10 اشتباه متداول مديران شبكه

[Fahim 9563]

با بررسي بدترين نقايص امنيتي سازمان‌ها، متوجه مي‌شويد كه مديران شبكه اشتباهات مشابهي را به دفعات مرتكب مي‌شوند؛ در حالي كه به‌سادگي مي‌تواند مانع بروز اين اشتباهات شوند. در سال 2007 مؤسسه Verizon Business، نود نقص امنيتي را تحليل کرد. اين نقايص زمينه‌ساز 285 ميليون تهديد امنيتي بودند. اغلب اين رخدادها شامل جرائم سازماندهي شده بودند كه در جريان آن‌ها ابتدا يك نقطه بدون محافظ در شبكه شناسايي شده و سپس اطلاعات مربوط به كارت‌هاي اعتباري، شماره‌هاي تأمين اجتماعي يا اطلاعات شخصي كاربران شبكه به سرقت رفته است.

نكته جالب توجه اين كه نقايص امنيتي مورد بحث حاصل بي‌دقتي مديران شبكه در انجام مراحل ايمن‌سازي سيستم‌ها، به‌ويژه سرورهاي كم‌اهميت بودند. پيتر تيپت، معاون فناوري و نوآوري در مؤسسه Verizon Business مي‌گويد: «ما اصول اوليه را رعايت نمي‌كنيم.» وي از هجده سال قبل وظيفه بررسي نقايص امنيتي را بر عهده دارد. تيپت ما را ياري كرد تا فهرستي از ساده‌ترين اقدامات يك مدير شبكه را به‌منظور جلوگيري از بروز اغلب نقايص امنيتي گردآوري كنيم. 1- عدم تغيير كلمات عبور پيش‌فرض در تمام تجهيزات شبكه

تعداد شركت‌هايي كه يك سرور، سوييچ، روتر يا دستگاه ديگري را با كلمه عبور پيش‌فرض (كه معمولاً واژه password يا admin است) درون شبكه به كار مي‌گيرند، خيره كننده است. اغلب مديران اطلاعات تصور مي‌كنند، چنين مشكلي براي آن‌ها پيش نمي‌آيد، اما تيپت هرروز با نمونه‌هايي از اين مشكل مواجه مي‌شود.

تيپت معتقد است براي اجتناب از اين مشكل علاوه بر سيستم‌هايي كه به‌طور مستقیم با اينترنت مرتبط هستند يا از اهميت بالايي برخوردارند، بايد تمام تجهيزات شبكه را كه يك آدرس IP اختصاصي دارند، به‌منظور يافتن نقاط آسيب‌پذيري اسكن كنيد. سپس بايد كلمات عبور پيش‌فرض را تغيير دهيد. بر اساس تحقيقات مؤسسه Verizon، بيش از نيمي از حمله‌هاي ثبت شده در سال گذشته، در نتيجه استفاده از كلمات عبور پيش‌فرض در تجهيزات شبكه رخ داده است.

2- استفاده از يك كلمه عبور مشترك براي چندين دستگاه موجود در شبكه

به‌طور معمول، كاركنان بخش IT در سازمان‌ها از يك كلمه عبور مشترك براي چندين سرور استفاده مي‌كنند. با وجود اين ممكن است كلمه عبور مورد استفاده تمام خصوصيات لازم و پيچيدگي كافي را داشته باشد، به دليل مشترك بودن كلمه عبور بين چندين سرور، تمام سرورها در معرض خطر قرار مي‌گيرند. به‌عنوان مثال، ممكن است يكي از كارمنداني كه از كلمه عبور آگاهي دارد، پس از استعفا به استخدام شركت ديگري درآيد و همان كلمه عبور را در شركت جديد نيز مورد استفاده قرار دهد. حتي ممكن است يك شركت متفرقه كه وظيفه اداره يكي از سيستم‌هاي كم‌اهميت همچون سيستم خنك‌سازي ديتاسنتر را برعهده دارد،‌ كلمه عبور يكساني را براي تمام سرورهاي تحت اداره خود كه متعلق به مؤسسات مختلف هستند، مورد استفاده قرار دهد. در هر دو مورد، چنان‌چه كلمه عبور توسط يك مهاجم كشف شود، وي مي‌تواند به تعداد بيشتري از سرورها نفوذ كرده و خسارت‌هاي زيادي را وارد كند.

