>>>تاپيک جامع مقالات امنيت شبکه<<<

[Morihacker]

تغييرات Group Policy در ويستا :
منبع : [External Link Removed for Guests]
مؤلف : Derek Melber
مترجم : محسن امامي



در اين مقاله به امكانات جديد Group Policy در ويستا مي‌پردازيم.

به عنوان يك MVP (Most Valuable Professional) در زمينه Group Policy، ديدن تغييرات، امكانات و پيشرفت‌هاي مربوط به اين زمينه بسيار برايم خوشايند است. با انتشار زودهنگام جديدترين نسخه سيستم عامل مايكروسافت – ويندوز ويستا – به نظر مي‌‌رسد مايكروسافت در سدد ايجاد تغييرات بنيادين و جالبي در Group Policy است. به عنوان راهبر و مشاور در امر Active Directory و Group Policy در 6 سال گذشته، به نظرم اين تغييرات بسيار چشمگير است. دليل اين امر اين است كه ديگر لازم نيست وقتي مردم از من در مورد استفاده از Group Policy براي حل مشكلات مربوط به مديريت توان (Power Options)، مديريت چاپگر و مديريت قطعات ( Device Management) سؤال مي‌پرسند جواب ندهم و يا آن‌ها را به استفاده از برنامه‌هاي جانبي Group Policy راهنمايي كنم. قابليت‌هاي ديگر اضافه شده به ويستا شامل Network Location Awareness و تمهيدات جديد در مورد قالب‌هاي ADM است.

تنظيمات جديد Group Policy در ويستا
در مقايسه با Windows XP SP2 ، ويندوز Vista فيلدهاي بسياري در Group Policy اضافه كرده است. حدود 2400 نوع تنظيم در Group Policy Object براي كامپيوتر با ويندوز ويستا ساخته شده است. ويستا تنها حدود 800 تنظيم اضافه مي‌كند كه در مقايسه با ويندوز XP Service Pack 2 به ميزان نصف اضافه شده است. تعداد زيادي از اين تنظيمات براي پاسخ به نيازهاي كاربران به وجود آمده اند و بقيه براي پشتيباني قابليت هاي جديد ويندوز ويستا اضافه شده اند. بعضي از مهمترين اين تغييرات در زير بررسي مي‌شود.

مديريت توان (Power Management)
مهمترين خواسته كاربران از زمان به وجود آمدن Group Policy همواره قابليت كنترل Power Management بوده است. بالاخره مايكروسافت اين قابليت را در ويندوز ويستا اضافه كرد. از آن جا كه مايكروسافت و EPA آزمايش و گزارش كرده اند كه مي‌توان با تنظيم توان كامپيوترهاي روميزي به ازاء هر كامپيوتر در سال 50% صرفه جويي كرد؛ كنترل توان مي‌تواند در مورد شركت‌ها سريعا مؤثر واقع شود. بسيار ساده است! لزومي ندارد كامپيوترها هميشه با تمام توان (Full Power) كاركنند، در حالي كه كارمندان اصلا در محل كار حضور ندارند. قبل از ويستا، شركت‌ها بايد از محصولات DesktopStandard و Full Armor استفاده مي‌كردند تا بتوانند توان را براي ويندوز XP و 2000 بهينه كنند.

كنترل هاي نصب لوازم (Device Installation Controls)
متخصصان IT كه در زمينه امنيت در شركت‌ها مشغول به فعاليت اند، در مورد لوازم ذخيره سازي قابل جابجايي (Removable Media Devices) بسيار حساسند. به طور كلي اين لوازم باعث ايجاد خطر جدي براي كامپيوترهاي روميزي و شبكه مي‌شوند. بدون كنترل روي نصب و استفاده از اين وسايل، كاربران مي‌توانند باعث ورود ويروس، كرم و نرم‌افزارهاي آسيب‌رسان با استفاده از اين وسايل شوند. ويستا شامل تنظيماتي براي كنترل و نصب درايوهاي USB، CD-RW، DVD-RW و لوازم قابل جابجايي ديگر نیز می باشد .

