تبلیغات
بهترین وبلاگ آموزشی ایران - مطالب امنیت در شبکه و وب بهترین وبلاگ آموزشی ایران - مطالب امنیت در شبکه و وب
بهترین وبلاگ آموزشی ایران
دانلود آهنگ جدید+طنز+جک+اس ام اس جدید+جعبه جواهرات طلا و نقره+شعر طنز+مدل لباس+عکس های جالب و طنز+

لینکدونی

آرشیو موضوعی

آرشیو

صفحات جانبی

← آمار وبلاگ

  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :

چه كار كنیم كه سایتمان فیلتر نشود؟(این هم یك مطلب آموزشی)

ملاک تصمیم گیری کمیته تعیین مصادیق پایگاههای غیرمجاز اینترنتی

ماده 6 آیین نامه واحدهای ارایه کننده خدمات اطلاع رسانی و اینترنت، رسا (ISP)

 

ماده 6- تولید و عرضه موارد زیر توسط رسا ISP و كاربران ممنوع می باشد:

1-6-  نشر مطالب الحادی و مخالف موازین اسلامی

2-6- اهانت به دین اسلام و مقدسات آن

3-6- ضدیت با قانون اساسی و هر گونه مطلبی كه استقلال و تمامیت ارضی كشور را خدشه دار كند.

(عرضه هرگونه نرم افزارهای فیلتر شكن و پروكسی و با روش عبور از فیلترینگ اینترنت)

4-6- اهانت به رهبری و مراجع مسلم تقلید

5-6- تحریف یا تحقیر مقدسات دینی‌، احكام مسلم اسلام، ارزشهای انقلاب اسلامی و مبانی تفكر سیاسی امام‌خمینی(ره)

6-6- اخلال در وحدت و وفاق ملی

7-6- القا بدبینی و ناامیدی در مردم نسبت به مشروعیت و كارامدی نظام اسلامی

8-6- اشاعه و تبلیغ گروهها و احزاب غیر قانونی

(تولید وانتشار هرگونه محصول فرهنگی صوتی و تصویری، بدون داشتن مجوز از وزارت ارشاد)

9-6- انتشار اسناد و اطلاعات طبقه بندی شده دولتی و امور مربوط به مسایل امنیتی ، نظامی و انتظامی

10-6-  اشاعه فحشا و منكرات و انتشار عكس ها و تصاویر و مطالب خلاف اخلاق و عفت عمومی

(انتشار هرگونه عكس و كلیپ و تبلیغات، بدون پوشش اسلامی)

11-6- ترویج مصرف سیگار و مواد مخدر

12-6-  ایراد افترا به مقامات و هر یك از افراد كشور و توهین به اشخاص حقیقی و حقوقی

13-6-  افشا روابط خصوصی افراد و تجاوز به حریم اطلاعات شخصی آنان

(انتشار هرگونه عكس و كلیپ از حریم خصوصی افراد)

14-6-  انتشار اطلاعات حاوی كلیدهای رمز بانك های اطلاعاتی ، نرم افزارهای خاص ، صندوق های پست الكترونیكی و یا روش شكستن آنها

(عرضه هرگونه محصول نرم افزاری ثبت شده ایرانی بدون در نظر گرفتن حق مولف)

15-6-  فعالیت های تجاری و مالی غیر قانونی و غیر مجاز از طریق شبكه اطلاع رسانی و اینترنت از قبیل جعل ، اختلاس ، قمار و ...

16-6- خرید ، فروش و تبلیغات در شبكه اطلاع رسانی و اینترنت از كلیه كالاهایی كه منع قانونی دارند.

17-6- هر گونه نفوذ غیر مجاز به مراكز دارنده اطلاعات خصوصی ومحرمانه و تلاش در جهت شكستن قفل رمز سیستم ها

18-6- هر گونه حمله به مراكز اطلاع رسانی و اینترنتی دیگران برای از كار انداختن و یا كاهش كارایی آن‌ها

19-6-  هر گونه تلاش برای انجام شنود و بررسی بسته های اطلاعاتی در حال گذر در شبكه كه به دیگران تعلق دارد

20-6- ایجاد هر گونه شبكه و برنامه رادیویی و تلویزیونی بدون هدایت و نظارت صدا و سیما

 

اتمام پروژه امنیت در شبکه

 

پایان قسمت های امنیت در شبکه در تمامی مطالب به اتمام رسید در بخشی سه

قسمتی و در بخش دیگر دو قسمتی و یک قسمت هم مطالب به صورت توضیحی

ارائه شد

ما هم مثل ندید بدید هایی نیستیم که بگیم همه مطالب از خودمونه،نه! هیچ کدام

رو من ننوشتم تازه کپی هم کردم ولی خوب وبلاگه دیگه تقریبا تمامی(تقریبا عرض

کردم) و دوباره میگم تقریبا تمامی وبلاگها هیچ کدام مطالبشان از خودشان نیست

و کپی و پست است اما نه تمام مطالبشان

مثلا:

برخی موضوعات مثل دانلود رو که بدیعی است که هر وبلاگی هر برنامه ای و هر کتابی

رو برای دانلود میزاره از یه جایی لینک رو برداشته(و به جای لینک اصلی)خودش آپلود

کرده و یا لینک اصلی رو گذاشته است.

حالا برخی خبر ها هم هستند که غضیه دانلود رو در پی دارند!

و بلاخره هر وبلاگی به شما کمک میکنه که مطالب رو زود تر گیر بیارین و ....

البته هنوزم میگم که تقریبا همه وبلاگ نویسان این کار رو انجام میدن ولی خوب!

برخی موضوعات و مطالب هست که کاملا واسه ویسنده هستش که خود اونها هم

تابله!!

مثلا:

شعر و یا جک های من درآوردی آبکی برخی وبلاگ نویسا!

 

##############################

برای دستیابی به کلیه مطالب امنیت در شبکه و امنیت در وب و اینترنت به لینک زیر

 مراجعه کنید:

http://pasonfarda.mihanblog.com/Cat/67.aspx

 

ایمن سازی سرویس دهنده ftp

ایمن سازی سرویس دهنده ftp

سرویس FTP)File Transfer Protocol) یکی از قدیمی ترین و متداولترین سرویس های موجود بر روی اینترنت است . از سرویس فوق ، بمنظور ارسال و دریافت فایل در یک شبکه استفاده می گردد. سرویس FTP ، توسط عموم کاربران اینترنت استفاده و بعنوان استانداردی برای ارسال و دریافت فایل در شبکه ( اینترانت ، اینترنت ) توسط اکثر سیستم های عامل پذیرفته شده است
ویندوز 2000 بهمراه خود از یک سرویس دهنده
FTP استفاده می نماید که بعنوان بخشی از IIS در نظر گرفته می شود. مدیران سیستم با استفاده از سرویس فوق و ترکیب آن با سایر امکانات ارائه شده توسط ویندوز ، قادر به ایجاد و پیکربندی یک سایت FTP با ضریب امنیتی مناسبی خواهند بود.در ادامه و بمنظور ایمن سازی یک سایت FTP ، پیشنهادات متعددی ارائه می گردد.

نکته اول : دستیابی از طریق
Anonymous account را غیر فعال نمائید . دستیابی از نوع Anonymouse، بصورت پیش فرض و پس از نصب اولین سرویس دهنده FTP فعال می گردد. روش فوق ، امکان دستیابی به سایت FTP را بدون نیاز به یک account خاص فراهم می نماید. بدین ترتیب استفاده کنندگان بصورت کاملا" ناشناس قادر به استفاده از منابع موجود بر روی سرویس دهنده FTP بوده و امکان مشاهده سودمند ترافیک سایت و در صورت ضرورت، ردیابی آنان وجود نخواهد داشت . با حذف قابلیت دستیابی Anonymous ، امکان دستیابی به سایت FTP صرفا" در اختیار کاربرانی قرار خواهد گرفت که دارای یک account معتبر باشند.
پس از تعریف هر یک از
account های مورد نظر، می توان در ادامه با استفاده از ACL)Access Control List) کنترل ها و مجوزهای مربوط به دستیابی به دایرکتوری FTP ( محل فیزیکی استقرار سایت FTP بر روی دیسک ) را تعریف و مشخص نمود . در این رابطه می توان از مجوزهای NTFS استفاده کرد. به منظور غیر فعال نمودن Anonymous account ، می توان از طریق صفحه Property مربوط به سایت FTP ( برنامه Internet Information Service ) عملیات مورد نظر را انجام داد .

نکته دوم : فعال نمودن Logging . با فعال نمودن Logging بمنظور اتصال به سایت FTP ، این اطمینان بوجود خواهد آمد که اطلاعات لازم ( آدرس های IP و یا نام کاربران ) در خصوص کاربرانی که بصورت موفقیت آمیز به سایت متصل شده اند ، ثبت خواهد شد.با استفاده از فایل های لاگ که در این رابطه ایجاد خواهد شد ، می توان ترافیک موجود بر روی سایت را مشاهده و در صورت یک تهاجم ، امکان ردیابی اولیه آن فراهم گردد. بمنظور فعال نمودن ویژگی فوق، کافی است که Chex box مربوطه از طریق صفحه Property مربوط به سایت FTP انتخاب گردد .در ادامه ، فایل های لاگ بر اساس فرمتی که مشخص شده است ، ایجاد خواهند شد . استفاده از فایل های لاگ ، بمنظور مشاهده و آنالیز ترافیک سایت بسیار مفید خواهد بود.


نکته سوم : تنظیم و پیکربندی مناسب لیست
ACL ( لیست کنترل دستیابی ) .دستیتابی به دایرکتوری FTP می بایست با استفاده از مجوزهای NTFS و بکارگیری محدودیت های ACL ، کنترل گردد . دایرکتوری FTP نباید دارای گروه Everyone با تمامی امتیازات و مجوزها باشد ( امکان کنترل مجوزها و کاربرانی که سایت FTP متصل شده اند وجود نخواهد داشت ) .بدین منظور لازم است بر روی دایرکتوری مربوط به سایت FTP مستقر و با انتخاب گزینه Property و Security Option ، اسامی موجود را حذف و با انتخاب دکمه Add از لیست موجود، Authenticated user را انتخاب کرد . در ادامه می توان با توجه به سیاست های موجود مجوز Read,Write و List Folder contents را در اختیار گروه مربوطه قرار داد . در صورتیکه سیاست موجود اقتضاء می کند ، می توان صرفا" امکان دستیابی Write را در اختیار گروه مربوطه قرار و مجوزهای Read وList Folder Contents را از آنها سلب نمود .


نکته چهارم : پیکربندی سایت بعنوان دریافت کننده نه ارسال کننده . در صورتیکه صرفا" نیاز است که کاربران فایل هائی را برای سرویس دهنده ، ارسال و امکان دریافت فایل از سرویس دهنده را نداشته باشند ، می توان سایت
FTP را بصورت Blind put پیکربندی نمود. بدین ترتیب به کاربران امکان ارسال ( نوشتن ) فایل بر روی سرویس دهنده داده خواهد شد .( امکان خواندن از دایرکتوری FTP وجود نخواهد داشت ) . بدین منظور می توان پس از انتخاب سایت FTP از طریق Home Directory ، اقدام به تنظیمات مورد نظر نمود.


