استفاده از
Network Intrusion
Detection System با توجه به افزایش روزافزون مخاطرات ناشناخته و یا غیرقابل پیش
بینی (حمله هایی که سرمنشا داخلی دارند و یا zero-day ها) انتخاب عاقلانه و در برخی
موارد اجباری است. محل به کارگیری یک
NIDS بر اساس این سه عامل قابل بررسی است:
-
بودجه
-
حساسیت و محرمانگی
-
توانایی ها و قابلیت های موجود در سازمان
اگر بتوان با عامل بودجه مقابله کرد، استفاده از سناریوی زیر
به عنوان الگوی اولیه (برای ارتباطات LANبهWAN) همواره بهترین نقطه شروع برای شبکه
هایی با حساسیت متوسط و بالا است (شبکه های سازمانی، شبکه های مالی و شبکه های
نظامی_یا محرمانه_):
-
سامانه پیشگیری/تشخیص نفوذ خارجی (External NIDS)
- پوشش امنیتی اولیه که به صورت پیش فرض تمامی درخواست ها را با
حالت Deny پاسخ می دهد:
۱- Router
با الزمات امنیتی و Access Control Lists
2- فایروال
۳-
پروکسی (Application
aware proxies بسته به برنامه هایی که استفاده می شوند یا خواهند شد.)
- سامانه پیشگیری/تشخیص نفوذ داخلی (Internal
NIDS)
- DMZ برای برنامه هایی که به صورت
عمومی استفاده خواهند شد.
- پیاده سازی سرویس های شبکه با دید امنیتی و به کار بردن شیوه
نامه های موجود
- سامانه پیشگیری/تشخیص نفوذ شبکه های بی سیم در صورت استفاده (Wireless
IDS/IPS)
چرا از سامانه پیشگیری/تشخیص نفوذ خارجی (External NIDS)
استفاده کنیم؟
NIDS خارجی به عنوان نقطه امنیتی صفر وظیفه تشخیص،
تحلیل و جمع آوری (و در برخی سناریوها پیشگیری) مخاطرات امنیتی که از سمت شبکه های
مبتنی بر IP خارجی (مانند اینترنت و شبکه های
WAN مشترک) روی می دهند را دارد. داده های جمع آوری شده
می تواند به صورت real-time تحلیل شود و همچنین برای
پیگیری های آینده مورد استفاده قرار بگیرد. همچنین این سامانه می بایست توانایی
تولید پیغام های خطر را پیش از بروز مشکل داشته باشد. چهار هدف اولیه که منجر
به استفاده از NIDS خارج از محدوده شبکه
LAN در نقطه اتصال با WAN می
شوند، عبارتند از:
۱- تحلیل نفوذ با استفاده از داده های جمع
آوری شده در قبل
۲- تشخیص بی وقفه و real-time نفوذ
۳- جمع آوری مدارک (Evidence
gathering) مستند
۴- جمع آوری آمار
Anton Chuvakin معروفترین فرد حال حاضر در زمینه جمع آوری و پردازش لاگ فایل های کامپیوتری است. چندوقت پیش نوشتهای داشت با عنوان
۱۱ دلیل برای پردازش و نگهداری لاگ فابل های کامپیوتری که قصد داشتم آن را اینجا بنوسیم، ولی کمی با واقعیت های موجود در ایران فاصله داشت. بیشتر علت هایی که ذکر کرده است با توجه به نیاز های PCI DSS الزامی هستند.
با جمع آوری لاگ فایل چه مزایایی خواهید داشت؟
– در مواقعی که سیستم های شما مورد بازرسی قرار می گیرند، (از طرف داخل سازمان و یا بیرون از سازمان) حرفی مستدل برای گفتن دارید. اینکه کاربر فلانی، فلان ایمیل را از طریق میل سرور سازمان ارسال کرده است و یا فایل سرور شما از طرف چه کسی میزبان ۱۰ گیگابایت فیلم پورن شده است شاید زمانی بتواند دلیلی برای کوتاهی مدیر شبکه پیدا کند.
– در هنگامی که مسول شبکه، در مورد سرعت کند فلان سرویس (پهنای باند، ایمیل و یا وب سرور) مورد نکوهش قرار می گیرد، لاگ فایل ها وسیلهای برای پیدا کردن سواستفاده کنندگان هستند.
