آبجی
27th May 2010, 11:55 PM
در درک امنیت خیلی مهم است که هیچ کس نمی تواند بگوید"بهترین فایروال چیست؟"دوچیز نامتناهی ودست نیافتنی وجود دارد:امنیت مطلق ودسترسی مطلق .بهترین امنیتی که برای یک کامپیوتر می توانیم تامین کنیم آنست که دستگاه را از شبکه جدا کنیم وخاموش کرده درون یک صندوق قفل کرده در اعماق دریا پرتاب کنیم.بدبختانه راه حل مناسبی در این شرایط نیست.
یک کامپیوتر با دسترسی مطلق کاملا آماده استفاده است:حاضر وآماده هرچه که شما بگویید را انجام می دهدبدون هیچ پرسشی هیچ کنترل مجوزی ورمز ورودی یا هر مکانیسم دیگر.بدبختانه این هم عملی نیست.حالا مایک همسایه بد بنام اینترنت داریم وطولی نخواهد کشید که برخی آدمهای کله خراب به کامپیوتر دستور بدهند که کاری مثل نابود کردن خودش راانجام بدهد.واین هم اصلا عملی نیست.هیچ تغییری در زندگی روزمره ما اتفاق نمی افتد.ما تصمیماتی را می گیریم که کدام خطر را قبول کنیم.وقتی سوار ماشین می شویم که به سرکار برویم یک ریسک می کنیم ممکن است چیزهایی خارج از کنترل باعث یک تصادف در بزرگراه شود.وقتی سوار هواپیما می شویم ریسکی را به بهای راحتی خود می پذیریم.ولی اکثر مردم تصور ذهنی از ریسکهای قابل پذیرش برای خود دارندو نمی خواهندفراتر از آن تحلیلی داشته باشند.اگر من در بالا خانه منزل خود باشم راحتترین کار برای رفتن به سر کار پریدن از پنجره است ولی خطر مصدومیت برراحتی آن می چربد.
هر سازمانی نیاز به تصمیم گیری برای خود وانتخاب از میان دو امنیت تام ودسترسی تام دارند.یک سیاست برای تشریح این موضوع مورد نیاز است وسپس تعیین اینکه چگونه به وسیله ممارست واین قبیل اعمال اجرا شوند؟
هر کاری تحت عنوان امنیت انجام می گیرد می بایست تحت عنوان سیاست(امنیت) یکدست ویکنواخت شود.
اکنون ما دارای اطلاعات کافی درباره شبکه هستیم که بتوانیم وارد مفاهیم امنیت شویم.اول ازهمه انواع خطرات که شبکه های کامپیوتری را تهدید می کنند مرور وسپس برخی راههای حفاظت مقابل حملات ویروسی که می توانیم انجام بدهیم.
denial of service: این حملات احتمالا" بدترین نوع هستندومشکلترین در شناسایی .بدترین چراکه آسانترین برای ابتلا ومشکلترین (غیرممکن در برخی موارد) در ردگیری ورد کردن درخواست مهاجم آسان نیست.همچنین درخواستهای قانونی سرویس.اثبات حملهdos آسان است:ارسال درخواستهای بیشتر یه ماشین مبتلا.ابزاری در اجتماعات زیرزمینی وجود دارد که این مسئله را که اجرای یک برنامه وگفتن اینکه کدام میزبان قرار است منفجر شود! بسادگی انجام میدهند.برنامه مهاجمان براحتی یک کانکشن بروی پورت برخی از سرویسها ایجاد می کندو جعل اطلاعاتheader پکتها اطلاعاتی که حاوی نشانی مبدا پکتها هستند وسپس قطع ارتباط .
اگر کامپیوتر میزبان قادر به پاسخگویی به 20درخواست در ثانیه باشد مهاجم 50درخواست در ثانیه می فرستد.کاملا مشهود است که کامپیوتر قادر به پاسخگویی به درخواست مهاجمان نیست وحتی خیلی کمتر به درخواستهای قانونی سیتم(می تواند جواب دهد) بطور مثال(کلیک کردن روی یک لینک در یک سایت).
برخی حملات در سالهای قبل از 96 و97 خیلی معمولی بودند اما امروزه دیگر چندان محبوب نیستند.
