شبکه کامپیوتری(Authentication, Authorization, Accounting) AAA
Admin میتواند از طریق یک کنسول به یک Router یا یک دستگاه دسترسی داشته باشد اما شرایط نامطلوب زمانی بوجود می آید که امکان ارتباط با دستگاه از نزدیک میسر نیست و بنابراین، باید از راه دور به آن دستگاه دسترسی داشته باشد.
اما ازآنجاییکه دسترسی از راه دور با استفاده از یک آدرس IP امکانپذیر خواهد بود، ممکن است یک کاربر غیرمجاز بتواند با استفاده از همان آدرس IP به سیستم دسترسی پیدا کند. بنابراین برای اقدامات امنیتی، باید Authentication انجام دهیم. همچنین بستههای مبادله شده بین دستگاه باید رمزگذاری شوند تا هر شخص دیگری نتواند آن اطلاعات حساس را به دست آورد. بنابراین، چارچوبی به نام AAA برای تأمین آن سطح امنیتی ویژه استفاده میشود.
AAA: AAA یک چارچوب مبتنی بر استاندارد است که برای کنترل افرادی که مجاز به استفاده از منابع شبکه (از طریق Authentication) هستند، آنچه مجاز به انجام آن هستند (از طریق Authorization) و دسترسی به اقدامات انجامشده در حین دسترسی به شبکه (از طریق Accounting)، استفاده می شود.
احراز هویت (Authentication)
فرآیندی که توسط آن میتوان تشخیص داد که کاربری که میخواهد به منابع شبکه دسترسی پیدا کند، با درخواست برخی از اطلاعات هویتی مانند نام کاربری و رمز عبور، معتبر است یا خیر. روشهای رایج عبارتاند از قرار دادن Authenticationدر پورت کنسول، پورت AUX یا خطوط vty.
اگر شخصی بخواهد به شبکه دسترسی پیدا کند، بهعنوان سرپرست شبکه، میتوانیم نحوه Authenticationکاربر را کنترل کنیم. برخی از این روشها شامل استفاده از پایگاه داده محلی (Router) یا ارسال درخواستهای Authenticationبه یک سرور خارجی مانند سرور ACS است. برای تعیین روشی که برای Authenticationاستفاده میشود، از method list Authenticationپیشفرض یا سفارشی استفاده میشود.
2. مجوز (Authorization)
قابلیتهایی را برای اعمال سیاستها در منابع شبکه پسازاینکه کاربر از طریق Authenticationبه منابع شبکه دسترسی پیدا کرد، فراهم میکند. پس از موفقیتآمیز بودن احراز هویت، میتوان از Authorization برای تعیین اینکه کاربر مجاز به دسترسی به چه منابعی است و عملیاتی که میتواند انجام شود استفاده کرد.
بهعنوانمثال، اگر یک مهندس شبکه تازه کار(که نباید به همه منابع دسترسی داشته باشد) بخواهد به دستگاه دسترسی داشته باشد، Admin میتواند نمایهای ایجاد کند که اجازه دهد دستورات خاص فقط توسط کاربر اجرا شوند (فرمانهایی که درروش فهرست مجاز هستند. Admin میتواند از method list مجاز استفاده کند تا مشخص کند کاربر چگونه برای منابع شبکه مجاز است، یعنی از طریق یک پایگاه داده محلی یا سرور .ACS
حسابداری(Accounting)
ابزاری برای کنترل و ثبت رویدادهای انجامشده توسط کاربر در حین دسترسی به منابع شبکه را فراهم میکند.حتی بر مدتزمانی که کاربر به شبکه دسترسی دارد نظارت میکند. Admin میتواند یک method list حسابداری ایجاد کند تا مشخص کند که چه چیزی باید حسابداری شود و سوابق حسابداری برای چه کسی ارسال شود.
پیادهسازی AAA:AAA را میتوان با استفاده از پایگاه داده محلی دستگاه یا با استفاده از یک سرور ACS خارجی پیادهسازی کرد.
پایگاه داده محلی –اگر میخواهیم از پیکربندی در حال اجرای محلی Router یا سوئیچ برای پیادهسازی AAA استفاده کنیم، ابتدا باید کاربرانی را برای Authenticationایجاد کنیم و سطوح امتیاز را برای Authorization به کاربران ارائه دهیم.
سرور – ACS این، روش رایج مورداستفاده است. یک سرور ACS خارجی )میتواند دستگاه ACS یا نرمافزار نصبشده روی Vmware باشد( برای AAA استفاده میشود که روی آن پیکربندی روی Router و ACS موردنیاز است. این پیکربندی شامل ایجاد یک کاربر، method list سفارشی جداگانه برای احراز هویت، Authorization و حسابداری است.
