مقاله ، تحقیق ، پروژه ، پایان نامه

ابزارهایی ارایه شده‌اند که با بکارگیری آنها می توان یک SQL Server امن داشت. ضمناً ابزارهای حمله بسیاری نیز وجود دارند که آشنائی با آنها می‌تواند دید خوبی در رابطه با امنیت SQL Server و جلوگیری از آسیب‌های آن بوجود آورد.

. مقدمه

 در دو بخش زیر خلاصه‌ای درباره ی بعضی از ابزارهای حمله و نیز دفاع، ارایه خواهد شد.

۲. ابزارهای حمله

ForceSQL نسخه ۲.۰

این ابزار برای بدست آوردن رمز عبور یک SQL Server استفاده می¬شود. ForceSQL دارای ویژگی¬های زیر است:

 

کاربران در هر لحظه نمی توانند به بیش از یک نقش شخصی بانک اطلاعاتی تعلق داشته باشند. نقش های شخصی می توانند حاویID های برقراری ارتباط ویندوزNT،IDهای برقراری ارتباطSQLسرور و دیگر نقش های SQLسرور باشند.

انكهای اطلاعاتی حاوی حجم بسیار زیادی از داده هایی هستندكه چنانچه به دست اشخاص غیر مسئول برسند، می تواند برای شركت وافراد شركتتان بسیارزیان آورباشدSQL . سرورسیستم امنیتی با استحكامی دارد كه به شما امكان می دهد تا سرویس دهنده را درسطحی قفل كنید كه بتوانید دستیابی به سرویس دهنده، ودستیابی به بانك اطلاعاتی رابه ستونهای خاصی از یك جدول محدود كنید.

هدف اين مقاله آشنايي مختصر با حملات ترزيق كد به بانك‌هاي اطلاعاتي (Sql injection) و روش‌هاي مقابله با اين دسته از حملات در دنياي وب است.

امروزه یكی از متداول ترین روش‌های نفوذ به وب سایت‌ها و بانك‌های اطلاعاتی حملات تزریق كد است در این گونه حملات شخص نفوذگر یا برنامه‌های نفوذگر كدهای مخرب را از طریق ورودی‌هایی كه برنامه‌های تحت وب می‌گیرند، اجرا می‌كند كه باعث اختلال در سیستم وب سایت‌ها می‌شوند اهداف نفوذگران در این گونه حملات سرقت اطلاعات یا تغییر اطلاعات بانك اطلاعاتی(database) است كه گاهی اوقات این دسترسی تا نفوذ به سرور و دسترسی به كل فایل‌ها و اطلاعات سرور ختم می‌شود كه از این جنبه بسیار خطرناك است.

بانكهای اطلاعاتی حاوی حجم بسیار زیادی از داده هایی هستندكه چنانچه به دست اشخاص غیر مسئول برسند، می تواند برای شركت و افراد شركتتان بسیار زیان آور باشد . SQL سرور سیستم امنیتی با استحكامی دارد كه به شما امكان می دهد تا سرویس دهنده را درسطحی قفل كنید كه بتوانید دستیابی به سرویس دهنده، و دستیابی به بانك اطلاعاتی را به ستونهای خاصی از یك جدول محدود كنید .

نیاز به امنیت
اصول امنیت SQL سرور
مدهای امنیت
برقراری ارتباط با سرویس دهنده وكاربران بانك اطلاعاتی
نقش ها

رای چندین نسخه اصلی پایگاه داده، پایگاه داده اوراكل ، لیست كنترل امنیتی را برای مشتریان ارائه كرده تا بتواند امنیت پایگاه داده را بهبود بخشد.

از اوراكل نسخه 9i ، اوراكل برای شناخت بهترنیازهای پیش فرض كاربران و محكم سازی پایگاه داده خود همكاری نزدیك تری را شروع كرد. پایگاه داده اوراكل نسخه 10g ، دارای بسته مدیریتی قدرتمندی است كه به راحتی می تواند سیاست های لازم را بیان كرده و علاوه بر آن توانایی پویش پایگاه داده را برای پیدا كردن تنظیماتی كه با امنیت پایگاه داده مرتبط است دارا می باشد .

