چهارشنبه سی ام فروردین 1385
ایران پی ام می نویسد :
يكي از نقاط آسيبپذير هر سيستم و يا شبكه كامپيوتري، فايلها و دايركتوريهاي مهم، حياتي و امنيتي آن هستند. فايلهايي مانند فايل ذخيره پسوردها يا Loginها، فايلهاي مبتني بر سياست امنيتي سيستم و دايركتوريهايي كه داراي مجوز مدير سيستم هستند، اگر بهدرستي محافظت و كنترل نشوند، امنيت سيستم بهخطر خواهدافتاد. بسياري از حملات و سناريوهاي نفوذ با هدف قرار دادن فايلهايي برروي سيستم و شبكه قرباني شروع ميشوند كه بهنوعي براي نفوذگر مهم و پراهميت هستند. جعل يك فايل، تزريق يك فايل به سيستم شبكه، عبور از سد دسترسي به يك دايركتوري و تغيير كاركرد و ماهيت فايلهاي سيستم همه وهمه ازشيوههاي رايج نفوذ محسوب ميشوند. اطمينان از صحت فايلها، گزارشگيري از تغييرات در سيستم فايل و ايجاد مكانيزمهاي احراز هويت براي دسترسي به فايلها و رمز كردن دادههاي مهم و حياتي از مهمترين اقدامات مديران سيستم براي دستيابي به يك سيستم امن ميتواند باشد. با استفاده از Tripwire ميتوان از درستي فايلها و دادههاي سيستم اطمينان حاصل كرد و هرگونه تغيير در سيستم فايل را مشاهده و ردگيري كرد. اين قابليت تواناييهاي زيادي را دراختيار مديران شبكه براي مقابله با طيف گستردهاي از حملات، ويروسها و كرمهاي اينترنتي ميدهد.
يك ضرورت
چگونه ميتوانفهميد كه در طي اتصال به اينترنت، يك فايل ناشناخته برروي سيستم شما نشسته است؟ و يا يك برنامه مانند جاسوسافزار در رجيستري سيستم عامل تغييراتي را ايجاد كرده است و يا حتي سيستم شما آلوده به يك ويروس مخرب است ؟ آيا مطمئن هستيد اكنون يك اسبتروا و يا Backdoor برروي سيستم شما نصب نشدهاست و تمامي اطلاعات حياتي سيستم شما را از طريق اينترنت به يك مقصد مشخص نميفرستد؟ چگونه ميخواهيد سيستم خود را در مقابل اينگونه حملات ايمن كنيد؟
آيا ضدويروسها داراي قدرت كافي براي مقابله با اين طيف وسيع از خطرات اينترنتي هستند؟ گونهاي حملات كه به حملات hijack معروف هستند، يك فايل جعلي و ساخته شده توسط نفوذگر را بهجاي فايلي كه مثلا شما از يك سايت درخواست كردهايد، به سمت كامپيوتر شما روانه ميكنند و شما بدوناينكه بدانيد آنرا گرفته و برروي سيستم استفاده ميكنيد.
در هنگام استفاده، فايلهاي مكمل نيز نصب شده و در اتصال بعدي ، هكر هر آنچه كه از كامپيوترشما نياز دارد را بهدست خواهدآورد. چگونه بايد از فعاليت مخفيانه اينگونه فايلها مطلع شد؟ اگر مسوول شبكه محلي يك سازمان هستيد و يا در اداره خودتان يك شبكه راهندازي كردهايد تاكنون فكر كرديد چگونه ميشود فهميد كه فايلهاي سيستم و يا شبكه و يا ابزار شبكه مانند فايروالها و روترها دستكاري شدهاند يا خير و يا اينكه از فايلهاي حياتي و مهم خود كه ميتوانند مورد حمله قرار بگيرند محافظت ميكنيد؟
همه اين پرسشها نيازمندي بهكارگيري يك مكانيزم امنيتي براي گزارشگيري از سيستم فايل بهصورت روزانه و يا در زمانهاي خاص و مشاهده تغييرات صورت گرفته و احيانا دسترسي غير مجاز به فايلهاي امنيتي را مشخص ميكند. (شكل 1)
Tripwire چيست؟
Tripwire نرم افزاري براي مانيتورينگ سيستم و مشاهده هر گونه تغيير در سيستم است. Tripwire با استفاده از بانك دادهاي كه برايش تعريف شده است سيستم را بررسي ميكند و هرگونه تغيير در محتويات و يا خصوصيات فايل مانند اندازه فايل يامجوز فايل، مكان فايل را به مدير سيستم گزارش ميدهد. مسوول شبكه ميتواند با تنظيم و پيكربندي اين نرمافزار از هر گونه تغيير در سيستم خودمطلع شود.
