PDA

مشاهده نسخه کامل : دفاع لايه به لايه در مقابل ويروس‌ها



Wink
19-06-07, 21:27
چكيده مقاله
اين مقاله لايه‌هاي گوناگوني كه تشكيل دهنده زيرساخت IT يك سازمان است را تشريح كرده است و ملزومات مورد نياز محافظت ضد ويروسي در هر مدخل ورودي را ارزيابي مي‌كند. همچنين نگاهي دارد به فاكتورهايي كه سازمان‌ها براي تصميم گيري در مورد چگونگي مديريت و محل به كار گيري نرم‌افزارهاي ضد ويروسي ، بايد به آنها توجه داشته باشند.

زيرساخت IT
زيرساخت IT يك سازمان مي‌تواند شامل 4 لايه زير باشد.
1- كامپيوترهاي كاربران : اين لايه در قلب سازمان قرار داشته و شامل كامپيوترهاي روميزي فردي، كامپيوترهاي Laptop و ساير ابزارهايي است كه توسط تمام كارمندان مورد استفاده قرار مي‌گيرند.
2- سرورهاي فايل‌هاي محلي :اين لايه كه بر روي لايه كامپيوترهاي كاربران قرار دارد، شامل اطلاعات و برنامه‌هايي است كه در سرتاسر سازمان بين كامپيوترهاي روميزي به اشتراك گذاشته شده‌اند.
3- سرورهاي پست الكترونيك : اين لايه در مرز سازمان قرار داشته و مجراي عبور و مرور تمام نامه‌هاي ورودي به سازمان و يا خروجي از آن مي‌باشد.
4- خدمات مديريت شده :بيروني‌ترين لايه زيرساخت IT بوده و مي‌تواند در داخل يا خارج سازمان قرار داشته باشد. در اين لايه، نرم‌افزاري كه به عنوان بخشي از سرويس اجرا شده است، توسط يك بخش ثالث - مانند يك ISP (Internet Service Provider) - اداره مي‌شود.

مشخصه‌هاي هر لايه
لايه 1 : كامپيوترهاي كاربران
آسيب‌پذيرترين قسمت در يك سازمان مي‌باشد، چرا كه در اين بخش، بيشترين كنترل بر كامپيوترها در اختيار كاربران مي‌باشد. مديران سيستم مي‌توانند اين كامپيوترها را در بعضي زمينه‌ها و بخصوص در سيستم‌عامل‌هاي ويندوز 2000 و Mac OS X محدود كنند، اما در سيستم‌عامل‌هاي ويندوز 95 يا 98 و يا نسخه‌هاي قديمي كامپيوترهاي مكينتاش امكان كنترل مديريتي بسيار محدودي وجود دارد. با همه اينها آن چيزي كه واقعا كامپيوترهاي روميزي و Laptop ها را آسيب‌پذير مي‌كند، آن است كه آنها محل دريافت همه انواع اطلاعات مي‌باشند. اين اطلاعات نه تنها از يك سرور فايل يا سرور پست الكترونيك، بلكه ممكن است از نقل و انتقال‌هاي صورت گرفته HTTP بر روي وب، انتقال‌هاي فايل FTP ، سي‌دي ها، رد و بدل كردن اطلاعات با كامپيوترهاي كف‌دستي و مانند آن دريافت شود.
مديريت كامپيوترهاي كاربران به دليل تغيير مداوم تعداد آنها بسيار مشكل است. در عمل، حتي دانستن تعداد كامپيوترهاي موجود (با وجود كامپيوترهاي همراه كاربران و ...) هم براي بسياري از شركت‌ها مشكل مي‌باشد.

لايه 2 : سرورهاي فايل
بسياري از شركت‌ها سرور فايل‌هاي بسيار كمتري نسبت به تعداد كامپيوترهاي كاربران در اختيار دارند.
مديران سيستم بر تمام چيزهايي كه روي هر سروري وجود دارد، كنترل بسيار زيادي داشته و مي‌توانند ميزان دسترسي كاربران بر كامپيوترها را به طور بسيار ثمربخشي تنظيم كنند. از آنجايي كه آنها مي‌توانند دستيابي به اطلاعات را از طريق به اشتراك گذاشتن آنها بر روي سرور براي كاربران فراهم كنند، در نتيجه كاربران كنترلي بر روي تنظيمات نخواهند داشت. سيستم‌عامل‌هاي عمومي براي سرورهاي فايل، سيستم‌عامل‌هاي Unix، ويندوز NT ، 2000 ، 2003 و NetWare مي‌باشد.

