امنیت در پایگاههای داده ای - بخش اول

امنیت سرور

مقدمه

با گسترش استفاده از تکنولوژی وب و توسعه برنامه هایی که برای کارکرد درین بستر تولید میشوند مباحث مربوط به امنیت پایگاههای داده ای بعد جدیدتری پیدا کرده اند. هر چند از آغاز پیداش پایگاههای داده همواره امنیت و تامین آن یک دغدغه مهم و پیاده سازی مناسب  و کارای آن یک خصوصیت بنیادی در پایگاههای داده بوده است اما بهر روی بحث امنیت (Security)همواره در سایه مقولاتی همچون عملکرد مناسب (Functionality) ، کارایی (Performance) و قابلیت اطمینان (Reliability) قرار میگرفت. به عبارتی هنوز هم چندان عجیب نیست اگر ببینیم یک برنامه رده سازمانی (Enterprise Level) با تعداد زیادی Client بدون هیچگونه ملاحظه امنیتی تولید شده و مورد استفاده باشد. حتی میتوان درین زمینه مثالهای جالبتری یافت. اغلب برنامه های Client-Server با نام کاربری  sa(System Administrator) به پایگاههای داده متصل میشوند. از دید امنیتی این مطلب یک فاجعه محسوب میشود. هیچ تغییر و یا خرابکاری ای قابل ردیابی نیست، همه کاربران به همه اطلاعات دسترسی دارند و الی آخر.

آنچه ذکر شد ، در واقع تصویری از وضعیت جاری بود، که باید از دو منظر نگریسته شود: عدم وجود مکانیزمهای امنیتی مناسب و نیز در صورت وجود چنین مکانیزمهایی عدم بهره گیری صحیح ازانها یا نداشتن سیاست امنیتی مطلوب.

این وضعیت شاید در دنیای برنامه های مبتنی بر تکنولوژی های Mainframe یا Client-Server قابل تحمل بود اما در شرایط فعلی که برنامه ها با سرعت زیادی به سمت بهره گیری از بستر وب میروند ادامه این روند فاجعه بار است. در حال حاضر دیگر کاربران یک برنامه به صورت بالقوه تنها کارمندان یک سازمان نیستند. هر فردی میتواند به سادگی باز کردن یک مرورگر وب به پایگاه داده شما متصل شود و مطمئن باشید اگر مکانیزمهای امنیتی را رعایت نکرده باشید ، حذف تمامی داده های شما حتس از عهده یک نفوذگر عادی هم بر می آید.

اجازه دهید یک فرض اساسی را مطرح کنیم. مدیران IT یک سازمان بر دو دسته اند: مدیران نوگرایی که به صورت داوطلبانه سازمان را به سمت ارائه خدمات عمومی و گسترده هدایت میکنند و به همین دلیل تکنولوژی وب را به عنوان تنها بستر موجود برای ارائه این خدمات میپذیرند و مدیران سنتی محافظه کاری که قابلیت اطمینان و کارایی سیستم جاری را تحت هیچ شرایطی حاضر نیستند در معرض خطر قرار دهند. وب از نظر این گروه دوم کماکان یک تکنولوژی مشکوک غیر قابل اطمینان است. در واقع دلایل فنی این گروه دوم هنوز هم چشمگیر و قابل اعتناست، به خصوص گروهی که از mainframe ها صحبت میکنند. قابلیت اطمینان 0.99999 هنوز هم در دنیای غیر Mainframe  یک رویاست. 

زمانی که بحث امنیت در بستر وب مطرح میشود به صورت عمده سه جزء زیر مد نظر است:

• امنیت سرور(Server Security)
• امنیت در تصدیق اعتبار(Authentication Security)
• امنیت محاوره(Session Security)

در ادامه نگاهی به جزئیات هریک از اجزای این دسته بندی خواهیم داشت.

بیومتریک و تجهیزات مربوطه- بخش دوم

۲- Physiometric (خصوصیات فیزیکی)

سنجش اعضا از قدیمی ترین روشهای تشخیص هویت است که با پیشرفت تکنولوژی به تنوع آن افزوده شده است.

 

۱-۲ اثر انگشت

این روش قدیمی ترین روش آزمایش تشخیص هویت از راه دور است. اگرچه قبلا اثر انگشت تنها در زمینه جرم قابل بحث بود، تحقیقات در بسیاری کشورها سطحی از پذیرش را نشان میدهد که به این روش اجازه استفاده در برنامه های عمومی را می دهد. سیستمها میتوانند جزئیاتی از اثر انگشت (نقاطی مانند تقاطعها یا کناره های برجستگیها) یا کل تصویر را بگیرند. الگوهای مرجع که برای حفظ این جزئیات بکار میرود در حدود ۱۰۰ بایت هستند که در مقایسه با تصویر کاملی که از اثر انگشت با حجم ۵۰۰ تا ۱۵۰۰ بایت میباشد,بسیار کوچکتر هستند.

