پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
امنیت پشت درهای بسته
محمدعلی فرداد؛ مدیر واحد زیرساخت شرکت فناپ؛
امنیت شبکه، امنیت مرکز داده؛
هرگاه سخن از امنیت شبکه به میان میآید توجه همه به تهیه فایروالهایی برای قرار دادن در ورودیهای اینترنت برای جلوگیری از نفوذ به داخل مرکز داده جلب میشود. البته وجوب قرار دادن این تجهیزات بر هیچ کس پوشیده نیست اما بسنده کردن تا این حد کافی است؟ جواب به وضوح خیر است.
قبل از هر چیز بهتر است تعریفی از امنیت شبکه داشته باشیم.
امنیت شبکه عبارت است از فراهم کردن امکاناتی در یک سازمان (معمولا شبکه WANیک سازمان) به طوری که اطلاعات موجود در آن سازمان محفوظ بوده و هیچ گونه دسترسی غیرمجاز یا تغییر ناخواسته در اطلاعات آن سازمان رخ ندهد، همچنین تمامی سرویسهای آن سازمان همیشه در دسترس باشند.
در نتیجه امنسازی شبکه عبارت است از:
– حفاظت از اطلاعات سازمان که توسط افراد فاقد صلاحیت خراب نشود.
– حفاظت از اطلاعات سازمان به طور ناخواسته تغییر نکند.
– حفاظت از اطلاعات سازمان به طوری که توسط افراد فاقد صلاحیت خوانده نشود
– حفاظت از سرویسهای سازمان به طوری که سرویسدهی آنها دچار اختلال نشود.
نمای زیر به عنوان یک نمونه ساده از شبکه یک سازمان، روشهای نفوذ را نشان میدهد:
مجراهای نفوذ به شبکه با اعداد ۱ تا ۴ مشخص شده که در مقاله حاضر تمرکز روی نقاط شماره ۱ است. در بخشهایی که با عدد ۱ علامتگذاری شده است هدف نفوذگر ورود به سرویسدهندههای مرکز داده است. معمولا نفوذگرها در این بخش با استفاده از پورتهای باز روی سرویسدهندهها و ضعفهای امنیتی ذاتی در بخشهای سیستم عامل، برنامههای سرویسدهنده (Application server)، پایگاههای داده، برنامههای کاربردی و… سعی در نفوذ به سرویسدهنده دارند. برای حل مشکل در این بخش باید موارد زیر مد نظر قرار گیرد.
• قرار دادن فایروال در نقاط ورودی در مرکز داده
• تنظیم فایروالها به طوری که فقط پورتهای مورد نیاز باز باشند (نکته خیلی مهم در این بخش این است که هر چقدر Roleهای تنظیمشده در فایروال دقیقتر و جزییتر باشند میزان امنیت فراهمشده نیز بیشتر است)
• بهروزرسانی به موقع سیستمعاملها، برنامههای سرویسدهنده، پایگاههای داده و از همه مهمتر سیستمعاملهای روی فایروالها
• اعمال تمامی patchهای امنیتی اعلامشده برای تمامی اجزایی که در ساختار استفاده میشوند
• بستن پورتهای غیرضروری روی تکتک سرورها
• عدم استفاده از نرمافزارهای crackشده در بخشهای حساس مرکز داده
• استفاده از آنتیویروس بهروز و قوی در مرکز داده
• استفاده از مدلهای مختلف تجهیزات در لایههای مختلف (استفاده از تجهیزات Hetrogenuse باعث از دست رفتن یکسری تواناییهایی میشود که معمولا تجهیزات مختلف یک برند خاص offer میدهند اما در صورت استفاده از تجهیزات یک برند خاص احتمال وجود یک Bug امنیتی در تجهیزات این برند تهدید بزرگی برای امنیت مرکز داده و شبکه یک سازمان است)
•بررسی نرمافزارها به طوریکه دارای مشکل امنیتی نباشند.
در این بخش لازم است به انواع تهدیداتی که به این نقطه وارد میشود اشاره کرد.
به طور کلی تهدیدات به مرکز داده به دو بخش زیر تقسیم میشوند:
۱ – تهدیدات عمومی
این تهدیدات عموما به وسیله نفوذگران معمولی و غیروابسته جهت مقاصد شخصی صورت میگیرند.
۲ – تهدیدات خاص و برنامهریزیشده
اینگونه تهدیدات عموما به وسیله نفوذگرانی صورت میگیرد که وابستگی خاصی به یک سازمان یا Government دارند. اینگونه خطر ایجادشده بسیار بستگی به وابستگی نفوذگر دارد.
به عنوان مثال با توجه به شرایط موجود در کشور و وضعیت بینالمللی از نظر سیاسی و تهدیداتی که اعلام میشود، چنانچه حمله نظامی به ایران انجام شود به صورت همزمان حملات سایبری نیز توسط مهاجم صورت میگیرد. با توجه به اینکه تمامی تجهیزاتی که در مراکز داده ما استفاده میشوند از برندهای آمریکایی هستند به احتمال زیاد نقاط ورود زیادی برای ورود به شبکههایی که از این تجهیزات استفاده میکنند، دارند.
موارد مطرحشده در بالا برای جلوگیری از تهدیدات عمومی هستند اما در خصوص جلوگیری از تهدیدات خاص و برنامهریزیشده چه باید کرد؟ از آنجا که این تهدیدات بسیار به دلیل وابستگی ایجاد میشوند پس در نتیجه برای حل آنها باید میزان وابستگی را کاهش داد.
موارد زیر از جمله اقداماتی است که در این خصوص باید صورت گیرد:
• استفاده از فایروالهای داخلی ایرانی در Edgeها قبل از فایروالهای خارجی
• استفاده از آنتیویروس ایرانی در مرکز داده
• Apply کردن Patchهای امنیتی با طمانینه و دقتق
• استفاده از ابزارهای مانیتورینگ داخلی جهت کنترل تجهیزات و Logها به صورت دقیق
برای توضیح این مطالب به ذکر مثالی میپردازم:
در بازدید از وضعیت امنیت در یک مرکز داده مشخص شد سازمان مورد بحث از ACS برای کنترل دسترسیهای مورد نیاز به تجهیزات شبکه و امنیتی اعم از سوئیچ، روتر و فایروال استفاده میکند. ضمن اینکه به منظور استفاده از ACS مجبور به Crack نسخه مربوطه شده بود. در ادامه و پس از بررسیهای انجامشده در مورد روش Crack، معلوم شد که نرمافزار مورد استفاده روی عملکرد تابعی که وظیفه کنترل دسترسی را بر عهده داشت خلل ایجاد میکند و برای هرگونه دسترسی، پیغام دسترسی و امضای مجاز به عنوان خروجی خود صادر میکرد.
همانطور که متوجه شدید متاسفانه یک چنین سوراخ امنیتی بزرگی در نرمافزاری که وظیفه تامین امنیت تمامی تجهیزات شبکه یک مرکز داده سازمانی مهم را بر عهده دارد، موجود است و حتی مشاور سازمان نیز از این نکته غافل مانده است.
منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91