پراکسی ‌در امنیت شبکه‌

HTTP Proxy

   این پراکسی بر ترافیک داخل شونده و خارج شونده از شبکه شما که توسط کاربرانتان برای دسترسی به World Wide Web ایجاد شده، نظارت می‌کند. این پراکسی برای مراقبت از کلاینت‌ها ی وب شما و سایر برنامه‌ها  که به دسترسی به وب از طریق اینترنت متکی هستند و نیز حملات برپایه HTML، محتوا را فیلتر می‌کند. بعضی از قابلیتهای آن اینها هستند:

 برداشتن اطلاعات اتصال کلاینت: این پراکسی می‌تواند آن قسمت از دیتای header را که نسخه سیستم عامل، نام و نسخه مرورگر، حتی آخرین صفحه وب دیده شده را فاش می‌کند، بردارد. در بعضی موارد، این اطلاعات حساس است، بنابراین چرا فاش شوند؟

 تحمیل تابعیت کامل از استانداردهای مقررشده برای ترافیک وب: در بسیاری از حمله‌ها ، هکرها
بسته‌ها ی تغییرشکل داده شده را ارسال می‌کنند که باعث دستکاری عناصر دیگر صفحه وب می‌شوند، یا بصورتی دیگر با استفاده از رویکردی که ایجادکنندگان مرورگر پیش بینی نمی کردند، وارد می‌شوند. پراکسی HTTP این اطلاعات بی معنی را نمی پذیرد. ترافیک وب باید از استانداردهای وب رسمی پیروی کند، وگرنه پراکسی ارتباط را قطع می‌کند.

 فیلترکردن محتوایی از نوع MIME  الگوهایMIME : به مرورگر وب کمک می‌کنند تا بداند چگونه محتوا را تفسیر کند تا با یک تصویرگرافیکی بصورت یک گرافیک رفتار شود، یا .wav فایل بعنوان صوت پخش شود، متن نمایش داده شود و غیره. بسیاری حمله‌ها ی وب بسته‌ها یی هستند که در مورد الگوی MIME خود دروغ می‌گویند یا الگوی آن را مشخص نمی کنند. پراکسی HTTP این فعالیت مشکوک را تشخیص می‌دهد و چنین ترافیک دیتایی را متوقف می‌کند.

 فیلترکردن کنترلهای Java و ActiveX : برنامه نویسان از Java و ActiveX برای ایجاد برنامه‌ها ی کوچک بهره می‌گیرند تا در درون یک مرورگر وب اجراء شوند (مثلاً اگر فردی یک صفحه وب مربوط به امور جنسی را مشاهده می‌کند، یک اسکریپت ActiveX روی آن صفحه می‌تواند بصورت خودکار آن صفحه را صفحه خانگی مرورگر آن فرد نماید). پراکسی می‌تواند این برنامه‌ها  را مسدود کند و به این ترتیب جلوی بسیاری از حمله‌ها  را بگیرد.

 برداشتن کوکی‌ها : پراکسی HTTP می‌تواند جلوی ورود تمام کوکی‌ها  را بگیرد تا اطلاعات خصوصی شبکه شما را حفظ کند.

 برداشتن Headerها ی ناشناس: پراکسی HTTP ، ازheader ها ی HTTP که از استاندارد پیروی
نمی‌کنند، ممانعت بعمل میآورد. یعنی که، بجای مجبور بودن به تشخیص حمله‌ها ی برپایه علائمشان، پراکسی براحتی ترافیکی را که خارج از قاعده باشد، دور می‌ریزد. این رویکرد ساده از شما در مقابل تکنیک‌ها ی حمله‌ها ی ناشناس دفاع می‌کند.

 فیلترکردن محتوا: دادگاه‌ها  مقررکرده اند که تمام کارمندان حق برخورداری از یک محیط کاری غیر خصمانه را دارند. بعضی عملیات تجاری نشان می‌دهد که بعضی موارد روی وب جایگاهی در شبکه‌ها ی شرکت‌ها  ندارند. پراکسی HTTP سیاست امنیتی شرکت شما را وادار می‌کند که توجه کند چه محتویاتی مورد پذیرش در محیط کاری‌تان است و چه هنگام استفاده نامناسب از اینترنت در یک محیط کاری باعث کاستن از بازده کاری می‌شود. بعلاوه، پراکسی HTTP می‌تواند سستی ناشی از فضای سایبر را کم کند. گروه‌ها ی مشخصی از وب سایتها که باعث کم کردن تمرکز کارمندان از کارشان می‌شود، می‌توانند غیرقابل دسترس شوند.