کلاینت یا سرور دسترسی شبکه (NAS) درخواستهای Authenticationرا به سرور ACS ارسال میکند و سرور تصمیم میگیرد که به کاربر اجازه دهد طبق اعتبار ارائهشده توسط کاربر به منبع شبکه دسترسی داشته باشد یا نه.
توجه – اگر سرور ACS موفق به Authenticationنشد، Admin باید استفاده از پایگاه داده محلی دستگاه را بهعنوان پشتیبان، در method list، برای پیادهسازی AAA ذکر کند.
https://faradsys.com/wp-content/uploads/2022/08/images-1.jpg306658فاطمه هاشمیhttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngفاطمه هاشمی2022-08-21 15:30:132022-08-21 15:34:24آشنایی با AAA (Authentication, Authorization and Accounting)
آخرین لیست OWASP پیرامون تهدیدهای رایج برای شرکتها در سال 2022 و چگونگی محافظت در برابر آنهاست.
OWASP بهتازگی لیست اصلاحشده خود را از ده مورد آسیبپذیری مهم برای مشاغل در سالهای 2021-2022، پنج سال پس از آخرین اطلاعیه خود منتشر کرده است.
OWASP Top 10 مدل 2021-2022 در مقایسه با مدل 2017
Open Web Application Security Project (OWASP) یک سازمان غیردولتی است که هدف آن بهبود امنیت نرمافزار است. OWASP یک فروشگاه چندمنظوره برای افراد، شرکتها، سازمانهای دولتی و سایر سازمانهای جهانی است که به دنبال عیبیابی و دانش واقعی در مورد امنیت application هستند. OWASP خدمات یا محصولات تجاری را تبلیغ نمیکند، اما مجموعهای از دوره های خود را در مورد امنیت برنامهها و حوزههای مرتبط ارائه میدهد.
علاوه بر این، مفهوم “open community” را مطرح میکند، به این معنی که هرکسی آزاد است در مکالمات آنلاین OWASP، طرحها و سایر فعالیتها شرکت کند. OWASP تضمین میکند که تمام منابع خود، ازجمله ابزارهای آنلاین، ویدیوها، انجمنها و رویدادها، از طریق وبسایت خود در دسترس عموم قرار گیرد. با افزایش جرائم سایبری، حملات (DDoS)، کنترل دسترسی معیوب و فاش شدن اطلاعات به دفعات اتفاق میافتد. بنیاد OWASP، OWASP Top 10را برای جلوگیری از این نگرانیهای امنیتی ایجاد کرد. OWASP Top 10 یک رتبهبندی از ده خطر جدی امنیتی برای برنامههای آنلاین موجود است که بر اساس اولویت آورده شده است. آخرین لیست OWASP Top 10در سال 2017 منتشر شد که اخیراً در سهماهه چهارم سال 2021 بهروزرسانی شده است.
در اینجا برخی از تغییرات مهم قابل مشاهده است:
A03: SQL Injections 2021 گستردهتر میشوند
اولین اصلاحات در ارتباط با SQL Injections است. حملات SQL Injections زمانی اتفاق میافتد که یک هکر سعی میکند دادهها را به یک برنامه وب ارسال کند، بهطوریکه برنامه وب یک عمل ناخواسته را انجام دهد. اینها ممکن است شامل اشکالات SQL Injections، سیستمعامل و پروتکل (LDAP) باشد. ازآنجاییکه این نقص نیز injectable است، بهروزرسانی فعلی OWASP Top 10 حملات(XSS) A07:2017 را تشدید میکند.
A05: پیکربندی اشتباه امنیتی 2021 در اولویت قرار دارد
با توجه به افزایش تعداد گزینههای پیکربندی، این دسته در OWASP Top 10 ارتقا یافته است. حمله XXE یک برنامه client-sideرا هدف قرار میدهد که ورودی XML را پردازش میکند. یک XML-External-Entities-Attack زمانی اتفاق میافتد که ارجاعات ورودی XML ناامن، به موجودیتهای خارجی تفسیر و پردازش شوند. بااینحال، این حمله تنها با یک تجزیهکننده XML معیوب یا پیکربندی نامناسب موفقیتآمیز است؛ بنابراین، A04:2017-XML External Entities (XXE) در A05:2021-Security misconfiguration بهعنوان یک نوع خاص از پیکربندی نادرست ادغامشده است.
10 آسیبپذیری برتر OWASP برای سال 2022 چیست؟
سه دستهبندی جدید در OWASP Top 10 سال 2021 با تغییرات و ادغام دامنه و نامگذاری اضافه شده است. برای شروع و محافظت در برابر این تهدیدها، در اینجا مهمترین آسیبپذیریهای امنیتی که باید در سال 2022 مراقب آنها بود، آورده شده است:
کنترل دسترسی خرابBroken access control
کنترل دسترسی استراتژیهایی را برای جلوگیری از عملکرد کاربران فراتر از محدوده مشخصشده خود پیادهسازی میکند. به دلیل آسیبپذیریهای دسترسی، کاربران احراز هویت نشده ممکن است به دادهها و فرآیندهای طبقهبندیشده و تنظیمات امتیاز کاربر دسترسی داشته باشند.
