آی تی ایران – به دنبال بروز مشکلاتي براي برخي از سايت هاي ايراني که در پي حملات هکرها صورت گرفت، کميسيون امنيت فضاي تبادل اطلاعات (افتا) سازمان نظام صنفي رايانه اي در جلسه آخر خود به بررسي اين موضوع پرداخت.
به گزارش روابط عمومي سازمان نظام صنفي رايانه اي در جلسه اخير کميسيون افتا و به پيشنهاد اعضا، موضوع حملات اخير به سايت هاي ايراني در دستور کار کميسيون قرار گرفته و اعضاي حاضر به بحث و تبادل نظر پيرامون اين موضوع پرداختند.
بر اين اساس کميسيون افتا به منظور کاهش زمينه هاي وقوع حملات اينترنتي به سايت هاي ايراني و نيز کاهش صدمات احتمالي به ارايه راه کارهايي پرداخت که در پي مي آيد.
نکته اول: هيچ بستري 100% امن نيست!
حتي اگر شما از امن ترين سيستم عاملهاي دنيا براي ميزباني استفاده ميکنيد، بايد اين نکته را بخاطر داشته باشيد که سايت شما را تنها سيستم عامل نيست که ميزباني ميکند، مجموعه نرم افزارهاي مختلفي نظير سرويس دهنده وب، مفسر زبان برنامه نويسي و … بايد در کنار يکديگر کار کنند تا شما بتوانيد خدمات مورد نياز در سايت خود را ارائه کنيد؛ اين نکته از اين بابت حائز اهميت است که امن نگهداشتن اين مجموعه نرم افزار به هيچ وجه کار ساده اي نيست، بنابراين بايد روشي اتخاذ کرد که در صورت بروز حفره امنيتي يا کشف نقطه آسيب پذير توسط اخلالگر کارکرد کل سيستم دچار مشکل نشود.
ساده ترين راه براي رسيدن به اين مهم استفاده از نرم افزارهاي تشخيص اخلال (Intrusion Detection – IDS) و پيشگيري/کنترل اخلال (Intrusion Prevention/Protection – IPS) ميباشند، اين نرم افزارها بر اساس الگوهاي از پيش تعيين شده در لايه هاي پايين انتقال اطلاعات ميتوانند شروع يک حمله را حدس زده و مدير سيستم را از آن آگاه سازند، در صورت استفاده از سيستمهاي IPS در صورتي که تواتر الگوهاي تشخيص داده شده زياد شود، نرم افزار بطور اتوماتيک ترافيک وارده از سمت اخلالگر را قطع و ارتباطات برقرار شده وي با سرويس دهنده را خاتمه مي دهد (Session reset). سيستمهاي IDS يا IPS بايد توسط شرکت سرويس دهنده ميزباني، در شبکه محلي سرويس دهنده بطوري که امکان شنود روي ترافيک در گردش شبکه را داشته باشد نصب شود. امروزه اکثر ديواره هاي آتش (Firewall) اين قابليت را بصورت پيش فرض دارا هستند.
نوع ديگري از اين نرم افزارها بنام HIDS (Host Intrusion Detection System) که مستقيما روي خود سرويس دهنده نصب ميشوند، علاوه بر قابليت شناسايي ترافيک مشکوک به سمت سرويس دهنده، امکان تغييرا غير مجاز و مشکوک روي اجزاي اصلي سيستم نظير فايلهاي سيستمي را دارند، اين قابليت به مدير سيستم اين امکان را ميدهد که در صورت بروز مشکل امنيتي براي هر يک از نرم افزارهاي بستر ميزباني، و باز شدن دسترسي براي اخلالگر، مورد را سريعا از طريق هشدار دريافت کرده و جلوي تخريبهاي احتمالي را بگيرد (مثلا ايجاد کانال کوورت(Covert) يا در عقب – Back-door).
نکته دوم: سيستم هاي پايش و اخطار
بيشتر شرکتها از نرم افزارهاي پايش سيستم براي اطلاع از وضعيت ترافيک، ميزان مصرف حافظه، توان پردازشي و … سرويس دهنده خود بهره ميگيرند، اما بندرت اتفاق ميافتد که از قابليت ساده “هشدار حاشيه” (Threshold Alert) که در بيشتر اين نرم افزارها تعبيه شده استفاده کنند، اين قابليت حالتهاي ساده ولي غير عادي سيستم، نظير افزايش بيش از حد پهناي باند را تشخيص و به مدير سيستم اعلام ميکند، نتيجه اين هشدار آمادگي براي بروز خطرات احتمالي پيرو ميباشد.
نکته سوم: DNS را جدي بگيريد!
سرويس تبديل نام به آدرس يا به اصطلاح DNS از بخشهايي است که در ميزباني بسيار مهجور واقع ميشود، معمولا ميزباني دامنه شما به همراه سرويس وب روي يک دستگاه نصب ميشود، اساسا با توجه به ضعفهاي ساختاري پروتکل DNS و مشکلات امنيتي که ويژه اين سرويس ميباشد اکثر سايتهاي اينترنتي مهم از زيرساخت جداگانه اي براي ميزباني دامنه و سرويس DNS خود استفاده ميکنند، هر چند ايجاد اين چنين زيرساختهايي براي سايتهاي ايراني به صرفه نيست اما شرکتهاي معتبري در دنيا نظير easyDNS وجود دارند که با زيرساخت ويژه اي که براي اين منظور ايجاد نموده اند، ميزباني دامنه سايتهاي پرترافيک را با هزينه کم انجام ميدهند.
نکته چهارم: کم بخور، هميشه بخور!
محدود کردن پهناي باند هر کاربر، ميزان زماني که ارتباط کاربر با سيستم زنده نگه داشته ميشود (Half-closed Clients) تعداد درخواست در هر ثانيه براي هر thread از پارامترهاي قابل تنظيم عمده سرويس دهنده هاي وب هستند که معمولا توجهي به آنها نميشود، در حاليکه با تنظي درست اين پارامترها ميتوان اثر نامطلوب حمله هاي اخلالگران بخصوص حمله هاي از نوع DoS را به نحو چشمگيري کاهش داد، بعنوان مثال با صفر کردن پارامتر مربوط به زمان کاربران نيمه تمام (Half-closed Clients) ضمن کاهش 20 تا 30 درصدي کارايي سرويس دهنده (اثر منفي)، ميتواند ميزان مقاومت سرويس دهنده در برابر حملات از نوع DoS را تا حدود زيادي افزايش دهد! ويا با کنترل پهناي باند هر کاربر در حدود 10 کيلو بايت در ثانيه (مناسب براي کاربران ايراني)، حملات پيچيده تر از نوع DDoS (Distributed Denial of Services Attack) اثر کمتري روي کارکرد سيستم خواهند داشت.