شرکت مایکروسافت نرم افزارهای متعددی را تحت عنوانMICROSOFT SERVER SYSTEM  در کنار سیستم عامل اصلی سرور خود یعنی ویندوز 2000 تا 2003 عرضه کرده که وظیفه ارایه سرویس های متعددی را از انواع شبکه ای گرفته تا امنیت وغیره به عهده دارند در شماره گذشته با سرور بانک اطلاعات مایکروسافت یعنی SQL SERVER آشنا شدیم و در این شماره قصد داریم به سرور کنترل ارتباط شبکه یعنی ISA SERVER بپردازیم .

برنامه قدرتمند ارتقاء و امنیت شبکه مایکروسافت ISA SERVER نام دارد این برنامه با استفاده از سرویس های و سیاست های وامکاناتی که در اختیار کاربران قرار می دهد قادر است به عنوان راه حلی در شبکه های مجازی (VPN)و یا برپا کردن فضای حایل به عنوان CACHE جهت دسترسی سریع تر به صفحات وب مورد استفاده قرار گیرد.

مجازی سازی سرور یکی از تکنولوژی‌های نادری است که آنقدر خوب است که به نظر واقعی نمی‌آید، اما واقعی است. اولین کاربرد آن، ادغام سخت‌افزار سرور بلااستفاده بر روی تعداد کمتری دستگاه بود. این تکنولوژی، از همان ابتدا به یک راه‌حل چندمنظوره تبدیل گشته که قابلیت اطمینان بیشتر، مدیریت بهتر و سایر مزایایی را فراهم می‌سازد که آن را ابزاری تقریبا حیاتی برای مدیران مراکز اطلاعاتی شرکت ساخته است. خلاصه کردن دانش مجازی سازی که سبب فعالیت آن می‌شود، خود مجازی‌سازی است.

اگر بخواهیم یک تعریف بسیار ساده شده ارائه دهیم، یک سرور مجازی تنها با استفاده از نرم‌افزار، رفتار و قابلیت‌های یک کامپیوتر مستقل را تقلید می‌کند.

حتمأ شما نیز در محیط ویندوز با فایلهایی با نام Thumbs.db که در بسیاری از فولدرها وجود دارد روبرو شده اید. وظیفه این فایلها ذخیره اطلاعات مربوط به حالت نمایشی Thumbnail است و به نوعی یک حافظه موقت یا Cashe جهت ثبت اطلاعات تصاویر Thumbnail تلقی می شود.

 خاصیت این فایل ها نیزاینگونه است که اگر آنها را به شکل دستی پاک کنید به طور اتوماتیک مجدد در همان محل ساخته می شوند.

شاید محدود کردن کاربر در اعمال تغییرات در سیستم یکی از روش های مناسب برای جلوگیری از ازکارافتادگی سیستم در اثر تغییرات غیرلازم می باشد.

بسیار دیده شده که کاربران از تغییرمحیط، شرایط و یا نحوه کار سیستم نسبت به قبل گلایه دارند و مدعی هستند که هیچ تغییری اعمال نکرده اند.

استانداردهای ISO/IEC ۱۷۷۹۹ و BS۷۷۹۹ که بصورت واحد بر روی امنیت یک سازمان اعمال می گردند، استانداردهایی می باشند که مجموعه ای فراگیر از کنترلها،شامل بر بهترین متدهای سنجش در امنیت اطلاعات بوده و شامل بر کلیه جزئیات امنیتی هستند.

مقدمه:

استانداردهای ISO/IEC ۱۷۷۹۹ و BS۷۷۹۹ که بصورت واحد بر روی امنیت یک سازمان اعمال می گردند، استانداردهایی می باشند که مجموعه ای فراگیر از کنترلها،شامل بر بهترین متدهای سنجش در امنیت اطلاعات بوده و شامل بر کلیه جزئیات امنیتی هستند. این استانداردها به دو بخش عمده تقسیم می گردد:

دستگاههای مدیریت یکپارچه تهدیدات (UTM)، از سال ۲۰۰۴ بعنوان راه حل جامع امنیت اطلاعات در شبکه‌های کامپیوتری معرفی و به بازار ارائه شده اند و به عنوان مناسب ترین راهکار برای خط مقدم مقابله با تهدیدات مورد استفاده قرار می گیرند.

