أمن الشبكة والمواقع - الجزء الثاني

بسم الله الرحمن الرحيم

الجزء الأول

ونبدأ في الجزء الثاني :

هل تشعر بامان تام بعد ان ركبت جدار ناري لحماية شبكتك من الاخطار الخارجية وبعد ان اعددت سياسات العمل Rules به علي اكمل وجه، وبدأت تتلقي التقارير والانذارات اليومية ؟ عليك ان تعلم انه يوجد خطر آخر يهدد شبكتك وياتي هذه المرة من داخلها ، عبر المنافذ المفتوحة وكلمات المرور غير الآمنة وخدمات الشبكات غير المؤمنة، والثغرات الامنية في نظام التشغيل والتطبيقات .

قد تكون شبكتك صغيرة او متوسطة الحجم مرتبطة بشبكة انترنت عبر وصلة عريضة الحزم، وتبقي مفتوحة 24 ساعة اليوم وسبعة ايام في الاسبوع. ومن المؤكد ان المخترقين حاولوا سبر اغوارها او سرقة بياناتك او استغلال الشبكة لاستخدامها في هجمات اخري، لكن تبقي علي الرغم من ذلك اغلب الهجمات نابعة من داخل الشبكة ، من شخص يملك حق الوصول الي شبكتك .

يمثل تركيب الجدار الناري الخطوة الاولي فقط . في طريق تحقيق امن شبكتك ولا تستطيع غالبا العديد من الجدران النارية التي توظفها الشركات الصغيرة او متوسطة الحجم منع البرمجيات الخطرة المرسلة في البريد الالكتروني او انها تحتاج الي تكلفة اضافية او الي مستوي اضافية من الخدمات الخارجية للقيام بذلك . وتحتاج لكي تشعر بالامان الي دراسة شاملة للمواضع المعرضة للهجوم في انظمة التشغيل والتطبيقات وكلمات المرور والتي تقع خلف جدران النار، كالثغرات الامنية فيها بالاضافة الي الثغرات الكامنة في منافذ الشبكة التي يحميها الجدار الناي ذاته.

نجد هذه الايام شركات كثيرة تتصل الي انترنت عن طريق وصلات عريضة الحزم مثل T1 وتبقي لمدة لا بأس بها متصلة وبعناوين ثابتة مما يعطي فرصة للمخترقين بالوصول اليها حالما يجدون طريقا اليها . وبذلك يمكنهم الحاق ضرر مختلفة بها او استغلاها .. والوصلات الكابلية ووصلات DSL ايضا تعتبر عرضة للهجوم ( عناوين أيبي ثابتة الخ ) ......

وقد شهدت العامان الماضيات هجمات شرسة من نوع DDoS وهذه السنة هجمة جديدة اطلقت عليها اسم DRDoS شنت من خلال شبكات بريئة استغلها المخترقون في الهجمات ....

تستطيع برامج فحص منافذ والثغرات المصصمة جيدا والتي تقوم بفحص واختبار الثغرات المحتملة والمعرضة للهجوم عبر الشبكة علي مختلف أنواع نظام تشغيل .

