كاربرد پراكسي در  امنيت شبكه (۳)

در شماره هاي قبل به پراكسي سرور، مقايسه پراكسي و فايروال و پراكسي SMTP پرداختيم. به بررسي انواع ديگر پراكسي مي پردازيم:

HTTP Proxy

اين پراكسي بر ترافيك داخل شونده و خارج شونده از شبكه شما كه توسط كاربرانتان براي دسترسي به World Wide Web ايجاد شده،  نظارت مي كند. اين پراكسي براي مراقبت از كلاينت هاي وب شما و ساير برنامه ها كه به دسترسي به وب از طريق اينترنت متكي هستند و نيز حملات برپايه HTML، محتوا را فيلتر مي كند. بعضي از قابليتهاي آن اينها هستند:

·   برداشتن اطلاعات اتصال كلاينت: اين پراكسي مي تواند آن قسمت از ديتاي header  را كه نسخه سيستم عامل، نام و نسخه مرورگر، حتي آخرين صفحه وب ديده شده را فاش مي كند، بردارد. در بعضي موارد، اين اطلاعات حساس است، بنابراين چرا فاش شوند؟

·    تحميل تابعيت كامل از استانداردهاي مقررشده براي ترافيك وب: در بسياري از حمله ها، هكرها بسته هاي تغييرشكل داده شده را ارسال مي كنند كه باعث دستكاري عناصر ديگر صفحه وب مي شوند، يا بصورتي ديگر با استفاده از رويكردي كه ايجادكنندگان مرورگر پيش بيني نمي كردند، وارد مي شوند. پراكسي HTTP اين اطلاعات بي معني را نمي پذيرد. ترافيك وب بايد از استانداردهاي وب رسمي پيروي كند، وگرنه پراكسي ارتباط را قطع مي كند.

·    فيلتركردن محتواي از نوع MIME : الگوهاي MIME به مرورگر وب كمك مي كنند تا بداند چگونه محتوا را تفسير كند تا با يك تصويرگرافيكي بصورت يك گرافيك رفتار شود، يا .wav فايل بعنوان صوت پخش شود، متن نمايش داده شود و غيره. بسياري حمله هاي وب بسته هايي هستند كه در مورد الگوي MIME خود دروغ مي گويند يا الگوي آن را مشخص نمي كنند. پراكسي HTTP اين فعاليت مشكوك را تشخيص مي دهد و چنين ترافيك ديتايي را متوقف مي كند.

·   فيلتركردن كنترلهاي Java و ActiveX: برنامه نويسان از Java و ActiveX براي ايجاد برنامه هاي كوچك بهره مي گيرند تا در درون يك مرورگر وب اجراء شوند (مثلاً اگر فردي يك صفحه وب مربوط به امور جنسي را مشاهده مي كند، يك اسكريپت ActiveX روي آن صفحه مي تواند بصورت خودكار آن صفحه را صفحه خانگي مرورگر آن فرد نمايد). پراكسي مي تواند اين برنامه ها را مسدود كند و  به اين ترتيب جلوي بسياري از حمله ها را بگيرد.

·   برداشتن كوكي ها:  پراكسي HTTP مي تواند جلوي ورود تمام كوكي ها را بگيرد تا اطلاعات خصوصي شبكه شما را حفظ كند.

·   برداشتن Headerهاي ناشناس:  پراكسي HTTP ، از headerهاي HTTP كه از استاندارد پيروي نمي كنند، ممانعت بعمل مي آورد. يعني كه، بجاي مجبور بودن به تشخيص حمله هاي برپايه علائمشان، پراكسي براحتي ترافيكي را كه خارج از قاعده باشد، دور مي ريزد. اين رويكرد ساده از شما در مقابل تكنيك هاي حمله هاي ناشناس دفاع مي كند.

·   فيلتركردن محتوا: دادگاه ها مقرركرده اند كه تمام كارمندان حق برخورداري از يك محيط كاري غير خصمانه را دارند. بعضي عمليات تجاري نشان مي دهد كه بعضي موارد روي وب جايگاهي در شبكه هاي شركت ها ندارند. پراكسي HTTP سياست امنيتي شركت شما را وادار مي كند كه توجه كند چه محتوياتي مورد پذيرش در محيط كاريتان است و چه هنگام استفاده نامناسب از اينترنت در يك محيط كاري باعث كاستن از بازده كاري مي شود. بعلاوه، پراكسي HTTP مي تواند سستي ناشي از فضاي سايبر را كم كند. گروه هاي مشخصي از وب سايتها كه باعث كم كردن تمركز كارمندان از كارشان مي شود، مي توانند غيرقابل دسترس شوند.