دستگاه‌های UTM به گونه‌ای طراحی شده‌اند که بتوانند مجموعه وسیعی از امکانات امنیتی را در یک دستگاه ارانه دهند. این امکانات عبارتند از:

خیلی اوقات پیش می آید که کامپیوتر شما دچار ویروسی می شود که امکان اسکن و تشخیص آن توسط آنتی ویروس وجود ندارد و یا آنکه ویروس با تشخیص نصب بودن آنتی ویروس بروی سیستمتان عملکرد آن را دچار اختلال می کند و مانع از این می شود که شما بتوانید از آنتی ویروس خود برای اسکن کامپیوتر استفاده کنید. در این شرایط چه باید کرد؟

آیا راهی وجود دارد که بتوان در این شرایط کامپیوتر را خودمان اسکن کنیم و مشکل به وجود آمده در آنتی ویروس را برطرف کرد؟ پاسخ تمامی این سوالات مثبت است!

Bitlocker چیست؟ برنامه ای که از ویندوز ویستا به ابزارهای ویندوز اضافه شد و کارش رمزگذاری درایو است و این رمزگذاری را ۱۲۸ بیت انجام میدهد که در مطلب قبلی بررسی کردم که برای بازکردن همین ۱۲۸ بیت خودش شاید ۷۷۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰ سال وقت ببره تا بشه بازش کرد اونم در صورتیکه ۷ میلیارد کامپیوتر با قابلیت محاسبه ۱ میلیارد در ثانیه داشته باشیم برای هر کامپیوتر. bitlocker که برای ویستا ارائه شد دارای مشکلاتی بود مثلا فقط دیسک سیستمی را رمزگذاری میکرد که همین باعث دستیابی غیر مجاز به داده های حساس می شد.

 

در این مطلب بررسی میکنیم bitlocker و چگونه با آن رمزگذاری کنیم و همینطور تفاوت bitlocker ویندوز ۷ با ویستا و قابلیتهای جدید bitlocker در ویندوز ۷ که میدونم تا الان راجع بهش کسی ننوشته است. ......

ويندوز ديفندر يك نرم افزار امنيتي ساخت كمپاني مايكروسافت است كه در ويندوز هاي ويستا و هفت اضافه شده است.

 همچنين مي توانيد اين نرم افزار را براي ويندوز XP از اينترنت دانلود كنيد. البته بهتر است آنرا مستقيما از وب سايت رسمي شركت مايكروسافت دانلود كنيد. اين نرم افزار در حقيقت يك Anti Spyware است كه مي تواند كامپيوتر شما را اسكن كرده و بد افزار هاي احتمالي را پاك يا قرنطينه نمايد .

 

کرم  اینترنتی W32/Frauder.ch

این کرم اینترنتی یک آنتی ویروس فریب دهنده است که باعث ایجاد فایلهای aav.cpl و aav.exe بر روی سیستم می شود.این فایلها توسط ضد ویروس ایمن با نامهای W32/Frauder.bm و W32/Frauder.cjشناسایی و پاکسازی می شود.

شايد هميشه فراموش كردن پسورد ادمين يكي از ناراحتي هاي شما باشد .

نكته اي كه بايد در نظر داشته باشيد اين است كه قبل از همه اين كار ها بايد يك پسورد را براي Account‌ خود بسازيد .

براي اين كار كافي است به System properties  رجوع كنيد . كه با كليك راست بر روي آيكن My Computer در Start و انتخاب Properties امكان پذير است .

مقدمه

” Stuxnet ” کرم اینترنتی که آرام و بی صدا در دل صنعت ایران می خزید و قلب تپنده صنایع تولیدی کشورمان را نشانه رفته بود، یکدفعه با کشف ناگهانی اش آنچنان هیاهویی برپا کرد که در کمتر از چند دقیقه به عنوان اول اغلب خبرگزاری های مهم بین المللی همچون ۱CNN ، ۲Reuters و ۳Washington Post تبدیل گردید.

محققان مراکز امنیتی هم با اظهار نظرهایی سریع، سعی در تشریح این کرم داشته و شرکت امنیتی Symantec اعلام می کند که رایانه های ایران مورد هجوم شدید کرم خطرناکی به نام Stuxnet قرار گرفته اند که اطلاعات سیستم های کنترل صنعتی۴ را سرقت کرده و بر روی اینترنت قرار می دهد.

محمود لیالی رئیس شورای فناوری اطلاعات وزارت صنایع و معادن کشورمان نیز علاوه بر اینکه هدف گیری این کرم را در راستای جنگ الکترونیکی علیه ایران می داند، از شناسایی شدن ۳۰ هزار IP صنعتی آلوده به این کرم در ایران خبر داده است.

