به چه راهکارهایی برای تامین امنیت سرور باید دقت شود ؟
یکی از مهمترین نکاتی که پس از خرید سرور فیزیکی یا مجازی باید به آن دقت کنید تأمین امنیت سرور است. باتوجهبه اینکه سرورها قلب تپنده زیرساخت ارتباطی هر سازمانی هستند و…
به چه راهکارهایی برای تأمین امنیت سرور باید دقت شود؟
یکی از مهمترین نکاتی که پس از خرید سرور فیزیکی یا مجازی باید به آن دقت کنید تأمین امنیت سرور است. باتوجهبه اینکه سرورها قلب تپنده زیرساخت ارتباطی هر سازمانی هستند و تمامی اطلاعات حساس سازمان و اطلاعات کارمندان روی آنها ذخیرهسازی میشود و کارمندان اسناد و مدارک مهمی را روی سرور ذخیرهسازی کرده و به اشتراک قرار میدهند و در بیشتر موارد دسترسی از راه دور به سرور وجود دارد، نباید بهسادگی از کنار مقوله امنیت عبور کرد. سرورها برای کاربردهای مختلفی مثل میزبانی فایلها، میل سرور، ارائه خدمات کاربردی و موارد اینچنینی استفاده میشوند که هر یک مکانیزم امنیتی خاص خود را میطلبند. در این مطلب به معرفی نکات مهمی میپردازیم که با رعایت آنها امنیت سرور به شکل قابلتوجهی بهبود پیدا میکند.
امنیت سرور چیست؟
امنیت سرور در سادهترین تعریف به فرایندها، ابزارها و خطمشیهایی اشاره دارد که برای محافظت از دادهها و داراییهای ارزشمند میزبانی شده روی سرور و محافظت از منابع سرور از آنها استفاده میشود. به طور معمول، سرورها میزبان اطلاعات حساسی هستند که هکرها علاقه زیادی به آنها دارند و سعی میکنند به روشهای مختلف به این اطلاعات دسترسی پیدا کرده، آنها را خراب کرده یا اطلاعات جعلی را با اطلاعات واقعی روی سرور ترکیب کنند. کارشناسان شبکه و امنیت برای کارآمدتر کردن راهحلهای امنیتی از مکانیزم لایهبندی امنیتی استفاده میکنند، بهطوری که ابتدا مشکلات احتمالی شبکه، سیستمعامل سرور، نرمافزارهای کاربردی و در نهایت چالشهای محیط فیزیکی را شناسایی و طبقهبندی میکنند و در ادامه راهحلی برای غلبه بر مشکلات پیشنهاد میکنند.
مسائل مشترک امنیتی سرور
به طور معمول، سرورها با چالشهای نرمافزاری تقریباً مشابهی روبرو هستند که مشکلات امنیتی را به وجود میآورند. کارشناسان شبکه برای شناسایی و رفع مشکلات امنیتی سرورها از مکانیزمی به نام چکلیست امنیتی استفاده میکنند. در این چکلیست تمامی مواردی که نیازمند رسیدگی هستند درج و اولویتبندی میشوند و بر مبنای اولویتی که دارند به آنها رسیدگی میشود. از مسائل امنیتی مشترک سرورها به موارد زیر باید اشاره کرد:
-
گذرواژهها
گذرواژههای ضعیف بهسادگی هک میشوند و متأسفانه بهکارگیری مکانیزمهای ساده امنیتی باعث تشدید این مسئله میشوند. اگر نگران یکپارچگی گذرواژهها هستید و برای بخشهای مختلف سازمان گذرواژههایی تعریف کردهاید که باید در بازههای زمانی مختلف تغییر کنند، بهتر است از یک نرمافزار مدیریت گذرواژه استفاده کنید.
-
سیستمعامل و نرمافزارهای قدیمی و بهروز نشده
هکرها به طور مداوم نقاط ضعف نرمافزارها و سیستمعاملها را شناسایی و از آنها سوءاستفاده میکنند، بنابراین مهم است که نسخههای قدیمی نرمافزارها و سیستمعاملها را کنار گذاشته و از نسخههای جدیدتر استفاده کنید. به طور مثال، در ایران خیلی شایع است که برخی از شرکتها از سیستمعاملهای ویندوز سرور 2012 یا 2016 استفاده میکنند، در حالی که ویندوز سرور 2019 نه تنها قابلیتهای کاربردی زیادی ارایه میکند، بلکه در برابر برخی از حملههای سایبری نیز مقاوم است.