FTP Proxy   

  بسیاری از سازمان‌ها  از اینترنت برای انتقال فایل‌ها ی دیتای بزرگ از جایی به جایی دیگر استفاده می‌کنند. در حالی‌که فایل‌ها ی کوچک تر می‌توانند بعنوان پیوست‌ها ی ایمیل منتقل شوند، فایل‌ها ی بزرگ تر توسط FTP (File Transfer Protocol) فرستاده می‌شوند. بدلیل اینکه سرورهای FTP فضایی را برای ذخیره فایل‌ها  آماده می‌کنند، هکرها علاقه زیادی به دسترسی به این سرورها دارند. پراکسی FTP معمولاً این امکانات را دارد:

 محدودکردن ارتباطات از بیرون به «فقط خواندنی»: این عمل به شما اجازه می‌دهد که فایل‌ها  را در دسترس عموم قرار دهید، بدون اینکه توانایی نوشتن فایل روی سرورتان را بدهید.

 محدود کردن ارتباطات به بیرون به «فقط خواندنی»: این عمل از نوشتن فایل‌ها ی محرمانه شرکت به سرورهای FTP خارج از شبکه داخلی توسط کاربران جلوگیری می‌کند.

 مشخص کردن زمانی ثانیه‌ها ی انقضای زمانی: این عمل به سرور شما اجازه می‌دهد که قبل از حالت تعلیق و یا Idle request ارتباط را قطع کند.

 ازکارانداختن فرمان FTP SITE  : این از حمله‌ها یی جلوگیری می‌کند که طی آن هکر فضایی از سرور شما را تسخیر می‌کند تا با استفاده از سیستم شما حمله بعدی خودش را پایه ریزی می‌کند.

DNS Proxy

   DNS (Domain Name Server) شاید به اندازه HTTP یا SMTP شناخته شده نیست، اما چیزی است که به شما این امکان را می‌دهد که نامی‌را مانند  Ashiyane.org در مرورگر وب خود تایپ کنید و وارد این سایت شوید  بدون توجه به اینکه از کجای دنیا به اینترنت متصل شده اید. به‌منظور تعیین موقعیت و نمایش منابعی که شما از اینترنت درخواست می‌کنید، DNS نام‌ها ی دامنه‌ها یی را که می‌توانیم براحتی بخاطر بسپاریم به آدرسIP ها یی که کامپیوترها قادر به درک آن هستند، تبدیل می‌کند. در اصل این یک پایگاه داده است که در تمام اینترنت توزیع شده است و توسط نام دامنه‌ها  فهرست شده است.

   بهرحال، این حقیقت که این سرورها در تمام دنیا با مشغولیت زیاد در حال پاسخ دادن به تقاضاها برای صفحات وب هستند، به هکرها امکان تعامل و ارسال دیتا به این سرورها را برای درگیرکردن آنها می‌دهد. حمله‌ها ی برپایه DNS هنوز خیلی شناخته شده نیستند، زیرا به سطحی از پیچیدگی فنی نیاز دارند که بیشتر هکرها نمی توانند به آن برسند. بهرحال، بعضی تکنیک‌ها ی هک که میشناسیم باعث می‌شوند هکرها کنترل کامل را بدست گیرند. بعضی قابلیت‌ها ی پراکسی DNS می‌تواند موارد زیر باشد:

 تضمین انطباق پروتکلی: یک کلاس تکنیکی بالای اکسپلویت می‌تواند لایه Transport را که تقاضاها و پاسخ‌ها ی DNS را انتقال می‌دهد به یک ابزار خطرناک تبدیل کند. این نوع از حمله‌ها  بسته‌هایی تغییرشکل داده شده به‌منظور انتقال کد آسیب رسان ایجاد می‌کنند. پراکسی DNS،headerهای‌  بسته‌ها ی DNS را بررسی می‌کند و بسته‌ها یی را که بصورت ناصحیح ساخته شده اند دور می‌ریزد و به این ترتیب جلوی بسیاری از انواع سوء استفاده را می‌گیرد.

 فیلترکردن محتوایheaderها  بصورت گزینشیDNS:   در سال 1984 ایجاد شده و از آن موقع بهبود یافته است. بعضی از حمله‌ها ی DNS بر ویژگیهایی تکیه می‌کنند که هنوز تایید نشده اند. پراکسیDNS می‌تواند محتوای header تقاضاهای DNS  را بررسی کند و تقاضاهایی را که کلاس، نوع یا طول header غیرعادی دارند، مسدود کند.

نتیجه گیری‌

   با مطالعه این مجموعه مقالات، تا حدی با پراکسی‌ها  آشنا شدیم. پراکسی تمام ابزار امنیت نیست، اما یک ابزار عالی‌است، هنگامی‌که با سایر امنیت سنج‌ها ! مانند ضدویروس‌ها ی استاندارد، نرم افزارهای امنیتی سرور و سیستم‌ها ی امنیتی فیزیکی به کار برده شود.

بهروز کمالیان‌