مبارزه جدی و قوی بر علیه حملات وارده بر برنامه کاربردی وب

پس از گذشت حدود ۲۰ سال از فروش نرم افزار در صنعت خدمات مالی, بالاخره Baker Hill دو سال پیش تصمیم گرفت به یک سرویس دهنده برنامه ای تبدل شود که امکان دستیابی به برنامه های آن روی وب میسر باشد Eric Beasley مدیر ارشد شبکه Baker Hill در کارمل هندوستان می گوید, شرکت به منظور پشتیبانی از این طرح جدید و با استفاده از تکنولوژی سرور وب Internet Information Server IIS و Active Directory و SQL Server ۲۰۰۰ شرکت مایکروسافت, یک ساختار وب را ایجاد نمود

پس از گذشت حدود ۲۰ سال از فروش نرم‌افزار در صنعت خدمات مالی، بالاخره Baker Hill دو سال پیش تصمیم گرفت به یک سرویس دهنده برنامه‌ای تبدل شود که امکان دستیابی به برنامه‌های آن روی وب میسر باشد. Eric Beasley مدیر ارشد شبکه Baker Hill در کارمل هندوستان می‌گوید، شرکت به منظور پشتیبانی از این طرح جدید و با استفاده از تکنولوژی سرور وب (Internet Information Server (IIS و Active Directory و SQL Server ۲۰۰۰ شرکت مایکروسافت، یک ساختار وب را ایجاد نمود. انتخاب این تکنولوژی با وجود کلاینتهای فراوانی که اطلاعات آنها درباره حملات Nimda و Code Red به پلاتفرمهای مایکروسافت کامل می‌باشد، چندان مناسب نبود. Beasley می‌گوید، ما مشتریانی داشتیم که قصد همکاری تجاری با آمریکا را نداشتند مگر در صورتیکه روشی برای ایمن ساختن محیط مایکروسافت پیدا می‌کردیم. این نگرانیها بخاطر این بود که برنامه‌ها کم‌کم داشت طعمه حملات الکترونیکی قرار می‌گرفت. متخصصان می‌گویند فایروالها کار محافظت بر عیله حملات در سطح شبکه را بخوبی انجام می‌دهند و فروشندگان سیستم عامل نیز بیشتر آسیب پذیریهای شناخته شده در آنها را از بین برده‌اند.

Scott Blake، معاون بخش امنیت اطلاعات در شرکت Bind View می‌گوید، لایه برنامه تنها چیزی‍ است که با قیمانده است. John Pescatore، تحلیلگر شرکت گارتنر می‌گوید، دلیل دیگری که برنامه‌های کاربردی هدف اصلی‍ قرار می‌گیرند این است که هیچگونه کم‌ و کاستی از نظر آسیب‌پذیری در آنها وجود ندارد و سواستفاده از آنها نیز بسیار ساده است. تحقیقات گارتنر در سال ۲۰۰۲ نشان می‌‌دهد که ۷۰ درصد از کل حملات موفق به سواستفاده از آسیب‌پذیری‌های موجود در برنامه شده است. او می‌گوید، اگر کرمهای Slammer، Blaster و ... را که در سال گذشته ظاهر شدند بخاطر داشته و با آنها مواجه شده باشید اکنون می‌دانید که مقدار آنها به بیش از ۹۰ درصد می‌رسد. Pescatore می‌گوید، مشکلاتی که عامل ایجاد این سو استفاده هستند به دو دسته تقسیم می‌شوند: یکی معایبی که برای آنها Patch عرضه شده ( حدود ۳۵ درصد) و دیگری برنامه‌هایی که بطور نادرست و اشتباه پیکربندی شده‌اند. (۶۵ درصد).

● کتاب راهنمای هکر

Fred Avolio، رئیس Avdio Consutting می‌گوید، یک هکر برای سو استفاده معمولا بدنبال آسیب‌پذیریهایی می‌گردد که او را قادر به دستیابی اساسی به پلاتفرمهای سرور از جمله SQL Server مایکروسافت، IIS و سرورهای وب Appache می سازد. در بین انواع حملات مخرب و خطرناک می‌توان به SQL اشاره کرد که رایج‌ترین آنها به شمار می‌رود و در آن یک مهاجم فرمانهای ناخواسته SQL را درون یک نوع فیلد برنامه وب قرار می دهد. این کار به مهاجم امکان می‌دهد تا فرمانها را روی سرور پایگاه داده سرویس دهنده به اجرا در آورد و در اصل حق و حقوق مدیر را بدست گیرد. حملات پیاپی با بافر نیز فقط یک برنامه کاربردی حاوی چند نوع داده را بجای کنترل به اجرا در می‌آورد و به مهاجم امکان می‌دهد تا فرمانها را روی سیستم مورد هدف به اجرا در آورد. از دیگر سواستفاده‌های رایج می‌توان به نوشتن سایت متقابل اشاره کرد که Brake می‌گوید در حملات Phishing رواج دارد. نوشتن سایت متقابل به صور مختلفی انجام می‌شود مثال اغفال کاربران برای برقراری ارتباط با یک سایت وب معروف برای جمع‌آوری اطلاعات شخصی یا تصاحب Session وب کاربر.

