ויקיפדיה

הקשחה (אבטחת מידע) – הבדלי גרסאות

עיון אינטראקטיבי בהיסטוריה
העריכה הבאה ←
תוכן שנמחק תוכן שנוסף
חזותיקוד ויקי
Orenfirst (שיחה | תרומות)
6 עריכות
יצירה באמצעות תרגום הדף "Hardening (computing)"
 
Orenfirst (שיחה | תרומות)
6 עריכות
עריכה, הוספת מקור
שורה 1:
 
'''הקשחה''' בתכנות היא תהליך של אבטחת המערכת על ידי הקטנת שטח הפגיעות אשר גדלה ככול שהמערכת מבצעת יותר פעולות. בעיקרון, מערכת בעלת פעולה אחת בטוחה יותר ממערכת בעלת פעולות רבות. הקטנת אפשרות תקיפת המערכת לרוב כוללת שינוי סיסמאות ברירת מחדל, הסרה של תוכנה מיותרת או התחברויות מקודדות (login) והסרה של שירותים מיותרים.
 
 
 
 
ישנן מספר שיטות להקשחת מערכות "יוניקס" ו"לינוקס". שיטות אלה כוללות בין השאר התקנת תלאים כגון מגן אקס (Exec shield) או פקס (Pax) על הליבה, סגירת חיבורי רשת, הקמת מערכות זיהוי\התראה לפריצות, חומות אש ומערכות למניעת פריצות. קיימות גם פקודות\תוכנות וכלים להקשחה כגון ליניס (Lynis), בסטיל לינוקס(Bastille Lynux) JASS או מקשיח Apache/PHP עבור מערכות סולריס (Solaris) אשר יכולים לנטרל אפשרויות תוכנה מיותרות בתיקיות קונפיגורציה ועוד מספר מהלכים הגנתיים.
 
== הקשחה בינרית ==
הקשחה בינרית היא שיטת אבטחת תוכנה בה קבצים בינריים נבחנים ונערכים שינויים בקבצים אלה על מנת להגן מפני שיטות פגיעה שכיחות. הקשחה בינרית היא שיטה נפרדת מקומפיילרים וכוללת את כל סט התוכנות. לדוגמה, שיטת הקשחה בינרית אחת היא גילוי של הצפת חוצצים (buffer overflow) והחלפת המקטע בשורות תכנות בטוחות יותר. היתרון בתמרון קוד בינרי הוא שאפשר לתקן בצורה אוטומטית חולשות בתוכנות אב ישנות (legacy) בלי צורך בקוד מקור אשר יכול כלל לא להיות זמין או מעורפל. יתרון נוסף הוא שאותה שיטה יכולה להיות מיושמת על קוד בינרי מקומפיילרים רבים בהם גם כאלה אשר פחות מאובטחים.
שורה 10 ⟵ 12:
לעיתים קרובות הקשחה בינרית כוללת התאמות לא דטרמיננטיות של בקרות זרימה וכתובות של הוראות בצורה שתמנע שימוש חוזר של שורות קוד לצורך תקיפת המערכת. שיטות הקשחה נפוצות:
 
·      * הגנה מפני הצפת חוצצים (buffer overlow)
·      * הגנה מפני גלישת מחסנית (stack overflow)
 
·      * מיקום עצמאי לתוכנות הרצה (ראה פיזור אקראי לכתובות)
·       הגנה מפני גלישת מחסנית (stack overflow)
·      * פיזור אקראי של כתובות להוראות עם כתובות קבועות (פיזור אקראי ליחידות קוד בסיסיות)
 
·      * מיסוך פוינטרים ( הגנה מפני הזרקת שורות קוד)
·       מיקום עצמאי לתוכנות הרצה (ראה פיזור אקראי לכתובות)
·      * זרימת שליטה אקראית ( להגנה מפני הטיה של זרימת השליטה)
 
·       פיזור אקראי של כתובות להוראות עם כתובות קבועות (פיזור אקראי ליחידות קוד בסיסיות)
 
·       מיסוך פוינטרים ( הגנה מפני הזרקת שורות קוד)
 
·       זרימת שליטה אקראית ( להגנה מפני הטיה של זרימת השליטה)
 
 
שורה 26 ⟵ 23:
== דוגמאות נוספות    '''     ''' ==
 
·      * מחיקת תוכנה או מאפיינים אשר אינם בשימוש.
 