لايه 3 : سرورهاي پست الكترونيك
سرورهاي پست الكترونيك در دروازه عبور و مرور قرار داشته و ترافيك ورودي يا خروجي يك سازمان را پردازش مي‌كنند. آنها همانند محصولات پست الكترونيك از قبيل Microsoft Exchange يا Lotus Notes/Domino از پروتكل‌هاي مربوطه مانند پروتكل SMTP( Simple Mail Transfer Protocol ) پشتيباني مي‌كنند.
پژوهش دقيقي كه در ماههاي ژانويه تا مارس سال 2000 توسط مدير پيام‌هاي شركت Pitney Bowes صورت گرفت، نشان داد كه بطور ميانگين براي هر 1000 كارمند، روزانه 50 نامه الكترونيكي مورد رسيدگي قرار مي‌گيرد. سازمان‌هاي بزرگ مي‌توانند روزانه تا پنجاه هزار پيام پست الكترونيكي را دريافت كنند كه در بعضي موارد اين تعداد به يك ميليون عدد مي‌رسد. طبق برآورد شركت IDC (شركت اطلاعات بين‌المللي) در سال 2005، روزانه در حدود 35 بيليون نامه الكترونيكي ارسال خواهد شد. تركيب چنين سطحي از ترافيك با تكثير ويروس‌هاي مبتني بر نامه‌هاي الكترونيكي به اين معني است كه نامه‌هاي الكترونيكي اصلي‌ترين مسير مورد استفاده ويروس‌ها براي ورود به سازمان‌ها خواهند بود - همانگونه كه در حال حاضر هم چنين مي‌باشد. بعضي از شركت‌ها مي‌توانند روزانه دهها و شايد هم صدها ويروس را در دروازه رفت و آمد نامه‌ها متوقف كنند.

لايه 4 : خدمات مديريت شده
«خدمات مديريت شده» در طي چندين سال گذشته به وجود آمده و به عنوان غير واضح‌ترين لايه از چهار لايه IT بر پا شده‌اند. اساسا اين مورد به شركت ثالثي مربوط مي‌شود كه تعدادي نرم‌افزار و مشخصه‌هاي مورد نظر را در يك سرويس خدماتي يا دستگاه سخت‌افزاري دسته‌بندي مي‌كند تا بتواند آن را براي شركتي ديگر مديريت كند. از سودمندي‌هاي اين نوع خدمات مديريت شده بايد به اين مطلب اشاره كرد كه با اين سرويس‌ها مي‌توان از كارهاي اضافه مدير سيستم براي مديريت پروسه‌ها كاست.
نمونه‌اي از شركت‌هايي كه خدمات مديريت شده عرضه مي‌كنند، ISP ها (شركت‌هاي خدمات‌دهنده سرويس‌هاي اينترنتي) مي‌باشند. ممكن است شركتي بخواهد مسير عبور و مرور نامه‌هاي الكترونيكي خود را يك ISP قرار دهد و از پويشگرهاي ISP براي بررسي ويروس‌ها، اسپم‌ها، فايل‌هاي آلوده و ... استفاده كند. در اينصورت ISP تصميم مي‌گيرد چه اعمال متناسبي را انجام دهد - مثلا اينكه آيا نامه دريافتي را براي شركت مورد نظر ارسال كند يا نه. ISP مورد نظر براي انجام چنين خدماتي، حق‌الزحمه‌اي را از شركت مطالبه خواهد كرد.
نوع ديگري از خدمات مديريت شده، ابزارها و اسباب سخت‌افزاري هستند. اين ابزار يا اسباب معمولا سرورهايي مخصوص هستند كه در حاشيه شبكه قرار داشته و ترافيك وارد و خارج شده از سازمان را كنترل مي‌كنند. اين اسباب سخت‌افزاري خود شامل تمام موارد مورد نياز بوده و مانند نرم‌افزارهاي ضد ويروس مي‌توانند شامل نرم‌افزارهاي ديوار آتش (Firewall) هم باشند. معمولا براي سازمان‌ها مقدور نيست كه نرم‌افزارهاي مورد نظر خود را به اين اسباب اضافه كنند. اين اسباب توسط شركت‌هاي فروشنده آنها كنترل (كنترل راه دور) مي‌شوند.

