بررسی اصول امنيت برنامه های وب New Page 1



ساير




 

 

 

SAKHA RAVESH CO.

 ا مروز

 دوشنبه  4  ارديبهشت  1396  2017  Apr.  24   Monday ToDay
صفحه اصلی  مقالات نکته هادايره المعارف خودآموزها | تازه ها خود آزمون ها    
  نسخه قابل چاپ  

    5 4 3 2 1 

 عنوان

 نويسنده

  مشاهده

 تعداد آراء

 امتياز

 اصول امنيت برنامه های وب (بخش پنجم)

 مديريت وب

14178

378

3.1

با توجه به جایگاه داده در عصر حاضر و  لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر  روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و  خدمات خود  را از طریق  سایت www.fabak.ir  به مخاطبان محترم عرضه می نماید

 

ماهيت و نحوه پيكربندی دستگاه های شبكه ای

اصول امنيت برنامه های وب (بخش پنجم)
آنچه تاكنون گفته شده است :

  بخش اول

 مفاهيم اوليه

:

 تبعيت از يك رويكرد جامع برای ايجاد برنامه های وب ايمن

  بخش دوم

 لايه شبكه   

: بررسی انواع تهديدات در شبكه های كامپيوتری
 بخش سوم

لايه شبكه

:  بررسی نكات ايمنی در خصوص بكارگيری روتر
 بخش چهارم

لايه شبكه

: بررسی نكات ايمنی در خصوص بكارگيری فايروال

در اين بخش به بررسی سوئيچ ، نكات ايمنی بكارگيری آن و جمع بندی لايه شبكه خواهيم پرداخت .

سوئيچ و نكات ايمنی در ارتباط با آن
سوئيچ مسئول فورواردينگ بسته های اطلاعاتی به يك هاست و يا سگمنت شبكه است ( در مقابل اشتراك داده در تمامی شبكه ) . بنابراين سوئيچ ، ترافيك بين سگمنت های متفاوت شبكه را به اشتراك نمی گذارد . رويكرد فوق باعث پيشگيری packet sniffing  بين  شبكه های مختلف می گردد .
يك مهاجم با دستيابی به اينترفيس های مديريتی سوئيچ ،  استفاده از اسامی شناخته شده  نام و رمز عبور ، بسته های اطلاعاتی SNMP ( برگرفته شده از  Simple Network Management Protocol ) ،  قادر به پيكربندی مجدد  سوئيچ و تغيير قوانين تعريف شده می باشد.
برای نصب و  پيكربندی سوئيچ با رعايت نكات ايمنی می بايست اقدامات متعددی را در هر يك از گروه های زير انجام داد : 

  • بهنگام سازی و نصب patches
  • شبكه های محلی مجازی ( VLAN )
  • پيش فرض های غيرايمن
  • سرويس ها
  • رمزنگاری

 بهنگام سازی و نصب patches
با عضويت در خبرنامه شركت هائی كه از محصولات نرم افزاری و يا سخت افزاری آنها در زيرساخت فن آوری اطلاعات استفاده شده است ،‌ می توان به سرعت از توصيه های امنيتی آنها آگاهی يافت . شركت های معتبر در صورت بروز مشكل در يك محصول سخت افزاری و يا نرم افزاری در اولين فرصت اقدام به ارائه patch مربوطه می نمايند و اين موضوع را از طريق پست الكترونيكی به اطلاع مشتركان خود می رسانند . توجه داشته باشيد كه همواره قبل از بكارگيری نسخه های بهنگام شده در يك محيط عملياتی ، آنها را تست و پس از حصول اطمينان از صحت عملكرد ، اقدام به نصب نهائی آنها در محيط واقعی نمائيد . 

شبكه های محلی مجازی ( VLAN )
با استفاده از شبكه های محلی مجازی می توان سگمنت های شبكه را از يكديگر تفكيك و برای هر يك از آنها قوانين دستيابی بر اساس سياست های امنيتی مختص به خود را تعريف كرد . توجه داشته باشيد كه يك VLAN كارآئی شبكه را بهبود می بخشد ولی الزاما" امنيت را ارائه نخواهد كرد . با محدود سازی استفاده از VLANs برای شبكه perimeter ( پشت فايروال ) ، امكان استفاده تعداد زيادی از اينترفيس های غيرايمن موجود توسط مهاجمان سلب می گردد . 

پيش فرض های غيرايمن
برای اطمينان از اين موضوع كه پيش فرض های غيرايمن ، ايمن می باشند می بايست تمامی رمز های عبور و رشته های SNMP Community كه در شركت توليد كننده تعريف  و مقداردهی شده اند را در اولين فرصت تغيير داد . همچنين لازم است كه تمامی اسامی و رمز عبور مستند نشده را شناسائی و نسبت به تغيير آنها اقدام نمود . اين نوع اسامی و رمز عبور ، اغلب بر روی سوئيچ های معروف و شناخته شده تعريف و تنظيم می گردند و مهاجمان از وجود آنها به خوبی آگاه هستند .

