عنوان
|
نويسنده
|
مشاهده
|
تعداد
آراء |
امتياز
|
مهمترين نقاط آسيب پذير يونيکس و لينوکس ( بخش پنجم ) |
مديريت شبکه |
13038 |
371 |
3 |
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
مهمترين نقاط آسيب پذير يونيکس
مهمترين نقاط آسيب پذير يونيکس
و لينوکس ( بخش پنجم )
آنچه
تاکنون گفته شده است :
|
|
در بخش
پنجم اين مقاله به بررسی
سرويس های NIS/NFS و SSL خواهيم پرداخت .
نهمين
نقطه آسيب پذير :
عدم پيکربندی مناسب سرويس های NIS/NFS
Network File System)NFS)
و Network Information Service )NIS) ، دو سرويس
مهم استفاده شده در شبکه های يونيکس می باشند. NFS
،
سرويسی است که
توسط شرکت Sun Microsystems بمنظور اشتراک
فايل ها بين سيستم های موجود در يک شبکه يونيکس ، طراحی و پياده سازی گرديده
است . با استفاده از سرويس فوق امکان اشتراک و دستيابی به فايل های موجود بر روی
کامپيوترهای شخصی و کامپيوترهای بزرگ فراهم می گردد . NFS
، روش استاندارد اشتراک فايل بين سيستم های کامپيوتری متفاوت است .
NIS ، يک سرويس بانک اطلاعاتی توزيع شده را برای مديريت
اکثر فايل های مديريتی مهم نظير فايل های passwd و
hosts فراهم می نمايد .مديريت متمرکز
NIS ، امکان اعمال تغييرات
مورد نظر را از يک نقطه ( بانک اطلاعاتی )
فراهم می نمايد.(عدم ضرورت اعمال تغييرات بر روی هر سيستم موجود در شبکه ) . مهمترين هدف
NIS ، ارائه اطلاعات مربوط به مکان يابی ( Maps
ناميده می شود ) به ساير سرويس های شبکه نظير NFS است
.فايل های passwd
و group ، نمونه
هائی در اين زمينه (
Maps ها مورد نظر ) بوده که از آنان بمنظور تمرکز در تائيد کاربران
استفاده می گردد. سرويس های
NIS و NFS ، دارای ضعف های امنيتی متعددی
( مثلا" ضعف در سيستم تائيد کاربران ) بوده و در ساليان اخير مهاجمان با استفاده
از آنان ، حملات متعددی را سازماندهی و به سرانجام رسانده اند .اکثر حملات انجام شده از نوع buffer overflows
، DoS می باشد . با توجه به آسيب
پذيری سرويس های فوق ، مهاجمان همواره از آنان بعنوان هدفی مناسب
در جهت حملات خود استفاده نموده اند .
درصورت عدم پيکربندی مناسب سرويس های NFS و
NIS و Patching مناسب ، سيستم
های کامپيوتری در معرض تهديد جدی بوده و مهاجمان با سوءاستفاده از حفره های امنيـتی
موجود قادر به دستيابی سيستم از راه دور و يا بصورت محلی خواهند بود. مکانيزم
استفاده شده توسط NIS برای تائيد کاربران دارای ضعف های
خاص خود بوده و مهاجمان با استفاده از نرم افزارهائی نظير
ypcat قادر به نمايش مقادير و داده
موجود در بانک اطلاعاتی
NIS بمنظور
بازيابی فايل رمزعبور می باشند.
سيستم های عامل در معرض تهديد
تقريبا" تمامی سيستم های يونيکس و لينوکس بهمراه يک نسخه از NFS
و NIS ارائه می
گردند. سرويس های فوق، بصورت پيش فرض
فعال می باشند .
نحوه تشخيص آسيب پذيری سيستم
بمنظور تشخيص آسيب پديری سيستم در رابطه با سرويس های NIS
و NFS موارد زير پيشنهاد می گردد :
-
بررسی و اطمينان از نصب آخرين Patch
ارائه شده توسط توليد کننده . تمامی نسخه هائی که بهنگام نشده و يا آخرين
Patch موجود بر روی آنان نصب نشده باشد در معرض تهديد و آسيب قرار
خواهند داشت . در اکثر نسخه ها
با استفاده از دستور rpc.mountd -version می
توان از شماره
نسخه NFS نصب شده آگاهی
يافت . بمنظور آگاهی از شماره نسخه NIS می توان از
دستور ypserv -version
استفاده نمود ( دستور فوق شماره نسخه NFS را نيز نمايش
خواهد داد ) .