تنظيمات امنيتي (Security Settings)
در ويستا، مايكروسافت دو تكنولوژي امنيتي مرتبط را با هم ادغام كرده است : Firewall و IPSec. استفاده از IPSec با Firewall براي مراقبت از كامپيوترها بسيار مفيد خواهد بود. ارتباط server-to-server روي اينترنت، كنترل سطوح دسترسي كامپيوترها به منابع شبكه با توجه به سلامت آن‌ها و استفاده از منابع با توجه به درخواست‌هاي متداول ، از جمله كاربردهاي اين نوع مراقبت است. از آن‌‌جايي كه اين تنظيمات امنيتي براي هر كامپيوتر مهم است، منطقي به نظر مي‌رسد كه در Group Policy جايي براي آن باز شده باشد.

مديريت چاپگرها با توجه به موقعيت در شبكه
مي‌توان گفت مديريت چاپگر ، كابوس‌ همه مديران شبكه است. با وجود شركت‌های داراي كامپيوترهاي قابل حمل و حركت كاربران از ساختماني به ساختمان و از محلي به محل ديگر، مديريت چاپگر سخت‌تر هم شده است. ويستا اين مسئله را با تنظيم چاپگر با توجه به سايت Active Directory كه كامپيوتر به آن تعلق دارد حل كرده است. از آن‌جا كه سايت‌هاي Active Directory معمولا منطبق بر توپولوژي جغرافيايي ويا فيزيكي شبكه است، اين روش راه حل كاملي براي ارسال اسناد به چاپگر بوسيله كامپيوترهاي قابل حمل ارائه مي‌دهد. قبل از ويستا شركت‌ها بايد براي كنترل چاپگرها در ويندوز 2000 و XP از برنامه‌هاي شركت‌هايي مثل DesktopStandard و Full Armor استفاده مي‌كردند.



طراحي مجدد قالب‌هاي ADM
اگر شما مسئول Group Policy شركتتان باشيد حتما باید با قالب ADM آشنا باشيد. قالب‌هاي ADM اولين بار با ويندوز NT4 و در قالب زبان نشانه گذاري (markup) براي تعريف و انجام تغييرات در رجيستري ظاهر شدند. با ظهور Group Policy، وجه استفاده از ADM تغييري نكرد اما قابليت‌هاي جديدي به آن اضافه شد. قالب‌هاي ADM راه حلي براي تغيير ارزش‌هاي رجيستري به شمار مي‌روند اما داراي مشكلاتي هستند، از جمله :

· حجيم شدن ADM كه دليل آن زياد شدن قالب‌هاي ADM در هر GPO مي‌باشد.

· ناسازگاري نسخه قالب ADM، كه به دفعات به دليل نصب service pack هاي جديد روي يك يا چند كامپيوتر رخ مي‌دهد.

· سردرگمي در سياست‌ها يا ارجحيت‌هاي اعمال شده كه بستگي به اين دارد كه كدام قسمت رجيستري دستكاري شده باشد.

· ناتواني در كنترل كردن ارزش‌هاي دودويي (binary) يا چند رشته‌اي (multi-string) در رجيستري

مايكروسافت مي‌داند كه قالب‌هاي ADM به واقع يك حفره بازدارنده براي اهداف خرابكارانه در رجيستري است. اما در ويستا اين مشكل رفع شده است. در ويستا، اكثر اين مشكلات با تبديل قالب ADM به يك فرمت جديد بر مبناي XML و خلاص شدن از قالب‌ها حل شده است. فايل‌هاي با فرمت جديد كه فايل‌هاي ADMX خوانده مي‌شوند، به زبان‌هاي مختلف اجازه مي‌دهند در يك فايل واحد مرجوع شوند. همچنين تكنولوژي ADMX فايل‌هاي بزرگ و يكپارچه ADM را مي‌گيرد و آن را به فايل‌هاي كوچك‌تر ADMX با مديريت آسان‌تر تقسيم مي كند.

يكي از امكانات مورد علاقه من در ويستا معرفي مخزن مركزي ADMX (ADMX central store) است. اين امكان، يك روش متمركز ذخيره‌سازي، به روز رساني و مديريت فايل‌هاي ADMX را ارائه مي‌دهد. فايل‌هاي ADMX ديگر لازم نيست در GPO ذخيره شوند. به جاي آن، GPO به مخزن مركزي ADMX نگاه مي‌كند. اين ترفند فضاي كنترل‌گر دامنه را كمتر اشغال كرده و مديريت اين فايل‌ها را آسان‌تر مي‌كند.