– در ایران چیزی که به مانند FISMA و یا PCI DSS اجبارهای امنیتی فراهم کند نداریم، در هر صورت اگر به فکر رعایت شیوه نامه های معروفی مانند آنچه ذکر شد هستید، نگهداری و پردازش و بررسی لاگ فایل ها از اهم واجبات است!
لاگ فایل، چگونه، چقدر و چی چیز!
– هر چیزی را که تصور کنید، این روز ها لاگ فایل دارد. فایل سرور، وب سرور، MTAها، برنامه ها، انواع دیتابیس ها و تقریبا تمامی تجهیزات شبکه ای. به اندازه تمام این چیزها هم برنامه های مرتبط وجود دارد و تقریبا تمامی آن ها با syslog قابل لوله کشی هستند!
– اگر دنبال این بهانه هستید که نگهداری لاگ فایل حجم زیادی اشغال می کند، جواب های کوبنده خوبی برای شما وجود دارد. نگهداری، دسته بندی و آرشیو کردن لاگ فایل با توجه به هزینه بسیار پایین رسانه های ذخیره سازی تمامی بهانه ها را برای شما از بین برده است.
– البته این نظر شخصی است، شاید مخالف هایی داشته باشد. اکتفا کردن به لاگ فایل های تولیدی شاید به تنهایی کافی نباشد، بعضی وقت ها استفاده از ابزارهایی مانند tcpdump ویا wireshark برای جمع آوری آنچه در حال اتفاق است بسیار می تواند موثر باشد. همینطور خروجی برنامه هایی مثل Niktoو کلا پویشگرهای آسیب پذیری می تواند به عنوان یک نوع لاگ فایل نگهداری شوند.
کسب EAL4 برای ردهت RHEL
در مورد
گواهینامه های
EAL
درحدود 3 سال پیش مطلبی با عنوان EAL -
Evaluation
Assurance Level
نوشته بودم. در آن زمان ردهت توانسته بود EAL2 را
برای خانواده RHEL کسب کند. با گذشت زمان و تکمیل شدن بررسی
ها، اکنون قسمتی از محصولات ردهت RHEL توانسته است به +EAL4
دسترسی پیدا کند. این گواهینامه بدین معنا است که اکنون امکان استفاده کاملا امن و
قابل اطمینان بر پایه محصولات مبتنی بر لینوکس و بر اساس استانداردهای دولتی وجود
دارد (البته پیشتر نیز این امکان وجود داشت، ولی با این گواهینامه این
ادعا به
صورت رسمی قابل استناد است).
LWN |
Infoworld
RHEL is now
certified at
EAL4+, when configured appropriately on IBM’s mainframe, System x,
System p5 and eServer boxes, according to the protection profiles LSPP
(labeling), RBACPP (role based access control) and CAPP (audit).EAL4+
is as far as you can go with an off the shelf OS. Beyond this, you need
semiformal security design and pretty much a new OS. LSPP is the current
equivalent of the old "orange book" B1
TCSEC rating.
شرکت ناول با محصول SLES
دو سال پیش توانسته بود به سطح پایین تری از این گواهینامه دست پیدا کند.
حاشیه:در
مطلب قبلی EAL، دوستی به علمی نبودن مطلب و اهمیت
CC اشاره کرده است.
مطالب زیادی در مورد این که واقعا هزینه کردن پول در کسب EAL
نقش دارد یا نه وجود دارد. همانطور که گرفتن بعضی از ISOها
به پرداخت حق عضویت تبدیل شده است، بعضی از محصولات هم با مبالغ بسیار زیادی (US$1
million and even US$2.5 million) این گواهینامه ها را کسب کرده اند. اینجا را
ببینید:
Impact on cost and schedule
صنعت امنیت بعد از دوران شروع به کار خودش کم کم وارد مرحله بلوغ شده است، غول های بزرگ تکنولوژی اطلاعاتی شروع به برنامه ریزی بلند مدت در مورد امنیت برنامه ها و کاهش ریسک مشتریانشان کرده اند. جدیدترین نمونه تصاحب Watchfire از سوی IBM است. طی تفاهم نامه ای که دیروز اعلام شد، با تصاحب Watchfire از طرف IBM و ترکیب محصولات آن با خانواده IBM’s Rational توسعه نرم افزارها با امنیت بیشتری ادامه خواهد یافت.