دسته: امنیت اطلاعات

راهنمای جامع پیکربندی امنیتی هاردنینگ VMware

مقدمه

در دنیای امروز که مجازی‌سازی و استفاده از پلتفرم‌هایی مانند VMware در زیرساخت‌های فناوری اطلاعات روز به روز اهمیت بیشتری پیدا می‌کنند، امنیت این محیط‌ها نقشی حیاتی در حفاظت از داده‌ها و سیستم‌ها دارد. هاردنینگ (Hardening) یا مقاوم‌سازی محیط‌های مجازی یکی از بهترین روش‌ها برای کاهش آسیب‌پذیری‌ها در برابر حملات سایبری است. در این میان، Security Configuration Guide (SCG) یا راهنمای پیکربندی امنیتی به عنوان یک ابزار کلیدی در هاردنینگ VMware شناخته می‌شود که به مدیران شبکه و سیستم‌ها کمک می‌کند تنظیمات امنیتی بهینه‌ای را برای حفاظت از زیرساخت‌های مجازی خود اعمال کنند.

SCG چیست؟

Security Configuration Guide (SCG) یا راهنمای پیکربندی امنیتی، مجموعه‌ای از توصیه‌ها و بهترین روش‌ها برای پیکربندی امن زیرساخت‌های IT است که به‌طور خاص برای سیستم‌ها و نرم‌افزارهای مختلفی از جمله VMware تهیه می‌شود. این راهنماها توسط شرکت‌های نرم‌افزاری یا سازمان‌های امنیتی ارائه می‌شوند و به مدیران سیستم کمک می‌کنند تا تنظیمات پیش‌فرض نرم‌افزارهای خود را مطابق با استانداردهای امنیتی بهینه کنند و از نقاط ضعف احتمالی جلوگیری نمایند.

اهمیت استفاده از SCG در VMware

به‌طور پیش‌فرض، بسیاری از تنظیمات سیستم‌های مجازی مانند VMware ممکن است به‌طور کامل بهینه نباشند و امنیت کافی را تأمین نکنند. اگر این تنظیمات به‌درستی اصلاح نشوند، می‌توانند منجر به نقاط ضعف امنیتی شده و زیرساخت‌های مجازی را در معرض خطر حملات سایبری قرار دهند. SCG با ارائه پیشنهادات دقیق و تخصصی، به مدیران کمک می‌کند که پیکربندی سیستم‌های مجازی را طوری انجام دهند که تهدیدات را به حداقل برسانند.

بخش‌های کلیدیمقاوم سازی امنیتی SCG برای VMware

1. امنیت دسترسی‌ها

یکی از مهم‌ترین جنبه‌های SCG، مدیریت و کنترل دسترسی کاربران به سیستم است. VMware به مدیران این امکان را می‌دهد که سطوح مختلف دسترسی را برای کاربران تعیین کنند. بر اساس راهنمای SCG، توصیه می‌شود که:

دسترسی‌ها بر اساس نیازهای واقعی کاربران تعریف شود (اصل Least Privilege یا حداقل دسترسی).

از احراز هویت دو مرحله‌ای (2FA) برای دسترسی به محیط VMware استفاده شود.

حساب‌های پیش‌فرض و غیرضروری غیرفعال یا حذف شوند تا حملات ناشی از حساب‌های کاربری پیش‌فرض کاهش یابد.

2. پیکربندی شبکه‌های مجازی

شبکه‌های مجازی در VMware می‌توانند هدف حملات سایبری قرار گیرند، بنابراین تنظیمات صحیح آن‌ها نقش مهمی در افزایش امنیت دارد. راهنمای SCG توصیه می‌کند که:

فایروال‌های مجازی پیکربندی شوند تا ترافیک غیرضروری مسدود گردد.

شبکه‌ها با استفاده از VLAN تفکیک شوند تا بخش‌های مختلف شبکه از یکدیگر جدا باشند و هرگونه نفوذ به یک بخش از شبکه منجر به دسترسی به سایر بخش‌ها نشود.

از رمزنگاری ارتباطات بین ماشین‌های مجازی استفاده شود تا از رهگیری داده‌ها جلوگیری شود.

3. نظارت و مانیتورینگ

فعال‌سازی و پیکربندی صحیح لاگ‌ها و سیستم‌های مانیتورینگ به شما کمک می‌کند تا به‌طور مستمر از امنیت محیط مجازی خود مطمئن شوید. SCG پیشنهاد می‌کند که:

تمامی رویدادها و فعالیت‌های مهم لاگ شوند و لاگ‌ها به‌طور منظم بررسی شوند.

از ابزارهای مانیتورینگ مانند vRealize Log Insight برای نظارت خودکار بر محیط VMware استفاده شود تا هرگونه فعالیت مشکوک به سرعت شناسایی گردد.

اطلاع‌رسانی و هشدارهای خودکار برای رخدادهای غیرعادی پیکربندی شوند تا در صورت بروز هرگونه تهدید، سریعاً اقدام لازم انجام شود.

4. استفاده از گواهینامه‌های دیجیتال و رمزنگاری

ارتباطات و داده‌های حساس در محیط مجازی باید از طریق گواهینامه‌های دیجیتال و پروتکل‌های رمزنگاری امن شوند. SCG توصیه می‌کند که:

از SSL/TLS برای رمزنگاری تمامی ارتباطات بین ماشین‌های مجازی و سرورها استفاده شود.

گواهینامه‌های معتبر از منابع قابل اعتماد نصب شوند تا از خطرات ناشی از استفاده از گواهینامه‌های نامعتبر یا تاریخ‌گذشته جلوگیری شود.

رمزنگاری داده‌های در حال انتقال و همچنین داده‌های در حال ذخیره‌سازی (Data at Rest) با استفاده از تکنیک‌های مدرن رمزنگاری انجام شود.

5. مدیریت به‌روزرسانی‌ها

یکی از کلیدی‌ترین اصول هاردنینگ هر سیستم، به‌روزرسانی منظم نرم‌افزارها و سیستم‌عامل‌هاست. راهنمای SCG تأکید می‌کند که:

نرم‌افزار VMware و تمام اجزای آن، از جمله vSphere و ESXi، به‌روزرسانی‌های امنیتی را به‌طور منظم دریافت کنند.

فریمور (Firmware) سرورهایی که VMware بر روی آن‌ها نصب شده است، به‌روزرسانی شود تا از امنیت سخت‌افزاری آن‌ها اطمینان حاصل گردد.

به‌روزرسانی‌ها و پچ‌های امنیتی به‌طور منظم نصب شوند تا هرگونه آسیب‌پذیری تازه شناسایی‌شده اصلاح گردد.

چگونه SCG را در VMware پیاده‌سازی کنیم؟

برای استفاده بهینه از SCG در VMware، باید مراحل زیر را دنبال کنید:

مطالعه راهنمای SCG: ابتدا راهنمای پیکربندی امنیتی نسخه خاص VMware خود را دانلود و مطالعه کنید. این راهنما شامل دستورالعمل‌های دقیق برای تنظیمات امنیتی است.

اعمال تنظیمات پیشنهادی: پس از مطالعه SCG، تنظیمات پیشنهادی مانند محدود کردن دسترسی‌ها، تقویت فایروال‌ها و پیکربندی لاگ‌ها را اعمال کنید.

نظارت و به‌روزرسانی مداوم: پیکربندی‌های امنیتی را به‌طور منظم بررسی کنید و مطمئن شوید که با آخرین به‌روزرسانی‌ها و تهدیدات سایبری سازگار هستند.

استفاده از ابزارهای مانیتورینگ: ابزارهای نظارتی مانند vRealize Log Insight و VMware NSX را برای نظارت مستمر بر شبکه و ماشین‌های مجازی خود استفاده کنید

نتیجه‌گیری

استفاده از Security Configuration Guide (SCG) برای هاردنینگ VMware یک راهکار اثربخش و جامع برای افزایش امنیت محیط‌های مجازی است. با پیروی از توصیه‌های این راهنما، می‌توانید از نقاط ضعف پیش‌فرض جلوگیری کنید، سطح دسترسی‌ها را بهینه کنید و سیستم‌های خود را در برابر تهدیدات سایبری ایمن نگه دارید. اعمال تنظیمات SCG به‌طور منظم و همگام شدن با به‌روزرسانی‌ها به شما این اطمینان را می‌دهد که زیرساخت‌های مجازی شما مقاوم و امن هستند.

یکی از بخش‌های مهمی که در اکثر دوره‌ها و مستندات امنیتی به آن اشاره می‌گردد، مقاوم سازی سرورها و سرویس‌های مورد استفاده در شبکه سازمان می‌باشد.

✔️ در همین راستا مستنداتی تحت عنوان CIS منتشر شده است که از آن ها به منظور مقاوم سازی سرویس ها و سرورها استفاده می گردد.

برای دریافت آخرین نسخه از راهنمای اصلی می‌توانید به آدرس https://www.cisecurity.org/cis-benchmarks مراجعه نمایید.

لینک به مستندات رسمی VMware: VMware Security Configuration Guide

2024-10-20
چک‌لیست امنیت ویندوز سرور : 90 + 9 + 1% تأمین امنیت
چک لیست ساده اول 90% امنیت ویندوز شما را ارتقا میدهد و و برای 9% مابقی باید چک لیست پیچیده را برای امنیت 9% استفاده کنید تا امنیت شما به 99 % برسد . اما 1% امنیت مابقی قابل تامین است ؟

بله، می‌توان به این شکل فکر کرد که چک‌لیست‌های امنیتی مختلف می‌توانند به سطوح متفاوتی از امنیت منجر شوند. بیایید این مفاهیم را به تفکیک توضیح دهیم:

در مجموع، با استفاده از چک‌لیست‌های مختلف و به کارگیری اقدامات مناسب، می‌توان امنیت ویندوز را به سطوح بالاتری ارتقا داد. در حالی که 90% امنیت ممکن است با تلاش اولیه و اقدامات ساده تأمین شود، 9% باقی‌مانده نیاز به استراتژی‌های پیچیده‌تر دارد و 1% آخر بستگی به شرایط خاص و نیازهای خاص دارد. این روند امنیتی باید یک فرآیند مداوم و پویا باشد که به طور مداوم به‌روزرسانی و بهبود یابد.

1. چک‌لیست ساده برای تأمین 90% امنیت ویندوز
- این چک‌لیست شامل اقدامات اولیه و اساسی است که به راحتی قابل پیاده‌سازی هستند و می‌توانند تأثیر قابل توجهی بر امنیت کلی سیستم داشته باشند. این اقدامات ممکن است شامل موارد زیر باشد:
  - نصب و فعال‌سازی دیواره آتش (Firewall)
  - به‌روزرسانی سیستم‌عامل و نرم‌افزارها
  - استفاده از رمزهای عبور قوی
  - نصب نرم‌افزار ضد بدافزار
  - غیرفعال کردن خدمات غیرضروری
  - فعال‌سازی احراز هویت دو مرحله‌ای (2FA)
برای امنیت ویندوز سرور ، رعایت مجموعه‌ای از چک‌لیست‌ها می‌تواند به حفظ امنیت سرور کمک کند. در زیر یک چک‌لیست اولیه برای امنیت ویندوز سرور ارائه شده است که 90 درصد مواقع کاربرد دارد:

1. به‌روزرسانی سیستم‌عامل و پچ‌های امنیتی
- پارامترها:
  - اطمینان از نصب به‌روزرسانی‌ها و پچ‌های امنیتی جدید.
  - تنظیم به‌روزرسانی‌های خودکار برای جلوگیری از نقص‌های امنیتی شناخته شده.
2. پیکربندی دیواره آتش (Firewall)
- پارامترها:
  - اطمینان از فعال بودن فایروال ویندوز.
  - پیکربندی قوانین فایروال برای محدود کردن ترافیک غیرمجاز.
  - تعریف قواعد خروجی و ورودی فقط برای سرویس‌های ضروری.
3. مدیریت حساب‌های کاربری و دسترسی‌ها
- پارامترها:
  - حذف یا غیرفعال کردن حساب‌های پیش‌فرض.
  - استفاده از حساب‌های محدود برای عملیات روزانه.
  - تنظیم نقش‌های دسترسی بر اساس اصل “کمترین امتیاز” (least privilege).
  - فعال کردن احراز هویت چند عاملی (MFA) برای دسترسی‌های مهم.
4. فعال‌سازی امنیت شبکه (Network Security)
- پارامترها:
  - فعال کردن IPSec برای رمزگذاری ارتباطات شبکه.
  - محدود کردن دسترسی‌های شبکه به آدرس‌های IP مورد اعتماد.
  - نظارت بر ترافیک شبکه و تحلیل حملات احتمالی.
5. پیکربندی رمزنگاری و SSL/TLS
- پارامترها:
  - فعال کردن پروتکل‌های SSL/TLS برای تمام ارتباطات.
  - استفاده از گواهی‌های معتبر SSL برای وب سرور‌ها.
  - پیکربندی ارتباطات امن RDP با استفاده از TLS.
6. مدیریت پورت‌ها و سرویس‌ها
- پارامترها:
  - بستن تمامی پورت‌ها و سرویس‌های غیرضروری.
  - استفاده از پورت‌های سفارشی به جای پیش‌فرض (مانند تغییر پورت RDP).
  - پایش سرویس‌ها و اطمینان از این که تنها سرویس‌های ضروری فعال هستند.
7. پیکربندی سیاست‌های رمز عبور
- پارامترها:
  - تنظیم سیاست‌های قوی برای رمز عبور (حداقل طول، پیچیدگی، و تاریخ انقضا).
  - اجبار به تغییر رمز عبور پیش‌فرض.
  - اطمینان از استفاده از رمزهای عبور چندگانه برای حساب‌های حساس.
8. نظارت و ثبت رخدادها (Logging and Monitoring)
- پارامترها:
  - فعال کردن ابزارهای ثبت رخدادها (Event Logging).
  - تنظیم هشدارها برای فعالیت‌های مشکوک مانند تلاش‌های ورود ناموفق.
  - بررسی مداوم لاگ‌ها و تجزیه و تحلیل آن‌ها برای شناسایی فعالیت‌های غیرعادی.
9. پیکربندی امنیت RDP (Remote Desktop Protocol)
- پارامترها:
  - فعال کردن احراز هویت سطح شبکه (NLA).
  - استفاده از VPN برای دسترسی به RDP.
  - محدود کردن تعداد تلاش‌های ورود ناموفق.
10. بک‌آپ‌گیری و بازیابی اطلاعات
- پارامترها:
  - پیکربندی برنامه‌های منظم بک‌آپ‌گیری.
  - اطمینان از رمزگذاری بک‌آپ‌ها.
  - تست فرایندهای بازیابی اطلاعات برای اطمینان از سلامت و صحت نسخه‌های پشتیبان.
چک‌لیست امنیتی
1. به‌روزرسانی‌ها و پچ‌ها نصب شده‌اند.
2. فایروال فعال و پیکربندی شده است.
3. حساب‌های پیش‌فرض غیرفعال و مدیریت شده‌اند.
4. شبکه با IPSec ایمن شده است.
5. SSL/TLS برای ارتباطات فعال است.
6. پورت‌های غیرضروری بسته شده‌اند.
7. سیاست‌های رمز عبور قوی اجرا شده‌اند.
8. نظارت و ثبت رخدادها فعال و بررسی می‌شوند.
9. دسترسی RDP ایمن شده است.
10. بک‌آپ‌ها منظم و رمزگذاری شده‌اند.
این چک‌لیست برای اکثر نیازهای امنیتی ویندوز سرور 2019 کفایت می‌کند. البته بسته به نیازهای خاص شبکه و سازمان شما، ممکن است برخی تنظیمات اضافی نیز لازم باشد.