Network Location Awareness

Group Policy و برنامه‌هاي مرتبط با تنظيم Group Policy Object به ، اندازه سرعت ارتباط دسترسي به شبكه (Network Availability) وابسته اند. ويستا قابليت‌هاي جديدي در مورد آگاهي از شبكه (Network awareness) ارائه داده است كه باعث كم شدن زمان بالا آمدن كامپيوتر و اعتبار بيشتر اعمال سياست‌ها مي‌شود. حوزه‌هاي زير كه در ارتباط با آگاهي از شبكه است در ويندوز ويستا مورد توجه قرار گرفته اند.

زماني را كه كامپيوتر در هنگام بالا آمدن ، صرف اعمال سياست‌ها مي‌كند، فارغ از اين كه شبكه قابل دسترس نيست، مي‌تواند قابل توجه باشد. ويستا نشانگرهايي براي شناسايي وضعيت NIC قرارداده است. اين نشانگرها وضعيت NIC را در حالت‌هاي فعال يا غير فعال مشخص مي‌كند. اين نشانگرها همچنين مي‌توانند دسترسي به شبكه را نيز مشخص كنند.

ويستا به Client ها اين امكان را مي‌دهد كه در دسترس بودن و يا در دسترس ‌آمدن يك كنترل‌گر دامنه را پس از مدتي كار در وضعيت خارج از خط (offline) تشخيص دهد. اين يك وضعيت ايده‌آل براي ارتباطات Remote Access مثل dial-up يا V_P N به وجود مي‌آورد.

ديگر احتياجي به ICMP (PING) براي تشخيص سرعت اتصال كامپيوتر نيست. اين براي شبكه‌هاي با سرعت پايين نياز بود، اما اگر ICMP به دلايل امنيتي غير فعال شده باشد، كامپيوتر به بسته‌هاي ارسالي PING پاسخ نمي‌دهد و باعث بروز خطا در اعمال Group Policy مي‌شود. اما اكنون Network Location Awareness عمل تعيين پهناي باند را انجام مي‌دهد و باعث مي‌شود تازه‌سازي (refresh) سياست‌ها با موفقيت صورت پذيرد.

[Morihacker]

سيستم هاي ذخيره ساز پيشرفته :
نويسنده : كيانوش مراديان

ارزشمند شدن اطلاعات در شبكه هاي كامپيوتري و حجيم شدن آن ، لزوم مديريت صحيح آن را مي طلبد. ابزارهاي قديمي مارا مجبور به استفاده از سخت افزارهاي منفرد كرده و ارتقا آن ها بدون ايجاد خلل در شبكه امكان پذير نبود و همچنين هرگونه گسترشي در سيستم زمان زيادي را طلب مي كرد و مديران شبكه مشكلات فراواني درخصوص مديريت اين سيستم ها داشتند لذا توليد كنندگان تجهيزات ذخيره ساز كاهش زمان و قيمت اين تجهيزات را با رعايت مديريت قوي و تمركز ذخيره سازي مدنظر قرارداده و اقدام به توليد ابزارهاي كارامد NAS و SAN نمودند.
فوايد سيستم هاي ذخيره ساز جديد :

كاهش قيمت در ذخيره سازي حجم زيادي از اطلاعات تا 74%
كاهش زمان مديريت بر ذخيره سازي تا 50%
اطمينان به دسترسي اطلاعات و عدم قطعي
مروري بر سيستم ذخيره ساز :

سيستم ذخيره ساز داراي ساختار بلوكي انعطاف پذير از ماژول هاي سخت افزار و نرم افزار قدرتمند مي باشد. از مشخصه هاي اين سخت افزار انعطاف پذيري بالا با قابليت افزايش ظرفيت نا محدود مي باشد. توسط اين سيستم ها ، كاربري سطح بالا ، انتقال اطلاعات اتوماتيك و سرعت بازسازي اطلاعات تضمين مي شود. اين مجموعه توسط رابطي واحد ( Single Interface ) قابل مديريت مي باشد.

