Alan Cox و آینده امنیت کامپیوتری


Alan Cox را حتما مي شناسيد.
مقدار زيادي از وصله هاي كرنل لينوكس دست پخت ايشون هست. ( از آلن كه نوشته بشه
بايد اسم تسلا رو هم آورد ديگه !!!) ايشون مصاحبه اي كوتاه با O’Reilly Network
انجام داده اند در مورد آينده امنيت در حوزه كامپيوتر-سيستم ها-برنامه نويسي. با
اينكه كوتاه هستش اما جمع بندي خوبي انجام شده. قسمتي كه به نظرم قابل توجه رسيد :


The
Next 50 Years of Computer Security: An Interview with Alan Cox

It’s important perhaps to point out here that secure programs, reliable programs and correct programs are all different things. Knowing how to write provably secure programs is very different from saying we know how to write reliable or correct programs.

Red Hat Directory Server


Review: Red Hat Directory Server

Red Hat’s recently released Directory Server product,
however, does offer easy setup, full implementation of LDAPv3 and
multi-master replication — as well as a few other features. Red Hat
Directory Server (RHDS) is formerly known as the Netscape Directory Server,
which Red Hat acquired last October. Red Hat is now selling it under its
subscription model, for Red Hat Enterprise Linux (RHEL), Solaris, and HP-UX
۱۱i. The company has also pushed the technology into the Fedora Project as
the Fedora Directory Server, but this article will only look at the RHDS
offering.

Monitoring Network Traffic with Netflow

ابزارهاي مختلفي براي كنترل و نظارت بر
شبكه هاي بزرگ وجود دارد. اگر از شبكه هاي يكپارچه بر پايه تكنولوژي هاي شركت هاي
خاص مثل Cisco , Foundry
, eXtreme ,
Huawi و يا شبيه آن ها استفاده مي
كنيد ابزار هاي ويژه و قابل اعتمادي مثل CiscoWorks ,

EPICenter
,
IronView
,

Quidview
هميشه براي استفاده وجود دارد. اگر از حالت هاي تركيبي كمي غير
استاندارد استفاده مي كنيد HP
OpenView
به همراه ماجول هاي مربوط به شبكه شما راه حل يكپارچه و مناسبي است.
اما تمامي اين
NMS – Network Management System
– يك مشكل عمده دارند و آن هم قيمت
قابل توجه آن ها با توجه به هزينه مورد نياز براي آموزش پرسنل مي باشد. در ضمن به
جز يك مورد تمامي برنامه هاي بالا مشمول تحريم ايالات متحده براي ايران هستند و
عملا نمي توان از تمام امكانات آن ها استفاده كرد. ( البته با كمي تلاش –  صرف
نظر از قيمت – اين كار نيز امكان پذير است.)
اين ها راه حل هاي تجاري بود و نيازمند مقادير قابل توجهي بودجه براي سازمان شما.
همچنين در بسياري حالات چنين بودجه اي براي شبكه هاي با سايز كوچك و متوسط منطقي به
نظر نمي رسد. اينجا است كه كمي ابتكار و دنياي بازمتن راه حل هاي ويژه اي را به شما
ارائه مي دهند. از آن جا كه تقريبا تمامي تجهيزات شبكه از سطح نيمه حرفه اي به بالا
از SNMP و ملحقات آن پشتيباني مي كنند  شما به چند
برنامه و مقاديري اينترفيس براي راه اندازي NMS خود نياز
داريد. همچنين در اين حالت تمامي سرور هاي خود را نيز مي توانيد براي انتشار
SNMP مورد علاقه خود تنظيم كنيد تا آن ها نيز جزوي از
بازي باشند.
اگر به
خصوص
از تجهيزات Cisco استفاده مي كنيد برنامه هاي زيادي براي
كنترل جريان داده ها و آمار هاي هر قسمت وجود دارد. بهره گيري از NetFlow و
برنامه هايي كه براي آن نوشته شده است (
با برنامه هاي خود شما ) حتي مي تواند با نسخه هاي تجاري رقابت كند.

