✔️ خزانه داری آمریکا 2 فرد #ایرانی را در لیست تحریم خودش قرار داده و برای اولین بار 2 آدرس والت بیت کوین #BTC مرتبط با این افراد را هم به لیست تحریم ها اضافه کرده است.
-> گفته شده این 2 فرد مرتبط با یک نرم افزار مخرب باج گیری به نام SamSam هستند که با نفوذ به شبکه زیرساخت نهادها و ارگان های بسیاری اطلاعات آن ها را به گروگان گرفته و در ازای آن BTC طلب می کرده اند.
-> تخمین زده شده این 2 نفر بیش از 6000 بیت کوین را از طریق 40 صرافی کریپتوکارنسی مختلف نقد کرده اند که ممکن است برخی از این صرافی ها نیز تحت تعقیب مقامات آمریکا قرار گیرند.
#security @unixmens
-> گفته شده این 2 فرد مرتبط با یک نرم افزار مخرب باج گیری به نام SamSam هستند که با نفوذ به شبکه زیرساخت نهادها و ارگان های بسیاری اطلاعات آن ها را به گروگان گرفته و در ازای آن BTC طلب می کرده اند.
-> تخمین زده شده این 2 نفر بیش از 6000 بیت کوین را از طریق 40 صرافی کریپتوکارنسی مختلف نقد کرده اند که ممکن است برخی از این صرافی ها نیز تحت تعقیب مقامات آمریکا قرار گیرند.
#security @unixmens
#دعوت_به_همکاری
#کسری_خدمت_سربازی
یک گروه نرم افزاری وابسته به دانشگاه صنعتی شریف، از آقایان دانشجو و یا فارغ التحصیلان متقاضی #کسری_خدمت با مشخصات و تخصصهای ذیل در قالب پروژه کسری خدمت #سربازی با شرایط زیر دعوت به عمل می آورد:
#مقطع: حداقل دانشجو یا #فارغ_التحصیل کارشناسی ارشد، رشته های مرتبط با کامپیوتر "نرم افزار، سخت افزار، علوم کامپیوتر، فناوری اطلاعات"
#تخصص: افراد مسلط به سیستمعامل لینوکس، زبان ++C و چارچوب Qt
#تخصص: Desktop Application Developer ، مسلط به #C و .NET Framework، مسلط به چارچوب WPF، آشنایی کامل با پایگاه داده Sql Server، مسلط به Entity Framework و ترجیحا آشنایی با مفاهیم GIS و معماری MVVM
#تخصص: افراد مسلط به MCSE، CCNA، مسلط به Kerio و آشنایی با لینوکس
متقاضیان میتوانند رزومه علمی خود را با عنوان «پروژه کسری خدمت» و در قالب فایل PDF به ایمیل زیر ارسال نمایند:
📩 [email protected]
#jobs #کسر_خدمت #linux @unixmens
#کسری_خدمت_سربازی
یک گروه نرم افزاری وابسته به دانشگاه صنعتی شریف، از آقایان دانشجو و یا فارغ التحصیلان متقاضی #کسری_خدمت با مشخصات و تخصصهای ذیل در قالب پروژه کسری خدمت #سربازی با شرایط زیر دعوت به عمل می آورد:
#مقطع: حداقل دانشجو یا #فارغ_التحصیل کارشناسی ارشد، رشته های مرتبط با کامپیوتر "نرم افزار، سخت افزار، علوم کامپیوتر، فناوری اطلاعات"
#تخصص: افراد مسلط به سیستمعامل لینوکس، زبان ++C و چارچوب Qt
#تخصص: Desktop Application Developer ، مسلط به #C و .NET Framework، مسلط به چارچوب WPF، آشنایی کامل با پایگاه داده Sql Server، مسلط به Entity Framework و ترجیحا آشنایی با مفاهیم GIS و معماری MVVM
#تخصص: افراد مسلط به MCSE، CCNA، مسلط به Kerio و آشنایی با لینوکس
متقاضیان میتوانند رزومه علمی خود را با عنوان «پروژه کسری خدمت» و در قالب فایل PDF به ایمیل زیر ارسال نمایند:
📩 [email protected]
#jobs #کسر_خدمت #linux @unixmens
2019 #IEEE 5th International Conference on Knowledge-Based Engineering and Innovation (KBEI)
Iran #University_of_Science_and_Technology
Kbei2019.ir
#conferance @unixmens
Iran #University_of_Science_and_Technology
Kbei2019.ir
#conferance @unixmens
🔹🔸 مفهوم و ساختار selinux چیست ؟
کلمه selinux مخفف
عبارت Security Enhanced Linux است و یک ماژول امنیتی قدرتمند در لینوکس است.selinux توسط آژانس امنیت ملی آمریکا در سال ۲۰۰۰ تحت لیسانس GPL توسعه پیدا کرده است.