برخی راهکارها برای کاهش اثرات حمله dos بدین شرح هستند:
-استفاده از پکت فیلترینگ برای جلوگیری از ورود پکتهای جعل شده به فضای شبکه شما.
-بروز کردن وصله های امنیتی سیتم های عامل کامپیوترها.
یک کامپیوتر با دسترسی مطلق کاملا آماده استفاده است:حاضر وآماده هرچه که شما بگویید را انجام می دهدبدون هیچ پرسشی هیچ کنترل مجوزی ورمز ورودی یا هر مکانیسم دیگر.بدبختانه این هم عملی نیست.حالا مایک همسایه بد بنام اینترنت داریم وطولی نخواهد کشید که برخی آدمهای کله خراب به کامپیوتر دستور بدهند که کاری مثل نابود کردن خودش راانجام بدهد.واین هم اصلا عملی نیست.هیچ تغییری در زندگی روزمره ما اتفاق نمی افتد.ما تصمیماتی را می گیریم که کدام خطر را قبول کنیم.وقتی سوار ماشین می شویم که به سرکار برویم یک ریسک می کنیم ممکن است چیزهایی خارج از کنترل باعث یک تصادف در بزرگراه شود.وقتی سوار هواپیما می شویم ریسکی را به بهای راحتی خود می پذیریم.ولی اکثر مردم تصور ذهنی از ریسکهای قابل پذیرش برای خود دارندو نمی خواهندفراتر از آن تحلیلی داشته باشند.اگر من در بالا خانه منزل خود باشم راحتترین کار برای رفتن به سر کار پریدن از پنجره است ولی خطر مصدومیت برراحتی آن می چربد.
هر سازمانی نیاز به تصمیم گیری برای خود وانتخاب از میان دو امنیت تام ودسترسی تام دارند.یک سیاست برای تشریح این موضوع مورد نیاز است وسپس تعیین اینکه چگونه به وسیله ممارست واین قبیل اعمال اجرا شوند؟
هر کاری تحت عنوان امنیت انجام می گیرد می بایست تحت عنوان سیاست(امنیت) یکدست ویکنواخت شود.
اکنون ما دارای اطلاعات کافی درباره شبکه هستیم که بتوانیم وارد مفاهیم امنیت شویم.اول ازهمه انواع خطرات که شبکه های کامپیوتری را تهدید می کنند مرور وسپس برخی راههای حفاظت مقابل حملات ویروسی که می توانیم انجام بدهیم.
denial of service: این حملات احتمالا" بدترین نوع هستندومشکلترین در شناسایی .بدترین چراکه آسانترین برای ابتلا ومشکلترین (غیرممکن در برخی موارد) در ردگیری ورد کردن درخواست مهاجم آسان نیست.همچنین درخواستهای قانونی سرویس.اثبات حملهdos آسان است:ارسال درخواستهای بیشتر یه ماشین مبتلا.ابزاری در اجتماعات زیرزمینی وجود دارد که این مسئله را که اجرای یک برنامه وگفتن اینکه کدام میزبان قرار است منفجر شود! بسادگی انجام میدهند.برنامه مهاجمان براحتی یک کانکشن بروی پورت برخی از سرویسها ایجاد می کندو جعل اطلاعاتheader پکتها اطلاعاتی که حاوی نشانی مبدا پکتها هستند وسپس قطع ارتباط .
اگر کامپیوتر میزبان قادر به پاسخگویی به 20درخواست در ثانیه باشد مهاجم 50درخواست در ثانیه می فرستد.کاملا مشهود است که کامپیوتر قادر به پاسخگویی به درخواست مهاجمان نیست وحتی خیلی کمتر به درخواستهای قانونی سیتم(می تواند جواب دهد) بطور مثال(کلیک کردن روی یک لینک در یک سایت).
برخی حملات در سالهای قبل از 96 و97 خیلی معمولی بودند اما امروزه دیگر چندان محبوب نیستند.
برخی راهکارها برای کاهش اثرات حمله dos بدین شرح هستند:
-استفاده از پکت فیلترینگ برای جلوگیری از ورود پکتهای جعل شده به فضای شبکه شما.
-بروز کردن وصله های امنیتی سیتم های عامل کامپیوترها.