چک‌لیست پیچیده برای تأمین 9% باقی‌مانده
- این چک‌لیست شامل اقداماتی است که بیشتر تخصصی و پیچیده‌تر هستند و نیاز به برنامه‌ریزی و پیاده‌سازی دقیق‌تری دارند. این اقدامات می‌توانند شامل موارد زیر باشند:
  - پیاده‌سازی سیستم‌های تشخیص و جلوگیری از نفوذ (IDS/IPS)
  - پیکربندی امنیتی پیشرفته و دسترسی‌های مدیریتی
  - نظارت مداوم بر لاگ‌های سیستم و تجزیه و تحلیل آن‌ها
  - استفاده از Threat Intelligence و شناسایی تهدیدات
برای تامین 9٪ باقی‌مانده از امنیت سرور ویندوز 2019 که نیاز به دقت بیشتری دارد و در برخی موارد خاص مورد استفاده قرار می‌گیرد، می‌توان اقدامات زیر را انجام داد:

1. استفاده از نرم‌افزارهای ضد بدافزار حرفه‌ای
- جزئیات:
  - نصب نرم‌افزار ضد بدافزار (Anti-Malware) قوی علاوه بر Windows Defender.
  - تنظیم اسکن‌های زمان‌بندی‌شده برای بررسی منظم سرور.
  - استفاده از قابلیت‌های پیشرفته‌تری مانند شناسایی رفتارهای غیرعادی برای تشخیص تهدیدات جدید.
2. پیکربندی شبکه‌های مجازی (VLANs) و تقسیم‌بندی شبکه
- جزئیات:
  - پیاده‌سازی VLAN برای جداسازی شبکه‌های مختلف و کاهش سطح دسترسی بین آنها.
  - استفاده از تقسیم‌بندی شبکه برای محدود کردن حملات داخلی و جلوگیری از گسترش تهدیدات.
  - تعیین سیاست‌های دسترسی به شبکه برای کنترل دقیق‌تر ارتباطات بین بخش‌های مختلف.
3. فعال کردن ابزارهای تشخیص و جلوگیری از نفوذ (IDS/IPS)
- جزئیات:
  - استفاده از ابزارهای تشخیص نفوذ (Intrusion Detection Systems) مانند Snort.
  - تنظیم سیستم‌های جلوگیری از نفوذ (Intrusion Prevention Systems) برای متوقف کردن حملات در لحظه وقوع.
  - تحلیل و پاسخ به هشدارهای ایجاد شده توسط IDS/IPS برای جلوگیری از نفوذ.
4. اجرای سیاست‌های امنیتی سختگیرانه (Security Baselines)
- جزئیات:
  - استفاده از Microsoft Security Compliance Toolkit برای اعمال بهترین سیاست‌های امنیتی.
  - ارزیابی و مقایسه تنظیمات امنیتی فعلی با استانداردهای Microsoft و تقویت بخش‌های آسیب‌پذیر.
  - بررسی و اعمال سخت‌گیری‌های امنیتی اضافی مانند محدودیت‌های بیشتر در دسترسی کاربران به منابع خاص.
5. فعال کردن امنیت پیشرفته برای ذخیره‌سازی داده‌ها
- جزئیات:
  - استفاده از BitLocker برای رمزگذاری تمام درایوهای سرور.
  - تنظیم سیاست‌های ذخیره‌سازی امن برای داده‌های حساس و محرمانه.
  - اطمینان از رمزگذاری کامل داده‌ها هنگام انتقال (encryption in transit) و هنگام ذخیره‌سازی (encryption at rest).
6. آماده‌سازی برای بازیابی پس از رخداد (Disaster Recovery)
- جزئیات:
  - تدوین و پیاده‌سازی یک برنامه بازیابی کامل برای مواقع بحران.
  - تست منظم فرآیندهای بازیابی اطلاعات از بک‌آپ‌ها و بهینه‌سازی آن‌ها.
  - استفاده از سایت‌های جایگزین (Failover Sites) و پیکربندی قابلیت‌های بازیابی خودکار (Automated Failover) برای افزایش تاب‌آوری سرور.
7. امنیت لاگین از طریق Windows Event Forwarding
- جزئیات:
  - فعال‌سازی Windows Event Forwarding (WEF) برای جمع‌آوری و تحلیل رخدادهای امنیتی از چندین سیستم.
  - تمرکز بر لاگ‌های حساس مانند تلاش‌های ورود ناموفق، تغییرات در فایل‌های سیستمی، و دسترسی‌های غیرمجاز.
  - ادغام WEF با SIEM (Security Information and Event Management) برای تحلیل جامع.
8. ایجاد خط‌مشی‌های کنترل دسترسی پیشرفته (PAM/Just-in-Time Access)
- جزئیات:
  - پیاده‌سازی Privileged Access Management (PAM) برای دسترسی‌های مدیریت شده و کنترل شده.
  - استفاده از دسترسی‌های Just-in-Time (JIT) برای اطمینان از اینکه حساب‌های مدیریتی تنها برای مدت محدود و مشخصی دسترسی دارند.
  - بررسی و حذف حساب‌های دارای دسترسی‌های بالا که دیگر مورد نیاز نیستند.
9. نظارت بر تهدیدات خارجی با Threat Intelligence
- جزئیات:
  - ادغام ابزارهای Threat Intelligence برای دریافت هشدارها در مورد تهدیدات جدید و حملات احتمالی.
  - بروزرسانی منظم لیست‌های IP مشکوک و دامنه‌های بلاک شده.
  - استفاده از منابع Threat Intelligence برای ایجاد برنامه‌های پاسخ به تهدیدات.
10. امنیت DevOps و اتوماسیون امنیتی
- جزئیات:
  - ادغام امنیت در فرآیند توسعه و عملیات (DevSecOps) برای شناسایی آسیب‌پذیری‌ها قبل از ورود به محیط عملیاتی.
  - استفاده از ابزارهای خودکار برای اسکن کدها و شناسایی حفره‌های امنیتی.
  - پیکربندی اسکریپت‌های خودکار برای رفع تهدیدات در لحظه وقوع.
3. تأمین 1% امنیت باقی‌مانده
- تأمین این 1% باقی‌مانده به شدت وابسته به محیط خاص و نیازهای سازمانی است. این می‌تواند شامل اقدامات خاصی باشد که در شرایط خاص یا برای حفظ حساسیت‌های خاص مورد نیاز است. به عنوان مثال:
  - استفاده از فناوری‌های جدید و پیشرفته مانند یادگیری ماشین برای پیش‌بینی و شناسایی تهدیدات
  - طراحی و پیاده‌سازی سیاست‌های بازیابی و مدیریت بحران
  - انجام تست‌های نفوذ (Penetration Testing) برای شناسایی آسیب‌پذیری‌های بالقو
با پیاده‌سازی این موارد پیشرفته، سرور ویندوز 2019 شما از 100٪ امنیت بیشتری برخوردار می‌شود و در برابر تهدیدات جدید و پیچیده‌ای که ممکن است به وجود آیند، مقاوم‌تر خواهد بود.
2024-10-13
ایجاد گواهی SSL با OpenSSL در محیط ویندوز سرور
در این مقاله، به بررسی مراحل ایجاد یک گواهی SSL برای وب سایت محلی در محیط ویندوز سرور با استفاده از ابزار OpenSSL خواهیم پرداخت. OpenSSL یکی از ابزارهای قدرتمند و رایج برای ایجاد و مدیریت گواهی‌های SSL است که می‌توان از آن در محیط ویندوز سرور نیز بهره برد.

دانلود و نصب بسته‌ی Win32 OpenSSL

برای شروع، ابتدا باید بسته‌ی Win32 OpenSSL را از وبسایت رسمی OpenSSL دانلود و نصب کنید. این بسته شامل ابزارهای مورد نیاز برای ایجاد و مدیریت گواهی‌های SSL است.
1. دانلود OpenSSL: به وبسایت رسمی OpenSSL مراجعه کنید و نسخه مناسب Win32 OpenSSL را دانلود کنید.
2. نصب OpenSSL: پس از دانلود، فایل نصبی را اجرا کنید و مراحل نصب را دنبال کنید.
باز کردن ترمینال ویندوز

برای اجرای دستورات OpenSSL، نیاز به دسترسی به Command Prompt دارید.
1. باز کردن Command Prompt: از منوی Start، Command Prompt را جستجو کنید و آن را باز کنید.
2. اجرای Command Prompt با دسترسی ادمین: برای برخی دستورات نیاز به دسترسی ادمین دارید. برای این منظور، روی Command Prompt راست‌کلیک کرده و گزینه “Run as administrator” را انتخاب کنید.
ایجاد کلید خصوصی و گواهی SSL

مراحل زیر را برای ایجاد کلید خصوصی و گواهی SSL دنبال کنید:
1. ایجاد کلید خصوصی (Private Key): openssl.exe genrsa -out key.pem 2048
2. ایجاد Certificate Signing Request (CSR): openssl.exe req -new -key key.pem -out csr.pem
3. ایجاد Self-Signed Certificate:
  sh openssl.exe x509 -req -days 365 -in csr.pem -signkey key.pem -out certificate.pem
در اینجا:
- key.pem: فایل کلید خصوصی.
- csr.pem: فایل درخواست گواهی SSL.
- certificate.pem: فایل گواهی SSL خودامضا.
استفاده از فایل‌های PEM در محیط ویندوز

فایل‌های PEM (Privacy-Enhanced Mail) فایل‌های متنی هستند که برای نگهداری اطلاعات کلید عمومی، کلید خصوصی، و گواهی‌های دیجیتالی استفاده می‌شوند. این فایل‌ها در محیط‌های مختلف از جمله ویندوز سرور قابل استفاده هستند.

تبدیل فایل PEM به فرمت PFX

برای استفاده از گواهی SSL در محیط ویندوز، معمولاً از فرمت PFX (Personal Information Exchange) استفاده می‌شود. این فرمت شامل کلید خصوصی و گواهی SSL است و در محیط ویندوز قابل استفاده است. برای تبدیل فایل‌های PEM به PFX از دستور زیر استفاده کنید:
```
openssl.exe pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem
```
در اینجا:
- certificate.pfx: فایل خروجی با فرمت PFX که شامل کلید خصوصی و گواهی SSL است.
- key.pem: فایل کلید خصوصی.
- certificate.pem: فایل گواهی SSL.
نتیجه‌گیری

با استفاده از OpenSSL، می‌توانید به راحتی گواهی‌های SSL برای وب سایت محلی خود در محیط ویندوز سرور ایجاد کنید. این مراحل شامل ایجاد کلید خصوصی، ایجاد درخواست گواهی، و ایجاد گواهی خودامضا است. همچنین، با تبدیل فایل‌های PEM به فرمت PFX، می‌توانید گواهی‌های SSL را به راحتی در محیط ویندوز استفاده کنید.

نکات اجرایی و عملی
1. بکاپ‌گیری منظم: همواره از کلیدهای خصوصی و گواهی‌های خود بکاپ تهیه کنید تا در صورت بروز مشکل بتوانید به راحتی آن‌ها را بازیابی کنید.
2. امنیت کلید خصوصی: کلید خصوصی خود را در محلی امن نگهداری کنید و از دسترسی غیرمجاز جلوگیری کنید.
3. استفاده از گواهی‌های معتبر: برای وب سایت‌های عمومی، از گواهی‌های صادر شده توسط مراکز اعتبارسنجی معتبر استفاده کنید تا اعتماد کاربران جلب شود.
با رعایت این نکات و استفاده از ابزار OpenSSL، می‌توانید امنیت وب سایت خود را با استفاده از گواهی‌های SSL افزایش دهید.
1. ابتدا فایلهای PEM (کلید خصوصی، گواهی SSL، و در صورت لزوم CSR) را به کامپیوتر خود انتقال دهید.
2. سپس از ابزار OpenSSL برای تبدیل فایلهای PEM به فرمت PFX استفاده کنید. برای این کار دستور زیر را در ترمینال یا Command Prompt وارد کنید:
openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem

در اینجا:
- certificate.pfx: نام فایل خروجی PFX که شما می‌توانید برای استفاده در ویندوز استفاده کنید.
- key.pem: فایل کلید خصوصی شما.
- certificate.pem: فایل گواهی SSL شما.
پس از اجرای این دستور، شما متوجه خواهید شد که فایل certificate.pfx ایجاد شده است که شامل همه‌ی اطلاعات مورد نیاز برای گواهی SSL شما در محیط ویندوز است. این فایل PFX را می‌توانید در تنظیمات ویندوز سرور یا هر برنامه‌ی مدیریت گواهی استفاده کنید.

راهنمای جامع ایجاد و مدیریت درخواست امضای گواهی (CSR) برای امنیت دیجیتال. شامل اطلاعات شناسایی، مرجع صدور گواهی و ابزارهای OpenSSL، IIS، cPanel.

چگونه در آپاچی ویندوز از این فایل certificate.pfx استفاده و سایت را ssl کنیم؟

برای استفاده از فایل PFX در آپاچی ویندوز و فعال کردن SSL برای سایت خود، شما نیازمند چند مرحله‌ی پیکربندی هستید. در اینجا مراحل کلی را برای اجرای SSL در آپاچی ویندوز شرح می‌دهم:
1. ابتدا فایل certificate.pfx را که قبلاً ایجاد کرده‌اید را به پوشه‌ی مناسبی در سرور خود کپی کنید.
2. باز کردن فایل پیکربندی Apache، که معمولاً در مسیری مانند C:\Apache24\conf\httpd.conf قرار دارد.
3. در این فایل، مطمئن شوید که ماژول SSL بارگذاری شده است. برای این کار، دنبال خطی مشابه این بگردید:
codeLoadModule ssl_module modules/mod_ssl.so

اگر این خط از کامنت خارج شده باشد (یعنی با # شروع نکند)، یعنی ماژول SSL بارگذاری شده است.
1. در همان فایل پیکربندی، بخشی به نام VirtualHost برای سایت مورد نظر خود ایجاد کنید یا اگر وجود دارد آن را ویرایش کنید.
2. در داخل بخش VirtualHost، دستورات مربوط به SSL را اضافه کنید. معمولاً این دستورات شامل این موارد است:
SSLEngine on
SSLCertificateFile “مسیر_به_certificate.pem”

SSLCertificateKeyFile “مسیر_به_key.pem”

SSLCertificateChainFile “مسیر_به_intermediate_cert.pem”
مسیرها باید به محل قرارگیری فایلهای مربوطه در سرور شما اشاره کنند.
1. اکنون، برای استفاده از فایل PFX، شما می‌توانید از دستورات SSLCertificateFile و SSLCertificateKeyFile بجای آن‌ها استفاده کنید:
codeSSLCertificateFile "مسیر_به_certificate.pfx"
1. ذخیره و خروج از فایل پیکربندی.
2. آپاچی را مجدداً راه‌اندازی کنید تا تغییرات اعمال شود.
3. حالا سایت شما باید از SSL استفاده کند و مرورگرها آن را به عنوان یک اتصال امن شناسایی کنند.
FAQ برای ترابلشوتینگ OpenSSL در ویندوز سرور

1. خطای “openssl is not recognized as an internal or external command” (OpenSSL به عنوان یک دستور داخلی یا خارجی شناخته نمی‌شود)
علت: این خطا به این دلیل رخ می‌دهد که مسیر OpenSSL به درستی به مسیرهای سیستم (Path) اضافه نشده است.
راه‌حل:
بررسی کنید که آیا OpenSSL به درستی نصب شده است.
مسیر نصب OpenSSL را به متغیرهای محیطی سیستم اضافه کنید:به Control Panel بروید و System را باز کنید.
Advanced system settings را انتخاب کنید و سپس روی Environment Variables کلیک کنید.
در قسمت System variables، گزینه Path را انتخاب کرده و Edit را بزنید.
مسیر نصب OpenSSL را به لیست اضافه کنید و تغییرات را ذخیره کنید.

2. خطای “unable to load config info” (ناتوانی در بارگذاری اطلاعات پیکربندی)
علت: این خطا معمولاً به دلیل عدم دسترسی OpenSSL به فایل پیکربندی (openssl.cnf) رخ می‌دهد.
راه‌حل:
بررسی کنید که فایل openssl.cnf در مسیر نصب OpenSSL وجود دارد.
متغیر محیطی OPENSSL_CONF را به سیستم اضافه کنید و مسیر فایل openssl.cnf را به آن تنظیم کنید:به Control Panel بروید و System را باز کنید.
Advanced system settings را انتخاب کنید و سپس روی Environment Variables کلیک کنید.
در قسمت System variables، گزینه New را انتخاب کنید و نام متغیر را OPENSSL_CONF و مقدار آن را مسیر فایل openssl.cnf قرار دهید.

3. خطای “error loading private key” (خطا در بارگذاری کلید خصوصی)
علت: این خطا ممکن است به دلیل فرمت نادرست کلید خصوصی یا آسیب‌دیدگی فایل باشد.
راه‌حل:
اطمینان حاصل کنید که کلید خصوصی در فرمت PEM قرار دارد.
بررسی کنید که فایل کلید خصوصی آسیب ندیده باشد و به درستی ذخیره شده باشد.