دستکاری metadata، ازجمله دستکاری یا اجرای مجدد یک نشانه کنترل دسترسی JSON (JWT)، یا تغییر cookies یا فیلدهای مخفی برای افزایش امتیازات یا سوء استفاده از باطل شدن JWT، نمونهای از آسیبپذیری کنترل دسترسی است. مثال دوم نقض اصل denial بهطور پیشفرض است. دسترسی باید فقط به نقشها، قابلیتها یا کاربران خاصی داده شود، اما برای همه قابلدسترسی است. چنین خطاهایی ممکن است دسترسی Attackers به همه جا را آسان کنند.
بااینحال، ممکن است با استفاده از رویکردهای کدگذاری ایمن و انجام اقدامات احتیاطی مانند غیرفعال کردن حسابهای admin و محدودیتها و نصب احراز هویت چندعاملی، از مکانیسمهای امنیتی دسترسی ناکافی و مسائل مربوط به مدیریت هویت یا رمز عبور جلوگیری کنید.
تکنیکهای پیشگیری تکمیلی عبارتاند از:
مکانیسمهای کنترل دسترسی را فقط یکبار اجرا کنید و برای کاهش اشتراکگذاری منابع متقاطع (CORS) از آنها برای مدتزمان برنامه مجددا استفاده کنید.
مدلهای Domain باید موانع محدود تجاری یک application متفاوت را اعمال کنند.
دسترسی به رابطهای برنامهنویسی برنامه (API) و کنترلکنندهها را محدود کنید تا اثرات ابزارهای حمله خودکار را کاهش دهید.
هر گونه اشکال در کنترل دسترسی را یادداشت کرده و در صورت لزوم به مدیران اطلاع دهید.
بهجای ارائه دسترسی به کاربر برای ایجاد، مشاهده، اصلاح یا پاک کردن هرگونه اطلاعات، کنترلهای دسترسی model باید از مالکیت رکورد تبعیت کنند.
مشکلات رمزنگاری(Cryptographic Failures)
مشکلات رمزنگاری که قبلاً بهعنوان قرار گیری در معرض دادههای حساس شناخته میشد، به جایگاه دوم رسید. این بیشتر یک علامت است تا اینکه علت اصلی باشد. در اینجا تأکید بر خطاهای رمزنگاری یا عدم وجود آنها است که اغلب دادههای حساس را در معرض دید قرار میدهد. موارد زیر نمونههای متداولی از قرار گرفتن در معرض اطلاعات حساس هستند:
توکنهای Session
شناسههای ورود و رمز عبور
معاملات آنلاین
اطلاعات شخصی (شبکه سرویس سوئیچ شده یا SSN، health records و غیره)
بهعنوانمثال، یک application ممکن است بهطور ایمن دادههای کارت اعتباری را با رمزگذاری خودکار پایگاه داده انجام دهد. متأسفانه، هنگامیکه به این اطلاعات دسترسی پیدا میشود، رمزگذاری بلافاصله انجام نمی گیرد و یک خطای Injection SQL را قادر میسازد تا اطلاعات کارت اعتباری را در قالب یک متن مشخص استخراج کند که ممکن است یک فرد خاطی از آن سوءاستفاده کند. با استفاده از تکنیکهای پیشگیری زیر میتوان از این مشکلات جلوگیری کرد:
شما باید از الگوریتمهای hashing قوی، salted و تطبیقی با ضریب تأخیر برای ذخیره رمزهای عبور از قبیل scrypt، Argon2، PBKDF2 یا bcrypt استفاده کنید.
هنگام انتقال دادههای حساس باید از پروتکلهای قدیمیتر مانند پروتکل انتقال فایل (FTP) و پروتکل انتقالنامه ساده (SMTP) اجتناب شود.
بهجای استفاده صرف از رمزگذاری، توصیه میشود رمزگذاری تأییدشده را پیادهسازی کنید.
کلیدهای تصادفی رمزنگاری باید بهصورت آرایه بایت تولید و ذخیره شوند. اگر از رمزهای عبور استفاده میشود، باید با استفاده از الگوریتمی برای ایجاد کلید مبتنی بر رمز عبور، به چیزی شبیه به یک کلید تبدیل شود.
