کنترل‌های فایل‌های امنیتی سیستم

▪ یك ضرورت
چگونه می توان فهمید كه در طی اتصال به اینترنت،یك فایل ناشناخته بر روی سیستم شما نشسته است؟ و یا یك برنامه مانند جاسوس افزار در رجیستری سیستم عامل تغییراتی را ایجاد كرده است و یا حتی سیستم شماآلوده به یك ویروس مخرب است؟ آیا مطمئن هستید اكنون یك اسب تروا و یا Backdoor بر روی سیستم شما نصب نشده است و تمامی اطلاعات حیاتی سیستم شما را از طریق اینترنت به یك مقصد مشخص نمی فرستد؟ چگونه می خواهید سیستم خود را در مقابل این گونه حملات ایمن كنید؟ آیا ضد ویروس ها دارای قدرت كافی برای مقابله با این طیف وسیع از خطرات اینترنتی هستند؟ گونه ای حملات كه به حملات hijack معروف هستند، یك فایل جعلی ساخته شده توسط نفوذگر را به جای فایلی كه مثلا شما از یك سایت درخواست كرده اید، به سمت كامپیوتر شما روانه می كنند و شما بدون اینكه بدانید آن را گرفته و بر روی سیستم استفاده می كنید. در هنگام استفاده،فایل های مكمل نیز نصب شده و در اتصال بعدی،هكر هر آنچه كه ز كامپیوتر شما نیاز دارد را به دست خواهد آورد. چگونه باید از فعالیت مخفیانه این گونه فایل ها مطلع شد؟ اگر مسئول شبكه محلی یك سازمان هستید و یا در اداره خودتان یك شبكه راه اندازی كرده اید تاكنون فكر كردید چگونه می شود فهمید كه فایل های سیستم و یا شبكه و یا ابزار شبكه مانند فایروال ها و روترها دست كاری شده اند یا خیر و یا اینكه از فایل های حیاتی و مهم خود كه می توانند مورد حمله قرار بگیرند محافظت می كنید؟ همه این پرسش ها نیازمندی به كار گیری یك مكانیزم امنیتی برای گزارش گیری از سیستم فایل به صورت روزانه و یا در زمان های خاص و مشاهده تغییرات صورت گرفته واحیانا دسترسی غیر مجاز به فایل های امنیتی را مشخص می كند.
▪ Tripwire چیست؟
Tripwire نرم افزاری برای مانیتورینگ سیستم و مشاهده هر گونه تغییر در سیستم است. Tripwire با استفاده از بانك داده ای كه برایش تعریف شده است سیستم را بررسی می كند و هر گونه تغییر در محتویات و یا خصوصیات فایل مانند اندازه فایل یا مجوز فایل، مكان فایل را به مدیر سیستم گزارش می دهد. مسئول شبكه می تواند با تنظیم و پیكربندی این نرم افزار از هر گونه تغییر در سیستم خود مطلع شود. Tripwire نسبت به هر گونه تغییر،اضافه و یا پاك شدن داده ای بر روی سیستم بسیار حساس است و این تغییر را در فایل های خود ثبت كرده و توسط ایمیل بافرمت های مانند HTML و XML به مسئول سیستم گزارش می دهدو این امكان به راحتی فراهم می شود كه بتوان تمام تحركات سیستم عاملی شبكه ابزار و سرویس دهنده های خود را تحت نظر گرفت و از امنیت سیستم اطمینان حاصل كرد. در ابتدای نصب و پیكربندی ابزار Tripwire از كل سیستم یك تصویر Snoppshot گرفته ودر یك فایل بانك اطلاعاتی ذخیره می كند. Tripwire با توجه به پیكربندی خود مثلا در هر اتصال به شبكه با مقایسه سیستم فایل با بانك اطلاعاتی كه در اصطلاح به آن baseline گفته می شود هر گونه تغییر یا عدم صحت فایل را گزارش می دهد. اگر توسط مدیر سیستم تغییراتی صورت گیرد باید بانك اطلاعاتی بروز شده و تغییرات صورت گرفته شده ثبت شوند،ویژگی Tripwire قابلیت استفاده در هر سكوی اجرایی و با هر سیستم است. قدرت و انعطاف این ابزار در سیستم های خانواده یونیكس نمایان می شود و بیشتر كارایی دارد ولی نسخه های تجاری از این برنامه هم برای ویندوزهای NT ، ۲۰۰۰ و اكس پی تهیه شده است. Tripwire قابل استفاده با ابزارهای شبكه مانند سوییچ ها و روترها نیز می باشد و در سرویس دهنده ها نیز قابل نصب است. این برنامه همچنین دارای یك رابط گرافیكی برای مدیریت برنامه است ولی در سیستم عامل هایی مانند لینوكس به راحتی در رابط های تحت خط فرمان قابل پیكربندی و استفاده است.
