امنیت سرور ( قسمت 3 )
حسابرسی خدمات
تا اینجا، در مورد تکنولوژی هایی صحبت کردیم که برای افزایش امنیت می توانید از آنها استفاده کنید. هرچند، بخش بزرگی از امنیت ، تجزیه و تحلیل سیستم ها، یافتن سطوح حمله قابل دسترس و برقراری امنیت اجزا به بهترین نحو ممکن است.
حسابرسی سرویس ها فرآیند یافتن سرویس هایی است که روی سرورهای زیرساخت شما اجرا می شوند. در اغلب موارد، سیستم عامل پیش فرض طوری پیکربندی شده است که سرویس های خاصی را هنگام بوت اجرا کند. گاهی اوقات نصب نرم افزار اضافی می تواند باعث اجرای فرآیند های وابسته ای می شود که به صورت خودکار شروع به کار می کنند.
حسابرسی سرویس ها راهی برای دانستن اینست چه سرویس هایی در سیستم شما اجرا می شود، از کدام پورت ها برای ارتباط استفاده می شود، و چه پروتکل هایی پذیرفته می شوند. این اطلاعات می تواند در تنظیم فایروال به شما کمک کنند.
جهت دریافت مشاوره رایگان از کارشناسان ویستا در خصوص امنیت سایت و سرور کلیک کنید.
حسابرسی سرویس ها چگونه امنیت را افزایش می دهد؟
سرورها فرآیندهای زیادی را برای اهداف داخلی و برای رسیدگی به کلاینت های خارجی آغاز می کنند. هر یک از این فرآیند ها یک سطح حمله گسترش یافته در اختیار کاربران مخرب می گذارد. هرچقدر سرویس هایی بیشتری روی سرور در حال اجرا باشد، احتمال آسیب پذیری نرم افزار قابل دسترس شما بیشتر است.
هر وقت لیست سرویس های شبکه ای که باید روی ماشین شما اجرا شود را به دست آوردید، شروع به تجزیه و تحلیل این سرویس ها کنید. برخی از سوالاتی که می توانید در مورد هر یک از این سرویس ها از خود بپرسید عبارتند از:
آیا این سرویس حتما باید اجرا شود؟
آیا سرویس روی رابط هایی در حال اجراست که نیازی به آن ندارند؟
آیا بهتر نیست به یک IP تک اختصاص داده شود؟
آیا قوانین فایروال شما طوری تنظیم شده اند که اجازه عبور ترافیک قانونی را به این سرویس بدهند؟
آیا قوانین فایروال شما ترافیک غیر قانونی را مسدود می کنند؟
آیا شما روشی برای دریافت هشدارهای امنیتی در مورد آسیب پذیری هر یک از سرویس های خود را دارید؟
این نوع از حسابرسی سرویس ها باید هنگام تنظیم هر سرور جدید در زیرساخت شما، به طور استاندارد اجرا شود.
پیاده سازی حسابرسی سرویس ها چقدر پیچیدگی دارد؟
انجام حسابرسی سرویس پایه، فوق العاده ساده است. با استفاده از دستور netstat می توانید ببینید که چه سرویس هایی از کدام پورت های رابط کاربری استفاده می کنند. در زیر مثال ساده ای می بینید که نام برنامه، PID و آدرس هایی که برای گوش دادن به ترافیک TCP و UDP استفاده می شوند، را نشان می دهد:
ستون های اصلی حتما باید به آنها توجه داشته باشید، Proto، Local Addressو PID/Program name است. اگر آدرس ۰٫۰٫۰٫۰ باشد، پس این سرویس اتصالات در تمام رابط ها را می پذیرد.
جهت دریافت مشاوره رایگان از کارشناسان ویستا در خصوص امنیت سایت و سرور کلیک کنید.
حسابرسی فایل و سیستم های تشخیص نفوذ
حسابرسی فایل، فرآیند مقایسه سیستم فعلی در برابر یک رکورد از فایل ها و
ویژگی های فایل سیستم شماست وقتی که درحال خوب خود قرار داشته است .
این کار برای تشخیص تغییرات سیستم استفاده می شود که ممکن است مجاز باشد.
یک سیستم تشخیص نفوذ، یا IDS، بخشی از یک نرم افزار است که بر سیستم یا شبکه از لحاظ فعالیت های غیر مجاز دارد.
بسیاری از نسخه های IDS مبتنی بر هاست از حسابرسی فایل به عنوان یک روش برای بررسی اینکه آیا سیستم تغییر کرده است یا نه استفاده می کنند.
