10 اشتباه متداول مديران شبکه
مترجم: محمد ناصح
با بررسي بدترين نقايص امنيتي سازمان ها، متوجه مي شويد که مديران شبکه اشتباهات مشابهي را به دفعات مرتکب مي شوند؛ در حالي که به سادگي مي توانند مانع بروز اين اشتباهات شوند. در سال 2007 موسسه Verizon Business، نود نقص امنيتي را تحليل کرد. اين نقايص زمينه ساز 285 ميليون تهديد امنيتي بودند. اغلب اين رخدادها شامل جرائم سازماندهي شده بودند که در جريان آن ها ابتدا يک نقطه بدون محافظ در شبکه شناسايي شده و سپس اطلاعات مربوط به کارت هاي اعتباري، شماره هاي تامين اجتماعي يا اطلاعات شخصي کاربران شبکه به سرقت رفته است.
نکته جالب توجه اين که نقايص امنيتي مورد بحث حاصل بي دقتي مديران شبکه در انجام مراحل ايمن سازي سيستم ها، به ويژه سرورهاي کم اهميت بودند. پيتر تيپت، معاون فناوري و نوآوري در موسسه Verizon Business مي گويد: «ما اصول اوليه را رعايت نمي کنيم.» وي از هجده سال قبل وظيفه بررسي نقايص امنيتي را برعهده دارد. تيپت ما را ياري کرد تا فهرستي از ساده ترين اقدامات يک مدير شبکه را به منظور جلوگيري از بروز اغلب نقايص امنيتي گردآوري کنيم.
تيپت معتقد است براي اجتناب از اين مشکل علاوه بر سيستم هايي که به طور مستقيم با اينترنت مرتبط هستند يا از اهميت بالايي برخوردارند، بايد تمام تجهيزات شبکه را که يک آدرس IP اختصاصي دارند، به منظور يافتن نقاط آسيب پذيري اسکن کنيد. سپس بايد کلمات عبور پيش فرض را تغيير دهيد. براساس تحقيقات موسسه Verizon، بيش از نيمي از حمله هاي ثبت شده در سال گذشته، در نتيجه استفاده از کلمات عبور پيش فرض در تجهيزات شبکه رخ داده است.
به عنوان مثال، ممکن است يکي از کارمنداني که از کلمه عبور آگاهي دارد، پس از استعفا به استخدام شرکت ديگري درآيد و همان کلمه عبور را در شرکت جديد نيز مورد استفاده قرار دهد. حتي ممکن است يک شرکت متفرقه که وظيفه اداره يکي از سيستم هاي کم اهميت همچون سيستم خنک سازي ديتاسنتر را برعهده دارد، کلمه عبور يکساني را براي تمام سرورهاي تحت اداره خود که متعلق به موسسات مختلف هستند، مورد استفاده قرار دهد. در هر دو مورد، چنان چه کلمه عبور توسط يک مهاجم کشف شود، وي مي تواند به تعداد بيشتري از سرورها نفوذ کرده و خسارت هاي زيادي را وارد کند.
تيپت مي گويد بخش IT موسسات براي اطمينان از عدم اشتراک کلمه عبور بين چندين سيستم، تغيير دوره اي کلمات عبور و ايمن سازي آن ها به يک فرآيند (خودکار يا دستي) نياز دارند. اين فرآيند به سادگي درج کلمات عبور روي کارت ها و قرار دادن آن ها درون يک صندوق امن است که توسط شخصي از آن محافظت مي شود.
به گفته تيپت ساده ترين روش اجتناب از بروز چنين خطاهايي، استفاده از ديوار آتش برنامه ها در حالت learn است. ديوار آتش در اين حالت مي تواند نحوه وارد کردن اطلاعات کاربران به فيلد ورودي را ارزيابي کند. سپس بايد ديوار آتش را در وضعيت Operate قرار دهيد تا از تزريق دستورات SQL به فيلد ورودي، جلوگيري شود. مشکل کدنويسي SQL، بسيار شايع است. تيپت در اين مورد مي گويد: «اگر100 عدد از سرورهاي يک شرکت را آزمايش کنيد، احتمالاً در 90 دستگاه به مشکل تزريق کد SQL برخورد مي کنيد.»
