کنترل فایل‌های امنیتی سیستم

یكی از نقاط آسیب‌پذیر هر سیستم و یا شبكه كامپیوتری، فایل‌ها و دایركتوری‌های مهم، حیاتی و امنیتی آن هستند. فایل‌هایی مانند فایل ذخیره پسوردها یا ‌Login‌ها، فایل‌های مبتنی بر سیاست امنیتی سیستم و دایركتوری‌هایی كه دارای مجوز مدیر سیستم هستند، اگر به‌درستی محافظت و كنترل نشوند، امنیت سیستم به‌خطر خواهدافتاد. بسیاری از حملات و سناریوهای نفوذ با هدف قرار دادن فایل‌هایی برروی سیستم و شبكه‌ قربانی شروع می‌شوند كه به‌نوعی برای نفوذگر مهم و پراهمیت هستند.
جعل یك فایل، تزریق یك فایل به سیستم شبكه، عبور از سد دسترسی به یك دایركتوری و تغییر كاركرد و ماهیت فایل‌های سیستم همه و‌همه ازشیوه‌های رایج نفوذ محسوب می‌شوند. اطمینان از صحت فایل‌ها، گزارش‌گیری از تغییرات در سیستم فایل و ایجاد مكانیزم‌های احراز هویت برای دسترسی به فایل‌ها و رمز كردن داده‌های مهم و حیاتی از مهمترین اقدامات مدیران سیستم برای دست‌یابی به یك سیستم امن می‌تواند باشد. با استفاده از Tripwire می‌توان از درستی فایل‌ها و داده‌های سیستم اطمینان حاصل كرد و هرگونه تغییر در سیستم فایل را مشاهده و ردگیری كرد. این قابلیت توانایی‌های زیادی را دراختیار مدیران شبكه برای مقابله با طیف گسترده‌ای از حملات، ویروس‌ها و كرم‌های اینترنتی می‌دهد.
● یك ضرورت
چگونه می‌توان‌‌فهمید كه در طی اتصال به اینترنت، یك فایل ناشناخته برروی سیستم شما نشسته است؟ و یا یك برنامه مانند جاسوس‌افزار در رجیستری سیستم عامل تغییراتی را ایجاد ‌كرده است و یا حتی سیستم شما آلوده به یك ویروس مخرب است ؟ آیا مطمئن هستید اكنون یك اسب‌تروا و یا Backdoor برروی سیستم شما نصب نشده‌است و تمامی اطلاعات حیاتی سیستم شما را از طریق اینترنت به یك مقصد مشخص نمی‌فرستد؟ چگونه می‌خواهید سیستم خود را در مقابل این‌گونه حملات ایمن كنید؟
آیا ضد‌ویروس‌ها دارای قدرت كافی برای مقابله با این طیف وسیع از خطرات اینترنتی هستند؟ گونه‌ای حملات كه به حملات hijack معروف هستند، یك فایل جعلی و ساخته شده توسط نفوذگر را به‌جای فایلی كه مثلا شما از یك سایت درخواست كرده‌اید، به ‌سمت كامپیوتر شما روانه می‌كنند و شما بدون‌اینكه بدانید آن‌را گرفته و برروی سیستم استفاده می‌كنید.
در هنگام استفاده، فایل‌های مكمل نیز نصب شده و در اتصال بعدی ، هكر هر آنچه كه از كامپیوترشما نیاز دارد را به‌دست خواهدآورد. چگونه باید از فعالیت مخفیانه این‌گونه فایل‌ها مطلع شد؟ اگر مسوول شبكه محلی یك سازمان هستید و یا در اداره خودتان یك شبكه راه‌ندازی كرده‌اید تاكنون فكر كردید چگونه می‌شود فهمید كه فایل‌های سیستم و یا شبكه و یا ابزار شبكه مانند فایروال‌ها و روترها دست‌كاری شده‌اند یا خیر و یا این‌كه از فایل‌های حیاتی و مهم خود كه می‌توانند مورد حمله قرار بگیرند محافظت می‌كنید؟
همه این پرسش‌ها نیازمندی به‌كارگیری یك مكانیزم امنیتی برای گزارش‌گیری از سیستم فایل به‌صورت روزانه و یا در زمان‌های خاص و مشاهده تغییرات صورت گرفته و احیانا دسترسی غیر مجاز به فایل‌های امنیتی را مشخص می‌كند.
