بررسی اصول امنيت برنامه های وب New Page 1



ساير




 

 

 

SAKHA RAVESH CO.

 ا مروز

 سه شنبه  9  خرداد  1396  2017  May  30   Tuesday ToDay
صفحه اصلی  مقالات نکته هادايره المعارف خودآموزها | تازه ها خود آزمون ها    
  نسخه قابل چاپ  

    5 4 3 2 1 

 عنوان

 نويسنده

  مشاهده

 تعداد آراء

 امتياز

 اصول امنيت برنامه های وب (بخش چهارم)

 مديريت وب

9238

12

4.2

با توجه به جایگاه داده در عصر حاضر و  لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر  روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و  خدمات خود  را از طریق  سایت www.fabak.ir  به مخاطبان محترم عرضه می نماید

 

اصول امنيت برنامه های وب

اصول امنيت برنامه های وب (بخش چهارم)

آنچه تاكنون گفته شده است :

  • بخش اول : تبعيت از يك رويكرد جامع به منظور ايجاد برنامه های وب ايمن و تمركز بر روی سه لايه شبكه ، host و برنامه
  • بخش دوم  : بررسی انواع تهديدات در شبكه های كامپيوتری ( لايه شبكه و جايگاه آن در ايمن سازی محيط های عملياتی )
  • بخش سوم : بررسی ملاحظات امنيتی در خصوص بكارگيری روتر ( لايه شبكه و بررسی عناصر موجود در زير ساخت شبكه )

در اين بخش به بررسی فايروال و ملاحظات امنيتی در ارتباط با آن خواهيم پرداخت .
همانگونه كه در بخش دوم  اشاره گرديد ، زير ساخت شبكه را می توان به سه لايه متفاوت  دستيابی ، توزيع و هسته تقسيم نمود . اين لايه ها شامل تمامی سخت افزارهای مورد نياز به منظور كنترل دستيابی به منابع داخلی و خارجی است .  روتر ،‌سوئيچ و فايروال مهمترين عناصر موجود در زير ساخت يك شبكه می باشند . 
فايروال می بايست در هر مكانی كه شبكه شما با يك شبكه غيرايمن تعامل دارد ، نصب و پيكربندی گردد ( خصوصا" اگر اين شبكه اينترنت باشد ). توصيه می گردد كه سرويس دهندگان وب و  بانك اطلاعاتی  توسط  يك فايروال داخلی حفاظت گردند .
پس از روتر كه امكانات متعددی را به منظور فيلترينگ بسته های اطلاعاتی در اختيار قرار می دهد ( استفاده از ليست های كنترل دستيابی ) ، فايروال ها دارای جايگاهی مهم در ايجاد سيستم تدافعی و حفاظتی در يك شبكه می باشند . بديهی است كه مهاجمان برای نفوذ در يك شبكه بر روی دو نقطه فوق بيش از ساير نقاط متمركز شده و از ضعف امنيتی آنان در جهت اهداف مخرب استفاده نمايند. تعداد زيادی از فيلترها و ليست های كنترل دستيابی ( ACLs ) كه در رابطه با روتر اعمال شده است را می توان  بر روی يك فايروال نيز پياده سازی نمود .
برای نصب و  پيكربندی فايروال با رعايت ملاحظات امنيتی ، اقدامات متعددی را می بايست در هر يك از گروه های زير انجام داد : 

  • بهنگام سازی و نصب patches
  • تعريف فيلترها متناسب با سيستم فيلترينگ انتخابی 
  • مميزی و لاگ حوادث امنيتی
  • استفاده مناسب و بهينه از شبكه های Perimeter
  • تشخيص مزاحمين

در ادامه به تشريح عمليات مرتبط با هر يك از گروه های فوق خواهيم پرداخت .

 بهنگام سازی و نصب patches
با عضويت در خبرنامه شركت هائی كه از محصولات نرم افزاری و يا سخت افزاری آنها در زيرساخت فن آوری اطلاعات استفاده شده است ،‌ می توان به سرعت از توصيه های امنيتی آنها آگاهی يافت . شركت های معتبر در صورت بروز مشكل در يك محصول سخت افزاری و يا نرم افزاری در اولين فرصت اقدام به ارائه patch مربوطه می نمايند و اين موضوع را از طريق پست الكترونيكی به اطلاع مشتركان خود می رسانند . توجه داشته باشيد كه همواره قبل از بكارگيری نسخه های بهنگام شده در يك محيط عملياتی ، آنها را تست و پس از حصول اطمينان از صحت عملكرد ، اقدام به نصب نهائی آنها در محيط واقعی نمود . 

