هاردنینگ (امن سازی) چیست و چرا باید هاردنینگ را جدی بگیریم؟!

امروزه و در دنیای فناوری و ارتباطات راه دور شکل زندگی و تجارت ما عوض شده است، دیگر خبری از صف های طولانی برای پرداخت قبوض، مسافرت های درون و برون شهری برای خرید و …. خبری نیست. همه چیز با چند کلیک و بصورت آنلاین انجام می پذیرد در واقع شکل و ماهیت تجارت عوض شده و همه چیز بصورت آنلاین انجام می گردد.

حتی دولت ها هم به سمت دیجیتالی شدن رفته و در رقایت برای خدمات رسانی راحت تر و بهینه به شهروندان خود می باشند. اما برای انجام این کارها نیاز به زیر ساخت می باشد، مانند سرور های وب ، دیتابیس ، دیتاسنتر ها و …! که انجام فعالیت های مورد نظر را امکان پذیر می کنند. زمانی که بحث از ارتباطات آنلاین (برخط) به زبان می آید ناخداگاه ذهن به سمت خطرات و مشکلات امنیتی هم خواهد رفت. در دنیای آنلاین همه چیز خوب و فرشته وار نیست. کسانی که به وب سایت شما می آیند لزوما افرادی که بدنبال خرید ، گرفتن خدمات و … از سایت شما هستند نیستند! در این میان شیاطین نیز وجود دارند، افرادی که در تلاش برای ضربه زدن به تجارت و خدمات شما هستند.

دلایل زیادی برای ضربه زدن به تجارت آنلاین شما وجود دارد مانند:

• رقبای تجاری
• دلایل سیاسی
• هکرها
• تروریست ها
• مجرمان
• کارمندان ناراضی
• هردلیل دیگری که ممکن است وجود داشته باشد

 

حال با توجه به مخاطرات بالا و درصورتی که تجارت و خدماتتان برای شما از اهمیت ویژه ای برخوردار است مطمئنا نمیخواهید خدمات آنلاین شما از سرویس دهی باز بماند و یا اینکه اطلاعات حساس سازمان و شرکت تان در اختیار رقیبان تجاری و یا شخص ثالثی قرار گیرد. اینجاست که به فکر امنیت اطلاعات خود خواهید افتاد. در بحث امنیت شبکه تجهیزات زیادی هستند که به شما در برقراری امنیت کمک می کنند.  همچنین روش هایی برای جایگزاری تجهیزات امنیتی در شبکه وجود دارد که نسبت به هم مزایا و معایبی دارند اما، یکی از روش های امن سازی شبکه که اتفاقا یکی از بهترین متدولوژی های ارائه شده می باشد راهکار دفاع در عمق (defence in depth) می باشد.

در این متدولوژی به این نکته اشاره می شود که برای دفاع از اطلاعات و سرویس های با اهمیت خود در شبکه نیاز به چندین سطح دفاعی خواهیم داشت، زیرا هر تک نقطه ای دچار ضعف و احتمال شکست خواهد بود. برای درک راحت تر مثال مناسب مثال یک قلعه قدیمی می باشد:

خندق

دیوار بلند

یک قلعه کوچکتر برای پادشاه در دل قلعه بزرگتر و برای زمانی که دشمن از خندق و دیوار های اولیه عبور کرده است و همچنین حفاظت در برابر دشمنان درون قلعه

و …

در واقع با چندین مکانیزم دفاعی تو در تو سعی داشتند تا خود را از گزند دشمن در صورت عبور از یکی از این مکانیزم ها حفظ نمایند.

در شبکه هم، برای برقراری امنیت ما باید چندین سطح دفاعی داشته باشیم ، از جمله فایروال ، سیستم های ممانعت از نفوذ ، فایروال برنامه های کاربردی یا همان WAF و ضد بد افزار ها و …. که پیاده سازی این ها کاری زمان بر و هزینه بر خواهد بود. اما به هر حال برای دفاع از سازمان و یا تجارت خود که وجودش به خدمات آنلاین ما وابسته هست طبیعطا هزینه در این جهت خود سرمایه گذاری حساب خواهد شد. اما یکی دیگر از مکانیزم های دفاعی که علی رغم کم هزینه بودن نسبت به بقیه مکانیزم ها به آن بی توجهی میشود Hardening سیستم عامل و سرویس ها می باشد.

