proxy server
پراکسی چه چیزی نیست؟
که البته هر «Stateful packet filter و Packet filter» پراکسی ها بعضی اوقات با دو نوع فایروال اشتباه می شوند کدام از روش ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد.
تفاوت دارد Packet filter پراکسی با
این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه TCP/IP ابتدایی ترین روش صدور اجازه عبور به ترافیک بر اساس ترافیک دیتایی که بین آنها عبور می کند، پیمایش می کند. اطلاعاتی که این نوع IP header قرار می گیرد و اطلاعات آدرس را در
فیلتر ارزیابی می کند عموماً شامل آدرس و پورت منبع و مقصد می شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و بر اساس ،header قوانین ایجاد شده توسط مدیر شبکه بسته را می پذیرد یا نمی پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که
تمام آن چیزی است که سنجیده می شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد نمی بیند و به محتوای آسیب رسان اجازه عبور از فایروال را می دهد. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می کند و وضعیت ارتباط را دنبال نمی کند. (State)
تفاوت دارد Stateful packet filter پراکسی با
این فیلتر اعمال فیلتر نوع قبل را انجام می دهد، بعلاوه اینکه بررسی می کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه شناخته می شود. (State) نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP پروتکل ارتباطی در B ارتباط را برقرار کند. کامپیوتر B به کامپیوتر SYN (synchronize) سعی می کند با ارسال یک بسته A عادی، کامپیوتر می فرستد و به این B به کامپیوتر ACK یک A برمی گرداند، و کامپیوتر ((Acknowledgement SYN/ACK جواب یک بسته
برای نشان دادن آخرین بسته در یک ارتباط را نیز (finish) FIN اجازه وضعیتهای دیگر، مثلاً TCP . ترتیب ارتباط برقرار می شود می دهد.
هکرها در مرحله آماده سازی برای حمله، به جمع آوری اطلاعات در مورد سیستم شما می پردازند. یک روش معمول ارسال یک به سیستمی که تقاضایی نکرده، می (Reply) بسته در یک وضعیت غلط به منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ به این ترتیب، به هکر نشان می . “I don’t understand” فرستند. معمولاً، کامپیوتر دریافت کننده بیاید پیامی بفرستد و بگوید دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می تواند سیستم عامل مورد استفاده را نیز مشخص کند، و برای را که “Reply” را می فهمد و می تواند یک TCP/IP منطق یک ارتباط Stateful packet یک هکر گامی به جلو باشد. یک فیلتر ردگیری نمی کند و نمی تواند انجام دهد. فیلترهای packet پاسخ به یک تقاضا نیست، مسدود کند آنچه که یک فیلتر می توانند در همان لحظه قواعدی را مبنی بر اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، Stateful packet برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم تر است. این امنیت محکم تر، بهرحال، تا حدی باعث کاستن از کارایی می شود. نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می کند.
Application Gateways پراکسی ها یا
که عموماً پراکسی نامیده می شود، پیشرفته ترین روش استفاده شده برای کنترل ترافیک عبوری از Application Gatewaysفایروال ها هستند. پراکسی بین کلاینت و سرور قرار می گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرار شده،
می سنجد. پراکسی بار واقعی تمام بسته های عبوری بین سرور و کلاینت را می سنجد، و می تواند چیزهایی را که سیاستهای امنیتی ها را می سنجند، در حالیکه پراکسی ها header را نقض می کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته ها فقط
و ... غربال می کنند. ActiveX ، محتوای بسته را با مسدود کردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا پراکسی ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می سنجند. برای مثال، بعضی اَشکال
حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی ها می توانند کاراکترهای غیرقانونی یا رشته های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی ها تمام اعمال فیلترهای ذکرشده را انجام می دهند. بدلیل تمام این مزیتها، پراکسی ها بعنوان یکی از امن ترین روشهای عبور « کندتر » ترافیک شناخته می شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته ها را پیمایش می کنند. بهرحال بودن یک عبارت نسبی است.
آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه ای است. پراکسی ها باعث کندی سرعت ترافیک در تست های آزمایشگاهی می شوند اما باعث کندی سرعت دریافت کاربران نمی شوند. در شماره بعد بیشتر به پراکسی خواهیم پرداخت.