🔹🔸 اما هدف از توسعه selinux چه بود؟
هدف از توسعه selinux توسعه یک سیستم نظارتی از نوع Mandatory Access Control بود. این سیستم نظارتی وضعیت ارسال و دریافت اطلاعات کرنل لینوکس را کنترل می کند و اگر هر چیز مشکودید دید با مشکلی به وجود آمد دسترسی به کرنل را محدود می کند.بارها پیش آمده که کاربران برای نصب برنامه ها با اخطار های از selinux مواجه شده اند. علت بروز این اخطار ها این است که برنامه ها سعی در تغییراتی در کرنل دارند.این تغییرات عموما مخرب نیستند و پش نیاز بعضی از برنامه ها هستند. اما خب اجازه نصب آنها به خاطر وجود selinux داده نمی شود.
#security #selinux
کلمه selinux مخفف
عبارت Security Enhanced Linux است و یک ماژول امنیتی قدرتمند در لینوکس است.selinux توسط آژانس امنیت ملی آمریکا در سال ۲۰۰۰ تحت لیسانس GPL توسعه پیدا کرده است.
🔹🔸 اما هدف از توسعه selinux چه بود؟
هدف از توسعه selinux توسعه یک سیستم نظارتی از نوع Mandatory Access Control بود. این سیستم نظارتی وضعیت ارسال و دریافت اطلاعات کرنل لینوکس را کنترل می کند و اگر هر چیز مشکودید دید با مشکلی به وجود آمد دسترسی به کرنل را محدود می کند.بارها پیش آمده که کاربران برای نصب برنامه ها با اخطار های از selinux مواجه شده اند. علت بروز این اخطار ها این است که برنامه ها سعی در تغییراتی در کرنل دارند.این تغییرات عموما مخرب نیستند و پش نیاز بعضی از برنامه ها هستند. اما خب اجازه نصب آنها به خاطر وجود selinux داده نمی شود.
#security #selinux
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
Fedora-25-SELinux_Users_and_Administrators_Guide-en-US :
#selinux #security @unixmens
https://www.dropbox.com/s/mqpy3xakch2p6vv/Fedora-25-SELinux_Users_and_Administrators_Guide-en-US.pdf?dl=0
#selinux #security @unixmens
https://www.dropbox.com/s/mqpy3xakch2p6vv/Fedora-25-SELinux_Users_and_Administrators_Guide-en-US.pdf?dl=0
Dropbox
Fedora-25-SELinux_Users_and_Administrators_Guide-en-US.pdf
Shared with Dropbox
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
The_SELinux_Notebook-4th_Edition :
https://www.dropbox.com/s/przq893u67pt4t9/The_SELinux_Notebook-4th_Edition.pdf?dl=0
#selinux #security @unixmens
https://www.dropbox.com/s/przq893u67pt4t9/The_SELinux_Notebook-4th_Edition.pdf?dl=0
#selinux #security @unixmens
Dropbox
The_SELinux_Notebook-4th_Edition.pdf
Shared with Dropbox
Forwarded from اخبار روز آزادی نرمافزار تهران
ویدئوی کارگاه Stop Disabling #SElinux در جشنوارهٔ روز آزادی نرمافزار تهران سال ۱۳۹۴ توسط مهدی مهرانفرید
فیلم کارگاه در یوتیوب:
https://www.youtube.com/watch?v=VakFadk1pEQ&list=PLzkZTZKm4j8GhgZ_O4k7uzJFcA0Ai5FIL&index=17
فیلم کارگاه در سایت تخته سفید:
https://takhtesefid.org/watch?v=388992323239
دریافت با لینک مستقیم (فرمت آزاد):
https://archive.org/download/StopDisablingSeLinux/StopDisablingSeLinux.ogv
دریافت با لینک مستقیم:
https://archive.org/download/StopDisablingSeLinux/StopDisablingSeLinux.mp4
دریافت از طریق تورنت:
https://archive.org/download/StopDisablingSeLinux/StopDisablingSeLinux_archive.torrent
#tehsfd
فیلم کارگاه در یوتیوب:
https://www.youtube.com/watch?v=VakFadk1pEQ&list=PLzkZTZKm4j8GhgZ_O4k7uzJFcA0Ai5FIL&index=17
فیلم کارگاه در سایت تخته سفید:
https://takhtesefid.org/watch?v=388992323239
دریافت با لینک مستقیم (فرمت آزاد):
https://archive.org/download/StopDisablingSeLinux/StopDisablingSeLinux.ogv
دریافت با لینک مستقیم:
https://archive.org/download/StopDisablingSeLinux/StopDisablingSeLinux.mp4
دریافت از طریق تورنت:
https://archive.org/download/StopDisablingSeLinux/StopDisablingSeLinux_archive.torrent
#tehsfd
YouTube
Stop Disabling SELinux
ارائه شده در بخش کارگاههای جشنواره روز آزادی نرمافزار ۱۳۹۴ در تهران سایت جشنواره: https://sfd.fsug.ir/1394/ لینک اسلایدها: https://sfd.fsug.ir/1394/images/wo...
