|  12/12/2018 - چهارشنبه 21 آذر 1397
Menu
نوع جستجو را انتخاب کنید.
  • سایت
  • وب
جستجو
بایگانی اطلاعات > مشاهده

پروکسی سرور Proxy server (ابراهیم عباسپور )


 

به نام خدا

پروکسی سرورProxy server

استاد دکتر ساجدی

ابراهیم عباسپور

سیستم های توزیع شده

زمستان 90

                                                  

با تشکر از :          همه آنانی که ساختن و ساخته شدن را به ما آموختند

 

مقدمه:
در شبکه کامپيوتري براي کاهش پيچيدگي هاي پياده سازي، آن را مدل سازي ميکنند که از جمله ميتوان به مدل هفت لايه Osi و مدل چهار لايه Tcp/ip اشاره نمود. در اين مدلها، شبکه لايه بندي شده و هر لايه با استفاده از پروتکلهاي خاصي به ارائه خدمات مشخصي ميپردازد. مدل چهار لايه Tcp/ip نسبت به Osi محبوبيت بيشتري پيدا کرده است ولي عليرغم اين محبوبيت داراي نقاط ضعف و اشکالات امنيتي است که بايد راهکارهاي مناسبي براي آنها ارائه شود تا نفوذگران نتوانند به منابع شبکه دسترسي پيدا کرده و يا اينکه اطلاعات را بربايند. [1]
شناسائي لايه هاي مدل Tcp/ip، وظايف، پروتکلها و نقاط ضعف و راهکارهاي امنيتي لايه ها در تعيين سياست امنيتي مفيد است اما نکته اي که مطرح است اينست که تنوع شبکه هاي کامپيوتري از نظر معماري، منابع، خدمات، کاربران و مواردي از اين دست، ايجاد سياست امنيتي واحدي را براي شبکه ها غيرممکن ساخته و پيشرفت فناوري نيز به اين موضوع دامن ميزند و با تغيير داده ها و تجهيزات نفوذگري، راهکارها و تجهيزات مقابله با نفوذ نيز بايد تغيير کند.

 

1:کلیاتی در مورد امنیت شبکه

 

1-1: تهديدات عليه امنيت شبکه
تهديدات و حملات عليه امنيت شبکه از جنبه هاي مختلف قابل بررسي هستند. از يک ديدگاه حملات به دو دسته فعال و غير فعال تقسيم مي شوند و از ديدگاه ديگر مخرب و غير مخرب و از جنبه ديگر ميتوان براساس عامل اين حملات آنهارا تقسيم بندي نمود. بهرحال حملات رايج در شبکه ها بصورت ذيل ميباشند :
1- حمله جلوگيري از سرويس (dos):
در اين نوع حمله، کاربر ديگر نميتواند از منابع و اطلاعات و ارتباطات استفاده کند. اين حمله از نوع فعال است و ميتواند توسط کاربر داخلي و يا خارجي صورت گيرد.
2- استراق سمع:در اين نوع حمله، مهاجم بدون اطلاع طرفين تبادل داده، اطلاعات و پيامها را شنود مي کند. اين حمله غيرفعال است و ميتواند توسط کاربر داخلي و يا خارجي صورت گيرد.
3- تحليل ترافيک:
در اين نوع حمله مهاجم براساس يکسري بسته هاي اطلاعاتي ترافيک شبکه را تحليل کرده و اطلاعات ارزشمندي را کسب ميکند. اين حمله يک نوع حمله غير فعال است و اکثرا توسط کاربران خارجي صورت مي گيرد.
4- دستکاري پيامها و داده ها:
اين حمله يک حمله فعال است که در آن مهاجم جامعيت و صحت اطلاعات را با تغييرات غير مجاز بهم مي زند و معمولا توسط کاربر خارجي صورت مي گيرد.
5- جعل هويت:
يک نوع حمله فعال است که در آن مهاجم هويت يک فرد مجاز شبکه را جعل مي کند و توسط کاربران خارجي صورت ميگيرد.

 

1-2: راهکارهاي امنيتي:
در اين بخش سرويس ها، مکانيزم ها و تجهيزات امنيتي نام برده ميشود.
سرويس هاي امنيتي عبارتند از :
1- حفظ محرمانگي: يعني کاربران خاصي از داده بتوانند استفاده کنند.
2- حفظ جامعيت داده: يعني داده ها بدرستي در مقصد دريافت شوند.
3- احراز هويت: يعني گيرنده از هويت فرستنده آگاه شود.
4- کنترل دستيابي مجاز: يعني فقط کاربران مجاز بتوانند به داده ها دستيابي داشته باشند.
5- عدم انکار: يعني فرستنده نتواند ارسال پيام توسط خودش را انکار کند.[i]

                

  

 صفحه 2---------------------------------------------------------------------------------------------