به طور معمول، موسسات مشکل تزريق کد SQL را تنها در سرورهاي مهم رفع مي کنند. در حالي که اغلب مهاجمان با استفاده از سرورهاي کم اهميت وارد شبکه مي شوند. تيپت پيشنهاد مي کند مديران شبکه با استفاده از فهرست هاي کنترل دسترسي، شبکه را تقسيم بندي کنند تا از ارتباط سرورها با تجهيزات متفرقه جلوگيري شود. اين رويکرد مانع دسترسي وسيع مهاجمان به اطلاعات از طريق خطاهاي کدنويسي SQL مي شود.
تيپت مي گويد: «معمولاً مهاجمان از طريق VPN وارد شبکه مي شوند تا بتوانند تمام تجهيزات را مورد دسترسي قرار دهند.» استفاده از فهرست هاي کنترل با پيکربندي مناسب از بروز 66 درصد حمله هاي ثبت شده در سال گذشته جلوگيري مي کند، يکي از دلايلي که مديران IT اين اقدام ساده را انجام نمي دهند، الزام استفاده از روترها به عنوان ديوار آتش است. اغلب مديران شبکه تمايلي براي انجام اين کار ندارند.
ساده ترين شيوه يافتن اين مشکلات، اسکن کردن تمام فضاي IP با استفاده از يک ابزار خارجي به منظور تشخيص ترافيک VNC، PCAnywhere يا SSH است. پس از يافتن اين برنامه ها علاوه بر کلمات عبور، ويژگي هاي امنيتي اضافي مانند توکن ها يا مجوزهاي دسترسي را روي آنها اعمال کنيد. به عنوان شيوه جايگزين مي توانيد داده هاي Netflow مربوط به روترهاي مرتبط با محيط خارج را اسکن کرده و از وجود ترافيک دسترسي راه دور در شبکه مطلع شويد.
اين مشکل به حدي متداول است که 27 درصد از آمار حمله هاي ثبت شده در گزارش موسسه Verizon Business را به خود اختصاص داده است.
مشکل کار در اينجا است که اغلب حمله ها به واسطه وجود اشکالات امنيتي در سيستم هاي کم اهميت شبکه، اجرا مي شوند. تيپت در اين مورد مي گويد: «مشکل اصلي اين است که ما برنامه هاي مهم وب را با وسواس کامل آزمايش و بررسي مي کنيم، اما ساير برنامه ها را بدون بررسي باقي مي گذاريم.» وي توصيه مي کند، مديران شبکه تمام برنامه هاي مورد استفاده خود را به منظور يافتن نقاط آسيب پذيري اساسي بررسي کنند.
تيپت مي گويد: «همواره به مردم آموخته مي شود که وظايف را براساس اهميت آن ها انجام دهند، اما تبهکاران از ميزان اهميت سيستم ها اطلاعي ندارند. آنان براي رسيدن به اهداف خود از ساده ترين اقدامات شروع مي کنند. اين افراد پس از ورود به شبکه مي توانند پايگاهي براي فعاليت هاي خود ايجاد کرده و بر ترافيک شبکه نظارت کنند.»
تيپت شيوه ساده اي را براي اجتناب از بروز بسياري از حمله ها پيشنهاد مي کند. در اين شيوه تمام سرورها قفل مي شوند تا اجراي برنامه هاي جديد روي آن ها غير ممکن شود. تيپت مي گويد: «مديران شبکه از انجام اين کار نفرت دارند، زيرا پس از مدتي نصب نرم افزارهاي جديد ضرورت مي يابد. در چنين مواردي مي توان سرور را از حالت قفل شده خارج کرد و پس از نصب نرم افزار مورد نظر دوباره آن را قفل کرد.»
به اين ترتيب، مي توانيد از ارسال اطلاعات ناخواسته توسط سرورها جلوگيري کنيد. به عنوان مثال، يک سرور ايميل تنها بايد ترافيک مربوط به نامه ها را ارسال کند، بنابراين بايد از ارسال ترافيک SSH توسط اين سرور جلوگيري شود. گزينه ديگر استفاده از روترها براي فيلترينگ ترافيک خروجي به شيوه Deny Egress است. اين کار تمام ترافيک خروجي را به غير از ترافيک خروجي مورد نظر مدير شبکه، مسدود مي کند.