● ترفندهای دفاعی

یکی از بهترین انواع دفاع بر علیه حملات به سطح برنامه کاربردی عدم پیروی از دیگران است چون مهاجمان معمولا برنامه‌هایی را هدف قرار می‌دهند که کاربرد بیشتری دارند. Blake می‌گوید، این فقط به سرمایه‌گذاری از دیدگاه هکر بر می‌گردد که معمولا برای کسب موفقیت از نظر ناهمگنی و رسیدن به یک هدف کوچکتر از تکنولوژی استفاده می‌کند که کاربرد کمتری دارد. برای نمونه می‌توان برنامه‌های داخلی را نام برد. که نسبت به سایر برنامه‌های خارجی آماده مصرف کمتر هدف قرار می‌گیرند. Pescatore همچنین طرفدار تنوع طلبی در سیستم عامل و پلاتفرمهای سرور است. او می‌گوید، این امر هزینه مدیریت بر IT را افزایش می‌دهد و از طرفی احتمال قطعی برق فاجعه‌آمیز را کاهش می‌دهد. Pescatore می‌گوید، یک ترفند دیگر نمایش سرویس‌هایی روی اینترنت است که شما واقعا به آنها نیاز دارید. برای مثال Slammer از پایگاه‌های داده سرور SQL بسیاری که ضرورتی برای نمایش آنها در اینترنت وجود ندارد، سود می‌جوید. این همچنین فکر خوبی است برای تقسیم برنامه‌های مهم جهت محدود ساختن نمایش‌های بی مورد و غیر ضروری در شرکت.

او می‌گوید، اگر یک کرم بزرگ به محیط دفتر کار من راه یابد جای تاسف دارد ولی اگر روی سیستمی منتشر شود که زمان حرکت قطارها را تعیین می‌کند و قطارها نیز در اینصورت ایستگاه را ترک نخواهد کرد، این یک فاجعه است.

● دفاع منطقه‌ای

Douglas Brown، مدیر منابع امنیتی دانشگاه کارولینای شمالی واقع در Chapel Will از یک دستگاه مانع هر گونه تهاجم محصول شرکت Tripping Point Technologies برای تقسیم شبکه خود به چند ناحیه استفاده می کند. براون می‌گوید، آیا باید یک آلودگی را درون یک ناحیه مشخص معرفی و تعریف کرد و آیا دستگاه Tripping Point Unity One ۲۴۰۰ باید اینگونه عمل کند. دانشگاه محصول tripping point را در اواخر ماه آگوست مورد بررسی قرار داده که همزمان با ظهور کرم Welchia است که برای از بین بردن و غلبه بر کرم Blaster عرضه شد و وارد اینترنت گردید. براون می‌گوید، ما متوجه شدیم که قسمت اعظمی از شبکه، بجز قسمتی که در آن دستگاه Tripping Point وجود داشت، کار نمی‌کند.

Tripping Point مثالی از یک سیستم مقاوم در برابر تهاجم (IPS) است که به ترکیبی از امضای حملات و شناسایی عجیب پروتکل‌ برای دفع حملاتی مثل Blaster و همنوعان آن تکیه می کند. براون می‌گوید، Tripping Point حداقل یک ماه قبل از blaster یک نمونه امضا را برای شناسایی و کشف هر گونه حملا در مقابل آسیب‌پذیری Remote Procedare call را که Blaster و Welchia آنرا هدف قرار داده بودند، به نمایش گذاشت. او می‌گوید، برخلاف سیستمهای شناسایی مزاحم (IDS) و UnityOne با وجود false positiveهایی که از خود نشان داده هیچگونه مشکلی را تاکنون برای او ایجاد نکرده است. یکی از دلایل آن این است که این دستگاه درست روی خط قرار می‌گیرد و می‌تواند کل ترافیک را رویت نماید که حدود ۵۰۰ مگابیت در ثانیه در هر دیسک است و می‌تواند همه مکالمات TCP را ردیابی نماید و همچنین محتوا را ایجاد کند در حالیکه IDS هایی مثال نرم‌افزار رایگان snort فقط می توانند از پورتهای آینه‌ای استفاده کنند و نمی‌توانند کل ترافیک را مشاهده نمایند.

از تابستان گذشته تاکنون براون unityone را در سراسر محیط دانشگاه نصب نموده است. او می‌گوید، ROI عاملی برای جلوگیری از حوادث مهمی بوده که شبکه ما را تحت تاثیر قرار می‌داده است و می‌گوید وقتی کرم Witty در ماه مارس کشف شد، دستگاه Tripping Point حدود ۵۰۰۰ بسته را در هر ساعت بلوکه کرد و وجود این کرم در دانشگاه بعنوان یک رویداد کاملا عادی و پیش پا افتاده تلقی می‌شد.