در مقایسه فایروال ها، ما مفهومی از پراکسی ارائه می دهیم و پراکسی را از فیلترکننده بسته ها متمایز می کنیم. با پیش زمینه ای که از پراکسی در شماره قبل بیان کردیم، م یتوانیم در اینجا مزایای پراکسی ها بعنوان ابزاری برای امنیت را لیست کنیم:
با مسدود کردن روش های معمول مورد استفاده در حمل هها، هک کردن شبکه شما را مشکل تر می کنند. · با پنهان کردن جزئیات سرورهای شبکه شما از اینترنت عمومی، هک کردن شبکه شما را مشک لتر می کنند. ·با جلوگیری از ورود محتویات ناخواسته و نامناسب به شبکه شما، استفاده از پهنای باند شبکه را بهبود می بخشند. ·
با ممانعت از یک هکر برای استفاده از شبکه شما بعنوان نقطه شروعی برای حمله دیگر، از میزان این نوع مشارکت می کاهند. ·
با فراهم آوردن ابزار و پیش فرض هایی برای مدیر شبکه شما که می توانند بطور گسترده ای استفاده شوند، می توانند مدیریت ·شبکه شما را آسان سازند.
بطور مختصر م یتوان این مزایا را اینگونه بیان کرد؛ پراکسی ها به شما کمک می کنند که شبکه تان را با امنیت بیشتر، موثرتر و اقتصادی تر مورد استفاده قرار دهید. بهرحال در ارزیابی یک فایروال، این مزایا به فواید اساسی تبدیل می شوند که توجه جدی را می طلبند.
برخی انواع پراکسی
تا کنون به پراکسی بصورت یک کلاس عمومی تکنولوژی پرداختیم. در واقع، انواع مختلف پراکسی وجود دارد که هرکدام با نوع
متفاوتی از ترافیک اینترنت سروکار دارند. در بخش بعد به چند نوع آن اشاره م یکنیم و شرح می دهیم که هرکدام در مقابل چه نوع حمله ای مقاومت م یکند.
البته پراکسی ها تنظیمات و ویژگ یهای زیادی دارند. ترکیب پراکسی ها و سایر ابزار مدیریت فایروال ها به مدیران شبکه شما قدرت کنترل امنیت شبکه تا بیشترین جزئیات را م یدهد. در ادامه به پراکسی های زیر اشاره خواهیم کرد:
SMTP Proxy ·
HTTP Proxy ·
FTP Proxy ·
DNS Proxy ·
SMTP Proxy
محتویات ایمیل های وارد شونده و خارج شونده را برای محافظت از (Simple Mail Transport Protocol) SMTP پراکسی شبکه شما در مقابل خطر بررسی م یکند. بعضی از تواناییهای آن اینها هستند:
مشخص کردن بیشترین تعداد دریافت کنندگان پیام: این اولین سطح دفاع علیه اسپم (هرزنامه) است که اغلب به صدها · یا حتی هزاران دریافت کننده ارسال می شود.
مشخص کردن بزرگترین اندازه پیام: این به سرور ایمیل کمک م یکند تا از بار اضافی و حملات بمباران توسط ایمیل ·جلوگیری کند و با این ترتیب می توانید به درستی از پهنای باند و منابع سرور استفاده کنید.
اجازه دادن به کاراکترهای مشخص در آدرسهای ایمیل آنطور که در استانداردهای اینترنت پذیرفته شده است: ·
چنانچه قبلاً اشاره شد، بعضی حمله ها بستگی به ارسال کاراکترهای غیرقانونی در آدرسها دارد. پراکسی می تواند طوری تنظیم شود که بجز به کاراکترهای مناسب به بقیه اجازه عبور ندهد.
فیلترکردن محتوا برای جلوگیری از انواعی محتویات اجرایی: معمول ترین روش ارسال ویروس، کرم و اسب تروا ·می تواند این حمله ها را در یک ایمیل از طریق نام SMTP فرستادن آنها در پیوست های به ظاهر بی ضرر ایمیل است. پراکسی و نوع، مشخص و جلوگیری کند، تا آنها هرگز به شبکه شما وارد نشوند.
فیلترکردن الگوهای آدرس برای ایمیل های مقبول\مردود: هر ایمیل شامل آدرسی است که نشا ندهنده منبع آن است. ·
اگر یک آدرس مشخص شبکه شما را با تعداد بیشماری از ایمیل مورد حمله قرار دهد، پراکسی می تواند هر چیزی از آن آدرس اینترنتی را محدود کند. در بسیاری موارد، پراکسی می تواند تشخیص دهد چه موقع یک هکر آدرس خود را جعل کرده است. از آنجا که پنهان کردن آدرس بازگشت تنها دلایل خصمانه دارد، پراکسی م یتواند طوری تنظیم شود که بطور خودکار ایمیل جعلی را مسدود کند.
ها شامل دیتای انتقال مانند اینکه ایمیل از طرف کیست، برای کیست و Header : های ایمیل Header فیلترکردن ·
برای حمله به سرورهای ایمیل یافته اند. پراکسی Header غیره هستند. هکرها راه های زیادی برای دستکاری اطلاعات های header ها با پروتکل های اینترنتی صحیح تناسب دارند و ایمیل های دربردارنده Header مطمئن می شود که تغییرشکل داده را مردود می کنند. پراکسی با اعمال سختگیرانه استانداردهای ایمیل نرمال، می تواند برخی حمله های آتی را نیز مسدود کند.
