پورتها و سرويس هاي پنهان

سرويس هاي دترمينان و گسترده از قبيل اسب هاي تراوا و پرتهايي كه معمولاً تحت كنترل آنهاست مهاجمين راه دور را قادر مي سازند تا ROM – CD ها – اصوات – ميله هاي ابزار ، ميز كارها ، برنامه هاي كاربردي ، مرورگرها و حتي كل سيستم را تحت كنترل خود در آوردند ، اين سرويس ها به مهاجمان توانايي كاوش در ميان فايل ها ، سابقه ها ، بازيابي كلمات عبور ، از كار انداختن سيستم ، كپي برداري از محتويات صفحه نمايش و پيام رساني مستقيم را مي دهند . و نكته اينجاست كه بسياري از كاربران در مقابل اين حملات آسيب پذيرند . در حقيقت ، مهاجم با سهولتي شگفت انگيز مي تواند اين كارها را با مؤفقيت به انجام برساند .

و حالا ما بايد بياموزيم كه چگونه حملات نفوذگران را دفع كنيم و سيستم هاي خود را در مقابل اينگونه حملات تقويت نماييم . براي آشكار ساختن پورتها و سرويسهاي فعال روي سيستم هاي هدف مي توانيم از ابزار كشف نظيرپويش گر هاي پورت در سرويس ها استفاده كنيم عين همين مطلب براي اجراي آزمونها ي محلي جهت جلوگيري از نفوذ پذيري نسبت به چنين عمليات كشفي صحت دارد .
نكته : برخيدمون هاي و نرم افزاري قانوني ، جريان ها ي ارتباطي را در قلمرو پورت ها ي ناشناخته تنظيم مي كنند .

پويش براي اسب هاي تراواي محلي : با خيال راحت مي توان گفت كه هر پويش گر پورت با قابليت چند بندي براي پويش يك پورت محلي كفايت مي كند كه نرم افزار Nmap كه از سايت ( www.inscure . org ) يا نرم افزارهايي كه محصولات شركتهاي Norton و Macafee و به ترتيب از ( www . norton . com ) و ( www. Macafe . com ) در دسترس مي باشند توصيه ميزشود در اين جا ما ميتوانيم از نرم افزار Tigerscan استفاده كنيم . براي شروع با وارد كردن كلمة عبور Tiger برنامه را آغاز مي كنيم هنگامي كه مرور گر شروع به كار مي كند از منوي options / security properties / securityscan گزينة scan ports now را انتخاب مي كنيم كه اجراي اين برنامه قدري زمان مي برد زيرا مدول پويشگر ، پورت هاي فعال را گزارش مي كند سپس نقاط ضعف را با مقايسه آنها در قبال يك بانك اطلاعاتي از حملات شناخته شده تحليل مي كند . اساساً قابليت هاي پويشگر را به سه مرحله مي توان تقسيم كرد :

۱ ) يافتن پورتهاي باز
۲ ) اجراي كشفيات
۳) مقايسه نتايج بايستي از شكافهاي امنيتي شناخته شده . كل فرايند بسته به قابليت هاي cpu و منابع سيستمي در دسترس ، از سه تا دوازده دقيقه زمان ميبرد .
Securty port scan [ at port 17567
135 Active : standard well – known port

۱۳۰۰۰ ∞ found : lamer

در مثالي كه ما ارائه كرديم نتايج Tigerscan ما دوپورت فعال است . پورت هاي ۱۳۵ و ۱۳۰۰۰ . سرويس مرتبط با پورت ۱۳۵ ، loc – serv است كه يك سرويس prc همانند port map است . اگر مهاجمي از پارامترهاي خاصي استفاده كند و آدرس متقاضي را بدست آورد ميتواند نام دامنة Nis آن را باز پس بگيرد . اساساً اگر نفوذ گري نام دامنه Nis را بداند امكان بدست آوردن نسخه اي از فايل كلمه عبور برايش مهيا مي شو.د .