تيپت مي‌گويد بخش IT مؤسسات براي اطمينان از عدم اشتراك كلمه عبور بين چندين سيستم، تغيير دوره‌اي كلمات عبور و ايمن‌سازي آن‌ها به يك فرآيند (خودكار يا دستي) نياز دارند. اين فرآيند به سادگي درج كلمات عبور روي كارت‌ها و قرار دادن آن‌ها درون يك صندوق امن است كه توسط شخصي از آن محافظت مي‌شود.

 

3- كوتاهي در يافتن خطاهاي كدنويسي SQL

متداول‌ترين نوع حمله‌ها (كه هفتاد درصد از حمله‌هاي گزارش‌شده را به خود اختصاص داده است)، روي يك بانك اطلاعاتي SQL متصل به وب‌سرور اجرا مي‌شود. شيوه مهاجم براي ورود به سيستم، وارد كردن يك دستور SQL به يك فرم تحت‌وب است. اگر فرم مورد بحث به درستي كدگذاري شود، نبايد دستورات SQL را قبول كند. اما گاهي توسعه‌دهندگان به‌طور تصادفي مفهومي موسوم به «خطاي تزريقي SQL» را ايجاد مي‌كنند.

به گفته تيپت ساده‌ترين روش اجتناب از بروز چنين خطاهايي، استفاده از ديوار آتش برنامه‌ها در حالت learn است. ديوار آتش در اين حالت مي‌تواند نحوه وارد كردن اطلاعات كاربران به فيلد ورودي را ارزيابي كند. سپس بايد ديوار آتش را در وضعيت Operate قرار دهيد تا از تزريق دستورات SQL به فيلد ورودي، جلوگيري شود. مشكل كدنويسي SQL بسيار شايع است. تيپت در اين مورد مي‌گويد: «اگر 100 عدد از سرورهاي يك شركت را آزمايش كنيد، احتمالاً در 90 دستگاه به مشكل تزريق كد SQL برخورد مي‌كنيد.»

به‌طور معمول، مؤسسات مشكل تزريق كد SQL را تنها در سرورهاي مهم رفع مي‌كنند. در حالي كه اغلب مهاجمان با استفاده از سرورهاي كم‌اهميت وارد شبكه مي‌شوند. تيپت پيشنهاد مي كند مديران شبكه با استفاده از فهرست‌هاي كنترل دسترسي، شبكه را تقسيم‌بندي كنند تا از ارتباط سرورها با تجهيزات متفرقه جلوگيري شود. اين رويكرد مانع دسترسي وسيع مهاجمان به اطلاعات از طريق خطاهاي كدنويسي SQL مي‌شود.

 

4- پيكربندي نامناسب فهرست‌هاي دسترسي

تقسيم‌بندي شبكه با استفاده از فهرست‌هاي كنترل، ساده‌ترين روش حصول اطمينان از محدود بودن ارتباط سيستم‌هاي شبكه با يكديگر است. به‌عنوان مثال، اگر مجوز دسترسي به دو سرور شبكه از طريق VPN را براي شركاي تجاري خود صادر كنيد، با استفاده از فهرست‌هاي دسترسي مي‌توانيد ترتيبي دهيد تا شركاي تجاري شما فقط به اين دو سرور دسترسي داشته باشند. به اين ترتيب، چنان‌چه يك مهاجم با استفاده از نقطه‌ضعف سيستم‌هاي شركت همكار به شبكه شما نفوذ كند، فقط مي‌تواند اطلاعات موجود روي سرورهاي اخير را مورد دسترسي قرار دهد.تيپت مي‌گويد: «معمولاً مهاجمان از طريق VPN وارد شبكه مي‌شوند تا بتوانند تمام تجهيزات را مورد دسترسي قرار دهند.» استفاده از فهرست‌هاي كنترل با پيكربندي مناسب از بروز 66 درصد حمله‌هاي ثبت شده در سال گذشته جلوگيري مي‌كند. يكي از دلايلي كه مديران IT اين اقدام ساده را انجام نمي‌دهند، الزام استفاده از روترها به عنوان ديوار آتش است. اغلب مديران شبكه تمايلي براي انجام اين کار ندارند.