وهناك ايضا ما يعرف بنظام الكشف عن الاختراق او المتطفلين Intrusion Detection System IDS تقوم هذه الانظمة بالكشف عن اشخاص يتعدون علي الشبكة بالاضافة الي مهمات اخري. بما فيها تتبع نشاطات المستخدم منذ دخوله الي خروجه وحراسة الشبكة ضد انواع معروفة من الهجمات والكشف عن حدوث مخالفات لساسية الشبكة ومتابعة انشطةتها العادية، ما يسهل تحديد اي سلوك غير طبيعي .
ترتكز انظمة IDS إما علي حاسوب مضيف او علي الشبكة، وتتولي الانظمة المرتكزة علي الحاسوب المضيف تركيب البرمجيات لتحليل البيانات من مواقع مختلفة بما في ذلك سجلات الاحداث، وملفات التجهيز وملفات سجل الاداء، وملفات كلمات المرور وملفات الامنية الاخري . ويجب تركيب هذه الرمجيات علي كل حاسوب موصول بالشبكة للحصول علي افضل مستوي من الناحية الامنية، وتمثل بعض انظمة IDS المرتكزة علي المضيف جدرانا نارية شخصية فقط . اما انظمة IDS المرتكزة علي الشبكات فتاخذ البيانات من رزم تنتقل عبر تلك الشبكات في عملية مشابهة لاستراق السمع عبر الاسلاك wiretapping ، وتقوم حساسات النظام بالتقاط البيانات وفصحها حسب قواعد معرفة مسبقا ( بشكل مشابه لملفات تعريفات الفيروسات ) لتحديد حركة المرور غير الشرعية . ومن الافضل عادة استخدام الانظمة المرتكزة علي الشبكات اذا رغبت في ابعاد المستخدمين غير المرغوب فيهم، وتتفوق الانظمة المبنية علي الحاسوب المضيف في مجال تتبع المشاكل الامنية داخل الشبكة .
تبني اجراءات الكشف الفعلي اما عن السلوكbehavior او علي المعرفة knowledge وتقارن الانظمة المبنية علي السلوك النشاط الحالي للنظام مع نشاطه الطبيعي، اما الانظمة المبنية علي المعرفة فتبحث عن انواع معرفة من محاولات اختراق، لمقارنتها مع قاعدة بيانات تتضمن تواقيع هذه الهجمات ، وتستخدم الغالبية العظمي من انظمة IDS طريقة الكشف المبنية علي المعرفة .
تستخدم انظمة IDS الجيدة الاستراتيجية المبنية علي الحاسوب المضيف والاستراتيجية المبنية علي الشبكات علي السواء .

وفيما يلي قائمة اشهر الاخطار العامة التي اصدرتها موقع www.sans.org/top20.htm

أولا الاخطار الامنية العامة :
1 - تركيب نظام التشغيل والتطبيقات وابقائها في حالاتها القياسية
تتضمن معظم انظمة التشغيل والتطبيقات المختلفة عددا كبيرا جدا من النصوص والخدمات البرمجية التي تهدف الي جعل المستخدم يركب النظام باقل جهد ، وباسرع وقت ممكن، مع تمكين جميع الخيارات المفيدة في النظام او التطبيق والتي قد لا يكون المستخدم في حاجة اليها اغلب الاحيان ،ولكنها تركب من منطلق سهولة الوصول اليها عند الحاجة. وعلي الرغم من ان هذه العملية تعتبر مفيدة للمستخدمين الجدد ومدراء النظم المشغولين دائما، الا انها تعتبر كذلك واحدة من اكثر النقاط التي تعرض المستخدمين للخطر، حيث لا يعلم المستخدم بوجود هذه الخيارات الاضافية في اغلب الاحيان ما يؤدي الي الا يركب الرقع الامنية اللازمة لصد اي ثغرة امنية تظهر فيها ، وهو امر يسمح للمحترفين باستغلالها ...
بالنسبة لنظم التشغيل مثلا التنزيل العادي قد يقوم بتركيب خدمات اضافية ومنافذة مفتوحة غير اللازمة مما يعني فرضة ذهيبة للمخترقين ...
وبالنسبة للتطبيقات تركيب بريمجات او سكربتات اضافية او الامثلة والتي قد لا يستخدم ،، فمثلا في مزودات ويب قد يقوم المخترقون باستغلال السكربتات ...
والحل : يجب ازالة اي خدمات او برمجيات لا يحتاجها لمستخدم اطلاقا بالاضافة الي اغلاق جميع المنافذ Ports غير المستخدمة يف النظام وعند تركيب النظام او البرامج يجب تركيب الحد الادني من الخدمات ... ويجب قراءة الوثائق المرفقة مع النظام او البرامج جيدا ..