نکته پنجم : فعال نمودن
Disk Quotas. با استفاده از امکانات ارائه شده توسط ویندوز 2000 ، می توان اقدام به تعیین ظرفیت و یا سهیه ذخیره سازی بر روی دیسک برای هر یک از کاربران نمود..ویژگی فوق ، باعث اعمال محدودیت در رابطه با میزان فضای ذخیره سازی مربوط به یک کاربر می گردد.بصورت پیش فرض ، مالکیت به هر کاربر که در فایلی می نویسد اعطاء می گردد . با فعال نمودن و انجام تنظیمات مورد نظر، می توان پیشگیری لازم در ارتباط با تهاجم به یک سایت FTP را انجام داد ( پر نمودن ظرفیت دیسک ). در صورت تحقق وضعیت فوق ، دامنه اشکال بوجود آمده به سایر سرویس هائی که از فضای ذخیره سازی دیسک استفاده می نمایند نیز سرایت خواهد کرد. برای فعال نمودن Quota Management ، بر روی درایو موردنظر مستقر و با کلیک سمت راست گزینه Property را انتخاب و در نهایت گزینه Quota Tab انتخاب شود .امکان فوق ، صرفا" در ارتبا ط با پارتیشن های NTFS قابل استفاده خواهد بود.استفاده از Disk Quota ، محدود به پارتیش های NTFS بوده و علاوه بر این صرفا" می تواند در رابطه با یک کاربر استفاده شده وامکان بکارگیری آن در ارتباط با گروه ها وجود نخواهد داشت . با انتخاب دکمه Quota Entries می توان اقدام به تعریف یک Entry جدید و تعریف محدودیت های مورد نظر نمود.


نکته ششم : استفاده از محدودیت زمانی برای
Logon . با استفاده از امکانات ارائه شده همراه ویندوز 2000 ، می توان زمان خاصی را برای ورود به شبکه کا ربران تعریف نمود. بدین ترتیب کاربران صرفا" قادر به استفاده از سرویس دهنده در ساعات مشخص شده خواهند بود.ویژگی فوق ، بطرز محسوسی باعث کنترل دستیابی به سایت FTP خواهد شد. برای پیکربندی زمان logon ، از برنامه Active Directory Users and Computers استفاده می گردد . پس از فعال شدن برنامه فوق ، کاربر مورد نظر را انتخاب و پس از مشاهده صفحه Property مربوطه، با انتخاب دکمه Logon hours از طریق Account Tab ، می توان اقدام به مشخص نمودن زمان مورد نظر کاربر برای استفاده ازسرویس دهنده نمود.


نکته هفتم : محدودیت دستیابی بر اساس آدرس
IP . بمنظور دستیابی به سایت FTP می توان معیار دستیابی را بر اساس آدرس های IP خاصی در نظر گرفت . با اعمال محدودیت فوق ، اقدامات مناسبی بمنظور کنترل دستیابی به سایت در نظر گرفته خواهد شد . بمنظور فعال نمودن ویژگی فوق ، پس از انتخاب سایت FTP از طریق برنامهInternet Information Services و مشاهده صفحه Property ، گزینه Directory Security Tab انتخاب گردد. در ادامه، Denied Access فعال و می توان با استفاده از دکمه Add آدرس های IP تائید شده را معرفی کرد.


نکته هشتم :ثبت رویدادهای
Audit logon . با فعال نمودن Auditing ( ممیزی ) مربوط به رویدادهای Account Logon ، می توان تمامی تلاش های موفقیت آمیز و یا با شکست مواجه شده جهت اتصال به سایت FTP را با استفاده از Security log مربوط به Event Viewer ، مشاهده نمود. مشاهده ادواری این لاگ می تواند عامل موثری در کشف ، تشخیص و ردیابی تهاجم به یک سایت باشد. (تشخیص مزاحمین و مهاجمین اطلاعاتی ). بمنظور فعال نمودن ویژگی فوق ، از برنامه Local Security Policy و یا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Local Policies/audit policy ، می توان اقدام به تغییر Local Setting به Success و Failure نمود.


نکته نهم : فعال نمودن
Strong Password . استفاده از رمزهای عبور پیچیده ،روشی مناسب بمنظور افزایش امنیت در خصوص ارائه یک سرویس خاص برای کاربران تائید شده است . با توجه به جایگاه سرویس دهنده FTP ، استفاده از رمزهای عبور قدرتمند می تواند عاملی موثر در جهت افزایش امنیت سایت های FTP باشد . با استفاده از امکانات ارائه شده در ویندوز 2000 ، مدیران سیستم می توانند کاربران را مجبور به استفاده از رمزهای عبور مستحکم و قوی نمایند. بمنظور فعال نمودن ویژگی فوق ، از برنامه Local Security Policy و یا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Password Policy ، می توان گزینه Passwords Must Meet Complexity Requirements را فعال نمود . پس از فعال شدن ویژگی فوق ، هر یک از account های تعریف شده تابع شرایط و محدودیت های زیر خواهند بود :

رمز عبور تعریف شده نمی تواند شامل تمام و یا بخشی از نام
Account کاربر باشد .
رمز عبور تعریف شده می بایست دارای طولی به اندازه حداقل شش باشد .
رمز عبور تعریف شده می تواند شامل کاراکترها ئی از سه گروه از چهار گروه زیر باشد :
- حروف الفبائی
A-Z
- حروف الفبائی
a-z
- ارقام صفر تا نه
- کاراکترهای خاص ( %,#,$,!)


نکته دهم : فعال نمودن
Account Lockout و Account Lockout Threshold .آگاهی و تشخیص رمزهای عبور یکی از موضوعات مورد علاقه اکثر مهاجمان و برنامه های تشخیص دهنده رمز عبوراست .با استفاده از امکانات ارائه شده بهمراه ویندوز 2000 ، مدیران شبکه می توانند تعداد دفعاتی را که یک کاربرسعی در ورود به شبکه می نماید و عملیات وی با موفقیت همراه نمی گردد را مشخص و در صورت تحقق شرایط فوق ، account مربوطه غیر فعال گردد. با فعال نمودن ویژگی فوق و پیکربندی میزان آستانه ، مدیران شبکه می توانند عماکرد برنامه های تشخییص دهنده رمز های عبور و یا مهاجمان اطلاعاتی را محدود و ضریب ایمنی را افزایش دهند. بمنظور فعال نمودن ویژگی فوق ، از برنامه Local Security Policy و یا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Account Lockout Policy ، می توان تنظیمات لازم در خصوص Account Lockout duration , Account lockout threshold و Reset account lockout counter after را انجام داد .

##############################

برای دستیابی به بقیه مطالب به لینک زیر مراجعه کنید:

http://pasonfarda.mihanblog.com/Cat/67.aspx

 

 

 

اتمام پروژه امنیت در شبکه

 

پایان قسمت های امنیت در شبکه در تمامی مطالب به اتمام رسید در بخشی سه

قسمتی و در بخش دیگر دو قسمتی و یک قسمت هم مطالب به صورت توضیحی

ارائه شد

ما هم مثل ندید بدید هایی نیستیم که بگیم همه مطالب از خودمونه،نه! هیچ کدام

رو من ننوشتم تازه کپی هم کردم ولی خوب وبلاگه دیگه تقریبا تمامی(تقریبا عرض

کردم) و دوباره میگم تقریبا تمامی وبلاگها هیچ کدام مطالبشان از خودشان نیست

و کپی و پست است اما نه تمام مطالبشان

مثلا:

برخی موضوعات مثل دانلود رو که بدیعی است که هر وبلاگی هر برنامه ای و هر کتابی

رو برای دانلود میزاره از یه جایی لینک رو برداشته(و به جای لینک اصلی)خودش آپلود

کرده و یا لینک اصلی رو گذاشته است.

حالا برخی خبر ها هم هستند که غضیه دانلود رو در پی دارند!

و بلاخره هر وبلاگی به شما کمک میکنه که مطالب رو زود تر گیر بیارین و ....

البته هنوزم میگم که تقریبا همه وبلاگ نویسان این کار رو انجام میدن ولی خوب!

برخی موضوعات و مطالب هست که کاملا واسه ویسنده هستش که خود اونها هم

تابله!!

مثلا:

شعر و یا جک های من درآوردی آبکی برخی وبلاگ نویسا!

 

##############################

برای دستیابی به کلیه مطالب امنیت در شبکه و امنیت در وب و اینترنت به لینک زیر

 مراجعه کنید:

http://pasonfarda.mihanblog.com/Cat/67.aspx

 

استراتژی حفاظت از اطلاعات در شبکه های کامپیوتری ( بخش دوم)

استراتژی حفاظت از اطلاعات در شبکه های کامپیوتری ( بخش دوم )

 

در بخش اول این مقاله به چالش های سازمانها و موسسات برای حرکت بسمت یک سازمان مدرن اطلاعاتی اشاره و پس از بررسی اهمیت ایمن سازی اطلاعات بر لزوم تدوین یک استراتژی امنیتی تاکید گردید . در این زمینه به انواع حملات اطلاعاتی نیز اشاره و مشخصات هر یک از آنان توضیح داده شد . در این بخش ، به بررسی عناصر اساسی در استراتژی پیشنهادی یعنی انسان ، تکنولوژی و عملیات خواهیم پرداخت .

ایمن سازی اطلاعات
توفیق در ایمن سازی اطلاعات منوط به حفاظت از اطلاعات و سیستم های اطلاعاتی در مقابل حملات است . بدین منظور از سرویس های امنیتی متعددی استفاده می گردد. سرویس های انتخابی ، می بایست پتانسیل لازم در خصوص ایجاد یک سیستم حفاظتی مناسب ، تشخیص بموقع حملات و واکنش سریع را داشته باشند. بنابراین می توان محور استراتژی انتخابی را بر سه مولفه حفاظت ، تشخیص و واکنش استوار نمود . حفاظت مطمئن ، تشخیص بموقع و واکنش مناسب از جمله مواردی است که می بایست همواره در ایجاد یک سیستم امنیتی رعایت گردد. سازمان ها و موسسات، علاوه بر یکپارچگی بین مکانیزم های حفاظتی ، می بایست همواره انتظار حملات اطلاعاتی را داشته و لازم است خود را به ابزارهای تشخیص و روتین های واکنش سریع ، مجهز تا زمینه برخورد مناسب با مهاجمان و بازیافت اطلاعات در زمان مناسب فراهم گردد . یکی از اصول مهم استراتژی "دفاع در عمق" ، برقراری توازن بین سه عنصر اساسی : انسان، تکنولوژی و عملیات ، است . حرکت بسمت تکنولوژی اطلاعات بدون افراد آموزش دیده و روتین های عملیاتی که راهنمای آنان در نحوه استفاده و ایمن سازی اطلاعات باشد ، محقق نخواهد شد .

انسان
موفقیت در ایمن سازی اطلاعات با پذیرش مسئولیت و حمایت مدیریت عالی یک سازمان ( معمولا" در سطح مدیریت ارشد اطلاعات ) و بر اساس شناخت مناسب از تهاجمات ، حاصل می گردد. نیل به موفقیت با پیگیری سیاست ها و روتین های مربوطه ، تعیین وظایف و مسئولیت ها ، آموزش منابع انسانی حساس ( کاربران، مدیران سیستم ) و توجیه مسئولیت های شخصی کارکنان ، حاصل می گردد.در این راستا لازم است یک سیستم امنیتی فیزیکی و شخصی بمنظور کنترل و هماهنگی در دستیابی به هر یک از عناصر حیاتی در محیط های مبتنی بر تکنولوژی اطلاعات ، نیز ایجاد گردد . ایمن سازی اطلاعات از جمله مواردی است که می بایست موفقیت خود را در عمل و نه در حرف نشان دهد . بنابراین لازم است که پس از تدوین سیاست ها و دستورالعمل های مربوطه ، پیگیری مستمر و هدفمند جهت اجرای سیاست ها و دستورالعمل ها ، دنبال گردد. بهترین استراتژی تدوین شده در صورتیکه امکان تحقق عملی آن فراهم نگردد ، ( سهوا" و یا عمدا" ، هرگز امتیاز مثبتی را در کارنامه خود ثبت نخواهد کرد .
با توجه به جایگاه خاص منابع انسانی در ایجاد یک محیط ایمن مبتنی بر تکنولوژی اطلاعات ، لازم است به موارد زیر توجه گردد :