تيپت مي گويد: «تنها دو درصد شرکت ها اين کار را انجام مي دهند. سوال اين است که چرا 98 درصد باقي مانده اين کار را نمي کنند؟ فيلترينگ ترافيک خروجي به شيوه Default deny egress معمولاً کم اهميت پنداشته مي شود.»
به طور معمول همين سرورهاي کم اهميت ثانوي هستند که مورد تهاجم قرار گرفته و به از دست رفتن اطلاعات مهم منجر مي شوند.
يکي از روش هاي ساده براي يافتن محل ذخيره اطلاعات مهم، بازرسي تمام محل هاي ذخيره سازي در شبکه است. تيپت مي گويد: «ما معمولاً با استفاده از يک برنامه ردياب (Sniffer) شبکه را بررسي کرده و محل هايي را که بايد اطلاعات مهم در آن ذخيره شود، شناسايي مي کنيم. سپس ساير موقعيت هايي را که اطلاعات مورد بحث در آن ها ذخيره مي شود، بررسي مي کنيم.»
گاهي شرکت ها براي تامين امنيت سرورهاي حاوي اطلاعات مهم از اين دستورالعمل ها پيروي مي کنند، اما امنيت ساير سرورهاي کم اهميت را که به گونه اي با اين اطلاعات سروکار دارند، به اين شيوه برقرار نمي کنند.
براساس گزارش موسسه Verizon Business، با وجود اين که 98 درصد از تمام حمله هاي ثبت شده با اطلاعات کارت هاي پرداخت مرتبط هستند، تنها نوزده درصد از سازمان هاي داراي مشکل امنيتي از استانداردهاي PCI پيروي کرده اند. تيپت مي گويد: «موضوع کاملاً واضح است. از قوانين PCI پيروي کنيد. اين قوانين به خوبي کار مي کنند.»
منبع: نشريه شبکه، ش 102
نکته جالب توجه اين که نقايص امنيتي مورد بحث حاصل بي دقتي مديران شبکه در انجام مراحل ايمن سازي سيستم ها، به ويژه سرورهاي کم اهميت بودند. پيتر تيپت، معاون فناوري و نوآوري در موسسه Verizon Business مي گويد: «ما اصول اوليه را رعايت نمي کنيم.» وي از هجده سال قبل وظيفه بررسي نقايص امنيتي را برعهده دارد. تيپت ما را ياري کرد تا فهرستي از ساده ترين اقدامات يک مدير شبکه را به منظور جلوگيري از بروز اغلب نقايص امنيتي گردآوري کنيم.
1- عدم تغيير کلمات عبور پيش فرض در تمام تجهيزات شبکه
تيپت معتقد است براي اجتناب از اين مشکل علاوه بر سيستم هايي که به طور مستقيم با اينترنت مرتبط هستند يا از اهميت بالايي برخوردارند، بايد تمام تجهيزات شبکه را که يک آدرس IP اختصاصي دارند، به منظور يافتن نقاط آسيب پذيري اسکن کنيد. سپس بايد کلمات عبور پيش فرض را تغيير دهيد. براساس تحقيقات موسسه Verizon، بيش از نيمي از حمله هاي ثبت شده در سال گذشته، در نتيجه استفاده از کلمات عبور پيش فرض در تجهيزات شبکه رخ داده است.
2- استفاده از يک کلمه عبور مشترک براي چندين دستگاه موجود در شبکه
به عنوان مثال، ممکن است يکي از کارمنداني که از کلمه عبور آگاهي دارد، پس از استعفا به استخدام شرکت ديگري درآيد و همان کلمه عبور را در شرکت جديد نيز مورد استفاده قرار دهد. حتي ممکن است يک شرکت متفرقه که وظيفه اداره يکي از سيستم هاي کم اهميت همچون سيستم خنک سازي ديتاسنتر را برعهده دارد، کلمه عبور يکساني را براي تمام سرورهاي تحت اداره خود که متعلق به موسسات مختلف هستند، مورد استفاده قرار دهد. در هر دو مورد، چنان چه کلمه عبور توسط يک مهاجم کشف شود، وي مي تواند به تعداد بيشتري از سرورها نفوذ کرده و خسارت هاي زيادي را وارد کند.