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
کتاب SELinux_Cookbook :
https://www.dropbox.com/s/sx52hdjftda199m/SELinux_Cookbook.pdf?dl=0
#selinux #security @unixmens
https://www.dropbox.com/s/sx52hdjftda199m/SELinux_Cookbook.pdf?dl=0
#selinux #security @unixmens
Dropbox
SELinux_Cookbook.pdf
Shared with Dropbox
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
Red_Hat_Enterprise_Linux-7-SELinux_Users_and_Administrators_Guide-en-US
https://www.dropbox.com/s/ascscb9z4okekcx/Red_Hat_Enterprise_Linux-7-SELinux_Users_and_Administrators_Guide-en-US.pdf?dl=0
#selinux #security @unixmens
https://www.dropbox.com/s/ascscb9z4okekcx/Red_Hat_Enterprise_Linux-7-SELinux_Users_and_Administrators_Guide-en-US.pdf?dl=0
#selinux #security @unixmens
Dropbox
Red_Hat_Enterprise_Linux-7-SELinux_Users_and_Administrators_Guide-en-US.pdf
Shared with Dropbox
مفهوم - Demilitarized Zone چیست؟
ساختار DMZ امکانی روی شبکه فراهم می کند تا سیستم هایی که توسط عموم کاربران و از طریق اینترنت قابل دسترسی است، از سیستم هایی که فقط توسط کاربران یک سازمان قابل استفاده است تفکیک شود DMZ یک مرز ارتباطی بین دو شبکه است که به هم اعتماد ندارند واز آنجایی که در فضای اینترنت هیچ اعتمادی متصور نیست. پس می توان با استفاده از ساختار DMZ که معمولا توسط فایروال ها و یا پروکسی سرور هایی طراحی می شوند و در لایه های مختلف شبکه قرار می گیرند.باعث بالابردن اعتماد برای موارد تجاری وارتباطات برون سازمانی شد. یکی از کاربردهای معمول فایروال واگذاری اختیار ویژه به گروهی خاص از کاربران جهت استفاده از یک منبع بوده، و همچنین ممانعت از ورود کسانی که از خارج از گروه خواهان دسترسی به منبع هستند میباشد. استفاده دیگر فایروال جلوگیری از ارتباط مستقیم یک سری از رایانهها با دنیای خارج میباشد. نحوه عملکرد این سیستمها به گونه ای است .که تمامی ارتباطات ازطریق یک سرویس دهنده پروکسی به سمت فایروال هدایت شده وهمین سرویس دهنده درباره امن بودن یا نبودن عبور یک پیام یا یک فایل از طریق شبکه تصمیم گیری میکنداین سیستم امنیتی معمولاً ترکیبی از سختافزار و نرمافزار است. با توجه به ضررورتهای استاندارد (ISMS & ISO) فایروالها جزء لاینفک شبکههای کامپیوتری قرارگرفتهاند و یکی از دغدغههای اصلی مسئولین شبکه شدهاند، و با توجه به حساسیت هر سازمان لایه بندی و قدرت فایروالها در نظر گرفته میشود.
در واقع DMZ مخفف عبارت Demilitarized Zone است وعموما به بخش هایی از شبکه اشاره می کند که کاملا قابل اطمینان نیست. در واقعDMZ یک مرز ارتباطی بین دو شبکه است که به هم اعتماد ندارند واز آنجایی که در فضای اینترنت هیچ اعتمادی متصور نیست. پس می توان با استفاده از ساختار DMZ که معمولا توسط فایروال ها و یا پروکسی سرور هایی طراحی می شوند و در لایه های مختلف شبکه قرار می گیرند.باعث بالابردن اعتماد برای موارد تجاری وارتباطات برون سازمانی می شود.
در یک ساختار DMZ ساده در یک شبکه معمولی، یک سرور یا کامپیوتر که در اینجا به عنوان Host معرفی می شود در محیط DMZ قرار می گیرد و تمامی درخواست هایی که کاربران داخلی برای برقراری ارتباط با خارج از شبکه دارند را دریافت می کند، این سرور بعد از دریافت این بسته های درخواست (مثلا درخواست وب سایت) آنها را به سمت شبکه عمومی یا اینترنت هدایت می کند و سپس پاسخ این درخواست ها را در همان Session ای که توسط کاربر داخلی ایجاد شده بود برای وی ارسال می کند،نکته قابل توجه این است که در این نوع طراحی ساده، هیچگونه ترافیکی نمی تواند از شبکه بیرونی به شبکه داخلی وارد شود.