باید این نکته را توجه داشته باشید که درست است که سیستم عامل های امروزی به امنیت کاربران خود اهمیت می دهند اما ، هدف از پیکربندی اولیه آنها کاربرد عمومی و راحتی در استقرار می باشد. چرا که دلیلی وجود ندارد تا کسی که مثلا می خواهد لینوکس را به عنوان ایستگاه کاربری نصب کند دغدغه های شخصی را داشته باشد که از لینوکس به عنوان سیستم عامل سرور استفاده می نماید! پس کاملا واضح هیت که کسانی که کار نگهداری و توسعه یک توزیع از لینوکس را انجام می دهند، دغدغه های هر دو این گروه از افراد را در نظر داشته باشند.

پس این نکته را توجه داشته باشید که سیستم عامل ها به هدف کاربری عمومی نوشته و پیکربندی اولیه می شوند، اما ما به عنوان افراد متخصص باید در زمان استفاده از سیستم عامل ها و یا سرویس ها حواسمان به این نکات بوده و براساس نیاز خود به پیکربندی و امن سازی سسیتم اهمیت بدهیم. هاردنینگ سرویس ها و یا سیستم عامل کاری سخت و حرفه ای بوده و برای انجام این کار شما نیاز به فردی دارید که شناخت خوبی نسبت به امنیت ، راه های نفوذ به شبکه  و سیستم عامل ها و سرویس ها داشته باشد، که مطمئنا چنین شخصی فردی با تجربه و قوی در حوزه IT و امنیت اطلاعات خواهد بود. بدلیل اینکه برخی از مکانیزم های هاردنینگ پیاده سازی ساده ای دارند اما برخی دیگر بروری عملکرد (performance) و یا کارایی سیستم تاثیر خواهند گذاشت پس بنابراین شخص مورد نظرتان باید بداند که چه کاری با توجه به تجارت و خدمات شما انجام بدهد و چه کاری را نه!

هاردنیگ بسیار فراتر از نصب وصله های امنیتی و انتخاب کلمه عبور مناسب و … هست که برخی از افراد به آن اشاره می کنند. در این بین مستندات زیادی از طرف موسسات امنیتی مطرح و بزرگ ماننند CIS در مورد هاردنینگ سرویس ها و یا سیستم عامل های مختلف وجود دارد که به عنوان مثال می توانید داکیومنت مربوط به هاردنینگ ویندوز سرور ۲۰۱۶ را که توسط موسسه CIS تهیه شده است مطالعه بفرمایید.

هاردنیگ یکی دیگر از خطوط دفاعی شما در برابر خرابکاران می باشد و باید برای آن ارزش بسیار زیادی قائل گردید. از طرف دیگر نسبت به راه حل های دیگر هزینه بسیار کمتری برروی دوش شما تحمیل میکند. بقیه مکانیزم ها باید در جای خود پیاده سازی شوند اما این مکانیزم هم باید پیاده سازی و در شبکه به یک اصل تبدیل گردد. هاردنینگ مختص به سیستم عامل نیست:

• سرویس ها مثل HTTP Server
• Database Server ها
• سیستم عامل ایستگاه های کاری و سرورها (لینوکس ، ویندوز و…)
• فایروال ها
• روتر ها
• سوئیچ ها
• اندروید
• اپل IOS
• و هر آنچیزی که سیستم عامل داشته باشد و یا سرویسی ارائه دهد قابلیت امن سازی خواهد داشت.

CIS در مورد همه موارد بالا داکیومنت هایی را دارد.

اگر مایل باشید می‌توانید برای دانلود لینوکس Centos 7 که هاردنینگ آن طبق سند CIS انجام شده، اینجا کلیک کنید.