تدوین سیاست ها و رویه ها
ارائه آموزش های لازم جهت افزایش دانش
مدیریت سیستم امنیتی
امنیت فیزیکی
امنیت شخصی
تدابیر لازم در خصوص پیشگیری
تکنولوژی
امروزه از تکنولوژی ها ی متعددی بمنظور ارائه سرویس های لازم در رابطه با ایمن سازی اطلاعات و تشخیص مزاحمین اطلاعاتی، استفاده می گردد. سازمان ها و موسسات می بایست سیاست ها و فرآیندهای لازم بمنظور استفاده از یک تکنولوژی را مشخص تا زمینه انتخاب و بکارگیری درست تکنولوژی در سازمان مربوطه فراهم گردد. در این رابطه می بایست به مواردی همچون : سیاست امنیتی ، اصول ایمن سازی اطلاعات، استانداردها و معماری ایمن سازی اطلاعات ، استفاده از محصولات مربوط به ارائه دهندگان شناخته شده و خوش نام ، راهنمای پیکربندی ، پردازش های لازم برای ارزیابی ریسک سیستم های مجتمع و بهم مرتبط ، توجه گردد . در این رابطه موارد زیر ،پیشنهاد می گردد :

دفاع در چندین محل . مهاجمان اطلاعاتی( داخلی و یا خارجی ) ممکن است ، یک هدف را از چندین نفطه مورد تهاجم قرار دهند. در این راستا لازم است سازمان ها و موسسات از روش های حفاظتی متفاوت در چندین محل ( سطح ) استفاده ، تا زمینه عکس العمل لازم در مقابل انواع متفاوت حملات ، فراهم گردد . در این رابطه می بایست به موارد زیر توجه گردد :
? دفاع از شبکه ها و زیر ساخت . در این رابطه لازم است شبکه های محلی و یا سراسری حفاظت گردند . ( حفاظت در مقابل حملات اطلاعاتی از نوع عدم پذیرش خدمات )
? حفاظت یکپارچه و محرمانه برای ارسال اطلاعات در شبکه ( استفاده از رمزنگاری و کنترل ترافیک بمنظور واکنش در مقابل مشاهده غیرفعال )
? دفاع در محدوده های مرزی . ( بکارگیری فایروال ها و سیستم های تشخیص مزاحمین بمنظور واکنش در مقابل حملات اطلاعاتی از نوع فعال )
? دفاع در محیط های محاسباتی ( کنترل های لازم بمنظور دستیابی به میزبان ها و سرویس دهنده بمنظور واکنش لازم در مقابل حملات از نوع خودی، توزیع و مجاور ) .


دفاع لایه ای . بهترین محصولات مربوط به ایمن سازی اطلاعات دارای نقاط ضعف ذاتی ، مربوط به خود می باشند. بنابراین همواره زمان لازم در اختیار مهاجمان اطلاعاتی برای نفوذ در سیستم های اطلاعاتی وجود خواهد داشت.بدین ترتیب لازم است قبل از سوءاستفاده اطلاعاتی متجاوزان، اقدامات مناسبی صورت پذیرد. یکی از روش های موثر پیشگیری در این خصوص ، استفاده از دفاع لایه ای در مکان های بین مهاجمان و اهداف مورد نظر آنان ،می باشد . هر یک از مکانیزم های انتخابی ، می بایست قادر به ایجاد موانع لازم در ارتباط با مهاجمان اطلاعاتی ( حفاظت ) و تشخیص بموقع حملات باشد . بدین ترتیب امکان تشخیص مهاجمان اطلاعاتی افزایش و از طرف دیگر شانس آنها بمنظور نفوذ در سیستم و کسب موفقیت، کاهش خواهد یافت . استفاده از فایروال های تودرتو ( هر فایروال در کنار خود از یک سیستم تشخیص مزاحمین ، نیز استفاده می نماید) در محدوده های داخلی و خارجی شبکه ، نمونه ای از رویکرد دفاع لایه ای است . فایروال های داخلی ممکن است امکانات بیشتری را در رابطه با فیلتر سازی داده ها و کنترل دستیابی به منابع موجود ارائه نمایند

تعیین میزان اقتدار امنیتی هر یک از عناصر موجود در ایمن سازی اطلاعات (چه چیزی حفاظت شده و نحوه برخورد با تهاجم اطلاعاتی در محلی که از عنصر مربوطه استفاده شده ، به چه صورت است ؟) . پس از سنجش میزان اقتدار امنیتی هر یک از عناصر مربوطه ، می توان از آنان در جایگاهی که دارای حداکثر کارآئی باشند ، استفاده کرد . مثلا" می بایست از مکانیزم های امنیتی مقتدر در محدوده های مرزی شبکه استفاده گردد .

استفاده از مدیریت کلید مقتدر و زیر ساخت کلید عمومی، که قادر به حمایت از تمام تکنولوژی های مرتبط با ایمن سازی اطلاعات بوده و دارای مقاومت مطلوب در مقابل یک تهاجم اطلاعاتی باشد.

بکارگیری زیرساخت لازم بمنظور تشخیص مزاحمین ، آنالیز و یکپارچگی نتایج بمنظور انجام واکنش های مناسب در رابطه با نوع تهاجم . زیر ساخت مربوطه می بایست به پرسنل عملیاتی، راهنمائی لازم در مواجه با سوالاتی نظیر : آیا من تحت تهاجم اطلاعاتی قزار گرفته ام ؟ منبع تهاجم چه کسی می باشد ؟ به چه فرد دیگری تهاجم شده است ؟ راه حل ها و راهکارهای من در این رابطه چیست ؟ ، را ارائه نماید.

عملیات
منظور از عملیات ، مجموعه فعالیت های لازم بمنظور نگهداری وضعیت امنیتی یک سازمان است . در این رابطه لازم است ، به موارد زیر توجه گردد :

پشتیبانی ملموس و بهنگام سازی سیاست های امنیتی
اعمال تغییرات لازم با توجه به روند تحولات مرتبط با تکنولوژی اطلاعات. در این رابطه می بایست داده های مورد نظر جمع آوری تا زمینه تصمیم سازی مناسب برای مدیریت فراهم گردد ( تامین اطلاعات ضروری برای مدیریت ریسک ) .

مدیریت وضعیت امنیتی با توجه به تکنولوژی های استفاده شده در رابطه ایمن سازی اطلاعات ( نصب
Patch امنیتی، بهنگام سازی ویروس ها ، پشتیبانی لیست های کنترل دستیابی )
ارائه سرویس های مدیریتی اساسی و حفاظت از زیرساخت های مهم ( خصوصا" زیر ساخت هائی که برای یک سازمان ختم به درآمد می گردد ) .
ارزیابی سیستم امنیتی
هماهنگی و واکنش در مقابل حملات جاری
تشخیص حملات و ارائه هشدار و پاسخ مناسب بمنظور ایزوله نمودن حملات و پیشگیری از موارد مشابه
بازیافت و برگرداندن امور به حالت اولیه (بازسازی )

پایان

 

##############################

برای دستیابی به بقیه مطالب به لینک زیر مراجعه کنید:

http://pasonfarda.mihanblog.com/Cat/67.aspx

استراتژی حفاظت از اطلاعات در شبکه های کامپیوتری ( بخش اول )

 

استراتژی حفاظت از اطلاعات در شبکه های کامپیوتری ( بخش اول )

 

مقدمه
اطلاعات در سازمان ها و موسسات مدرن، بمنزله شاهرگ حیاتی محسوب می گردد . دستیابی به اطلاعات و عرضه مناسب و سریع آن، همواره مورد توجه سازمان هائی است که اطلاعات در آنها دارای نقشی محوری و سرنوشت ساز است . سازمان ها و موسسات می بایست یک زیر ساخت مناسب اطلاعاتی را برای خود ایجاد و در جهت انظباط اطلاعاتی در سازمان خود حرکت نمایند . اگر می خواهیم ارائه دهنده اطلاعات در عصر اطلاعات بوده و صرفا" مصرف کننده اطلاعات نباشیم ، در مرحله نخست می بایست فرآیندهای تولید ،عرضه و استفاده از اطلاعات را در سازمان خود قانونمد نموده و در مراحل بعد ، امکان استفاده از اطلاعات ذیربط را برای متقاضیان ( محلی،جهانی ) در سریعترین زمان ممکن فراهم نمائیم . سرعت در تولید و عرضه اطلاعات ارزشمند ، یکی از رموز موفقیت سازمان ها و موسسات در عصر اطلاعات است . پس از ایجاد انظباط اطلاعاتی، می بایست با بهره گیری از شبکه های کامپیوتری زمینه استفاده قانومند و هدفمند از اطلاعات را برای سایرین فراهم کرد . اطلاعات ارائه شده می تواند بصورت محلی ( اینترانت ) و یا جهانی ( اینترنت ) مورد استفاده قرار گیرد . فراموش نکنیم در این هنگامه اطلاعاتی، مصرف کنندگان اطلاعات دارای حق مسلم انتخاب می باشند و در صورتیکه سازمان و یا موسسه ای در ارائه اطلاعات سهوا" و یا تعمدا" دچار اختلال و یا مشکل گردد ، دلیلی بر توقف عملکرد مصرف کنندگان اطلاعات تا بر طرف نمودن مشکل ما ، وجود نخواهد داشت . سازمان ها و موسسات می بایست خود را برای نبردی سخت در عرضه و ارائه اطلاعات آماده نمایند و در این راستا علاوه بر پتانسیل های سخت افزاری و نرم افزاری استفاده شده ، از تدبیر و دوراندیشی فاصله نگیرند . در میدان عرضه و ارائه اطلاعات ، کسب موفقیت نه بدلیل ضعف دیگران بلکه بر توانمندی ما استوار خواهد بود. مصرف کنندگان اطلاعات، قطعا" ارائه دهندگان اطلاعاتی را برمی گزیند که نسبت به توان و پتانسیل آنان اطمینان حاصل کرده باشند . آیا سازمان ما در عصر اطلاعات به پتانسیل های لازم در این خصوص دست پیدا کرده است ؟ آیا در سازمان ما بستر و ساختار مناسب اطلاعاتی ایجاد شده است ؟ آیا گردش امور در سازمان ما مبتنی بر یک سیستم اطلاعاتی مدرن است ؟ آیا سازمان ما قادر به تعامل اطلاعاتی با سایر سازمان ها است ؟ آیا در سازمان ما نقاط تماس اطلاعاتی با دنیای خارج از سازمان تدوین شده است ؟ آیا فاصله تولید و استفاده از اطلاعات در سازمان ما به حداقل مقدار خود رسیده است ؟ آیا اطلاعات قابل عرضه سازمان ما ، در سریعترین زمان و با کیفیتی مناسب در اختیار مصرف کنندگان متقاضی قرار می گیرد ؟ حضور یک سازمان در عرصه جهانی ، صرفا" داشتن یک وب سایت با اطلاعات ایستا نخواهد بود . امروزه میلیون ها وب سایت بر روی اینترنت وجود داشته که هر روز نیز به تعداد آنان افزوده می گردد . کاربران اینترنت برای پذیرش سایت سازمان ما ، دلایل موجه ای را دنبال خواهند کرد . در این هنگامه سایت داشتن و راه اندازی سایت ، اصل موضوع که همانا ایجاد یک سازمان مدرن اطلاعاتی است ، فراموش نگردد. سازمان ما در این راستا چگونه حرکت کرده و مختصات آن در نقشه اطلاعاتی یک سازمان مدرن چیست ؟
بدیهی است ارائه دهندگان اطلاعات خود در سطوحی دیگر به مصرف کنندگان اطلاعات تبدیل و مصرف کنندگان اطلاعات ، در حالات دیگر، خود می تواند بعنوان ارائه دهنده اطلاعات مطرح گردند. مصرف بهینه و هدفمند اطلاعات در صورتیکه به افزایش آگاهی ، تولید و ارائه اطلاعات ختم شود، امری بسیار پسندیده خواهد بود . در غیر اینصورت، مصرف مطلق و همیشگی اطلاعات بدون جهت گیری خاص ، بدترین نوع استفاده از اطلاعات بوده که قطعا" به سرانجام مطلوبی ختم نخواهد شد .

