بخشی از پاورپوینت
اسلاید 1 :
مهمترين نقاط آسيب پذير يونيکس و لينوکس
سيستم عامل، يکی از عناصر چهار گانه در يک سيستم کامپيوتری است که دارای نقشی بسيار مهم و حياتی در نحوه مديريت منابع سختافزاری و نرمافزاری است. پرداختن به مقولهي امنيت سيستمهای عامل ، همواره از بحثهای مهم در رابطه با ايمنسازی اطلاعات در يک سيستم کامپيوتری بوده که امروزه با گسترش اينترنت ، اهميت آن مضاعف شدهاست. بررسی و آناليز امنيت در سيستمهای عامل میبايست با ظرافت و در چارچوبی کاملاً علمی و با در نظر گرفتن تمامی واقعيتهای موجود، انجام گيرد تا از يک طرف تصميمگيرندگان مسائل استراتژيک در يک سازمان قادر به انتخاب مستند و منطقی يک سيستمعامل باشند و از طرف ديگر امکان نگهداری و پشتيبانی آن با در نظر گرفتن مجموعه تهديدات موجود و آتی، بسرعت و بسادگی ميسر گردد.
اکثر کرمها و ساير حملات موفقيتآميز در اينترنت، بدليل وجود نقاط آسيبپذير در تعداد اندکي از سرويسهای سيستمهای عامل متداول است. مهاجمان، با فرصتطلبی خاص خود از روشهای متعددی بمنظور سوء استفاده از نقاط ضعف امنيتی شناخته شده، استفاده نموده و در اين راستا ابزارهای متنوع، مؤثر و گستردهای را بمنظور نيل به اهداف خود، بخدمت میگيرند.
اسلاید 2 :
مهاجمان، در اين رهگذر متمرکز بر سازمانها و مؤسساتی میگردند که هنوز مسائل موجود امنيتی ( حفرهها و نقاط آسيبپذير ) خود را برطرف نکرده و بدون هيچگونه تبعيضی آنان را بعنوان هدف، انتخاب مینمايند. مهاجمان بسادگی و بصورت مخرب، کرمهائی نظير: بلستر، اسلامر و Code Red را در شبکه منتشر مینمايند. آگاهی از مهمترين نقاط آسيبپذير در سيستمهای عامل، امری ضروری است. با شناسائی و آناليز اينگونه نقاط آسيبپذير توسط کارشناسان امنيت اطلاعات، سازمانها و مؤسسات قادر به استفاده از مستندات علمی تدوين شده بمنظور برخورد منطقی با مشکلات موجود و ايجاد يک لايه حفاظتی مناسب میباشند.
در مجموعه مقالاتی که ارائه خواهد شد، به بررسی مهمترين نقاط آسيب پذير يونيکس و لينوکس خواهيم پرداخت. در اين راستا، پس از معرفی هر يک از نقاط آسيبپذير، علت وجود ضعف امنيتی، سيستمهای عامل در معرض تهديد، روشهای تشخيص آسيبپذيری سيستم و نحوهي مقابله و يا پيشگيری در مقابل هر يک از نقاط آسيبپذير، بررسی میگردد.
همانگونه که اشاره گرديد، اغلب تهديدات و حملات، متأثر از وجود نقاط آسيبپذير در سيستمهای عامل بوده که زمينه تهاجم را برای مهاجمان فراهم می آورد. شناسائی و آناليز نقاط آسيبپذير در هر يک از سيستمهای عامل، ماحصل تلاش و پردازش دهها کارشناس امنيتی ورزيده در سطح جهان است و میبايست مديران سيستم و شبکه در يک سازمان بسرعت با آنان آشنا و اقدامات لازم را انجام دهند.