2- پراکسی سرور

در یک تشکیلات که از اینترنت استفاده می‌کند، یک پراکسی سرور ترکیبی از سخت‌افزار و نرم‌افزار است که بعنوان یک واسطه بین کاربر داخلی و اینترنت عمل می‌کند به طوریکه امنیت، نظارت مدیریتی و

سرویس‌های caching تامین می‌شود. یک سرور پراکسی دارای پروتکل مشخصی است،‌ بنابراین برای هرنوع پروتکلی (HTTP، FTP، Gogher و غیره) باید تنظیم شود. پراکسی سرور بعنوان بخشی از یک سرور gateway (نقطه‌ای در یک شبکه که ورودی به شبکه‌ای دیگر است) رفتار می‌کند و می‌تواند برای انجام یک یا چند فانکشن‌ که در بخش بعد به آن اشاره می‌شود، تنظیم

شود.

 

برای محافظت شبکه داخلی یک سازمان از کاربران موجود در اینترنت، سرور پراکسی می‌تواند هویت سیستم‌های متقاضی داخلی را تغییر دهد. اگر منبع (مثلاً صفحه وب یا فایل) تقاضا شده توسط کاربر داخلی سازمان، در cache موجود نباشد، سرور پراکسی برای آن کاربر، بعنوان کلاینت عمل می‌کند و از یکی از آدرس‌های IP خودش برای تقاضای آن منبع از سرور موجود در اینترنت استفاده می‌کند. این آدرس IP «موقت»، آدرسی نیست که واقعاً در شبکه داخلی سازمان استفاده گردد و در نتیجه از بعضی از حمله‌های نفوذگران جلوگیری می‌شود. هنگامی که صفحه تقاضا شده، از طرف سرور روی اینترنت به پراکسی سرور می‌رسد، پراکسی سرور آن را به تقاضای اولیه مرتبط می‌کند و برای کاربر می‌فرستد.

این پروسه تغییر دادن IP باعث می‌شود که تقاضا دهنده اولیه قابل ردیابی نباشد و همچنین معماری شبکه سازمان از دید بیرونی مخفی بماند.

2-1: خدمات Proxy Server

proxy Server سه سرويس در اختيار كاربران خود قرار مي دهد:

1-Web Proxy Service : اين سرويس براي Web Publishing يا همان ايجاد Web Site هاي مختلف درشبكه LAN مفيد مي باشد . براي اين منظور قابليت مهم Reverse Proxing  در نظر گرفته شده است . Reverse Proxing امكان شبيه سازي محيط اينترنت درمحيط داخل مي باشد. به اين ترتيب فرد بدون ايجاد

 

 

 

 

 

 

صفحه 3-----------------------------------------------------------------------------------------------

ارتباط فيزيكي با اينترنت مي تواند برنامه خود را همچنان كه در محيط اينترنت عمل خواهد كرد، تست كرده و مورد استفاده قرا دهد. اين قابليت در بالا بردن سرعت و كاهش هزينه توليد نرم افزارهاي كاربردي تحت اينترنت موثر است.

2-Winsock Proxy Service : منظور، امكان استفاده از API Callهاي Winsock در Windows است . در Windows ، Function Call هاي مورد استفاده در سرويسهاي اينترنت مانند Telnet ، FTP ، Gopher و . . . ، تحت عنوان Winsock Protocols معرفي شده اند. در حقيقت براي استفاده از اين سرويسها در نرم افزارهاي كاربردي نيازي نيست كه برنامه نويس چگونگي استفاده از اين سرويسها را پيش بيني كند.

3-Socks Proxy Service :  اين سرويس، سرويس Socks 4.3a را پشتيباني مي كند كه در واقع زير مجموعه اي از Winsock مي باشد و امكان استفاده از Http 1.02 و بالاتر را فراهم مي كند. به اين ترتيب مي توان در طراحي Website خارج از Firewall ، Security  ايجاد كرد.

 2-2: معایب استفاده از پروکسی

معایب استفاده از پروکسی عبارتند از اینکه برای هر برنامه یک سرویس دهنده نیاز است و لازم است در برنامه سرویس گیرنده تغییراتی داده شود. به عنوان مثال ، یک مرورگر وب برای اینکه بتواند از سرویس دهنده پراکسی استفاده کند باید با آدرس آن پیکربندی شده باشد. در گذشته لازم بود که بدین منظور تک تک مرورگرهای سرویس گیرنده به صورت دستی پیکربندی شوند، ولی در حال حاظر سرویس دهنده های پراکسی وجود دارند که می توانند مرورگر را قادر سازند به صورت خودکار سرویس دهنده را تشخیص دهد و بر اساس آن خود را پیکر بندی نماید.

صفحه 4--------------------------------------------------------------------------------------------

2-3: عملکردهایی که پراکسی سرور می‌تواند داشته باشد

با تعریفی که از یک پراکسی ارائه شد، می‌توان از پراکسی برای بهبود عملکرد یک شبکه استفاده‌هایی کرد که در اینجا به چند مورد آن به اختصار اشاره می‌کنیم:

·   Logging (ثبت کردن)

پراکسی سرور می‌تواند تقاضاها را بهمراه اطلاعات لازم در جایی ثبت کند تا بعداً امکان پیگیری اعمال کاربران داخل سازمان فراهم شود.