-
بمنظور تشخيص آسيب پذيری نرم افزار، می توان از يک پويشگر
نقاط آسيب پذير بهنگام شده بصورت
مستمر استفاده تا بررسی
لازم در خصوص ضعف های جديد صورت پذيرد.
بمنظور برخورد با عدم پيکربندی مناسب NIS موارد زير
پيشنهاد می گردد :
-
اطمينان از عدم نگهداری Root Password در يک
NIS map
-
سازگاری رمزهای عبور تعريف شده با
سياست های امنيتی
موجود. در اين راستا می توان از يک برنامه Cracker
بمنظور بررسی استحکام رمزهای
عبور تعريف شده،استفاده نمود.
بمنظور برخورد با عدم پيکربندی مناسب
NFS موارد زير
پيشنهاد می گردد :
-
بررس لازم در خصوص بهنگام بودن ميزبانان ،
netgroups و مجوزها در فايل
etc \ exports \ .
-
اجرای دستور Showmount e بمنظور مشاهده
عناصر
export شده و بررسی سازگاری آنان با
سياست های امنيتی .
نحوه حفاظت در مقابل نقطه آسيب پذير
موارد زير در ارتباط با پيکربندی
NIS ، پيشنهاد می گردد:
موارد زير در ارتباط با پيکربندی NFS
پيشنهاد می گردد:
-
استفاده از آدرس های عددی IP و يا
FQDN)
fully qualified domain names) در مقابل اسامی مستعار
(زمانيکه
به سرويس گيرندگان در فايل etc / exports
اجازه داده می شود) .
-
بمنظوربررسی پيکربندی سيستم می توان از برنامه ای با نام NFSBug
، استفاده نمود.برنامه فوق امکانات متنوعی را بمنظور تست پيکربندی سيستم ارائه می
نمايد . برای دريافت برنامه NFSBug
، می توان از آدرس
ftp://coast.cs.purdue.edu/pub/tools/unix/nfsbug استفاده
نمود .
-
اسفاده از فايل etc\exports بمنظور اعمال محدوديت در
رابطه با دستيابی به سيستم فايل NFS با افزودن
پارامترهای زير :
- ممانعت کاربران معمولی از mounting يک سيستم فايل
NFS با افزودن يک پارامتر ايمن پس از آدرس
IP و يا نام Domain مربوط به
سرويس گيرنده NFS
.
مثلا" : ( home 10.20.1.25(secure /
- export نمودن سيستم فايل NFS
با مجوزهای مناسب
.عمليات فوق را می توان با افزودن مجوزهای لازم (
ro برای فقط خواندنی و يا rw
برای خواندن و نوشتن ) پس از آدرس IP مربوط به نام
domain سرويس گيرنده NFS
در فايل etc\export انجام
داد.
مثلا" : ( home 10.20.1.25(ro
/ .
- در صورت امکان ، از پارامتر root_squash بعد از
آدرس IP و نام Domain مربوط
به سرويس گيرنده NFS استفاده گردد . در صورتيکه پارامتر
فوق فعال شده باشد ، superuser ID root بر روی سرويس گيرنده
NFS با کاربر ID nobody در سرويس دهنده
NFS جايگزين می گردد. بدين ترتيب
root user بر روی سرويس گيرنده ، قادر به دستيابی
و يا تغيير فايل ها
بر روی root نخواهند بود.
مثلا" : ( home 10.20.1.25(root_squash / .
-
بر روی سيستم عامل سولاريس ،
مانيتورينگ پورت فعال گردد. عمليات فوق را می توان
با افزودن Line set
nfssrv:nfs_portmon = 1 در فايل etc/system / ، انجام داد .
موارد زير در ارتباط با
NFS و NIS
پيشنهاد می گردد :
-
بازنگری
و بررسی سياست های فايروال
بمنظور اطمينان از بلاک
شدن تمامی پورت های غير ضروری( مثلا" پورت 111 ( portmap ) و پورت 2049 (
Rpc.nfsd ) ) .امکان دستيابی به سرويس
دهندگان NFS و NIS
، می بايست صرفا" از طريق سرويس گيرندگان مجاز انجام شود.
