیزیکی انعطاف ندارند. برای مثال، نمیتوان آنها را از طریق خطوط تلفن به کس یا جای دیگر منتقل کرد. طراحان سیستمهای امنیتی باید این پرسش را مطرح کنند که آیا کاربران باید توانایی انتقال اختیارشان را به دیگران داشته باشند یا خیر. پاسخ این پرسش در انتخاب روش و ابزار شناسایی و تعیین هویت موثر است.
روشهای شناسایی میتوانند بصورت ترکیبی مورد استفاده قرار گیرند: یک کارت و یک کلمه عبور یا کارت و زیست سنجی معمول هستند. این ترکیب میتواند مطابق با نیازها متفاوت باشد. برای مثال، ممکن است فقط از یک کارت برای ورود به ساختمان استفاده کنیم، از یک کارت و یک PIN برای ورود به اتاق کامپیوتر، اما از یک کارت و اثرانگشت برای عملیات انتقال پول در سیستمهای کامپیوتری.
AAA (Authentication, Authorization and Accounting)
AAA که مخفف Authentication, Authorization and Accounting است سه محور اصلی در کنترل دسترسی در شبکه هستند که در این بخش در مورد هریک از آنها به طور مجزا و مختصر صحبت میشود. ابتدا تعریفی از هریک از این مفاهیم ارائه میدهیم.
? - Authentication
?-? - مفهوم Authentication
به معنای وارسی عناصر شناسایی ارائه شده از سوی کاربر، تجهیزات یا نرمافزارهایی است که تقاضای استفاده و دسترسی به منابع شبکه را دارند. عناصر شناسایی در ابتداییترین و معمولترین حالت شامل نام کاربری و کلمه عبور میباشند. در صورت نیاز به بالاتر بودن پیچیدگی فرایند کنترل و وارسی هویت، میتوان با اضافه نمودن عناصر شناسایی به این مهم دست یافت. بدیهی است که با اضافه نمودن فاکتورها و عناصر شناسایی، نوع خادم مورد استفاده، پایگاههای دادهای مورد نظر و در بسیاری از موارد پروتکلها و استانداردها نیز باید مطابق با تغییرات اعمال شده در نظر گرفته شوند تا یکسانی در ارائه خدمات در کل شبکه حفظ شود.
پس از ارائه عناصر شناسایی از سوی متقاضی، سیستم کد کاربری و کلمه عبور را با بانک اطلاعاتی مختص کدهای شناسایی کاربری مقایسه کرده و پذیرش یا عدم پذیرش دسترسی به منابع را صادر میکند.
عمل Authentication، در طراحی شبکههایی با حجم کم و متوسط عموماً توسط تجهیزات مسیریابی و یا دیوارهای آتش انجام میگیرد. علت استفاده از این روش مجتمع سازی و ساده سازی پیادهسازی عمل Authentication است. با استفاده از امکانات موجود نیاز به استقرار یک خادم مجزا برای صدور پذیرش هویت متقاضیان دسترسی مرتفع میگردد.
از سوی دیگر در شبکههای با حجم و پیچیدگی نسبتاً بالا، عموماً با توجه به پردازش بالای مختص عمل Authentication، خادمی بصورت مستقل و مجزا به این امر اختصاص مییابد. در این روش از استانداردها و پروتکلهای مختلفی همچون TACACS+ و RADIUS استفاده میگردد.
مقدمه ای بر فایروال
فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.
مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:
1- توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.
2- بازدید حجم بالایی از بسته های اطلاعات: یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.
3- سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است.
4- امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است:
الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.
ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.
امنیت در پایگاههای داده ای - بخش اول
امنیت سرور
مقدمه
با گسترش استفاده از تکنولوژی وب و توسعه برنامه هایی که برای کارکرد درین بستر تولید میشوند مباحث مربوط به امنیت پایگاههای داده ای بعد جدیدتری پیدا کرده اند. هر چند از آغاز پیداش پایگاههای داده همواره امنیت و تامین آن یک دغدغه مهم و پیاده سازی مناسب و کارای آن یک خصوصیت بنیادی در پایگاههای داده بوده است اما بهر روی بحث امنیت (Security)همواره در سایه مقولاتی همچون عملکرد مناسب (Functionality) ، کارایی (Performance) و قابلیت اطمینان (Reliability) قرار میگرفت. به عبارتی هنوز هم چندان عجیب نیست اگر ببینیم یک برنامه رده سازمانی (Enterprise Level) با تعداد زیادی Client بدون هیچگونه ملاحظه امنیتی تولید شده و مورد استفاده باشد. حتی میتوان درین زمینه مثالهای جالبتری یافت. اغلب برنامه های Client-Server با نام کاربری sa(System Administrator) به پایگاههای داده متصل میشوند. از دید امنیتی این مطلب یک فاجعه محسوب میشود. هیچ تغییر و یا خرابکاری ای قابل ردیابی نیست، همه کاربران به همه اطلاعات دسترسی دارند و الی آخر.