·   Firewall (دیواره آتش)

برای سازمانی که فایروال دارد، پراکسی سرور تقاضاهای کاربران را به فایروال می‌دهد که با آنها اجازه ورود یا خروج به شبکه داخلی را می‌دهد.

·   Caching (ذخیره سازی)

سرور پراکسی که عمل caching را انجام می‌دهد، منابعی مانند صفحات وب و فایل‌ها را ذخیره می‌کند. هنگامی که یک منبع مورد دسترسی قرار گرفت، در سرور دخیره می‌شود و تقاضاهای بعدی برای همین منبع مشخص با محتویات cache پاسخ داده می‌شود. این عمل، دسترسی به آن منبع را برای کاربرانی که از طریق پراکسی به اینترنت متصل هستند، سرعت می‌بخشد و از طرفی از ترافیک اینترنت می‌کاهد و اجازه استفاده بهتر از پهنای باند به کاربران داده می‌شود.

·   Filtering (فیلتر کردن)

سرور پراکسی می‌تواند ترافیک وارد شونده و خارج شونده از شبکه را بررسی کند و به آنچه که با معیارهای امنیتی یا سیاست سازمان مغایرت دارد، اجازه عبور ندهد.

·   Authentication (تصدیق هویت)

بسیاری منابع الکترونیکی سازمانی توسط ورود با کلمه رمز یا قرار داشتن در دامنه مشخصی از IP محدود شده‌اند. کاربران دور معمولاً از یک سرویس‌دهنده اینترنت ثالث استفاده می‌کنند که در این صورت این کاربر یا IP کامپیوتر آن برای سازمان معتبر تشخیص داده نمی‌شود. برای کاربرانی که بصورت فیزیکی به شبکه داخلی سازمان متصل نشده‌اند، پراکسی طوری عمل می‌کند که به کاربران دور اجازه ورود موقت داده شود یا به آنها بطور موقت یک IP سازمان تخصیص داده شود که بتوانند به منابع محدود شده دسترسی پیدا کنند.

·   Anonymization (تغییر هویت)

 

 

 

 

 

 صفحه 5--------------------------------------------------------------------------------------------

2-4: پیکربندی مرورگر

·   تعامل کاربر: کاربر باید از ابتدا مرورگر خود را پیکربندی کند که بدین ترتیب نیاز است که اطلاعات را از پشتیبانی فنی سازمان بدست آورد.

·   پیکربندی دستی: در این پیکربندی کاربر باید سروری را که نرم‌افزار پراکسی را اجرا می‌کند، مشخص کند.

 کاربر باید استثنائات هر دامنه‌ای را که می‌تواند بطور مستقیم به آن وصل شود، مشخص کند و به این ترتیب در اتصال به این دامنه‌های مشخص‌شده، پراکسی در مسیر قرار نمی‌گیرد.

·   پیکربندی خودکار: یک فایل تنظیم پیکربندی توسط سازمان که منطق استفاده از پراکسی توسط مرورگر در آن قرار دارد. URL فایل باید در پیکربندی مرورگر وارد گردد. اینکه یک تقاضا از طریق پراکسی مسیریابی شود یا خیر، بستگی به شروط موجود در آن فایل دارد.

 

3- کاربرد پراکسی در امنیت شبکه
بعد از آشنایی با پراکسی به این مطلب می پردازیم که از دیدگاه امنیتی پراکسی چیست و چه چیزی نیست، از چه نوع حملاتی جلوگیری می کند و به مشخصات بعضی انواع پراکسی پرداخته می شود. البته قبل از پرداختن به پراکسی بعنوان ابزار امنیتی، بیشتر با فیلترها آشنا خواهیم شد .

پراکسی چیست؟
در دنیای امنیت شبکه، افراد از عبارت «پراکسی» برای خیلی چیزها استفاده می کنند. اما عموماً، پراکسی ابزار است که بسته های دیتای اینترنتی را در مسیر دریافت می کند، آن دیتا را می سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می دهد. در اینجا از پراکسی به معنی پروسه ای یاد می شود که در راه ترافیک شبکه ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می گیرد و آن را می سنجد تا ببیند با سیاست های امنیتی شما مطابقت دارد و سپس مشخص می کند که آیا به آن اجازه عبور از فایروال را بدهد یا خیر. بسته های مورد قبول به سرور مورد نظر ارسال و بسته های ردشده دور ریخته می شوند .

 پراکسی چه چیزی نیست؟

پراکسی ها بعضی اوقات با دو نوع فایروال اشتباه می  شوند «Packet filter  و  Stateful packet filter» که البته هر کدام از روش ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد.