فيلترها
فيلترينگ پورت ها بر روی فايروال روشی موثر و كارآمد برای بلاك كردن بسته های اطلاعاتی مخرب و payload می باشد. امروزه از فناوری های متعددی به منظور فيلترينگ بسته های اطلاعاتی استفاده می گردد . عملكرد اين فايروال ها می تواند ساده نظير فايروال های packet filter باشد كه با بررسی هدر IP در لايه شبكه قادر به فيلترينگ بسته های اطلاعاتی بر اساس آدرس مبداء ، آدرس مقصد و شماره پورت می باشند و يا فايروال های پيچيده نظير فايروال هائی باشد كه قادر به بررسی  payload يك برنامه خاص می باشند . در استراتژی دفاع در عمق ، استفاده از فيلترهای لايه ای به عنوان يك روش موثر به منظور بلاك كردن حملات پيشنهاد می گردد .
فايروال ها برای  فيلترينگ از روش های متعددی استفاده می نمايند : 

  •  Packet filters  : اين نوع فيلترها قادر به فيلترينگ بسته های اطلاعاتی بر اساس پروتكل ، آدرس مبداء و مقصد ، شماره پورت مبداء و مقصد و يا نام كامپيوتر می باشند . فيلترينگ بسته های اطلاعاتی IP ايستا می باشد و مبادله داده از طريق يك پورت خاص بلاك و يا امكان پذير می گردد . بسته های اطلاعاتی بلاك شده لاگ می گردد تا در آينده بتوان رفتار غيرطبيعی شبكه را در مقاطع زمانی خاص بررسی نمود . در لايه شبكه ، payload ناشناخته است و می تواند خطرناك باشد . بدين منظور لازم است  از نوع های خاصی از فيلترينگ هوشمند استفاده گردد تا امكان بررسی payload و اتخاذ تصميم بر اساس قوانين كنترل دستيابی فراهم گردد . 

  • Circuit-level filters :  در اين نوع فيلترها در مقابل بررسی داده  payload ، اطلاعات مربوط به session  بررسی می گردد . پس از ايجاد يك درخواست توسط  سرويس گيرنده و ارسال مستقيم آن برای فايروال ( و يا gateway ) ، در پاسخ  gateway يك ارتباط به سرويس دهنده برای وی را مقداردهی اوليه كرده و خود به عنوان يك كارگزار بين دو نقطه ارتباطی ايفای وظيفه می نمايد . اين نوع فيلترها با آگاهی از قوانين اتصال سطح برنامه ها اين اطمينان را ايجاد می نمايند كه صرفا"  بين سرويس گيرنده و سرويس دهنده  ارتباطات معتبر برقرار می گردد . همانگونه كه اشاره گرديد فيلترهای فوق  payload واقعی را بررسی نمی نمايند و در مقابل ، به منظور حصول اطمينان از يكپارچگی بسته های اطلاعاتی و پيشگيری از سرقت session ، اقدام به شمارش تعداد فريم ها می نمايند .

  • Application filters : فيلترهای هوشمند application قادر به آناليز داده ارسالی برای يك برنامه بوده و می توانند پردازش های مختص برنامه شامل بررسی ، گزينش ، بلاك نمودن ، تغيير مسير و حتی تغيير داده را در زمان ارسال از طريق فايروال انجام دهند .  اين نوع فيلترها قادر به ارائه يك سيستم تدافعی مناسب در مقابل حملاتی نظير دستورات غيرايمن SMTP ، تهاجم بر عليه سرويس دهندگان داخلی DNS ، حملات مبتنی بر HTTP ( نظير Code Red و Nimda كه از دانش در ارتباط با برنامه ها استفاده می كردند ) ، می باشند . به عنوان نمونه ، يك application filter قادر به بلاك نمودن يك دستور HTTP DELETE می باشد ولی امكان اجرای دستوری نظير يك HTTP GET را فراهم می نمايد . قابليت گزينش محتويات شامل تشخيص ويروس و آناليز واژه ای ، اين نوع فايروال ها را به عنوان گزينه ای مطلوب در وب مطرح نموده است .

  • Stateful inspection : فيلترهای Application محدود به دانش Payload يك بسته اطلاعاتی می باشند و صرفا" سيستم تصميم گيری آنها بر اساس payload انجام می شود . فيلترهای Stateful از payload و  context آن به منظور تشخيص قوانين فيلترينگ استفاده می نمايند . استفاده از payload و محتويات بسته اطلاعاتی توسط فايروال های فوق، يكپارچگی session و communication را تضمين می نمايد .

  • Custom application filters : اين نوع فيلترها يكپارچگی مبادله اطلاعات بين سرويس دهنده و سرويس گيرنده را ايجاد می نمايند .