های پیام ها: ایمیل هایی که شما می فرستید نیز مانند آنهایی که دریافت ID تغییردادن یا پنهان کردن نامهای دامنه و ·
هستند. این دیتا بیش از آنچه شما می خواهید دیگران درباره امور داخلی شبکه شما header می کنید، دربردارنده دیتای می تواند بعضی از این اطلاعات را پنهان کند یا تغییر دهد تا شبکه شما اطلاعات SMTP بدانند، اطلاعات دربردارند. پراکسی کمی در اختیار هکرهایی قرار دهد که برای وارد شدن به شبکه شما دنبال سرنخ می گردند.
HTTP Proxy
World Wide Web این پراکسی بر ترافیک داخل شونده و خارج شونده از شبکه شما که توسط کاربرانتان برای دسترسی به ایجاد شده، نظارت می کند. این پراکسی برای مراقبت از کلاینت های وب شما و سایر برنامه ها که به دسترسی به وب از طریق محتوا را فیلتر می کند. بعضی از قابلیتهای آن اینها هستند: ،HTML اینترنت متکی هستند و نیز حملات برپایه را که نسخه سیستم عامل، نام و header برداشتن اطلاعات اتصال کلاینت: این پراکسی می تواند آن قسمت از دیتای ·نسخه مرورگر، حتی آخرین صفحه وب دیده شده را فاش می کند، بردارد. در بعضی موارد، این اطلاعات حساس است، بنابراین چرا فاش شوند؟
تحمیل تابعیت کامل از استانداردهای مقررشده برای ترافیک وب: در بسیاری از حمله ها، هکرها بسته های تغییرشکل ·
داده شده را ارسال می کنند که باعث دستکاری عناصر دیگر صفحه وب می شوند، یا بصورتی دیگر با استفاده از رویکردی که این اطلاعات بی معنی را نمی پذیرد. ترافیک وب HTTP ایجادکنندگان مرورگر پیش بینی نمی کردند، وارد می شوند. پراکسی باید از استانداردهای وب رسمی پیروی کند، وگرنه پراکسی ارتباط را قطع می کند.
به مرورگر وب کمک می کنند تا بداند چگونه محتوا را تفسیر کند MIME الگوهای : MIME فیلترکردن محتوای از نوع ·
فایل بعنوان صوت پخش شود، متن نمایش داده شود و غیره. .wav تا با یک تصویرگرافیکی بصورت یک گرافیک رفتار شود، یا خود دروغ می گویند یا الگوی آن را مشخص نمی کنند. MIME بسیاری حمله های وب بسته هایی هستند که در مورد الگوی این فعالیت مشکوک را تشخیص می دهد و چنین ترافیک دیتایی را متوقف می کند. HTTP پراکسی برای ایجاد برنامه های کوچک بهره می ActiveX و Java برنامه نویسان از :ActiveX و Java فیلترکردن کنترلهای ·
گیرند تا در درون یک مرورگر وب اجراء شوند (مثلاً اگر فردی یک صفحه وب مربوط به امور جنسی را مشاهده می کند، یک روی آن صفحه می تواند بصورت خودکار آن صفحه را صفحه خانگی مرورگر آن فرد نماید). پراکسی می ActiveX اسکریپت تواند این برنامه ها را مسدود کند و به این ترتیب جلوی بسیاری از حمله ها را بگیرد.
می تواند جلوی ورود تمام کوکی ها را بگیرد تا اطلاعات خصوصی شبکه شما را حفظ HTTP برداشتن کوکی ها: پراکسی ·کند.که از استاندارد پیروی نمی کنند، ممانعت HTTP های header از ، HTTP های ناشناس: پراکسی Header برداشتن ·
بعمل می آورد. یعنی که، بجای مجبور بودن به تشخیص حمله های برپایه علائمشان، پراکسی براحتی ترافیکی را که خارج از قاعده باشد، دور می ریزد. این رویکرد ساده از شما در مقابل تکنیک های حمله های ناشناس دفاع می کند.
فیلترکردن محتوا: دادگاه ها مقررکرده اند که تمام کارمندان حق برخورداری از یک محیط کاری غیر خصمانه را دارند. بعضی ·سیاست HTTP عملیات تجاری نشان می دهد که بعضی موارد روی وب جایگاهی در شبکه های شرکت ها ندارند. پراکسی امنیتی شرکت شما را وادار می کند که توجه کند چه محتویاتی مورد پذیرش در محیط کاریتان است و چه هنگام استفاده می تواند سستی ناشی از HTTP نامناسب از اینترنت در یک محیط کاری باعث کاستن از بازده کاری می شود. بعلاوه، پراکسی فضای سایبر را کم کند. گروه های مشخصی از وب سایتها که باعث کم کردن تمرکز کارمندان از کارشان می شود، می توانند غیرقابل دسترس شوند.