·      * עדכון שוטף של טלאים
·       מחיקת תוכנה או מאפיינים אשר אינם בשימוש.
·      * התקנת חומת אש
 
·      * סגירת חיבורי רשת מיותרים
·       עדכון שוטף של טלאים
·      * מניעת שיתוף קבצים בין תוכנות מסוימות
 
·      * שימוש באנטי-וירוס ותוכנות להגנה מפני ריגול
·       התקנת חומת אש
·      * שימוש במכולות תוכנה או מכונות וירטואליות
 
·      * יצירת סיסמאות חזקות ומדיניות של קביעת סיסמאות חזקות
·       סגירת חיבורי רשת מיותרים
·      * יצירת גיבוי
 
·      * נטרול עוגיות (cookies)
·       מניעת שיתוף קבצים בין תוכנות מסוימות
·      * שימוש בקידוד היכן שאפשר
 
·      * נטרול קידוד חלש
·       שימוש באנטי-וירוס ותוכנות להגנה מפני ריגול
·      * הפרדה בין נתונים לתוכנות
 
·      * מכסות של כוננים
·       שימוש במכולות תוכנה או מכונות וירטואליות
·      * לוגיקה חזקה לשליטה על גישה
 
·      * אבטחה ליומנים (logs)
·       יצירת סיסמאות חזקות ומדיניות של קביעת סיסמאות חזקות
·      * התאמה של הגדרות ברירת מחדל, ביחוד סיסמאות
 
·       יצירת גיבוי
 
·       נטרול עוגיות (cookies)
 
·       שימוש בקידוד היכן שאפשר
 
·       נטרול קידוד חלש
 
·       הפרדה בין נתונים לתוכנות
 
·       מכסות של כוננים
 
·       לוגיקה חזקה לשליטה על גישה
 
·       אבטחה ליומנים (logs)
 
·       התאמה של הגדרות ברירת מחדל, ביחוד סיסמאות
 
== ראה גם ==
·       אבטחת תוכנה
 
·       אבטחת רשת
 
·       מדיניות אבטחת רשת
 
·       פיזור כתובות אקראי
 
·       פיזור אקראי ליחידות קוד עצמאיות
 
·       מערכת הפעלה ממוקדת אבטחה
 
* [[:en:Computer_security|אבטחת תוכנה]]
·       לינוקס בעל אבטחה מוגברת
* [[:en:Network_security_policy|אבטחת רשת]]
·      * [[:en:Network_security_policy|מדיניות אבטחת רשת]]
* [[:en:Address_space_layout_randomization|פיזור כתובות אקראי]]
·      * [[:en:Position-independent_code|פיזור אקראי ליחידות קוד עצמאיות]]
·      * [[:en:Security-focused_operating_system|מערכת הפעלה ממוקדת אבטחה]]
·      * [[:en:Security-Enhanced_Linux|לינוקס בעל אבטחה מוגברת]]
 
== הפניות ==
שורה 80 ⟵ 55:
== קישורים חיצוניים ==
 
* ·      [https://oit.colorado.edu/it-security/security-awareness/hardening-your-computer אבטחת רשת]- נושא הקשחה באוניברסיטת קולרדו ·.       "הקשחת נכסי המחשוב שלך" ב-  globalsecurity.org
*[https://www.globalsecurity.org/military/library/report/1997/harden.pdf "הקשחת נכסי המחשוב שלך"] ב-  globalsecurity.org
 
[[קטגוריה:נהלי אבטחת תוכנה]]
אוחזר מתוך "https://he.wikipedia.org/wiki/הקשחה_(אבטחת_מידע)"