پراکسی با Packet filter تفاوت دارد

ابتدایی ترین روش صدور اجازه عبور به ترافیک بر اساس TCP/IP این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه قرار می گیرد و اطلاعات آدرس را در header IP ترافیک دیتایی که بین آنها عبور می  کند، پیمایش می کند. اطلاعاتی که این نوع فیلتر ارزیابی می کند عموماً شامل آدرس و پورت منبع و مقصد

می  شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و بر اساس قوانین ایجاد شده توسط مدیر شبکه بسته را می پذیرد یا نمی پذیرد.

 مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که header، تمام آن چیزی است که سنجیده می شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد نمی  بیند و به محتوای آسیب رسان اجازه عبور از فایروال را می دهد. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می کند و وضعیت (State) ارتباط را دنبال نمی کند.

صفحه 6----------------------------------------------------------------------------------------------

 پراکسی با Stateful packet filter تفاوت دارد

این فیلتر اعمال فیلتر نوع قبل را انجام می دهد، بعلاوه اینکه بررسی می کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت (State) شناخته می  شود.

پروتکل ارتباطی TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP عادی، کامپیوتر A سعی می کند با ارسال یک بسته SYN (synchronize) به کامپیوتر B ارتباط را برقرار کند. کامپیوتر B در جواب یک بسته SYN/ACK (Acknowledgement)  برمی گرداند، و کامپیوتر A یک ACK به کامپیوتر ‍B می فرستد و به این ترتیب ارتباط برقرار می شود. TCP اجازه وضعیتهای دیگر، مثلاً   FIN (finish) برای نشان  دادن آخرین بسته در یک ارتباط را نیز می دهد.

هکرها در مرحله آماده سازی برای حمله، به جمع آوری اطلاعات در مورد سیستم شما می پردازند. یک روش معمول ارسال یک بسته در یک وضعیت غلط به منظوری خاص است. برای مثال، یک بسته با عنوان

پاسخ (Reply) به سیستمی که تقاضایی نکرده، می فرستند. معمولاً، کامپیوتر دریافت کننده بیاید پیامی بفرستد و بگوید “I don’t understand” . به این ترتیب، به هکر نشان می دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می  تواند سیستم عامل مورد استفاده را نیز مشخص کند، و برای یک هکر گامی به جلو باشد. یک فیلتر Stateful packet منطق یک ارتباط TCP/IP را می فهمد و می تواند یک “Reply” را که پاسخ به یک تقاضا نیست، مسدود کند ـــ آنچه که یک فیلتر packet ردگیری نمی کند و نمی  تواند انجام دهد. فیلترهای Stateful packet می توانند در همان لحظه قواعدی را مبنی بر اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم تر است. این امنیت محکم تر، بهرحال، تا حدی باعث کاستن از کارایی می شود.  نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می کند.

3-1: پراکسی ها یا Application Gateways

Application Gateways که عموماً پراکسی نامیده می شود، پیشرفته ترین روش استفاده شده برای کنترل ترافیک عبوری از فایروال ها هستند. پراکسی بین کلاینت و سرور قرار می گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرار شده، می سنجد. پراکسی بار واقعی تمام بسته  های عبوری بین سرور و کلاینت را می سنجد، و می  تواند چیزهایی را که سیاستهای امنیتی را نقض می  کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته ها فقط headerها را می سنجند، در حالیکه پراکسی ها محتوای بسته را با مسدود کردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا، ActiveX و ... غربال می کنند.پراکسی ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می  سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی ها می توانند کاراکترهای غیرقانونی یا رشته های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی ها تمام اعمال فیلترهای ذکرشده را انجام می دهند. بدلیل تمام این مزیتها، پراکسی ها بعنوان یکی از امن ترین روشهای عبور ترافیک شناخته می شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته ها را پیمایش می کنند. بهرحال «کندتر» بودن یک عبارت نسبی است. آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه ای است. پراکسی ها باعث کندی سرعت ترافیک در تست های آزمایشگاهی می شوند اما باعث کندی سرعت

 

 

 

 

صفحه 7-----------------------------------------------------------------------------------------------

دریافت کاربران نمی شوند. پراکسی ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی ها می توانند کاراکترهای غیرقانونی یا رشته های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی ها تمام اعمال فیلترهای ذکرشده را انجام می دهند. بدلیل تمام این مزیتها، پراکسی ها بعنوان یکی از امن ترین روشهای عبور ترافیک شناخته می شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته ها را پیمایش می کنند. بهرحال «کندتر» بودن یک عبارت نسبی است . آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست . معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه ای است. پراکسی ها باعث کندی سرعت ترافیک در تست های آزمایشگاهی می شوند اما باعث کندی سرعت دریافت کاربران نمی شوند .

3-2: مزایای پراکسی بعنوان ابزاری برای امنیت

با مسدود کردن روش‌های معمول مورد استفاده در حمله‌ها، هک‌کردن شبکه شما را مشکل‌تر می‌کنند.