▪ چگونه عمل می كند؟
بعد از نصب و پیكربندی نرم افزار و تنظیم كردن سیاست های امنیتی برای آن،Tripwire اقدام به تهیه یك بانك اطلاعاتی از تمام سیستم فایل و خصوصیات فایل ها رجیستری سیستم همراه كاربران،گروه ها،مجوزها و دسترسی ها، برنامه های اجرا شده بر روی سیستم و تمامی ابزار مرتبط با سیستم می نماید. به این بانك اطلاعاتی baseline گفته می شود. تمامی این اطلاعات در یك فایل قرار گرفته و رمزنگاری می كند تا اطلاعات آن به راحتی قابل خواندن نباشد،این فایل مبنای عملیات بعدی خواهد بود و هر تغییری نسبت به این فایل ها تشخیص داده خواهد شد. یك نكته مهم بروز رسانی به موقع این فایل است. مدیر سیستم به صورت مجاز هر تغییری در سیستم اعمال كند باید متعاقب آن مجددا اقدام به پیكربندی و تهیه baseline نماید و این تغییرات صورت گرفته را برای Tripwire تعریف كند. این ابزار این قابلیت را دارد ك به صورت روزانه یا در زمان هایی خاص كه برای آن تعریف شده است اقدام به بررسی سیستم فایل نماید و تمامی تغییرات صورت گرفته را در یك فایل قرار داده و به كامپیوتر سرور و یا كامپیوتر راه دور مدیر سیستم ارسال كند. در زمان كنترل كردن Tripwire تمام حالت فعلی سیستم را در زمانی كه می خواهد سیستم را بررسی كند ضبط كرده و اقدام به مقایسه با baseline می نماید و هر گونه تغییر ئ یا اختلاف،اعم از تغییر محتویات یك فایل امنیتی یا یك دسترسی غیرمجاز و یا اضافه و كم شدن یك فایل،اجرای یك برنامه خاص و تغییر در ساختار سیستم فایل را گزارش می دهد. این امكان وجود دارد كه شما گزارش های گوناگونی از سیستم تهیه كنید و یافقط در هر گزارش گیری برخی از پارامترها را مورد بررسی قرار دهید. با توجه به طیف گسترده كاربرد Tripwire و اجرای ان بر روی انواع سیستم عامل ها و سرویس دهنده ها واردات شبكه به راحتی این امكان به وجود خواهد آمد كه بتوان تمام تحركات یك شبكه را تحت نظر داشت و از هر گونه تغییری مطلع شد. هر نرم افزار Tripwire از چهار فایل بنیادی استفاده می كند:
فایل سیاست های امنیتی : در این فایل تمامی پیكربندی نرم افزار و سیاست هایی كه توسط كاربر به آن داده شده است نگهداری می شود. این فایل مرتبا در حال تغییر و بروز رسانی خواهد بود و عملیات نرم افزار را تعریف خواهد كرد. پیكربندی و تنظیم كردن این فایل تاثیری مستقیم در قدرت نرم افزار و توانایی آن در تشخیص آسیب پذیری های امنیتی برای هر مدیر سیستم خواهد بود.
فایل بانك اطلاعاتی: مهمترین فایل برای نرم افزار است كه همیشه حالت صحیح سیستم را در خود نگهداری می كند. در هر زمان كه نیاز به كنترل كردن و گزارش گیری از سیستم باشد حالت فعلی سیستم با این فایل مقایسه می شود.
فایل گزارش گیری: از این فایل برای بررسی تغییرات سیستم و كنترل صحت فایل هاو عملیات ها استفاده می شود. Tripwire با خواندن فایل سیاست های امنیتی این فایل را پیكربندی می كند تا بتواند یك گزارش كامل از درخواست های مدیر سیستم تهیه كند.
فایل پیكربندی: این فایل تمامی تنظیمات مربوط به خود نرم افزار را نگهداری می كند. چگونگی كار نرم افزار و انجام مراحل كار بستگی به محتویات این فایل دارد. خصوصیاتی كه Tripwire در ویندوز بررسی و گزارش گیری می كند عبارتند از :
• اضافه، حذف و تغییر یك فایل
• ردگیری عملیات یك فایل
• فلگ های encrypted, compressed, system, temproary, offine, hidden, read-only, archive
• آخرین دسترسی به فایل
• آخرین زمان نوشتن در فایل
• زمان ساخت فایل
• نوع فایل و اندازه فایل
• خواندن اسامی فایل های MS-DOS۸.۳
• فلگ هیا سیستم فایل NTFS
• SDC و اندازه SDC برای هر فایل و دایركتوری
• بررسی جریان داده ها به طور متناوب
• كار با توابع و الگوریتم های HAVAL, SHSSHA, PSA, MD۵, POSIX, CRC۳۲, Hash و ...
● سكوهای اجرای Tripwire
• Compaq Tru۶۴ UNIX۴.OF, ۴.OG, ۵.OG, ۱&۵.۱A
• FreeBSD۴.۵, ۴.۶&۴.۷
• HP-UX۱۰.۲۰, ۱۱.۰&۱۱i
• IBM AIX۴.۳.۳&۵.۱
• Linux ( Kernal ۲.۲andhigher)
• Solaris ( SPARC)۲.۶.۷۸&۹
• Windows NT۴.۰. ۲۰۰۰ & XP Pro