-
مدیریت وصلهها
شرکتهای بزرگی مثل مایکروسافت، سیسکو و VMware در بازههای زمانی کوتاهمدت وصلههای مختلفی برای آسیبپذیریهای شناخته شده در سطح سیستمعامل ارائه میکنند. همواره این احتمال وجود دارد که وصلهای ارائه شود و شما از وجود آن مطلع نباشید، بنابراین مهم است از سامانههای مدیریت وصله استفاده کنید. سامانه مدیریت وصله بستری برای بهروزرسانی نرمافزارهای سازمانی باتوجهبه محدودیتهای موجود در سازمانها و نرمافزارها ارائه میکند. نرمافزارهایی که سازمانها از آن استفاده میکنند، به دلیل بهروز نبودن به آسیبپذیریهای مختلفی آلوده هستند. کاری که یک سامانه مدیریت وصله انجام میدهد این است که دریافت، نصب و مدیریت وصلهها را برای کاربر نهایی ساده میکند. از مزایای بالقوه این سامانهها باید به امکان نصب نرمافزارها از راه دور توسط مدیر سامانه، ارائه گزارشهایی در خصوص بهروز بودن سامانهها، عدم وابستگی به پلتفرم خاص و موارد اینچنینی اشاره کرد. از محصولات قدرتمند در این زمینه باید به KASPERSKY ENDPOINT SECURITY FOR BUSINESS Core اشاره کرد که یک کنسول مرکزی در اختیار سرپرستان شبکه قرار میدهد تا بتوانند ابزارهای فیزیکی، مجازی و همراه را کنترل و محافظت کنند.
-
مسدود کردن پورتهای بلااستفاده باز شبکه
پورتهای باز سادهترین، نقطهای هستند که هکرها برای ورود به شبکههای سازمانی از آنها استفاده میکنند. اگر پورت باز بدون استفادهای دارید یا پورتی مرتبط با سرویسی دارید که هیچگاه از آن سرویس استفاده نمیکنید بهتر است پورت باز را ببندید.
-
حذف حسابهای کاربری قدیمی
حسابهای کاربری کارمندانی که از شرکت جدا شده، اما همچنان در پایگاهداده سازمان وجود دارند، یک رخنه امنیتی بزرگ به شمار میروند که باید بهسرعت تعیین تکلیف شوند.
-
امنیت فیزیکی ضعیف
تهدیدات همیشه ماهیت فیزیکی ندارند و در حقیقت تهدیدهای مجازی خطرناکتر از تهدیدهای فیزیکی هستند. به طور مثال، استقرار سرور در یک مکان غیر ایمن یا قراردادن در یک فضای اشتراکی که امنیت درستی ندارد، باعث به خطر افتادن اطلاعات سازمانی میشوند.
چگونه سرور را ایمن کنیم؟
هنگامی که درباره امنیت سرور صحبت میکنیم، تمرکزمان روی مباحث نرمافزاری و اصولی است که باید به لحاظ نرمافزاری به آنها دقت کنید. از جمله نکات مهم در این زمینه به موارد زیر باید اشاره کرد:
-
از یک ارتباط ایمن برای اتصال به سرور استفاده کنید
یک ارتباط ایمن شامل یک مکانیزم احراز هویت مبتنی بر گذرواژه و استفاده از پروتکل SSH است که یک ارتباط رمزنگاری شده و ایمن را پیادهسازی میکند. پروتکل SSH از یک جفت کلید امنیتی رمزنگاری شده استفاده میکند که ترکیبی از یک کلید عمومی و خصوصی است. در این مکانیزم کلید عمومی بدون مشکل به اشتراک قرار میگیرد، اما کلید خصوصی باید توسط کاربر پنهان نگه داشته شود. بهکارگیری پروتکل SSH بهترین راه برای پیادهسازی ارتباطات ایمن است. برخلاف تلنت که درگذشته استفاده میشد و اطلاعات را به شکل ساده مبادله میکرد، در پروتکل SSH تمام دادهها به شکل رمزنگاری شده انتقال پیدا میکنند. برای این منظور باید SSH Daemon را نصب کنید و یک SSH Client داشته باشید که با آن دستورات را ارسال کرده و سرورها را مدیریت کنید. به طور پیشفرض، SSH از پورت 22 استفاده میکند که تمامی کارشناسان امنیتی و هکرها از این نکته اطلاع دارند. بنابراین ایده بدی نیست که شماره پورت مورد استفاده را تغییر دهید.