ثمرات پويش ويروس در هر يك از لايه‌ها
لايه 1 : كامپيوترهاي كاربران
لايه كامپيوترهاي روميزي و كامپيوترهاي Laptop مهم‌ترين لايه براي پويش ويروس‌ها مي‌باشد. اين لايه، تنها لايه‌اي است كه در آن هر فرد مي‌تواند هرگونه اطلاعاتي را از هر منبع مجازي مورد استفاده قرار دهد. اين لايه تنها جايي است كه پويش بايد بر فايل‌هاي داخل CD ها، كامپيوترهاي كف‌دستي در حال هماهنگ‌سازي اطلاعات، ديسكت‌ها و ... صورت گيرد. با توجه به اينكه ممكن است به هر دليلي نرم افزار ضد ويروس، در دروازه نامه‌ها قرار نداشته باشد و يا اينكه به روز نشده باشند، مي‌توان نامه‌ها و فايل‌هاي پيوندي آنها را در اين لايه مورد پويش قرار داده و با اين كار از آلوده شدن شبكه توسط ويروس‌ها جلوگيري كرد. همچنين ترافيك HTTP وارد شده از وب را هم مي‌توان در كامپيوترهاي روميزي پويش كرد (بعضي شركت‌ها تصميم مي‌گيرند تا اعمال محافظتي اضافه‌اي را براي ترافيك HTTP يا FTP - براي مثال در دروازه ورود و خروج - اعمال كنند، اما هنگامي كه با اين كار، كارايي مورد نظر آنها در مقايسه با تهديدات واقعي كاهش مي‌يابد، بسياري از آنها ترجيح مي‌دهند تا مقابله با ويروس‌ها را در همان كامپيوترهاي روميزي انجام دهند.).
دليل مهم ديگر براي داشتن نرم افزار ضد ويروس بر روي كامپيوترهاي روميزي آن است كه آنجا تنها جايي است كه مي‌توان اطلاعات رمز شده‌اي مانند اطلاعات استفاده كننده از قوانين SSL (لايه سوكت‌هاي امن) - كه براي تبادلات امن اينترنتي مورد استفاده قرار مي‌گيرد - را مورد بازرسي قرار داد. اطلاعات رمز شده تا هنگامي كه از حالت رمز خارج نشوند، توسط هيچ نرم‌افزار ضد ويروسي قابل پويش نخواهند بود.
دشواري‌هاي پويش در اين لايه از زيرساخت IT ناشي از گرفتاري‌هاي كلي مدير سيستم براي مديريت كامپيوترهاي كاربران است. همانطور كه قبلا توضيح داده شد، تعداد متغير كامپيوترها مي‌تواند باعث بوجود آمدن خطاها و مشكلات بالقوه‌اي شود. در زماني كه نظارت‌هاي مديريتي سختگيرانه به كار برده نشود و يا آنها دقيقا رعايت نشوند، كاربران مي‌توانند تنظيمات و توافقات مورد نياز براي امنيت شبكه را مورد آسيب قرار دهند. نيز بديهي است كه نرم‌افزار ضد ويروس تنها زماني موثر است كه كاملا به روز نگاه داشته شود.

