موضوع امنيت براي مديران شبکه هاي کامپيوتري اهميتي دو چندان دارد. دست يابي به امنيت بالا، يک نبرد مداوم و بي پايان براي حصول اطمينان از نصب آخرين به روز رساني ها، همراه با به روز بودن دانش در زمينه آشنايي با تمام تهديدات امنيتي است. اولين قدم براي تامين امنيت مناسب سرور، برنامه ريزي است. اگر شما به عنوان مدير يا کارشناس شبکه از ويندوز سرور 2003 استفاده مي کنيد، مي توانيد از راهنمايي هاي اين مقاله براي حصول اطمينان از دست يابي و تضمين امنيت حرفه اي خود بهره ببريد.
درباره بالا بردن امنيت ويندوز سرور 2003 کتاب هايي قطور نوشته شده. پس واقعا سخت است که بخواهيم در يک مقاله اي 2500 کلمه اي وارد جزئياتي شويم که در مورد هر کدام مي توان ده ها صفحه مطلب نوشت. در اين مورد ، تصميم گرفتيم تمرکز اين مقاله را بر روي بعضي از تکنيک هاي کمتر شناخته شده افزايش ضريب امنيت قرار دهيم. اين تکنيک ها به هيچ وجه قرار نيست جايگزين اصول شود. اما زماني که با تکنيک هاي امنيتي استاندارد همراه شوند، مي توانند به شما براي ساخت يک شبکه بسيار امن کمک شاياني نمايند. براي کسب اطلاعات در مورد ملزومات اساسي، توصيه مي کنيم Microsoft's Windows Server 2003 Security Guide را مطالعه کنيد .

محافظت از مکانيسم هاي تاييد هويت (authentication)
 

يک ضرب المثل قديمي مي گويد: «قدرت يک زنجير، تنها به اندازه استحکام ضعيف ترين حلقه اش است». درستي اين جمله را به خصوص وقتي در مي يابيم که صحبت از زنجيره اي از مکانيسم هاي امنيتي شبکه است. من افراد زيادي را مي شناسم که ساعت هاي بي شماري صرف مي کنند تا مطمئن شوند هر بسته ديتا که در سراسر شبکه تبادل مي شود ، رمز نگاري شده و هويتش تاييد شده باشد. يا اينکه تمام فايل هاي روي هاردديسک سرور، اجازه دسترسي صحيح را داشته باشند. اينگونه اقدامات البته مهم هستند ، اما واقعيت اين است که اکثريت قريب به اتفاق هک ها از طريق اکانت کاربران عادي و قانوني شبکه اتفاق مي افتد.