کاربرانی که در شبکه اینترنت یا خارجی قرار دارند صرفا می توانند به Host ای که برای DMZ استفاده می شود دسترسی پیدا کنند و به هیچ عنوان به شبکه داخلی دسترسی نخواهند داشت. یکی دیگر از کارهایی که در این Host می تواند انجام شود این است که صفحات وب ای که قرار است از طرف سازمان بر روی اینترنت در معرض دسترسی قرار بگیرند می توانند بر روی این Host قرار بگیرند. اما باید توجه داشت که DMZ به شبکه داخلی نیز در این حالت دسترسی نخواهد داشت. فرض کنید که در این حالت یک هکر قصد حمله به وب سایت سازمان را دارد، حتی اگر موفق به هک این صفحات شود، به اطلاعات خاصی در خصوص شبکه داخلی و اطلاعات خصوصی سازمان دست پیدا نخواهد کرد.
اگر بخواهیم از نظر امنیتی DMZ را تعریف کنیم، می توانیم آن را به نوعی تنظیمات پیشرفته در فایروال های شبکه نیز معرفی کنید. در تنظیمات DMZ اکثر کامپیوترهایی که در شبکه LAN قرار گرفته اند در پشت فایروال قرار می گیرند که این فایروال به شبکه اینترنت یا شبکه عمومی متصل شده است. از طرفی یک یا چندین سرور نیز در محلی بعد از فایروال قرار می گیرند، یعنی در شبکه داخلی نیستند، این سرورهایی که در بعد از فایروال قرار می گیرند، درخواست های کاربران داخلی را همانطور که اعلام شد از شبکه داخلی دریافت کرده و سپس آنها را به شبکه اینترنتی که به آن متصل هستند ارسال می کنند، این دقیقا همان مفهوم امنیتی است که مد نظر است .
در اکثر سازمان های دولتی و حتی شرکت ها، سرویس هایی وجود دارد که سازمان ها قصد دارند به بیرون از شبکه ارائه دهند، مثلا وب سایت یا پورتال سازمانی، سرویس ایمیل، سرویس میزبانی وب یا حتی سرویس DNS. فرض کنید که این سرویس ها را در درون شبکه داخلی قرار بدهید و به کاربرانی که از اینترنت قصد استفاده از این سرویس ها را دارند اجازه ورود به شبکه داخلی را بدهید، این خود یک نقطه ضعف امنیتی می باشد، بنابراین همیشه برای اینگونه سرویس های عمومی استفاده از طراحی DMZ توصیه می شود.
در چنین شرایطی شما سرویس ها و سرورهای مورد نظر خود را در محیط DMZ قرار می دهید و ارتباط محدودی با شبکه
ساختار DMZ امکانی روی شبکه فراهم می کند تا سیستم هایی که توسط عموم کاربران و از طریق اینترنت قابل دسترسی است، از سیستم هایی که فقط توسط کاربران یک سازمان قابل استفاده است تفکیک شود DMZ یک مرز ارتباطی بین دو شبکه است که به هم اعتماد ندارند واز آنجایی که در فضای اینترنت هیچ اعتمادی متصور نیست. پس می توان با استفاده از ساختار DMZ که معمولا توسط فایروال ها و یا پروکسی سرور هایی طراحی می شوند و در لایه های مختلف شبکه قرار می گیرند.باعث بالابردن اعتماد برای موارد تجاری وارتباطات برون سازمانی شد. یکی از کاربردهای معمول فایروال واگذاری اختیار ویژه به گروهی خاص از کاربران جهت استفاده از یک منبع بوده، و همچنین ممانعت از ورود کسانی که از خارج از گروه خواهان دسترسی به منبع هستند میباشد. استفاده دیگر فایروال جلوگیری از ارتباط مستقیم یک سری از رایانهها با دنیای خارج میباشد. نحوه عملکرد این سیستمها به گونه ای است .که تمامی ارتباطات ازطریق یک سرویس دهنده پروکسی به سمت فایروال هدایت شده وهمین سرویس دهنده درباره امن بودن یا نبودن عبور یک پیام یا یک فایل از طریق شبکه تصمیم گیری میکنداین سیستم امنیتی معمولاً ترکیبی از سختافزار و نرمافزار است. با توجه به ضررورتهای استاندارد (ISMS & ISO) فایروالها جزء لاینفک شبکههای کامپیوتری قرارگرفتهاند و یکی از دغدغههای اصلی مسئولین شبکه شدهاند، و با توجه به حساسیت هر سازمان لایه بندی و قدرت فایروالها در نظر گرفته میشود.
در واقع DMZ مخفف عبارت Demilitarized Zone است وعموما به بخش هایی از شبکه اشاره می کند که کاملا قابل اطمینان نیست. در واقعDMZ یک مرز ارتباطی بین دو شبکه است که به هم اعتماد ندارند واز آنجایی که در فضای اینترنت هیچ اعتمادی متصور نیست. پس می توان با استفاده از ساختار DMZ که معمولا توسط فایروال ها و یا پروکسی سرور هایی طراحی می شوند و در لایه های مختلف شبکه قرار می گیرند.باعث بالابردن اعتماد برای موارد تجاری وارتباطات برون سازمانی می شود.