تيپت مي گويد بخش IT موسسات براي اطمينان از عدم اشتراک کلمه عبور بين چندين سيستم، تغيير دوره اي کلمات عبور و ايمن سازي آن ها به يک فرآيند (خودکار يا دستي) نياز دارند. اين فرآيند به سادگي درج کلمات عبور روي کارت ها و قرار دادن آن ها درون يک صندوق امن است که توسط شخصي از آن محافظت مي شود.
3- کوتاهي در يافتن خطاهاي کدنويسي SQL
به گفته تيپت ساده ترين روش اجتناب از بروز چنين خطاهايي، استفاده از ديوار آتش برنامه ها در حالت learn است. ديوار آتش در اين حالت مي تواند نحوه وارد کردن اطلاعات کاربران به فيلد ورودي را ارزيابي کند. سپس بايد ديوار آتش را در وضعيت Operate قرار دهيد تا از تزريق دستورات SQL به فيلد ورودي، جلوگيري شود. مشکل کدنويسي SQL، بسيار شايع است. تيپت در اين مورد مي گويد: «اگر100 عدد از سرورهاي يک شرکت را آزمايش کنيد، احتمالاً در 90 دستگاه به مشکل تزريق کد SQL برخورد مي کنيد.»
به طور معمول، موسسات مشکل تزريق کد SQL را تنها در سرورهاي مهم رفع مي کنند. در حالي که اغلب مهاجمان با استفاده از سرورهاي کم اهميت وارد شبکه مي شوند. تيپت پيشنهاد مي کند مديران شبکه با استفاده از فهرست هاي کنترل دسترسي، شبکه را تقسيم بندي کنند تا از ارتباط سرورها با تجهيزات متفرقه جلوگيري شود. اين رويکرد مانع دسترسي وسيع مهاجمان به اطلاعات از طريق خطاهاي کدنويسي SQL مي شود.
4- پيکربندي نامناسب فهرست هاي دسترسي
تيپت مي گويد: «معمولاً مهاجمان از طريق VPN وارد شبکه مي شوند تا بتوانند تمام تجهيزات را مورد دسترسي قرار دهند.» استفاده از فهرست هاي کنترل با پيکربندي مناسب از بروز 66 درصد حمله هاي ثبت شده در سال گذشته جلوگيري مي کند، يکي از دلايلي که مديران IT اين اقدام ساده را انجام نمي دهند، الزام استفاده از روترها به عنوان ديوار آتش است. اغلب مديران شبکه تمايلي براي انجام اين کار ندارند.
5- صدور مجوز دسترسي راه دور ناامن و نرم افزار مديريت
ساده ترين شيوه يافتن اين مشکلات، اسکن کردن تمام فضاي IP با استفاده از يک ابزار خارجي به منظور تشخيص ترافيک VNC، PCAnywhere يا SSH است. پس از يافتن اين برنامه ها علاوه بر کلمات عبور، ويژگي هاي امنيتي اضافي مانند توکن ها يا مجوزهاي دسترسي را روي آنها اعمال کنيد. به عنوان شيوه جايگزين مي توانيد داده هاي Netflow مربوط به روترهاي مرتبط با محيط خارج را اسکن کرده و از وجود ترافيک دسترسي راه دور در شبکه مطلع شويد.
اين مشکل به حدي متداول است که 27 درصد از آمار حمله هاي ثبت شده در گزارش موسسه Verizon Business را به خود اختصاص داده است.
6- عدم بررسي برنامه هاي کم اهميت به منظور شناسايي نقاط آسيب پذيري
مشکل کار در اينجا است که اغلب حمله ها به واسطه وجود اشکالات امنيتي در سيستم هاي کم اهميت شبکه، اجرا مي شوند. تيپت در اين مورد مي گويد: «مشکل اصلي اين است که ما برنامه هاي مهم وب را با وسواس کامل آزمايش و بررسي مي کنيم، اما ساير برنامه ها را بدون بررسي باقي مي گذاريم.» وي توصيه مي کند، مديران شبکه تمام برنامه هاي مورد استفاده خود را به منظور يافتن نقاط آسيب پذيري اساسي بررسي کنند.