Stuxnet ، نخستین کرم صنعتی جهان است که با هدف حمله سایبری به زیرساخت های حیاتی صنعت ایران، آسیب به تأسیسات هسته ای نطنز و در نهایت، تأخیر در راه اندازی نیروگاه اتمی بوشهر طراحی و منتشر شده است.

مدیریت پسورد / انتخاب پسورد قوی

همه ی ما تا حالا بارها اسم پسورد یا رمز عبور را در سایتهای مختلف شنیده ایم؛ و بارها نیز پسوردی را در این سایتها زده ایم. اما از قدرت پسورد خود خبر داشته ایم؟
پسورد را میتوان یک وسیله امنیتی دانست. برای مثال وقتی شما به سایت یاهو میروید بعد از وارد کردن نام کاربری خود رمز عبور یا پسورد خود را وارد میکنید.ما آیا دوست دارید هرکسی بتواند پیام های شخصی شما را بخواند و به اطلاعات شما سری بزند ؟
مسلما جواب شما به سوال منفی است. پس آیا تا بحال به این موضوع فکر کردید قدرت پسورد شما چقدر است ؟
در این مقاله سعی میکنم روش ایجاد و پیدا کردن یک پسورد امن رو به شما بگویم.

ابتدا بیاییم حرف، اعداد و اشکال موجود در صفحه کلید خود را تقسیم بندی کنیم:

1.حروف بزرگ ( Upper Case ) : شامل تمام حرف بزرگ در صفحه کلید شما میشود. که میتوانید برای استفاده از حروف بزرگ از حالت Caps Lock در صفحه کلید خود یا با گرفتن Shift و زدن هر یک از حروف این کار را انجام دهید. مانند : A ,H,K,Z
2.حروف کوچک (Lower Case) : شامل تمام حروف کوچک در صفحه کلید شما میشود. در حالت عادی با زدن هر حرف در صفحه کلید میتوانید حروف کوچک را مشاهده نمایید. مانند : a,h,k,z
3.اعداد ( Digital ) : شما اعداد 0 تا 9 می شود. ...........

 

مطمئنا برای شما پیش آمده که برای دسترسی به منابع اشتراکی سیستم های دیگر می بایست نام کاربری و پسورد سیستم مقابل را وارد می کرده اید و درصورتیکه مرتبا به این منابع دسترسی داشته اید گزینه Save یا ذخیره کردن را انتخاب کرده اید تا هر بار مجبور به وارد کردن این اطلاعات نباشید. و حتی ممکن است بخواهید از قبل لیست سیستم های مورد نظرتان بهمراه نام کاربری و پسورد مورد نیاز را در سیستم ذخیره کنید.
این آموزش قصد دارد شیوه اضافه کردن اطلاعات مورد نیاز برای اهراز هویت کاربران برای دسترسی به منابع اشتراکی و همچنین ویرایش اطلاعات از قبل وارد شده را بیان کند.

برای این منظور بر روی Start کلیک کرده و Run را انتخاب کنید ، در این پنجره عبارت زیر را تایپ کرده و OK را بزنید. ......

 

تعریف دیواره‌های آتش :

دیواره‌های آتش یکی از مؤثرترین و مهمترین روشهای پیاده سازی "مصونیت شبکه" هستند و قادرند تا حد زیادی از دسترسی غیر مجاز دنیای بیرون به منابع داخلی جلوگیری کنند.دیواره‌های آتش، مانند خندق‌های دور قلعه‌های دوران قرون وسطی عمل می‌کنند. شکل 1 یکی از این قلعه‌ها را نشان می‌دهد. خندق دور قلعه باعث می‌شود نفوذ به قلعه مشکل باشد.

انجمن Network Computer Security Association) NCSA) تعریف زیر را از دیواره‌های آتش ارایه داده است."دیواره آتش یک سیستم یا ترکیبی از چندین سیستم است که یک سری محدودیت را بین دو یا چند شبکه اعمال می‌کند."در واقع یک دیواره آتش با محدودکردن دسترسی بین دو شبکه سعی می‌کند یکی را از دیگری محافظت کند. عموماً دیواره‌های آتش به منظور محافظت شبکه خصوصی ‌که به یک شبکه عمومی یا مشترک متصل است به کار گرفته می‌شوند. دیواره‌های آتش یک نقطه محدود کننده‌‌ را بین دو شبکه ایجاد می‌کند. .....