 

بیومتریک و تجهیزات مربوطه- بخش اول

برای صدور اجازه ورود برای یک فرد  نیاز داریم وی را شناسایی و هویت وی را تایید کنیم و مورد نظر ما انجام بررسیهایی است که بصورت خودکار توسط یک سیستم صورت بگیرد.

در اصل تمام روشهای شناسایی با سه مورد زیر ارتباط دارد:

۱- آنچه که شما میدانید (یک کلمه عبور یا PIN)

۲- آنجه که شما دارید (یک کارت یا نشانه های دیگر)

۳- آنچه که شما هستید (مشخصات فیزیکی یا رفتاری)

مورد آخر به نام زیست سنجی (Biometrics) نیز شناخته میشود.

هرکدام از این موارد مزایا و معایبی دارد: کلمات عبور ممکن است حدس زده شوند یا از دست داده شوند اما به کاربر اجازه میدهند که قدرت خود را در اختیار کس دیگر قرار دهد. بسیاری از افراد براحتی کلمات عبور را فراموش میکنند، مخصوصا اگر بندرت از آنها استفاده کنند. نشانه ها میتوانند گم یا دزدیده شوند اما میتوانند در صورت لزوم به کس دیگر منتقل یا قرض داده شوند. مشخصات فیزیکی انعطاف ندارند. برای مثال، نمیتوان آنها را از طریق خطوط تلفن به کس یا جای دیگر منتقل کرد. طراحان سیستمهای امنیتی باید این پرسش را مطرح کنند که آیا کاربران باید توانایی انتقال اختیارشان را به دیگران داشته باشند یا خیر. پاسخ این پرسش در انتخاب روش و ابزار شناسایی و تعیین هویت موثر است.

روشهای شناسایی میتوانند بصورت ترکیبی مورد استفاده قرار گیرند: یک کارت و یک کلمه عبور یا کارت و زیست سنجی معمول هستند. این ترکیب میتواند مطابق با نیازها متفاوت باشد. برای مثال، ممکن است فقط از یک کارت برای ورود به ساختمان استفاده کنیم، از یک کارت و یک PIN برای ورود به اتاق کامپیوتر، اما از یک کارت و اثرانگشت برای عملیات انتقال پول در سیستمهای کامپیوتری.

AAA (Authentication, Authorization and Accounting)

    که مخفف Authentication, Authorization and Accounting است سه محور اصلی در کنترل دسترسی در شبکه هستند که در این بخش در مورد هریک از آنها به طور مجزا و مختصر صحبت می‌شود. ابتدا تعریفی از هریک از این مفاهیم ارائه می‌دهیم.

۱ - Authentication

۱-۱ - مفهوم Authentication

    به معنای وارسی عناصر شناسایی ارائه شده از سوی کاربر،‌ تجهیزات یا نرم‌افزارهایی است که تقاضای استفاده و دسترسی به منابع شبکه را دارند. عناصر شناسایی در ابتدایی‌ترین و معمول‌ترین حالت شامل نام کاربری و کلمه عبور می‌باشند. در صورت نیاز به بالاتر بودن پیچیدگی فرایند کنترل و وارسی هویت، می‌توان با اضافه نمودن عناصر شناسایی به این مهم دست یافت. بدیهی‌ است که با اضافه نمودن فاکتورها و عناصر شناسایی، نوع خادم مورد استفاده، پایگاه‌های داده‌ای مورد نظر و در بسیاری از موارد پروتکل‌ها و استانداردها نیز باید مطابق با تغییرات اعمال شده در نظر گرفته شوند تا یکسانی در ارائه خدمات در کل شبکه حفظ شود.

    پس از ارائه عناصر شناسایی از سوی متقاضی، سیستم کد کاربری و کلمه عبور را با بانک اطلاعاتی مختص کدهای شناسایی کاربری مقایسه کرده و پذیرش یا عدم پذیرش دسترسی به منابع را صادر می‌کند.

    عمل Authentication، در طراحی‌ شبکه‌هایی با حجم کم و متوسط عموماً توسط تجهیزات مسیریابی و یا دیوارهای آتش انجام می‌گیرد. علت استفاده از این روش مجتمع سازی و ساده سازی پیاده‌سازی عمل Authentication است. با استفاده از امکانات موجود نیاز به استقرار یک خادم مجزا برای صدور پذیرش هویت متقاضیان دسترسی مرتفع می‌گردد.

    از سوی دیگر در شبکه‌های با حجم و پیچیدگی نسبتاً بالا،‌ عموماً با توجه به پردازش بالای مختص عمل Authentication، خادمی بصورت مستقل و مجزا به این امر اختصاص می‌یابد. در این روش از استانداردها و پروتکل‌های مختلفی همچون TACACS+ و RADIUS استفاده می‌گردد.