 

5- صدور مجوز دسترسي راه‌دور ناامن و نرم‌افزار مديريت

يكي از محبوب‌ترين روش‌هاي مهاجمان براي نفوذ به شبكه استفاده از دسترسي راه‌دور و بسته‌هاي نرم‌افزاري مديريتي همچون PCAnywhere،بVNC (سرنام Virtual Network Computing) يا SSH(سرنام Source Shell ) است. معمولاً اين نوع برنامه‌ها فاقد اصلي‌ترين ويژگي‌هاي امنيتي مثل كلمه عبور مناسب هستند. ساده‌ترين شيوه يافتن اين مشكلات، اسكن كردن تمام فضاي IP با استفاده از يك ابزار خارجي به‌منظور تشخيص ترافيك PCAnywhere، VNC يا SSH است. پس از يافتن اين برنامه‌ها علاوه بر كلمات عبور، ويژگي‌هاي امنيتي اضافي مانند توكن‌ها يا مجوزهاي دسترسي را روي آن‌ها اعمال كنيد. به عنوان شيوه جايگزين مي‌توانيد داده‌هاي Netflow مربوط به روترهاي مرتبط با محيط خارج را اسكن كرده و از وجود ترافيك دسترسي راه‌دور در شبكه مطلع شويد.اين مشكل به حدي متداول است كه 27 درصد از آمار حمله‌هاي ثبت شده در گزارش مؤسسه Verizon Business را به خود اختصاص داده است.

 

6- عدم بررسي برنامه‌هاي كم‌اهميت به‌منظور شناسايي نقاط آسيب‌پذيري

بر اساس گزارش مذکور نزديك به هشتاد درصد حمله‌هاي مهاجمان در نتيجه وجود نواقص امنيتي در برنامه‌هاي كاربردي وب به وقوع مي‌پيوندد. مديران شبكه از اين نكته آگاهند كه بيشترين نقاط آسيب‌پذيري در برنامه‌هاي كاربردي وب وجود دارند، به همين دليل، فعاليت خود را روي سيستم‌هاي با اهميت و مرتبط با اينترنت متمركز مي‌كنند.

مشكل كار در اينجا است كه اغلب حمله‌ها به واسطه وجود اشكالات امنيتي در سيستم‌هاي كم‌اهميت شبكه، اجرا مي‌شوند. تپيت در اين مورد مي‌گويد: «مشكل اصلي اين است كه ما برنامه‌هاي مهم وب را با وسواس كامل آزمايش و بررسي مي‌كنيم، اما ساير برنامه‌ها را بدون بررسي باقي مي‌گذاريم.» وي توصيه مي‌كند، مديران شبكه تمام برنامه‌هاي مورد استفاده خود را به‌منظور يافتن نقاط آسيب‌پذيري اساسي بررسي كنند. تيپت مي‌گويد: «همواره به مردم آموخته مي‌شود كه وظايف را بر اساس اهميت آن‌ها انجام دهند، اما تبهكاران از ميزان اهميت سيستم‌ها اطلاعي ندارند. آنان براي رسيدن به اهداف خود از ساده‌ترين اقدامات شروع مي‌كنند. اين افراد پس از ورود به شبكه مي‌توانند پايگاهي براي فعاليت‌هاي خود ايجاد كرده و بر ترافيك شبكه نظارت كنند.»

 

7- محافظت نکردن از سرورها در مقابل بدافزارها

به گفته Verizon وجود بدافزارها روي سرورهاي شبكه زمينه‌ساز 38 درصد حمله‌ها است. اغلب بدافزارها توسط يك مهاجم از راه ‌دور نصب مي‌شوند و براي گردآوري اطلاعات به‌كار مي‌روند. معمولاً بدافزارها به گونه‌اي طراحي مي‌شوند كه توسط نرم‌افزارهاي ضدويروس شناسايي نشوند. يكي از روش‌هاي شناسايي بدافزارهايي همچون Keylogger يا نرم‌افزارهاي جاسوسي موجود روي سرورها، فعال‌سازي نرم‌افزار تشخيص تهاجم در تمام سرورهاي شبكه است. اين سيستم به‌صورت ميزبان محور عمل مي‌كند.

تيپت شيوه ساده‌اي را براي اجتناب از بروز بسياري از حمله‌ها پيشنهاد مي‌كند. در اين شيوه تمام سرورها قفل مي‌شوند تا اجراي برنامه‌هاي جديد روي آن‌ها غيرممكن شود. تيپت مي‌گويد: «مديران شبكه از انجام اين كار نفرت دارند، زيرا پس از مدتي نصب نرم‌افزارهاي جديد ضرورت مي‌يابد. در چنين مواردي مي‌توان سرور را از حالت قفل شده خارج كرد و پس از نصب نرم‌افزار موردنظر دوباره آن را قفل كرد.»