· با پنهان کردن جزئیات سرورهای شبکه شما از اینترنت عمومی، هک‌کردن شبکه شما را مشکل‌تر می‌کنند.

· با جلوگیری از ورود محتویات ناخواسته و نامناسب به شبکه شما، استفاده از پهنای باند شبکه را بهبود می‌بخشند.

· با ممانعت از یک هکر برای استفاده از شبکه شما بعنوان نقطه‌ شروعی برای حمله دیگر، از میزان این نوع مشارکت می‌کاهند.

· با فراهم‌آوردن ابزار و پیش‌فرض‌هایی برای مدیر شبکه شما که می‌توانند بطور گسترده‌ای استفاده شوند، می‌توانند مدیریت شبکه شما را آسان سازند.بطور مختصر می‌توان این مزایا را اینگونه بیان کرد؛ پراکسی‌ها به شما کمک می‌کنند که شبکه‌تان را با امنیت بیشتر، موثرتر و اقتصادی‌تر مورد استفاده قرار دهید. بهرحال در ارزیابی یک فایروال، این مزایا به فواید اساسی تبدیل می‌شوند که توجه جدی را می‌طلبند.

                                            

 

 

 

 

 

 

 

 

صفحه 8-----------------------------------------------------------------------------------------------

3-3: برخی انواع پراکسی

تا کنون به پراکسی بصورت یک کلاس عمومی تکنولوژی پرداختیم. در واقع، انواع مختلف پراکسی وجود دارد که هرکدام با نوع متفاوتی از ترافیک اینترنت سروکار دارند. در بخش بعد به چند نوع آن اشاره می‌کنیم و شرح می‌دهیم که هرکدام در مقابل چه نوع حمله‌ای مقاومت می‌کند.البته پراکسی‌ها تنظیمات و ویژگی‌های زیادی دارند. ترکیب پراکسی‌ها و سایر ابزار مدیریت فایروال‌ها به مدیران شبکه شما قدرت کنترل امنیت شبکه تا بیشترین جزئیات را می‌دهد. در ادامه به پراکسی‌های زیر اشاره خواهیم کرد:

 

 

·   SMTP Proxy

·   HTTP Proxy

·   FTP Proxy

·   DNS Proxy

 

 

 

SMTP Proxy1-3-3:

‌پراکسی SMTP (Simple Mail Transport Protocol) محتویات ایمیل‌های وارد شونده و خارج‌شونده را برای محافظت از شبکه شما در مقابل خطر بررسی می‌کند. بعضی از تواناییهای آن اینها هستند:

·   مشخص کردن بیشترین تعداد دریافت‌کنندگان پیام: این اولین سطح دفاع علیه اسپم (هرزنامه) است که اغلب به صدها یا حتی هزاران دریافت‌کننده ارسال می‌شود.

 

 

 

 

 

 

 

صفحه 9-----------------------------------------------------------------------------------------------

·   مشخص کردن بزرگترین اندازه پیام: این به سرور ایمیل کمک می‌کند تا از بار اضافی و حملات بمباران توسط ایمیل جلوگیری کند و با این ترتیب می‌توانید به درستی از پهنای باند و منابع سرور استفاده کنید.

·   اجازه دادن به کاراکترهای مشخص در آدرسهای ایمیل آنطور که در استانداردهای اینترنت پذیرفته شده است: چنانچه قبلاً اشاره شد، بعضی حمله‌ها بستگی به ارسال کاراکترهای غیرقانونی در آدرسها دارد. پراکسی می‌تواند طوری تنظیم شود که بجز به کاراکترهای مناسب به بقیه اجازه عبور ندهد.

·   فیلترکردن محتوا برای جلوگیری از انواعی محتویات اجرایی: معمول‌ترین روش ارسال ویروس، کرم و اسب تروا فرستادن آنها در پیوست‌های به ظاهر بی‌ضرر ایمیل است. پراکسی SMTP می‌تواند این حمله‌ها را در یک ایمیل از طریق نام و نوع، مشخص و جلوگیری کند، تا آنها هرگز به شبکه شما وارد نشوند.

·   فیلترکردن الگوهای آدرس برای ایمیل‌های مقبول\مردود: هر ایمیل شامل آدرسی است که نشان‌دهنده منبع آن است. اگر یک آدرس مشخص شبکه شما را با تعداد بیشماری از ایمیل مورد حمله قرار دهد، پراکسی می‌تواند هر چیزی از آن آدرس اینترنتی را محدود کند. در بسیاری موارد، پراکسی می‌تواند تشخیص دهد چه موقع یک هکر آدرس خود را جعل کرده است. از آنجا که پنهان کردن آدرس بازگشت تنها دلایل خصمانه دارد، پراکسی می‌تواند طوری تنظیم شود که بطور خودکار ایمیل جعلی را مسدود کند.