Tripwire نسبت به هرگونه تغيير، اضافه و يا پاك شدن دادهاي برروي سيستم بسيار حساس است و اين تغيير را در فايلهاي خود ثبت كرده و توسط ايميل با فرمتهاي مانند HTML و XML به مسوول سيستم گزارش ميدهد و اين امكان بهراحتي فراهم ميشود كه بتوان تمام تحركات سيستمعاملي شبكه، ابزار و سرويسدهندهاي خود را تحت نظر گرفت و از امنيت سيستم اطمينان حاصل كرد. در ابتداي نصب و پيكربندي ابزار Tripwire از كل سيستم يك تصوير Snoppshot گرفته و در يك فايل بانك اطلاعاتي ذخيره ميكند.
Tripwire با توجه به پيكربندي خود، مثلا در هر اتصال به شبكه، با مقايسه سيستم فايل با بانك اطلاعاتي كه در اصطلاح به آن baseline گفته ميشود هر گونه تغيير يا عدم صحت فايل را گزارش ميدهد. اگر توسط مدير سيستم تغييراتي صورت گيرد بايد بانك اطلاعاتي بروز شده و تغييرات صورت گرفته شده ثبت شوند. ويژگي Tripwire قابليت استفاده در هر سكوي اجرايي و با هر سيستم است. قدرت و انعطاف اين ابزار در سيستمهاي خانواده يونيكس نمايان ميشود و بيشتر كارايي دارد ولي نسخههاي تجاري از اين برنامه هم براي ويندوزهاي 2000 ، NT و اكسپي تهيه شده است.
Tripwire قابل استفاده با ابزارهاي شبكه مانند سوييچها و روترها نيز ميباشد و در سرويس دهندهها نيز قابل نصب است. اين برنامه همچنين داراي يك رابط گرافيكي براي مديريت برنامه است ولي در سيستمعاملهايي مانند لينوكس بهراحتي در رابطهاي تحت خط فرمان قابل پيكربندي و استفاده است.
بعد از نصب و پيكربندي نرم افزار و تنظيمكردن سياستهاي امنيتي براي آن، Tripwire اقدام به تهيه يك بانكاطلاعاتي از تمام سيستم فايل و خصوصيات فايلها و رجيستري سيستم همراه كاربران، گروهها، مجوزها و دسترسيها، برنامههاي اجرا شده برروي سيستم و تمامي ابزار مرتبط با سيستم مي نمايد. به اين بانكاطلاعاتي baseline گفته ميشود. تمامي اين اطلاعات در يك فايل قرارگرفته و رمزنگاري ميكند تا اطلاعات آن بهراحتي قابل خواندن نباشد. اين فايل مبناي عمليات بعدي خواهد بود و هر تغييري نسبت به اين فايل تشخيص داده خواهد شد. يك نكته مهم بروز رساني بهموقع اين فايل است.
مدير سيستم بهصورت مجاز هر تغييري در سيستم اعمال كند بايد متعاقب آن مجددا اقدام به پيكربندي و تهيه baseline نمايد و اين تغييرات صورت گرفته را براي Tripwire تعريف كند. اين ابزار اين قابليت را دارد كه بهصورت روزانه يا در زمانهايي خاص كه براي آن تعريف شده است اقدام به بررسي سيستم فايل نمايد و تمامي تغييرات صورت گرفته را در يك فايل قرار داده و به كامپيوتر سرور و يا كامپيوتر راه دور مدير سيستم ارسال كند.