در یک ساختار DMZ ساده در یک شبکه معمولی، یک سرور یا کامپیوتر که در اینجا به عنوان Host معرفی می شود در محیط DMZ قرار می گیرد و تمامی درخواست هایی که کاربران داخلی برای برقراری ارتباط با خارج از شبکه دارند را دریافت می کند، این سرور بعد از دریافت این بسته های درخواست (مثلا درخواست وب سایت) آنها را به سمت شبکه عمومی یا اینترنت هدایت می کند و سپس پاسخ این درخواست ها را در همان Session ای که توسط کاربر داخلی ایجاد شده بود برای وی ارسال می کند،نکته قابل توجه این است که در این نوع طراحی ساده، هیچگونه ترافیکی نمی تواند از شبکه بیرونی به شبکه داخلی وارد شود.
کاربرانی که در شبکه اینترنت یا خارجی قرار دارند صرفا می توانند به Host ای که برای DMZ استفاده می شود دسترسی پیدا کنند و به هیچ عنوان به شبکه داخلی دسترسی نخواهند داشت. یکی دیگر از کارهایی که در این Host می تواند انجام شود این است که صفحات وب ای که قرار است از طرف سازمان بر روی اینترنت در معرض دسترسی قرار بگیرند می توانند بر روی این Host قرار بگیرند. اما باید توجه داشت که DMZ به شبکه داخلی نیز در این حالت دسترسی نخواهد داشت. فرض کنید که در این حالت یک هکر قصد حمله به وب سایت سازمان را دارد، حتی اگر موفق به هک این صفحات شود، به اطلاعات خاصی در خصوص شبکه داخلی و اطلاعات خصوصی سازمان دست پیدا نخواهد کرد.
اگر بخواهیم از نظر امنیتی DMZ را تعریف کنیم، می توانیم آن را به نوعی تنظیمات پیشرفته در فایروال های شبکه نیز معرفی کنید. در تنظیمات DMZ اکثر کامپیوترهایی که در شبکه LAN قرار گرفته اند در پشت فایروال قرار می گیرند که این فایروال به شبکه اینترنت یا شبکه عمومی متصل شده است. از طرفی یک یا چندین سرور نیز در محلی بعد از فایروال قرار می گیرند، یعنی در شبکه داخلی نیستند، این سرورهایی که در بعد از فایروال قرار می گیرند، درخواست های کاربران داخلی را همانطور که اعلام شد از شبکه داخلی دریافت کرده و سپس آنها را به شبکه اینترنتی که به آن متصل هستند ارسال می کنند، این دقیقا همان مفهوم امنیتی است که مد نظر است .
در اکثر سازمان های دولتی و حتی شرکت ها، سرویس هایی وجود دارد که سازمان ها قصد دارند به بیرون از شبکه ارائه دهند، مثلا وب سایت یا پورتال سازمانی، سرویس ایمیل، سرویس میزبانی وب یا حتی سرویس DNS. فرض کنید که این سرویس ها را در درون شبکه داخلی قرار بدهید و به کاربرانی که از اینترنت قصد استفاده از این سرویس ها را دارند اجازه ورود به شبکه داخلی را بدهید، این خود یک نقطه ضعف امنیتی می باشد، بنابراین همیشه برای اینگونه سرویس های عمومی استفاده از طراحی DMZ توصیه می شود.
در چنین شرایطی شما سرویس ها و سرورهای مورد نظر خود را در محیط DMZ قرار می دهید و ارتباط محدودی با شبکه
داخلی برای آنها ایجاد می کنید، ارتباطی که در سطح بسیار کم و با درصد خطر کمتری نسبت به ارتباطات معمول شبکه باشد. طراحی DMZ برای محافظت از حملاتی است که از بیرون سازمان به سرویس ها انجام می شود و معمولا در این نوع طراحی خطرات شبکه داخلی سازمان از جمله Spoofing و Sniffing و. . . آنها دیده نمی شود.
علاوه بر این می توان سرویس هایی رادر DMZ قرار دهیم.سرویس هایی که نیازمند دسترسی عمومی می باشند را در این منطقه از شبکه قرار می دهیم.