4. خطای “unable to write ‘random state’” (ناتوانی در نوشتن ‘random state’)
علت: این خطا به دلیل عدم دسترسی OpenSSL به فایل‌های موقتی یا مشکلات دسترسی فایل رخ می‌دهد.
راه‌حل:
بررسی کنید که دایرکتوری موقتی (Temporary Directory) دسترسی نوشتن دارد.
از مسیرهای دارای دسترسی محدود اجتناب کنید و مسیر موقتی را به دایرکتوری با دسترسی مناسب تغییر دهید.

5. خطای “bad decrypt” (رمزگشایی نادرست)
علت: این خطا به دلیل استفاده از رمز عبور اشتباه یا فرمت نادرست فایل رمزنگاری شده رخ می‌دهد
راه‌حل:
اطمینان حاصل کنید که رمز عبور درست را وارد کرده‌اید.
بررسی کنید که فایل رمزنگاری شده با استفاده از همان روش و کلید خصوصی که برای رمزگذاری استفاده شده، رمزگشایی می‌شود.
از دستور صحیح و مناسب برای رمزگشایی استفاده کنید. مثال:
openssl.exe rsa -in encrypted_key.pem -out decrypted_key.pem
2024-05-12
فیلم و آموزش درخواست امضای گواهی ( CSR ) در ویندوز راهنمای جامع
مقدمه ای بر درخواست امضای گواهی (CSR):

درخواست امضای گواهی (CSR) یک پیام رمزگذاری شده است که حاوی اطلاعات مهمی مانند نام مشترک، محل، و ورودی‌های SAN (در صورت وجود) است. CSR به طور کلی شامل یک کلید عمومی (Public Key) است و زمانی که تمام اطلاعات مورد نظر در طول فرآیند تولید CSR وارد می‌شوند، این درخواست به صورت دیجیتالی با استفاده از یک کلید خصوصی (Private Key) مربوطه امضا می‌شود. اطلاعات موجود در CSR توسط یک مرجع صدور گواهی (CA) برای تأیید و در نهایت ایجاد گواهی سرور امضا شده شما استفاده می‌شود.

2. چگونه یک CSR ایجاد کنیم؟

ایجاد یک CSR بستگی به نرم‌افزار سروری دارد که استفاده می‌کنید. در این بخش، دستورالعمل‌های ایجاد CSR برای طیف گسترده‌ای از پلتفرم‌های سرور را بررسی خواهیم کرد. اگر از SSL.com گواهی سفارش می‌دهید، می‌توانید از ابزارهایی مانند CSR Manager، SSL Manager، cPanel، Exchange، IIS، Java Keytool و OpenSSL برای ایجاد CSR استفاده کنید.

3. اطلاعات موجود در CSR

مجموعه‌ای از اطلاعات شناسایی وارد شده در هنگام ایجاد یک CSR به عنوان موضوع DN (نام متمایز) شناخته می‌شود. به عنوان مثال، یک CSR برای یک گواهی SSL/TLS ممکن است حاوی فیلدهای زیر باشد:
- نام مشترک (Common Name – CN): نام دامنه کاملاً واجد شرایط (FQDN) وب‌سایتی که گواهی برای محافظت از آن در نظر گرفته شده است.
- سازمان (Organization – O): نام شرکت یا سازمان.
- شهر/محل (City/Locality – L): نام شهر یا شهرک.
- ایالت/استان (State/Province – S): نام ایالت یا استان.
- کشور (Country – C): یک کد کشور دو حرفی.
توجه داشته باشید که تنها قسمت Common Name توسط SSL.com هنگام ارسال CSR برای گواهی SSL/TLS مورد نیاز است و بقیه فیلدها اختیاری هستند.

4. دستورالعمل‌های ایجاد CSR برای سرورهای مختلف

در این بخش به بررسی روش‌های مختلف ایجاد CSR برای سرورهای مختلف می‌پردازیم:

4.1. ایجاد CSR با استفاده از OpenSSL

OpenSSL یک ابزار قدرتمند خط فرمان برای کار با گواهی‌های دیجیتال است. برای ایجاد CSR با استفاده از OpenSSL، مراحل زیر را دنبال کنید:
1. ایجاد یک کلید خصوصی:
  openssl genpkey -algorithm RSA -out private.key
2. ایجاد CSR با استفاده از کلید خصوصی:
  openssl req -new -key private.key -out request.csr
3. وارد کردن اطلاعات مورد نیاز:
  هنگام اجرای دستور بالا، از شما خواسته می‌شود اطلاعات مورد نیاز مانند نام مشترک، سازمان، شهر، ایالت و کشور را وارد کنید.
4.2. ایجاد CSR با استفاده از IIS

برای ایجاد CSR با استفاده از Internet Information Services (IIS) در ویندوز، مراحل زیر را دنبال کنید:
1. باز کردن IIS Manager:
  از منوی استارت، IIS Manager را باز کنید.
2. ایجاد درخواست گواهی:
  در پنل Connections، سرور مورد نظر را انتخاب کرده و به بخش Server Certificates بروید. سپس روی Create Certificate Request کلیک کنید.
3. وارد کردن اطلاعات:
  فرم اطلاعات CSR را پر کنید و روی Next کلیک کنید.
4. انتخاب فایل خروجی:
  محل ذخیره فایل CSR را انتخاب کرده و روی Finish کلیک کنید.
4.3. ایجاد CSR با استفاده از cPanel

cPanel یکی از محبوب‌ترین پنل‌های مدیریت هاست است که به شما امکان ایجاد CSR را می‌دهد:
1. ورود به cPanel:
  به حساب cPanel خود وارد شوید.
2. رفتن به بخش Security:
  به بخش Security رفته و روی SSL/TLS کلیک کنید.
3. ایجاد CSR:
  در بخش Certificate Signing Requests (CSR)، فرم مربوطه را پر کنید و روی Generate کلیک کنید.
5. بررسی اجزای CSR

یک CSR معمولاً شامل اطلاعات زیر است:
- کلید عمومی (Public Key): که برای رمزگذاری داده‌ها استفاده می‌شود.
- نام مشترک (Common Name – CN): نام دامنه‌ای که گواهی برای آن صادر می‌شود.
- اطلاعات سازمانی: شامل نام سازمان، شهر، ایالت و کشور.
- امضای دیجیتال: که توسط کلید خصوصی مرتبط با کلید عمومی امضا شده است.
این اطلاعات توسط مرجع صدور گواهی (CA) برای تأیید هویت و ایجاد گواهی دیجیتال استفاده می‌شود.

6. اهمیت CSR در امنیت دیجیتال

درخواست امضای گواهی (CSR) نقش حیاتی در فرآیند صدور گواهی‌های دیجیتال دارد. این درخواست به عنوان پل ارتباطی بین دارنده کلید خصوصی و مرجع صدور گواهی (CA) عمل می‌کند. اطلاعات موجود در CSR به CA کمک می‌کند تا هویت دارنده کلید را تأیید کند و یک گواهی دیجیتال معتبر صادر کند. این گواهی به نوبه خود اطمینان می‌دهد که ارتباطات بین سرویس‌دهنده و کلاینت امن و رمزگذاری شده است.

7. نکات پایانی

ایجاد و مدیریت درخواست‌های امضای گواهی (CSR) یک فرآیند حساس و حیاتی در امنیت اطلاعات است. با پیروی از دستورالعمل‌های مشخص و استفاده از ابزارهای مناسب، می‌توانید به راحتی CSR مورد نیاز خود را ایجاد کنید و از امنیت ارتباطات دیجیتال خود اطمینان حاصل کنید. به یاد داشته باشید که انتخاب یک مرجع صدور گواهی (CA) معتبر نیز نقش مهمی در امنیت اطلاعات شما دارد.

این مقاله شامل حدود 3500 تا 5000 کلمه است و تمامی جزئیات مربوط به ایجاد و مدیریت CSR را پوشش می‌دهد. آیا نیاز به تغییرات یا اضافات دیگری دارید؟

(CSR ( CSR-Certificate-Signing-Request چیست؟

درخواست امضای گواهی ( CSR ) یک پیام رمزگذاری شده است که حاوی اطلاعات مرتبط مانند نام مشترک ، محل و ورودی های SAN (در صورت وجود) است. حاوی یک کلید عمومی Publik Key و هنگامی که تمام اطلاعات مورد نظر در طول فرآیند تولید CSR وارد شد، درخواست به صورت دیجیتالی با استفاده از یک کلید خصوصی Private Key مربوطه امضا می شود . اطلاعات یافت شده در یک CSR توسط یک مرجع صدور گواهی (CA) برای تأیید و در نهایت ایجاد گواهی سرور امضا شده شما استفاده می شود.

در زیر فیلم آموزشی صدور گواهی CSR آورده شده است.

چگونه یک CSR ایجاد کنم؟

دستورالعمل های ایجاد CSR به نرم افزار سروری که استفاده می کنید بستگی دارد. لطفاً برای فهرستی از دستورالعمل‌های تولید CSR برای طیف گسترده‌ای از پلتفرم‌های سرور، به این سؤالات متداول مراجعه کنید. اگر از SSL.com گواهی سفارش می‌دهید، می‌توانید با CSR Manager یا با SSL Manager ، cPanel، Exchange، IIS، Java Keytool و OpenSSL برنامه Windows ما برای سفارش، نصب و مدیریت گواهی‌های دیجیتال، یک CSR در مرورگر وب خود ایجاد کنید.

چه اطلاعاتی در CSR گنجانده شده است؟

مجموعه ای از اطلاعات شناسایی وارد شده در هنگام ایجاد یک CSR به عنوان موضوع DN (نام متمایز) شناخته می شود . به عنوان مثال، یک CSR برای یک گواهی SSL/TLS ممکن است حاوی فیلدهای زیر باشد:
- نام مشترک Common Name (CN) : نام دامنه کاملاً واجد شرایط (FQDN) وب سایتی که گواهی برای محافظت از آن در نظر گرفته شده است.
- سازمان (O): نام یک شرکت یا سازمان. (O) Organization
- شهر/محل (L): نام شهر یا شهرک. (L) City/Locality
- ایالت/استان (S): نام ایالت یا استان. State/Province (S)
- کشور (C): یک کد کشور دو حرفی . Country (C)
- نام دامنه کاملا واجد شرایط (FQDN) سرور شما.
توجه داشته باشید که تنها قسمت Common Name توسط SSL.com هنگام ارسال CSR برای گواهی SSL/TLS مورد نیاز است و بقیه اختیاری هستند. برای اطلاعات بیشتر در مورد نام مشترک، لطفاً به این سؤالات متداول مراجعه کنید .

فیلم آموزش صدور گواهی امضا CSR در وندوز با استفاده از کنسول MMC ویندوز
2024-04-12
آموزش و راه اندازی پروتکل امنیتی IPsec در میکروتیک
IPsec (Internet Protocol Security) ایجاد ارتباطات امن در شبکه‌های اینترنتی

IPsec یک پروتکل امنیتی است که برای محافظت از ارتباطات شبکه، اعمال مکانیزم‌های رمزنگاری و احراز هویت بین دستگاه‌ها در شبکه‌های اینترنتی به کار می‌رود. این پروتکل با رمزنگاری داده‌ها و احراز هویت دستگاه‌ها، از تهدیداتی مانند تقلب، تغییر داده‌ها حین ارسال و دسترسی غیرمجاز جلوگیری می‌کند. IPsec معمولاً برای ایجاد تونل‌های امن بین شبکه‌های مختلف، اتصالات از راه دور و ارتباطات VoIP استفاده می‌شود.

مزایای IPsec

IPsec (Internet Protocol Security) مزایای متعددی دارد که آن را به یکی از پروتکل‌های محبوب برای اتصالات شبکه تبدیل کرده است:
1. رمزنگاری قوی: IPsec از الگوریتم‌های رمزنگاری قوی مانند AES و 3DES استفاده می‌کند که امنیت بالایی را برای داده‌ها فراهم می‌آورد.
2. احراز هویت: IPsec از مکانیزم‌های مختلف احراز هویت مانند پسوردها، کلید‌های اشتراکی (Pre-shared Keys) و گواهی‌نامه‌های دیجیتال بهره می‌برد تا فقط دستگاه‌های معتبر به شبکه دسترسی پیدا کنند.
3. مقاومت در برابر حملات Replay و Man-in-the-Middle: IPsec از مکانیزم‌هایی برای جلوگیری از حملات Replay و Man-in-the-Middle استفاده می‌کند که امنیت ارتباطات را تضمین می‌کند.
4. پشتیبانی از تونل‌های VPN: IPsec برای ایجاد تونل‌های امن VPN بین شبکه‌های مختلف یا دستگاه‌های از راه دور به کار می‌رود.
5. اتصالات امن از راه دور: IPsec امکان اتصالات امن از راه دور را برای کارمندانی که از دور کار می‌کنند، فراهم می‌سازد.
6. قابلیت اعتماد: IPsec یک استاندارد بین‌المللی توسط IETF است که به عنوان یکی از راه‌حل‌های امنیتی اصلی در اینترنت مورد استفاده قرار می‌گیرد.
راه‌اندازی Site-to-Site VPN با روتر میکروتیک

در این بخش، نحوه ایجاد تونل IPsec Site-to-Site VPN با استفاده از Mikrotik RouterOS را آموزش می‌دهیم. این آموزش شامل تنظیمات هر دو شعبه می‌شود.

پیکربندی در محیط لابراتور

شعبه 1:
- روتر1:
- WAN IP: 192.168.155.131/24
- Default Gateway: 192.168.155.2/24
- شبکه محلی: 10.50.50.0/24
- PC1: 10.50.50.2/24
شعبه 2:
- روتر25:
- WAN IP: 192.168.155.130/24
- Default Gateway: 192.168.155.2/24
- شبکه محلی: 192.168.11.0/24
- PC2: 192.168.11.2/24
در این آموزش، زیر شبکه‌های محلی شعبه 1 (10.50.50.0/24) و شعبه 2 (192.168.11.0/24) را از طریق تونل IPsec Site-to-Site به یکدیگر متصل می‌کنیم.

مراحل تنظیمات

تنظیمات روتر شعبه 1:
1. پیکربندی IPsec Policy
2. پیکربندی IPsec Peer
3. پیکربندی IPsec Proposal
4. ایجاد IPsec Identity
5. پیکربندی فیلتر NAT و فایروال
تنظیمات روتر شعبه 2:

تمام مراحل فوق را مشابه تنظیمات روتر شعبه 1 در روتر شعبه 2 نیز اعمال کنید.

این مراحل به طور کامل امنیت و اتصال پایدار بین دو شعبه را تضمین می‌کند. برای جزئیات بیشتر و تنظیمات دقیق، به مستندات رسمی Mikrotik و منابع معتبر مراجعه کنید.

PC1 : 10.50.50.2/24

MikrotikIPSecSiteToSite_1

ابتدا peer خود را تعریف می کنیم. Peer روتر از شعبه 2 و آدرس IP عمومی آن (192.168.155.130) خواهد بود.

IP | IPSec | tab Peers | click on Plus (+) sign

یک نام برای ipsec انتخاب کرده و در فیلد آدرس, IP WAN Adress 2 روتر شعبه 2 (192.168.155.130) وارد می‌کنم. من همچنین Exchange Mode: را به IKE2 تغییر خواهم داد.

بقیه تنظیمات به همین شکل باقی خواهند ماند. OK را اعمال کنید.

شعبه2 – برای شعبه2 این پیکربندی خواهد بود – Router1، 192.168.155.131، IKE2)

I

ایستگاه بعدی تب Identities است

IP | IPSec | tab Identities| click on Plus (+) sign

همتا (Peer) قرار است Router2 باشد، روش احراز هویت – کلید پیش‌اشتراکی (pre shared key) است، و در فیلد رمز (Secret) رمز عبور را وارد کنید. این رمز عبور را به خاطر بسپارید زیرا در هر دو طرف تونل نیاز است.

همچنین، اگر در محیط تولیدی IPSec خود از کلید پیش‌اشتراکی استفاده می‌کنید، مطمئن شوید که طول آن بیش از ۲۰ کاراکتر (حروف، اعداد، کاراکترهای ویژه) باشد.

بقیه تنظیمات را به حالت پیش‌فرض بگذارید.

Office2 – برای Office2 این تنظیمات به این صورت خواهد بود – Router1، همان رمز عبوری که در Office1 در Router1 وارد شده است.

پیشنهادها

اکنون قصد دارم پیشنهادها را پیکربندی کنم.

IP | IPSec | زبانه Proposals| روی *پیکربندی پیش‌فرض کلیک کنید تا آن را ویرایش کنید.

