تأمين الخادم وفحص الثغرات

الحماية والهاكرز فهد بن عبد الله الزغيبي

قرأ الجميع ما نشرته «القرية الإلكترونية» في الأيام الماضية حول دودة الرمزالأحمر بنسختيها الأولى والثانية وما سببته هذه الدودة من أضرار عالمية في البداية ومحلية مؤخرا.
العديد من الخوادم المحلية مصابة بهذه الدودة كما قرأت أيها القارئ الكريم في التحليل الذي نشرته «الجزيرة» في عدد أمس الأحد ولكن لماذا أصيبت خوادمنا بهذه الصورة المروعة؟
نعود لنقول مرة أخرى وللمرة الألف أن الخطأ يقع على عاتق مديري الشبكات الأعزاء الذين مع احترامي لهم يغطون في سبات عميق ولا أستثني شخصيا بعض مديري الشركات الذين كان لهم بصمة واضحة في دخول الإنترنت للمملكة.
هولاء يجب أن يكون لهم الدراية والخبرة الكافية لمعرفة مثل هذه الأخطار وتعريف مديري شبكاتهم بهذه الأخطار وحقيقة الإعلام في المملكة لم يقصر في توضيح هذه المشكلة برغم أنه ليس جميع الصحف قامت بنشر معلومات عن هذا الخطر الجديد ولكن أستطيع أن أقول وبكل ثقة وقوة ان «القرية الإلكترونية» واكبت هذه الأحداث منذ بدايتها بأسلوب احترافي كما يحدث في الدول المتقدمة كما أن الزميلة «الرياض @ نت» قامت بنشر أخبار متنوعة عن الرمز الأحمر.
الرمز الأحمر لم يعد جديدا وكل ما يحتاجه مدير الشبكة هو تثبيت الإصلاح المخصص له ليتجنب الإصابة به وفي النسخة الأولى من الرمز الأحمر كان الخطر يمثل الإسقاط للخادم الشبكي والموقع فقط أما في النسخة الثانية فالخطر أكبر بكثير والدودة تقوم بفتح باب خلفي Trojan في الخادم المصاب ليتمكن من خلاله الهاكرزالوصول لذلك النظام الذي يمكن أن يكون موقعا أو جزءا من موقع.خطر الرمز الأحمر لا يهدد جميع أنظمة التشغيل كما هو معروف فهو يهدد أنظمة ويندوز NT و2000 والتي تحمل خادماً شبكياً من نوع IIS 4 أو IIS 5 وبغض النظرعن كون أنظمة مايكروسوفت الهدف المفضل للهاكرز لسهولة اختراقها فإنه بالإمكان رفع درجة الأمان فيها إلى حد يصبح اختراقها فيه صعبا إن لم يكن مستحيلا وكل هذا يتم بسهولة ولكنه يحتاج للمتابعة فقط لا غير. هنالك العديد من الأدوات والبرامج المنتشرة بكثرة على شبكة الإنترنت والتي يستطيع من خلالها مديرو الشبكات الأعزاء التعرف على مناطق الضعف في شبكاتهم ومن ثم تحصينها باستخدام الأسلوب الأمثل وهو توفير وتثبيت الإصلاحات من الشركة المنتجة وفي حالتنا هذه فإن مايكروسوفت هي التي تقوم بتوفير هذه الإصلاحات في وقت سريع جدا بالنظر إلى أن نظامها مقفل وليس مفتوحا كلينكس.