2 - انشاء حسابات في النظام تستخدم كلمات مرور ضعيفة اولا تستخدم اطلاقا او كلمات مرور اعتادية .... تتضمن معظم انظمة التشغيل والمزودات البرمجية حسابات معدة سلفا للمستخدمين باسماء قياسية لتسهيل عملية الدخول وقت تركيب النظام، وتسمح هذه الحسابات احيانا كلمات مرور قياسية او لا تتطلب كلمات مرور اطلاقا مما تسهل علي المخترقين بالولوج الي النظام بسهولة ....
الحل : ازالة جميع الحسابات القياسية مثل Guest والتي لا تستخدم بعد عملية التركيب، ووضع سياسات لكلمات المرور ( تحديد طول الكلمات ونوعيتها ) او حتي تحديد مدة صلاحيتها،، واجراء عمليات فحص لكلمات المرور لتقييم قوة كلمة السر ، هذا يسري علي كل جهاز متصل بالشبكة حتي مثل الموجهات router والطابعات الخ.

3 - عدم اجراء عمليات حفظ احتياطي او اجرائها بشكل سليم :
تصور ان بياناتك تعرضت للسرقة او التخريب تفهم مدي اهمية هذه الاجراء..
يجب علي الشركات المتوسطة والكبيرة اجراء هذه العملية يوميا ... وحفظ وصيانة الاشرطة ووسائط التخزين بشكل سليم.

4 - وجود عدد كبير من المنافذ المفتوحة :
اول ما يبدأ به المخترقون من اجل اختراق شبكتك هي عملية فحص للمنافذ المفتوحة،، كلما زادت عدد المنافذ المفتوحة زادت احتمال التعرض للاختراق ..
والحل : تاكد من اغلاق الخدمات Service والمنافذ التي لا تحتاجها واستخدم برامج فحص المنافذ مثل fport للويندوز او ISS لللشبكات الضخمة او nmap للينكس ... او استخدم منافذ غير قياسية للخدمات كلما امكن port mapping ...

5 - عدم ترشيح الرزم الشبكية الواردة والصادرة والتي تتضمن عناوين IP محددة :
اذا لم يتم ترشيح عناوين ويب الصادرة من شبكتك او الواردة اليها فانه من المحتمل ان يستخدم نظامك لاجراء هجمات حجب الخدمة الموزعة DDoS Distributed Danial of Serivce Attack وانت لا تدري، او حتي قد تتعرض لمثل هذه الهجمات ... قد اصبحت هذه النوعية شائعة جدا في السنوات الاخيرة .. فائدة عملية الترشيح انها تتاكد من ان كل طلب عنوان لموقع ما يصدر من شبكتك هو طلب حقيقي وليس طلبا مزورا بقصد هجمات DDoS
راجع http://grc.com/dos/grcdos.htm
http://grc.com/dos/drdos.htm
الحل : اتبع الحلول الواردة اعلاه، مثل استخدام جدران النار يسمح لك بتحديد سياسات للعناوين الصادرة والواردة للتاكد من انها حقيقية لان بعض انواع الهجمات تستخدم عناوين مزورة بقصد اخفاء عناوينها ..


6 - عدم تسجيل معلومات الحركة وسيل المعلومات :
عليك باعداد نظامك بحيث يسجل كافة العمليات التي تجري خلال اتصاله بالانترنت، فهذه العملية مفيدة في حالة حدوث اختراق لشبكتك وفي حالة تتبع المخترق .... او اكتشاف عمليات التخريب الاخري مثل حذف الملفات، او تغيير المعلومات او حتي وضع تروجانات

7 - استخدام برامج CGI غير الآمنة، والمكتوبة بشكل سيئ :
بما ان كافة المزودات مثل Apache و IIS البرامج التي تعتمد علي واجهة CGI وبما انها تتعامل مباشرة مع نظام التشغيل يؤدي استخدام برامج CGI السيئة الي استغلالها من قبل المخترقين ...
مع انتشار استخدام لغة PHP والمنتديات المكتوبة بها ظهرت ثغرات عديدة سواء في المفسر نفسه او في المنتديات مثل VBB،، بعض الثغرات ادت الي التحكم في المزود ....
هناك بعض الاقتراحات كتبها الاخ خضر ترزي
راجع الوصلة ، الجزئية الخاصة : حول نظم حماية البيانات
http://www.arabteam2000.com/vb/showthread....?threadid=11807