تيپت مي گويد: «همواره به مردم آموخته مي شود که وظايف را براساس اهميت آن ها انجام دهند، اما تبهکاران از ميزان اهميت سيستم ها اطلاعي ندارند. آنان براي رسيدن به اهداف خود از ساده ترين اقدامات شروع مي کنند. اين افراد پس از ورود به شبکه مي توانند پايگاهي براي فعاليت هاي خود ايجاد کرده و بر ترافيک شبکه نظارت کنند.»
7- محافظت نکردن از سرورها در مقابل بدافزارها
تيپت شيوه ساده اي را براي اجتناب از بروز بسياري از حمله ها پيشنهاد مي کند. در اين شيوه تمام سرورها قفل مي شوند تا اجراي برنامه هاي جديد روي آن ها غير ممکن شود. تيپت مي گويد: «مديران شبکه از انجام اين کار نفرت دارند، زيرا پس از مدتي نصب نرم افزارهاي جديد ضرورت مي يابد. در چنين مواردي مي توان سرور را از حالت قفل شده خارج کرد و پس از نصب نرم افزار مورد نظر دوباره آن را قفل کرد.»
8- پيکربندي نامناسب روترها براي مسدود کردن ترافيک خروجي ناخواسته
به اين ترتيب، مي توانيد از ارسال اطلاعات ناخواسته توسط سرورها جلوگيري کنيد. به عنوان مثال، يک سرور ايميل تنها بايد ترافيک مربوط به نامه ها را ارسال کند، بنابراين بايد از ارسال ترافيک SSH توسط اين سرور جلوگيري شود. گزينه ديگر استفاده از روترها براي فيلترينگ ترافيک خروجي به شيوه Deny Egress است. اين کار تمام ترافيک خروجي را به غير از ترافيک خروجي مورد نظر مدير شبکه، مسدود مي کند.
تيپت مي گويد: «تنها دو درصد شرکت ها اين کار را انجام مي دهند. سوال اين است که چرا 98 درصد باقي مانده اين کار را نمي کنند؟ فيلترينگ ترافيک خروجي به شيوه Default deny egress معمولاً کم اهميت پنداشته مي شود.»
9- عدم اطلاع از محل ذخيره اطلاعات کارت اعتباري يا ساير اطلاعات با اهميت کاربران
به طور معمول همين سرورهاي کم اهميت ثانوي هستند که مورد تهاجم قرار گرفته و به از دست رفتن اطلاعات مهم منجر مي شوند.
يکي از روش هاي ساده براي يافتن محل ذخيره اطلاعات مهم، بازرسي تمام محل هاي ذخيره سازي در شبکه است. تيپت مي گويد: «ما معمولاً با استفاده از يک برنامه ردياب (Sniffer) شبکه را بررسي کرده و محل هايي را که بايد اطلاعات مهم در آن ذخيره شود، شناسايي مي کنيم. سپس ساير موقعيت هايي را که اطلاعات مورد بحث در آن ها ذخيره مي شود، بررسي مي کنيم.»
10- عدم رعايت استانداردهاي PCIDS
گاهي شرکت ها براي تامين امنيت سرورهاي حاوي اطلاعات مهم از اين دستورالعمل ها پيروي مي کنند، اما امنيت ساير سرورهاي کم اهميت را که به گونه اي با اين اطلاعات سروکار دارند، به اين شيوه برقرار نمي کنند.
براساس گزارش موسسه Verizon Business، با وجود اين که 98 درصد از تمام حمله هاي ثبت شده با اطلاعات کارت هاي پرداخت مرتبط هستند، تنها نوزده درصد از سازمان هاي داراي مشکل امنيتي از استانداردهاي PCI پيروي کرده اند. تيپت مي گويد: «موضوع کاملاً واضح است. از قوانين PCI پيروي کنيد. اين قوانين به خوبي کار مي کنند.»
منبع: نشريه شبکه، ش 102
/ج
