به دنبال بروز مشكلاتي براي برخي از سايتهاي ايراني كه در پي حملات هكرها صورت گرفت، كميسيون امنيت فضاي تبادل اطلاعات(افتا) سازمان نظام صنفي رايانهاي در جلسه آخر خود به بررسي اين موضوع پرداخت. به گزارش روابط عمومي سازمان نظام صنفي رايانهاي در جلسه اخير كميسيون افتا و به پيشنهاد اعضا، موضوع حملات اخير به سايتهاي ايراني در دستور كار كميسيون قرار گرفته و اعضاي حاضر به بحث و تبادل نظر پيرامون اين موضوع پرداختند. بر اين اساس كميسيون افتا به منظور كاهش زمينههاي وقوع حملات اينترنتي به سايتهاي ايراني و نيز كاهش صدمات احتمالي به ارايه راه كارهايي پرداخت كه درپي ميآيد. نكته اول: هيچ بستري 100% امن نيست! حتي اگر شما از امنترين سيستم عاملهاي دنيا براي ميزباني استفاده ميكنيد، بايد اين نكته را بخاطر داشته باشيد كه سايت شما را تنها سيستم عامل نيست كه ميزباني ميكند، مجموعه نرمافزارهاي مختلفي نظير سرويس دهنده وب، مفسر زبان برنامهنويسي و ... بايد در كنار يكديگر كار كنند تا شما بتوانيد خدمات مورد نياز در سايت خود را ارائه كنيد؛ اين نكته از اين بابت حائز اهميت است كه امن نگهداشتن اين مجموعه نرمافزار به هيچ وجه كار ساده اي نيست، بنابراين بايد روشي اتخاذ كرد كه در صورت بروز حفره امنيتي يا كشف نقطه آسيب پذير توسط اخلالگر كاركرد كل سيستم دچار مشكل نشود. سادهترين راه براي رسيدن به اين مهم، استفاده از نرمافزارهاي تشخيص اخلال (Intrusion Detection - IDS) و پيشگيري/كنترل اخلال (Intrusion Prevention/Protection - IPS) ميباشند، اين نرمافزارها بر اساس الگوهاي از پيش تعيين شده در لايههاي پايين انتقال اطلاعات ميتوانند شروع يك حمله را حدس زده و مدير سيستم را از آن آگاه سازند، در صورت استفاده از سيستمهاي IPS در صورتي كه تواتر الگوهاي تشخيص داده شده زياد شود، نرمافزار بطور اتوماتيك ترافيك وارده از سمت اخلالگر را قطع و ارتباطات برقرار شده وي با سرويس دهنده را خاتمه ميدهد(Session reset). سيستمهاي IDS يا IPS بايد توسط شركت سرويس دهنده ميزباني، در شبكه محلي سرويس دهنده بطوري كه امكان شنود روي ترافيك در گردش شبكه را داشته باشد نصب شود. امروزه اكثر ديوارههاي آتش (Firewall) اين قابليت را بصورت پيش فرض دارا هستند. نوع ديگري از اين نرمافزارها بنام HIDS (Host Intrusion Detection System) كه مستقيما روي خود سرويس دهنده نصب ميشوند، علاوه بر قابليت شناسايي ترافيك مشكوك به سمت سرويس دهنده، امكان تغييرات غيرمجاز و مشكوك روي اجزاي اصلي سيستم نظير فايلهاي سيستمي را دارند، اين قابليت به مدير سيستم اين امكان را ميدهد كه در صورت بروز مشكل امنيتي براي هر يك از نرمافزارهاي بستر ميزباني، و باز شدن دسترسي براي اخلالگر، مورد را سريعا از طريق هشدار دريافت كرده و جلوي تخريبهاي احتمالي را بگيرد (مثلا ايجاد كانال كوورت(Covert) يا در عقب - Back-door). نكته دوم: سيستمهاي پايش و اخطار بيشتر شركتها از نرمافزارهاي پايش سيستم براي اطلاع از وضعيت ترافيك، ميزان مصرف حافظه، توان پردازشي و ... سرويس دهنده خود بهره ميگيرند، اما بندرت اتفاق ميافتد كه از قابليت ساده «هشدار حاشيه» (Threshold Alert) كه در بيشتر اين نرمافزارها تعبيه شده استفاده كنند، اين قابليت، حالتهاي ساده ولي غيرعادي سيستم، نظير افزايش بيش از حد پهناي باند را تشخيص و به مدير سيستم اعلام ميكند، نتيجه اين هشدار آمادگي براي بروز خطرات احتمالي پيرو ميباشد. نكته سوم: DNS را جدي بگيريد! سرويس تبديل نام به آدرس يا به اصطلاح DNS از بخشهايي است كه در ميزباني بسيار مهجور واقع ميشود، معمولا ميزباني دامنه شما به همراه سرويس وب روي يك دستگاه نصب ميشود، اساسا با توجه به ضعفهاي ساختاري پروتكل DNS و مشكلات امنيتي كه ويژه اين سرويس ميباشد اكثر سايتهاي اينترنتي مهم از زيرساخت جداگانهاي براي ميزباني دامنه و سرويس DNS خود استفاده ميكنند، هر چند ايجاد اين چنين زيرساختهايي براي سايتهاي ايراني به صرفه نيست اما شركتهاي معتبري در دنيا نظير easyDNS وجود دارند كه با زيرساخت ويژهاي كه براي اين منظور ايجاد نموده اند، ميزباني دامنه سايتهاي پرترافيك را با هزينه كم انجام ميدهند. نكته چهارم: كم بخور، هميشه بخور! محدود كردن پهناي باند هر كاربر، ميزان زماني كه ارتباط كاربر با سيستم زنده نگه داشته ميشود (Half-closed Clients) تعداد درخواست در هر ثانيه براي هر thread از پارامترهاي قابل تنظيم عمده سرويس دهندههاي وب هستند كه معمولا توجهي به آنها نميشود، در حاليكه با تنظيم درست اين پارامترها ميتوان اثر نامطلوب حملههاي اخلالگران بخصوص حملههاي از نوع DoS را به نحو چشمگيري كاهش داد، بعنوان مثال با صفر كردن پارامتر مربوط به زمان كاربران نيمهتمام(Half-closed Clients) ضمن كاهش 20 تا 30 درصدي كارايي سرويس دهنده (اثر منفي)، ميتواند ميزان مقاومت سرويس دهنده در برابر حملات از نوع DoS را تا حدود زيادي افزايش دهد! ويا با كنترل پهناي باند هر كاربر در حدود 10 كيلو بايت در ثانيه (مناسب براي كاربران ايراني)، حملات پيچيده تر از نوع DDoS (Distributed Denial of Services Attack) اثر كمتري روي كاركرد سيستم خواهند داشت.