سرويس آشكار شده در پورت ۱۳۰۰۰ ، lamer است . lamer يك اسب تراواي كوچك است كه كنترل CD – Rom انتقال فايل ، مديريت فايل ها و از كار انداختن سيستم را از راه دور مي تواند انجام دهد . اين اسب تراوا يك نسخه جديدتر به زبان VB است كه اين معمولاً از طريق نامه هاي الكترونيكي و ارسال برنامه هاي سودمند توزيع مي شود . برنامه سودمند ظاهراً يك محاسبه گر IP براي محاسبات سريع زير شبكه و براي پخش آدرس هاي شبكه است .

در ابتداي نصب برنامه ها روي فايلي تحت نام dnet . exe كه در شاخه windows / systen // قرار دارد نوشته مي شود . بابوت كردن دوباره سيستم ، dnetc . exe پشت صفحه اجرا مي شود . در پورت ۱۳۰۰۰ گوش به زنگ كنترل راه دور مي ماند . قرار است dnetc . exe يك برنامه متقاضي distibuted – net باشد كه سيستم شما را از طريق اتصال به پروكسي ها و گماردن آن به حل يك سري مسائل در پروژه هاي جهاني مشاركت دهد حال مهاجم دور است كه مي تواند به آساني قابليت دستيابي به پورت ۱۳۰۰۰ را پويش كند و سپس حمله كند . براي اطلاعات بيشتر در خصوص ابر تراواي lamer و گونه ها ي زبان بارآن سايت disrributed را بازديد مي كنيم .

امنيت بخشيدن به پورت هاي ناشناخته : برنامه هاي نفوذ گري معمولاً براي ايجاد رخنه در امنيت سيستم طراحي مي شوند گرچه اين دمونهاي سرويس همواره تهديد كننده نيستند مهاجمان مي توانند اين برنامه ها را براي اهداف سوء دستكاري كنند نرم افزارهايي كه در اين بخش مطرح مي شود در سه گروه جاي مي گيرند و يروس ها كرم ها و اسبهاي تراوا
ويروس : يك برنامه كامپيوتري است كه كپي هايي از خودش را با استفاده از يك برنامه ميزبان ميسازد و از اين رو نيازمند آن است .

كرم : نيازي به ميزبان ندارد زيرا خود تكثير است كرم با سرعتي از پيش تعيين شده كپي هايي از خودش را تهيه و توزيع مي كند .
اسب تراوا : يا بطور ساده تراوا برنامه اي حاوي يك قطعه كد مخرب است كه به عنوان برنامه اي عادي و مفيد مثل برنامه هاي سودمند شبكه ظاهر مي شود . پورت ها و سرويس هايي كه به دنبال خواهد آمد و غالباً قربانيان هدف به آنها توجهي نمي كنند بيش از همه مورد حملات نفوذي قرار مي گيرند اين ‹‹ بچه هاي بد ›› همچنين براي استفاده از پويشگرهاي تراوايي راه دور توسط مهاجمان مورد پويش قرار مي گيرند . هدف مروري بر تكنيك هاي مورد استفاده براي ساقط كردن سرويس هاي مرتبط با آن پورت هاي زبان بار است بطوريكه اگر پي برديد آلوده شده ايد يا آنها را طي پويش پورتهاي محلي يافتيد بدانيد كه چگونه به كار خود ادامه دهيد . بحث را پاك كننده كننده هاي سيستم آغاز مي كنيم اين برنامه ها بطور ساده كدنويسي شده اند تا تكنيك هاي حذف را بطور خودكار انجام دهند در اين جا برخي از پاك كننده هاي معروف را كه در حال حاضر در دسترس هستند را مورد بررسي قرار مي دهيم .

AnTiGen ، BoDeTecT برنامه هايي هستند كه به طور خودكار برنامة ( Baserv ) Back orific server را روي كامپيوتر شما يافته آن را بر مي دارند . Antioen يك نرم افزار رايگان است كه توسط Fresh Scfrw ارائه شيوه به طور كلي اين پاك كننده ها خوب عمل مي كنند ولي گونه هاي جهش يافته جديد تري از BOSERV وجود دارند كه از چنگ اين پاك كننده ها فرار مي كنند به همين دليل پويش پورتهاي محلي و حذف دستي نيز ضروري است .