شبکه های کامپیوتری
در صورتیکه قصد ارائه و یا حتی مصرف بهینه و سریع اطلاعات را داشته باشیم، می بایست زیر ساخت مناسب را در این جهت ایجاد کنیم . شبکه های کامپیوتری ، بستری مناسب برای عرضه ، ارائه و مصرف اطلاعات می باشند( دقیقا" مشابه نقش جاده ها در یک سیستم حمل و نقل) . عرضه ، ارائه و مصرف یک کالا نیازمند وجود یک سیستم حمل و نقل مطلوب خواهد بود. در صورتیکه سازمان و یا موسسه ای محصولی را تولید ولی قادر به عرضه آن در زمان مناسب ( قبل از اتمام تاریخ مصرف ) برای متقاضیان نباشد، قطعا" از سازمان ها ئی که تولیدات خود را با بهره گیری از یک زیر ساخت مناسب ، بسرعت در اختیار متقاضیان قرار می دهند ، عقب خواهند افتاد . شاید بهمین دلیل باشد که وجود جاده ها و زیر ساخت های مناسب ارتباطی، بعنوان یکی از دلایل موفقیت برخی از کشورها در عصر انقلاب صنعتی ، ذکر می گردد. فراموش نکنیم که امروزه زمان کهنه شدن اطلاعات از زمان تولید اطلاعات بسیار سریعتر بوده و می بایست قبل از اتمام تاریخ مصرف اطلاعات با استفاده از زیر ساخت مناسب ( شبکه های ارتباطی ) اقدام به عرضه آنان نمود. برای عرضه اطلاعات می توان از امکاناتی دیگر نیز استفاده کرد ولی قطعا" شبکه های کامپیوتری بدلیل سرعت ارتباطی بسیار بالا دارای نقشی کلیدی و منحصر بفرد می باشند . مثلا" می توان مشخصات کالا و یا محصول تولید شده در یک سازمان را از طریق یک نامه به متقاضیان اعلام نمود ولی در صورتیکه سازمانی در این راستا از گزینه پست الکترونیکی استفاده نماید ، قطعا" متقاضیان مربوطه در زمانی بسیار سریعتر نسبت به مشخصات کالای تولیده شده ، آگاهی پیدا خواهند کرد .

امنیت اطلاعات در شبکه های کامپیوتری
بموازات حرکت بسمت یک سازمان مدرن و مبتنی بر تکنولوژی اطلاعات، می بایست تدابیر لازم در رابطه با حفاظت از اطلاعات نیز اندیشیده گردد. مهمترین مزیت و رسالت شبکه های کامپیوتری ، اشتراک منابع سخت افزاری و نرم افزاری است . کنترل دستیابی و نحوه استفاده از منابع به اشتراک گذاشته شده ، از مهمترین اهداف یک سیستم امنیتی در شبکه است . با گسترش شبکه های کامپیوتری خصوصا" اینترنت ، نگرش نسبت به امنیت اطلاعات و سایر منابع به اشتراک گذاشته شده ، وارد مرحله جدیدی شده است . در این راستا ، لازم است که هر سازمان برای حفاظت از اطلاعات ارزشمند ، پایبند به یک استراتژی خاص بوده و بر اساس آن سیستم امنیتی را اجراء و پیاده سازی نماید . عدم ایجاد سیستم مناسب امنیتی ، می تواند پیامدهای منفی و دور از انتظاری را بدنبال داشته باشد . استراتژی سازمان ما برای حفاظت و دفاع از اطلاعات چیست؟ در صورت بروز مشکل امنیتی در رابطه با اطلاعات در سازمان ، بدنبال کدامین مقصر می گردیم ؟ شاید اگر در چنین مواردی ، همه مسائل امنیتی و مشکلات بوجود آمده را به خود کامپیوتر نسبت دهیم ، بهترین امکان برون رفت از مشکل بوجود آمده است ، چراکه کامپیوتر توان دفاع کردن از خود را ندارد . آیا واقعا" روش و نحوه برخورد با مشکل بوجود آمده چنین است ؟ در حالیکه یک سازمان برای خرید سخت افزار نگرانی های خاص خود را داشته و سعی در برطرف نمودن معقول آنها دارد ، آیا برای امنیت و حفاظت از اطلاعات نباید نگرانی بمراتب بیشتری در سازمان وجود داشته باشد ؟

استراتژی
دفاع در عمق ، عنوان یک استراتژی عملی بمنظور نیل به تضمین و ایمن سازی اطلاعات در محیط های شبکه امروزی است . استراتژی فوق، یکی از مناسبترین و عملی ترین گزینه های موجود است که متاثر از برنامه های هوشمند برخاسته از تکنیک ها و تکنولوژی های متفاوت تدوین می گردد . استراتژی پیشنهادی ، بر سه مولفه متفاوت ظرفیت های حفاظتی ، هزینه ها و رویکردهای عملیاتی تاکید داشته و توازنی معقول بین آنان را برقرار می نماید . دراین مقاله به بررسی عناصر اصلی و نقش هر یک از آنان در استراتژی پیشنهادی، پرداخته خواهد شد.

دشمنان، انگیزه ها ، انواع حملات اطلاعاتی
بمنظور دفاع موثر و مطلوب در مقابل حملات به اطلاعات و سیستم های اطلاعاتی ، یک سازمان می بایست دشمنان، پتانسیل و انگیزه های آنان و انواع حملات را بدرستی برای خود آنالیز تا از این طریق دیدگاهی منطقی نسبت به موارد فوق ایجاد و در ادامه امکان برخورد مناسب با آنان فراهم گردد .اگر قصد تجویز دارو برای بیماری وجود داشته باشد ، قطعا" قبل از معاینه و آنالیز وضعیت بیمار، اقدام به تجویز دارو برای وی نخواهد شد. در چنین مواری نمی توان برای برخورد با مسائل پویا از راه حل های مشابه و ایستا استفاده کرد .بمنظور ارائه راهکارهای پویا و متناسب با مسائل متغیر، لازم است در ابتدا نسبت به کالبد شکافی دشمنان ، انگیزه ها و انواع حملات ، شناخت مناسبی ایجاد گردد.

دشمنان ، شامل سارقین اطلاعاتی ، مجرمان ،دزدان کامپیوتری ، شرکت های رقیب و ... می باشد.

انگیزه ها ی موجود شامل : جمع آوری هوشمندانه، دستبرد فکری ( عقلانی ) ،عدم پذیرش سرویس ها ، کنف کردن ،احساس غرور و مورد توجه واقع شدن ، با شد .

انواع حملات شامل : مشاهده غیرفعال ارتباطات ، حملات به شبکه های فعال، حملات از نزدیک( مجاورت سیستم ها ) ، سوء استفاده و بهره برداری خودیان ( محرمان ) و حملات مربوط به ارائه دهندگان صنعتی یکی از منابع تکنولوژی اطلاعات ، است .

سیستم های اطلاعاتی و شبکه های کامپیوتری اهداف مناسب و جذابی برای مهاجمان اطلاعاتی می باشند . بنابراین لازم است، تدابیر لازم در خصوص حفاظت سیستم ها و شبکه ها در مقابل انواع متفاوت حملاتی اطلاعاتی اندیشیده گردد. بمنظور آنالیز حملات اطلاعاتی و اتخاذ راهکار مناسب بمنظور برخورد با آنان، لازم است در ابتدا با انواع حملات اطلاعات آشنا شده تا از این طریق امکان برخورد مناسب و سیستماتیک با هریک از آنان فراهم گردد . قطعا" وقتی ما شناخت مناسبی را نسبت به نوع و علل حمله داشته باشیم ، قادر به برخورد منطقی با آن بگونه ای خواهیم بود که پس از برخورد، زمینه تکرار موارد مشابه حذف گردد .
انواع حملات اطلاعاتی بشرح ذیل می باشند :

غیرفعال
فعال
نزدیک ( مجاور)
خودی ها ( محرمان )
عرضه ( توزیع )

ویژگی هر یک از انواع حملات فوق ، بشرح زیر می باشد :

غیر فعال (
Passive) . این نوع حملات شامل: آنالیزترافیک شبکه ،شنود ارتباطات حفاظت نشده، رمزگشائی ترافیک های رمز شده ضعیف و بدست آوردن اطلاعات معتبری همچون رمز عبور می باشد . ره گیری غیرفعال عملیات شبکه ، می تواند به مهاجمان، هشدارها و اطلاعات لازم را در خصوص عملیات قریب الوقوعی که قرار است در شبکه اتفاق افتند بدهد( قرار است از مسیر فوق در آینده محموله ای ارزشمند عبور داده شود !) ، را خواهد داد .پیامدهای این نوع حملات ، آشکارشدن اطلاعات و یا فایل های اطلاعاتی برای یک مهاجم ، بدون رضایت و آگاهی کاربر خواهد بود .

فعال (
Active) .این نوع حملات شامل : تلاش در جهت خنثی نمودن و یا حذف ویژگی های امنیتی ، معرفی کدهای مخرب ، سرقت و یا تغییر دادن اطلاعات می باشد . حملات فوق ، می تواند از طریق ستون فقرات یک شبکه ، سوء استفاده موقت اطلاعاتی ، نفوذ الکترونیکی در یک قلمرو بسته و حفاظت شده و یا حمله به یک کاربر تایید شده در زمان اتصال به یک ناحیه بسته و حفاظت شده ، بروز نماید . پیامد حملات فوق ، افشای اطلاعات ، اشاعه فایل های اطلاعاتی ، عدم پذیرش سرویس و یا تغییر در داده ها ، خواهد بود.

مجاور (
Close-in) .این نوع حملات توسط افرادیکه در مجاورت ( نزدیکی ) سیستم ها قرار دارند با استفاده از تسهیلات موجود ، با یک ترفندی خاص بمنظور نیل به اهدافی نظیر : اصلاح ، جمع آوری و انکار دستیابی به اطلاعات باشد، صورت می پذیرد . حملات مبتنی بر مجاورت فیزیکی ، از طریق ورود مخفیانه ، دستیابی باز و یا هردو انجام می شود .

خودی (
Insider) . حملات خودی ها ، می تواند بصورت مخرب و یا غیر مخرب جلوه نماید . حملات مخرب از این نوع شامل استراق سمع تعمدی ، سرقت و یا آسیب رسانی به اطلاعات ، استفاده از اطلاعات بطرزی کاملا" شیادانه و فریب آمیز و یا رد دستیابی سایر کاربران تایید شده باشد . حملات غیر مخرب از این نوع ، عموما" بدلیل سهل انگاری ( حواس پرتی ) ، فقدان دانش لازم و یا سرپیچی عمدی از سیاست های امنیتی صورت پذیرد.

توزیع (
Distribution) . حملات از این نوع شامل کدهای مخربی است که در زمان تغییر سخت افزار و یا نرم افزار در محل مربوطه ( کارخانه ، شرکت ) و یا در زمان توزیع آنها ( سخت افزار ، نرم افزار) جلوه می نماید . این نوع حملات می تواند، کدهای مخربی را در بطن یک محصول جاسازی نماید . نظیر یک درب از عقب که امکان دستیابی غیرمجاز به اطلاعات و یا عملیات سیستم در زمان آتی را بمنظور سوء استفاده اطلاعاتی ، فراهم می نماید .

در این رابطه لازم است ، به سایر موارد نظیر آتس سوزی ، سیل ، قطع برق و خطای کاربران نیز توجه خاصی صورت پذیرد . در بخش دوم این مقاله ، به بررسی روش های ایمن سازی اطلاعات بمنظور نیل به یک استراتژی خاص امنیتی ، خواهیم پرداخت .

