به دنبال بروز مشكلاتي براي برخي از سايت‌هاي ايراني كه در پي حملات هكرها صورت گرفت، كميسيون امنيت فضاي تبادل اطلاعات(افتا) سازمان نظام صنفي رايانه‌اي در جلسه آخر خود به بررسي اين موضوع پرداخت. به گزارش روابط عمومي سازمان نظام صنفي رايانه‌اي در جلسه اخير كميسيون افتا و به پيشنهاد اعضا، موضوع حملات اخير به سايت‌هاي ايراني در دستور كار كميسيون قرار گرفته و اعضاي حاضر به بحث و تبادل نظر پيرامون اين موضوع پرداختند. بر اين اساس كميسيون افتا به منظور كاهش زمينه‌هاي وقوع حملات اينترنتي به سايت‌هاي ايراني و نيز كاهش صدمات احتمالي به ارايه راه كارهايي پرداخت كه درپي مي‌آيد. نكته اول: هيچ بستري 100% امن نيست! حتي اگر شما از امن‌ترين سيستم عامل‌هاي دنيا براي ميزباني استفاده مي‌كنيد، بايد اين نكته را بخاطر داشته باشيد كه سايت شما را تنها سيستم عامل نيست كه ميزباني مي‌كند، مجموعه نرم‌افزارهاي مختلفي نظير سرويس دهنده وب، مفسر زبان برنامه‌نويسي و ... بايد در كنار يكديگر كار كنند تا شما بتوانيد خدمات مورد نياز در سايت خود را ارائه كنيد؛ اين نكته از اين بابت حائز اهميت است كه امن نگهداشتن اين مجموعه نرم‌افزار به هيچ وجه كار ساده اي نيست، بنابراين بايد روشي اتخاذ كرد كه در صورت بروز حفره امنيتي يا كشف نقطه آسيب پذير توسط اخلالگر كاركرد كل سيستم دچار مشكل نشود. ساده‌ترين راه براي رسيدن به اين مهم، استفاده از نرم‌افزارهاي تشخيص اخلال (Intrusion Detection - IDS) و پيشگيري/كنترل اخلال (Intrusion Prevention/Protection - IPS) مي‌باشند، اين نرم‌افزارها بر اساس الگوهاي از پيش تعيين شده در لايه‌هاي پايين انتقال اطلاعات ميتوانند شروع يك حمله را حدس زده و مدير سيستم را از آن آگاه سازند، در صورت استفاده از سيستم‌هاي IPS در صورتي كه تواتر الگوهاي تشخيص داده شده زياد شود، نرم‌افزار بطور اتوماتيك ترافيك وارده از سمت اخلالگر را قطع و ارتباطات برقرار شده وي با سرويس دهنده را خاتمه مي‌دهد(Session reset). سيستم‌هاي IDS يا IPS بايد توسط شركت سرويس دهنده ميزباني، در شبكه محلي سرويس دهنده بطوري كه امكان شنود روي ترافيك در گردش شبكه را داشته باشد نصب شود. امروزه اكثر ديواره‌هاي آتش (Firewall) اين قابليت را بصورت پيش فرض دارا هستند. نوع ديگري از اين نرم‌افزارها بنام HIDS (Host Intrusion Detection System) كه مستقيما روي خود سرويس دهنده نصب مي‌شوند، علاوه بر قابليت شناسايي ترافيك مشكوك به سمت سرويس دهنده، امكان تغييرات غيرمجاز و مشكوك روي اجزاي اصلي سيستم نظير فايل‌هاي سيستمي را دارند، اين قابليت به مدير سيستم اين امكان را مي‌دهد كه در صورت بروز مشكل امنيتي براي هر يك از نرم‌افزارهاي بستر ميزباني، و باز شدن دسترسي براي اخلالگر، مورد را سريعا از طريق هشدار دريافت كرده و جلوي تخريب‌هاي احتمالي را بگيرد (مثلا ايجاد كانال كوورت(Covert) يا در عقب - Back-door). نكته دوم: سيستم‌هاي پايش و اخطار بيشتر شركت‌ها از نرم‌افزارهاي پايش سيستم براي اطلاع از وضعيت ترافيك، ميزان مصرف حافظه، توان پردازشي و ... سرويس دهنده خود بهره مي‌گيرند، اما بندرت اتفاق مي‌افتد كه از قابليت ساده «هشدار حاشيه» (Threshold Alert) كه در بيشتر اين نرم‌افزارها تعبيه شده استفاده كنند، اين قابليت، حالت‌هاي ساده ولي غيرعادي سيستم، نظير افزايش بيش از حد پهناي باند را تشخيص و به مدير سيستم اعلام مي‌كند، نتيجه اين هشدار آمادگي براي بروز خطرات احتمالي پيرو مي‌باشد. نكته سوم: DNS را جدي بگيريد! سرويس تبديل نام به آدرس يا به اصطلاح DNS از بخش‌هايي است كه در ميزباني بسيار مهجور واقع مي‌شود، معمولا ميزباني دامنه شما به همراه سرويس وب روي يك دستگاه نصب مي‌شود، اساسا با توجه به ضعف‌هاي ساختاري پروتكل DNS و مشكلات امنيتي كه ويژه اين سرويس مي‌باشد اكثر سايت‌هاي اينترنتي مهم از زيرساخت جداگانه‌اي براي ميزباني دامنه و سرويس DNS خود استفاده مي‌كنند، هر چند ايجاد اين چنين زيرساخت‌هايي براي سايت‌هاي ايراني به صرفه نيست اما شركت‌هاي معتبري در دنيا نظير easyDNS وجود دارند كه با زيرساخت ويژه‌اي كه براي اين منظور ايجاد نموده اند، ميزباني دامنه سايت‌هاي پرترافيك را با هزينه كم انجام مي‌دهند. نكته چهارم: كم بخور، هميشه بخور! محدود كردن پهناي باند هر كاربر، ميزان زماني كه ارتباط كاربر با سيستم زنده نگه داشته مي‌شود (Half-closed Clients) تعداد درخواست در هر ثانيه براي هر thread از پارامترهاي قابل تنظيم عمده سرويس دهنده‌هاي وب هستند كه معمولا توجهي به آنها نمي‌شود، در حاليكه با تنظيم درست اين پارامترها مي‌توان اثر نامطلوب حمله‌هاي اخلالگران بخصوص حمله‌هاي از نوع DoS را به نحو چشمگيري كاهش داد، بعنوان مثال با صفر كردن پارامتر مربوط به زمان كاربران نيمه‌تمام(Half-closed Clients) ضمن كاهش 20 تا 30 درصدي كارايي سرويس دهنده (اثر منفي)، مي‌تواند ميزان مقاومت سرويس دهنده در برابر حملات از نوع DoS را تا حدود زيادي افزايش دهد! ويا با كنترل پهناي باند هر كاربر در حدود 10 كيلو بايت در ثانيه (مناسب براي كاربران ايراني)، حملات پيچيده تر از نوع DDoS (Distributed Denial of Services Attack) اثر كمتري روي كاركرد سيستم خواهند داشت.