·   فیلترکردن Headerهای ایمیل: ‌Headerها شامل دیتای انتقال مانند اینکه ایمیل از طرف کیست، برای کیست و غیره هستند. هکرها راه‌های زیادی برای دستکاری اطلاعات Header برای حمله به سرورهای ایمیل یافته‌اند. پراکسی مطمئن می‌شود که Headerها با پروتکل‌های اینترنتی صحیح تناسب دارند و ایمیل‌های دربردارنده headerهای تغییرشکل‌داده را مردود می‌کنند. پراکسی با اعمال سختگیرانه استانداردهای ایمیل نرمال، می‌تواند برخی حمله‌های آتی را نیز مسدود کند.

·   تغییردادن یا پنهان‌کردن نامهای دامنه و IDهای پیام‌ها: ایمیل‌هایی که شما می‌فرستید نیز مانند آنهایی که دریافت می‌کنید، دربردارنده دیتای header هستند. این دیتا بیش از آنچه شما می‌خواهید دیگران درباره امور داخلی شبکه شما بدانند، اطلاعات دربردارند. پراکسی SMTP می‌تواند بعضی از این اطلاعات را پنهان کند یا تغییر دهد تا شبکه شما اطلاعات کمی در اختیار هکرهایی قرار دهد که برای وارد شدن به شبکه شما دنبال سرنخ می‌گردند.

HTTP Proxy:2-3-3

این پراکسی بر ترافیک داخل شونده و خارج شونده از شبکه شما که توسط کاربرانتان برای دسترسی به World Wide Web ایجاد شده،  نظارت می کند. این پراکسی برای مراقبت از کلاینت های وب شما و سایر برنامه ها که به دسترسی به وب از طریق اینترنت متکی هستند و نیز حملات برپایه HTML، محتوا را فیلتر می کند. بعضی از قابلیتهای آن اینها هستند:

·   برداشتن اطلاعات اتصال کلاینت: این پراکسی می تواند آن قسمت از دیتای header  را که نسخه سیستم عامل، نام و نسخه مرورگر، حتی آخرین صفحه وب دیده شده را فاش می کند، بردارد. در بعضی موارد، این اطلاعات حساس است، بنابراین چرا فاش شوند؟

 

 

صفحه 10---------------------------------------------------------------------------------------------

·    تحمیل تابعیت کامل از استانداردهای مقررشده برای ترافیک وب: در بسیاری از حمله ها، هکرها بسته های تغییرشکل داده شده را ارسال می کنند که باعث دستکاری عناصر دیگر صفحه وب می شوند، یا بصورتی دیگر با استفاده از رویکردی که ایجادکنندگان مرورگر پیش بینی نمی کردند، وارد می شوند. پراکسی HTTP این اطلاعات بی معنی را نمی پذیرد. ترافیک وب باید از استانداردهای وب رسمی پیروی کند، وگرنه پراکسی ارتباط را قطع می کند.

·    فیلترکردن محتوای از نوع MIME : الگوهای MIME به مرورگر وب کمک می کنند تا بداند چگونه محتوا را تفسیر کند تا با یک تصویرگرافیکی بصورت یک گرافیک رفتار شود، یا .wav فایل بعنوان صوت پخش شود، متن نمایش داده شود و غیره. بسیاری حمله های وب بسته هایی هستند که در مورد الگوی MIME خود دروغ می گویند یا الگوی آن را مشخص نمی کنند. پراکسی HTTP این فعالیت مشکوک را تشخیص می دهد و چنین ترافیک دیتایی را متوقف می کند.

·   فیلترکردن کنترلهای Java و ActiveX: برنامه نویسان از Java و ActiveX برای ایجاد برنامه های کوچک بهره می گیرند تا در درون یک مرورگر وب اجراء شوند (مثلاً اگر فردی یک صفحه وب مربوط به امور جنسی را مشاهده می کند، یک اسکریپت ActiveX روی آن صفحه می تواند بصورت خودکار آن صفحه را صفحه خانگی مرورگر آن فرد نماید). پراکسی می تواند این برنامه ها را مسدود کند و  به این ترتیب جلوی بسیاری از حمله ها را بگیرد.

·   برداشتن کوکی ها:  پراکسی HTTP می تواند جلوی ورود تمام کوکی ها را بگیرد تا اطلاعات خصوصی شبکه شما را حفظ کند.

·   برداشتن Headerهای ناشناس:  پراکسی HTTP ، از headerهای HTTP که از استاندارد پیروی نمی کنند، ممانعت بعمل می آورد. یعنی که، بجای مجبور بودن به تشخیص حمله های برپایه علائمشان، پراکسی براحتی ترافیکی را که خارج از قاعده باشد، دور می ریزد. این رویکرد ساده از شما در مقابل تکنیک های حمله های ناشناس دفاع می کند.