● Tripwire چیست؟
Tripwire نرم افزاری برای مانیتورینگ سیستم و مشاهده هر گونه تغییر در سیستم است. Tripwire با استفاده از بانك داده‌ای كه برایش تعریف شده است سیستم را بررسی می‌كند و هرگونه تغییر در محتویات و یا خصوصیات فایل مانند اندازه فایل یامجوز فایل، مكان فایل را به مدیر سیستم گزارش می‌دهد. مسوول شبكه می‌تواند با تنظیم و پیكربندی این نرم‌افزار از هر گونه تغییر در سیستم خودمطلع شود.
Tripwire نسبت به هرگونه تغییر، اضافه و یا پاك شدن داده‌ای برروی سیستم بسیار حساس است و این تغییر را در فایل‌های خود ثبت كرده و توسط ایمیل با فرمت‌های مانند HTML و XML به مسوول سیستم گزارش می‌دهد و این امكان به‌راحتی فراهم می‌شود كه بتوان تمام تحركات سیستم‌عاملی شبكه، ابزار و سرویس‌دهندهای خود را تحت نظر گرفت و از امنیت سیستم اطمینان حاصل كرد. در ابتدای نصب و پیكربندی ابزار Tripwire از كل سیستم یك تصویر Snoppshot گرفته و در یك فایل بانك اطلاعاتی ذخیره می‌كند.
Tripwire با توجه به پیكربندی خود، مثلا در هر اتصال به شبكه، با مقایسه سیستم فایل با بانك اطلاعاتی كه در اصطلاح به آن baseline گفته می‌شود هر گونه تغییر یا عدم صحت فایل را گزارش می‌دهد. اگر توسط مدیر سیستم تغییراتی صورت گیرد باید بانك اطلاعاتی بروز شده و تغییرات صورت گرفته شده ثبت شوند. ویژگی Tripwire قابلیت استفاده در هر سكوی اجرایی و با هر سیستم است. قدرت و انعطاف این ابزار در سیستم‌های خانواده یونیكس نمایان می‌شود و بیشتر كارایی دارد ولی نسخه‌های تجاری از این برنامه هم برای ویندوزهای ۲۰۰۰ ، NT و اكس‌پی تهیه شده است.
Tripwire قابل استفاده با ابزارهای شبكه مانند سوییچ‌ها و روترها نیز می‌باشد و در سرویس دهنده‌ها نیز قابل نصب است. این برنامه همچنین دارای یك رابط‌ گرافیكی برای مدیریت برنامه است ولی در سیستم‌عامل‌هایی مانند لینوكس به‌راحتی در رابط‌های تحت خط فرمان قابل پیكربندی و استفاده است.
▪ چگونه عمل می‌كند؟
شكل دو مراحل چگونگی كار كردن نرم افزار Tripwire را نمایش می‌دهد. بعد از نصب و پیكربندی نرم افزار و تنظیم‌‌كردن سیاست‌های امنیتی برای آن، Tripwire اقدام به تهیه یك بانك‌اطلاعاتی از تمام سیستم فایل و خصوصیات فایل‌ها و رجیستری سیستم همراه كاربران، گروه‌ها، مجوزها و دسترسی‌ها، برنامه‌های اجرا شده برروی سیستم و تمامی ابزار مرتبط با سیستم می نماید. به این بانك‌اطلاعاتی baseline گفته می‌شود. تمامی این اطلاعات در یك فایل قرارگرفته و رمزنگاری می‌كند تا اطلاعات آن به‌راحتی قابل خواندن نباشد. این فایل مبنای عملیات‌ بعدی خواهد بود و هر تغییری نسبت به این فایل تشخیص داده خواهد شد. یك نكته مهم بروز رسانی به‌موقع این فایل است.
مدیر سیستم به‌صورت مجاز هر تغییری در سیستم اعمال كند باید متعاقب آن مجددا اقدام به پیكربندی و تهیه baseline نماید و این تغییرات صورت گرفته را برای Tripwire تعریف كند. این ابزار این قابلیت را دارد كه به‌صورت روزانه یا در زمان‌هایی خاص كه برای آن تعریف شده است اقدام به بررسی سیستم فایل نماید و تمامی تغییرات صورت گرفته را در یك فایل قرار داده و به كامپیوتر سرور و یا كامپیوتر راه دور مدیر سیستم ارسال كند.