ساختار ماژولي سخت افزار
ساختار سخت افزار استاندارد بوده و بصورت ماژولي عمل مي كند. همچنين امكان استفاده و نصب درايو هاي مختلف و همچنين Encloserها به آْن فراهم است.

ساختار نرم افزاري
سيستم داراي نرم افزاري بسيار قدرتمند مي باشد امكانات مختلف مديريت بر سيستم و همچنين گزارشگيري هاي متنوع از خصيصه هاي بارز سيستم مي باشد.

رابط منفرد كارامد
دسترسي به سيستم از طريق رابطي منفرد قابل انجام است. حتي به اين سيستم مي توان از طريق تلفن خانگي مرتبط شد . سيستم قابليت اخطار دادن را به مديرشبكه در هنگام بروز خطا فراهم مي آورد.

NAs يا Network Attached Storage

سيستم هاي NAS داراي دو قسمت NAS Server و NAS Storage هستند كه معمولا توسط رابط Ethernet يا FDDI ويا ATM به شبكه متصل مي شوند همچنين امكان ارتباط با شبكه را با فيبرنوري دارا هستند(Fiber Chanel) در برخي مواقع خاص امكان ارتباط NAS با حداكثر 30 Interface فراهم است.NAS Server داراي يك پردازنده و سيستم عاملي براي ارتباط با NAS Storage و شبكه مي باشد.

NAS Storage در درون خود از تكنولوژي SCSI يا Small Computer Systems Interface استفاده مي كند و آن را مي توان درهر جاي شبكه نصب نمود و براي ايستگاه هاي كاري و همچنين سرورهاي شبكه به اشتراك گذارد. سرورهاي شبكه از طريق پورت Ethernet با NAS ارتباط برقراركرده و از پروتكل هاي رايج دسترسي به فايل نظير NFS (Network File System)و (Common Internet File System) CIFS استفاده مي كنند. درصورتيكه ايستگاههاي كاري فاقد سرور باشند (Desktop Systems) ، NAS بصورت Serverless تنظيم مي شود و چنانچه شبكه داراي سرور است تنظيم آن به گونه اي است كه Load روي سرورها رامي كاهد. با اين سيستم مي توان همزمان به كاربران ويندوزي و يونيكسي سرويس داد.
NFS در اصل توسط شركت Sun Microsystem بنا نهاده شده است و برپايه Open Network Computing عمل مي كند. NFS را مي توان مرسوم ترين سيستم فايل در محيط هاي يونيكسي درنظر گرفت.CIFS سيستم فايلي است كه براي اينترنت ايجاد شده است و پرپايه SMB يا Server Message Block طراحي شده است كه در سيستم عامل هاي ويندوزي كاربرد دارد.CIFS را نمي توان جايگزين NFS دانست بلكه كامل كننده NFSمي باشد.

سه شركت اصلي NetApps، Auspex Systems و Sun Microsystem در زمينه NAS ها فعاليت مي كنند و شركت هاي شروع كننده اين تكنولوژي هستند. دو شركت NetAppsو Auspex محصول حود را در قالب يك Package ارائه مي دهند اما NAS Server و NAS Storage در توليدات Sun Microsystem مجزا هستند.



SAN يا Storage Area Network

برخلاف NAS يك SAN بصورت يك سرور كار نمي كند و درواقع امكاناتي را فراهم مي آورد تا اطلاعات بين زير سيستم هاي ذخيره ساز و سرور از طريق يك شبكه به اشتراك گذارده شده مبادله شود. SAN را درواقع مي توان مجموعه اي از قابليت ها و انعطاف پذيري ها دانست كه از فعاليت هاي سرور و سيستم ذخيره ساز روي شبكه حاصل مي شود. اين سيستم با فيبرنوري آميخته شده است و فيبرنوري پهناي باند بيشتر ، فواصل دورتر و سرعت بالاتر را به ارمغان آورده است. افزايش و كاهش سرور در اين سيستم بدون هيچگونه خللي امكان پذير است.
فايلر (Filer)

فايلر در واقع فايل سروري با حجم ذخيره سازي بسيار زياد مي باشد كه امكان BackUp و تهيه آرشيو از اطلاعات را فراهم مي آورد. فايلر ها را مي توان به عنوان NAS، سيستم هاي ذخيره ساز و يا حتي قسمتي از SAN درنظر گرفت. آن ها در به اشتراك گذاري اطلاعات نرم افزارهايي كه توسط فيبرنوري ، رابط هاي Ethernet و اينترنت مرتبط هستند بكار مي رود.