NETbuS dEtECtive : اين نرم افزار يك برنامه كوچك دقيق است كهنه تنها براي حذفNetBus از سيستم شما بلكه براي نمايش دادن پيامي به نفوذ گر غير مظنون ، به هنگام وارد كردن آدرس IP و نام ميزباني وي بكار ميرود . پيام پيش فرض را مي توان تغيير داد . NeTBvs proTecTion SysTem اين برنامه كه به اختصار NPS هم ناميده مي شود برنامه اي براي تشخيص و محافظت در برابر NetBus است و مي توhن آن را طوري پيكر بندي كرد كه به سادگي سرويس تهديد كننده را ساقط كند و يا حملات نفوذي را هشدار دهد .

Tauscan اين برنامه رمون قوي براي شناسايي اسب هاي تراوا و حذف آنها بوده و قادر به شناسايي اكثر رخنه هاي شناخته شده اي است كه براي حملات نفوذي مورد استفاه قرار مي گيرند اين برنامه در پشت صحنه عمل مي كند و شگفت آنكه منابع بسيار اندكي از سيستم ها را به كار مي برد . كار با واسط GUI آن بسيار آسان است و شامل ويژگيهايي از قبيل پويش با كليك راست پويش با كشيدن و رها كردن اشياء و يك ويزارد پيكر بندي مي شود كه همگي آنها استفاده از محصول را بي اندازه آسلان مي كند .

TauScan را مي تواند از www.agnitum . com / prodvets / Tauscan دريافت كنيد .
The cleaner : اين نرم افزار برنامه سودمند ديگري است كه براي پويش و حذف برنامه هاي مخرب ‹‹ مخفي ›› روي كامپيوتر شما بكار مي رود طبق گفته سازندگان اين برنامه از يك فرايند بنيادي براي شناسايي فايل ها استفاده مي كنند . اين فايلها نه با تغيير دادن نام خود يا اندازه گزارش شده و نه با متصل كردن خودشان به برنامه هي ديگر نمي توانند پنهان شوند اين نرم افزار مي تواند ابزار پر قدرتي در مقابل حملات نفوذي باشد . اين برنامه از سايت www.moorsoft . com قابل دسترسي است .

TROJAN REMOVER : برنامه تشخيص و حذف اسب طراحي شده است . به رغم محدوديت در ويژگي هاي فقدان راه كار محافظتي به طرزي استادانه بسياري از اسب هاي تراواي معروف را حذف مي كند اين نرم افزار هم رايگان است و ميتواند آن را به مجموعه نرم افزارهاي ايمني خود بيافزايد

دفاع در برابر بمباران پستي و ارسال نامه هاي زايد:در سالهاي اخير،پست الكترونيكي چه در بخش عمومي و چه در بخش خصوصي به ستاره فناوري ارتباطات تبديل شده است.ولي به موازات اين محبوبيت، ،هرچه بر تعداد كاربران پست الكترونيكي افزوده شود،بر تعدد قربانيان حملات نفوذي نيز افزوده مي شود.قرباني شدن بوسيلة بمباران پستي و نامه هاي زايد براي كاربران پست الكترونيكي تقريباً به امري عادي تبديل شده است خوشبختانه راه كارهايي براي مقابله با اين مشكل وجود دارد در اينجا به روشهاي گوناگون از تكنيك هاي دسترسي گرفته تا دفاع از كارگزار خواهيم پرداخت نخست،بمباران پستي و ارسال نامه هاي زايد را از ديدگاه طبقه بندي مورد بحث قرار مي دهيم.

بمب هاي پستي پيام هاي پستي هستند كه معمولاً براي آسيب رساندن به صندوق پستي گيرندگان به كار مي روند.به اين ترتيب برنامه هاي غير مجاز از طريق دروازه SMTP هدف ارسال مي شوند بمب هاي پستي را را مي توان در يك پيام الكترونيكي با فايل هاي بزرگ متصل به آن،يا در هزاران پيام الكترونيكي به منظور غرق كردن يك صندوق پستي و يا كارگزار قرار داد.