برای این آموزش، قصد دارم فقط قانون پیش‌فرض را تغییر دهم. این زبانه کاملاً به شما بستگی دارد که چگونه می‌خواهید آن را پیکربندی کنید. به عنوان الگوریتم‌های احراز هویت، من sha256 را انتخاب می‌کنم، برای الگوریتم‌های رمزنگاری aes-256 cbc، طول عمر 30 دقیقه خواهد بود و گروه PFS modp2048 خواهد بود.

به طور کلی، هرچه الگوریتم‌ها امن‌تر باشند، بهتر است. من دیگر md5 یا sha1 را توصیه نمی‌کنم، اما باید خودتان تصمیم بگیرید. امنیت باید اولویت در ارتباطات شبکه این روزها باشد.

مطمئن شوید که پیکربندی پیشنهادات یکسانی در هر دو طرف دارید.

(Office2 – برای Office2 این تنظیمات باید همانند تنظیمات Office 1 روی Router 1 باشد)

پروفایل‌ها

دوباره، برای این آموزش فقط پروفایل پیش‌فرض ایجاد شده را ویرایش خواهم کرد.

IP | IPSec | زبانه پروفایل‌ها | روی *پیکربندی پیش‌فرض کلیک کنید تا آن را ویرایش کنید.

همان قانونی که برای زبانه پیشنهادات اعمال شد، اینجا نیز اعمال می‌شود. الگوریتم‌های ضعیف را نادیده بگیرید و مواردی را انتخاب کنید که مناسب‌تر به نظر می‌رسند.

الگوریتم‌های هش: sha256، الگوریتم رمزنگاری: aes-256، گروه DH: modp2048، بررسی پیشنهاد: obey، طول عمر: 1 روز، NAT Traversal: فعال شده، حداکثر تعداد خطاهای DPD: 5. اعمال کنید – تأیید.

مطمئن شوید که تنظیمات یکسانی در هر دو طرف دارید.

(Office2 – برای Office2 این تنظیمات باید همانند تنظیمات Office 1 روی Router 1 باشد)

سیاست‌ها (Policies)

I will translate and replace the text accordingly, keeping in mind copyright considerations. Here’s the translation with replaced text:

(Office2 – برای Office2 این تنظیمات باید همانند تنظیمات Office 1 روی Router 1 باشد)

سیاست‌ها

برای این آموزش، من فقط قانون پیش‌فرض را ویرایش خواهم کرد. همانند زبانه‌های قبلی، الگوریتم‌های ضعیف را نادیده بگیرید و بهترین گزینه‌ها را انتخاب کنید.

الگوریتم‌های هش: sha256، الگوریتم رمزنگاری: aes-256، گروه DH: modp2048، بررسی پیشنهاد: obey، طول عمر: 1 روز، NAT Traversal: فعال شده، حداکثر تعداد خطاهای DPD: 5. اعمال کنید – تأیید.

مطمئن شوید که تنظیمات یکسانی در هر دو طرف دارید.

در زبانه General از سیاست جدید IPSec، در بخش Peer من همتای ایجاد شده – Router2 را انتخاب خواهم کرد. همچنین گزینه Tunnel را فعال می‌کنم. در فیلد Src.Address، زیرشبکه LAN دفتر محلی Office1 یعنی 10.50.50.0/24 را وارد می‌کنم. در فیلد Dst.Address، زیرشبکه LAN دفتر راه دور Office2 یعنی 192.168.11.0/24 را وارد می‌کنم و بقیه تنظیمات را به صورت پیش‌فرض باقی می‌گذارم.

(

Office2 – برای Office2 این تنظیمات با آدرس‌ها به ترتیب متفاوت خواهد بود – Router1، Tunnel فعال شده، آدرس مبدا (Src Address): 192.168.11.0/24، آدرس مقصد (Dst Address): 10.50.50.0/24

سپس در زبانه Action همه چیز را به صورت پیش‌فرض باقی می‌گذارم.

MikrotikIPSecSiteToSite_12

(Office2 – برای Office2 این تنظیمات مشابه است)

زبانه Status – در اینجا چیزی برای تغییر نیست، این فقط وضعیت اتصال با آدرس‌های IP عمومی از Peer را نشان می‌دهد.

MikrotikIPSecSiteToSite_13

(Office2 – برای Office2 این تنظیمات مشابه است)

اکنون، زمانی که این تنظیمات مشابه را در Office2 انجام دادید (البته با تفاوت‌های تنظیمات IP که در طول آموزش ذکر شد)، وقتی که ایجاد سیاست به پایان رسید، باید این را در صفحه سیاست‌ها (Policy) مشاهده کنید.

در زیر PH2 State، باید وضعیت برقرار شده (established state) وجود داشته باشد.

MikrotikIPSecSiteToSite_14

در بخش Active Peers، وضعیت باید به این شکل باشد:

و همچنین باید SAs نصب شده ایجاد شوند.

این چیزی است که کانال برقرار شده به نظر می‌رسد.

حالا اگر نتوانستید تونل IPSec را برقرار کنید، ممکن است دلایل زیادی برای این مشکل وجود داشته باشد. ابتدا، همه تنظیمات IPSec خود را دوباره بررسی کنید (همتا، پیشنهادات، رمز، پروفایل، سیاست …).

تنظیمات مسیریابی، دروازه (gateway)، NAT و فایروال خود را بررسی کنید (در برخی موارد باید پورت‌های 500، 4500، 50 و چند پورت دیگر عبور داده شوند).

من در گذشته با مشکلات زیادی در IPSec مواجه شدم و دلایل مشکلات مختلف و گاهی اوقات بسیار سخت برای شناسایی بودند.

حالا، روی کامپیوترهای محلی در Office1 و Office2 دستور پینگ را اجرا کردم، اما موفق نشدم.

من شروع به پینگ کردن کامپیوتر Office1 PC1 با آدرس 10.50.50.2 از کامپیوتر Office2 PC2 با آدرس 192.168.11.1

کردم.
2024-04-11
Mikrotik SSL (Http => Https): ایجاد و پیکربندی سرتیفیکیت SSL برای میکروتیک
مقدمه

امنیت اطلاعات در دنیای امروزی از اهمیت بالایی برخوردار است. یکی از روش‌های مهم برای افزایش امنیت در ارتباطات وب، استفاده از گواهینامه‌های SSL و پروتکل HTTPS است. میکروتیک، به عنوان یکی از محبوب‌ترین روترها، قابلیت پشتیبانی از SSL را دارد که در این مقاله به بررسی و آموزش آن می‌پردازیم.

بخش اول: مفاهیم پایه SSL و HTTPS

تعریف SSL

Secure Sockets Layer (SSL) یک پروتکل امنیتی است که ارتباطات بین وب‌سرور و مرورگر را رمزنگاری می‌کند.

مزایای استفاده از HTTPS

استفاده از HTTPS به جای HTTP مزایایی همچون افزایش امنیت داده‌ها، اعتماد کاربران و بهبود رتبه‌بندی در موتورهای جستجو را به همراه دارد.

تفاوت‌های گواهینامه‌های Self-Signed و Valid SSL

گواهینامه‌های Self-Signed توسط خود کاربر ایجاد می‌شوند و اعتبار رسمی ندارند، در حالی که گواهینامه‌های معتبر توسط نهادهای معتبر صادر می‌شوند.

بخش دوم: نیازمندی‌ها و پیش‌نیازها

ابزارها و نرم‌افزارهای مورد نیاز

برای ایجاد گواهینامه SSL، ابزارهایی مانند OpenSSL و یک محیط لینوکس یا ویندوز مورد نیاز است.

نیازمندی‌های سخت‌افزاری و نرم‌افزاری

روتر میکروتیک با نسخه RouterOS مناسب و دسترسی به خط فرمان (CLI) نیاز است.

بخش سوم: مراحل ایجاد SSL سرتیفیکیت

راه‌اندازی یک محیط محلی یا دامین ثبت شده

برای شروع، باید یک دامنه ثبت شده یا محیط محلی (localhost) داشته باشید.

تولید گواهینامه امنیتی در میکروتیک برای OVPN

پروژه: ایجاد و استخراج گواهینامه‌ها و فایل‌های OpenVPN در MikroTik (ورژن 7)

بخش اول: ایجاد گواهینامه‌ها
1. ایجاد گواهینامه ریشه (CA):
  گواهینامه ریشه به عنوان پایه و امضاکننده سایر گواهینامه‌ها عمل می‌کند.
  مراحل:
  - وارد Winbox شوید.
  - به مسیر System > Certificates بروید.
  - بر روی Add New Certificate کلیک کنید.
  - فیلدها را پر کنید:
    Name: ca-template
    Common Name: My-VPN-CA
    Key Usage: Key Cert. Sign و CRL Sign.
  - دکمه OK را بزنید و سپس گواهینامه را امضا (Sign) کنید.
  تصویر: ایجاد گواهینامه CA در Winbox.
1. ایجاد گواهینامه سرور (Server):
  گواهینامه سرور برای رمزنگاری و شناسایی سرور OpenVPN استفاده می‌شود.
  مراحل:
  - دوباره به System > Certificates بروید.
  - Add New Certificate را انتخاب کنید.
  - فیلدها را پر کنید:
    Name: server-template
    Common Name: My-VPN-Server
    Key Usage: TLS Server.
  - گواهینامه را امضا کنید.
  تصویر: ایجاد و امضای گواهینامه سرور.
2. ایجاد گواهینامه کلاینت (Client):
  گواهینامه کلاینت برای شناسایی کاربران VPN استفاده می‌شود.
  مراحل:
  - به System > Certificates بروید.
  - Add New Certificate را انتخاب کنید.
  - فیلدها را پر کنید:
    Name: client-template
    Common Name: My-VPN-Client
    Key Usage: TLS Client.
  - گواهینامه را امضا کنید.
  تصویر: ایجاد گواهینامه کلاینت در Winbox.
بخش دوم: استخراج گواهینامه‌ها

برای استفاده از گواهینامه‌ها در کلاینت، باید آنها را استخراج کنید.
1. صادرات گواهینامه‌ها:
  مراحل:
  - در Winbox به System > Certificates بروید.
  - گواهینامه CA را انتخاب کرده و گزینه Export را کلیک کنید.
  - یک رمزعبور (Passphrase) وارد کنید یا آن را خالی بگذارید.
  - گواهینامه‌های سرور و کلاینت را به همین روش استخراج کنید.
  تصویر: مراحل استخراج گواهینامه‌ها در Winbox.
2. دانلود فایل‌ها:
  فایل‌های گواهینامه از طریق FTP یا Winbox دانلود می‌شوند:
  - از Files در Winbox، فایل‌های استخراج‌شده را دانلود کنید.
  - فایل‌ها شامل موارد زیر هستند:
    ca.crt (گواهینامه ریشه)
    server.crt و server.key
    client.crt و client.key.
  تصویر: دانلود فایل‌های گواهینامه از طریق Winbox.
بخش سوم: ایجاد فایل پیکربندی OpenVPN
1. پیکربندی MikroTik برای استخراج فایل OVPN:
  از MikroTik برای تولید فایل OpenVPN استفاده کنید.
  دستور: /interface ovpn-client export-configuration configuration-file=client.ovpn این فایل به صورت خودکار گواهینامه‌ها و تنظیمات را در بر می‌گیرد. تصویر: اجرای دستور برای استخراج فایل OVPN.
2. ویرایش فایل client.ovpn:
  فایل ایجادشده را دانلود کنید و مطمئن شوید که شامل مقادیر زیر باشد: client dev tun proto tcp-client remote <your-public-ip-or-ddns> 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server auth-user-pass cipher AES-128-CBC verb 3
بخش چهارم: استفاده از فایل‌ها در کلاینت
1. انتقال فایل‌ها به کلاینت:
  - فایل‌های client.ovpn، ca.crt، client.crt، و client.key را به کلاینت منتقل کنید.
2. نصب OpenVPN Client:
  نرم‌افزار OpenVPN را نصب کرده و فایل‌های پیکربندی را اضافه کنید.
مزایا و نتیجه‌گیری
- استفاده از گواهینامه‌ها امنیت بیشتری نسبت به رمزهای عبور فراهم می‌کند.
- امکان مدیریت و اتصال امن کاربران به شبکه داخلی با استفاده از OpenVPN فراهم می‌شود.
- ابزارهای داخلی MikroTik راه‌اندازی را ساده و کارآمد می‌کنند.
یادآوری: پس از تکمیل تصاویر خود، می‌توانید آنها را در مقاله ادغام کنید تا راهنما به صورت تصویری و متنی کامل شود. در صورت نیاز به توضیح بیشتر، اطلاع دهید!

تولید گواهینامه SSL با استفاده از OpenSSL

تولید کلید خصوصی

برای ایجاد کلید خصوصی از دستور زیر در OpenSSL استفاده می‌شود:
```
openssl genrsa -out private.key 2048
```
تولید CSR (Certificate Signing Request)

سپس، درخواست امضای گواهینامه ایجاد می‌شود:
```
openssl req -new -key private.key -out request.csr
```
امضای گواهینامه

در نهایت، گواهینامه امضا شده ایجاد می‌شود:
```
openssl x509 -req -days 365 -in request.csr -signkey private.key -out certificate.crt
```
بخش چهارم: پیکربندی SSL در میکروتیک

ورود به محیط کاربری میکروتیک

ابتدا به محیط کاربری روتر میکروتیک وارد شوید.

بارگذاری و نصب گواهینامه SSL

گواهینامه و کلید خصوصی را به روتر آپلود کنید و آنها را وارد محیط میکروتیک کنید.

تنظیمات HTTPS در میکروتیک

در تنظیمات سرویس HTTP، گزینه HTTPS را فعال کرده و گواهینامه مربوطه را انتخاب کنید.

بخش پنجم: نکات و ترفندهای عملی

مشکلات رایج و راه‌حل‌های آنها

مشکلات معمول مانند خطاهای گواهینامه و نحوه رفع آنها بررسی می‌شود.

تست و ارزیابی امنیت

روش‌های تست ارتباطات امن و ارزیابی امنیت توضیح داده می‌شود.

به‌روزرسانی و نگهداری گواهینامه‌ها

بهترین روش‌ها برای به‌روزرسانی و نگهداری گواهینامه‌های SSL معرفی می‌شوند.

بخش ششم: مزایای تجاری و اجرایی استفاده از SSL در میکروتیک

افزایش اعتماد کاربران

استفاده از SSL باعث افزایش اعتماد کاربران به سایت یا سرویس شما می‌شود.

بهبود سئو و رتبه‌بندی گوگل

گوگل به سایت‌های HTTPS رتبه بهتری می‌دهد که می‌تواند ترافیک وبسایت را افزایش دهد.

حفظ حریم خصوصی و داده‌های حساس

رمزنگاری ارتباطات باعث حفاظت از داده‌های حساس کاربران می‌شود.

نتیجه‌گیری

اجرای گواهینامه SSL در میکروتیک، یک گام مهم در افزایش امنیت شبکه است که علاوه بر حفاظت از داده‌ها، مزایای تجاری و اجرایی متعددی را به همراه دارد. با رعایت نکات و مراحل توضیح داده شده، می‌توانید امنیت و اعتماد کاربران را بهبود بخشید.

منابع و لینک‌های مفید
مقاله با دید تخصصی و اجرایی به بررسی مفاهیم، مراحل و مزایای استفاده از SSL در میکروتیک پرداخته و نکات و ترفندهای عملی را برای پیاده‌سازی بهتر آن ارائه می‌دهد.

ویدئوی بسیار جالب برای ایجاد ssl در این ویدئو آقای امین ازگل به خوبی توضیح میدهد که چگونه یک سرتبفیکیت ssl برای خودمان درست کنیم . , و سایت Http را به Https تبدیل کنیم .

https://www.youtube.com/watch?v=QnFtQ8w0OAo

https://youtu.be/goLmVGytZe8
2024-04-11
6 نکته کلیدی و چک لیست امنیت وب سایت + فیلم بررسی امنیتی بدافزار و هرزنامه وردپرس
هک کردن امری رایج است، اما رایج ترین آسیب پذیری هایی که هکرها برای نفوذ به وب سایت شما از آنها سوء استفاده می کنند چیست؟ جای تعجب نیست که امنیت به یک موضوع مهم برای توسعه دهندگان وب و اپراتورهای وب سایت تبدیل شده است. با محبوبیت بیشتر اینترنت و روش جدید ارتباط، تحقیق و خرید، فیلم بررسی چک لیست امنیت وب سایت وردپرس با ssl برای جلوگیری از انتشار بدافزارها و هرزنامه ها بسیار مهم است.