FTP Proxy
بسیاری از سازمان ها از اینترنت برای انتقال فایل های دیتای بزرگ از جایی به جایی دیگر استفاده می کنند. در حالیکه فایل های (File Transfer Protocol) FTP کوچک تر می توانند بعنوان پیوست های ایمیل منتقل شوند، فایل های بزرگ تر توسط فضایی را برای ذخیره فایل ها آماده می کنند، هکرها علاقه زیادی به دسترسی به این FTP فرستاده می شوند. بدلیل اینکه سرورهای معمولاً این امکانات را دارد: FTP سرورها دارند. پراکسی این عمل به شما اجازه می دهد که فایل ها را در دسترس عموم قرار :« فقط خواندنی » محدودکردن ارتباطات از بیرون به ·دهید، بدون اینکه توانایی نوشتن فایل روی سرورتان را بدهید.
FTP این عمل از نوشتن فایل های محرمانه شرکت به سرورهای :« فقط خواندنی » محدود کردن ارتباطات به بیرون به ·خارج از شبکه داخلی توسط کاربران جلوگیری می کند.
Idle مشخص کردن زمانی ثانیه های انقضای زمانی: این عمل به سرور شما اجازه می دهد که قبل از حالت تعلیق و یا ·ارتباط را قطع کند. request
این از حمله هایی جلوگیری می کند که طی آن هکر فضایی از سرور شما را تسخیر می : FTP SITE ازکارانداختن فرمان ·
کند تا با استفاده از سیستم شما حمله بعدی خودش را پایه ریزی می کند.
DNS Proxy
شناخته شده نیست، اما چیزی است که به شما این SMTP یا HTTP شاید به اندازه (Domain Name Server) DNS
در مرورگر وب خود تایپ کنید و وارد این سایت شوید – بدون http://www.ircert.com امکان را می دهد که نامی را مانند
توجه به اینکه از کجای دنیا به اینترنت متصل شده اید. بمنظور تعیین موقعیت و نمایش منابعی که شما از اینترنت درخواست می کنید،
هایی که کامپیوترها قادر به درک آن هستند، تبدیل IP نام های دامنه هایی را که می توانیم براحتی بخاطر بسپاریم به آدرس DNS
می کند. در اصل این یک پایگاه داده است که در تمام اینترنت توزیع شده است و توسط نام دامنه ها فهرست شده است.
بهرحال، این حقیقت که این سرورها در تمام دنیا با مشغولیت زیاد در حال پاسخ دادن به تقاضاها برای صفحات وب هستند، به
هنوز خیلی شناخته شده DNS هکرها امکان تعامل و ارسال دیتا به این سرورها را برای درگیرکردن آنها می دهد. حمله های برپایه
نیستند، زیرا به سطحی از پیچیدگی فنی نیاز دارند که بیشتر هکرها نمی توانند به آن برسند. بهرحال، بعضی تکنیک های هک که
می تواند موارد زیر باشد: DNS میشناسیم باعث می شوند هکرها کنترل کامل را بدست گیرند. بعضی قابلیت های پراکسی
را که تقاضاها و پاسخ های Transport تضمین انطباق پروتکلی: یک کلاس تکنیکی بالای اکسپلویت می تواند لایه ·
را انتقال می دهد به یک ابزار خطرناک تبدیل کند. این نوع از حمله ها بسته هایی تغییرشکل داده شده بمنظور انتقال کد DNS
را بررسی می کند و بسته هایی را که بصورت DNS های بسته های header ،DNS آسیب رسان ایجاد می کنند. پراکسی
ناصحیح ساخته شده اند دور می ریزد و به این ترتیب جلوی بسیاری از انواع سوء استفاده را می گیرد.
در سال 1984 ایجاد شده و از آن موقع بهبود یافته است. بعضی DNS : ها بصورت گزینشی header فیلترکردن محتوای ·
تقاضاهای header می تواند محتوای DNS بر ویژگی هایی تکیه می کنند که هنوز تایید نشده اند. پراکسی DNS از حمله های
غیرعادی دارند، مسدود کند. header را بررسی کند و تقاضاهایی را که کلاس، نوع یا طول DNS
نتیجه گیری
با مطالعه این مجموعه مقالات، تا حدی با پراکسی ها آشنا شدیم. پراکسی تمام ابزار امنیت نیست، اما یک ابزار عالیست، هنگامی
که با سایر امنیت سنج ها! مانند ضدویروس های استاندارد، نرم افزارهای امنیتی سرور و سیستم های امنیتی فیزیکی بکار برده شود.__
منابع
www.websecurity.ir
www.ircert.com
توسط این وبلاگ می توانید از سوالات آزمون عملی و کتبی سازمان فنی و حرفه ای استان مازندران و یا جزوات استفاده نمایید