 

##############################

برای دستیابی به بقیه مطالب به لینک زیر مراجعه کنید:

http://pasonfarda.mihanblog.com/Cat/67.aspx

ایمن سازی سرویس دهنده ftp

 

ایمن سازی سرویس دهنده ftp

 

سرویس FTP)File Transfer Protocol) یکی از قدیمی ترین و متداولترین سرویس های موجود بر روی اینترنت است . از سرویس فوق ، بمنظور ارسال و دریافت فایل در یک شبکه استفاده می گردد. سرویس FTP ، توسط عموم کاربران اینترنت استفاده و بعنوان استانداردی برای ارسال و دریافت فایل در شبکه ( اینترانت ، اینترنت ) توسط اکثر سیستم های عامل پذیرفته شده است
ویندوز 2000 بهمراه خود از یک سرویس دهنده
FTP استفاده می نماید که بعنوان بخشی از IIS در نظر گرفته می شود. مدیران سیستم با استفاده از سرویس فوق و ترکیب آن با سایر امکانات ارائه شده توسط ویندوز ، قادر به ایجاد و پیکربندی یک سایت FTP با ضریب امنیتی مناسبی خواهند بود.در ادامه و بمنظور ایمن سازی یک سایت FTP ، پیشنهادات متعددی ارائه می گردد.

نکته اول : دستیابی از طریق
Anonymous account را غیر فعال نمائید . دستیابی از نوع Anonymouse، بصورت پیش فرض و پس از نصب اولین سرویس دهنده FTP فعال می گردد. روش فوق ، امکان دستیابی به سایت FTP را بدون نیاز به یک account خاص فراهم می نماید. بدین ترتیب استفاده کنندگان بصورت کاملا" ناشناس قادر به استفاده از منابع موجود بر روی سرویس دهنده FTP بوده و امکان مشاهده سودمند ترافیک سایت و در صورت ضرورت، ردیابی آنان وجود نخواهد داشت . با حذف قابلیت دستیابی Anonymous ، امکان دستیابی به سایت FTP صرفا" در اختیار کاربرانی قرار خواهد گرفت که دارای یک account معتبر باشند.
پس از تعریف هر یک از
account های مورد نظر، می توان در ادامه با استفاده از ACL)Access Control List) کنترل ها و مجوزهای مربوط به دستیابی به دایرکتوری FTP ( محل فیزیکی استقرار سایت FTP بر روی دیسک ) را تعریف و مشخص نمود . در این رابطه می توان از مجوزهای NTFS استفاده کرد. به منظور غیر فعال نمودن Anonymous account ، می توان از طریق صفحه Property مربوط به سایت FTP ( برنامه Internet Information Service ) عملیات مورد نظر را انجام داد .

نکته دوم : فعال نمودن Logging . با فعال نمودن Logging بمنظور اتصال به سایت FTP ، این اطمینان بوجود خواهد آمد که اطلاعات لازم ( آدرس های IP و یا نام کاربران ) در خصوص کاربرانی که بصورت موفقیت آمیز به سایت متصل شده اند ، ثبت خواهد شد.با استفاده از فایل های لاگ که در این رابطه ایجاد خواهد شد ، می توان ترافیک موجود بر روی سایت را مشاهده و در صورت یک تهاجم ، امکان ردیابی اولیه آن فراهم گردد. بمنظور فعال نمودن ویژگی فوق، کافی است که Chex box مربوطه از طریق صفحه Property مربوط به سایت FTP انتخاب گردد .در ادامه ، فایل های لاگ بر اساس فرمتی که مشخص شده است ، ایجاد خواهند شد . استفاده از فایل های لاگ ، بمنظور مشاهده و آنالیز ترافیک سایت بسیار مفید خواهد بود.


نکته سوم : تنظیم و پیکربندی مناسب لیست
ACL ( لیست کنترل دستیابی ) .دستیتابی به دایرکتوری FTP می بایست با استفاده از مجوزهای NTFS و بکارگیری محدودیت های ACL ، کنترل گردد . دایرکتوری FTP نباید دارای گروه Everyone با تمامی امتیازات و مجوزها باشد ( امکان کنترل مجوزها و کاربرانی که سایت FTP متصل شده اند وجود نخواهد داشت ) .بدین منظور لازم است بر روی دایرکتوری مربوط به سایت FTP مستقر و با انتخاب گزینه Property و Security Option ، اسامی موجود را حذف و با انتخاب دکمه Add از لیست موجود، Authenticated user را انتخاب کرد . در ادامه می توان با توجه به سیاست های موجود مجوز Read,Write و List Folder contents را در اختیار گروه مربوطه قرار داد . در صورتیکه سیاست موجود اقتضاء می کند ، می توان صرفا" امکان دستیابی Write را در اختیار گروه مربوطه قرار و مجوزهای Read وList Folder Contents را از آنها سلب نمود .


نکته چهارم : پیکربندی سایت بعنوان دریافت کننده نه ارسال کننده . در صورتیکه صرفا" نیاز است که کاربران فایل هائی را برای سرویس دهنده ، ارسال و امکان دریافت فایل از سرویس دهنده را نداشته باشند ، می توان سایت
FTP را بصورت Blind put پیکربندی نمود. بدین ترتیب به کاربران امکان ارسال ( نوشتن ) فایل بر روی سرویس دهنده داده خواهد شد .( امکان خواندن از دایرکتوری FTP وجود نخواهد داشت ) . بدین منظور می توان پس از انتخاب سایت FTP از طریق Home Directory ، اقدام به تنظیمات مورد نظر نمود.


نکته پنجم : فعال نمودن
Disk Quotas. با استفاده از امکانات ارائه شده توسط ویندوز 2000 ، می توان اقدام به تعیین ظرفیت و یا سهیه ذخیره سازی بر روی دیسک برای هر یک از کاربران نمود..ویژگی فوق ، باعث اعمال محدودیت در رابطه با میزان فضای ذخیره سازی مربوط به یک کاربر می گردد.بصورت پیش فرض ، مالکیت به هر کاربر که در فایلی می نویسد اعطاء می گردد . با فعال نمودن و انجام تنظیمات مورد نظر، می توان پیشگیری لازم در ارتباط با تهاجم به یک سایت FTP را انجام داد ( پر نمودن ظرفیت دیسک ). در صورت تحقق وضعیت فوق ، دامنه اشکال بوجود آمده به سایر سرویس هائی که از فضای ذخیره سازی دیسک استفاده می نمایند نیز سرایت خواهد کرد. برای فعال نمودن Quota Management ، بر روی درایو موردنظر مستقر و با کلیک سمت راست گزینه Property را انتخاب و در نهایت گزینه Quota Tab انتخاب شود .امکان فوق ، صرفا" در ارتبا ط با پارتیشن های NTFS قابل استفاده خواهد بود.استفاده از Disk Quota ، محدود به پارتیش های NTFS بوده و علاوه بر این صرفا" می تواند در رابطه با یک کاربر استفاده شده وامکان بکارگیری آن در ارتباط با گروه ها وجود نخواهد داشت . با انتخاب دکمه Quota Entries می توان اقدام به تعریف یک Entry جدید و تعریف محدودیت های مورد نظر نمود.


نکته ششم : استفاده از محدودیت زمانی برای
Logon . با استفاده از امکانات ارائه شده همراه ویندوز 2000 ، می توان زمان خاصی را برای ورود به شبکه کا ربران تعریف نمود. بدین ترتیب کاربران صرفا" قادر به استفاده از سرویس دهنده در ساعات مشخص شده خواهند بود.ویژگی فوق ، بطرز محسوسی باعث کنترل دستیابی به سایت FTP خواهد شد. برای پیکربندی زمان logon ، از برنامه Active Directory Users and Computers استفاده می گردد . پس از فعال شدن برنامه فوق ، کاربر مورد نظر را انتخاب و پس از مشاهده صفحه Property مربوطه، با انتخاب دکمه Logon hours از طریق Account Tab ، می توان اقدام به مشخص نمودن زمان مورد نظر کاربر برای استفاده ازسرویس دهنده نمود.


نکته هفتم : محدودیت دستیابی بر اساس آدرس
IP . بمنظور دستیابی به سایت FTP می توان معیار دستیابی را بر اساس آدرس های IP خاصی در نظر گرفت . با اعمال محدودیت فوق ، اقدامات مناسبی بمنظور کنترل دستیابی به سایت در نظر گرفته خواهد شد . بمنظور فعال نمودن ویژگی فوق ، پس از انتخاب سایت FTP از طریق برنامهInternet Information Services و مشاهده صفحه Property ، گزینه Directory Security Tab انتخاب گردد. در ادامه، Denied Access فعال و می توان با استفاده از دکمه Add آدرس های IP تائید شده را معرفی کرد.


نکته هشتم :ثبت رویدادهای
Audit logon . با فعال نمودن Auditing ( ممیزی ) مربوط به رویدادهای Account Logon ، می توان تمامی تلاش های موفقیت آمیز و یا با شکست مواجه شده جهت اتصال به سایت FTP را با استفاده از Security log مربوط به Event Viewer ، مشاهده نمود. مشاهده ادواری این لاگ می تواند عامل موثری در کشف ، تشخیص و ردیابی تهاجم به یک سایت باشد. (تشخیص مزاحمین و مهاجمین اطلاعاتی ). بمنظور فعال نمودن ویژگی فوق ، از برنامه Local Security Policy و یا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Local Policies/audit policy ، می توان اقدام به تغییر Local Setting به Success و Failure نمود.


نکته نهم : فعال نمودن
Strong Password . استفاده از رمزهای عبور پیچیده ،روشی مناسب بمنظور افزایش امنیت در خصوص ارائه یک سرویس خاص برای کاربران تائید شده است . با توجه به جایگاه سرویس دهنده FTP ، استفاده از رمزهای عبور قدرتمند می تواند عاملی موثر در جهت افزایش امنیت سایت های FTP باشد . با استفاده از امکانات ارائه شده در ویندوز 2000 ، مدیران سیستم می توانند کاربران را مجبور به استفاده از رمزهای عبور مستحکم و قوی نمایند. بمنظور فعال نمودن ویژگی فوق ، از برنامه Local Security Policy و یا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Password Policy ، می توان گزینه Passwords Must Meet Complexity Requirements را فعال نمود . پس از فعال شدن ویژگی فوق ، هر یک از account های تعریف شده تابع شرایط و محدودیت های زیر خواهند بود :

رمز عبور تعریف شده نمی تواند شامل تمام و یا بخشی از نام
Account کاربر باشد .
رمز عبور تعریف شده می بایست دارای طولی به اندازه حداقل شش باشد .
رمز عبور تعریف شده می تواند شامل کاراکترها ئی از سه گروه از چهار گروه زیر باشد :
- حروف الفبائی
A-Z
- حروف الفبائی
a-z
- ارقام صفر تا نه
- کاراکترهای خاص ( %,#,$,!)


نکته دهم : فعال نمودن
Account Lockout و Account Lockout Threshold .آگاهی و تشخیص رمزهای عبور یکی از موضوعات مورد علاقه اکثر مهاجمان و برنامه های تشخیص دهنده رمز عبوراست .با استفاده از امکانات ارائه شده بهمراه ویندوز 2000 ، مدیران شبکه می توانند تعداد دفعاتی را که یک کاربرسعی در ورود به شبکه می نماید و عملیات وی با موفقیت همراه نمی گردد را مشخص و در صورت تحقق شرایط فوق ، account مربوطه غیر فعال گردد. با فعال نمودن ویژگی فوق و پیکربندی میزان آستانه ، مدیران شبکه می توانند عماکرد برنامه های تشخییص دهنده رمز های عبور و یا مهاجمان اطلاعاتی را محدود و ضریب ایمنی را افزایش دهند. بمنظور فعال نمودن ویژگی فوق ، از برنامه Local Security Policy و یا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Account Lockout Policy ، می توان تنظیمات لازم در خصوص Account Lockout duration , Account lockout threshold و Reset account lockout counter after را انجام داد .