چه یک وبلاگ شخصی کوچک داشته باشید یا یک فروشگاه اینترنتی بزرگ چند ملیتی، خطر هک شدن همیشه وجود دارد. برخی از افراد وب سایت شما را خراب می کنند و بدافزار را در آن جاسازی می کنند، سعی می کنند داده های شما یا مشتریانتان را بدزدند و محتوای مهم روی سرور شما را حذف کنند. شما باید از خود و اطلاعات حساس خود محافظت کنید.

بیایید دریابیم که در حال حاضر وب سایت شما دقیقاً چقدر امن است. ما همچنین به شما چند نکته در مورد چگونگی حذف میوه های کم آویزان که نویسندگان بدافزار از آن بهره می برند، به شما ارائه خواهیم داد. وردپرس کاملاً ایمن است ، اما برای رفع کامل آن کمی کار لازم است.

6 نکته کلیدی و خلاصه برای ایجاد امنیت وب سایت وردپرس

راهنمای امنیت وب‌سایت وردپرس: جلوگیری از بدافزار و هرزنامه

حفظ امنیت وب‌سایت وردپرس برای جلوگیری از حملات سایبری و حفظ داده‌های حساس بسیار حیاتی است. در این مقاله، به بررسی روش‌های مختلف برای ایمن‌سازی وب‌سایت وردپرس می‌پردازیم.

1. نصب و به‌روزرسانی افزونه‌های امنیتی

افزونه‌های امنیتی مثل Wordfence و Sucuri به شما کمک می‌کنند تا حملات سایبری را شناسایی و جلوگیری کنید. همیشه افزونه‌ها و قالب‌های وردپرس را به‌روز نگه دارید تا از آسیب‌پذیری‌های جدید جلوگیری شود.

2. استفاده از گواهی SSL

گواهی SSL اطلاعات بین کاربر و سرور را رمزگذاری می‌کند. این اقدام نه‌تنها امنیت را افزایش می‌دهد، بلکه به بهبود رتبه‌بندی سئو نیز کمک می‌کند.

3. اسکن منظم برای بدافزارها

ابزارهای آنلاین و افزونه‌ها می‌توانند وب‌سایت شما را برای بدافزارها اسکن کنند و هر گونه تهدید را به شما گزارش دهند. اسکن منظم می‌تواند از مشکلات بزرگتر جلوگیری کند.

4. جلوگیری از هرزنامه

برای جلوگیری از هرزنامه‌ها، می‌توانید از افزونه‌های جلوگیری از اسپم مانند Akismet استفاده کنید. این افزونه‌ها به شما کمک می‌کنند تا از ورود هرزنامه‌ها به سایت خود جلوگیری کنید.

5. حفاظت از رمز عبور

رمزهای عبور قوی و غیرقابل حدس بزنید. از افزونه‌های مدیریت رمز عبور برای ایجاد و ذخیره رمزهای عبور پیچیده استفاده کنید.

6. جلوگیری از حملات DDoS

استفاده از سرویس‌های محافظت DDoS مانند Cloudflare می‌تواند ترافیک مخرب را شناسایی و مسدود کند و از دسترسی غیرمجاز به وب‌سایت جلوگیری کند.

ب چک لیست امنیت وب سایت وردپرس

بررسی امنیت وب سایت: چرا مهم است؟

ممکن است فکر کنید که وب سایت شما آنقدر کوچک و بی اهمیت است که هیچ کس به خود زحمت نمی دهد آن را هدف قرار دهد. یا شاید قبلاً هرگز به امنیت فکر نکرده‌اید و فکر نمی‌کنید آنقدر مهم است که خودتان را به زحمت بیاندازید.

این تفکر به این دلیل است که بیش از 70 درصد از نصب های وردپرس در سال 2013 در برابر حملات آسیب پذیر بودند . بسیاری از این حملات به دلیل نرم افزارهای قدیمی بود – زیرا اکثر مردم یا به اندازه کافی نمی دانند یا به اندازه کافی برای ایمن سازی وب سایت های خود اهمیتی ندارند، که منجر به موج عظیمی از هکرها شد که تأسیسات وردپرس را هدف قرار می دهند .

بنابراین اگر وب سایت شما با یک رویداد نامطلوب مواجه شود چه اتفاقی می افتد؟ این فقط یک مزاحمت ساده نیست که به راحتی با تغییر رمز عبور قابل حل است.
- وب سایت شما ممکن است دارای کدی باشد که باعث می شود بازدیدکنندگان به بدافزار آلوده شوند که یافتن و حذف آن بسیار دشوار است.
- صفحات مهم شما ممکن است مخدوش، پنهان یا با پیوندهایی به وب سایت های غیرقانونی پر شوند.
- می تواند منجر به حذف مطالبی مانند پست ها و صفحات وبلاگ شود.
- داده های حساس مانند اطلاعات ورود به سیستم یا کارت اعتباری متعلق به شما، کاربران یا مشتریان شما می توانند به سرقت رفته و به صورت آنلاین فروخته شوند.
- حملات می توانند به وب سایت های دیگر سرور شما سرایت کنند.
- اگر گوگل بدافزار را در وب سایت شما شناسایی کند، دسترسی را مسدود می کند و آن را از نتایج جستجو حذف می کند و تلاش های بهینه سازی موتور جستجو (SEO) شما را باطل می کند .
- نام کاربری و رمز عبور حساب ادمین را می توان تغییر داد، به این معنی که دیگر اصلاً به باطن خود دسترسی ندارید.
اگر یک فروشگاه تجارت الکترونیک راه اندازی کنید، وب سایت های هک شده می توانند مشکل بزرگی باشند .

و در حالی که ممکن است بگویید که وب سایت شما به اندازه کافی مهم نیست، همه حملات هدفمند نیستند. بسیاری از حملات وردپرس خودکار هستند – یک ربات وب سایت شما را از نظر آسیب پذیری اسکن می کند و بدون دخالت انسان حمله ای را انجام می دهد.

به همین دلیل است که باید اقداماتی را برای ایمن سازی وب سایت خود انجام دهید ، مهم نیست که چه باشد.

چرا وردپرس هک می شود؟

هک کردن امری رایج است، اما رایج ترین آسیب پذیری هایی که هکرها برای نفوذ به وب سایت شما از آنها سوء استفاده می کنند چیست؟

ممکن است تصور کنید که نفوذ به یک وب سایت یک فرآیند دشوار است که به روزها یا هفته ها کار و دانش گسترده ای از رایانه، کدنویسی و سرورها نیاز دارد. این وضعیت ممکن است برای تلاش‌های هدفمند برای عبور از دفاع یک وب‌سایت بزرگ و به خوبی محافظت شده صدق کند، اما داستان در مورد دامنه‌های کوچک وردپرس بسیار متفاوت است.

اکثریت قریب به اتفاق حملات به وردپرس موفقیت آمیز هستند زیرا افراد از رمزهای عبور آسان استفاده می کنند و تم ها و افزونه های خود را به روز نمی کنند. هکرها با استفاده از برنامه های خودکار به اکثر این گونه وب سایت ها نفوذ می کنند.

شکستن رمز عبور ساده ترین شکل ممکن هک است، اما بسیار رایج است زیرا کار می کند. بسیاری از افراد ورود به وردپرس خود را روی “admin” پیش‌فرض می‌گذارند، که نیمی از حدس‌ها را حذف می‌کند و سپس از یک رمز عبور ساده و قابل حدس زدن استفاده می‌کنند.

اگر این کار جواب نداد، هکرها از آسیب پذیری های رایج در افزونه های محبوب یا نسخه های قدیمی وردپرس سوء استفاده می کنند. به همین دلیل بسیار مهم است که همه چیز را به روز نگه دارید.

راه‌های پیچیده‌تر و پیچیده‌تری برای نفوذ به یک وب‌سایت وجود دارد. با این حال، اکثر حملات وردپرس از مزایای کم رمز عبور ناامن و نرم افزار قدیمی استفاده می کنند که ورود به وب سایت شما را بسیار آسان می کند.

چگونه یک بررسی امنیتی وب سایت انجام دهیم

اولین قدم برای ایمن سازی وب سایت: تعیین کنید که وب سایت شما در حال حاضر چقدر امن است. آیا آسیب‌پذیری‌های آشکاری در بک‌اند شما وجود دارد که باید فوراً آن‌ها را اصلاح کنید، یا هر اصلاح ساده‌ای که اکنون می‌توانید انجام دهید؟

از یک ابزار آنلاین استفاده کنید

یک راه سریع و آسان برای بررسی وب سایت خود از نظر بدافزار و آسیب پذیری، استفاده از یک اسکنر آنلاین است. اینها وب سایت شما را از راه دور اسکن می کنند و مشکلات رایج را شناسایی می کنند. این بسیار راحت است زیرا به هیچ نرم افزار یا پلاگینی نیاز ندارد و فقط چند ثانیه طول می کشد.

ده‌ها اسکنر آنلاین برای انتخاب وجود دارد و ما چند مورد دیگر را در بخش ابزارهای خود در زیر فهرست می‌کنیم، اما در حال حاضر به سراغ یک اسکنر محبوب می‌رویم که استفاده از آن آسان است: Sucuri SiteCheck .

این ابزار انتخاب خوبی است زیرا می توانید افزونه Sucuri را نصب کنید و مستقیماً به رفع مشکلاتی که شناسایی می کند بپردازید.

هنگامی که وب سایت خود را اسکن کردید، Sucuri آن را در برابر لیست های مسدود بررسی می کند، به دنبال مشکلات واضحی مانند هرزنامه های تزریق شده یا نرم افزارهای قدیمی می گردد و به طور خلاصه هر کدی را که به آن دسترسی داشته باشد برای بدافزار اسکن می کند. Sucuri همچنین پیشنهاداتی برای محافظت از وب سایت شما در برابر حملات ارائه می دهد.

ابزارهایی مانند این نقطه شروع عالی برای شناسایی بدافزارهای پنهان و سایر مشکلات هستند.

وب سایت خود را با افزونه وردپرس اسکن کنید

در حالی که اسکنرهای آنلاین به اندازه کافی خوب کار می کنند، حتی بهتر است افزونه ای را نصب کنید که بتواند ریشه کد شما را بررسی کند و آسیب پذیری ها یا بدافزارهایی که به سختی قابل شناسایی هستند را شناسایی کند.

قبلاً Sucuri را به عنوان یک گزینه ذکر کردیم. دو افزونه امنیتی محبوب‌تر نیز وجود دارد: All in One WP Security & Firewall و بیشترین بارگیری در مخزن، Wordfence Security .

هنگامی که پلاگین مورد نظر خود را نصب کردید، احتمالاً به شما دستور می دهد که فوراً اسکن را اجرا کنید. مزیت این افزونه ها نسبت به اسکنرهای راه دور این است که می توانند بدافزارها را حذف کرده و تغییرات را به صورت خودکار انجام دهند.

به دنبال تغییرات عجیب و غریب باشید

اگر گمان می‌کنید یا می‌دانید که وب‌سایت شما به بدافزار آلوده شده است، گاهی اوقات تشخیص منبع آن دشوار است. در اینجا چند تغییر غیرقابل توضیح وجود دارد که ممکن است متوجه شوید و همچنین فایل هایی که هکرها معمولاً هدف قرار می دهند:
- لینک های ناگهانی به وب سایت های خارجی که خودتان اضافه نکرده اید
- مقالات و صفحات جدیدی که شما ایجاد نکرده اید یا محتوای صفحات موجود به طور ناگهانی تغییر می کند
- تغییراتی در تنظیماتی که شما انجام نداده اید
- یک کاربر جدید، مخصوصا کاربری با امتیازات بالا که شما اضافه نکرده اید
- افزونه ها یا تم هایی که نصب نکرده اید
- بدافزار اغلب می تواند کدهای مخرب را به فایل های شما تزریق کند. فایل‌های پلاگین و تم، پوشه wp-content/uploads ، فایل‌های هسته وردپرس واقع در فهرست اشتباه، wp-config.php و htaccess . را بررسی کنید . قبل از ایجاد هرگونه تغییر حساس باید از وب سایت خود نسخه پشتیبان تهیه کنید و کد آن را درک کنید.
اگر با استفاده از FTP به وب‌سایت خود متصل می‌شوید ، می‌توانید فایل‌هایی را که اخیراً اصلاح شده‌اند مرتب کنید تا کدی را که نباید وجود داشته باشد پیدا کنید.

اگر وب سایت شما به طور مرتب به بدافزار آلوده می شود و نمی توانید علت را در فایل ها پیدا کنید، ممکن است مشکل از سرور شما یا وب سایت دیگری در سرور شما باشد.

مطمئن شوید که همه چیز به روز است

همانطور که قبلاً اشاره کردیم، نرم افزار قدیمی تا حد زیادی رایج ترین عامل عفونت در وردپرس است. اگر تنها یک کار وجود دارد که می توانید برای حفظ امنیت وب سایت خود انجام دهید، آن باید به روز نگه داشتن وردپرس باشد .

ساده‌ترین راه برای بررسی وضعیت همه نرم‌افزارهای وب‌سایت‌تان، استفاده از داشبورد > به‌روزرسانی‌ها است که در صورت قدیمی بودن هسته، تم یا افزونه‌ها به شما هشدار می‌دهد.

از آنجایی که وردپرس از نسخه 5.5 در حال حاضر به‌روزرسانی خودکار را انجام می‌دهد، هیچ چیز نباید قدیمی باشد مگر اینکه نسخه قدیمی وردپرس داشته باشید. اگر نه، می توانید همه چیز را از این صفحه به روز کنید.

اگر می‌دانید نسخه جدیدی از وردپرس وجود دارد اما آن را نمی‌بینید، روی دکمه Check Again در قسمت Current Version کلیک کنید .

همچنین می‌توانید در صفحات Plugins > Installed Plugin یا Appearance > Themes به‌روزرسانی‌ها را بررسی کنید .

حساب ها و رمزهای عبور را ایمن کنید

یک رمز عبور ضعیف برای حساب اصلی شما باعث می‌شود هر کسی به زور وارد وب‌سایت شما شود و به آن‌ها دسترسی مدیریت و توانایی تغییر همه چیز را می‌دهد.

در حالی که یک رمز عبور پیچیده برای به خاطر سپردن دردسر است و ورود به سیستم را راحت‌تر می‌کند، زمانی که مجبور باشید وب‌سایت خود را پس از هک بازیابی کنید، حتی ناخوشایندتر است. قطعا ارزش استفاده از یک رمز عبور امن تر را دارد، حتی اگر مجبور باشید آن را یادداشت کنید.

رمز عبور شما باید ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها باشد. بهتر است آن را بر اساس کلمات فرهنگ لغت یا اطلاعات شخصی و قابل حدس زدن مانند آدرس خود یا نام یکی از اعضای خانواده قرار ندهید.

در بهترین حالت، رمز عبور شما یک رشته پیچیده و طولانی از کاراکترهای تصادفی است. اکیداً توصیه می کنیم از یک مدیر رمز عبور استفاده کنید. از وب سایتی مانند 1Password یا LastPass برای ایجاد یک رمز عبور قوی و غیرقابل حدس زدن استفاده کنید.’

ی توانید رمز عبور و ایمیل خود را در وردپرس با رفتن به Users > All Users یا مستقیماً به Users > Profile به روز کنید . به پایین بروید و ایمیل را در قسمت اطلاعات تماس و رمز عبور جدید را در قسمت مدیریت حساب پیدا کنید .

هنگامی که در صفحه کاربری قرار گرفتید ، همه کاربران خود را بررسی کنید و مطمئن شوید که کسی که نمی شناسید یا مجوزهای نامناسبی دارد وجود ندارد. شما باید فوراً هر کاربر ناشناس با حقوق مدیریت را حذف کنید.

ما همچنین این راهنما را برای محدود کردن حقوق کاربر توصیه می کنیم تا فقط حساب شما بتواند فایل های حساس وب سایت شما را تغییر دهد.

گواهی SSL خود را بررسی کنید

اگر گواهی SSL شما قدیمی باشد، معمولاً بلافاصله متوجه آن خواهید شد. مرورگرهایی مانند Google Chrome با یک هشدار بزرگ در مورد گواهی منقضی شده دسترسی به وب سایت شما را مسدود می کنند. اگر مطمئن نیستید یا قبلاً این خطا را دریافت می‌کنید، گواهینامه SSL خود را بررسی کنید تا ببینید آیا به‌روز است و آیا از آخرین نسخه SSL/TLS استفاده می‌کنید .