 

8- پيكربندي نامناسب روترها براي مسدود كردن ترافيك خروجي ناخواسته

يكي از انواع رايج بدافزارها، در سرور ميزبان يك رابط صدور فرمان يا راه مخفي (Backdoor) ايجاد مي‌كند. يكي از روش‌هاي مقابله با مهاجمان در استفاده از اين رابط يا راه‌مخفي، تقسيم بندي شبكه توسط فهرست‌هاي كنترل است. به اين ترتيب، مي‌توانيد از ارسال اطلاعات ناخواسته توسط سرورها جلوگيري كنيد. به‌عنوان مثال، يك سرور ایمیل تنها بايد ترافيك مربوط به نامه‌ها را ارسال كند، بنابراين بايد از ارسال ترافيك SSH توسط اين سرور جلوگيري شود. گزينه ديگر استفاده از روترها براي *****ينگ ترافيك خروجي به شيوه Deny Egress است. اين كار تمام ترافيك خروجي را به غير از ترافيك خروجي موردنظر مدير شبكه، مسدود مي‌كند. تيپت مي‌گويد: «تنها دو درصد شركت‌ها اين كار را انجام مي‌دهند. سؤال اين است كه چرا 98 درصد باقي‌مانده اين كار را نمي‌كنند؟ *****ينگ ترافيك خروجي به شيوه Default deny egress معمولاً كم‌اهميت پنداشته مي‌شود.»

9- عدم اطلاع از محل ذخيره اطلاعات كارت اعتباري يا ساير اطلاعات با اهميت كاربران

بسياري از شركت‌ها تصور مي‌كنند از محل ذخيره‌سازي اطلاعات مهم مانند اطلاعات كارت اعتباري، شماره تأمين اجتماعي يا اطلاعات مربوط به هويت افراد اطلاع دارند و سرورهاي حاوي اين اطلاعات را از بالاترين سطوح تدابير امنيتي حفاظت مي‌كنند. اما به‌طور معمول اين اطلاعات علاوه بر سرورهاي مربوط در محل‌هاي ديگري از شبكه مانند سايت پشتيبان يا بخش توسعه نرم‌افزار نيز ذخيره مي‌شوند.به‌طور معمول همين سرورهاي كم‌اهميت ثانوي هستند كه مورد تهاجم قرار گرفته و به از دست رفتن اطلاعات مهم منجر مي‌شوند. يكي از روش‌هاي ساده براي يافتن محل ذخيره اطلاعات مهم، بازرسي تمام محل‌هاي ذخيره‌سازي در شبكه است. تيپت مي‌گويد: «ما معمولاً با استفاده از يك برنامه ردياب (Sniffer) شبكه را بررسي كرده و محل‌هايي را كه بايد اطلاعات مهم در آن ذخيره شود، شناسايي مي‌كنيم. سپس ساير موقعيت‌هايي را كه اطلاعات موردبحث در آن‌ها ذخيره مي‌شود،

بررسي مي‌كنيم.»

 

10- عدم رعايت استانداردهاي PCIDS

تيپت مي‌گويد: «استانداردهاي‌مصوب PCIDS سرنام(Payment Card Industry Data Security) مجموعه‌اي از دوازده دستورالعمل هستند كه از اطلاعات كارت‌هاي پرداخت حفاظت مي‌كنند. اغلب افراد حتي براي تأمين معيار استانداردهاي PCI تلاش نمي‌كنند.» گاهي شركت‌ها براي تأمين امنيت سرورهاي حاوي اطلاعات مهم از اين دستورالعمل‌ها پيروي مي‌كنند، اما امنيت ساير سرورهاي كم‌اهميت را كه به‌گونه‌اي با اين اطلاعات سروكار دارند، به‌اين شيوه برقرار نمي‌كنند.

بر اساس گزارش مؤسسه Verizon Business، با وجود اين كه 98 درصد از تمام حمله‌هاي ثبت‌شده با اطلاعات كارت‌هاي پرداخت مرتبط هستند، تنها نوزده درصد از سازمان‌هاي داراي مشكل امنيتي از استانداردهاي PCI پيروي كرده‌اند. تيپت مي‌گويد: «موضوع كاملاً واضح است. از قوانين PCI پيروي كنيد. اين قوانين به خوبي كار مي‌كنند.»