SQL Injection
SQL Injection (یا Injection) یک حمله پایگاه داده علیه وبسایتی است که از زبان (SQL) برای به دست آوردن اطلاعات یا انجام فعالیتهایی استفاده میکند که معمولاً به یک حساب کاربری تأییدشده نیاز دارند. تفسیر این کدها برای برنامه از روی کد خود دشوار است و به مهاجمان این امکان را میدهد که حملات SQL Injection را انجام دهند تا به مناطق محافظتشده دسترسی داشته باشند و دادههای حساس را بهعنوان کاربران قابلاعتماد پنهان کنند. SQL Injection شامل SQL Injection، SQL Injection فرمان، SQL Injection CRLF و SQL Injection LDAP و غیره است.
با حداکثر بروز تخمینی 19 درصد، میانگین میزان بروز 3 درصد و 274000 مورد، 94 درصد از برنامهها برای SQL Injection غربالگری شدند. درنتیجه، Injection به رتبه سوم در لیست اصلاحشده سقوط کرد.
برخی از تکنیکهای پیشگیری عبارتاند از:
یک جایگزین ترجیحی استفاده از یک API است که بهطور کامل از مفسر اجتناب میکند، یک API پارامتری ارائه میدهد، یا به ابزارهای نگاشت شی – رابطه (ORM) منتقل میشود.
استفاده از ورودی اعتبارسنجی مثبت سمت سرور توصیه میشود. برنامههای کاربردی متعدد، ازجمله فیلدهای متنی و API برای برنامههای تلفن همراه، به کاراکترهای ویژهای نیاز دارند.
استفاده از LIMIT و سایر محدودیتهای SQL در داخل پرسوجوها راهی عالی برای جلوگیری از قرار گرفتن در معرض دادههای عظیم در مورد SQL Injection است.
بیشتر بخوانید: فایروال چیست؟ تعریف، مؤلفههای کلیدی و بهترین روشها
طراحی ناامن
اینیک مقوله کاملاً جدید برای سال 2021 است که بر روی اشکالات طراحی و معماری تمرکز دارد و نیاز به استفاده بیشتر از مدلسازی تهدید، توصیههای ایمنی طراحی و معماریهای مرجع دارد. طراحی ناایمن مقوله وسیعی است که شامل مشکلات گوناگونی است، مانند «نقص یا ناکافی بودن طراحی کنترل.» این بدان معنا نیست که طراحی ناامن ریشه تمام 10 دسته خطر اصلی دیگر است.
طراحی ناایمن با اجرای ناایمن یکسان نیست. نقصهای پیادهسازی میتواند منجر به آسیبپذیریها شود، حتی زمانی که طراحی امن باشد. از سوی دیگر، یک طراحی معیوب را نمیتوان با اجرای بیعیب و نقص جبران کرد زیرا تدابیر امنیتی لازم برای دفاع در برابر تهدیدات خاص وجود ندارد.
میتوان با استفاده از تکنیکهای پیشگیری زیر از این تهدیدات جلوگیری کرد:
با کمک متخصصان AppSec یک چرخه حیات توسعه ایمن را برای ارزیابی و ایجاد تدابیر امنیتی و حریم خصوصی تنظیم و استفاده کنید.
راهاندازی و استفاده از Lifecycle توسعه ایمن با کمک متخصصان AppSec برای ارزیابی و ایجاد تدابیر امنیتی و حفظ حریم خصوصی توصیه میشود.
اصطلاحات امنیتی و کنترلها را در Story های کاربر قرار دهید.
Tenant segregation بر اساس طراحی در تمام سطوح نیز بهعنوان یک رویکرد پیشگیرانه عملی دیده میشود.
تنظیمات اشتباه امنیتی
مسائل اجرای امنیت عمومی، مانند کنترلهای دسترسی نادرست پیکربندیشده، با فراهم کردن دسترسی سریع و آسان Attackers به دادههای حیاتی و Site Regions، خطرات قابلتوجهی ایجاد میکند.
OWASP با نرخ متوسط بروز 4% و بیش از 208000 رخداد[1] (CWE) در این دسته، 90% برنامهها را برای پیکربندی نادرست بررسی کرد. «پیکربندی CWE-16 و محدودیت نامناسب CWE-611 مرجع خارجی XML، دو CWE قابلتوجه هستند». برای جلوگیری از پیچیدگیهای پیکربندی، باید از تکنیکهای نصب ایمن استفاده کرد که عبارتاند از:
یک فرآیند تقویت سیستماتیک امکان استقرار سریع و آسان یک محیط امن را فراهم میکند. پیکربندی محیطهای توسعه، کنترل کیفیت و عملیاتی باید مشابه و دارای امتیازات کاربر متمایز باشد.