در زمان كنترل كردن Tripwire تمام حالت فعلي سيستم را در زماني كه ميخواهد سيستم را بررسي كند ضبط كرده و اقدام به مقايسه با baseline مينمايد و هرگونه تغيير و يا اختلاف، اعم از تغيير محتويات يك فايل امنيتي يا يك دسترسي غيرمجاز و يا اضافه و كم شدن يك فايل، اجراي يك برنامه خاص و تغيير در ساختار سيستم فايل، را گزارش ميدهد.
اين امكان وجود دارد كه شما گزارشهاي گوناگوني از سيستم تهيه كنيد و يا فقط در هر گزارشگيري برخي از پارامترها را مورد بررسي قرار دهيد. با توجه به طيف گسترده كاربرد Tripwire و اجراي آن برروي انواع سيستم عاملها و سرويسدهندهها وادوات شبكه بهراحتي اين امكان بهوجود خواهد آمد كه بتوان تمام تحركات يك شبكه را تحت نظر داشت و از هرگونه تغييري مطلع شد.
هر نرم افزار Tripwire از چهار فايل بنيادي استفاده مي كند:
فايل سياستهاي امنيتي: در اين فايل تمامي پيكربندي نرمافزار و سياستهايي كه توسط كاربر به آن داده شدهاست نگهداري ميشود. اين فايل مرتبا در حال تغيير و بروزرساني خواهد بود و عمليات نرمافزار را تعريف خواهد كرد. پيكربندي و تنظيم كردن اين فايل تاثيري مستقيم در قدرت نرم افزار و توانايي آن در تشخيص آسيبپذيريهاي امنيتي براي هر مدير سيستم خواهد بود.
فايل بانك اطلاعاتي: مهمترين فايل براي نرمافزار است كه هميشه حالت صحيح سيستم را در خود نگهداري ميكند. در هر زمان كه نياز به كنترلكردن و گزارشگيري از سيستم باشد حالت فعلي سيستم با اين فايل مقايسه ميشود.
فايل گزارشگيري: از اين فايل براي بررسي تغييرات سيستم و كنترل صحت فايلها و عملياتها استفاده ميشود.Tripwire با خواندن فايل سياستهاي امنيتي اين فايل را پيكربندي ميكند تا بتواند يك گزارش كامل از درخواست هاي مدير سيستم تهيه كند.
فايل پيكربندي: اين فايل تمامي تنظيمات مربوط به خود نرمافزار را نگهداري ميكند. چگونگي كار نرم افزار و انجام مراحل كار بستگي به محتويات اين فايل دارد.
چگونه ميتوانفهميد كه در طي اتصال به اينترنت، يك فايل ناشناخته برروي سيستم شما نشسته است؟ و يا يك برنامه مانند جاسوسافزار در رجيستري سيستم عامل تغييراتي را ايجاد كرده است و يا حتي سيستم شما آلوده به يك ويروس مخرب است ؟ آيا مطمئن هستيد اكنون يك اسبتروا و يا Backdoor برروي سيستم شما نصب نشدهاست و تمامي اطلاعات حياتي سيستم شما را از طريق اينترنت به يك مقصد مشخص نميفرستد؟ چگونه ميخواهيد سيستم خود را در مقابل اينگونه حملات ايمن كنيد؟
آيا ضدويروسها داراي قدرت كافي براي مقابله با اين طيف وسيع از خطرات اينترنتي هستند؟ گونهاي حملات كه به حملات hijack معروف هستند، يك فايل جعلي و ساخته شده توسط نفوذگر را بهجاي فايلي كه مثلا شما از يك سايت درخواست كردهايد، به سمت كامپيوتر شما روانه ميكنند و شما بدوناينكه بدانيد آنرا گرفته و برروي سيستم استفاده ميكنيد.