ارسال نامه زايد تلاش براي تحويل يك پيام پستي به كسي است كه مايل به دريافت آن نيست يا آن درخواست نكرده است.متداول ترين مثال،تبليغات تجاري است.شكل ديگر نامه زايد به صورت يك فريب پستي اجرا مي شود كه در آن نفوذگر،نامه را با قرار دادن آدرس الكترونيكي يك شخص ديگر در فليد From به صورتي عادي جلوه مي دهد و نامه را به توده اي از افراد ارسال مي كند و از آنها درخواست مي كند تا به آدرس قرباني پاسخ دهد،يك گام پيشروي در اين حمله،نفوذگر مي تواند اين پيام هاي نادرست را از كارگزار پستي هدف ارسال كند.

از ديد كاربر،آشكارترين نمود نامه هاي زايد،از سرآيند پيام پيداست كه حاوي مسيرهاي واقعي طي شده براي تحويل نامه از فرستنده به گيرنده است.طبق پيش فرض اين داده ها معمولاً پنهان هستند.اكثر گيرنده ها فقط مي خواهند موضوع متن پيام را ببينند.ولي اكثر نرم افزارهاي پست الكترونيكي شامل گزينه اي براي مشاهدة كلية سرآيندهاي پيام هستند.دنبال كردن نامه هاي مجاز امكان فيلتر كردن سريع نامه هايي كه آلوده به برنامه زايد هستند،وجود خواهد داشت.فرض كنيد آدرس Sender@Saddress.Com به هر دليلي يك پيام مزاحم باشد كه بخشي از نامه زايد است مي توانيم به سهولت آدرس را در اكثر گزينه هاي فيلترسازي در نرم افزارهاي پست الكترونيكي فيلتر كنيم.معرفي نامه ها در واسط هاي گرافيكي خود شامل قابليت مسدود كردن با اشاره و كليك نظير گزينه هايYahoo (Mail:Yahoo.Com)هستند كه با اكثر سكوها سازگار بوده آنها را مي توانيد از Tucows و Cnet (download.Cnet.Com)دريافت كنيد ولي مسدود كردن يك نامه رسان ممكن است كافي نباشد مي توانيد شخص مورد نظر را با گزارش مشخصات او به ISP خود كاملاً متوقف كنيد تحقيق روي سرآيند نامه ها و يا محتويات نامه ها مي تواند سرنخ هايي در مورد شيوه انجام كار بدست دهد.براي مثال،اجراي تحقيق هويتي از دامنه يك وب سايت يا رديابي دروازه SMTP يك نامه رسان مي تواند منجر به كشف اطلاعات ISP شود.با مجهز شدن به پست نامه قدري اطلاعات كشف از ISP مي توانيد وقايع را گزارش كنيد.

از لحاظ كارگزار توصيه مي شود صندوق هاي پستي قراردادي وب سايت،ايجاد صندوق هاي عمومي براي نامه ها و ناخواسته اصلاح گردد اين ترفند مي تواند باعث كاهش نامه هاي زايد كاربران داخلي شود زيرا صندوق هاي پستي عمومي قابل فيلترسازي هستند.ولي محافظت در مقابل نامه هاي بيهوده و زايد فقط شروع كار است خوشبختانه دمون هاي كارگزار پستي فعلي،داراي راه كارهايي براي محافظت در مقابل بمباران پستي هستند قاعدتاً اطلاعات مربوط به پيكربندي شامل موارد زير است:

تصديق صلاحيت:دمون بايد طوري پيكر بندي شود كه براي رسيد پستي SMTP فقط نامه هاي داخلي يا محلي را بپذيرد.
مسدود سازي:فيلترسازي پيشرفته را مي توان براي برخي حساب ها مسدود كرد.دمون بايد به كاربران امكان مشخص كردن ملاك هايي را بدهد تا او بتواند بر اساس آن ملاكها نامه ها را مشخص كند.
غربال كردن:دمون بايد طوري پيكربندي شود كه فقط نامه هايي را بپذيرد كه اندازه پيوست آنها محدود است.
مرتب سازي:كاربران بايد قادر به مخفي كردن قواعدي براي مرتب سازي نامه ها خود باشند براي مثال نامه هاي وارده از يك دامنه كاري را بتوان به يك صندوق پستي ارسال كرد.
يك برنامه كمكي كه اساساً براي مقابله با بمباران پستي طراحي شده است،Bombsquad نام دارد و به كمك اين نرم افزار مي توانيد بمب هاي پستي را حذف كنيد و در عين حال،پيام هاي مهم را بازيابي و نگهداري كنيد از اين نرم افزار مي توانيد براي هر صندوق پستي كه پروتكل استاندارد POP3 را رعايت كند،استفاده نماييد.براي اطلاعات بيشتر در اين خصوص به خبرنامه CIAC Information در صفحه زير رجوع كنيد.
http://Ciac.iinl.gov/Ciac/bulletins/i – ۰۰۵c.shtml
دفاع در مقابل جعل هويت

جعل هويت به معناي گرفتن IP يك ميزبان مورد اعتماد است به طوري كه سيستم امنيتي فريب خورده اجازه دستيابي را به فرد نفوذگر بدهد.پس از اين مصالحه نفوذگر حمله اي را به سيستم آغاز مي كند.به طور مشابه،جعل هويت روي كارگزارهاي DNS به نفوذگر ابزاري براي كنترل فرآيند تفكيك دامنه ها و در برخي موارد،هدايت بازديدكنندگان به مكاني غير از مكان مورد نظر وب سايت يا كارگزار پستي مي دهد.

خوشبختانه راههاي مقابله با جعل هويت در شبكه ها وجود دارد.چون اساس جعل هويت،شناسايي آدرس منبع،بدون تأييد اعتبار است،معرفي Ipv6 با سرآيندهاي تأييد اعتبار(AH)(Autentication Header)مي تواند مفيد واقع شود.AH ابزاري براي محاسبه جمعهاي كنترلي رمز نگاري جهت داده نگاري ها و برخي فيلدهاي سرآيند بدست مي دهد.با شماره دهي دوباره،شماره گذاري مجدد باعث محافظت دوچندان در مقابل جعل هويت شده همچنين فيلترسازي بسته ها بهتر انجام مي شود.به طوري كه محافظت در مقابل طوفان ها ي پخش برنامه تسهيل مي شود.به عنوان يك راه كار مبتني بر Ipsec ، قواعد فيلترسازي علني بسته ها از ترافيكي كه از بيرون سرچشمه دارد،مثلاً يك VPN،محافظت مي كند و اين قواعد مورد نياز نيستند،زيرا فنون تأييد اعتبار رمزنگاري IP sec اين محافظت را فراهم مي آورند.اساساً،پروتكلي كه شامل تأييد اعتبار نباشد،نسبت به حملات جعل هويت،آسيب پذير است.به عنوان يك مثال Net Bies كاربراني كه نياز به محافظت بهتر در مقابل حملات جعل هويت دارند،مي توانند از IP sec موجود در
Windows 2000 براي برقرار كردن جلسات معتبر استفاده كنند.در اين مورد،يك سياست گذاري IP sec كه اعتبار جلسات را روي پورت هاي ۱۳۹ – ۱۳۷ تأييد كند،از جعل هويت در مقابل اين پروتكل آسيب پذير محافظت مي كند.

اكثر فروشندگان به تشكيلات مند جعل هويت روي آورده اند.براي مثال،برخي محصولات Cisco،سيستم ها امنيتي خود را با استفاده از روابط خصوصي
DOC SIS يا گزينه هايي براي مديريت CPE نظر تأييد اعتبار،صدور اجازه و كارگزارهاي حسابداري(AAA)و مسيرياب ها همراه مي كنند.در نتيجه اين سيستم ليست هاي كنترل و دستيابي(ACL ها )تونل ها،فيلترسازي،محافظت ويژه در مقابل جعل هويت و فرمان هايي براي ايجاد پيكربندي فيلترسازي IP منبع روي زير شبكه هاي فركانس راديويي(RF)را پشتيباني مي كند تا به اين ترتيب جلوي مشتركاني كه از آدرس هاي IP منبع نامعتبر براي زيرشبكه هاي متصل استفاده مي كنند،گرفته شود.