امنیت تجهیزات شبکه

برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.

    اهمیت امنیت تجهیزات به دو علت اهمیت ویژه‌ای می‌یابد :

الف – عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه می‌دهد که‌ با دستیابی به تجهیزات امکان پیکربندی آنها را به گونه‌ای که تمایل دارند آن سخت‌افزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکان‌پذیر خواهد شد.

ب – برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حمله‌ها نفوذگران می‌توانند سرویس‌هایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم می‌شود.

    در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار می‌گیرد. عناوین برخی از این موضوعات به شرح زیر هستند :

-       امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه

-       امنیت تجهیزات شبکه در سطوح منطقی

-       بالابردن امنیت تجهیزات توسط افزونگی در سرویس‌ها و سخت‌افزارها 

    موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار می‌گیرند :

-       امنیت فیزیکی

-       امنیت منطقی

 

بدافزار Stuxnet

اخیراً یک بدافزار خطرناک به نام Stuxnet در همه کشورهای جهان و به خصوص ایران گسترش پیدا کرده است که هدف آن ایجاد اختلال در شرکت ها و سازمان های مرتبط با زیرساخت های حیاتی همچون نیروگاه ها است. بدافزار مذکور با سوءاستفاده از یک حفره امنیتی در ویندوز گسترش پیدا می کند و به دنبال سیستم هایی است که از نرم افزار WinCC Scada که متعلق به زیمنس است، استفاده می کنند. نرم افزار مذکور معمولاً توسط سازمان های مرتبط با زیرساخت های حیاتی مورد استفاده قرار می گیرد.

بنا بر اطلاعات ارائه شده توسط سایمانتک، کرم رایانه ای Scada که هدف آن شرکت ها و سازمان های مربوط زیرساخت های حیاتی هستند، نه تنها به سرقت اطلاعات می پردازد، بلکه یک back door را نیز بر روی سیستم قربانی قرار می دهد تا بتواند از راه دور و به طور مخفیانه کنترل عملیات زیرساخت های مذکور را در اختیار گیرد.

کرم Stuxnet، شرکت های مربوط به سیستم های کنترل صنعتی در سراسر جهان را آلوده ساخته است، با این وجود بنا بر گزارش های دریافت شده، بیشتر آلودگی ها در ایران و هند مشاهده شده است.

فایل های MD5

ابزار رفع بدافزار stuxnet:

ابزار مرکز آپای شریف جهت رفع بدافزار stuxnet

ابزار مرکز آپای امیرکبیر جهت رفع بدافزار stuxnet

اصلاحیه های مایکروسافت:

ms10-046
ms10-061
ms10-067

جذب عضو ، همکار و مدیر فعال برای تیم امنیت سایبری ولایت

بعد از گذشت چند سال از فعالیت ما در زمینه های امنیتی به دلیل بروز مشکلاتی تیم قبلی ما دچار مشکل شد و تصمیم بر آن شد که تیم جدیدی را پایه گذاری کنیم .
دوستانی که در زمینه های زیر هر نوع تخصصی دارند و تمایل به همکاری با ما و کسب درآمد دارند لطفا  اطلاعات خود را برای ما ارسال کنند :

تخصص در زمینه امن سازی سایت ها و سرور ها

تخصص در زمینه برنامه نویسی با انواع زبان های تحت وب

تخصص در زمینه برنامه نویسی با انواع زبان های ویندوز

تخصص در زمینه برنامه نویسی اندروید و iOS

تخصص در زمینه فعالیت های گرافیکی

تخصص در زمینه طراحی سایت و یا تبدیل قالب ها

مدیریت سرور ، مسئول هاستینگ ، سرور های مجازی

مدیر و مسئول پنل های پیامکی

                                       با تشکر فروان

UAC) User Account Control) چیست؟

ابزاری می‌باشد‌ که اگر کاربر شما عضو گروه administrator کامپیوترتان باشد احتمالا از آن استفاده کرده‌اید دلیل آن این است که به صورت پیش‌فرض برای کاربران معمولی غیرفعال می‌باشد به این معنی که کاربر معمولی به صورت پیش‌فرض با آن مواجه نمی‌شود. تنظیمات UAC به شما اجازه می‌دهد تنظیمات دلخواه خود را متناسب با شرکتان و سازمانتان انجام دهید.

Uacیک ویژگی امنیتی می‌باشد، وقتی که یک عملیات و یا یک اقدام نیاز به سطح دسترسی بیشتری به سیستم شما را دارد به شما اطلاع می‌دهد. شما در سیستم عامل ‌های گذشته مانند سیستم عامل window Xp اگر با کاربری که عضو گروه admin بود log on می‌کردید به صورت اتوماتیک به بالاترین سطح مدیریتی(سطح امنیتی) در تمامی زمان‌ها دسترسی داشتید .