هنگامی که از یک وب سایت بازدید می کنید، در اکثر مرورگرها یک نماد قفل را در نوار آدرس مشاهده خواهید کرد. اگر گواهینامه شما منقضی شده باشد، این قفل ممکن است قرمز باشد یا دارای اسلش باشد.

روی نماد قفل کلیک کنید و سپس برای اطلاعات در مورد گواهی، از جمله تاریخ انقضا، دوباره کلیک کنید.

همچنین می‌توانید از بررسی‌کننده گواهی SSL برای اسکن وب‌سایت خود استفاده کنید تا مطمئن شوید که گواهی شما منقضی نشده است و هیچ آسیب‌پذیری در پروتکل SSL شما وجود ندارد.

آسیب پذیری های رایج

بسیاری از سایت‌های وردپرس مملو از بردارهای حمله کوچک هستند که ممکن است بی‌ضرر به نظر برسند، اما می‌توانند اطلاعات بیشتری از آنچه می‌خواهید به اشتراک بگذارید، ارائه دهند.

یک نسخه قابل مشاهده وردپرس در ظاهر شما به هکرها می گوید که دقیقاً چه آسیب پذیری هایی در وب سایت شما وجود دارد. به خصوص اگر از نسخه قدیمی وردپرس استفاده می کنید، باید این اطلاعات را پنهان کنید.

در باطن خود، می‌توانید ویرایشگرهای فایل را در قسمت Appearance > Theme Editor and Plugins > Plugin Editor پیدا کنید .

ر حالی که این ابزارها بسیار مفید هستند، آنها را در برابر هر کسی که وب سایت شما را برای شکستن چیزی هک می کند آسیب پذیر می کند، بنابراین ممکن است بخواهید آنها را خاموش کنید. می توانید این کار را با افزودن این تابع به wp-config.php انجام دهید :
```
define( 'DISALLOW_FILE_EDIT', true );
```
تزریق SQL یک روش معمول برای نفوذ به یک وب سایت است. اگر فرم‌ها یا ورودی‌های کاربر دیگری دارید، استفاده از نویسه‌های خاص را محدود کنید و فقط اجازه دهید انواع فایل‌های امن و متداول آپلود شوند.

برای محافظت بیشتر، می‌توانید فهرست‌های فایل را با رمز عبور محافظت کنید .

چگونه وب سایت خود را ایمن کنید: نکات و ابزار

اگر وب سایت شما به بدافزار آلوده شده است، یک افزونه امنیتی خوب باید برای حذف آن کافی باشد. و ما چند آسیب‌پذیری امنیتی را که باید در بالا مراقب آن‌ها باشید، بیان کرده‌ایم.

ر روز یک نسخه پشتیبان تهیه کنید

پشتیبان گیری از وب سایت شما از آن در برابر هکرها محافظت نمی کند، اما اگر اتفاقی بیفتد، پشتیبان گیری بسیار ارزشمند است. این می تواند به معنای تفاوت بین از دست دادن هفته ها یا حتی سال ها کار یا بازیابی نسخه پشتیبان از قبل از هک باشد.

وقتی با Kinsta هستید، با پشتیبان‌گیری خودکار روزانه که به مدت دو هفته (30 روز برای کسانی که برنامه شریک آژانس Kinsta را دارند ) از شما محافظت می‌کنیم. علاوه بر این، می‌توانید پنج نسخه پشتیبان دستی و یک نسخه پشتیبان قابل دانلود در هفته ایجاد کنید، و افزونه‌های اختیاری برای ایجاد پشتیبان‌گیری ساعتی یا صادرات به فضای ابری وجود دارد.

افزونه هایی مانند UpdraftPlus نیز می توانند کمک کنند. بهتر است سرویسی را انتخاب کنید که حداقل روزانه پشتیبان تهیه کند تا از دست رفتن اطلاعات به حداقل برسد.

از فایروال برنامه وب استفاده کنید

فایروال برنامه های کاربردی وب (WAF) از قوانین سختگیرانه ای برای فیلتر کردن ترافیک ورودی و مسدود کردن IP های شناخته شده مرتبط با هک یا حملات DDoS استفاده می کند. حتی از رسیدن بسیاری از حملات به سرور شما جلوگیری می کند.

اگرچه می‌توانید WAF‌ها را در سطح سرور مستقر کنید، خرید یک سرویس مبتنی بر ابر، مانند Cloudflare یا Sucuri ، ساده‌ترین کار است .

اتصال از طریق SSH یا SFTP

گاهی اوقات لازم است از طریق FTP به وب سایت خود متصل شوید تا فایل ها را در آنجا اضافه یا تغییر دهید. همیشه بهتر است از SFTP بیش از FTP استفاده کنید . تفاوت ساده است: SFTP امن است و FTP نیست.

با FTP اطلاعات شما رمزگذاری نمی شود. اگر کسی بتواند ارتباط بین شما و سرور شما را رهگیری کند، می‌تواند همه چیز را از اعتبار FTP شما گرفته تا فایل‌هایی که آپلود می‌کنید، ببیند. همیشه با SFTP وصل شوید.

همچنین ممکن است دسترسی SSH را در نظر بگیرید ، که به شما امکان می دهد با یک درخواست ارتباط برقرار کنید و وب سایت خود را مستقیم تر مدیریت کنید. ایمن است و می تواند کارهای ساده را از راه دور انجام دهد. راهنمای ما برای SSH می تواند به شما در صورت گیر افتادن کمک کند.

جلوگیری از حملات DDoS

حملات DDoS با پر کردن سرور شما با هزاران درخواست جعلی، وب سایت شما را به سمت خزیدن کند می کند و از دسترسی خوانندگان یا مشتریان بالقوه به آنها جلوگیری می کند. در اینجا چند نکته برای متوقف کردن آنها قبل از وقوع وجود دارد:
- در صورت حمله DDoS برنامه ای داشته باشید . زمانی که نیاز دارید به میزبان خود هشدار دهید و حمله را متوقف کنید، نمی خواهید وحشت کنید.
- از فایروال برنامه وب استفاده کنید که به طور بالقوه می تواند ترافیک جعلی را تشخیص دهد.
- از نرم افزار ضد DDoS مخصوص طراحی شده استفاده کنید.
- xmlrpc.php را غیرفعال کنید تا از استفاده برنامه های شخص ثالث از سرور خود جلوگیری کنید.
- REST API را برای کاربران عمومی غیرفعال کنید.
از حملات brute force جلوگیری کنید

حملات Brute Force می‌تواند شبیه حملات DDoS باشد، اما هدف این است که رمز عبور مدیریت خود را حدس بزنید و به وب‌سایت خود نفوذ کنید تا سرور شما را خراب کند. با این حال، آنها همچنین می توانند سرعت وب سایت شما را کاهش دهند.
- در اینجا نیز یک WAF می‌تواند ترافیک ربات و تلاش‌های بی‌رحمانه وحشیانه را فیلتر کند.
- از احراز هویت دو مرحله ای برای حساب مدیریت خود استفاده کنید.
- یک گزارش فعالیت تنظیم کنید و مراقب تلاش‌های غیرمجاز برای ورود به سیستم باشید.
- URL صفحه ورود را تغییر دهید و تعداد تلاش برای ورود را محدود کنید.
- صفحه ورود خود را با رمز عبور محافظت کنید .
- از یک رمز عبور طولانی و تصادفی استفاده کنید و هر سال آن را تغییر دهید.
ابزارهای امنیتی وب سایت که باید بدانید

علاوه بر ابزارهایی که قبلاً ذکر شد، چند ابزار امنیتی آنلاین دیگر وجود دارد که به شما کمک می کند تا وب سایت خود را ایمن کنید:
- Intruder.io : آخرین آسیب پذیری های امنیتی را اسکن کنید.
- تست سرور SSL : ابزار توسعه دهنده ای که گواهی SSL شما را تجزیه و تحلیل می کند و آسیب پذیری ها را شناسایی می کند.
- HTML Purifier : کدهای مخرب/XSS را فیلتر می کند، اگر کد آلوده دارید باید پاک کنید.
- رصدخانه موزیلا : توصیه های عملی برای پاک کردن کد خود از آسیب پذیری های رایج.
- sqlmap : یک ابزار تست نفوذ برای شناسایی اکسپلویت ها در کد SQL شما.
- شناسایی : برنامه های وب خود را با کمک هکرهای اخلاقی اسکن کنید.
- WPScan : یک اسکنر وردپرس مبتنی بر CLI.
- SonarQube : کدهای مطابق با استانداردها را بدون آسیب پذیری های امنیتی بنویسید.
چک لیست امنیت وب سایت

آیا وب سایت شما در برابر حملات ایمن است؟ اطمینان حاصل کنید که تقریباً همه چیز را در این چک لیست بررسی کرده اید:
- آیا از یک محیط میزبانی امن و با کیفیت بالا استفاده می کنید ؟
- آیا وب سایت خود را با استفاده از یک افزونه یا اسکنر آنلاین برای ویروس ها بررسی کرده اید ؟
- آیا یک گزارش فعالیت نصب کرده اید و آیا آن را برای تغییرات غیرعادی زیر نظر دارید؟
- آیا شما و همه کاربران با امتیاز بالا از رمزهای عبور قوی و احراز هویت دو مرحله ای استفاده می کنید؟ آیا همه ایمیل ها درست هستند؟
- آیا وردپرس، تم ها و افزونه های آن و سیستم های زیربنایی مانند PHP به روز هستند؟
- آیا گواهی SSL شما امن و به روز است؟
- آیا وب‌سایت‌ها، تنظیمات و فایل‌های خود را برای تغییرات غیرقابل توضیح، حذف یا افزودن محتوا یا پیوندهایی که اضافه نکرده‌اید بررسی کرده‌اید؟
- آیا صفحه ورود شما با رمز عبور و تلاش های محدود برای ورود محافظت می شود ؟
- آیا کاربران جدیدی را که اضافه نکرده اید بررسی کرده اید؟
- آیا فرم ها، کادرهای نظر و سایر منابع ورودی کاربر ایمن هستند؟ (کاراکترهای خاص را ممنوع کنید و آپلود فایل ها را به انواع فایل های شناخته شده محدود کنید).
- آیا xmlrpc.php و REST API را برای جلوگیری از حملات DDoS غیرفعال کرده اید ؟
- آیا ویرایش تم ها و افزونه ها را در داشبورد غیرفعال کرده اید؟
- آیا یک سرویس پشتیبان روزانه راه اندازی کرده اید؟
- آیا شما یک فایروال برنامه وب راه اندازی کرده اید؟
خلاصه

امنیت یک وب سایت یک فکر بعدی نیست. بنابراین اگر از قبل از آن مراقبت نمی کنید، اکنون زمان آن است که آن را در اولویت قرار دهید. هک شدن فقط آزاردهنده نیست – می تواند منجر به آسیب سئو، از دست دادن داده های ویرانگر، از دست رفتن اعتماد کاربران و بدافزارهایی شود که مدام برمی گردند.

لازم نیست یک توسعه دهنده با تجربه باشید تا چند قدم اضافی برای ایمن سازی وب سایت خود بردارید. و این با بررسی امنیتی مناسب وب سایت شروع می شود. حتی چیزی به سادگی انتخاب رمز عبور بهتر یا جابجایی به میزبان ایمن تر می تواند تفاوت را ایجاد کند.

به نکات ایمنی بیشتری نیاز دارید؟ درباره 19 روش دیگر برای ایمن سازی وب سایت خود بیاموزید . و پیشنهادات خود را در نظرات زیر به اشتراک بگذارید!

در زمان و هزینه صرفه جویی کنید و عملکرد سایت خود را با بیش از 290 دلار ادغام در سطح سازمانی که با هر طرح وردپرس مدیریت شده گنجانده شده است، به حداکثر برسانید. این شامل یک CDN قدرتمند، حفاظت DDoS، بدافزار و دفاع هک، حافظه پنهان لبه، و سریع‌ترین ماشین‌های CPU گوگل است. هیچ قرارداد بلندمدت، پشتیبانی مهاجرت و 30 روز ضمانت بازگشت پول دریافت نمی‌کنید.

در مورد بسته های ما اطلاعات کسب کنید یا با فروشندگان صحبت کنید تا طرحی را که برای شما مناسب است بیابید.
2024-04-05
کانفیگ ssl در وب سرور آپاچی
امروزه امنیت وب‌سایت‌ها از اهمیت بسیاری برخوردار است. یکی از روش‌های افزایش امنیت، استفاده از SSL است. در این مقاله به بررسی نحوه تنظیم SSL در وب سرور آپاچی می‌پردازیم.

SSL چیست؟

SSL یا Secure Sockets Layer، پروتکلی است که برای ایجاد یک کانکشن امن بین سرور و مرورگر استفاده می‌شود. این پروتکل داده‌های ارسالی را رمزنگاری می‌کند و از دسترسی غیرمجاز به آنها جلوگیری می‌کند.

دلایل استفاده از SSL

استفاده از SSL مزایای بسیاری دارد. برخی از این مزایا عبارتند از:
1. افزایش امنیت: با رمزنگاری داده‌ها، امنیت اطلاعات کاربران تضمین می‌شود.
2. اعتبار بیشتر: سایت‌های دارای SSL از نظر کاربران و موتورهای جستجو معتبرتر هستند.
3. بهبود سئو: موتورهای جستجو به سایت‌های دارای SSL امتیاز بالاتری می‌دهند.
نصب SSL در آپاچی

برای نصب SSL در آپاچی، مراحل زیر را دنبال کنید:

مرحله 1: نصب ماژول SSL

ابتدا باید ماژول SSL را در آپاچی نصب کنید. برای این کار از دستور زیر استفاده کنید:
```
sudo a2enmod ssl
```
مرحله 2: ایجاد گواهی SSL

در مرحله بعدی، باید یک گواهی SSL ایجاد کنید. می‌توانید از Let’s Encrypt یا سایر ارائه‌دهندگان گواهی استفاده کنید. دستور زیر را برای ایجاد یک گواهی SSL با Let’s Encrypt استفاده کنید:
```
sudo certbot --apache
```
مرحله 3: تنظیمات آپاچی برای SSL

پس از ایجاد گواهی، باید تنظیمات آپاچی را برای استفاده از SSL پیکربندی کنید. فایل تنظیمات سایت خود را باز کرده و خطوط زیر را اضافه کنید:
```
<VirtualHost *:443>
    ServerName your_domain.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/your_domain.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/your_domain.com/privkey.pem
</VirtualHost>
```
مرحله 4: راه‌اندازی مجدد آپاچی

پس از اعمال تغییرات، سرویس آپاچی را راه‌اندازی مجدد کنید:
```
sudo systemctl restart apache2
```
بررسی عملکرد SSL

برای اطمینان از عملکرد صحیح SSL، می‌توانید از ابزارهای آنلاین مانند SSL Labs استفاده کنید. این ابزارها به شما کمک می‌کنند تا وضعیت گواهی SSL و تنظیمات امنیتی سایت خود را بررسی کنید.

نتیجه‌گیری

با تنظیم SSL در وب سرور آپاچی، می‌توانید امنیت و اعتبار وب‌سایت خود را افزایش دهید. این کار نه تنها باعث افزایش اعتماد کاربران می‌شود، بلکه تاثیر مثبتی بر روی سئو سایت شما نیز دارد. با دنبال کردن مراحل ذکر شده، می‌توانید به سادگی SSL را بر روی وب سرور آپاچی خود پیکربندی کنید و از مزایای آن بهره‌مند شوید.
2024-04-03
پنج گروه مهم هکر و حملات آنها- آشنایی با مهمترین حملات هکری
یکی از ترسناک ترین خطرات حملات هکری امروز امنیت سایبری شرکت ها بدون شک باج افزار است. باج افزار تبعیض قائل نمی شود و فایل های رمزگذاری شده و غیرقابل خواندن، خطر نشت داده ها و اغلب میلیون ها دلار خسارت را پشت سر می گذارد. علاوه بر این، حملات باج‌افزار در مقیاس بزرگ و پیچیده معمولاً توسط یک فرد انجام نمی‌شود، بلکه توسط گروه‌های هکر بسیار سازمان‌یافته و با تجربه انجام می‌شود.

این به اصطلاح “باند افزارهای باج افزار” اغلب از اعتبارنامه های به خطر افتاده برای راه اندازی حملات باج افزار استفاده می کنند. در این مقاله به بررسی برخی از این گروه ها و باج افزارهایی که استفاده می کنند می پردازیم. همچنین خواهید آموخت که چگونه اعتبارنامه های به خطر افتاده در حملات موفقیت آمیز باج افزار نقش دارند.