برای خودکارسازی فرآیندها در جهت ایجاد یک محیط امن جدید، صرفهجویی در زمان و تلاش لازم، ایده آل است. ویژگیها و فریمورک های استفادهنشده باید حذف شوند یا نصب نشوند. یک پلتفرم اصلی بدون ویژگیها، مؤلفهها، مستندات یا نمایشهای غیرضروری، احتمال آسیبپذیریهای پیکربندی را کاهش میدهد.
اجزای آسیبپذیر و قدیمی
اکثر برنامههای آنلاین با کمک چارچوبهای شخص ثالث ایجاد میشوند. کدهای برنامه ناشناخته ممکن است منجر به نتایج نامطلوب و موقعیتهای ناخواسته مانند Accent Control Violations، SQL Injection و غیره شود.
اگر برنامه ناامن، پشتیبانی نشده یا قدیمی باشد، ممکن است خطرات مربوط به آسیبپذیری وجود داشته باشد. این بسته شامل Application / وب سرور، سیستمعامل، Applications، سیستم مدیریت پایگاه داده (DBMS)، API ها، عناصر دیگر، کتابخانهها و محیطهای زمان اجرا میباشد.
رویکردهای خودکار برای کمک به Attackers دریافتن ماشینهایی که بهدرستی پیکربندی نشده یا وصله نشدهاند، در دسترس هستند. برای مثال، موتور جستجوی IoT Shodan ممکن است به کاربران در کشف دستگاههایی که در معرض تهدید Heartbleed هستند که در آوریل 2014 رفع شد، کمک کند. برخی از تکنیکهای پیشگیری عبارتاند از:
بهتر است قطعات را از منابع معتبر از طریق کانالهای امن خریداری کنید.
مراقب ماژولها و عناصری باشید که کاربردی نیستند یا بهروزرسانیهای امنیتی را برای نسخههای قدیمیتر ارائه نمیکنند. اگر نمیتوان Patching را انجام داد، برای مشاهده، شناسایی یا محافظت در برابر آسیبپذیری مشاهدهشده، Patching مجازی ایجاد کنید.
هرگونه الزامات، قابلیتها، عناصر، پوشهها یا اسناد اضافی را حذف کنید.
مشکلات شناسایی و احراز هویت
این دسته که قبلاً بهعنوان احراز هویت ناقص شناخته میشد، از رتبه دوم سقوط کرد و اکنون حاوی CWE های مرتبط با مشکلات شناسایی است. هنگامیکه یک Attacker اطلاعات کاربر، بازیابی رمز عبور، جلسات ID و سایر اعتبارنامههای ورود را به دست میآورد، مشکلات امنیتی ایجاد میکند. همانطور که از نام آن پیداست، مشکلات احراز هویت و شناسایی شامل هکرهایی است که از چنین آسیبپذیریهایی برای استفاده از احراز هویت نادرست سوءاستفاده میکنند.
اگر برنامه اجازه حملات خودکار مانند پر کردن اعتبار – زمانی که Attacker به لیست کاربران واقعی و گذرواژهها دسترسی دارد – یا گذرواژههای از پیش تعریفشده، ضعیفتر و رایج مانند «Password1» یا «Admin/Admin» را میدهد، اینها میتواند نشانهای از نقصهای احراز هویت باشد.
برای جلوگیری از چنین نقصهایی، باید اقدامات پیشگیرانه زیر را در نظر گرفت:
احراز هویت چندعاملی باید هر جا که امکانپذیر باشد برای جلوگیری از پر کردن خودکار اعتبار، حملات brute-force و استفاده مجدد از اعتبارنامههای سرقت شده استفاده شود.
با بررسی گذرواژههای جدید یا اصلاحشده در برابر پایگاه دادهای از 10000 مورد از ضعیفترین رمز عبورها، میتوان امنیت رمز عبور را افزایش داد.
استفاده از پیامهای مشابه برای هر نتیجه، به جلوگیری از حملات شمارش حساب در بازیابی رمز عبور، ثبتنامها و مسیرهای API کمک میکند.
هیچ اعتبار پیشفرضی را نصب نکنید، بهخصوص برای کاربران اداری.
نقص نرمافزار و یکپارچگی دادهها
ازآنجاییکه اطلاعات حساستر در پایگاههای داده ذخیره میشوند و در برابر نقضهای امنیتی آسیبپذیر هستند، نگرانیهای یکپارچگی دادهها برای نرمافزار ضروری میشود.
اینیک مقوله جدید است و برفرض یکپارچگی بهروزرسانیهای نرمافزار، دادههای حیاتی و رویههای CI/CD بدون تأیید آنها، تمرکز دارد. یک مثال زمانی است که برنامهها از افزونهها، ماژولها یا مخازن از شبکههای تحویل محتوا (CDN) یا منابع غیرمجاز استفاده میکنند. یک فرآیند یکپارچهسازی/تحویل پیوسته (CI/CD) که محافظت نشده است ممکن است خطر کد مخرب، به خطر افتادن سیستم یا دسترسی غیرمجاز را افزایش دهد.