-
با استفاده از یک شبکه خصوصی ایمن به سرور متصل شوید
کارشناسان شبکه بهندرت از یک ارتباط مستقیم برای برقراری ارتباط با سرور استفاده میکنند و در بیشتر موارد از یک شبکه خصوصی مجازی که ارتباط میان دونقطه پایانی را رمزنگاری میکند استفاده میکنند. یک شبکه خصوصی به کاربران اجازه میدهد از یک آدرس آیپی خصوصی برای ارتباط با سرور استفاده کنند.
-
از پروتکلهای SSL/TLS استفاده کنید
گواهینامههای امنیتی سرور یکی دیگر از مکانیزمهای قدرتمند برای حفظ امنیت سرور هستند. گواهیهای امنیتی سرور پروتکلهای رمزنگاری مبتنی بر پروتکل لایه سوکت امن (SSL) و پروتکل امنیت لایه حملونقل (TLS) هستند که برای احراز هویت و رمزگذاری استفاده میشوند. این پروتکلها با ترکیب دادههای حساس ارسالی از طریق اینترنت، مثل گذرواژهها، نامهای کاربری و جزئیات کارت اعتباری با دادههای درهمشکننده (هش) اجازه میدهند اطلاعات به شکل ایمن و غیرقابلفهم انتقال پیدا کنند.
-
سیستمعامل را بهروز نگه دارید
به طور معمول، هکرها روی بهرهبرداری از آسیبپذیریهای شناسایی شده، اما وصله نشده سرورها حساب زیادی باز میکنند. متأسفانه در این زمینه برخی کارشناسان ایرانی دقت نظر لازم را ندارند و هنگامی که زیرساخت با یک حمله سایبری روبرو میشود، سراسیمه بهروزرسانی سیستمعامل را انجام میدهند. بهروزرسانیها به شکل وصلههای امنیتی منتشر میشوند و باید بلافاصله پس از انتشار روی سیستمعامل نصب شوند. عدم بهروز نگهداشتن سیستمعامل سرور باعث میشود تا آسیبپذیریهای شناخته شده روی سرور باز باقی بمانند.
-
سیستمعامل سرور باید بر مبنای خطمشیهای مشخصی پیکربندی شود
برایآنکه میزان خطرپذیری سرورها را به حداقل برسانید، باید فرایند پیکربندی سیستمعامل را بر مبنای خطمشیهای مشخصی انجام دهید که به نام چکلیست امنیتی سرور شهرت دارند. از نکات مهم در این زمینه به موارد زیر باید اشاره کرد:
تغییر گذرواژههای پیشفرض تجهیزات و نرمافزارهای ثالث نصب شده.
تعیین حداقل امتیازات کاربران برای انجام وظایف.
حذف یا غیرفعالکردن حسابهای غیرضروری.
تعریف خطمشیهای دقیق برای گذرواژهها و اطمینان از تطابق گذرواژههای تعریف شده توسط کاربران با خطمشیها.
غیرفعالکردن سرویسها و برنامههای غیرضروری.
-
پروتکل امن انتقال فایل
هیچ کاری خطرناکتر از آن نیست که از پروتکل FTP برای انتقال فایلها به سرور یا اشتراکگذاری فایلها استفاده کنید، زیرا پروتکل فوق اطلاعات را به شکل متن خام ارسال میکند. بهجای این کار بهتر است از پروتکل FTPS سرنام File Transfer Protocol Secure استفاده کنید. عملکرد این پروتکل مشابه با FTP است، با این تفاوت که فایلها و اطلاعات هویتی را به شکل رمزنگاری شده ارسال میکند. FTPS هم از یک کانال فرمان و هم از یک کانال داده استفاده میکند و کاربر میتواند هر دو کانال را رمزگذاری کند. البته به این نکته دقت کنید که تنها از فایلها هنگام انتقال محافظت میکند. بهمحض رسیدن اطلاعات به سرور، دادهها دیگر رمزگذاری نمیشوند. به همین دلیل، رمزگذاری فایلها قبل از ارسال، یکلایه امنیتی مضاعف ایجاد میکند که امنیت سرور را بهبود میبخشد.