● بلوکه‌ها و راه حل‌های اولیه

یک دسته محصول دیگر بنام فایروالهای برنامه وب کار محافظت از برنامه‌ها را فقط با تعیین ترافیکهای مجاز و قانونی بعهده دارند، براون در حال بررسی یکی از این دستگاه‌ها می‌باشد که محصول Covelight Systems است و همزمان با او Beasley عضو Baker Hill نیز در حال آزمایش نوع دیگر محصول Teros است (شبکه‌های Stratum قبلی). Beasley می گوید، Teros Secure Application gateway می‌آموزد که چه عاملی سازنده رفتار طبیعی یک برنامه است و قوانینی را ایجاد می‌کند که کاربرد مجاز برنامه را تعریف می‌کند. همانطور که در پیش فرض آمده ترافیکی که تابع این قوانین نباشد حذف می‌شود. برای مثال اگر یک مهاجم بخواهد فرمانهای SQL را تزریق نماید، گیت‌وی ترافیکهای غیر عادی را شناسایی کرده و مانع آنها می شود. Beasley می‌گوید، جنبه مثبت آن این است که ارزیابی و بررسی فوری patch ها و راه‌حلهای مهم مایکروسافت وقت زیادی نمی‌گیرد. اکنون ما فرآیند ارزیابی را طی می‌کنیم و آنها را در محیط خود بکار می‌بریم ولی اینکار را زمانی انجام می‌دهیم که مطمئن شده باشیم patch مورد نظر سرورهای وب یا برنامه‌های کاربردی ما را خراب نمی‌کند.

گیت‌وی Teros همچنین دارای یک کارت شتاب (Secure Sockets Larger (SSL است که کارهای رمزگذاری فشرده و دشوار CPU و رمزگشایی سرورهای وب Baker Hill را انجام می‌دهد. Beasley می‌گوید، اینکار به ما امکان می‌دهد تا تعداد سرورهای وب کمتری را نسبت به نیاز خود به اجرا در آوریم. مزیت دیگر آن این است که فقط به یک گواهی SSL نیاز است تا یک گواهی برای هر سرور وب. برخلاف بعضی از فایروال‌های برنامه وبی که Beasley آنها را قبل از انتخاب خود حدود دو سال پیش ارزیابی نموده است، Teros به دستگاه امکان می‌دهد تا فایلهای سوابق و مجموعه قوانین مخصوص برنامه‌های کاربردی مختلف وب را اجرا نماید. قانون همه بازدیدکنندگان را ملزم می‌نماید تا Session خود را از صفحه اول ورود به سیستم آغاز نمایند که به کاهش "مرورهای اجباری" که به مهاجم امکان می‌دهد با استفاده از آنها به قسمتهای مختلف سایت مراجعه کند، کمک می‌نماید. تنها این موضوع باعث نگرانی و هراس است که مبادا یک فایروال برنامه کاربردی وب یا هر دستگاهی که بطور خودکار ترافیک را متوقف می‌کند، جلوی ترافیک قانونی و مجاز را هم بگیرد. Baker Hill هر طور شده باید جلوی این مسئله را بگیرد به همین منظور از دستگاه teros در بخش تضمین کیفیت خود برای آزمایشات استفاده می‌کند. همچنین دستگاهی را روی سایت رفع اشکال خود نصب کرده است که قبل از عرضه و نمایش هر گونه برنامه می‌تواند آزمایشات مربوطه را روی آنها انجام دهد.

این استراتژی مجدد، کارآیی خوبی دارد که Baker Hill دیگر از IDS خود چشم پوشید. Beasley می‌گوید، من از دردسرهای آن خسته و مریض شده بودم. مشکل بزرگ دیگری که او با IDS داشت درست مثل مشکل براون در UNC بود و آن هم این بود که رویت همه ترافیک روی یک شبکه کاملا تغییر یافته مشکل و یک معضل بود. شما باید بتوانید ارتباط برقرار کرده و به طور مداوم از پورتهای آینه‌ای استفاده کنید ولی با تمام این وجود باز درست کار نمی‌کند. Pescatore نقشها و وظایف گوناگون دستگاه‌های IPS و فایروال‌های برنامه کاربردی وب را می‌بیند. فروشندگانی مثل شرکتهای Teros، Sanctum، Netcontinuum و Kavado برای محافظت از سرورها و برنامه‌هار کاربردی وب مناسب هستند ولی برای محافظت بر عیله کرمهایی مثل Blaster و Slammer که آسیب‌پذیریهایی مخصوص را هدف قرار می‌دهند، مناسب نمی‌باشند و این ویژگی مثبت و مفید دستگاه‌های IPS منحصر به شرکتهای Tripping Point) که دارای شبکه‌های Intravert هستند و شرکتهای NetScreen Technologies Inc، Check Point Software Technologies با مسئولیت محدود، (Interspect) و شرکت Internet Security Systems با خط Proventia می‌باشد. pescatore پیش‌بینی می‌کند که تا سال ۲۰۰۶ کاربرد IPS ضمیمه فایروالهای نسل بعدی شود.

---

• بعدى
• 2
• 1
• قبلى

شما در حال مطالعه صفحه 1 از یک مقاله 2 صفحه ای هستید. لطفا صفحات دیگر این مقاله را نیز مطالعه فرمایید.