تکنیکهای پیشگیری عبارتاند از:
میتوان از معیارهایی مانند امضای دیجیتال برای تأیید اینکه دادهها یا نرمافزار از منابع مورد انتظار بدون هیچگونه دستکاری تهیهشدهاند، استفاده کرد.
یک ابزار امنیتی برای زنجیرههای تأمین نرمافزار، مانند OWASP CycloneDX یا OWASP Dependency-Check، ممکن است برای تضمین عدم وجود ایرادات طراحی در اجزا استفاده شود.
لازم است تضمین شود که گردش کار CI/CD دارای بخشبندی، کنترل دسترسی و پارامتر سازی لازم برای محافظت از یکپارچگی کد در طول عملیات راهاندازی و استقرار است.
دادههای جمعآوریشده بدون امضا یا رمزگذاری نشده نباید به مشتریان غیرقابلاعتماد ارسال شوند، مگر اینکه آزمایش یکپارچگی یا امضای دیجیتالی برای شناسایی تغییر یا تکرار دادهها وجود داشته باشد.
مشکلات logging و monitoring امنیتی
عدم ردیابی اقدامات و رویدادهای مشکوک میتواند شکافهای زمانی نظارتنشده را افزایش دهد و اجازه میدهد نقضهای امنیتی برای مدت طولانیتری بهواسطه logging مناسبتر نادیده گرفته شوند. این بخش OWASP Top 10 2021 بهمنظور کمک به شناسایی، تشدید و حلوفصل نقضهای اخیر است. تشخیص نقض امنیتی احتمالاً بدون ثبت و کنترل است.
یک شرکت هواپیمایی بزرگ اروپایی برای نشان دادن این شکست، یک رویداد گزارشی(GDPR) داشت. احتمالاً متخلفان از نقایص امنیتی app پرداخت برای به دست آوردن اطلاعات بیش از 400000 پرداختی مصرفکنندگان سوءاستفاده کردهاند. در پاسخ، متصدیان حریم خصوصی، این شرکت هواپیمایی را به دلیل دادههای نادرست، 20 میلیون پوند جریمه کردند. برای جلوگیری از چنین حملاتی، لازم است کاربران نکات زیر را در نظر بگیرند:
بررسی تمامی مشکلات authentication، سیستمهای امنیتی دسترسی و اعتبارسنجی دادههای server-side با استفاده از اطلاعات کافی کاربر برای شناسایی حسابهای مشکوک یا کلاهبردار ثبتشده که برای یک دوره مناسب ذخیره میشوند تا تحقیقات جامعی در زمان مناسب صورت گیرد.
کسب اطمینان از ایجاد log ها در فرمتهای قابلقبول توسط سیستمهای مدیریت log
بهکارگیری یک استراتژی برای اعمال بازیابی رویدادها و تلاشهای پاسخ، مانند NIST 800-61r2 یا نسخه جدیدتر.
کسب اطمینان از کدگذاری صحیح دادههای گزارش برای جلوگیری از نفوذ یا تهدیدات سایبری برای سیستمهای نظارتی
https://faradsys.com/wp-content/uploads/2022/08/OWASP-Logo.jpg500750فاطمه هاشمیhttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngفاطمه هاشمی2022-08-14 15:30:152022-08-20 17:22:0610 آسیبپذیری مهم OWASP در سال 2022
تا کنون سیسکو از سیستمعاملهای بسیاری رونمایی کرده است که تعداد زیادی از آنها اکنون دیگر ازردهخارج شدهاند. برخی از این سیستمعاملها حاصل ادغام شرکتهای مختلف توسط شرکت سیسکو بودند. بهعنوانمثال، در اواسط دهه 1990، سیسکو با خرید شرکتهای Grand Junction، Kalpana و Crescendo شروع به توسعه خط تولید سوئیچهای کاتالیست سیسکو کرد. این سوئیچها سیستمعاملهای متفاوتی را اجرا میکردند. محصولات سیسکو همچنین با سیستمعاملهای گوناگونی برای هابهای خود، Load Balancers، سختافزارهای امنیتی، ماژولهای پیامرسانی یکپارچه و غیره به بازار عرضه شدند. بااینحال، سیستمعامل IOS سیسکو تا مدتها عملاً سیستمعامل مورداستفاده این شرکت شناخته میشد که بر روی طیف وسیعی از روترها و سوئیچهای سیسکو کاتالیست اجرا میشد. اما نکته جالبتوجه این است که چندین سیستمعامل دیگر سیسکو به شهرت رسیدهاند و امروزه در حال استفاده گسترده هستند، بهویژه: NX-OS و IOS-XR.