Monitoring Network Traffic with Netflow by Michael W. Lucas — SNMP and MTRG can tell you what your network is doing, but they don’t always give you the details you need. Netflow does–but it has a complex setup and configuration. Fortunately, Michael W. Lucas shows how to install and configure modern versions.

Firefox قابل حمل

Firefox هميشه و همه جا استفاده دارد.
در ابتدا فكر مي كردم فقط بين گروه خاصي از علاقه مندان به كامپيوتر طرفدار دارد،
اما از وقتي بدون توجه به سطح دانش افراد به آن ها استفاده از فايرفاكس را پيشنهاد
مي كنم و نتيجه خوب آن را مشاهده كرده ام نظرم عوض شده است.
فايرفاكس قابل حمل ايده اي است كه علاوه بر اينكه به شما اين امكان را مي
دهد تا همه جا فايرفاكس مورد تمايل خود را داشته باشيد ، امكان نمايش قابليت هاي آن
به ديگران را نيز براي شما فراهم مي سازد. البته مي توانيد هميشه از مهمان هاي خود
با يك Portable
Firefox Live
نيز پذيرايي كنيد.


Portable Firefox 1.0.6 (USB Drive-Friendly)


Portable Firefox is a fully
functional package of the Mozilla Firefox web browser optimized for use on a
USB key drive. It has some specially-selected optimizations to make it
perform faster and extend the life of your USB key as well as a specialized
launcher that will allow most of your favorite extensions to work as you
switch computers.

Improving Network Reliability with Keepalived

Improving Network Reliability with Keepalived by Philip Hollenback — No matter how good the software, hardware eventually fails. Redundancy is an important way to keep your important services running smoothly. With the right software, you can even sleep through otherwise catastrophic network failures. Philip Hollenback demonstrates how to make your network robust by using Keepalived on multiple Linux routers.

Calculating the True Price of Software

اگر در محيطي هستيد كه انتخاب
سيستم هاي نرم افزاري را به مرحله تصميم در مورد قيمت نهايي رسانده ايد، براي آنكه
در آن زمان دست خالي نباشيد اين نوشته را بخوانيد :

Calculating the True Price of Software by Robert Lefkowitz — Businesses have long viewed support and maintenance as essential components of software. Open source business models often focus on charging for support and customization. Is there an economic model that can demonstrate the true worth of a piece of software and the option for support, maintenance, and upgrades? Robert Lefkowitz argues that open source exposes the true value of software itself as, essentially, worth less in comparison to support and maintenance.

DNS Cache Poisoning

اين مدت مطالب بسياري
بوده است كه سعي مي كنم در صورت لزوم به برخي اشاره كنم. يكي از اين موارد DNS
poisoning مي باشد. با اينكه مورد بسيار مهمي است اما كمتر به آن اشاره شده است. من
سعي مي كنم در اين نوشته به اختصار توضيحي روان براي آن ارائه بدهم  و 
بيشتر به موارد مرجع اشاره كنم.

ابتداي تاريخچه كشف
DNS Cache Poisoning
مربوط مي شود به سال ۱۹۹۳ و يافتن ايرادهايي منطقي كه در تعريف DNS
وجود داشت و منجر به اولين مورد هاي DNS Cache Poisoning شد. براي مطالعه كامل در
مورد تاريخچه و روند بررسي تا به امروز بخوانيد :
DNS Cache Poisoning – The Next
Generation
.
مدتي پيش در يعني ماه مارس ۲۰۰۵ يك حمله بسيار گسترده در اين مورد انجام شد. بيش از 
۵۰۰ موسسه بزرگ دنيا قرباني شدند و در سه حمله متوالي وب سايت هاي آن ها به سايت
هاي ديگري ( مثل abx4.com ) منحرف شدند. اين حمله ها آغازي بود براي بررسي بيشتر بر
روي اين نقص و ارايه راه كار هاي مختلف. در همين زمينه SANS
يك گزارش كامل تهيه كرد كه پيش نهاد مي كنم آن را كامل مطالعه كنيد. در اين گزارش
آغاز حمله و آمار هاي زيادي وجود دارد :
March 2005 DNS
Poisoning Summary

براي اينكه به صورت عملي اين ايراد را ببينيد ( البته در صورتي كه
DNS سرور مورد استفاده شما آسيب پذير باشد.)
اين صفحه را ببينيد.