در صورت استفاده از فيلترينگ در چندين سطح شبكه ، امنيت محيط عملياتی بيشتر می گردد . به عنوان نمونه ، از يك packet filter می توان به منظور بلاك نمودن ترافيك IP بر روی هر پورتی غير از پورت 80 استفاده نمود و از يك application filter به منظور اعمال محدوديت در ترافيك بر اساس ماهيت توابع HTTP  استفاده نمود ( به عنوان نمونه می توان HTTP DELETE را بلاك نمود ) .

مميزی و لاگ
تمامی درخواست های ورودی و خروجی را می بايست صرفنظر از قوانين فايروال لاگ نمود تا  امكان تشخيص تلاش برای نفوذ در شبكه و يا حملات موفيقت آميزی كه قبلا" اتفاق افتاده و امكان تشخيص آنها وجود نداشته است ، فراهم گردد . مديران شبكه در برخی موارد مجبور خواهند بود به منظور آگاهی از نحوه انجام يك تهاجم موفقيت آميز ، لاگ های سيستم را بررسی تا نقاط ضعف امنيتی موجود را ترميم و سيستم تدافعی خود را مستحكم تر نمايند .  برای ايجاد لاگ و مميزی بكارگيری قوانين زير پيشنهاد می گردد :

  • لاگ نمودن تمامی ترافيكی كه از طريق فايروال انجام می شود

  • نگهداری ايمن و مطمئن فايل های لاگ و بررسی آن در بازه های زمانی خاص ( حتی المقدور می بايست سعی شود كه حجم فايل های لاگ زياد نگردد چراكه بررسی آنها به همان ميزان به زمان بيشتری نياز خواهد داشت ) .

  • يكسان نمودن زمان و تاريخ فايروال با ساير تجهيزات شبكه ای 

شبكه های Perimeter
از يك فايروال می بايست در هر مكانی كه سرويس دهندگان شما با يك شبكه تائيد نشده تعامل دارند ، استفاده گردد . در صورتی كه سرويس دهندگان وب شما به يك شبكه back-end متصل می شوند ( نظير سرويس دهندگان بانك اطلاعاتی ) ، می بايست دو شبكه را از يكديگر تفكيك نمود . محل استقرار سرويس دهندگان وب ( ناحيه وب ) در معرض ديد عموم قرار دارد . بديهی است كه بروز خطر در ناحيه فوق نمی بايست شبكه های درونی سازمان را با مشكل مواجه نمايد . به صورت پيش فرض ، شبكه Perimeter می بايست تمامی ارتباطات خروجی را بجز آنانی كه انتظارشان را داريم ، بلاك نمايد .

مزايای يك شبكه Perimeter 
شبكه های Perimeter دارای مزايای زير می باشند :

  • هاست ها مستقيما" در معرض ديد شبكه های تائيد نشده نمی باشند .
  • سرويس های فعال تنها نقطه حملات خارجی می باشند .
  • از قوانين امنيتی می توان به منظور كنترل دستيابی بين شبكه ها استفاده نمود .

معايب يك شبكه Perimeter 
شبكه های Perimeter دارای معايب زير می باشند :

  • پيچيدگی شبكه

  • مديريت و اختصاص آدرس IP

  • ايجاد هماهنگی لازم بين  معماری برنامه و طراحی شبكه Perimeter 

خلاصه
در اين مطلب به مسائل امنيتی مرتبط با فايروال اشاره گرديد . به منظور پيكربندی ايمن فايروال ، اقدامات متعددی را می بايست انجام داد : 

  • نصب آخرين patch و نسخه های بهنگام شده : نرم افزار فايروال و سيستم عامل می بايست با استفاده از آخرين نسخه های امنيتی بهنگام گردند.

  • عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )

  • لاگ و مميزی : تمامی ترافيك مجاز می بايست ثبت و در فواصل زمانی مشخص بررسی گردد .

  • يكسان نمودن زمان و تاريخ فايروال با ساير تجهيزات شبكه ای 
  • استفاده از  يك سيستم فيلترينگ چند لايه 

  • استفاده از شبكه های Perimeter ( در مواردی كه لازم است چندين شبكه به سرويس دهندگان دستيابی داشته باشند ) .

  • استفاده از فايروال در نقاطی كه شبكه شما با يك شبكه تائيد نشده تعامل دارد .

در بخش پنجم به بررسی سوئيچ و ملاحظات امنيتی در ارتباط با آن و جمع بندی ايمن سازی شبكه خواهيم پرداخت .



جستجو

مقالات                 
دايره المعارف       
دوره های آموزشی


 

 

مشاهده گروه ها



              

 

 تهيه شده در شرکت سخا روش -  1382