 

##############################

برای دستیابی به بقیه مطالب به لینک زیر مراجعه کنید:

http://pasonfarda.mihanblog.com/Cat/67.aspx

امنیت در شبکه (بخش سوم)

 

امنیت در شبکه (بخش سوم)

 

در این مقاله به بررسی Forms Authentication خواهیم پرداخت .
همانگونه که در بخش اول این مقاله اشاره گردید ، برنامه های وب
ASP.NET از سه روش عمده به منظور تائید کاربران استفاده می نمایند :

Windows Authentication

Forms Authentication

Passport Authentication

در
Forms Authentication ، برنامه IIS مسئولیتی را در ارتباط با تائید کاربران برعهده نگرفته و تنظیمات امنیتی IIS در رابطه با برنامه وب ، دستیابی Anonymous می باشد . فرآیند تائید کاربران در روش فوق، بصورت زیر است :

زمانیکه سرویس گیرنده درخواست یک صفحه ایمن را می نماید ،
IIS کاربر را به عنوان Anonymous، تائید و در ادامه درخواست وی را برای ASP.NET ارسال می نماید .

ASP.NET ، بررسی لازم در خصوص وجود یک کوکی خاص بر روی کامپیوتر سرویس گیرنده را انجام خواهد داد .

در صورتیکه کوکی ، موجود نبوده و یا غیرمعتبر باشد ،
ASP.NET درخواست کاربر را نادیده گرفته و برای وی یک صفحه Logon را ارسال می نماید ( مثلا" Login.aspx ).

کاربر اطلاعات لازم ( نام و رمز عبور ) را در صفحه
Logon.aspx ( به عنوان نمونه ) درج و در ادامه دکمه Submit موجود بر روی فرم را به منظور ارسال اطلاعات برای سرویس دهنده ، فعال می نماید.

IIS ، مجددا" کاربر را به عنوان Anonymous، تائید و درخواست وی را برای ASP.NET ارسال می نماید .

ASP.NET ، تائید کاربر را بر اساس اطلاعات ارسالی ( نام و رمز عبور ) انجام و یک کوکی را ایجاد می نماید .

در نهایت ، صفحه وب ایمن درخواست شده به همراه کوکی جدید برای سرویس گیرنده ارسال می گردد. مادامیکه کوکی معتبر باشد ، کاربر قادر به درخواست و مشاهده سایر صفحات وب می باشد.


فرآیند فوق را می توان به دو حالت متفاوت تعمیم و مورد توجه قرار داد :

حالت اول : درخواست یک صفحه ایمن از سرویس دهنده ، توسط یک کاربر غیرمجاز و تائید نشده
مرحله اول : پس از درخواست یک سرویس گیرنده برای دستیابی به یک صفحه ایمن ، درخواست ارسالی وی در ابتدا توسط
IIS بررسی و با توجه به اینکه تنظیمات IIS بصورت Anonymous پیکربندی شده تا امکان استفاده از Forms Authentication فراهم گردد ، درخواست کاربر ، مستقیما" برای ماژول ASP.NET Forms Authentication ارسال می گردد .
مرحله دوم :
ASP.NET ، بررسی لازم در خصوص وجود ( داشتن ) یک کوکی Authentication را انجام خواهد داد . با توجه به اینکه کاربر اولین مرتبه است که درخواست اطلاعاتی را نموده و دارای یک کوکی نمی باشد ، سرویس گیرنده به صفحه Logon ، هدایت می گردد .
مرحله سوم : کاربراطلاعات ضروری ( نام و رمز عبور ) خود را در صفحه
Logon درج و پس ازارسال آنان ،فرآیند بررسی اطلاعات ارسالی آغاز می گردد. در یک برنامه بزرگ ، بررسی اطلاعات کاربر از طریق یک بانک اطلاعاتی شامل مشخصات کاربران انجام می شود .
مرحله چهارم : در صورتیکه اطلاعات ارسالی کاربر ( نام و رمز عبور ) ، پس از بررسی توسط برنامه وب ، معتبر شناخته نگردند ، مجوز دستیابی برای کاربر صادر نشده و امکان دستیابی وی سلب می گردد .
مرحله پنجم : در صورتیکه پس از بررسی اطلاعات ارسالی، اعتبار وصحت آنان تائید گردد ، یک کوکی تائید ایجاد و در ادامه به کاربر مجوز لازم به منظور دستیابی به صفحه ، اعطاء می گردد .(هدایت کاربر به صفحه درخواست اولیه ) .

حالت دوم : درخواست یک صفحه ایمن از سرویس دهنده ، توسط یک کاربر مجاز و تائید شده
مرحله اول : پس از درخواست یک صفحه ایمن توسط سرویس گیرنده ، کوکی
Authentication بهمراه درخواست وی برای سرویس دهنده ، ارسال می گردد.
مرحله دوم :درخواست ارسالی توسط سرویس گیرنده در ابتدا توسط
IIS دریافت و با توجه به تنظیمات انجام شده ( دسیتابی Anonymous ) ، درخواست وی مستقیما" برای ASP.NET Forms Authentication ارسال می گردد .
مرحله سوم : ماژول
ASP.NET Forms Authentication ، بررسی لازم در خصوص کوکی را انجام و در صورتیکه کوکی معتبر باشد ، سرویس گیرنده تائید و امکان دستیابی و مشاهده صفحه وب درخواستی برای وی ، فراهم می گردد .

در روش
Forms Authentication ، بصورت اتوماتیک یک فرم وب طراحی شده به منظور اخذ اطلاعات مربوط به نام و رمز عبور کاربران ، نمایش داده می شود . کد مرتبط با فرم وب ، عملیات تائید و معتبرسازی کاربر را بر اساس لیست ذخیره شده در فایل Web.Config برنامه و یا از طریق یک بانک اطلاعاتی جداگانه ، انجام می دهد. مزیت مهم Forms Authentication ، عدم ضرورت عضویت کاربران در Domain شبکه به منظور دستیابی به برنامه وب ، می باشد .

فعال نمودن
Forms Authentication
به منظور استفاده از روش فوق ، می بایست مراحل زیر را دنبال نمود :

مقداردهی
Authentication mode در فایل Web.config به Forms

ایجاد یک فرم وب به منظور اخذ اطلاعات کاربران (
Logon Page )

ایجاد یک فایل و یا بانک اطلاعاتی به منظور ذخیره نام و رمز عبور کاربران

نوشتن کد لازم به منظور افزودن کاربر جدید به فایل و یا بانک اطلاعاتی کاربران

نوشتن کد لازم به منظور تائید کاربران با استناد به فایل و یا بانک اطلاعاتی کاربران

Forms Authentication ، از کلاس های موجود در namespace با نام System.Web.Security استفاده می نماید . به منظور استفاده از کلاس های فوق، می بایست در ویژوال بیسک دات نت از عبارت Imports و در ویژوال سی شارپ از Using استفاده گردد ( در ابتدای هر ماژول که عملیات تائید را انجام خواهد داد : Imports System.Web.Security ) .

مقداردهی
Authentication mode
نوع تائید کاربران در یک برنامه وب ، می بایست با استفاده از عنصر <
authentication> در فایل Web.config مشخص گردد. به منظور تنظیم برنامه مورد نظر خود برای استفاده از Forms Authentication ، تغییرات زیر را در فایل Web.Config ، اعمال می نمائیم :

Web.Config setting for Forms Authentication

<authentication mode="Forms">
<forms loginUrl = Login.aspx" >
<credentials passwordFormat = "Clear" >
<user name = "Ali" Password ="110" />
<user name = "Kaveh" Password ="111" />
</credentials>
</forms>
</authentication>


کد فوق، یک نوع ساده از تائید کاربران به روش Forms را نشان می دهد . در این رابطه ، اغلب از تعاریف و تنظیمات پیش فرض و یک لیست کاربران مجاز، استفاده شده است. از عناصر متفاوتی در ارتباط با Forms Authentication در فایل Web.Config استفاده می گردد.هر یک از عناصر دارای خصلت های خاص خود می باشند :

عنصر <
authentication>
خصلت
Mode ، با استفاده از خصلت فوق ، روش تائید و شناسائی کاربران مشخص می گردد. با مقدار دهی خصلت فوق به Forms ، روش Forms Authentication انتخاب خواهد شد.

عنصر <
forms>
خصلت
name . از خصلت فوق به منظور مشخص نمودن نام کوکی که اطلاعات مربوط به نام و رمز عبور را ذخیره می نماید ، استفاده می شود . مقدار پیش فرض ، authaspx . می باشد . در صورتیکه بیش از یک برنامه بر روی سرویس دهنده از روش Forms Authentication استفاده می نمایند ، می بایست برای هر یک از آنان نام منحصربفردی در نظر گرفته شود .
خصلت
loginUrl .از خصلت فوق به منظور مشخص نمودن نام فرم وب Login برای کاربران تائید نشده ، استفاده می گردد . مقدار پیش فرض خصلت فوق، Default.aspx است .
خصلت
protection . با استفاده از خصلت فوق روش حفاظت کوکی Authentication که بر روی کامپیوتر سرویس گیرنده ذخیره می گردد ، مشخص خواهد شد. مقدار پیش فرض خصلت فوق ، All بوده که عملیات رمزنگاری و بررسی اعتبار و صحت داده در رابطه با آن اعمال می گردد. سایر گزینه های موجود در این راستا ، Encryption,Validation و None می باشد .
خصلت
timeout . با استفاده از خصلت فوق ، مدت زمان نگهداری کوکی Authentication بر روی ماشین کاربر مشخص می گردد . مقدار پیش فرض 30 دقیقه است . ASP.NET ، پس از دریافت یک درخواست جدید توسط کاربر و مشروط به گذشت بیش از نصف زمان تعریف شده ، کوکی را تجدید ( Renew ) خواهد کرد .
خصلت
path . با استفاده از خصلت فوق ، مسیر مورد نظر به منظور ذخیره سازی کوکی بر روی ماشین کاربر مشخص می گردد . مقدار پیش فرض ، "\" است .

عنصر <
credentials>
خصلت
passwordFormat ، با استفاده از خصلت فوق ، الگوریتم لازم به منظور رمزنگاری رمز عبور کاربر ، مشخص می گردد . مقدار پیش فرض ، SHA1 می باشد . سایر گزینه های موجود در این رابطه ، MD5 و Clear ( بدون رمزنگاری ) می باشد .

عنصر <
users>
خصلت
name ، با استفاده از خصلت فوق ، نام کاربر مشخص می گردد.
خصلت
password ، با استفاده از خصلت فوق ، رمز عبور کاربر مشخص می گردد.

عنصر <
credentilas> ، امکان ذخیره سازی لیست کاربران را در Web.Config فراهم می نماید . رویکرد فوق ، روشی ساده به منظور تعریف کاربران مجاز یک برنامه وب می باشد . در چنین مواردی ، مدیریت سیستم می تواند بسادگی و در صورت لزوم نام و رمز عبور کاربران دیگری را به لیست مجاز کاربران ، اضافه نماید . مکانیزم فوق ، در مواردی که قصد داشته باشیم ، امکان تعریف نام و رمز عبور را در اختیار کاربران قرار دهیم ، گزینه مناسبی نبوده و می بایست از یک فایل و یا بانک اطلاعاتی به منظور ذخیره سازی اطلاعات کاربران ، استفاده گردد.

 

 

##############################

برای دستیابی به بقیه مطالب به لینک زیر مراجعه کنید:

http://pasonfarda.mihanblog.com/Cat/67.aspx

امنیت در شبکه (بخش دوم)

 

امنیت در شبکه (بخش دوم)

 

در این مقاله به بررسی Windows Authentication خواهیم پرداخت .
همانگونه که در بخش اول این مقاله اشاره گردید ، برنامه های وب
ASP.NET از سه روش عمده به منظور تائید کاربران استفاده می نمایند :

Windows Authentication

Forms Authentication

Passport Authentication

در
Windows Authentication ، برنامه های وب مسئولیتی را در ارتباط با تائید کاربران برعهده نگرفته و این وظیفه تماما" به سیستم عامل ویندوز ، واگذار می گردد. فرآیند تائید کاربران در روش فوق، بصورت زیر است :

کاربر درخواستی مبنی بر دریافت یک صفحه وب ایمن را از برنامه وب ، می نماید .