نام هاي کاربري و رمزهاي عبور
 

در اکثر شبکه ها ، حساب هاي کاربري، تا حد زيادي ضعيف ترين بخش از زيرساخت هاي امنيتي شبکه به شمار مي روند. هکر تنها نياز به دانستن دو نوع اطلاعات دارد (نام کاربري و رمزعبور) آنگاه قادر به دسترسي به هر چيزي در کل شبکه شما خواهد بود! مطمئنا رمزنگاري تمامي بسته هاي(packets) اطلاعات هنگام تبادل در شبکه، کمک خوبي خواهد بود که جلوي هکرها را براي دسترسي و کشف رمزهاي عبور بگيرد. اما راه هاي زياد ديگري وجود دارد که هکرها مي توانند رمزهاي عبور را به دست آورند.
يکي از قديمي ترين روش هاي دستيابي به رمزعبور هنوز هم اين روزها جواب مي دهد. اين روش قديمي، روش حملات آزمون و خطا است (brute force crack) . همانطور که گفتيم: هکرها بايد حداقل يک نام کاربري و رمزعبور به منظور دسترسي کامل به منابع شبکه داشته باشند. البته ، مايکروسافت به اندازه کافي براي تقديم نام کاربري شما به هکرها دست و دلباز بوده! يعني همه مي دانند که اين نام کاربري چيزي نيست جز Administrator. اين بدان معني است که هکرها فقط نياز به کشف کردن رمز عبور به منظور دسترسي به شبکه و سوء استفاده از آن دارند.
مايکروسافت به شدت توصيه مي کند که شما نام کاربري حساب را از Administrator تغيير دهيد تا هکرها آن را ندانند. مشکل اين است که حتي اگر شما نام کاربري را تغيير دهيد، SID (security identifier) (شناسه امنيتي) حساب دست نخورده باقي مي ماند. از آنجا که مايکروسافت SID خاصي براي حساب کاربري Administrator استفاده مي کند ، براي يک هکر نسبتا آسان است از طريق بررسي SID بفهمد نام کاربري به چه چيزي تغيير پيدا کرده است. در واقع، حتي برنامه هايي با رابط کاربري گرافيکي وجود دارد که به طور خودکار مي تواند به شما بگويد حساب مدير از چه نام کاربري استفاده مي کند!
علي رغم امکان استفاده از چنين برنامه هايي، هنوز هم پيشنهادمان تغيير نام کاربري حساب مدير است. زيرا انجام اين کار ممکن است از حملات هکرهاي غير حرفه اي و تازه کار جلوگيري کند. علاوه بر اين، فرآيندهاي امنيتي ديگر، مانند فايروال و سطح رمزگذاري بسته ها، ممکن است کمک مناسبي در جلوگيري از عملکرد درست برنامه هاي نشان دهنده نام کاربري باشند.
بياييد براي لحظه اي فرض کنيم که يک هکر مي داند امکانات امنيتي شما چگونه کار مي کنند و در چه سطحي هستند و بتواند به سرعت نام کاربري Administrator شما را کشف کند. پس حالا نياز به پيدا کردن رمزعبور دارد. اين همان جايي است که حملات بي رحم که قبلا ذکر کرديم وارد ميدان مي شوند. ويندوز به گونه اي طراحي شده که حساب کاربري Administrator قفل يا مسدود نمي شود. اين بدان معني است که هکر قادر به انجام حملات ازمون و خطا براي شکستن رمز بدون ترس از قفل شدن حساب (در صورت وارد کردن رمزهاي عبور اشتباه)مي باشد.
به طور معمول ، وسيله دفاعي شما در برابر چنين حملاتي تغيير دوره اي رمزعبور و بررسي و کنترل گزارش هاي ورود به سيستم (لاگ ها) است. براي هکر زماني زيادي وقت مي برد تا رمزعبور پيچيده اي که شما انتخاب کرده ايد را کشف کند. همچنين قبل از آنکه هکر موفق شود با آزمون و خطا هر حالت امکان پذير از رمزعبور را امتحان کند تا عبارت صحيح را کشف کند، شما بايد رمزعبور را عوض کنيد. اگر شما لاگ ها را مرتب کنترل کنيد، در صورت بروز چنين حملاتي متوجه تعداد بسيار بالايي از تلاش ناموفق ورود خواهيد شد.

تغيير نام Administrator
 

با اين حال، چيزي که بسياري از افراد درک نمي کنند اين است که راهي ديگر هم براي دفاع از خود در برابر اين نوع حمله وجود دارد. با اين حال ، روشي که ما در اينجا به شما نشان دهيم مي تواند بسيار خطرناک باشد و شما بايد به دقت تأثيرات آن را پيش از استفاده از آن در نظر داشته باشيد.
بر خلاف نسخه هاي ديگر ويندوز سرور، ويندوز سرور 2003 به شما اجازه مي دهد تا به صورت دستي حساب کاربري Administrator را غيرفعال کنيد. بنابراين شما مي توانيد به ديگر حساب هاي کاربري اختيارات مديريتي داده و سپس حساب Administrator را غيرفعال کنيد. به اين ترتيب، اگر هکر موفق شود به نام کاربري حساب Administrator دست يابد، برايش بي فايده است، چون اين حساب غيرفعال شده.
اما اين روش قدري خطرناک است. زيرا اگر شما حساب کاربري جايگزين را به درستي و به شکل مناسب تنظيم نکنيد، ممکن است خودتان بطور دائم از انجام کارهاي و دسترسي هاي ضروري يک مدير سيستم محروم شويد. همچنين بايد در ذهن داشته باشيد که حساب جايگزين شما در صورتي که کسي تلاش کند با آزمون و خطا رمزش را کشف کند، با چند بار آزمون و خطا قفل مي شود. بنابراين کسي خارج از شبکه شما به عمد مي تواند با وارد کردن رمزهاي عبور نادرست در حساب جايگزين آن را قفل کرده و براي شما دردسر بزرگي درست کند. اگر چنين اتفاقي افتاد، تنها راهي که شما مي توانيد به شبکه خود برگرديد، انجام بازيابي اکتيو دايرکتوري معتبر(authoritative Active Directory restore) است و حتي اگر نرم افزار پشتيبان گير شما نياز به شناسايي هويت شما داشته باشد، ممکن است قادر به انجام اين کار نباشيد.