این پست پیرامون تفاوتهای عمده بین سیستمعاملهای IOS، NX-OS، و IOS-XR شرکت سیسکو میباشد و همچنین اطلاعاتی در خصوص این که در چه مکانها و موقعیتهایی ممکن است با هرکدام از این سیستمعاملها مواجه شوید را در اختیار شما قرار میدهد. ابتدا، در نظر داریم به بررسی مقایسهای آنها در سطح پیشرفته بپردازیم:
سیستمعامل IOS سیسکو: این نوع از سیستمعاملها، در «شبکههای بدون محدودیت» یافت میشوند (یعنی شبکههایی که به «هرکسی، در هر مکان و با هر تجهیزات سختافزاری» اجازه میدهد به یک شبکه شرکتی متصل شود). بهعنوانمثال، یکروتر ISR2 سری 3900 سیسکو، سیستمعامل IOS را اجرا میکند.
سیستمعامل NX-OSسیسکو: این سیستمعامل در سوئیچهای Nexus واقع در مراکز داده یافت میشود. بهعنوانمثال، یک سوئیچ سیسکوی Nexus سری 7000، یک سیستمعامل NX-OS را اجرا میکند.
سیستمعامل IOS-XRسیسکو: در روترهای ارائهدهنده خدمات سیسکو یافت میشود. بهعنوانمثال، یکروتر سیسکو XR سری 12000، یک سیستمعامل IOS-XRرا اجرا میکند.
درگذشته، سه گروه سازمانی مجزا در شرکت سیسکو وجود داشتند که این سیستمعاملها را توسعه دادند. خوشبختانه، این سه گروه در حال حاضر تحت یک واحد سازمانی مشترک در سیسکو ترکیب شدهاند. این ادغام سازمانی تاکنون منجر به سازگاری بیشتر بین این سیستمعاملهای متنوع شده است. بااینحال، تفاوتهای قابلتوجهی هنوز وجود دارد. برای درک بهتر تفاوتهای اساسی، در ادامه برخی از ویژگیهای اصلی هر سیستمعامل را بیان میکنیم:
سیستمعامل IOSسیسکو
اگرچه اصطلاح “IOS” بعدها مطرح شد، قدمت این سیستمعامل به اواسط دهه 1980 بازمیگردد. سیستمعامل IOS با استفاده از زبان برنامهنویسی C توسعه یافت و دارای محدودیتهای متعددی بود که مربوط به زمان تولید آن بود. بهعنوانمثال، از چند پردازش متشابه پشتیبانی نمیکرد. در نتیجه، پیش از اینکه مجموعهای از کدهای دستوری شروع به اجرا شوند، باید یک کد دستوری تکمیل میشد. یکی دیگر از محدودیتهای مهم ساختاری، استفاده از فضای حافظه مشترک بود. پیشازاین، همه فرایندها از یک منبع حافظه استفاده میکردند و یک پردازش OSPF1 نادرست (بهعنوانمثال) میتوانست باعث ایجاد اختلال در سایر فرایندهای روتر شود.
برخی از پلتفرمهای روتر راهحلهای جایگزینی را ارائه میدادند. برای نمونه، یکروتر ماژولار 7513 سیسکو میتوانست به یک ماژول پردازشگر رابط همهکارهVIP 2 مجهز شود که کارتهای شبکه اختصاصی را قادر میساخت تا مدلهای نمونهسازی شده خود را از سیستمعامل IOS اجرا کنند که سطحی از تعادل را برای حجم ترافیک و افزونگی اطلاعات فراهم میکرد.
توجه: نسخه دیگری از سیستمعامل IOS که ممکن است نامش را شنیده باشید سیستمعاملIOS-XE است که سیستمعامل IOS را روی لینوکس اجرا میکند. بهعنوانمثال، میتوانید سیستمعامل IOS-XE سیسکو را در حال اجرا بر روی روتر ASR سری 1000 سیسکو بیابید. سیستمعامل IOS-XE سیسکو به لطف مجموعه ویژگیهای لینوکس، پشتیبانی از چند پردازش مشابه و فضاهای حافظه اختصاصی را ارائه میدهد. بااینحال، بهغیراز زیربنای لینوکس، IOS-XE در اصل همان سیستمعامل IOS قبلی است؛ بنابراین، در این مقاله رویکرد مشخصی برای آن ارائه داده نشده است.