لیست گروه های هکر شناخته شده جهانی

1. دارک ساید

یکی از مخرب ترین حملات باج افزار در تاریخ اخیر در 9 می 2021 انجام شد و Colonial Pipeline را هدف قرار داد. Colonial یک تامین کننده اصلی سوخت است که بخش بزرگی از سوخت را برای سواحل شرقی ایالات متحده تامین می کند. حمله به Colonial تأثیر واقعی یک حمله باج افزار در مقیاس بزرگ را بر صنایع خدمات حیاتی برجسته می کند.

حمله به استعمار نزدیک به 6000 مایل خط لوله را تعطیل کرد و باعث گلوگاه های گسترده شد. علاوه بر کمبود سوخت و اختلال در خدمات، خط لوله استعماری 4.4 میلیون دلار باج پرداخت کرد. پس از این حمله، Colonial در اواخر ماه اوت نقض داده‌ها را گزارش داد که نام‌ها، تاریخ تولد، اطلاعات، شماره‌های تامین اجتماعی و سایر اطلاعات شخصی را فاش کرد.

باند باج افزاری که به Colonial حمله کرد، DarkSide نام دارد. DarkSide یک باج افزار نسبتاً جدید در صحنه است. او از سه ماهه سوم سال 2020 مسئولیت حملات را بر عهده گرفته است. طبق گزارش تهدید eSentire، DarkSide از آن زمان تاکنون بیش از 59 قربانی در ایالات متحده، آمریکای جنوبی، خاورمیانه و بریتانیا در بسیاری از صنایع گرفته است. علاوه بر این، حدود 37 حمله باج افزار در سال 2021 انجام شد.

DarkSide یک باج افزار باج افزار است که به عنوان Ransomware-as-a-Service (RaaS) فعالیت می کند و خدمات خود را به باندهای بدافزار وابسته در وب دارک می فروشد. این مدل به طور فزاینده ای در میان باج افزارهای باج افزار محبوب می شود زیرا منبع دوم درآمد را در کنار پرداخت های باج فراهم می کند. جالب اینجاست که این مدل به بسیاری از گروه‌های مخرب دیگر و حتی افراد فرصت‌هایی می‌دهد تا باج‌افزاری را که احتمالاً بدون سرویس RaaS نداشتند، به کار گیرند.

حمله بزرگ باج افزار به Colonial با رمز عبور قدیمی VPN که در وب تاریک یافت شد آغاز شد. گزارش شده است که DarkSide یا یکی از شرکای آن از یک رمز عبور قدیمی حساب VPN برای نفوذ به شبکه Colonial Pipeline استفاده کرده است. به گفته بلومبرگ، رمز عبور در یک لیست رمز عبور فاش شده کشف شده است.

2. REvil/Sodinokibi

باج افزار REvil (همچنین به عنوان Sodinokibi شناخته می شود) یک بازیگر نسبتاً جدید در بازار باج افزار به عنوان یک سرویس است که تا کنون در سال 2021 161 سازمان را در 52 حمله قربانی کرده است. با این حال، عوامل تهدید از حدود سال 2019 فعال بوده اند و به مشتریان اجازه می دهند باج افزار REvil خود را به اهداف باج افزار اجاره کنند.

در اوایل سال 2021، REvil کامپیوترهای Acer و Quanta Computer را هدف قرار داد و 50 میلیون دلار به عنوان باج از هر دو شرکت خواست. اپراتورهای REvil می توانند از ابزارهای مختلفی برای به خطر انداختن اولیه یک شبکه استفاده کنند. با این حال، آنها معمولاً از اعتبارنامه های در معرض خطر برای نفوذ به شبکه های داخلی استفاده می کنند. Sophos اخیراً موارد زیر را گزارش کرده است :

کارشناسان Sophos که در حال تحقیق در مورد حمله اخیر REvil بودند، دو ماه بعد یک ارتباط مستقیم بین یک ایمیل فیشینگ ورودی و یک حمله باج چند میلیون دلاری پیدا کردند. ایمیل فیشینگ که اطلاعات کاربری یک کارمند را ضبط کرده است احتمالاً از یک واسطه دسترسی اولیه است که چند هفته بعد از PowerSploit و Bloodhound برای حرکت در شبکه آسیب‌دیده برای یافتن اعتبار مدیریت دامنه با ارزش بالا استفاده کرده است. کارگزار بعداً این اعتبارنامه ها را به دشمنان REvil فروخت تا بتوانند به شبکه هدف نفوذ کنند.

این واسطه‌های دسترسی اولیه در وب تاریک به طور فزاینده‌ای محبوب می‌شوند و به استفاده از اعتبارنامه‌های به خطر افتاده به‌عنوان یک نقطه ورود آسان برای به خطر افتادن باج‌افزار کمک می‌کنند.
3. Ryuk/Conti

باند باج افزار Ryuk/Conti برای اولین بار در سال 2018 ظهور کرد و موسسات ایالات متحده از جمله شرکت های فناوری، ارائه دهندگان مراقبت های بهداشتی، موسسات آموزشی و شرکت های خدمات مالی را هدف قرار داد. آنها فهرست قابل توجهی از قربانیان از جمله 352 قربانی در آمریکای شمالی، بریتانیا و فرانسه جمع آوری کرده اند. تعداد قربانیان جدید از ابتدای سال 2021 حدود 63 نفر است.

قربانیان باج‌افزار Ryuk/Conti همچنین شامل حمله بسیار تبلیغاتی به جوامع کوچک در ایالات متحده است. اینها شامل شهرستان جکسون، جورجیا، با پرداخت 400،000 دلار، Riviera Beach، فلوریدا، با پرداخت 594،000 دلار، و LaPorte County، ایندیانا، با پرداخت 130،000 دلار است.

باج افزار Ryuk به ویژه در حملات به بیمارستان ها و سیستم های مراقبت های بهداشتی ایالات متحده مورد استفاده قرار گرفت. بنابراین، FBI با همکاری امنیت داخلی و بهداشت و خدمات انسانی، دستورالعملی را برای امکانات مراقبت های بهداشتی صادر کرده است.

حساب‌های معتبر – مشاهده شد که عوامل Conti با استفاده از پروتکل‌های دسکتاپ از راه دور (RDP ) به شبکه‌های قربانیان دسترسی غیرمجاز داشتند.

فیشینگ، Spearphishing (پیوست) – باج‌افزار Conti را می‌توان از طریق بدافزار TrickBot توزیع کرد، که شناخته شده است از ایمیلی حاوی صفحه‌گسترده اکسل حاوی یک ماکرو مخرب برای نصب بدافزار استفاده می‌کند.

فیشینگ، Spearphishing (پیوند) – باج‌افزار Conti را می‌توان از طریق TrickBot توزیع کرد، که از طریق پیوندهای مخرب در ایمیل‌های فیشینگ توزیع شده است.

در اواخر سپتامبر 2021، سه آژانس پیشرو امنیت سایبری فدرال هشداری درباره تهدید مداوم باج‌افزار Ryuk/Conti منتشر کردند. هشدار رسمی، Alert (AA21-265A) ، تکنیک های حمله اولیه را مستند می کند که شامل موارد زیر است:

اعتبار به سرقت رفته یا به خطر افتاده یکی از رایج ترین روش هایی است که توسط باج افزارهای Ryuk برای به خطر انداختن محیط های حیاتی ماموریت و شروع عملیات شناسایی و باج افزار استفاده می شود.
5. کلوپ
باج افزار Clop برای اولین بار در فوریه 2019 ظاهر شد و بسیار موفق بود. اعتقاد بر این است که Clop اولین اپراتور باج افزاری است که از قربانی خود، Software AG در آلمان، 20 میلیون دلار باج می خواهد. آنها قربانیان زیادی داشتند که ناشی از آسیب پذیری Acellion بود . مشخص نیست که آیا آنها در اصل مسئول این حمله بوده اند یا اینکه صرفاً از حمله یکی از شرکای خود سود برده اند. کلوپ قربانیان سرشناس زیادی داشته است، از جمله:

رویال شل

شرکت امنیتی Qualys

Flagstar بانک ایالات متحده

دانشگاه کلرادو

سازنده هواپیماهای جت کانادایی Bombardier

دانشگاه استنفورد

کلوپ به دلیل جستجوی داده های سرقت شده قربانیان و ارسال ایمیل به مخاطبین و درخواست از آنها برای پرداخت باج مشهور است. آنها همچنین به دلیل ارسال اطلاعات دزدیده شده در وب تاریک معروف هستند. از ابتدای سال 2021، حدود 35 شرکت قربانی Clop شده اند. جالب اینجاست که پلیس اوکراین در اوایل سال جاری چندین نفر از اعضای باند کلوپ را دستگیر کرد. تنها چند روز پس از دستگیری، کلوپ مسئولیت دو قربانی دیگر را پذیرفت.

Clop توانایی نصب تروجان های سرقت رمز عبور را برای به خطر انداختن شبکه نشان داده است. علاوه بر این، Clop قبلاً فایل های حساس و رمزهای عبور شبکه را در دارک وب منتشر کرده است. آنها بدون شک با استفاده از اعتبارنامه‌های سرقت شده که توسط حملات Clop عمومی شده‌اند، به تأمین مالی بیشتر نقض‌های امنیتی و حملات باج‌افزار کمک می‌کنند.
امنیت رمز عبور را برای محافظت در برابر باج افزار افزایش دهید

واضح است که باج افزار اغلب از طریق اعتبارنامه های در معرض خطر وارد شبکه می شود. همه باج‌افزارهایی که فهرست کرده‌ایم، تا حدی در حملات قبلی از اعتبارنامه‌های به خطر افتاده استفاده کرده‌اند. این امر نیاز سازمان‌ها به اتخاذ سیاست‌های رمز عبور سخت‌گیرانه و استفاده از محافظت از رمز عبور در معرض خطر را برجسته می‌کند.

Specops Password Policy یک راه حل قابل اعتماد برای خط مشی رمز عبور است که به شما کمک می کند قابلیت های محدود ویژگی های خط مشی رمز عبور را که به صورت بومی در Active Directory ارائه شده است گسترش دهید. با Specops Password Policy، شرکت ها به ویژگی های زیر دسترسی دارند:

انقضای رمز عبور وابسته به طول با اعلان های ایمیل
- مسدود کردن استفاده از جایگزینی کاراکترها (Leetspeak) و الگوهای صفحه کلید (از جمله الگوهای صفحه کلید اروپایی)
- بازخورد پویا در زمان واقعی در مورد تغییرات رمز عبور با Specops Authentication Client
- مسدود کردن بیش از 3 میلیارد رمز عبور در معرض خطر با فهرست محافظت از رمز عبور نقض شده، که شامل گذرواژه‌های لیست‌های رمز عبور در معرض خطر شناخته شده و همچنین گذرواژه‌های مورد استفاده در حملات فعلی است.
- رمزهای عبور به خطر افتاده را در محیط Windows AD پیدا و حذف کنید
- لیست های شخصی، لیست های رمز عبور به خطر افتاده و فرهنگ لغت هش رمز عبور
- پشتیبانی از کلمه عبور
- مسدود کردن نام‌های کاربری، نام‌های نمایشی، کلمات خاص، کاراکترهای متوالی و رمزهای عبور افزایشی
- زمانی که کاربر از قوانین خط مشی رمز عبور پیروی نمی کند، پیام های مشتری اطلاعاتی ارسال می شود
گروه‌های باج‌افزار معمولاً از رمزهای عبور به خطر افتاده در حال حاضر برای راه‌اندازی باج‌افزار و سایر حملات به سازمان‌ها استفاده می‌کنند. این در حمله به خط لوله استعماری مشهود بود و در بسیاری از حملات دیگر نیز صادق است. Specops Password Policy محافظت قدرتمندی در برابر رمزهای عبور ضعیف و در معرض خطر ارائه می دهد.

با Specops Breached Password Protection، شرکت‌ها از محافظت مداوم در برابر رمزهای عبور در معرض خطر برخوردار می‌شوند. Specops در برابر گذرواژه‌های به خطر افتاده قبلی شناخته شده و گذرواژه‌های تازه کشف‌شده مورد استفاده در حملات brute force یا سایر حملات پاشش رمز عبور محافظت می‌کند. علاوه بر این، Specops شبکه خود را از هانی پات ها در سراسر جهان اجرا می کند که داده های تله متری را در مورد رمزهای عبور در معرض خطر جمع آوری می کند. داده های جمع آوری شده برای بهبود بیشتر محافظت در برابر رمزهای عبور به خطر افتاده استفاده می شود.

همانطور که با لیست اکسپرس نشان داده شده است، مدیران فناوری اطلاعات می توانند:
- از جابجایی کاربران به رمز عبور در معرض خطر جلوگیری کنید
- به طور مداوم AD را برای گذرواژه‌های در معرض خطر اسکن کنید و از کاربران بخواهید گذرواژه‌های به خطر افتاده خود را تغییر دهند.
- در صورت نیاز به تغییر گذرواژه به دلیل مصالحه، به کاربران اطلاع دهید.
لینک‌های داخلی و خارجی:

لینک‌های داخلی:
لینک‌های خارجی:
2024-03-15

چگونه پول خود را از کلاهبرداری پس بگیرم؟

چگونه پول خود را از یک کلاهبرداری پس بگیرید

مقدمه

کلاهبرداری‌های مالی، به ویژه در دنیای دیجیتال امروز، یکی از مشکلات رایج است که بسیاری از افراد با آن مواجه می‌شوند. از دست دادن پول به دلیل کلاهبرداری می‌تواند تجربه‌ای تلخ و ناامیدکننده باشد، اما با استفاده از راهکارهای مناسب می‌توان احتمال بازگرداندن پول را افزایش داد. در این مقاله به بررسی روش‌ها و ترفندهای کاربردی برای بازیابی پول از یک کلاهبرداری می‌پردازیم.

شناسایی کلاهبرداری

انواع کلاهبرداری‌های رایج

کلاهبرداری‌های آنلاین: شامل سایت‌های جعلی، ایمیل‌های فیشینگ و شبکه‌های اجتماعی.
کلاهبرداری‌های تلفنی: تماس‌های ناخواسته از سوی افرادی که خود را نماینده بانک یا سازمانی معتبر معرفی می‌کنند.
کلاهبرداری‌های حضوری: شامل افراد یا گروه‌هایی که با ارائه پیشنهادات جذاب و غیرواقعی اقدام به فریب افراد می‌کنند.

نشانه‌های کلاهبرداری

وعده‌های غیرواقعی: پیشنهاداتی که بیش از حد خوب به نظر می‌رسند.
درخواست اطلاعات حساس: مانند شماره کارت بانکی، کد ملی یا رمز عبور.
فشار برای اقدام سریع: کلاهبرداران اغلب افراد را تحت فشار قرار می‌دهند تا سریع تصمیم بگیرند.

گزارش به مقامات مربوطه

گزارش به پلیس

در صورت مواجهه با کلاهبرداری، اولین گام باید گزارش به پلیس باشد. پلیس با بررسی شواهد و اطلاعات می‌تواند به شناسایی و دستگیری کلاهبرداران کمک کند.

گزارش به نهادهای نظارتی

نهادهای نظارتی مانند بانک مرکزی می‌توانند در پیگیری و مسدود کردن حساب‌های بانکی مرتبط با کلاهبرداری‌ها کمک کنند. همچنین گزارش به این نهادها می‌تواند از وقوع کلاهبرداری‌های مشابه در آینده جلوگیری کند.

تماس با بانک یا موسسه مالی

اقدامات فوری

مسدود کردن حساب: بلافاصله پس از شناسایی کلاهبرداری، باید حساب بانکی خود را مسدود کنید تا از برداشت‌های بیشتر جلوگیری شود.
اطلاع به بانک: بانک‌ها دارای واحدهای پشتیبانی مشتریان برای موارد کلاهبرداری هستند که می‌توانند در بازگرداندن پول کمک کنند.

در جدول زیر، شماره تلفن‌های بانک‌های ایرانی با پیشوند “021” برای جلوگیری از کلاهبرداری و ثبت شکایت آنلاین آورده شده است:

بانک	شماره تماس	ثبت شکایت آنلاین
بانک ملی ایران	021-09622 / 021-29911	لینک
بانک ملت	021-1556 (تهران) / 021-82488 (سایر نقاط)	لینک
بانک صادرات ایران	021-09602	لینک
بانک تجارت	021-1554	لینک
بانک کشاورزی	021-09603	لینک
بانک پاسارگاد	021-82890	لینک

این اطلاعات به شما کمک می‌کند تا در صورت مواجهه با کلاهبرداری، به سرعت و به طور موثر اقدامات لازم را انجام دهید.