قابليت هاي يك فايلر خوب ، امكان گسترش ، نرم افزار مستقل ، راحتي مديريت آسان ، پشتيباني از پروتكل هاي مختلف شبكه ، ظرفيت بالا ، رعايت Redundancy در آن ، خروجي با ظرفيت بالا ، مشخصه هاي امنيتي و امكان اتصال به ابزارهاي خارجي تهيه نسخه پشتيبان نظير Tape Backup مي باشد.قيمت فايلرها از چند صد دلار شروع شده و تا 100.000 دلار متغير مي باشد.

كانال فيبر نوري يا Fiber Channel

در سيستم هاي پيشرفته ذخيره سازي براي رهايي از محدوديت سرعت انتقال داده ها ، ارتباط اجزاي مختلف سيستم از طريق فيبرنوري ميسر خواهد شد علاوه بر آن اصل Redundancy در اين ارتباط بايد رعايت گردد
سيستم ذخيره ساز تركيبي :

با توجه به بزرگي ساختار شبكه و ميزان حجم اطلاعات مي توان دو استراتژي ذخيره ساز NAS و SAN را با يكديگر مرتبط كرده و سيستم هايبريد ذخيره سازي را ايجاد كرد.اين سيستم از مزاياي دوروش برخوردار بوده و اطمينان بيشتري را همراه خواهد داشت.
در سال هاي آينده با افزايش حجم اطلاعات روبرو خواهيم شد و نگهداري از آن ها تبديل به معضلي براي سازمان هاي بزرگ مي شود لذا به نظر مي رسد تكنولوژي فيبرنوري و ساختار SAN تنها راه حل مقابله با اين وضعيت است.اين سيستم مارا قادر خواهد ساخت تا به اطلاعاتمان از مسافت هاي زياد وبا سرعت بالا دسترسي داشته و ذخيره سازي اطلاعات را بطور متمركز و در حد سازمان هاي Enterprise برقرار كنيم. سيستم هاي NAS و SAN ادامه كسب و كار مارا سبب گشته ،امكان Backup و Restore اطلاعات را ايجاد كرده و آينده نگري در افزايش ظرفيت ها را به راحتي امكان پذير مي سازد.

[Morihacker]

امنيت در RF ID
نويسنده : مارتين دام پدرسن
مترجم : كيانوش مراديان

ليست مطالب :
RF ID چيست؟
كاربردهاي RF ID
خطرهاي امنيتي
چند مثال از خطرها
برنامه حفاظت Tagها
نگاه آينده

RF ID چيست ؟

RF ID مخفف Radio-Frequency Identification به معناي شناسايي يك كد توسط تكنولوژي راديويي و برمبناي فركانسي تعريف شده مي باشد. سيستم RF ID شامل قسمتهاي زير است :
I. كارت ها (Tags)

II. كارت خوان ها (Readers)

III. سرورها (Backend Servers)

كارت ها Tag ( transponder)

داراي ريزپردازنده كوچك و آنتن هستند
داراي شماره سريال واحدي هستند
در انواع پيشرفته اين كارت ها امكان Cryptographyوجود دارد.
Symmetric-key
Public-Key
Hashing

انواع Tag ها :

Tag ها در دو گروه Passive

و Semi-Passive ، Active تقسيم بندي مي شوند


Passive(HF,UHF)
از طريق كارت خوان جريان الكتريكي را دريافت كرده و اقدام به پاسخ مي نمايد.

بسيار كوچك مي باشد ( پردازنده آن حدود مربعي به ابعاد 15mm X 15mm و آنتن آن به اندازه يك تمبراست.

فاصله از كارت خوان از دو ميليمتر تا پنج متر (بسته به شرايط محيطي و نوع كارت خوان) است.



Semi-passive يا Active (به همراه باتري)
Tag هاي فعال داراي باتري بوده و بطور مستقل تغذيه مي شوند.