آنچه ذکر شد ، در واقع تصویری از وضعیت جاری بود، که باید از دو منظر نگریسته شود: عدم وجود مکانیزمهای امنیتی مناسب و نیز در صورت وجود چنین مکانیزمهایی عدم بهره گیری صحیح ازانها یا نداشتن سیاست امنیتی مطلوب.
این وضعیت شاید در دنیای برنامه های مبتنی بر تکنولوژی های Mainframe یا Client-Server قابل تحمل بود اما در شرایط فعلی که برنامه ها با سرعت زیادی به سمت بهره گیری از بستر وب میروند ادامه این روند فاجعه بار است. در حال حاضر دیگر کاربران یک برنامه به صورت بالقوه تنها کارمندان یک سازمان نیستند. هر فردی میتواند به سادگی باز کردن یک مرورگر وب به پایگاه داده شما متصل شود و مطمئن باشید اگر مکانیزمهای امنیتی را رعایت نکرده باشید ، حذف تمامی داده های شما حتس از عهده یک نفوذگر عادی هم بر می آید.
اجازه دهید یک فرض اساسی را مطرح کنیم. مدیران IT یک سازمان بر دو دسته اند: مدیران نوگرایی که به صورت داوطلبانه سازمان را به سمت ارائه خدمات عمومی و گسترده هدایت میکنند و به همین دلیل تکنولوژی وب را به عنوان تنها بستر موجود برای ارائه این خدمات میپذیرند و مدیران سنتی محافظه کاری که قابلیت اطمینان و کارایی سیستم جاری را تحت هیچ شرایطی حاضر نیستند در معرض خطر قرار دهند. وب از نظر این گروه دوم کماکان یک تکنولوژی مشکوک غیر قابل اطمینان است. در واقع دلایل فنی این گروه دوم هنوز هم چشمگیر و قابل اعتناست، به خصوص گروهی که از mainframe ها صحبت میکنند. قابلیت اطمینان 0.99999 هنوز هم در دنیای غیر Mainframe یک رویاست.
زمانی که بحث امنیت در بستر وب مطرح میشود به صورت عمده سه جزء زیر مد نظر است:
امنیت سرور(Server Security)
امنیت در تصدیق اعتبار(Authentication Security)
امنیت محاوره(Session Security)
در ادامه نگاهی به جزئیات هریک از اجزای این دسته بندی خواهیم داشت.
شاید بخش عمده امنیت سرور مربوط به مدیر شبکه و نیز کارشناس امنیت اطلاعات باشد. ازین نظر DBA مسئولیت چندانی ندارد ، البته این به شرطی ست که قبلا متخصص امنیت شبکه مکانیزمهای امنیتی مناسب را جهت سرور پیش بینی کرده باشد. این مکانیزمها محدوده وسیعی از ابزارها و راه حلهای امنیتی را در بر میگیرد: فایروالها ، تشخیصگرهای نفوذ (Intrusion Detectors) ، ضد ویروسها ، ... از جمله ابزارها هستند . معماری امن شبکه و لحاظ کردن مسائل امنیتی درین معماری نیز میتواند حائز اهمیت باشد. تمامی این مباحث زیر مجموعه بحث امنیت شبکه می باشند که در بخش آتی به صورت خیلی مختصر به آن اشاره خواهیم کرد:
لیست کل یادداشت های این وبلاگ
آیا عصبانیت و خشم تعریفی مشخص دارد؟
آیا عصبانیت و خشم تعریفی مشخص دارد؟
عصبانیت و راههای مقابله با آن
عصبانیت
جنون ،شکل پیشرفته عصبانیت است ،هراس بی جهت مانند ترس می
عصبانیت و راه های مقابله با آن
برای آنان که می خواهند شکست را بشکنند
تو می توانی اگر بخواهی!
دوست مناسب برای فرزند شما
[عناوین آرشیوشده]