Secure IIS
دعونا نبدأ بالبرنامج الذي تعرف على الرمز الأحمر ومنع خطره قبل اكتشافه وهو برنامج Secure IIS الذي يعمل كجدار ناري Firewall مع أنظمة IIS وهذا البرنامج ليس جدارا ناريا بل هو أكثر من ذلك إذ يعمل مع IIS ويحتويه ليمنع عنه الأخطار وليتأكد من جميع المعلومات Data الخارجة والداخلة للخادم الشبكي والتأكد من سلامتها كما أنه يحتوي على نظام إنذار عند الاشتباه في محاولة اختراق IDS ويكفي أن تعلم أنه يحتوي على قاعدة بيانات تحتوي على كافة الأساليب المعروفة في الاختراق ليتعرف عليها أثناء عمله مع الخادم الشبكي كما أنه يمنع أيضا طرق الاختراق غير المعروفة وفي نظري أن هذا البرنامج لا غنى عنه لأي مدير شبكة يستخدم أنظمة IIS للخادم الشبكي ويمكن الحصول على البرنامج ومزيد من المعلومات من موقعه الرسمي على العنوان التالي:
http://www.eeye.com/html/Products/SecureIIS/index.html
برنامج CIS
هذا البرنامج Cerberus Internet Scanner (CIS) يقوم بعمل فحص للكثير من الخدمات المثبتة على الخادم الشبكي لموقعك ويقوم بعد ذلك بإعطائك تقريرا على شكل صفحة ويب عن هذه الخدمات وهل تحتوي على أخطار وما هي الطريقة لإصلاح الخلل الموجود ويتأكد هذا البرنامج من خدمة الويب Web Service وخدمة MS SQLوأيضا خدمة نقل الملفات FTP وNetBios وتسجيل NT و خدمات NT و بروتوكول البريد الصادرSMTP والوارد POP3 و خدمات مثل Finger وwwwbrowser وDNS والتقارير يتم تخزينها في الجهاز تحت اسم Report في نفس المجلد الذي يحتوي البرنامج الرئيسي ويمكن الحصول على البرنامج من مواقع عديدة على شبكة الإنترنت ويمكن الحصول عليه من الموقع الرسمي التالي:
www.atstake.com/research/tools/webscan.exe برنامج القوة
كنت قد تحدثت في وقت سابق عن هذا البرنامج وأعود لأتحدث من جديد عنه وذلك لقوة هذا البرنامج فهو يحوي قاعدة بيانات لأكثر من 12 ألف ثغرة لمختلف أنظمة التشغيل ويندوز و لينكس ويونكس وكذلك للخوادم الشبكية والبرامج المختلفة التي تتصل بالإنترنت. في رأيي أن هذا البرنامج أقوى وأجمل البرامج المخصصة للبحث عن الثغرات والعاملة على بيئة ويندوز وأي مدير شبكة يجب أن يحصل على هذا البرنامج ليتأكد من شبكته وخلوها من جميع أنواع الثغرات وما يميز هذا البرنامج هو إمكانية تحديثه Update من موقعه عند ظهور أنواع جديدة من الثغرات كما يدعم هذا البرنامج البروكسي Proxy لمن يعمل خلفه ويحتاجه للوصول إلى الإنترنت العالمية ويوفر البرنامج إمكانية تحديد خيارات البحث على موقع معين أو عدة موقع أي IP Range وكذلك يمكنك هذا البرنامج من معرفة ما إذا كان خادمك مصابا أو معرضا لخطر الرمز الأحمر 2 (Code Red 2) ويمكن الحصول على البرنامج من موقعه على العنوان التالي:
www.hideaway.net/stealth/
فحص المنافذ
برنامج Super Scan يقوم بفحص المنافذ Ports فقط وإظهار تقرير عن المنافذ ويحتوي هذا البرنامج على العديد من المزايا منها سرعته العالية وكذلك قدرته على فحص شبكة كاملة بحثا عن منفذ معين أو عدة منافذ كما يحتوي البرنامج على قوائم تخص المنافذ ويمكنك تحديد المنافذ التي تريد البحث عنها ليقوم بالبحث عنها، خلاصة هذا البرنامج يعتبر مطلبا أساسيا لجميع مديري الشبكات ليتمكنوا من خلاله من معرفة المنافذ Ports المفتوحة ومعرفة ما تقدمه هذه المنافذ من خدمة ويكفي أن تعلم أن هذا البرنامج يعتبر المفضل لدي الهاكرز العاملين على بيئة ويندوز كما يمكنك الحصول على البرنامج من الكثير من المواقع ومنها هذاالموقع:
www.foundstone.com/rdlabs/ termsofuse.php؟filename=superscan.exe
قف هنا!