مديريت امنيتي حساب ها (SAM )
 

اگر سروري مجبور به تأييد هويت کاربر باشد، سرور بايد رمزعبور کاربر را بداند (در خود ذخيره داشته باشد) تا بتواند رمزعبور ورودي را با رمزعبور ذخيره شده در خود مقايسه کند. هر کامپيوتري که ويندوز 2000 ، ايکس پي يا 2003 را اجرا مي کند، در بخش مديريت امنيتي حساب ها (Security Accounts Manager يا به اختصار SAM) رمزهاي عبور کاربر را نگهداري مي کند.
از نظر فني، SAM خودش حاوي رمزعبور نيست. رمزعبور ريز ريز شده، و پس از آن هر جز رمزنگاري شده و در نهايت درون SAM ذخيره مي شود. وقتي که در يک نگاه کلي در مورد روشي که ويندوز به ذخيره کلمه عبور مي پردازد نگاه مي کنيد، آن را روشي نسبتا امن و غير قابل نفوذ مي يابيد. اما در عمل يک سري مشکلات در نحوه ذخيره سازي وجود دارد. براي نمونه، کليد رمزگذاري درست همراه با جزءهايي که توسط کليد کدگذاري شده اند، بر روي سرور ذخيره مي شوند. نکته بدتر اين است که الگوريتم خردکردن، نسبتا به خوبي شناخته شده است. در واقع برنامه هايي در دسترس هستند که اجازه خواهد داد هر کسي که به رايانه دسترسي فيزيکي داشته باشد، به تنظيم مجدد رمزعبور بدون دانستن هر نوع اعتبار ورود به سيستم بپردازد. برنامه هاي کاربردي «بازيابي رمزعبور» هم وجود دارند که گفته مي شود به طور مستقيم قادر به بازيابي رمزهاي عبور از پايگاه داده SAM مي باشند!
به طور طبيعي ، خط مقدم دفاع در برابر چنين سوء استفاده اي آن است که سرور خود را در مکاني با امنيت فيزيکي کافي و با قفل و بست محکم قرار دهيد، تا از دسترسي فيزيکي هر شخص غير مجازي به آن جلوگيري کنيد. اگر جلوگيري از دسترسي فيزيکي محلي که در آن کار مي کنيد غير ممکن بود، يا اگر شما تمايل داريد باز هم سطح امنيتي را بالاتر ببريد، روشي وجود دارد که مي توانيد با استفاده از آن کليد رمزنگاري را از سرور به هر مکان امني که مدنظرتان است منتقل کنيد.
قبل از آنکه توضيح دهيم که چگونه اين امر تحقق مي يابد، لازم است به شما هشدار دهيم که اين يکي ديگر از روش هاي خطرناک و پر ريسک امنيتي است. هنگامي که کليد رمزنگاري را قفل مي کنيد، با دو مشکل بالقوه روبرو هستيد. اول اينکه اگر شما کليد رمزنگاري را روي يک فلاپي ديسک (يا هر حافظه قابل حمل ديگري) بريزيد، وقتي سرور بوت مي شود از شما فلاپي ديسک مي خواهد. اگر شما ديسک را به هر دليلي از دست دهيد و يا اگر ديسک آسيب ببيند و يا غير قابل خواندن شود، سرور بالا نمي آيد. عيب ديگر اين روش آن است که شما توانايي راه اندازي مجدد سيستم سرور از راه دور را از دست مي دهيد، چون سرور شما بدون قرار دادن ديسک بوت نمي شود.
گزينه ديگر که شما با ان مواجه ايد به رمز در آوردن کليد رمزنگاري است. اين روش شامل تخصيص يک کلمه عبور به کليد رمزنگاري است. هنگامي که شما سرور را بوت مي کنيد، نياز به وارد کردن رمزعبور خواهيد داشت. به محض انجام اين کار ، ويندوز کليد رمزنگاري را رمزگشايي مي کند، که به ويندوز اجازه مي دهد به پايگاه داده SAM دسترسي داشته باشد. به نظر من، اين تکنيک کمي امن تر از قرار دادن کليد رمزنگاري روي فلاپي ديسک يا حافظه هاي جانبي است، اما هنوز هم خطرات خاص خودش را دارد. اگر شما رمزعبور خود را فراموش کنيد، سرور غير قابل بوت خواهد شد. به همين ترتيب ، شما به طور بالقوه توانايي راه اندازي مجدد سرور از راه دور را بسته به طيف قابليت هاي نرم افزارهاي کنترل از راه دور از دست خواهيد داد. اگر تصميم به محافظت از کليد رمزنگاري گرفتيد، مرکز آموزش مايکروسافت (Microsoft Knowledgebase) حاوي مقاله بسيار خوبي است که چگونگي انجام اين کار را توضيح مي دهد.