مهمترین و معروف ترین سرویس هایی که در قسمت DMZ شبکه قرار می گیرند به شکل زیر می باشند
۱- سرویس دهنده های وب یا Web Server ها
۲- سرویس دهنده های Voip
۳- سرویس دهنده های ایمیل یا Mail Server ها
۴- سرویس دهنده های FTP
نکته ای که در اینجا بسیار مهم است، این است که وب سرورهای سازمانی معمولا صفحات ایستا نیستند که صرفا چند صفحه باشند، بلکه صفحات دینامیکی هستند که در پس زمینه خود دارای یک پایگاه داده اطلاعاتی می باشند، این وب سرور ها باید بتوانند از این پایگاه داده استفاده کنند، قاعدتا اگر این پایگاه داده را در خود محیط DMZ قرار بدهید، کار اشتباهی خواهد بود، در این حالت پایگاه داده مورد نظر را یا در شبکه داخلی و پشت فایروال قرار می دهند و یا در پشت یک فایروال و در شبکه ای در همان طراحی DMZ قرار می دهند. در این حالت اگر هکری موفق به نفوذ به وب سایت شود، صرفا به صفحات وب سایت دسترسی پیدا می کند و نمی تواند داده ها و اطلاعات موجود در پایگاه داده را که در پشت فایروال دیگری قرار دارد را مورد هجوم قرار دهد.
سرویس های ایمیل یا همان Email Server ها نیز دارای اطلاعات کاربری و پایگاه داده خاص خود می باشند که آنها نیز بایستی محافظت شوند. آنها را در پشت یک فایروال جداگانه قرار می دهیم، معمولا سرویس دهنده های ایمیل از سرویسی به نام Webmail پشتیبانی می کنند که می توان از طریق وب به آنها دسترسی داشت، شما می توانید ایمیل سرور خود را در پشت فایروال DMZ قرار داده و از طریق امکانی به نام Publishing صفحه وب ایمیل را برای دسترسی عمومی Publish کنید.
در واقع ایمیل سرور ها ،هم ترافیک ورودی و هم ترافیک خروجی ایمیل ها را بایستی به درستی مدیریت کنند، طراحی DMZ ها با توجه به سرویس های موجود در شبکه متغیر هستند و DMZ یک ساختار ایستا و ثابت نمی باشد. به دلیل مسائل امنیتی و همچنین مسائل مانیتورینگ
در یک محیط تجاری، بیشتر سازمان ها و شرکت ها در محدوده DMZ خود یک Proxy Server راه اندازی می کنند، راه اندازی این سرور در این محیط دارای یک سری مزایا به شرح زیر می باشد :
- اجبار کردن کاربران داخلی برای استفاده از Proxy Server برای استفاده از اینترنت
- کاهش نیاز به پهنای باند اضافی بر روی شبکه اینترنت به علت استفاده از قابلیت cache در پروکسی سرور
- متمرکز سازی فرآیند فیلترکردن وب سایت ها و محتویات وب
- ساده سازی فرآیند ضبط و مانیتورکردن استفاده کاربران از اینترنت
ممکن است در اینجا این سئوال پیش بیاید که حال اگر نیاز به این باشد که کاربری بتواند از بیرون به شبکه داخلی دسترسی پیدا کند، آیا ساختار DMZ این امکان را به وی می دهد یا خیر ؟ در پاسخ به این سئوال بایستی بگوییم که سرویسی به نام Reverse Proxy وجود دارد که امکان دسترسی پیدا کردن کاربران خارجی به منابع داخلی شبکه را فراهم می کند، همانطور که Proxy Server به کاربران داخلی سرویس می دهد، Reverse Proxy عکس این عمل را انجام می دهد، یعنی به کاربران خارجی دسترسی داخلی را می دهد.
نمای کلی سیستمDMZ به صورت ذیل است:
شکل ۱ شمای سیستم DMZ و شبکه داخلی
معماری ها مختلف در ساختار DMZ
روش های زیادی برای طراحی DMZ وجود دارد و هر کس می تواند با توجه به شرایط موجود طراحی ویژه سازمان خود از این روش را داشته باشد. شما می توانید در طراحی های DMZ از یک فایروال با ۳ کارت شبکه، یا از چندین فایروال جداگانه استفاده کنید. این که چگونه DMZ را طراحی می کنید کاملا به نیازمندی های سازمانی شما بستگی دارد. در ادامه دو نوع از روش های معمولی که DMZ طراحی می شود را برای شما شرح می دهیم :
د DMZ با استفاده از یک فایروال
در این حالت شما یک فایروال سخت افزاری یا نرم افزاری دارید که دارای حداقل سه کارت شبکه می باشد که طراحی DMZ شما در این سه کارت شبکه جای می گیرد. ارتباط خارجی شما که به اینترنت و شبکه ISP متصل می شود به درون کارت شبکه اول متصل می شود. شبکه داخلی شما به کارت شبکه دوم موجود و در نهایت شبکه DMZ شما نیز به کارت شبکه سومی که بر روی فایروال قرار دارد متصل می شود. در اینجا فایروال ما یک Single Point Of Failure ایجاد کرده است، به این معنی که با از بین رفتن این فایروال یا بروز اختلال در آن کلیه شبکه هایی که به آن متصل شده اند دچار مشکل خواهند شد.
همچنین اگر ترافیک بین شبکه ها زیاد باشد این فایروال به تنهایی
علاوه بر این می توان سرویس هایی رادر DMZ قرار دهیم.سرویس هایی که نیازمند دسترسی عمومی می باشند را در این منطقه از شبکه قرار می دهیم.