إذا كنت ممن يملكون المعرفة أو سبق ان عملت على نظامي لينكس و يونكس فأنت بالتأكيدعلى معرفة ببرنامج Nmap البرنامج الأشهر في مجال فحص المنافذ وتقديم تقرير أو لنقل تقييم عن الحالة الأمنية للخادم وتقييم مدى خطورة تعرضه للاختراق وبجانب أن هذا البرنامج المفضل للهاكرز العاملين على بيئتي يونكس ولينكس أصبح الآن متوفرا بشكل مبدئي على ويندوز ولكن NT فقط وتحت شروط معينة يجب توفرها ليعمل البرنامج ولهذا السبب عليك الذهاب لموقع البرنامج والنظر إلى الشروط ومقارنتها بالنظام الذي لديك لتعلم هل يمكنك من استخدام هذا الجانب ومع أني لم أجرب البرنامج على ويندوز إلا أنني قمت بتجربته على Linux وذهلت للنتائج التي قدمها ويمكنك زيارة الموقع التالي للتعرف على البرنامج بشكل أكثر:
www.eeye.com/html/Research/Tools/nmapnt.html
إستراتيجيات التأمين
تعتبر عملية تأمين خادم معين عملية سهلة إذا ما تم معرفة سبب الخلل أو نقطة الضعف فإذا كانت هذه الثغرة منفذ Port معين فإنه يجب التأكد ما هي الخدمةالعاملة عليه ومعرفة ما إذا كان هذا الخادم بحاجة إليها من عدمه ويمكن للمزيد من المعلومات الرجوع لحلقة سابقة من نفس الزاوية والمعنونة ب«رسالة إلى مدير شبكة 1 و2».
أما إذا كان القصد تأمين أو توفير إصلاح لثغرة Exploit أو VULNERABILITIES معينة فإنه يجب الحصول على اسم الثغرة كما أوضحتها برامج فاحص الثغرات مثلا Stealth ومعرفة نظام التشغيل ضروري ولنفرض انه ويندوز بعد ذلك يتوجب الذهاب إلى موقع الشركة لنظام التشغيل (وفي هذه الحالة مايكروسوفت) وعمل بحث Search باستخدام اسم الثغرة لتحصل على المواضيع التي تغطي هذه الثغرة والحلول الخاصة بها كما يمكن الذهاب إلى عدد من المواقع الأخرى المتخصصة بهذا المجال مثل المواقع التالية:
www.cert.org
www.insecure.com
http://packetstormsecurity.org
www.ussrback.com
وبالطبع المصدر الأكبر وهو موقع www.securityfocus.com الذي يحتوي على قائمة Bugtraq والتي تضم بين جنباتها الكثير من مختصي الأمن والحماية وكذلك الهاكرز وتتناول في مواضيعها الثغرات والمشاكل التي تعترض مديري الشبكات في عملهم كما يمكن لأي شخص إلقاء سؤال ليجاوب عليه العديد من الأشخاص المتمكنين في هذا المجال.
نهاية، إن وضع الشبكة السعودية المتصلة بالإنترنت لأمر محزن خاصة وأن أبجديات الأمن والحماية عند الكثير من مديري الشبكات مفقودة فهل نقف مكتوفي الأيدي أم نحاول بأي طريقة كانت رفع مستوى الحماية في شبكاتنا ما دام في أيدينا ذلك.. هذا نداء إلى كل من يهمه الأمر.
Shortcut
الرمز الأحمر يفتك بالشبكات وأحصنة طروادة Trojans تعيث بالمستخدمين فسادا وهذا هو حال الإنترنت السعودية.
خدمة ADSL السريعة أما آن أن تأتي أم هناك ما يعوق ذلك؟ نأمل أن نعلم مايجري.
شباب سعودي يحاول بإخلاص وخبير أجنبي يقابل ذلك بالجحود والتجاهل هذا هو حال شبابنا المحترفين ومديري الشبكات الأجانب عند تنبيههم للخطر.
فريق وطني للطوارئ أصبح ضروريا في نظر الكثير من المختصين في ظل تواضع الجانب الأمني للشبكات السعودية.