پس از دریافت درخواست توسط سرویس دهنده وب ،
IIS عملیات بررسی صلاحیت کاربر را انجام خواهد داد . در این راستا ، اطلاعات ارائه شده توسط کاربر در زمان logon ( نام و رمز عبور) ، با اطلاعات موجود بر روی سرویس دهنده وب و یا Domain ، مقایسه می گردد .

در صورتیکه پس از بررسی مدارک ارائه شده توسط کاربر ( نام و رمز عبور ) ، وی به عنوان کاربر غیر مجاز تشخیص داده شود ، درخواست وی نادیده گرفته خواهد شد .

کامپیوتر سرویس گیرنده ، یک جعبه محاوره ای
Logon را تولید و از کاربر درخواست درج اطلاعات مورد نیاز ( نام و رمز عبور ) ، می گردد . پس از درج اطلاعات درخواستی توسط کاربر و ارسال آنان برای سرویس دهنده ، مجددا" IIS بررسی لازم در خصوص صحت آنان را انجام خواهد داد . در صورتیکه صحت اطلاعات ارسالی کاربر ( نام و رمز عبور ) تائید گردد ، IIS درخواست اولیه کاربر را به سمت برنامه وب هدایت می نماید .

در آخرین مرحله و پس از بررسی و تائید صلاحیت کاربر ، صفحه وب درخواستی برای کاربر ارسال می گردد .

مهمترین مزیت روش
Windows Authentication ، استفاده مشترک از یک مدل امنیتی به منظور دستیابی به منابع موجود در شبکه و برنامه های وب است . پس از تعریف و اعطای مجوزهای لازم به کاربر ، امکان دستیابی وی به منابع موجود در شبکه و برنامه های وب بر اساس یک سیستم امنیتی مشابه و یکسان ، فراهم می گردد .
در زمان ایجاد یک پروژه جدید برنامه وب توسط ویژوال استودیو دات نت ، از روش
Windows Authentication بصورت پیش فرض به منظور تائید کاربران استفاده می گردد .پس از ایجاد یک پروژه جدید برنامه وب در ویژوال استودیو دات نت ، فایل Web.Config بصورت اتوماتیک ایجاد می گردد . ( یک فایل XML که اطلاعات متفاوتی را در ارتباط با پیکربندی رنامه وب در خود ذخیره می نماید ) . محتوی پیش فرض این فایل بصورت زیر است ( صرفا" بخشی که با موضوع این مقاله ارتباط دارد ، منعکس می گردد ) :

Web.Config default setting

<authentication mode="Windows" />
<authorization>
<allow users="*" /> <!-- تمامی کاربران -->
</authorization>


در بخش مربوط به عنصر authentication ، سیاست تائید کاربران برنامه های وب مخشص می گردد . برای مشخص نمودن سیاست فوق از خصلت mode مربوط به عنصر authentication ، استفاده شده که می تواند یکی از مقادیر : Windows , Forms ,Passport و یا None را دارا باشد . در بخش authorization ، سیاست های مربوط به کاربران مجاز برنامه وب مشخص می گردد . در این رابطه می توان ، امکان دستیابی و یا عدم دستیابی به برنامه های وب را با مشخص نمودن کاربران و یا با توجه به وظایف آنان ، فراهم نمود. ( استفاده از کاراکتر " * " ، به معنی همه کاربران بوده و کاراکتر "؟" به منزله کاربران ناشناس و غیرمجاز است) . برای آشنائی با عملکرد روش Windows Authentication ، مراحل زیر را دنبال می نمائیم :

بخش
authorization در فایل Web.Config را بصورت زیر تغییر می نمائیم :

Authorization element

<authorization>
<deny users="?" />
</authorization>


تگ های زیر را که یک جدول HTML را تعریف می نمایند ، در فرم وب شروع برنامه وب ، قرار می دهیم :

HTML Table in Startup web form

<TABLE id="tblUser">
<tr>
<TD><STRONG>آیا کاربر تائید شده است ؟</STRONG></TD>
<TD><Span runat="server" id="spnAuthenticated"></Span></TD>
</tr>
<tr>
<TD><STRONG>نام کاربر </STRONG></TD>
<TD><Span runat="server" id="spnUserName"></Span></TD>
</tr>
<tr>
<TD><STRONG>نوع تائید کاربر</STRONG></TD>
<TD><Span runat="server" id="spnAuthenticationtype"></Span></TD>
</tr>
</TABLE>


به حالت Design view سوئیچ نموده و کد زیر را در فایل Code Behind فرم وب شروع برنامه ، قرار می دهیم :

Web form's code-behind file

Private Sub Page_Load( ByVal sender As System.Object,ByVal e As System.EventArgs ) Handles Mybase.Load
spnAuthenticated.InnerText = User.Identity.IsAuthenticated
spnUserName .InnerText = User.Identity.Name
spnAuthenticationType.InnerText = User.Identity.AuthenticationType
End Sub


پس از اجرای پروژه بصورت محلی ، ASP.NET تائید کاربر را بر اساس نام و رمز عبوری که برای ورود به ویندوز استفاده شده است ، انجام خواهد د اد .


پس از اجرای پروژه از راه دور ( مثلا" دستیابی از طریق اینترنت ) ، ASP.NET یک جعبه محاوره ای رادر مرورگر نمایش داده تا از طریق آن نام و رمز عبور کاربر دریافت گردد .


در صورتیکه نام و رمز عبور درج شده توسط کاربر با تعاریف انجام شده در Domain شبکه ، مطابقت نماید ، ASP.NET کاربر را تائید و مجوز لازم به منظور استفاده از برنامه وب صادر خواهد شد . در این رابطه ASP.NET ، یک authorization certificate را به شکل یک کوکی صادر که در حین Session کاربر ، نگهداری و از آن استفاده می گردد. Session کاربر، پس از اتمام زمان Time out و یا بستن مرورگر ، خاتمه می یابد . برنامه وب اجرای خود را متناسب با مجوزهای تعریف شده در ارتباط با Account آغاز می نماید .
روش
Windows integrated authentication در یک شبکه مبتنی بر Domain بهتر کار خواهد کرد . شبکه هائی که از Workgroup استفاده می نمایند ( در مقابل استفاده از Domain ) دارای محدودیت های خاص خود به منظور استفاده از ویژگی های امنیتی ، می باشند. شبکه های مبتنی بر Domain ، از یک کنترل کننده Domain به منظور تائید و معتبرسازی کاربران شبکه ، استفاده می نماید .
با استفاده از امکانات ارائه شده در فایل
Web.Config می توان یک لایه امنیتی مضاعف را ایجاد نمود . دراین راستا ، می توان تنظیمات لازم به منظور دستیابی و یا عدم دستیابی کاربران و یا گروه های خاصی از کاربران را نیز انجام داد .

اعمال محدودیت برای کاربران خاص ( دستیابی و یا عدم دستیابی )
در مواردیکه از روش
Windows integrated authentication استفاده می گردد ، ASP.NET ، لیست تائید موجود در فایل Web.Config را به منظور آگاهی از صلاحیت کاربران شبکه برای استفاده ازبرنامه وب ، بررسی می نماید. کاراکترهای "*" و "؟" دارای معانی خاصی در لیست تائید می باشند : کاراکتر "* " ، نشاندهنده تمامی کاربران و کاراکتر "؟"، نشاندهنده کاربران غیر مجاز( ناشناس) می باشد . مثلا" لیست تائید زیر در Web.Config ، امکان دسـتیابی تمامی کاربران ناشناس به برنامه وب را حذف و می بایست تمامی کاربران به منظور استفاده از برنامه وب ،تائید گردند .

Authorization element

<authorization>
<deny users="?" />
</authorization>


به منظور اعمال محدودیت در دستیابی کاربرانی خاص ،می توان از عنصر <allow> استفاده و اسامی تمامی کاربران مجاز را با صراحت مشخص نمود (اسامی توسط ویرگول از یکدیگر تفکیک می گردند) . پس از معرفی کاربران مجاز با استفاده از عنصر <allow> ، می بایست با بکارگیری عنصر <deny> ، امکان دستیابی به برنامه توسط کاربران غیر مجاز، سلب می گردد .

Authorization element

<authorization>
<allow users="Ali Reaz , Reza Ali " />
<deny users="*" />
</authorization>


لیست مجاز فوق ، امکان دستیابی دو کاربر که اسامی آنان با صراحت مشخص شده است را به برنامه وب خواهد داد. سایر کاربران ، امکان دستیابی به برنامه وب را دارا نخواهند بود ( نقش عنصر deny در مثال فوق ) علاوه بر لیست مجاز فوق که اسامی دو کاربر را مشخص و آنان را برای استفاده از برنامه وب مجاز می نماید ، دو کاربر فوق ، می بایست دارای Account لازم در Domain شبکه نیز باشند .

تائید کاربران بر اساس نوع وظیفه
برای تائید کاربران به منظور استفاده از یک برنامه می توان ، مجوزهای لازم را بر اساس وظیفه آنان در سازمان ، صادر و امکان دستیابی و یا عدم دستیابی را برای آنان فراهم نمود. در ویندوز
NT و XP ، وظایف به اسامی مپ شده تا از این طریق امکان شناسائی گروه های کاربران ، فراهم گردد. ویندوز، چندین گروه را بصورت اتوماتیک از قبل ایجاد می نماید : Administrators ,Users و Guests . در این رابطه می توان از عنصر <roles> در لیست استفاده کنندگان مجاز برنامه وب در فایل Web.Config استفاده و امکان دستیابی به یک برنامه را با توجه به وظایف کاربر ، فراهم نمود. مثلا" لیست زیر، امکان دستیابی به برنامه وب را صرفا" برای کاربرانی که به عنوان Administrator به شبکه وارد می شوند ، فراهم می نماید.

Authorization element

<authorization>
<allow roles ="Administrators" />
<deny users="*" />
</authorization>


پس از تائید کاربر و صدور مجوز لازم به منظور استفاده از برنامه وب ، می توان با استفاده از خصلت Identity مربوط به شی User ، هویت کاربر ( نام و نوع وظیفه ) را از طریق برنامه شناسائی نمود.خصلت فوق، یک شی را که شامل اطلاعات مربوط به نام و وظیفه کاربراست را برمی گرداند .

Web form's code-behind file

Private Sub Page_Load( ByVal sender As System.Object,ByVal e As System.EventArgs ) Handles Mybase.Load
spnAuthenticated.InnerText = User.Identity.IsAuthenticated
spnUserName .InnerText = User.Identity.Name
spnAuthenticationType.InnerText = User.Identity.AuthenticationType
End Sub


به منظور آگاهی و انجام عملیات لازم با توجه به نوع وظیفه کاربر که از برنامه وب استفاده می نماید ، می توان از متد IsInRole شی User ، استفاده نمود .

IsInRole method

If User.IsInRole("Administrators" Then
'انجام عملیات دلخواه
End If


استفاده از تنظیمات IIS به همراه Windows Authentication
تنظیمات
Authorization در فایل Web.Config با تنظیمات انجام شده در IIS با یکدیگر Overlap می شوند . در صورتیکه Authorization هم در فایل Web.Config و هم توسط IIS تنظیم شده باشد ، در ابتدا تنظیمات IIS بررسی و در ادامه تنظیمات موجود در فایل Web.Config ، مورد توجه قرار خواهند گرفت. به منظور مشاهده تنظیمات authorization در IIS مراحل زیر را دنبال می نمائیم :

در
IIS بر روی فولدر برنامه وب کلیک سمت راست نموده و در ادامه گزینه Properties را انتخاب می نمائیم . برنامه IIS در ادامه جعبه محاوره ای Properties مربوط به فولدر را نمایش خواهد داد .