لايه 2 : سرورهاي فايل
انجام پويش در لايه سرور فايل بسيار ساده‌تر و قابل فهم‌تر است چرا كه عموما تعداد بسيار كمتري سرور فايل نسبت به كامپيوترهاي روميزي وجود داشته و كنترل آنها براي يك مدير سيستم بسيار ساده‌تر است.
تا مدتي قبل، بسياري از شركت‌ها با علم به اينكه اگر فايل آلوده‌اي به هر روشي وارد سرور آنها شود، پويش‌هاي كامپيوترهاي روميزي از باز شدن آن‌ها به هنگام تلاش يك كاربر براي دسترسي به آنها جلوگيري خواهد كرد، ترجيح مي‌دادند از پويش‌هاي زمان‌بندي شده در سرورهاي خود استفاده كنند. اما با نمايان شدن انواع جديدتر ويروس‌ها - مخصوصا ويروس‌هايي كه شبكه را به كمك اشتراكات شبكه‌اي، نامه‌ها و وب‌سايت‌ها آلوده مي‌كنند - تصميم بر آن شد كه از پويش‌هاي هميشه فعال - حداقل در سرورها - استفاده شود. گرچه در گذشته بعضي سازمان‌ها ترجيح مي‌دادند تا فقط از پويش‌هاي زمان‌بندي شده يا زمان نياز استفاده كنند، اما در حال حاضر پويش‌هاي هميشه فعال به عنوان راهي موثر براي آگاهي از ورود ويروس‌ها به سازمان و جلوگيري از انتشار سريع آنها در شبكه مورد استفاده قرار مي‌گيرند.
همانطور كه قبلا هم توضيح داده شد، پيش‌فرض پويش در لايه سرور فايل آن است كه همه فايل‌ها نيازي به پويش ندارند، فايل‌هاي CD و DVD ، اطلاعات HTTP يا FTP و مانند آن بايد مستقيما وارد كامپيوترهاي كاربران شده و در آنجا پويش شوند.

لايه 3 : سرورهاي پست الكترونيك
از ماه مارس سال 1999 كه كرم WM97/Melissa (از نوع ماكرو برنامه Word) ظاهر شد تا به امروز تعداد ويروس‌ها و كرم‌هاي مبتني بر نامه‌هاي الكترونيكي بسيار اوج گرفته است. از بارزترين نمونه‌هاي آنها مي‌توان ويروس W32/Magistr ، كرم‌هاي اسكريپتي ويژوال بيسيك مانند Love Bug (VBS/LoveLetter) و VBS/Kakworm و كرم‌هاي Windows 32 مانند W32/Klez را نام برد. خسارت هاي كرم NetSky و Beagle هنوز فراموش نشده است.
اين گونه ويروس‌ها و كرم‌ها سعي مي‌كنند تا به چندين روش خود را منتشر كنند اما عمومي‌ترين روش آنها، ارسال از طريق فايل‌هاي پيوندي نامه‌هاي الكترونيكي است كه آن را به بعضي يا تمام آدرس‌هاي موجود در دفترچه آدرس فرد دريافت كننده ويروس ارسال مي‌كنند. به اين طريق صدها هزار كاربر در زمان كوتاهي آلوده مي‌شوند. سرعت انتشار و ميزان آلودگي مورد بحث، ما را متوجه مي‌كند كه در حال حاضر پويش در دروازه بسيار مهم‌تر از پويش درون كامپيوترها مي‌باشد.
سازمان‌ها با انجام پويش در دروازه مي‌توانند با تهديدات، قبل از رسيدن آنها به كامپيوترها مقابله كنند. اين كار باعث صرفه‌جويي مقدار زيادي از زمان مدير سيستم مي‌شود، چرا كه مدير سيستم بايد مشكل را فقط در يك محل - سرور پست الكترونيك - بررسي كند و نه در همه كامپيوترها. همچنين جلوگيري از ورود ويروس به شبكه زمان‌هاي تلف شده سازمان را از بين مي‌برد - آغاز شيوع كرم‌ها مانند كرم Love Bug شبكه‌هاي سازمان‌ها را به حالت سكون برده و فعاليت‌هاي بازرگاني را فلج مي‌كند. به علاوه كرم‌هايي مانند W32/Sircam اسنادي را كه در ديسك سخت پيدا مي‌كنند، به نامه پيوند زده و براي بقيه ارسال مي‌كنند كه اين كار به استحكام و محرمانه بودن اطلاعات شركت و بالتبع نام و آوازه آن صدمه مي‌زند.
نرم افزار ضد ويروس دروازه عبور و مرور، نامه‌هايي كه قصد ورود به شركت يا خروج از آن را دارند و همچنين فايل‌هاي پيوندي آنها را بررسي مي‌كند. محصولات مربوط به پست الكترونيك شامل پويش‌هاي database و mailbox هم مي‌شوند و اين بدان معني است كه حتي اگر ويروسي - به خاطر عواملي مانند تاخير در به روز كردن نرم افزار ضد ويروس و يا ... - در همان پويش بلادرنگ اوليه مورد شناسايي قرار نگيرد، در پويش‌هاي زمان‌بندي شده يا پويش‌هاي به هنگام نياز، شناسايي خواهد شد.
به هر حال با توجه به مباحثي مانند زمان، هزينه، شهرت و ... پويش كردن نامه‌هاي الكترونيكي در همان بدو ورود يا خروج از سازمان از سفارش شده‌ترين توصيه‌ها مي‌باشد.
پيش فرض در اين لايه بر آن است كه همه اطلاعات در دروازه مورد بازرسي قرار نگيرند، بلكه رسانه‌هاي مورد استفاده كارير و نامه‌هاي رمز شده در دستگاه‌هاي كاربران پويش شوند.