حسابرسی فایل و سیستم های تشخیص نفوذ چگونه امنیت را افزایش می دهد؟
همانند حسابرسی سطح سرویس فوق ، اگر شما در مورد تضمین امنیت سیستم جدی هستید، اینکه بتوانید حسابرسی سطح فایل سیستم خود را اجرا کنید، بسیار مفید است. این کار می تواند به صورت دوره ای توسط مدیر یا به عنوان بخشی از فرآیندهای خودکار در IDS انجام شود.
این استراتژی ها راه هایی هستند که شما را کاملا مطمئن می کنند، فایل سیستم توسط کاربر یا فرایندی تغییر داده نمی شود. به دلایل بسیار، مزاحمان اغلب تمایل دارند پنهان باقی بمانند تا بتوانند مدت طولانی تری از سرور سوء استفاده کنند. ممکن است نسخه های باینری را با نسخه های خطرناک جایگزین کنند. اگر هر یک از فایل ها تغییر داده شده باشد، حسابرسی فایل سیستم شما را از آن مطلع می کند و شما را لحاظ یکپارچگی محیط سرورتان آسوده خاطر می کند.
پیاده سازی حسابرسی فایل چقدر پیچیدگی دارد؟
پیاده سازی یک IDS یا انجام حسابرسی فایل می تواند فرآیند فشرده ای باشد.
پیکربندی اولیه شامل این می شود که هرگونه تغییر غیر استانداردی که روی سرور ایجاد کردید
به سیستم حسابرسی بگویید و مسیرهایی که باید برای ایجاد خط مشی اصلی حذف شوند را تعریف کنید.
همچنین این کار عملیات روزانه بیشتری را درگیر می کند. و روال های به روز رسانی
را پیچیده تر می کند، چون قبل از به روز رسانی باید سیستم را مجددا بررسی کنید و
بعد از به روز رسانی هم برای اعمال تغییرات به نسخه های جدید نرم افزار، پایگاه اولیه
را دوباره بسازید. همچنین باید گزارش را به مکان دیگری بفرستید تا نفوذگر نتواند حسابرسی
را برای پوشش دادن اهداف خود تغییر دهد.
درحالی که ممکن است این کار بار مدیریتی شما را افزایش دهد، قابلیت چک کردن
سیستم در برابر یک کپی خوب و شناخته شده یکی از معدود راه های تضمین عدم
دستکاری فایل ها بدون اطلاع شماست. برخی از سیستم های حسابرسی فایل
و تشخیص نفوذ فایل های رایج و محبوب Tripwire و Aide هستند.
جهت دریافت مشاوره رایگان از کارشناسان ویستا در خصوص امنیت سایت و سرور کلیک کنید.
محیط های اجرایی جداگانه
جداسازی محیط های اجرایی به هر روشی اطلاق می شود که در آن اجزای مجزا در فضای اختصاصی خود اجرا می شوند
این روش می تواند به معنای منحصر کردن اجزای اجرایی گسسته شما به سرورهای خودشان باشد یا ممکن است به پیکربندی سرویس ها برای کار در محیط ها یا ظروف chroot اشاره کند. سطح انزوا به شدت به نیازهای برنامه و واقعیت زیرساخت شما وابسته است.
محیط های اجرایی جداگانه چگونه باعث افزایش امنیت می شود؟
منحصر کردن فرآیندها به محیط های اجرایی مجزا، توانایی شما را برای جلوگیری از بروز هرگونه مشکل امنیتی که ممکن است بوجود آید، افزایش می دهد. دقیقا شبیه دیوار ها و محفظه ها که قسمت های مختلف کشتی را درمقابل حریق محافظت می کنند، جدا کردن اجزای سیستم از هم، می تواند دسترسی یک مزاحم را به دیگر بخش های زیرساخت شما محدود کند.
پیاده سازی محیط اجرایی جداگانه تا چه حد سخت و پیچیده است ؟
بسته به نوع جداسازی که انتخاب می کنید، تقسیم برنامه ها به همان نسبت ساده می شود.
با اختصاص اجزای منحصر به فرد به محفظه ها ، به سرعت معیار های جداسازی دستتان می آید.
اما توجه داشته باشید که Docker کانتینرینگ خود را به عنوان یک ویژگی امنیتی در نظر نمی گیرد.
ایجاد یک محیط chroot برای هر قطعه می تواند بخشی از فرآیند جداسازی را فراهم کند،
اما این روش ، راه بدون خطایی برای جداسازی نیست، بطوریکه همیشه راه هایی برای
شکستن مرز امنیتی یک محیط chroot وجود دارد. اجزای متحرک ماشین های اختصاصی
بهترین سطح جداسازی هستند و در بسیاری موارد ممکن است ساده ترین راه نیز باشند
ولی ممکن است برای ماشین های اضافی هزینه بیشتری داشته باشند.