در هنگام استفاده، فايلهاي مكمل نيز نصب شده و در اتصال بعدي ، هكر هر آنچه كه از كامپيوترشما نياز دارد را بهدست خواهدآورد. چگونه بايد از فعاليت مخفيانه اينگونه فايلها مطلع شد؟ اگر مسوول شبكه محلي يك سازمان هستيد و يا در اداره خودتان يك شبكه راهندازي كردهايد تاكنون فكر كرديد چگونه ميشود فهميد كه فايلهاي سيستم و يا شبكه و يا ابزار شبكه مانند فايروالها و روترها دستكاري شدهاند يا خير و يا اينكه از فايلهاي حياتي و مهم خود كه ميتوانند مورد حمله قرار بگيرند محافظت ميكنيد؟
همه اين پرسشها نيازمندي بهكارگيري يك مكانيزم امنيتي براي گزارشگيري از سيستم فايل بهصورت روزانه و يا در زمانهاي خاص و مشاهده تغييرات صورت گرفته و احيانا دسترسي غير مجاز به فايلهاي امنيتي را مشخص ميكند. (شكل 1)
Tripwire چيست؟
Tripwire نرم افزاري براي مانيتورينگ سيستم و مشاهده هر گونه تغيير در سيستم است. Tripwire با استفاده از بانك دادهاي كه برايش تعريف شده است سيستم را بررسي ميكند و هرگونه تغيير در محتويات و يا خصوصيات فايل مانند اندازه فايل يامجوز فايل، مكان فايل را به مدير سيستم گزارش ميدهد. مسوول شبكه ميتواند با تنظيم و پيكربندي اين نرمافزار از هر گونه تغيير در سيستم خودمطلع شود.
Tripwire نسبت به هرگونه تغيير، اضافه و يا پاك شدن دادهاي برروي سيستم بسيار حساس است و اين تغيير را در فايلهاي خود ثبت كرده و توسط ايميل با فرمتهاي مانند HTML و XML به مسوول سيستم گزارش ميدهد و اين امكان بهراحتي فراهم ميشود كه بتوان تمام تحركات سيستمعاملي شبكه، ابزار و سرويسدهندهاي خود را تحت نظر گرفت و از امنيت سيستم اطمينان حاصل كرد. در ابتداي نصب و پيكربندي ابزار Tripwire از كل سيستم يك تصوير Snoppshot گرفته و در يك فايل بانك اطلاعاتي ذخيره ميكند.
Tripwire با توجه به پيكربندي خود، مثلا در هر اتصال به شبكه، با مقايسه سيستم فايل با بانك اطلاعاتي كه در اصطلاح به آن baseline گفته ميشود هر گونه تغيير يا عدم صحت فايل را گزارش ميدهد. اگر توسط مدير سيستم تغييراتي صورت گيرد بايد بانك اطلاعاتي بروز شده و تغييرات صورت گرفته شده ثبت شوند. ويژگي Tripwire قابليت استفاده در هر سكوي اجرايي و با هر سيستم است. قدرت و انعطاف اين ابزار در سيستمهاي خانواده يونيكس نمايان ميشود و بيشتر كارايي دارد ولي نسخههاي تجاري از اين برنامه هم براي ويندوزهاي 2000 ، NT و اكسپي تهيه شده است.
Tripwire قابل استفاده با ابزارهاي شبكه مانند سوييچها و روترها نيز ميباشد و در سرويس دهندهها نيز قابل نصب است. اين برنامه همچنين داراي يك رابط گرافيكي براي مديريت برنامه است ولي در سيستمعاملهايي مانند لينوكس بهراحتي در رابطهاي تحت خط فرمان قابل پيكربندي و استفاده است.