·   فیلترکردن محتوا: دادگاه ها مقررکرده اند که تمام کارمندان حق برخورداری از یک محیط کاری غیر خصمانه را دارند. بعضی عملیات تجاری نشان می دهد که بعضی موارد روی وب جایگاهی در شبکه های شرکت ها ندارند. پراکسی HTTP سیاست امنیتی شرکت شما را وادار می کند که توجه کند چه محتویاتی مورد پذیرش در محیط کاریتان است و چه هنگام استفاده نامناسب از اینترنت در یک محیط کاری باعث کاستن از بازده کاری می شود. بعلاوه، پراکسی HTTP می تواند سستی ناشی از فضای سایبر را کم کند.

 گروه های مشخصی از وب سایتها که باعث کم کردن تمرکز کارمندان از کارشان می شود، می توانند غیرقابل دسترس شوند.

 

 

 

 

 

 

 

صفحه 11---------------------------------------------------------------------------------------------

 

FTP Proxy:3-3-3  

بسیاری از سازمان ها از اینترنت برای انتقال فایل های دیتای بزرگ از جایی به جایی دیگر استفاده می کنند. در حالیکه فایل های کوچک تر می توانند بعنوان پیوست های ایمیل منتقل شوند، فایل های بزرگ تر توسط FTP (File Transfer Protocol) فرستاده می شوند. بدلیل اینکه سرورهای FTP فضایی را برای ذخیره فایل ها آماده می کنند، هکرها علاقه زیادی به دسترسی به این سرورها دارند. پراکسی FTP معمولاً این امکانات را دارد:

·  محدودکردن ارتباطات از بیرون به «فقط خواندنی»: این عمل به شما اجازه می دهد که فایل ها را در دسترس عموم قرار دهید، بدون اینکه توانایی نوشتن فایل روی سرورتان را بدهید.

·  محدود کردن ارتباطات به بیرون به «فقط خواندنی»:   این عمل از نوشتن فایل های محرمانه شرکت به سرورهای FTP خارج از شبکه داخلی توسط کاربران جلوگیری می کند.

·  مشخص کردن زمانی ثانیه های انقضای زمانی: این عمل به سرور شما اجازه می دهد که قبل از حالت تعلیق و یا Idle request  ارتباط را قطع کند.

·  ازکارانداختن فرمان FTP SITE : این از حمله هایی جلوگیری می کند که طی آن هکر فضایی از سرور شما را تسخیر می کند تا با استفاده از سیستم شما حمله بعدی خودش را پایه ریزی می کند.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

صفحه 12---------------------------------------------------------------------------------------------

                                 

DNS Proxy :4-3-3

DNS (Domain Name Server) شاید به اندازه HTTP  یا SMTP شناخته شده نیست، اما چیزی است که به شما این امکان را می دهد که نامی را مانند http://www.ircert.com  در مرورگر وب خود تایپ کنید و وارد این سایت شوید – بدون توجه به اینکه از کجای دنیا به اینترنت متصل شده اید. بمنظور تعیین موقعیت و نمایش منابعی که شما از اینترنت درخواست می کنید، DNS نام های دامنه هایی را که می توانیم براحتی بخاطر بسپاریم به آدرس IP هایی که کامپیوترها قادر به درک آن هستند،  تبدیل می کند. در اصل این یک پایگاه داده است که در تمام اینترنت توزیع شده است و توسط نام  دامنه ها فهرست شده است.

بهرحال، این حقیقت که این سرورها در تمام دنیا با مشغولیت زیاد در حال پاسخ دادن به تقاضاها برای صفحات وب هستند، به هکرها امکان تعامل و ارسال دیتا به این سرورها را برای درگیرکردن آنها می دهد. حمله های برپایه DNS هنوز خیلی شناخته شده نیستند، زیرا به سطحی از پیچیدگی فنی نیاز دارند که بیشتر هکرها نمی توانند به آن برسند. بهرحال، بعضی تکنیک های هک که میشناسیم باعث می شوند هکرها کنترل کامل را بدست گیرند. بعضی قابلیت های پراکسی DNS می تواند موارد زیر باشد:

·   تضمین انطباق پروتکلی: یک کلاس تکنیکی بالای اکسپلویت می تواند لایه Transport را که تقاضاها و پاسخ های DNS  را انتقال می دهد به یک ابزار خطرناک تبدیل کند. این نوع از حمله ها بسته هایی تغییرشکل داده شده بمنظور انتقال کد آسیب رسان ایجاد می کنند. پراکسی DNS، headerهای بسته های DNS را بررسی می کند و بسته هایی را که بصورت ناصحیح ساخته شده اند دور می ریزد و به این ترتیب جلوی بسیاری از انواع سوء استفاده را می گیرد.

·   فیلترکردن محتوای headerها بصورت گزینشی: DNS در سال ۱۹۸۴ ایجاد شده و از آن موقع بهبود یافته است. بعضی از حمله های DNS بر ویژگی هایی تکیه می کنند که هنوز تایید نشده اند. پراکسی DNS می تواند محتوای header تقاضاهای DNS  را بررسی کند و تقاضاهایی را که کلاس، نوع یا طول header غیرعادی دارند، مسدود کند.