مهمترین و معروف ترین سرویس هایی که در قسمت DMZ شبکه قرار می گیرند به شکل زیر می باشند
۱- سرویس دهنده های وب یا Web Server ها
۲- سرویس دهنده های Voip
۳- سرویس دهنده های ایمیل یا Mail Server ها
۴- سرویس دهنده های FTP
نکته ای که در اینجا بسیار مهم است، این است که وب سرورهای سازمانی معمولا صفحات ایستا نیستند که صرفا چند صفحه باشند، بلکه صفحات دینامیکی هستند که در پس زمینه خود دارای یک پایگاه داده اطلاعاتی می باشند، این وب سرور ها باید بتوانند از این پایگاه داده استفاده کنند، قاعدتا اگر این پایگاه داده را در خود محیط DMZ قرار بدهید، کار اشتباهی خواهد بود، در این حالت پایگاه داده مورد نظر را یا در شبکه داخلی و پشت فایروال قرار می دهند و یا در پشت یک فایروال و در شبکه ای در همان طراحی DMZ قرار می دهند. در این حالت اگر هکری موفق به نفوذ به وب سایت شود، صرفا به صفحات وب سایت دسترسی پیدا می کند و نمی تواند داده ها و اطلاعات موجود در پایگاه داده را که در پشت فایروال دیگری قرار دارد را مورد هجوم قرار دهد.
سرویس های ایمیل یا همان Email Server ها نیز دارای اطلاعات کاربری و پایگاه داده خاص خود می باشند که آنها نیز بایستی محافظت شوند. آنها را در پشت یک فایروال جداگانه قرار می دهیم، معمولا سرویس دهنده های ایمیل از سرویسی به نام Webmail پشتیبانی می کنند که می توان از طریق وب به آنها دسترسی داشت، شما می توانید ایمیل سرور خود را در پشت فایروال DMZ قرار داده و از طریق امکانی به نام Publishing صفحه وب ایمیل را برای دسترسی عمومی Publish کنید.
در واقع ایمیل سرور ها ،هم ترافیک ورودی و هم ترافیک خروجی ایمیل ها را بایستی به درستی مدیریت کنند، طراحی DMZ ها با توجه به سرویس های موجود در شبکه متغیر هستند و DMZ یک ساختار ایستا و ثابت نمی باشد. به دلیل مسائل امنیتی و همچنین مسائل مانیتورینگ
در یک محیط تجاری، بیشتر سازمان ها و شرکت ها در محدوده DMZ خود یک Proxy Server راه اندازی می کنند، راه اندازی این سرور در این محیط دارای یک سری مزایا به شرح زیر می باشد :
- اجبار کردن کاربران داخلی برای استفاده از Proxy Server برای استفاده از اینترنت
- کاهش نیاز به پهنای باند اضافی بر روی شبکه اینترنت به علت استفاده از قابلیت cache در پروکسی سرور
- متمرکز سازی فرآیند فیلترکردن وب سایت ها و محتویات وب
- ساده سازی فرآیند ضبط و مانیتورکردن استفاده کاربران از اینترنت
ممکن است در اینجا این سئوال پیش بیاید که حال اگر نیاز به این باشد که کاربری بتواند از بیرون به شبکه داخلی دسترسی پیدا کند، آیا ساختار DMZ این امکان را به وی می دهد یا خیر ؟ در پاسخ به این سئوال بایستی بگوییم که سرویسی به نام Reverse Proxy وجود دارد که امکان دسترسی پیدا کردن کاربران خارجی به منابع داخلی شبکه را فراهم می کند، همانطور که Proxy Server به کاربران داخلی سرویس می دهد، Reverse Proxy عکس این عمل را انجام می دهد، یعنی به کاربران خارجی دسترسی داخلی را می دهد.
نمای کلی سیستمDMZ به صورت ذیل است:
شکل ۱ شمای سیستم DMZ و شبکه داخلی
معماری ها مختلف در ساختار DMZ
روش های زیادی برای طراحی DMZ وجود دارد و هر کس می تواند با توجه به شرایط موجود طراحی ویژه سازمان خود از این روش را داشته باشد. شما می توانید در طراحی های DMZ از یک فایروال با ۳ کارت شبکه، یا از چندین فایروال جداگانه استفاده کنید. این که چگونه DMZ را طراحی می کنید کاملا به نیازمندی های سازمانی شما بستگی دارد. در ادامه دو نوع از روش های معمولی که DMZ طراحی می شود را برای شما شرح می دهیم :
د DMZ با استفاده از یک فایروال
در این حالت شما یک فایروال سخت افزاری یا نرم افزاری دارید که دارای حداقل سه کارت شبکه می باشد که طراحی DMZ شما در این سه کارت شبکه جای می گیرد. ارتباط خارجی شما که به اینترنت و شبکه ISP متصل می شود به درون کارت شبکه اول متصل می شود. شبکه داخلی شما به کارت شبکه دوم موجود و در نهایت شبکه DMZ شما نیز به کارت شبکه سومی که بر روی فایروال قرار دارد متصل می شود. در اینجا فایروال ما یک Single Point Of Failure ایجاد کرده است، به این معنی که با از بین رفتن این فایروال یا بروز اختلال در آن کلیه شبکه هایی که به آن متصل شده اند دچار مشکل خواهند شد.