-
بررسی لازم در خصوص استفاده از NFS بر روی يک پروتکل ايمن نظير
SSH . در اين رابطه می توان
از آدرس
http://www.math.ualberta.ca/imaging/snfs/ استفاده نمود .
-
نصب تمامی patch های ارائه شده توسط توليد کنندگان و
يا ارتقاء سرويس دهندگان NIS و NFS به آخرين نسخه موجود. برای آگاهی از اطلاعات مربوط به
نصب و
پيکربندی يونيکس با
لحاظ نمودن مسائل امنيتی مضاعف ، می توان از آدرس
UNIX Security Checklist
استفاده نمود.
-
غير فعال نمودن NFS و NIS
مربوط به deamons بر روی سيستم هائی که مختص يک سرويس
دهنده NFS و يا NIS طراحی و
تائيد نشده اند . بمنظور پيشگيری لازم در اينخصوص
می توان سرويس های NIS و يا NFS
( و يا هر دو آنان ) را از روی سيستم حذف نمود.
دهمين
نقطه آسيب پذير :
( Open Secure Sockets Layer
(SSL
کتابخانه OpenSSL ( بصورت Open
source است ) ، نرم افزاری
رايج بمنظور افزدون امنيت رمزنگاری به برنامه
ها ئی است که از طريق شبکه با يکديگر ارتباط برقرار می نمايند .سرويس
دهنده آپاچی ، مهمترين وشناخته ترين
برنامه استفاده کننده از پکيج فوق می باشد ( بمنظور حمايـت
از
hhtps ، ارتباط بر روی پورت 443 )
. برنامه های متعدد ديگر با انجام برخی تغييرات ، استفاده از OpenSSL
بمنظور افزايش امنيـت اطلاعات مبادله شده در يک شبکه را در دستور کار خود
قرار داده اند .
برنامه های متعددی بمنظور ارائه امنيت رمزنگاری در ارتباط با يک
Connection از OpenSSL
استفاده می نمايند . مهاجمان در اغلب موارد در مقابل هدف قرار دادن مستقيم
OpenSSL ، برنامه هائی را برای حملات خود انتخاب می
نمايند که از OpenSSL استفاده می نمايند . يکی از
اهداف مهاجمين در اين رابطه ، سرويس دهنده آپاچی
است که از
OpenSSL استفاده می نمايد .
برنامه هائی ديگر نظير: mail ،
openldap,CUPS که
از OpenSSL استفاده می نمايند نيز در معرض
تهاجم قرار خواهند داشت .
OpenSSL دارای نقاط آسيب پذير متعددی بوده که می توان به
چهار نمونه مهم آنان اشاره نمود :
مورد
اول ،
مورد
دوم ،
مورد سوم ،
مورد
چهارم . مهاجمان با استفاده از نقاط آسيب پذير فوق، قادر به اجرای
کد دلخواه بعنوان کاربر کتابخانه OpenSSL می باشند.
سيستم های عامل در معرض تهديد
هر يک از سيستم های يونيکس و يا لينوکس که بر روی آنان نخسه
OpenSSL 0.9.7 و يا قبل از آن اجراء می گردد،
در معرض اين آسيب قرار خواهند داشت
.
نحوه تشخيص آسيب پذيری سيستم
در صورتيکه نسخه
version 0.9.7a و يا قبل از آن نصب شده باشد ، سيستم در معرض تهديد و آسيب
قرار خواهد داشت . در اين رابطه می توان از دستور OpenSSL version ،
بمنظور آگاهی از شماره نسخه نرم افزار نصب شده ، استفاده نمود.
نحوه حفاظت در مقابل نقطه آسيب پذير
بمنظور حفاظت در مقابل نقطه آسيب پذير فوق ، موارد زير پيشنهاد می
گردد :
-
ارتقاء به آخرين و جديدترين نسخه
OpenSSL .
در صورتيکه OpenSSL بهمراه سيستم عامل نصب شده است ، از
توليدکننده سيستم عامل مربوطه می بايست آخرين نسخه مربوطه را دريافت و آن را
بر روی سيستم نصب نمود.
-
در صورت امکان ، از ipfilter و ساير ابزارهای
موجود در اين زمينه بمنظور
اعمال محدوديت در رابطه با
سيستم هائی که می بايست به سرويس دهنده
OpenSSL متصل گردند ،استفاده
شود .