 

 

 

 

 

 

 

 

 

 

 

صفحه 13--------------------------------------------------------------------------------------------

4- معيارهاي موثر در انتخاب Proxy Server

1-   سخت افزار مورد نياز : براي هر چه بهتر شدن توانمنديهاي Proxy Server ، بايد سخت افزار آن توانايي تحمل بار مورد انتظار را داشته باشد .

2-   نوع رسانه فيزيكي براي ارتباط با اينترنت : راه حلهاي مختلفي براي اتصال به شبكه اينترنت وجود دارد . ساده ترين راه ، استفاده از مودم و خطوط آنالوگ مي باشد . راه ديگر استفاده از ISDN و خطوط ديجيتال است كه هم احتياج به تبديل اطلاعات از آنالوگ به ديجيتال و برعكس در ارسال و دريافت اطلاعات ندارد و هم از سرعت بالاتري برخوردار است . روش ديگر استفاده از خط هاي T1/E1 با ظرفيت انتقال گيگا بايت مي باشد .

)پيشنهاد مي شود كه در شبكه هاي با كمتر از 250 كاربر از ISDN و از 250 كاربر به بالا از T1/E1 استفاده شود . ( البته در ايران به علت عدم وجود خطوط ISDN و كمبود خطوط T1/E1  اين استانداردها كمتر قابل پياده سازي هستند. )

3- هزينه ارتباط با اينترنت : دو عامل موثر در هزينه اتصال به اينترنت ، پهناي باند و مانايي ارتباط مي باشد . هر چه مرورگرهاي اينترنتي بيشتر و زمان استفاده بيشتر باشد ، هزينه بالاتر خواهد بود . با توجه به اينكه Proxy Server مي تواند با Caching  اطلاعات اين موارد را بهبود بخشد ، بررسي اين عامل مي تواند در تعيين تعداد Proxy هاي مورد استفاده موثر باشد .

4- نوع و نحوه مديريت سايت : اين عامل نيز در تعيين تعداد Proxyها موثر است . مثلا" اگر در شبكه اي مشكل راهبري وجود داشته باشد ، با اضافه كردن تعداد Proxyها ، مشكل راهبري نيز بيشتر خواهد شد .

5- پروتكل هاي مورد استفاده : Proxy Server ها معمولا" از پروتكلهاي TCP/IP و يا IPX/SPX  براي ارتباط با Client ها استفاده مي كنند . بنابراين براي استفاده از Proxy بايد يكي از اين پروتكل ها را در شبكه استفاده كرد .

·   پيشنهاد مي شود در شبكه هاي كوچك با توجه به تعداد كاربرها Proxy Server و Web Server روي يك كامپيوتر تعبيه شوند و در شبكه هاي متوسط يا بزرگ تعدادserver Proxyها بيش از يكي باشد .

 

 

 

 

 

 

 

 

 

 

صفحه 14---------------------------------------------------------------------------------------------

نتیجه گیری : از يک شبکه کامپيوتري، عوامل مهمي مانند نوع سيستم عامل، موجوديتها، منابع، برنامه هاي کاربردي، نوع خدمات و کاربران نقش مهم ومستقيمي در امنيت شبکه دارند. برقراري امنيت بصورت 100% امکان پذير نيست چرا که بعضي از عوامل از حيطه قوانين سيستمي خارج هستند، بعنوان نمونه کانالهاي مخابراتي هدايت ناپذير ( مثل امواج مخابراتي و ارتياط ماهواره اي) يا کاربران شبکه ( که هميشه از آموزشهاي امنيتي داده شده استفاده نمي کنند.).
بنابراين الگوي امنيتي شبکه يک طرح امنيتي چند لايه و توزيع شده را پيشنهاد مي کند 3 به نحوي که کليه بخشهاي شبکه اعم از تجهيزات، ارتباطات، اطلاعات و کاربران را در برمي گيرد. در الگوي امنيتي ضمن مشخص کردن سياست امنيتي شبکه که در اصل در مورد اهداف امنيتي بحث مي کند، راهکارهاي مهندسي و پياده سازي امنيت نيز ارئه مي گردد و با آموزشهاي مختلف امنيتي و نظارت مداوم،امنيت  شبکه بطور مداوم ارزيابي مي گردد. پراکسی تمام ابزار امنیت نیست، اما یک ابزار عالیست،  هنگامی که با سایر امنیت سنج ها! مانند ضدویروس های استاندارد، نرم افزارهای امنیتی سرور و سیستم های امنیتی فیزیکی بکار برده شود.  

تاریخ خبر : 1390/11/13      آدرس خبر : http://majame.tehran.irhttp://majame.tehran.ir/default.aspx?tabid=341&ArticleId=990
تعداد مشاهده : 5626
چاپprint

  نظرات

هیچ نظری ثبت نشده است.

نام شما
پست الکترونیک
وب سایت
عنوان
نظر
تصویر امنیتی CAPTCHA
کد را وارد کنید