FTP Proxy  

بسياري از سازمان ها از اينترنت براي انتقال فايل هاي ديتاي بزرگ از جايي به جايي ديگر استفاده مي كنند. در حاليكه فايل هاي كوچك تر مي توانند بعنوان پيوست هاي ايميل منتقل شوند، فايل هاي بزرگ تر توسط FTP (File Transfer Protocol) فرستاده مي شوند. بدليل اينكه سرورهاي FTP فضايي را براي ذخيره فايل ها آماده مي كنند، هكرها علاقه زيادي به دسترسي به اين سرورها دارند. پراكسي FTP معمولاً اين امكانات را دارد:

·   محدودكردن ارتباطات از بيرون به «فقط خواندني»: اين عمل به شما اجازه مي دهد كه فايل ها را در دسترس عموم قرار دهيد، بدون اينكه توانايي نوشتن فايل روي سرورتان را بدهيد.

·   محدود كردن ارتباطات به بيرون به «فقط خواندني»:   اين عمل از نوشتن فايل هاي محرمانه شركت به سرورهاي FTP خارج از شبكه داخلي توسط كاربران جلوگيري مي كند.

·   مشخص كردن زماني ثانيه هاي انقضاي زماني: اين عمل به سرور شما اجازه مي دهد كه قبل از حالت تعليق و يا Idle request  ارتباط را قطع كند.

·   ازكارانداختن فرمان FTP SITE : اين از حمله هايي جلوگيري مي كند كه طي آن هكر فضايي از سرور شما را تسخير مي كند تا با استفاده از سيستم شما حمله بعدي خودش را پايه ريزي مي كند.
 

DNS Proxy

DNS (Domain Name Server) شايد به اندازه HTTP  يا SMTP شناخته شده نيست، اما چيزي است كه به شما اين امكان را مي دهد كه نامي را مانند http://www.ircert.com  در مرورگر وب خود تايپ كنيد و وارد اين سايت شويد – بدون توجه به اينكه از كجاي دنيا به اينترنت متصل شده ايد. بمنظور تعيين موقعيت و نمايش منابعي كه شما از اينترنت درخواست مي كنيد، DNS نام هاي دامنه هايي را كه مي توانيم براحتي بخاطر بسپاريم به آدرس IP هايي كه كامپيوترها قادر به درك آن هستند،  تبديل مي كند. در اصل اين يك پايگاه داده است كه در تمام اينترنت توزيع شده است و توسط نام  دامنه ها فهرست شده است.

بهرحال، اين حقيقت كه اين سرورها در تمام دنيا با مشغوليت زياد در حال پاسخ دادن به تقاضاها براي صفحات وب هستند، به هكرها امكان تعامل و ارسال ديتا به اين سرورها را براي درگيركردن آنها مي دهد. حمله هاي برپايه DNS هنوز خيلي شناخته شده نيستند، زيرا به سطحي از پيچيدگي فني نياز دارند كه بيشتر هكرها نمي توانند به آن برسند. بهرحال، بعضي تكنيك هاي هك كه ميشناسيم باعث مي شوند هكرها كنترل كامل را بدست گيرند. بعضي قابليت هاي پراكسي DNS مي تواند موارد زير باشد:

·   تضمين انطباق پروتكلي: يك كلاس تكنيكي بالاي اكسپلويت مي تواند لايه Transport را كه تقاضاها و پاسخ هاي DNS  را انتقال مي دهد به يك ابزار خطرناك تبديل كند. اين نوع از حمله ها بسته هايي تغييرشكل داده شده بمنظور انتقال كد آسيب رسان ايجاد مي كنند. پراكسي DNS، headerهاي بسته هاي DNS را بررسي مي كند و بسته هايي را كه بصورت ناصحيح ساخته شده اند دور مي ريزد و به اين ترتيب جلوي بسياري از انواع سوء استفاده را مي گيرد.

·   فيلتركردن محتواي headerها بصورت گزينشي: DNS در سال ۱۹۸۴ ايجاد شده و از آن موقع بهبود يافته است. بعضي از حمله هاي DNS بر ويژگي هايي تكيه مي كنند كه هنوز تاييد نشده اند. پراكسي DNS مي تواند محتواي header تقاضاهاي DNS  را بررسي كند و تقاضاهايي را كه كلاس، نوع يا طول header غيرعادي دارند، مسدود كند.

نتيجه گيري

با مطالعه اين مجموعه مقالات، تا حدي با پراكسي ها آشنا شديم. پراكسي تمام ابزار امنيت نيست، اما يك ابزار عاليست،  هنگامي كه با ساير امنيت سنج ها! مانند ضدويروس هاي استاندارد، نرم افزارهاي امنيتي سرور و سيستم هاي امنيتي فيزيكي بكار برده شود.