اهميت اين ايراد امنيتي
به دليل خطري است كه براي تجارت شما و يا اطلاعات شخصي افراد مي تواند داشته باشد.
بيشترين ضرري كه اين مورد تا به حال وارد كرده است بر اثر سرقت اطلاعات كارت هاي
اعتباري مي باشد. فرض كنيد كاربر شبكه شما قصد خريد آنلاين داشته باشد و به علت نقص
DNS سرور شما اطلاعات او دزديده شود. و يا شريك تجاري شما
قصد بازديد از وب سايت شركت شما را داشته باشد ولي به علت ايراد يك DNS
سرور به سايت مستهجن هدايت شود.

روش هايي كه براي
پيشگيري از اين موارد ( و شايد ساير آسيب پذيري ها ) وجود دارند :
    – هميشه DNS سرور شبكه خود را بروز
كنيد. اگر مانند اكثر شبكه ها از BIND استفاده مي كنيد،
حتما
به نسخه اي بالاتر از ۹٫۲٫۵ مهاجرت كنيد و اگر اين امكان را نداريد از
DNSSec استفاده كنيد. براي آشنايي بيشتر با
DNSSec اين مقاله را بخوانيد :
The Basics
of DNSSEC

    –
اگر كمي حوصله داريد و كنجكاو هستيد از
djbdns
استفاده كنيد. djbdns نوشته Dan
Bernstein
( همان خالق qmail ) مي باشد كه با هدف بر از
بين بردن آسيب پذيري هاي BIND و مانند ساير محصولات او با
تفكر امنيتي خلق شده است. اگر شبكه شما در حد متوسط است و تحمل چند ساعت اختلال
براي آن امكان پذير است پيشنهاد مي كنم از اين محصول استفاده كنيد. هم تجربه تازه
اي است و هم خود را از بسياري آسيب پذيري ها دور نگه داشته ايد. براي شروع نصب مي
توانيد از اين راهنما استفاده كنيد :
Installing djbdns for Name
Service
– همچنين ايشون نوشته اي در مورد Domain Name System
دارند كه بسيار آموزنده است. مخصوصا در مورد مفاهيم امنيتي به شما كمك ويژه اي
خواهد كرد. اگر به مفاهيم شبكه علاقه مند هستيد اين نوشته جزو Most Read
شما است : Notes on the Domain Name
System


چند توصيه هم در آخر كه هركدام بسته به شرايط شما مي توانيد براي
شبكه اي امن تر مفيد واقع شود. تمامي اين موارد بدون توجه به name server
شما قابل توجه هستند:
    – در صورت امكان name server هاي خود را
به صورت جداگانه در سگمنت هاي مختلف شبكه پياده كنيد. در اين حالت مي توانيد
redundancy را در مورد name server هاي خودتان پياده كنيد.
دقت داشته باشيد در اين حالت مي بايست براي يك راه حل جهت هماهنگي بين آن ها نيز
تصميم گيري كنيد.
    – در صورت كه اين امكان را داريد name server
داخلي و خارجي شبكه خود را از هم مجزا كنيد و از forwarder ها براي شبكه داخلي
استفاده كنيد. سرويس دهنده نام خارجي مي بايست به هر درخواستي پاسخ دهد به جز
forwarder ها.
    – اگر امكان داريد dynamic DNS updates
را محدود كنيد. البته در صورتي كه از Directory Service ها
استفاده كنيد ممكن است نتوانيد از اين مورد بهره جوييد.
    – روش ديگري كه در مورد بسياري از سرويس هاي حياتي شبكه شما مي
تواند مهم باشد پنهان كردن ورژن برنامه سرويس دهنده است. اگر از BIND
استفاده مي كنيد حتما اين كار را انجام دهيد.
    – سرويس هاي اضافه را بر روي ماشين سرور غير فعال كنيد و از يك
فايروال كه به خوبي براي پاسخ به درخواست هاي مربوطه تنظيم شده است استفاده كنيد.

—– لطفا براي كامل
كردن اين نوشته نظرات خود را اضافه كنيد. هر تجربه براي شبكه اي امن تر مفيد است.