اسلاید 3 :
مهمترين نقاط آسيب پذير يونيکس:
يونيکس، يکی از سيستمهای عامل رايج در جهان بوده که امروزه در سطح بسيار وسيعی استفاده میگردد. تاکنون حملات متعددی توسط مهاجمين متوجه سيستمهائی بوده است که از يونيکس (نسخههای متفاوت) بعنوان سيستم عامل استفاده مینمايند. با توجه به حملات متنوع و گسترده انجام شده، میتوان مهمترين نقاط آسيبپذير يونيکس را به ده گروه عمده تقسيم نمود:
- BIND Domain Name System
- Remote Procedure Calls (RPC)
- Apache Web Server
- General UNIX Authentication Accounts with No Passwords or Weak Passwords
- Clear Text Services
- Sendmail
- Simple Network Management Protocol (SNMP)
- Secure Shell (SSH)
- Misconfiguration of Enterprise Services NIS/NFS
- Open Secure Sockets Layer (SSL)
اسلاید 4 :
- اولين نقطهي آسيب پذير: BIND Domain Name
System
نرمافزار BIND (Berkeley Internet Name Domain)،در مقياس گستردهای و بمنظور پيادهسازی DNS(Domain Name Service)، استفاده میگردد. BIND، سيستمی حياتی است که از آن بمنظور تبديل اسامی ميزبان(نظير: www.srco.ir) به آدرس IP ريجستر شده، استفاده میگردد. با توجه به استفاده وسيع از BIND و جايگاه حياتی آن در يک شبکه کامپيوتری، مهاجمان آن را بعنوان يک هدف مناسب بمنظور انجام حملات ، خصوصاً از نوع DoS(Denila of Service) انتخاب و حملات متنوعی را در ارتباط با آن انجام داده اند. حملات فوق، از کارافتادن سرويس DNS و عدم دستيابی به اينترنت برای سرويسهای مربوطه و ميزبانان را میتواند بدنبال داشته باشد. با اينکه پيادهکنندگان BIND، تلاشی مستمر را از گذشته تا کنون بمنظور برطرف نمودن نقاط آسيبپذير انجام دادهاند، ولی هنوز تعداد زيادی از نقاط آسيبپذير قديمی، بدرستی پيکربندی نشده و سرويسدهندگان آسيبپذير در آن باقی مانده است.
اسلاید 5 :
عوامل متعددی در بروز اينگونه حملات نقش دارد: عدم آگاهی لازم مديران سيستم در خصوص ارتقاء امنيتی سيستمهايی که بر روی آنان Bind deamon بصورت غير ضروری اجراء میگردد و پيکربندی نامناسب فايلها، نمونههائی از عوامل فوق بوده و میتواند زمينهي يک تهاجم از نوع DoS، يک Buffer Overflow و يا بروز اشکال در DNS Cache را بدنبال داشتهباشد. از جمله مواردي که اخيراً در رابطه با ضعف امنيتی BIND کشف شدهاست مربوط به يک تهاجم از نوع DoS است.
مقاله CERT AdvisoryCA-2002-15 جزئيات بيشتری را در اين رابطه ارائه می نمايد. از ديگر حملات اخير، تهاجمی از نوع Buffer Overflow است. مقالهCERT AdvisoryCA-2002-19 جزئيات بيشتری را در اين رابطه در اختيار قرار میدهد. درتهاجم فوق، يک مهاجم از نسخه آسيبپذير پيادهسازی توابع Resolver مربوط به DNS استفاده و با ارسال پاسخهای مخرب به DNS و اجرای کد دلخواه، امکان سوء استفاده از نقطه آسيبپذير فوق را فراهم و حتی دربرخی موارد میتواند زمينه بروز يک تهاجم از نوع DoS را باعث گردد.
تهديدی ديگر که میتواند در اين رابطه وجود داشته باشد، حضور يک سرويسدهنده BIND آسيبپذير در شبکه است. در چنين مواردی، مهاجمان از وضعيت فوق استفاده و از آن بمنزله مکانی جهت استقرار دادههای غير معتبر خود و بدون آگاهی مديرسيستم استفاده مینمايند. بدين ترتيب، مهاجمان از سرويسدهنده بعنوان پلات فرمی بمنظور فعاليتهای آتی مخرب خود بهرهبرداری خواهند کرد.