سرويس ها
تمامی سرويس های غيرضروری را می بايست غيرفعال كرد . همچنين لازم است از غيرفعال بودن پروتكل TFTP ( برگرفته شده از Trivial File Transfer Protocol  ) ، پيكربندی ليست های دستيابی برای اعمال محدوديت در پيكربندی ، اطمينان حاصل كرد .

رمز نگاری
با اين كه بطور سنتی رمزنگاری در سوئيچ پيش بينی نشده است ولی با رمزنگاری داده ئی‌ كه بر روی محيط انتقال حركت می نمايد ، اين اطمينان ايجاد می گردد كه امكان كاوش و استخراج داده موجود در هر يك از بسته های اطلاعاتی توسط مهاجمان وجود نخواهد داشت .

 خلاصه
در اين مطلب به مسائل امنيتی مرتبط با سوئيچ اشاره گرديد . برای پيكربندی ايمن سوئيچ ، اقدامات متعددی را می بايست انجام داد .

  • نصب آخرين patch و نسخه های بهنگام شده 

  • عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )

  • ايمن سازی اينترفيس های مديريتی

  • غيرفعال كردن اينترفيس های مديريتی كه به وجود آنها نياز نمی باشد .

  • غيرفعال كردن سرويس هائی كه از آنها استفاده نمی گردد .

جمع بندی ايمن سازی شبكه
امنيت شبكه ، شامل حفاظت دستگاه های شبكه ای و داده ئی است كه توسط هر يك از دستگاه های فوق در شبكه ارسال می گردد ، با اين هدف  كه امنيت سرويس دهندگان در شبكه افزايش يابد .  روتر ،‌سوئيچ و فايروال مهمترين عناصر موجود در زير ساخت يك شبكه می باشند كه می بايست نصب و پيكربندی آنها با رعايت نكات ايمنی انجام شود . 
در طی پنج مقاله به مهمترين تهديدات موجود در زيرساخت شبكه اشاره و به برخی از  توصيه ها در خصوص بكارگيری ايمن روتر ،‌ سوئيچ و فايروال اشاره گرديد .
جدول 1 خلاصه
اقدامات لازم جهت ايمن سازی شبكه را نشان می دهد .

اقدامات لازم دستگاه
  • نصب آخرين patch و نسخه های بهنگام شده

  • عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )

  • بلاك كردن پورت های شناخته شده

  • كنترل و  نظارت بر ترافيك ورودی و خروجی شبكه 

  • مانيتورينگ ترافيك ICMP

  • مديريت و كنترل ايمن  اينترفيس ها 

  • غيرفعال كردن امكان مديريت از طريق وب 

  • استفاده از روتينگ ايستا

  • غيرفعال كردن سرويس های استفاده نشده نظير bootps و Finger

  • استفاده از از رمزهای عبور قدرتمند

  • لاگ كردن فعاليت ها به منظور تشخيص و بررسی ادواری ترافيك غيرطبيعی

  • مشاهده و كنترل ping بسته های اطلاعاتی با ظرفيت بالا 

  • غير فعال كردن بسته های اطللاعاتی RIP ( برگرفته از Routing Information Protocol  )  در صورت استفاده بر روی روتر مرزی

روتر
  • نصب آخرين patch و نسخه های بهنگام شده : نرم افزار فايروال و سيستم عامل می بايست با استفاده از آخرين نسخه های امنيتی بهنگام گردند.

  • عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )

  • لاگ و مميزی : تمامی ترافيك مجاز می بايست ثبت و در فواصل زمانی مشخص بررسی گردد .

  • يكسان نمودن زمان و تاريخ فايروال با ساير تجهيزات شبكه ای 
  • استفاده از  يك سيستم فيلترينگ چند لايه 

  • استفاده از شبكه های Perimeter ( در مواردی كه لازم است چندين شبكه به سرويس دهندگان دستيابی داشته باشند ) .

  • استفاده از فايروال در نقاطی كه شبكه شما با يك شبكه تائيد نشده تعامل دارد .

 

فايروال
  • نصب آخرين patch و نسخه های بهنگام شده 

  • عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )

  • ايمن سازی اينترفيس های مديريتی

  • غيرفعال كردن اينترفيس های مديريتی كه به وجود آنها نياز نمی باشد .

  • غيرفعال كرد سرويس هائی كه از آنها استفاده نمی گردد .

سوئيچ
  •  يكسان كردن كلاك تمامی دستگاه هائی كه دارای پتانسيل ثبت لاگ می باشند .
  • استفاده از RADIUS و يا TACACS برای تائيد كاربران اجرائی ( مديريتی)
  • تعريف ساختار مناسب برای شبكه تا بتوان ليست های كنترل دستيابی را بر روی هاست ها و شبكه ها به درستی استفاده كرد .
ساير

جدول 1 : خلاصه اقدامات لازم جهت ايمن سازی شبكه
( با هدف تامين حداقل امنيت برای برنامه های وب )

 در بخش ششم با تمركز بر روی سرويس دهنده وب به بررسی جايگاه آن در برنامه های وب و نحوه ايمن سازی آن خواهيم پرداخت .



جستجو

مقالات                 
دايره المعارف       
دوره های آموزشی


 

 

مشاهده گروه ها



              

 

 تهيه شده در شرکت سخا روش -  1382