در زمان كنترل كردن Tripwire تمام حالت فعلی سیستم را در زمانی كه می‌خواهد سیستم را بررسی كند ضبط كرده و اقدام به مقایسه با baseline می‌نماید و هرگونه تغییر و یا اختلاف، اعم از تغییر محتویات یك فایل امنیتی یا یك دسترسی غیرمجاز و یا اضافه و كم شدن یك فایل، اجرای یك برنامه خاص و تغییر در ساختار سیستم فایل، را گزارش می‌دهد.
این امكان وجود دارد كه شما گزارش‌های گوناگونی از سیستم تهیه كنید و یا فقط در هر گزارش‌گیری برخی از پارامترها را مورد بررسی قرار دهید. با توجه به طیف گسترده كاربرد Tripwire و اجرای آن برروی انواع سیستم عامل‌ها و سرویس‌دهنده‌ها وادوات شبكه به‌راحتی این امكان به‌وجود خواهد آمد كه بتوان تمام تحركات یك شبكه را تحت نظر داشت و از هرگونه تغییری مطلع شد.
هر نرم افزار Tripwire از چهار فایل بنیادی استفاده می كند:
۱) فایل سیاست‌های امنیتی:
در این فایل تمامی پیكربندی نرم‌افزار و سیاست‌هایی كه توسط كاربر به آن داده شده‌است نگهداری می‌شود. این فایل مرتبا در حال تغییر و بروزرسانی خواهد بود و عملیات‌ نرم‌افزار را تعریف خواهد كرد. پیكربندی و تنظیم كردن این فایل تاثیری مستقیم در قدرت نرم افزار و توانایی آن در تشخیص آسیب‌پذیری‌های امنیتی برای هر مدیر سیستم خواهد بود.
۲) فایل بانك اطلاعاتی:
مهمترین فایل برای نرم‌افزار است كه همیشه حالت صحیح سیستم را در خود نگهداری می‌كند. در هر زمان كه نیاز به كنترل‌كردن و گزارش‌گیری از سیستم باشد حالت فعلی سیستم با این فایل مقایسه می‌شود.
۳) فایل گزارش‌گیری:
از این فایل برای بررسی تغییرات سیستم و كنترل صحت فایل‌ها و عملیات‌ها استفاده می‌شود.Tripwire با خواندن فایل سیاست‌های امنیتی این فایل را پیكربندی می‌كند تا بتواند یك گزارش كامل از درخواست های مدیر سیستم تهیه كند.
۴) فایل پیكربندی:
این فایل تمامی تنظیمات مربوط به خود نرم‌افزار را نگهداری می‌كند. چگونگی كار نرم افزار و انجام مراحل كار بستگی به محتویات این فایل دارد.
خصوصیاتی كه Tripwire در ویندوز بررسی و گزارش‌گیری می‌كند عبارتند از:
▪ اضافه، حذف و تغییر یك فایل‌
▪ ردگیری عملیات‌ یك فایل‌
▪ فلگ‌های archive ،read-only ،hidden ،offline ،temporary ،system ،compressed ،encrypted
▪ آخرین دسترسی به فایل‌
▪ آخرین زمان نوشتن در فایل‌
▪ زمان ساخت فایل‌
▪ نوع فایل و اندازه فایل‌
▪ خواندن اسامی فایل‌های MS-DOS ۸.۳
▪ فلگ‌های سیستم فایل NTFS
▪ SDC و اندازه SDC برای هر فایل و دایركتوری‌
▪ بررسی جریان داده ها به‌طور متناوب
▪ كار با توابع و الگوریتم‌های Hash ،CRC ۳۲ ،POSIX ،۵MD ،RSA ،SHS/SHA ،HAVAL و...
● سكوهای اجرای Tripwire
▪ Compaq Tru۶۴ UNIX ۴.۰F, ۴.۰G, ۵.۰A, ۵.۱&۵.۱A
▪ FreeBSD ۴.۵, ۴.۶ & ۴.۷
▪ HP-UX ۱۰.۲۰, ۱۱.۰ & ۱۱i
▪ IBM AIX ۴.۳.۳ & ۵.۱
▪ (Linux ( kernal ۲.۲ and higher
▪ Solaris (SPARC) ۲.۶, ۷, ۸ & ۹
▪ Windows NT ۴.۰,۲۰۰۰ & XP Pro