اسلاید 6 :
1.1.سيستمهای عامل در معرض تهديد:
تقريباً تمامی سيستمهای عامل يونيکس و لينوکس بهمراه يک نسخه از BIND ارائه شدهاند. در صورت پيکربندی ميزبان بعنوان سرويسدهنده، نسخهای از BIND بر روی آن نصب خواهد شد.
1.2.نحوه تشخيص آسيبپذيری سيستم
در صورت دارابودن نسخه خاصی از BIND که بهمراه سيستم عامل ارائه و بر روی سيستم نصب شدهاست، میبايست عمليات بهنگامسازی آن را با استفاده از آخرين Patchهای ارائهشده توسط توليدکننده (عرضه کننده) انجام داد. در صورت استفاده از نسخه BIND مربوط به ISC:Internet Software Consortium، میبايست از نصب آخرين نسخه BIND، اطمينان حاصل نمود. در صورتيکه BIND نصبشده بر روی سيستم، نسخهای قديمی بوده و يا بطور کامل Patch نشدهباشد، احتمال آسيبپذيری سيستم وجود خواهد داشت.
در اکثر سيستمها، دستور "named- v "، اطلاعات لازم در خصوص نسخه BIND نصب شده بر روی سيستم را بصورت X.Y.Z نمايش خواهد داد. X، نشاندهندهي نسخهي اصلی، Y، نشاندهندهي جزئيات نسخه و Z نشاندهندهي يک Patch Level است. پيشنهاد میگردد، آخرين نسخهي BIND ارائه شده توسط ISC را دريافت و آن را بر روی سيستم نصب نماييد
اسلاید 7 :
آخرين نسخهي موجود Version 9.2.2 بوده و میتوان آن را از سايت ISC دريافت نمود. يکی ديگر از رويکردهای کنشگرايانه مرتبط با نگهداری امنيت BIND، عضويت در گروههای خبری نظير Symantec برای آگاهی از آخرين هشدارهای امنيتی است. در اين راستا میتوان از يک برنامهي پويشگر بهنگام شده که قادر به بررسی دقيق سيستمهای DNS بمنظور تشخيص نقاط آسيبپذيراست، نيز استفاده گردد.
1.3. نحوهي حفاظت در مقابل نقطهي آسيبپذير
بمنظور حفاظت در مقابل نقاط آسيب پذير مرتبط با BIND موارد زير پيشنهاد میگردد:
غير فعال نمودن BIND deamon (به آن named نيز اطلاق میگردد) بر روی سيستمهائی که بعنوان يک سرويسدهنده DNS در نظر گرفته نشدهاند. بمنظور پيشگيری از اعمال برخی تغييرات خاص (نظير فعال نمودن مجدد آن)، میتوان نرمافزار BIND را از روی اينگونه سيستمها حذف نمود.
بمنظور بهنگامسازی سرويسدهندهي DNS، از تمامی Patchهای ارائهشده توسط توليدکنندگان استفاده و در صورت امکان آن را به آخرين نسخهي موجود ارتقاء دهيد. برای دريافت اطلاعات تکميلی در رابطه با نصب مطمئنتر BIND، از مقالات ارائه شده درسايت CERT و بخش UNIX SecurityChecklist، استفاده نمائيد.
اسلاید 8 :
بمنظور پيچيدهتر نمودن حملات اتوماتيک و يا پويش سيستم مورد نظر، Banner مربوط به "Version Stringبرای نقطهي آسيبپذير DoS در رابطه با ISC BIND 9 از آدرس http//www.cert.org/advisories/CA-2002-15.html استفاده گردد.
چندين نقطه آسيبپذير DoS در رابطه با ISC BIND 8 از آدرس http://www.isc.org/products/BIND/bind-security.html استفاده گردد.