روش رمزگذاري اطلاعات را هوشمندانه انتخاب کنيد
 

يک کار ديگر که مي توانيد انجام دهيد تا از روند تأييد هويت به شيوه ي امن مطمئن شويد، استفاده از روش هاي چندگانه تأييد هويت است. سه چيز را مي توان براي تأييد هويت يک کاربر مورد استفاده قرا داد. مي توانيد از ويژگي که مشخصه فرد هست ، يا ويژگي که فرد آن را دارد، يا چيزي که فرد آن را مي داند استفاده کنيد. رايانه تحت ويندوز به طور معمول تنها از يکي از سه شيوه تأييد هويت استفاده مي کند. آزمون مورد استفاده توسط ويندوز چيزي است که فرد مي داند(شيوه سوم) که البته ترکيب نام کاربري / رمز عبور است.

تاييد هويت دوگانه (Dual authentication )
 

شما مي توانيد با استفاده از حداقل دو روش تاييد هويت کاربران شبکه، به سطح امنيت بسيار بيشتري نائل شويد. از آنجا که ويندوز پيش از اين براي تاييد هويت از چيزي که کاربر مي دانست استفاده مي کرد، شما مي توانيد مشخصه حياتي کاربر (biometrics) و يا چيزي که کاربر مالک آن است (مانند کارت هوشمند) را به روش اولي احراز هويت اضافه کنيد.