سیستمعامل NX-OS سیسکو
این سیستمعامل که در ابتدا SAN نام داشت (مخفف Storage Area Network بود)، امکانات ساختاری گستردهتری را نسبت به نسخه قدیمی سیستمعامل IOS سیسکو ارائه میدهد. اگرچه سیستمعاملNX-OS در ابتدا یک نسخه 32 بیتی بود، اما از آن زمان تا کنون به یک سیستمعامل 64 بیتی تبدیل شده است. برخلاف سیستمعامل IOS سیسکو، سیستمعاملNX-OS از فضای حافظه مشترکی استفاده نمیکند اما از چند پردازش متقارن با ورودی، خروجی یا مسیر مشترک پشتیبانی میکند. همچنین امکان چندوظیفه ای نوبه ای Preemptive Multitasking 3 را فراهم میکند که به یک فرایند با درجه اهمیت بالاتر اجازه میدهد تا پیش از یک فرایند با درجه اهمیت پایینتر اجرا شود.
NX-OS بر روی هسته لینوکس ساخته شده است و به طور طبیعی از زبان Python برای ایجاد اسکریپت در سوئیچهای Cisco Nexus پشتیبانی میکند. علاوه بر این، دارای چندین ویژگی دسترسیپذیری پیشرفته است و همه ویژگیهای خود را به یکباره اجرا نمیکند. در عوض، میتوانید مشخص کنید که کدام ویژگی را میخواهید فعال کنید. حذف اجرای ویژگیهای غیرضروری، حافظه و پردازنده را برای ویژگیهایی که میخواهید آزاد میکند. بااینحال، در حوزه پیکربندی، شباهتهای زیادی بین NX-OS و سیستمعامل IOS سیسکو وجود دارد.
سیستمعاملIOS-XRسیسکو
این سیستمعامل که در اصل برای عملکرد 64 بیتی طراحی شده بود، بسیاری از امکانات پیشرفته موجود در سیستمعامل NX-OS را ارائه میدهد (مانند پردازش چندگانه متقارن، فضاهای حافظه اختصاصی، و فعالکردن خدمات موردنیاز). بااینحال، درحالیکه سیستمعامل NX-OS بر روی هسته لینوکس ساخته شده، سیستمعامل IOS-XR بر مبنای توسعه داده شده است.میکرو کرنل نوترینو QNX4Neutrino Microkernel مشابه یونیکس است و اکنون تحت مالکیت شرکت بلکبری است.
یکی از ویژگیهای سیستمعامل IOS-XR که در سیستمعامل NX-OS یافت نمیشود، امکان داشتن نمونهای از سیستمعامل است که چندین کیس را کنترل میکند. همچنین، ازآنجاییکه سیستمعامل IOS-XR محیطهای ارائهدهنده خدمات را هدف قرار میدهد، از رابطهایی مانند DWDM و Packet over SONET پشتیبانی میکند.
در حالی که پیکربندی IOS-XR تا حدودی شباهت به ورژن قدیمی IOS سیسکو دارد، تفاوتها در مقایسه با تفاوتهای موجود در NX-OS بسیار محسوستر هستند. مثلاً هنگامی که واردکردن دستورات پیکربندی به پایان رسید، باید تغییرات خود را برای اجراییشدن آنها و قبل از خروج از حالت پیکربندی اعمال کنید.
نمونههای پیکربندی
برای نمایش برخی تنظیمات اولیه در این سه سیستمعامل، موارد زیر را در نظر بگیرید. این دستورات روی روتر سیستمعامل IOSسیسکو، سوئیچ NX-OS و نمونه های روتر IOS-XR که در Cisco VIRL اجرا میشوند داده شده است. هر یک از مثالهای زیر نسخه فعلی روتر یا سوئیچ سیستمعامل را نشان میدهند. سپس وارد حالت پیکربندی سراسری میشویم و نام میزبان روتر یا سوئیچ را تغییر میدهیم و به دنبال آن یک رابط Loopback 0 ایجاد میکنیم، بعد از اختصاص یک آدرس IP ، به حالت دسترسی بازمیگردیم و دستور کوتاه نمایش IP را صادر میکنیم.
هنگام تخصیص آدرسهای IP به رابطهای Loopback در سیستمهای سختافزاری، توجه داشته باشید که سیستمعامل IOS سیسکو نیاز دارد که عدد پوشش زیر شبکهSubnet Mask 5 با نماد اعشاری نقطهدار وارد شود، درحالیکه NX-OS و IOS-XR از واردکردن پوشش زیر شبکه بهصورت اسلش پشتیبانی میکنند (یعنی استفاده از /32 بهجای استفاده از 255.255.255.255). همچنین توجه داشته باشید که قبل از خروج از حالت پیکربندی باید دستور commit را در IOS-XR اجرا کنید. همچنین، تنها زمانی که آن فرمان را صادر میکنیم، جدیدترین پیکربندی نام میزبان اعمال میشود.
https://faradsys.com/wp-content/uploads/2022/08/differences-between-cisco-ios.jpg394700فاطمه هاشمیhttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngفاطمه هاشمی2022-08-07 15:30:202022-08-14 10:07:08مقایسه سیستم عامل های IOS، NX-OS و IOS-XR