لايه 4 : خدمات مديريت شده
بارزترين مزيت استفاده از يك بخش ثالث براي انجام امور محافظت از اطلاعات در همان محدوده شبكه، آن است كه مدير سيستم مي‌تواند زمان خود را صرف فعاليت‌هاي ديگر كند. به علاوه هزينه انجام اعمال امنيتي در اين لايه بسيار قابل پيش بيني تر از ساير لايه‌ها است.
با اين حال بايد اين مطلب را هم در نظر داشته باشيم كه در مقابل چنين مزيتي عيب بزرگي هم وجود دارد و آن اين است كه تمام امور كاملا در خارج از كنترل سازمان و مدير سيستم انجام مي‌شوند. در اينصورت سازمان تقريبا همواره تابع تنظيمات، تصميمات و كارايي‌هاي ISP و يا ساير سرويس‌ها بوده و اگر مشكلي در عمل رخ دهد - مثل بوجود آمدن اشكال در مسيريابي شبكه - كوچكترين كاري از شركت ساخته نخواهد بود. در ضمن بايد موارد مربوط به محرمانه بودن اطلاعات را هم مد نظر داشت، چرا كه كارمندان و ساير افراد قادر خواهند بود تا در خارج از سازمان اطلاعات درون نامه‌ها را مشاهده كنند.
در صورتي كه خدمات مديريت شده بوسيله سخت افزار انجام شود، كنترل بيشتري بر روي آنها خواهد بود، ولي باز هم مي‌دانيم كه آن اسباب هم توسط بخشي ثالث مديريت خواهند شد.

انتخاب يك روش ضد ويروسي
در بازنگري فاكتورهاي موثر بر انتخاب يك روش ضد ويروسي، به معيارهايي متضاد براي افزايش امنيت در مقابل كاهش هزينه برمي‌خوريم.
·محافظت در لايه 4 - لايه خدمات مديريت شده - هزينه را كاهش مي‌دهد و محافظت در لايه 1 امنيت را افزايش خواهد داد.
·بسيار منطقي است اگر تمام شركت‌ها در لايه 1 - لايه كامپيوترهاي كاربران - اعمال محافظتي را انجام دهند. سياست‌هاي محافظتي در شركت‌هاي ضد ويروسي متفاوت است، اما امنيت در لايه 1 ، با ايجاد امنيت در لايه سرور فايل - لايه 2 - امكان‌پذيرتر خواهد بود.
·عليرغم داشتن لايه‌هاي 1 و 2 محافظت شده، ممكن است سازمان‌ها با در نظر داشتن مواردي مانند هزينه و امنيت بخواهند امنيت را در لايه‌هاي 3 و يا 4 هم برقرار كنند. به كار گيري نرم‌افزار ضد ويروس در لايه 3 - دروازه ورود و خروج - امكان كنترل بسيار بيشتر و فراهم كردن امنيت محرمانگي بهتري را براي سازمان در بر دارد. با اين حال واگذار كردن امور به خدمات مديريت شده ممكن است راه حلي ارجح براي شركت‌هاي باشد كه هزينه از اهميت بالايي براي آنها برخوردار است.

نويسنده : رضا مددي (Only the registered members can see the link@yahoo.com)