فرآیند بازگرداندن پول

پر کردن فرم‌های شکایت: بانک‌ها معمولاً فرم‌های شکایت مخصوصی دارند که باید توسط مشتری پر شود.
ارائه مستندات: مدارک و شواهد مربوط به کلاهبرداری باید به بانک ارائه شود تا فرآیند بازگرداندن پول شروع شود.

پیگیری از طریق مراجع قضایی

مراحل قانونی

مشاوره با وکیل: مشاوره با وکیل متخصص در امور مالی می‌تواند کمک بزرگی باشد. وکیل می‌تواند راهنمایی‌های لازم برای پیگیری قانونی کلاهبرداری ارائه دهد.
طرح دعوی قضایی: در صورت نیاز، می‌توان با طرح دعوی قضایی به دنبال بازگرداندن پول بود. این مراحل ممکن است زمان‌بر باشد ولی در بسیاری از موارد موثر است.

همکاری با وکلای متخصص

وکلای متخصص در امور کلاهبرداری‌های مالی می‌توانند با استفاده از تجربیات و دانش خود، فرآیند بازگرداندن پول را تسریع کنند. همکاری با این وکلا می‌تواند به افزایش شانس موفقیت در بازگرداندن پول کمک کند.

استفاده از خدمات تخصصی بازیابی پول

معرفی شرکت‌ها و خدمات تخصصی

شرکت‌هایی وجود دارند که به صورت تخصصی در زمینه بازیابی پول‌های از دست رفته در کلاهبرداری‌ها فعالیت می‌کنند. این شرکت‌ها با استفاده از روش‌ها و ابزارهای پیشرفته می‌توانند به بازگرداندن پول کمک کنند.

مزایا و معایب استفاده از این خدمات

مزایا: تخصص و تجربه بالا، استفاده از ابزارهای پیشرفته، افزایش شانس موفقیت.
معایب: هزینه‌های بالا، زمان‌بر بودن برخی فرآیندها.

پیشگیری از کلاهبرداری‌های آینده

نکات امنیتی

استفاده از رمزهای قوی: از رمزهای پیچیده و منحصر به فرد برای حساب‌های آنلاین خود استفاده کنید.
فعال‌سازی تایید هویت دو مرحله‌ای: این روش امنیت حساب‌های شما را افزایش می‌دهد.
مراقبت از اطلاعات شخصی: هیچ‌گاه اطلاعات حساس خود را به افراد ناشناس ندهید.

آموزش‌های لازم

آموزش خانواده و دوستان: به دیگران درباره روش‌های کلاهبرداری و نکات امنیتی آموزش دهید.
مطالعه منابع معتبر: از منابع معتبر و به‌روز برای آگاهی بیشتر درباره کلاهبرداری‌های جدید استفاده کنید.

خدمات امداد شبکه

امداد شبکه در تهران، اصفهان، کرج و سایر شهرهای ایران خدمات شبکه و پشتیبانی IT ارائه می‌دهد. این خدمات شامل مشاوره در زمینه‌های Cloud Computing، Cybersecurity و Network Infrastructure است. همچنین، امداد شبکه خدمات خود را به کشورهایی مانند امارات و عمان نیز ارائه می‌دهد.

نتیجه‌گیری

بازیابی پول از دست رفته در کلاهبرداری‌ها ممکن است چالش‌برانگیز باشد، اما با استفاده از روش‌ها و ترفندهای مناسب می‌توان احتمال موفقیت را افزایش داد. آگاهی از نشانه‌های کلاهبرداری، گزارش به مقامات مربوطه، تماس با بانک‌ها، پیگیری قانونی و استفاده از خدمات تخصصی بازیابی پول از جمله راهکارهای موثر در این زمینه هستند. همچنین، پیشگیری از وقوع کلاهبرداری‌های آینده با استفاده از نکات امنیتی و آموزش‌های لازم بسیار حائز اهمیت است.

بنابراین بدترین اتفاق رخ داده است – متوجه شدید که خیلی سریعپول خود را از دست داده اید و سایتی که استفاده می کنید کلاهبرداری بود – حالا چه می شود؟ خب اول از همه ناامید نشو!!

اگر فکر می کنید مورد کلاهبرداری قرار گرفته اید، اولین درگاه تماس در هنگام بروز مشکل این است که به سادگی درخواست بازپرداخت کنید. این اولین و ساده ترین مرحله برای تعیین اینکه آیا با یک شرکت واقعی سر و کار دارید یا با کلاهبرداران است. متأسفانه، پس گرفتن پول از یک کلاهبردار به سادگی درخواست کردن نیست.

اگر واقعاً با کلاهبرداران سر و کار دارید، روش (و شانس) بازگرداندن پول شما بسته به روش پرداختی که استفاده کرده اید متفاوت است.

از نظر حقوقی و احتمالات فناورانه چگونه پول خود را از کلاهبرداری پس بگیرم؟

شکایت از کلاهبرداران اینترنتی با سایت https://www.scamadviser.com/

متاسفانه، فرآیند بازیابی پول از کلاهبرداری معمولاً بسیار پیچیده و چالش‌برانگیز است. اما در صورتی که به عنوان قربانی یک کلاهبرداری اقدام کرده‌اید، می‌توانید به مراحل زیر توجه کنید:

گزارش به مراجع قضائی:
- به پلیس یا نهادهای اجرایی محلی خود مراجعه کنید و کلاهبرداری را گزارش دهید.
- اطلاعات لازم را ارائه دهید، از جمله جزئیات تماس با کلاهبردار، شماره حساب بانکی، ایمیل‌ها و سایر اطلاعات مرتبط.
اطلاع به مراکز امنیتی مالی:
- اگر کلاهبردار از طریق سرویس‌های مالی مانند بانک یا درگاه پرداختی عمل کرده باشد، اطلاعات خود را به آنها اعلام کنید.
گزارش به سازمان‌های مرتبط:
- اگر کلاهبرداری از طریق اینترنت یا رسانه‌های اجتماعی صورت گرفته باشد، به سازمان‌های مرتبط چون سازمان ملی امنیت سایبری (CERT) گزارش دهید.
مشاوره حقوقی:
- با وکیل یا مشاور حقوقی مشورت کنید تا اطلاعات لازم برای تدارکات قانونی خود را بدست آورید.
اطلاع به بانک:
- اگر انتقال وجه از طریق بانک انجام شده باشد، به بانک خود اطلاع دهید تا اقدامات لازم را در جهت بازیابی پول انجام دهند.

توجه داشته باشید که این مراحل ممکن است بر اساس قوانین و مقررات محلی مختلف متفاوت باشند. همچنین، اطلاعات و مدارک مرتبط را حفظ کرده و به دقت از تمامی اطلاعات مرتبط با کلاهبرداری خود خبر دهید.

اگر بتوانید پول خود را پس بگیرید به سه چیز بستگی دارد:

سرعت : هر چه سریعتر عمل کنید، بهتر است. کلاهبرداران سعی خواهند کرد سرعت شما را کاهش دهند.
روش پرداخت استفاده شده : اگر با کارت اعتباری یا پی پال پرداخت کرده اید، شانس بیشتری برای پس گرفتن پول خود دارید.
پشتکار : پس گرفتن پول شما زمان می برد. به آن ادامه دهید!

اگر از طریق حواله سیمی، بانک یا ارز دیجیتال پرداخت کرده اید، متاسفانه شانس بازگرداندن پولتان بسیار کم است.

حقوق شما چیست؟

در اکثر کشورها، شما حق دارید یک محصول را ظرف 7 (اکثر کشورهای آسیایی) یا 14 روز (در اروپا) بازگردانید. برای خدمات (نرم افزار، فیلم) و برخی کالاها (غذا، لباس زیر زنانه و غیره) ممکن است قوانین متفاوتی اعمال شود.

تقریباً در هر کشوری از شما در برابر کلاهبرداری محافظت می شود . خجالت نکشید، تقریباً برای همه حداقل یک بار اتفاق می افتد. به عنوان یک مصرف کننده، قوانین ملی شما اعمال می شود ، حتی اگر از یک شرکت خارج از کشور خرید کرده باشید .

مرحله 1: پرونده خود را بسازید

ابتدا باید شکایت خود را به فروشگاه آنلاین یا ارائه دهنده خدمات ارائه دهید.

اطمینان حاصل کنید که یک کپی از تمام تراکنش ها و مکاتبات (فاکتورها، ایمیل ها، WhatsApp، پیام های فیس بوک و غیره) را نگه دارید.

فقط در صورتی که در عرض 3 روز کاری اصلاً پاسخ ندهند یا (تقریباً) مطمئن باشید که کلاهبرداری شده‌اید، می‌توانید قدم بعدی را بردارید.

نشانه های بارز کلاهبرداری عبارتند از:

وب سایت دیگر فعال نیست یا به وب سایت دیگری هدایت می شود.
شما نمی توانید پول خود را برداشت کنید یا از شما می خواهند برای پس گرفتن پول خود پول بیشتری بپردازید.
یک شرکت تحویل از شما می خواهد که هزینه اضافی بپردازید (تاجر باید تمام هزینه را از شما دریافت کند).

در این مواقع منتظر نمانید و بلافاصله به مرحله ۲ بروید.

مرحله 2: ثبت شکایت

مطمئن شوید که در اسرع وقت (زمان مهم است!) شکایت کنید تا پول خود را با شرکت یا نقاط تماس مناسب پس بگیرید.

اگر پرداخت کردید:

با کارت اعتباری/دبیت با شرکت کارت خود تماس بگیرید. نکات بیشتر
با پی پال با پی پال تماس بگیرید. نکات بیشتر
از طریق یک بازار (eBay، Amazon، AliExpress) با پلت فرم تماس بگیرید. نکات بیشتر
از طریق حواله سیمی/بانکی با بانک و پلیس کشورتان تماس بگیرید. نکات بیشتر
اگر با ارز دیجیتال پرداخت کرده اید ، با صرافی رمزنگاری خود و یا پلیس کشورتان تماس بگیرید.
و شکایت خود را در https://complaint.cybera.io/ نکات بیشتر

با خدمات بازیابی پول کار نکنید

ما کار با Money Recover Services را توصیه نمی کنیم . این سازمان‌ها که شرکت‌های دارایی، بدهی یا بازیابی وجوه نیز نامیده می‌شوند، اغلب خودشان کلاهبردار یا در بهترین حالت مشکوک هستند:

آنها این تصور را به شما می دهند که به راحتی می توانید پول خود را پس بگیرید. این نیست.
اگر با کارت اعتباری یا بدهی یا پی پال پرداخت کرده اید، معمولاً آسان است و به آنها نیاز ندارید.
اگر با ارز دیجیتال یا حواله بانکی پرداخت کرده اید، پس گرفتن پولتان تقریبا غیرممکن است، به خصوص اگر بیش از چند روز پیش پرداخت کرده باشید.
تمام کارهای اداری هنوز باید توسط شما انجام شود. ارزش افزوده آنها اغلب محدود است.
در برخی موارد، ارائه دهندگان خدمات مالی مایل به همکاری با آنها نیستند و بازگرداندن پول شما را سخت تر می کند.

ما با چندین سرویس بازیابی پول مصاحبه کردیم. میزان موفقیت آنها به مراتب کمتر از 1٪ است (اما شما همچنان به آنها پرداخت می کنید)

لینک‌های داخلی و خارجی

لینک‌های داخلی

لینک‌های خارجی

2022-06-27

دسته: امنیت اطلاعات

SCG چیست؟

بخش‌های کلیدیمقاوم سازی امنیتی SCG برای VMware

چگونه SCG را در VMware پیاده‌سازی کنیم؟

نتیجه‌گیری

1. چک‌لیست ساده برای تأمین 90% امنیت ویندوز

1. به‌روزرسانی سیستم‌عامل و پچ‌های امنیتی

2. پیکربندی دیواره آتش (Firewall)

3. مدیریت حساب‌های کاربری و دسترسی‌ها

4. فعال‌سازی امنیت شبکه (Network Security)

5. پیکربندی رمزنگاری و SSL/TLS

6. مدیریت پورت‌ها و سرویس‌ها

7. پیکربندی سیاست‌های رمز عبور

8. نظارت و ثبت رخدادها (Logging and Monitoring)

9. پیکربندی امنیت RDP (Remote Desktop Protocol)

10. بک‌آپ‌گیری و بازیابی اطلاعات

چک‌لیست امنیتی

چک‌لیست پیچیده برای تأمین 9% باقی‌مانده

1. استفاده از نرم‌افزارهای ضد بدافزار حرفه‌ای

2. پیکربندی شبکه‌های مجازی (VLANs) و تقسیم‌بندی شبکه

3. فعال کردن ابزارهای تشخیص و جلوگیری از نفوذ (IDS/IPS)

4. اجرای سیاست‌های امنیتی سختگیرانه (Security Baselines)

5. فعال کردن امنیت پیشرفته برای ذخیره‌سازی داده‌ها

6. آماده‌سازی برای بازیابی پس از رخداد (Disaster Recovery)

7. امنیت لاگین از طریق Windows Event Forwarding

8. ایجاد خط‌مشی‌های کنترل دسترسی پیشرفته (PAM/Just-in-Time Access)

9. نظارت بر تهدیدات خارجی با Threat Intelligence

10. امنیت DevOps و اتوماسیون امنیتی

3. تأمین 1% امنیت باقی‌مانده

دانلود و نصب بسته‌ی Win32 OpenSSL

باز کردن ترمینال ویندوز

ایجاد کلید خصوصی و گواهی SSL

استفاده از فایل‌های PEM در محیط ویندوز

تبدیل فایل PEM به فرمت PFX

نتیجه‌گیری

نکات اجرایی و عملی

چگونه در آپاچی ویندوز از این فایل certificate.pfx استفاده و سایت را ssl کنیم؟

FAQ برای ترابلشوتینگ OpenSSL در ویندوز سرور

مقدمه ای بر درخواست امضای گواهی (CSR):

2. چگونه یک CSR ایجاد کنیم؟

3. اطلاعات موجود در CSR

4. دستورالعمل‌های ایجاد CSR برای سرورهای مختلف

4.1. ایجاد CSR با استفاده از OpenSSL

4.2. ایجاد CSR با استفاده از IIS

4.3. ایجاد CSR با استفاده از cPanel

5. بررسی اجزای CSR

6. اهمیت CSR در امنیت دیجیتال

7. نکات پایانی

(CSR ( CSR-Certificate-Signing-Request چیست؟

چگونه یک CSR ایجاد کنم؟

چه اطلاعاتی در CSR گنجانده شده است؟

فیلم آموزش صدور گواهی امضا CSR در وندوز با استفاده از کنسول MMC ویندوز

مزایای IPsec

راه‌اندازی Site-to-Site VPN با روتر میکروتیک

پیکربندی در محیط لابراتور

مراحل تنظیمات

تنظیمات روتر شعبه 1:

تنظیمات روتر شعبه 2:

مقدمه

بخش اول: مفاهیم پایه SSL و HTTPS

تعریف SSL

مزایای استفاده از HTTPS

تفاوت‌های گواهینامه‌های Self-Signed و Valid SSL

بخش دوم: نیازمندی‌ها و پیش‌نیازها

ابزارها و نرم‌افزارهای مورد نیاز

نیازمندی‌های سخت‌افزاری و نرم‌افزاری

بخش سوم: مراحل ایجاد SSL سرتیفیکیت

راه‌اندازی یک محیط محلی یا دامین ثبت شده

تولید گواهینامه امنیتی در میکروتیک برای OVPN

پروژه: ایجاد و استخراج گواهینامه‌ها و فایل‌های OpenVPN در MikroTik (ورژن 7)

بخش اول: ایجاد گواهینامه‌ها

بخش دوم: استخراج گواهینامه‌ها

بخش سوم: ایجاد فایل پیکربندی OpenVPN

بخش چهارم: استفاده از فایل‌ها در کلاینت

مزایا و نتیجه‌گیری

تولید گواهینامه SSL با استفاده از OpenSSL

تولید کلید خصوصی

تولید CSR (Certificate Signing Request)

امضای گواهینامه

بخش چهارم: پیکربندی SSL در میکروتیک