فناوريهاي تشخيص هويت بيومتريک چگونه کار ميکنند؟
 

سطوح دسترسي
 

تا به اين جا، در درجه اول در مورد روش هاي مختلفي که شما مي توانيد با استفاده ازآن، امنيت مرتبط با رمزهاي عبور کاربر را ارتقاء دهيد صحبت کرديم. در هنگام طراحي شبکه امن، شما بايد به وضوح مشخص کنيد آنچه که کاربران امکان دسترسي به آنها را در هنگام ورود دارند و آنچه اجازه ندارند چه چيزهايي است.
استاندارد فعلي براي دسترسي مجاز کاربر اين است که کاربران بايد مجموعه اي از کمترين اجازه هاي ممکن را داشته باشند، که تنها شامل اجازه انجام کارهاي معمولي تعريف شده است.
موثرترين راه براي اختصاص اين مجوز ها تقريبا هميشه از طريق گروه هاي امنيتي است. به عنوان مثال ، فرض کنيد که شما چند کاربر داريد که نياز به دسترسي به بانک اطلاعاتي حقوق و دستمزد شرکت دارند. به جاي اعطاي اجازه دسترسي به تمام کاربران در سطح NTFS ، شما بايد گروهي را فقط و فقط براي کاربراني که نياز به دسترسي به بانک اطلاعاتي حقوق و دستمزد دارند ايجاد نموده و تنها مجوز را به اين گروه اختصاص بدهيد، نه تمام کاربران شبکه. انجام اين کار مديريت شبکه را بسيار آسانتر مي کند. اگر کسي شما را بازخواست کند که کدام کاربران به بانک اطلاعاتي حقوق و دستمزد دسترسي دارند، شما به سادگي مي توانيد اعضاي گروه ايجاد شده را براي او مشخص کنيد، به جاي اينکه مجبور شويد به رديابي کليه افرادي که مجوز داشته اند(در حالتي که همه اين مجوز را داشته باشند) بپردازيد.
همانطور که شما طرحي براي ساختار امنيتي شبکه خود مي ريزيد، توصيه ميکنم ايجاد گروه ها با سطوح دسترسي متفاوت و طراحي ساختار پوشه سرور به گونه اي که هيچ همپوشاني بين گروه ها وجود نداشته باشد را از ياد نبريد. براي مثال تصور کنيد که هر کدام از کارمندان بخش امور مالي نيازمند دسترسي به بانک اطلاعاتي حقوق و دستمزد باشند، اما تعداد کمي از کارمندان خارج بخش مالي نيز نياز به دسترسي به اين اطلاعات دارند. به شکل تئوري مي توانيد پوشه اي به نام «امور مالي» ايجاد کرده و مجوز دسترسي به اطلاعات اين پوشه را به گروه اعطا کنيد. بعد از آن مي بايستي پوشه اطلاعات حقوق و دستمزد را درون پوشه امور مالي قرار داده و يک گروه حقوق و دستمزد ايجاد کنيد. با انجام اين کار ، هر عضو گروه حقوق و دستمزد و هر عضو گروه امور مالي به اطلاعات حقوق و دستمزد دسترسي خواهد داشت.
اگر چه اين ترتيب از نظر فني به درستي کار مي کند، اما ايده خوبي نيست که ساختار پوشه خود را به اين شکل پيکربندي کنيد. زيرا به مرور با رشد شبکه، مديريت آن دشوارتر مي شود. اگر کسي از مديران از شما بپرسد که دقيقا چه کساني به اطلاعات حقوق و دستمزد دسترسي دارند، به جاي بررسي تک گروه، مجبور خواهيد بود تمامي اعضاي گروه حقوق و دستمزد و گروه امور مالي را چک کنيد. البته هميشه نمي توان جلوي تداخل دسترسي ها و دوباره کاري را گرفت، به ويژه هنگامي که افراد مختلف نياز به سطوح مختلفي از دسترسي به يک پوشه داشته باشند. اما اگر از تداخل دسترسي ها جايي که ممکن است جلوگيري کنيد، کار شما بسيار ساده تر خواهد شد.

اکتيو دايرکتوري(Active Directory )
 

يک ترفند امنيت ديگر هم است که در آخر اين مقاله مي خواهيم به آن بپردازيم. در طول اين مقاله، در مورد راه هاي احراز هويت که مي تواند برقرار شود و چگونه گروه ها مي توانند براي امنيت مطلوب پيکربندي شوند صحبت کرديم. همه اين اطلاعات در داخل اکتيو دايرکتوري نگهداري مي شود. اذعان مي کنيم اکتيو دايرکتوري ساده ترين چيز در جهان براي هک کردن نيست، بلکه پايگاه داده اکتيو دايرکتوري هدفي وسوسه انگيز است. زيرا از فايل هاي به سادگي قابل تشخيص تشکيل شده(NTDS.DIT ، EDB.LOG و TEMP.EDB) و اين فايل ها در محل قابل پيش بيني قرار دارند (معمولا C:\Windows\NTDS).
آن چه بسياري از کاربران نمي دانند اين است که شما مي توانيد تنها با جابجايي پايگاه داده اکتيو دايرکتوري به محلي دور از انتظار کار هکرها را بسيار مشکل تر کنيد. انتقال پايگاه داده ها کاري ساده است، هرچند که نياز به راه اندازي مجدد سرور است. دستگاه سرور را در حالت بازيابي اکتيو دايرکتوري (Active Directory Restore) بوت کرده و پس از آن دستور NTDSUTIL را پس از فرمان فايلها وارد کنيد. حال، تنها از دستورات MOVE DB TO يا MOVE LOGS To براي انتقال فايل هاي پايگاه داده و فايلهاي لاگ به محل جديد استفاده نماييد.

اصول آموزش داده شده را به کار بگيريد
 

اگر چه تکنيک هاي استاندارد بسياري براي ايجاد شبکه هاي امن وجود دارد، اغلب بهتر است از روش هاي ابتکاري و جديدي براي مقابله با هکرها به جاي استفاده از اصول اکادميک و کتابي بهره برد. در اين مقاله ، به شما تکنيک هاي امنيتي متعددي نشان داديم که مي توانيد از آنها براي داشتن ويندوز سرور امن تري استفاده کنيد.
http://negahbaan.com
ارسال توسط کاربر محترم سايت : hasantaleb