بر روی
Directory Security Tab کلیک و در ادامه دکمه Edit را در گروه Anonymous Access And Authentication Control کلیک می نمائیم . IIS ، جعبه محاوره ای Authentication Methods را نمایش خواهد داد .

اولین گروه از تنظیمات در جعبه محاوره ای ، کنترل دستیابی
Anonymous را انجام می دهد ( همه کاربران ). غیر فعال نمودن گزینه فوق ، معادل <"?" = deny User > در فایل Web.config است.

Check Box های موجود در قسمت دوم جعبه محاوره ای ، مجاز بودن برنامه به منظور استفاده از Basic و یا Digest Authentication را علاوه بر Windows Authentication ، مشخص می نماید. روش های فوق ، ایمنی بمراتب کمتری را نسبت به Windows Integrated ارائه می نمایند .می توان چندین روش authentication را در IIS فعال نمود . در صورتیکه چندین روش فعال شده باشد ، می توان با استفاده از متد AuthenticationType مربوط به شی Identity ، از روش استفاده شده به منظور تائید کاربر ، آگاهی یافت .

AuthenticationType method

Response.Write(User.Identity.AuthenticationType)

 

 

##############################

برای دستیابی به بقیه مطالب به لینک زیر مراجعه کنید:

http://pasonfarda.mihanblog.com/Cat/67.aspx

امنیت در شبکه (بخش اول)

امنیت در شبکه (بخش اول)

هر برنامه کامپیوتری که برای اجراء در محیط شبکه، طراحی و پیاده سازی می گردد ، می بایست توجه خاصی به مقوله امنیت داشته باشد .برنامه های وب از زیرساخت شبکه ( اینترانت ، اینترانت ) برای ارائه خدمات خود به کاربران استفاده نموده و لازم است نحوه دستیابی کاربران به این نوع از برنامه ها ، کنترل و با توجه به سیاست های موجود ، امکان دستیابی فراهم گردد .در ابتدا می بایست کاربران شناسائی و پس از تائید هویت آنان ، امکان دستیابی به برنامه با توجه به مجوزهای تعریف شده ، فراهم گردد. ASP.NET ( پلات فرم مایکروسافت برای طراحی و پیاده سازی برنامه های وب ) ، از سه روش عمده به منظور شناسائی کاربران و اعطای مجوزهای لازم در جهت دستیابی و استفاده از یک برنامه وب ، استفاده می نماید :

Windows Authentication

Forms Authentication

Passport Authentication

در مجموعه مقالاتی که ارائه خواهد شد به بررسی هر یک از روش های فوق در جهت پیاده سازی امنیت در برنامه های وب خواهیم پرداخت . در بخش اول این مقاله ، به بررسی نحوه برخورد
ASP.NET با کاربران ناشناس ( Anonymous ) ، روش های متفاوت شناسائی کاربران و پارامترهای لازم در خصوص انتخاب یک استراتژی به منظور شناسائی کاربران با توجه به نوع برنامه ها ، خواهیم پرداخت .

شناسائی و تائید کاربران
Authentication ، فرآیندی است که بر اساس آن کاربران شناسائی می گردند . Authorization ، فرآیند اعطای دستیابی به کاربران با توجه به هویت آنان می باشد . با تلفیق Authentication و Authorization، امکان ایمن سازی برنامه های وب در مقابل افراد مزاحم و غیر مجاز ، فراهم می گردد .

دستیابی از طریق کاربران ناشناس (
Anonymous )
اغلب سایت های وب از روش دستیابی "
Anonymous" ، استفاده می نمایند . در چنین مواردی ، اطلاعات موجود بر روی سایت جنبه عمومی داشته و امکان دستیابی تمامی کاربران به اطلاعات وجود خواهد داشت . این نوع سایت ها ، ضرورتی به بررسی مجاز بودن کاربران برای استفاده از منابع موجود ، نخواهند داشت . برنامه های وب ASP.NET ، امکان دستیابی Anonymous را به منابع موجود بر روی سرویس دهنده توسط Impersonation ارائه می نمایند . Impersonation ، فرآیند نسبت دهی یک Account به یک کاربر ناشناس است . Account دستیابی Anonymous بصورت پیش فرض ، IUSER_computername ، می باشد. با استفاده از Account فوق ، امکان کنترل کاربران ناشناس که به منابع موجود بر سرویس دهنده دستیابی دارند ، وجود خواهد داشت . به منظور مشاهده و تغییر مجوزهای دستیابی در نظر گرفته شده برای Account فوق از برنامه Computer Management استفاده می گردد :

ورود به شبکه (
Logon ) به عنوان مدیریت شبکه

اجرای
Computer Management ( از طریق : Start | Programs | Administrator Tools )

انتخاب فولدر
Users به منظور نمایش لیست کاربران

مشاهده گروههائی که
Account فوق به عنوان عضوی از آنان می باشد( کلیک بر روی Member of ) . کاربران Anonymous ، بصورت پیش فرض ، عضوی از گروه Guests بوده که دارای مجوزهای اندکی می باشد. ASP.NET از ASP.NET Account ( با توجه به تنظیمات پیش فرض) ، به منظور اجرای برنامه وب استفاده می نماید . بدین ترتیب ، در صورتیکه برنامه ای سعی در انجام عملیاتی نماید که در لیست مجوزهای ASP.NET Account وجود نداشته باشد ، یک مورد خاص امنیتی بوجود آمده و امکان دستیابی آن تائید نخواهد شد.

به منظور اعمال محدودیت در دستیابی کاربران ناشناس می توان از تنظیمات مربوط به مجوزهای فایل ویندوز استفاده نمود . برای ایمن سازی ، سرویس دهنده می بایست دارای سیستم فایل
NTFS باشد . سیستم های فایل FAT و یا FAT32 ، ایمن سازی در سطح فایل را ارائه نمی نمایند .

دستیابی از طریق کاربران تائید شده
دستیابی
Anonymous ، گزینه ای مناسب برای دستیابی به اطلاعات عمومی و عام است . در صورتیکه برنامه های وب شامل اطلاعاتی خاص و خصوصی باشند ، می بایست در ابتدا کاربران شناسائی و در ادامه با توجه به مجوزهای تعریف شده ، امکان دستیابی فراهم گردد. در برنامه های وب ASP.NET از سه روش عمده به منظور Authentication و Authorization کاربران استفاده می گردد :

Windows integrated authentication : در روش فوق ، شناسائی و تائید کاربران بر اساس لیست کاربران تعریف شده بر روی سرویس دهنده انجام خواهد شد. در ادامه با توجه به مجوزها و امتیازات نسبت داده شده به هر Account ، امکان دستیابی و یا عدم دستیابی به منابع موجود بر روی سرویس دهنده ، فراهم می گردد.

Forms authentication : در روش فوق ، کاربران به یک فرم وب Logon ، هدایت می گردند . در ادامه ، اطلاعات مربوط به نام و رمز عبور آنان اخذ و فرآیند شناسائی و تائید بر اساس یک لسیت کاربران و یا از طریق یک بانک اطلاعاتی که برنامه حمایت می نماید ، انجام خواهد شد.

Passport authentication : در روش فوق ، کاربران جدید به یک سایت که توسط مایکروسافت میزبان شده است ، هدایت می گردند .پس از ریجستر شدن کاربران ، امکان دستیابی آنان به چندین سایت ، فراهم خواهد شد( تمرکز در شناسائی کاربران و استفاده از سایت های متعدد با توجه به تائید بعمل آمده ) .

هر یک از رویکردهای فوق ، به همراه روش دستیابی
Anonymous ، دارای مزایای مختص به خود بوده و برای نوع خاصی از برنامه های وب ، مناسب می باشند :

نوع برنامه : برنامه وب عمومی اینترنت
روش تائید کاربران :
Anonymous
توضیحات : روش عمومی دستیابی برای اغلب سایت های وب ، می باشد. در این روش ، ضرورتی به
Logon وجود نداشته و با استفاده از مجوزهای سیستم فایل NTFS ، می توان ایمن سازی منابعی را که قصد اعمال محدودیت در رابطه با دستیابی به آنان وجود دارد را انجام داد .

نوع برنامه : برنامه وب اینترانت
روش تائید کاربران :
Windows integrated
توضیحات : در روش فوق ، سیستم معتبر سازی ویندوز ، کاربران شبکه را از طریق کنترل کننده
Domain ، تائید می نماید. امکان دستیابی به منابع برنامه های وب بر اساس مجوزهای تعریف شده بر روی سرویس دهنده ، برای هر یک از کاربران فراهم می گردد .

نوع برنامه : برنامه های وب تجاری
روش تائید کاربران :
Forms
توضیحات : برنامه هائی که نیازمند دریافت اطلاعات مالی می باشند ، می بایست از روش فوق به منظور اخذ و ذخیره سازی اطلاعات ، استفاده نمایند .

نوع برنامه : برنامه های متعدد تجاری
روش تائید کاربران :
Passport
توضیحات : در روش فوق ، کاربران یک مرتبه
Sign in نموده ( از طریق یک مرکز تائید کاربران ) و امکان دستیابی و استفاده آنان از تمامی برنامه هائی که از Passport SDK استفاده می نمایند ، وجود خواهد داشت . اطلاعات کاربران در یک Passport profile نگهداری خواهدشد ( در مقابل استفاده از یک بانک اطلاعاتی محلی ) .

استفاده از
Authentication در فایل های HTM و یا HTML
سه روش تائید کاربران که توسط
ASP.NET ارائه شده است ، صرفا" در رابطه با فایل هائی که به عنوان بخشی از برنامه وب می باشند ، بکار گرفته می شود .فرم های وب ( فایل هائی با انشعاب aspx . ) ، ماژول ها ( فایل هائی با انشعاب asax . ) ، نمونه هائی در این زمینه می باشند. فرآیند فوق ، صفحات HTML ( فایل هائی با انشعاب HTM و یا HTML ) را شامل نمی گردد و مسئولیت آن بصورت پیش فرض به IIS ( در مقابل ASP.NET ) واگذار شده است. در صورتیکه فصد تائید کاربرانی ( استفاده از یکی از روش های Windows,Forms و Passport ) را داشته باشیم که به صفحات HTML از طریق برنامه وب دستیابی دارند ، می بایست این نوع فایل ها به ASP.NET executable ، مپ گردند .به منظور مپ نمودن فایل های html به ASP.NET executable ، پس از اجرای IIS مراحل زیر را دنبال می نمائیم :

انتخاب فولدر شامل برنامه وب و
Properties از طریق Action Menu . در ادامه برنامه IIS ، جعبه محاوره ای Properties را نمایش خواهد داد .


بر روی
Directory Tab کلیک نموده و در ادامه گزینه Configuration را انتخاب می نمائیم . IIS در ادامه جعبه محاوره ای Application Configuration را نمایش خواهد داد


بر روی دکمه
Add کلیک نموده و در ادامه IIS جعبه محاوره ای Add/Edit Application Extension Mapping را نمایش خواهد داد .

بر دکمه Browse کلیک نموده و فایل aspnet_isapi.dll را انتخاب می نمائیم .فایل فوق در دایرکتوری Windows Microsoft .Net Framework قرار داشته و مسیر آن مشابه زیر است :

Path for aspnet_isapi.dll

C:\windows\Microsoft.NET\Framework\versionnumber\aspnet_isapi.dll


htm. را در فیلد File Extension تایپ می نمائیم .

مراحل فوق ، برای فایل های با انشعاب
html ، تکرار می گردد.

##############################

برای دستیابی به بقیه مطالب به لینک زیر مراجعه کنید:

http://pasonfarda.mihanblog.com/Cat/67.aspx

 

 

 

 
  • تعداد صفحات :2
  • 1  
  • 2  
 

درباره وبلاگ

عكس اخبار و مطالب آموزشی متنوع
لطفا به موضوعات مختلف و صفحات قبل هم مراجعه كنید
مدیر سایت : مدیر سایت محسن

آخرین پست ها

جستجو

نویسندگان

My title page contents