-
نظارت بر ورود به سیستم
بهکارگیری نرمافزارهای پیشگیری از نفوذ برای نظارت بر تلاشهای ورود به سیستم راهی برای محافظت از سرور در برابر حملههای جستوجوی فراگیر است. حملههای جستوجوی فراگیر مبتنی بر آزمونوخطا هستند و سعی میکنند ترکیبی از حروف و اعداد را برای دسترسی به سیستم استفاده کنند. نرمافزار پیشگیری از نفوذ بر تمامی فایلهای ورود به سیستم نظارت میکند و اگر تلاشی برای ورود به سیستم را مشکوک شناسایی کند، این موضوع را گزارش میدهد. علاوه بر این، اگر تعداد تلاشها از تعداد مشخصی عبور کند، آدرسهای آیپی را برای مدت معینی یا به طور کامل مسدود میکند.
-
مدیریت کاربران
هر سرور یک حساب کاربری سطح ریشه دارد که میتواند هر دستوری را اجرا کند؛ بنابراین اگر هکرها موفق شوند، کنترل حساب ریشه را به دست آورند، بهراحتی قادر به انجام فعالیتهای مخرب روی سرور هستند. بهتر است حساب کاربری سطح ریشه را غیرفعال کنید تا شانس هکرها برای کنترل کامل سرور را به حداقل برسانید. البته راهکار دیگری نیز وجود دارد که مانع سوءاستفاده از امتیازات ریشه شوید. کافی است یک حساب کاربری با امتیازات محدود ایجاد کنید. البته حساب فوق امتیازات گستردهای در حد روت ندارد، اما اجازه میدهد دستورات sudo را اجرا کنید.
-
خطمشیهایی مرتبط با اشتراکگذاری در شبکه
خطمشیهای صریح و روشنی در ارتباط با اشتراکگذاری منابع و فایلها در سطح شبکه وجود دارد که از مهمترین آنها به موارد زیر باید اشاره کرد:
تمامی اشتراکگذاریهای بدون استفاده مثل Administrator Share را حذف کنید.
دسترسیها باید تنها به افراد مجاز داده شود و هیچوقت گروه everyone را در فهرست دسترسیها قرار ندهید.
تنها پورتهای مورد استفاده در File and Printer Sharing را در دیوارآتش باز کنید.
دسترسی شبکه سازمانی به اینترنت را تنها از طریق پورتهای خاص مثل 443 مجاز کنید.
دسترسی به اینترنت را محدود کنید و تنها از پروتکلهای ایمنی مثل SSL برای دسترسی به اینترنت استفاده کنید.
اگر تعداد کلاینتهایی که فرایند اشتراکگذاری را انجام میدهند یا به پوشه دسترسی دارند مشخص است، محدودیت Concurrent Connections را روی پوشهها فعال کنید.
-
سرویسهای غیرضروری را غیرفعال کنید
بهتر است تنها پورتهای شبکه که سیستمعامل و مولفههای سیستمی از آنها استفاده میکنند را فعال کنید. هرچه تعداد سرویسهای اضافی کمتر باشد، ایمنی بهبود پیدا میکند.
-
اطلاعات حساس سرور را پنهان کنید
بهتر است، اطلاعات مرتبط با لایههای سطح پایین شبکه و زیرساخت را در اختیار همگان قرار ندهید. هرچه تعداد افرادی که در مورد اطلاعات فنی سرور اطلاعات دارند کمتر باشد، خطر حملههای هکری کمتر میشود. علاوه بر این، بهتر است شماره نسخههای نرمافزارهایی که روی سرور نصب شدهاند از دید پنهان باشند. به طور معمول، برخی نرمافزارها به طور پیشفرض، تاریخ دقیق انتشار را نشان میدهند که میتواند به هکرها هنگام جستوجوی نقاط ضعف کمک کنند.
-
از سیستمهای تشخیص نفوذ استفاده کنید
بهترین مکانیزمی که برای شناسایی فعالیتهای غیرمجاز در دسترستان قرار دارد، سیستم تشخیص نفوذ (IDS) مثل Sophos است که فرایندهای در حال اجرا روی سرور را کنترل میکند. میتوانید آن را بهگونهای تنظیم کنید تا عملیات روزمره را بررسی یا اسکنهای خودکار دورهای را انجام دهد.
-
ارزیابی امنیتی فایلها و پوشهها
یکی از بهترین خطمشیهایی که برای محافظت از اطلاعات سازمانی باید از آن استفاده کنید، ارزیابی امنیتی فایلها و پوشهها است. از نکات مهمی که باید به آنها دقت کنید به موارد زیر باید اشاره کرد:
بهتر است از چند پارتیشن روی دیسک سخت استفاده کنید.
هیچگاه Home Directory مربوط به وبسرور را روی پارتیشن سیستمعامل قرار ندهید.