انواع Semi-Passive تنها مدار خود را تغذيه مي كنند.

به اندازه يك سكه هستند

انواع پيشرفته آن ها تا بيش از ده متر را پاسخ مي دهد.

كارت خوان ها (Transceiver)

اطلاعات را از Tag مي خواند.

با سرور مرتبط است و انتقال اطلاعات مي كند.

سرور ها (Backend Server)

اطلاعات Tag ها را ذخيره مي نمايد.

قابليت مقايسه و محاسبه را در خصوص اطلاعات ذخيره شده دارا مي باشد.

از اطلاعات خام اوليه نتايج و گزارش هاي ارزشمندي را استخراج مي كند.

كاربردهاي RF ID

جايگزين مناسبي براي سيستم هاي قديمي باركد مي باشد
رديابي انسان ، حيوان و اشيا را امكان پذير كرده است.
در سيستم حمل و نقل و باجه هاي اخذ عوارض جاده اي كاربرد دارد.
براي جلوگيري ازدزدي امكان استفاده از آن مي باشد.
جعل اسناد مبتني بر RF ID كاري بسيار مشكل است.
جهت كنترل دسترسي كاربرد دارد.
در زنجيره توليد واحدهاي صنعتي قابل پياده سازي است.
كنترل انبار
حمل و نقل كالا
خرده فروشي
جايگزين خوبي جهت نيروي انساني نگهبان است
كتابخانه ها
و ....

حملات امنيتي :

استراق سمع يا Eavesdropping
قابليت تكثير آسان يا Cloning
آساني در سوء استفاده يا Spoofing
رديابي يا Tracking
پرشدن پهناي باند يا DOS

مثال هايي از حملات :

افراد غير مجاز مي توانند از طريق خواندن كد كالا از محتويات كيف شما باخبر شوند.

تكثير غيرمجاز به افراد غريبه امكان دسترسي به ساختمان و ماشين شما را خواهد داد.

سرقت از افراد با تشخيص مكان دقيق آن ها

برنامه هاي محافظتي Tag:

1- فعال و غيرفعال كردن Tag ها

فعال و غيرفعال كردن Tag ها يكي از راه هاي محافظتي است و آن بدان معناست كه در محيط هايي كه نياز به استفاده از سيستم RF ID وجود ندارد Tag ها را غيرفعال نماييم.به عنوان مثال مي توان در فروشگاه براي هر سبد خريد دستگاه كوچكي تعبيه كرد كه انتشار كد كالا را تازمانيكه درون سبد است متوقف سازد.

2- استفاده مجموعه اي از شماره هاي مشخصه :

در اين حالت موارد زير پياده سازي مي شود :

Tag در كارت خوان هاي متنوع شماره مشخصه متفاوتي را توليد مي كند.

كارت خوان كليه شماره هاي مشخصه را ذخيره مي كند لذا Tag را شناسايي مي نمايد.

كارت خوان ها بايد قابليت Refresh كردن شماره هاي مشخصه را داشته باشند.

3- استفاده از Encryption و كليدهاي عمومي و خصوصي

شماره مشخصه Tag با كليد عمومي رمزنگاري مي شود.

شماره جديد با كليد خصوصي رمز گشايي مي شود.

براي جلوگيري از رديابي و لو رفتن شماره مشخصه بطور دوره اي رمزنگاري براي بدست آمدن cipher text ديگر انجام شود.

نگاه آينده :
در نرم افزارهاي جديد استفاده از RF ID بيش از پيش خواهد شد.
بزرگترين مشكل در سيستم RF ID ، D.O.S خواهد شد.
موارد امنيتي بدون افزايش قيمت در Tag هاي جديد لحاظ خواهندشد.
سيستم باركد بطور كلي منسوخ نخواهد شد اگرچه موارد كاربرد آن محدودتر مي شود.

[Morihacker]

بررسی ساختار امنیتی Postfix

توسط : احسان امیدوار



مسلما کاربران حرفه ای لینوکس ٬ با نرم افزار Postfix آشنا بوده و در مورد عملکرد و ویژگی های آن اطلاعاتی دارند . اما جهت آشنایی کاربران دیگر٬ توضیحاتی مختصر در مورد آن خواهم داد .