بعد از نصب و پيكربندي نرم افزار و تنظيمكردن سياستهاي امنيتي براي آن، Tripwire اقدام به تهيه يك بانكاطلاعاتي از تمام سيستم فايل و خصوصيات فايلها و رجيستري سيستم همراه كاربران، گروهها، مجوزها و دسترسيها، برنامههاي اجرا شده برروي سيستم و تمامي ابزار مرتبط با سيستم مي نمايد. به اين بانكاطلاعاتي baseline گفته ميشود. تمامي اين اطلاعات در يك فايل قرارگرفته و رمزنگاري ميكند تا اطلاعات آن بهراحتي قابل خواندن نباشد. اين فايل مبناي عمليات بعدي خواهد بود و هر تغييري نسبت به اين فايل تشخيص داده خواهد شد. يك نكته مهم بروز رساني بهموقع اين فايل است.
مدير سيستم بهصورت مجاز هر تغييري در سيستم اعمال كند بايد متعاقب آن مجددا اقدام به پيكربندي و تهيه baseline نمايد و اين تغييرات صورت گرفته را براي Tripwire تعريف كند. اين ابزار اين قابليت را دارد كه بهصورت روزانه يا در زمانهايي خاص كه براي آن تعريف شده است اقدام به بررسي سيستم فايل نمايد و تمامي تغييرات صورت گرفته را در يك فايل قرار داده و به كامپيوتر سرور و يا كامپيوتر راه دور مدير سيستم ارسال كند.
در زمان كنترل كردن Tripwire تمام حالت فعلي سيستم را در زماني كه ميخواهد سيستم را بررسي كند ضبط كرده و اقدام به مقايسه با baseline مينمايد و هرگونه تغيير و يا اختلاف، اعم از تغيير محتويات يك فايل امنيتي يا يك دسترسي غيرمجاز و يا اضافه و كم شدن يك فايل، اجراي يك برنامه خاص و تغيير در ساختار سيستم فايل، را گزارش ميدهد.
اين امكان وجود دارد كه شما گزارشهاي گوناگوني از سيستم تهيه كنيد و يا فقط در هر گزارشگيري برخي از پارامترها را مورد بررسي قرار دهيد. با توجه به طيف گسترده كاربرد Tripwire و اجراي آن برروي انواع سيستم عاملها و سرويسدهندهها وادوات شبكه بهراحتي اين امكان بهوجود خواهد آمد كه بتوان تمام تحركات يك شبكه را تحت نظر داشت و از هرگونه تغييري مطلع شد.
هر نرم افزار Tripwire از چهار فايل بنيادي استفاده مي كند:
فايل سياستهاي امنيتي: در اين فايل تمامي پيكربندي نرمافزار و سياستهايي كه توسط كاربر به آن داده شدهاست نگهداري ميشود. اين فايل مرتبا در حال تغيير و بروزرساني خواهد بود و عمليات نرمافزار را تعريف خواهد كرد. پيكربندي و تنظيم كردن اين فايل تاثيري مستقيم در قدرت نرم افزار و توانايي آن در تشخيص آسيبپذيريهاي امنيتي براي هر مدير سيستم خواهد بود.
فايل بانك اطلاعاتي: مهمترين فايل براي نرمافزار است كه هميشه حالت صحيح سيستم را در خود نگهداري ميكند. در هر زمان كه نياز به كنترلكردن و گزارشگيري از سيستم باشد حالت فعلي سيستم با اين فايل مقايسه ميشود.
فايل گزارشگيري: از اين فايل براي بررسي تغييرات سيستم و كنترل صحت فايلها و عملياتها استفاده ميشود.Tripwire با خواندن فايل سياستهاي امنيتي اين فايل را پيكربندي ميكند تا بتواند يك گزارش كامل از درخواست هاي مدير سيستم تهيه كند.
فايل پيكربندي: اين فايل تمامي تنظيمات مربوط به خود نرمافزار را نگهداري ميكند. چگونگي كار نرم افزار و انجام مراحل كار بستگي به محتويات اين فايل دارد.
نوشته شده توسط محمدرضا ملاحی در ساعت 8:29 | لینک
|