برای آگاهی و استفاده از پيشنهادهاي لازم بمنظور نصب ايمنتر BIND بر روی سيستمهای سولاريس، میتوان از آدرس Running the BIND9 DNS Server Securely و آرشيو مقالات ارائه شده در آدرس Afentis استفاده نمود.
" را از BIND حذف و نسخهي واقعی BIND را با يک شماره نسخهي غيرواقعی در فايل named.conf، جايگزين نمائيد.
امکان ارسال انتقالات Zone را صرفاً برای سرويسدهندگان ثانويه DNS در Domain فراهم نمائيد (secondary DNS servers). امکان انتقالات Zone در ارتباط با Domainهای Parent و Child را غير فعال و در مقابل از امکان Delegation (واگذاری مسئوليت) و فورواردينگ (Forwarding) استفاده نمائيد.
امکان Recursion و glue fetching را بمنظور حفاظت در مقابل عملکرد ناصحيح DNS Cache، غير فعال نمائيد.
اسلاید 9 :
بمنظور حفاظت در رابطه با استفاده از "named" و تحت تاثير قراردادن تمامی سيستم، BIND را محدود نمائيد. بنابراين BIND بعنوان يک کاربر non-privilage در دايرکتوری Chroot اجراء میگردد. برای نسخهي شمازه نه BIND از آدرس http://www.losurs.org/docs/howto/Chroot-BIND.html استفاده نمائيد.
بمنظور حفاظت در مقابل حملات اخير و مرتبط با نقاط آسيبپذير کشفشده BIND میتوان از منابع زير استفاده نمود:
برای نقطهي آسيبپذير DoS در رابطه با ISC BIND 9 از آدرس http//www.cert.org/advisories/CA-2002-15.html استفاده گردد.
چندين نقطه آسيبپذير DoS در رابطه با ISC BIND 8 از آدرس http://www.isc.org/products/BIND/bind-security.html استفاده گردد.
برای آگاهی و استفاده از پيشنهادهاي لازم بمنظور نصب ايمنتر BIND بر روی سيستمهای سولاريس، میتوان از آدرس Running the BIND9 DNS Server Securely و آرشيو مقالات ارائه شده در آدرس Afentis استفاده نمود.
اسلاید 10 :
- دومين نقطهي آسيبپذير: (Remote Procedure Calls (RPC
با استفاده از RPC برنامههای موجود بر روی يک کامپيوتر قادر به اجرای روتينهائی در کامپيوتر دوم از طريق ارسال داده و بازيابی نتايج میباشند. با توجه به جايگاه عملياتی RPC، استفاده از آن بسيار متداول بوده و درموارد متعددی از آن بمنظور ارائه سرويسهای توزيعشده شبکه نظير مديريت از راه دور، اشتراک فايل NFS و NIS استفاده میگردد. وجود ضعفهای امنيتی متعدد در RPC باعث بهرهبرداری مهاجمان بمنظور انجام حملات مختلفی شده است. دراکثر موارد، سرويسهای RPC با مجوزهای بيش از حد معمول، اجراء میگردند. بدين ترتيب يک مهاجم غيرمجاز قادر به استفاده از سيستمهای آسيبپذير در جهت اهداف خود خواهد بود. اکثر حملات از نوع DoS در سال 1999 و اوايل سال 2000 در ارتباط با سيستمهائی بود که دارای ضعف امنيـتی و نقظهي آسيبپذير RPC بودند. مثلاً حملات گسترده و موفقيتآميز در رابطه با سيستمهای نظامی امريکا، بدليل نقطهي آسيبپذير RPC کشف شده در صدها دستگاه کامپيوتر مربوط به وزارت دفاع امريکا بوده است. اخيراً نيز وجود يک ضعف امنيتی DCOM RPC در ويندوز، باعث انتشار گستردهي يک کرم در سطح اينترنت گرديد.