Postfix نرم افزاری « اپن سورس » با عنوان mail transfer agent ( MTA ) و یا نماینده انتقال ایمیل است٬ همان طور که از نام آن به نظر می رسد جهت حمل و مسیر یابی ایمیل استفاده می شود و همواره از آن به عنوان نرم افزاری سریع با مدیریت آسان و امنیت بالا یاد می گردد که با نام های VMailer و IBM Secure Mailer نیز شناخته شده است .



سیستم Postfix

Postfix از سیستم پیچیده ای تشکیل یافته است به نحوی که نسخه ابتدایی آن حدودا سی هزار خط کد در برنامه نویسی آن بود . قاعدتا در یک سیستم پیچیده نبایستی امنیت آن بر محور یک مکانیزم امنیتی باشد که در غیر این صورت ممکن است ایجاد یک خطا کلا سیستم پست الکترونیکی را از کار بیندازد ٬ قابل ذکر است که Postfix از چندین لایه جهت کنترل آسیب های نرم افزاری و دیگر خطاها استفاده می کند .

بیشتر پروسه های Postfix می توانند در یک محیط chroot ( محیط chroot در واقع یک محیط محدوده شده است ٬ نظیر یک زندان که زندانی نمی تواند به محیط خارج دسترسی داشته باشد ٬ برنامه ای که در یک فولدر با حالت chroot قرار گرفته باشد ٬ نمی تواند دسترسی به محیط بیرون داشته باشد ) اجرا گردند . این حالت بویژه جهت برنامه هایی نظیر SMTP سرور و SMTP کلاینت که اکثرا در مقابل تهدیدات شبکه بی دفاع هستند صدق می کند .



پروسه های مستقل

اما مکانیزم دیگری که در Postfix پیاده شده است ٬ استفاده از پروسه های مستقل جهت جداسازی فعالیت پروسه ها از یگدیگر است ٬ بخصوص اینکه مسیر مستقیمی از شبکه به برنامه های داخلی که ساختار امنیتی حساسی دارند وجود ندارد . چنانچه شخصی بخواهد که به Postfix نفوذ کند ابتدا بایستی به پروسه های مختلف وارد شود ٬ بعضی از قسمت های Postfix حالت Multi-Threat را دارند و از طرفی تمام برنامه هایی که با دنیای بیرون در ارتباط هستند با حالت Single-Threat پیش می روند .



کنترل برنامه ها

هیچ کدام از برنامه های delivery در Postfix تحت کنترل یک « user process » اجرا نمی گردند . بیشتر برنامه های Postfix تحت یک Daemon ( Daemon به زبان ساده پروسه ایست که در Background سیستم عامل اجرا شده و غالبا تحت کنترل کاربر نیستند ) مقیم در سیستم ٬ در یک محیط کنترل شده اجرا می گردند .



مستقل از set-uid

نکته جالب دیگر این است که هیچ کدام از برنامه های Postfix ٬ set-uid ( setuid و هم خانواده آن setgid ٬ اکثرا به این دلیل به کار می رود که کاربر بتواند فایل های باینری را با حالتی موقت اجرا کند ) نیستند ٬ در واقع setuid موجب پیدایش اشکالات بیشتری می شود تا اینکه بخواهد سودمند باشد ! هر زمانی که یک ویژگی جدید به سیستم عامل یونیکس اضافه می شد ٬ set-uid باعث مشکل امنیتی می گردید : shared libraries ٬

پشتیبانی چند زبانه ٬ فایل سیستم /proc و ... که همه این موارد نمونه ای از آن ها بود .



چندی دیگر از ویژگی ها


:: حافظه جهت رشته ها و بافرها به طور دینامیک سازماندهی می شود ٬ به این دلیل که از مشکلات امنیتی buffer overrun جلوگیری گردد .

:: خط های طولانی در پیغام ها ٬ به قسمت هایی با سایز منطقی تقسیم بندی شده است.

و دیگر ویژگی های امنیتی که Postfix را در مقابل حملاتی نظیر buffer overrun مقاوم نموده است .

Resources :

[External Link Removed for Guests]

[External Link Removed for Guests]