فایلها و پوشهها را روی پارتیشنهایی قرار دهید که از سیستم فایلی NTFS استفاده میکنند.
محتویات هر وبسایت را در پوشهای غیر از Home Directory وبسرور قرار دهید که سیستم فایلی NTFS روی آن نصب شده است.
همواره یک وبسایت جدید ایجاد کنید و وبسایت پیشفرض
(Default Site) را غیر فعال کنید.
از وبسرور بهشکل مستمر گزارشگیری کنید و گزارشها را بررسی کنید.
فایلهای گزارش وبسرور را روی پارتیشنی غیر از پارتیشنی که محتویات وبسایت روی آن قرار دارد ذخیرهسازی کنید.
دسترسی گروه Anonymous و Everyone به پوشههای System32 و پوشه وبسایتها را محدود کنید.
اگر از قابلیت Remote IIS Administration یا Remote WW Administration
استفاده نمیکنید، آن را به همراه سرویسهای مرتبط غیرفعال کنید.
-
حسابرسی فایل
ممیزی فایل از تکنیکهای شناخته شدهای است که برای شناسایی تغییرات ناخواسته در سیستم از آن استفاده میشود. حسابرسی به این صورت انجام میشود که تمامی ویژگیهای خوب و عادی سیستم را ثبت میکنید و در ادامه هرگونه تغییری را با نسخه اولیه ارزیابی میکنید تا موارد مشکوک را شناسایی کنید. رویکرد فوق اجازه میدهد ناسازگاریها را شناسایی و علت این تغییرات را متوجه شوید.
-
مکانیزم های امنیتی را روی سرور فعال کنید
اطمینان حاصل کنید هنگام راهاندازی سیستمعامل عملیات راهاندازی از طریق بوت ایمن (Secure Boot) انجام میشود، زیرا Secure Boot تنها اجازه راهاندازی سیستمعامل و نرمافزارهایی را میدهد که توسط شرکت سازنده دستگاه تأیید شده باشند. علاوه بر این، از قابلیتهای امنیتی TPM غافل نشوید.
-
ترتیب راهاندازی را مشخص کنید
ترتیب بوت شدن سرورهای فیزیکی یا ماشینهای مجازی را به شکلی تنظیم کنید که به طور خودکار و غیرمجاز از رسانههای دیگر بوت نشوند. نکته مهم دیگری که باید به آن دقت کنید این است که نرمافزارهای غیرضروری بهویژه آنهایی که برای کلاینتها طراحی شدهاند را روی سرور نصب نکنید.
-
از سرور پشتیبان تهیه کنید
تهیه نسخه پشتیبان از سیستم در صورت بروز خطا راهگشا است. نسخههای پشتیبان رمزگذاری شده باید روی رسانهای که ارتباطی با سرور ندارند ذخیرهسازی شده باشند. اگر بتوانید نسخههای پشتیبان را روی سرویسهای ابری ذخیرهسازی کنید، در صورت لزوم بهراحتی به آنها دسترسی خواهید داشت.
-
دیوارآتش قدرتمندی را نصب و پیکربندی کنید
با کنترل و محدودکردن دسترسی به سیستم، امنیت سرور به میزان قابلتوجهی بهبود پیدا میکند. به طور مثال، یک دیوار آتش سختافزاری اختصاصی، در مقابل یک یا چند سرور اختصاصی قرار میگیرد و ترافیک ورودی به شبکه را بازرسی میکند. علاوه بر این، دیوارهای آتش سختافزاری قابلیت چندکاربره بودن و IPSEC VPN را دارند. دیوارهای آتش سختافزاری، قابلیت مدیریت از طرف کاربر یا مدیریت از سمت سازمان را دارند. این رویکرد شامل ثبت ترافیک، گزارشدهی و مانیتور میشود. هنگام راهاندازی اولیه سرور یا هنگام ایجاد تغییر در سرویسهای ارائه شده توسط سرور، باید دیوار آتش را متناسب با تغییرات پیکربندی کنید. در نهایت به این نکته دقت کنید که دیوارهای آتش سختافزاری سرعت و عملکرد بیشتری نسبت به دیوارهای آتش نرمافزاری دارند، بااینحال، هزینه پیادهسازی و استفاده از دیوارهای آتش نرمافزاری کمتر از دیوارهای آتش سختافزاری است. بهطورکلی، بهتر است برای برخورداری از بهترین عملکرد در شبکه دیوارهای آتش نرمافزاری و سختافزاری را همراه با هم استفاده کنید.
منبع:Shabakeh-mag
آموزش دوره Network+