همچنین اگر ترافیک بین شبکه ها زیاد باشد این فایروال به تنهایی
مکن است نتواند سرویس دهی را انجام دهد و شبکه شما کند شود. به هر یک از این کارت شبکه ها در اصطلاح یک Zone یا محدوده گفته می شود. معمولا برای نمایش این ساختار برای مستند سازی از رنگ بنفش برای شبکه داخلی، سبز برای شبکه DMZ و قرمز برای شبکه اینترنت استفاده می شود.
ساختار DMZ با استفاده از دو فایروال :
استفاده از دو عدد فایروال در طراحی DMZ یکی از امن ترین طراحی های موجود در DMZ را به شما ارائه می دهد. اولین فایروال که به آن front-end firewall هم گفته می شود به گونه ای تنظیم می شود که ترافیک را از شبکه اینترنت دریافت و به آن ارسال می کند، این ترافیک قاعدتا ابتدا به Zone ای که به DMZ معروف است متصل می شود. فایروال دوم به گونه ای تنظیم می شود که ترافیک ورودی و خروجی به شبکه داخلی را مدیریت می کند و در اصطلاح به آن back-end firewall گفته می شود.
نتیجه گیری:
محدود کردن دسترسی به شبکه ها ی داخلی و سازمانی ، مدیریت یکپارچه تهدیدات ، واگذاری اختیار ویژه به گروهی خاص از کاربران جهت استفاده از یک منبع و همچنین ممانعت از ورود کسانی که از خارج از گروه خواهان دسترسی به منبع هستند اهمیت استفاده از فایروال برای جلوگیری از ارتباط مستقیم رایانه به سیستم و سازمان های داخلی را دو چندان می کند.
به منظور محافظت از شبکه خصوصی،DMZ می تواند مؤلفه مهمی برای طراحی امنیت محیط باشد. در اکثر سازمان های دولتی و حتی شرکت ها، سرویس هایی وجود دارد که سازمان ها قصد دارند به بیرون از شبکه ارائه دهند همیشه برای اینگونه سرویس های عمومی استفاده از طراحی DMZ توصیه می شود.روش های زیادی برای طراحی DMZ وجود دارد و هر کس می تواند با توجه به شرایط موجود طراحی ویژه سازمان خود از این روش را داشته باشد.
#security #dmz #network @unixmens
ساختار DMZ با استفاده از دو فایروال :
استفاده از دو عدد فایروال در طراحی DMZ یکی از امن ترین طراحی های موجود در DMZ را به شما ارائه می دهد. اولین فایروال که به آن front-end firewall هم گفته می شود به گونه ای تنظیم می شود که ترافیک را از شبکه اینترنت دریافت و به آن ارسال می کند، این ترافیک قاعدتا ابتدا به Zone ای که به DMZ معروف است متصل می شود. فایروال دوم به گونه ای تنظیم می شود که ترافیک ورودی و خروجی به شبکه داخلی را مدیریت می کند و در اصطلاح به آن back-end firewall گفته می شود.
نتیجه گیری:
محدود کردن دسترسی به شبکه ها ی داخلی و سازمانی ، مدیریت یکپارچه تهدیدات ، واگذاری اختیار ویژه به گروهی خاص از کاربران جهت استفاده از یک منبع و همچنین ممانعت از ورود کسانی که از خارج از گروه خواهان دسترسی به منبع هستند اهمیت استفاده از فایروال برای جلوگیری از ارتباط مستقیم رایانه به سیستم و سازمان های داخلی را دو چندان می کند.
به منظور محافظت از شبکه خصوصی،DMZ می تواند مؤلفه مهمی برای طراحی امنیت محیط باشد. در اکثر سازمان های دولتی و حتی شرکت ها، سرویس هایی وجود دارد که سازمان ها قصد دارند به بیرون از شبکه ارائه دهند همیشه برای اینگونه سرویس های عمومی استفاده از طراحی DMZ توصیه می شود.روش های زیادی برای طراحی DMZ وجود دارد و هر کس می تواند با توجه به شرایط موجود طراحی ویژه سازمان خود از این روش را داشته باشد.
#security #dmz #network @unixmens
Iptable dmz example :
https://www.cs.montana.edu/courses/309/topics/nat/dmz.html
https://www.cs.montana.edu/courses/309/topics/nat/dmz.html