مقاله امنیت شبکه
مقدمه
نیازمندی های امنیت اطلاعات در داخل سازمان در چند دهه اخیر تغییرات چشمگیری کرده است. معرفی سیستم های توزیع شده و استفاده از امکانات شبکه ها و ارتباطات برای انتقال داده بین کاربران پایانه ها و کامپیوترها و بین کامپیوترها نیاز امنیتی جدیدی را به نام امنیت شبکه به وجود آورده است. برای ارائه یک راهکار امنیتی باید تصمیم گرفت که یک راهکار خاص از نظر فیزیکی و منطقی چگونه در شبکه قرار گیرد، بدین معنا که به کارگیری راهکار از نظر مکان فیزیکی در کجای شبکه باشد و از نظر منطقی در کدام لایه شبکه استفاده شود.
1- سرویس امنیتی
سرویس پردازش کننده یا ارتباطی که توسط سیستم ارائه میشود تا نوع خاصی از حفاظت را برای منابع سیستم فراهم کند.
1-1- احراز هویت
سرویس احراز هویت تضمین میکند که ارتباط مجاز است و پیام از همان مبدایی ارسال شده است که ادعا می کند و داده ها را در برابر حملات فعال محافظت می کند.
1-2- کنترل دستیابی
این سرویس کنترل میکند که چه کسی اجازه دسترسی به منابع را و تحت چه شرایطی دارد و نیز چه کارهایی بر روی منابع می توانند انجام دهند.
1-3- محرمانگی داده ها
حفاظت داده ها در مقابل افشاگری غیر مجاز و یا حملات غیر فعال
1-4- تمامیت داده ها
این سرویس تضمین میکند که داده های دریافتی دقیقا همان چیزی است که از مبدا مجاز ارسال شده، یعنی بدون هیچگونه تغییر، تکرار و یا حذف می باشد.
برای ثیت نام در دوره آموزش امنیت شبکه کلیک کنید.
1-5- عدم انکار
اثبات می کند که پیام توسط فرستنده مورد نظر ارسال شده و توسط گیرنده مورد نظر دریافت شده است.
1- رمز نگاری
رمز نگاری محافظت در برابر حملات غیر فعال است. سیستم های رمز نگاری بر اساس سه اصل تقسیم میشوند.
1-1-
جانشینی: هر عنصر با عنصر دیگری نگاشت میشود.
جا به جایی: عناصر موجود در متن جا به جا میشوند.
نوع عملیاتی که برای تبدیل متن ساده به متن رمزی به کار می رود :
1-2-
کلید متقارن: فرستنده و گیرنده از کلید یکسان استفاده میکنند.
کلید نامتقارن: فرستنده و گیرنده از کلیدهای متفاوتی استفاده میکنند.
تعداد کلیدهای مورد استفاده:
1-3-
رمز بلوکی: هر بار یک بلوک از عناصر پردازش میشود.
رمز دنباله دار:عناصر ورودی به طور پیوسته پردازش میشوند.
روش پردازش متن ساده:
2- رمز نگاری متقارن
شکل1: مدل ساده شده رمزنگاری متقارن
1-1- الگوریتم های رمز گذاری متقارن
v استاندارد رمز گذاری داده ها
v استاندارد رمز گذاری سه گانه داده ها
v استاندارد رمز گذاری پیشرفته
2- مکان دستگاه های رمز گذاری
در استفاده از رمز گذاری باید تصمیم گرفته شود که دستگاه رمز گذاری در کدام نقطه قرار گیرد، این کار به دو روش انجام میشود
2-1- رمز گذاری پیوند: در این روش در انتهای هر ارتباط موجود یک دستگاه رمز گذاری قرار می دهند. ایراد آن این است که بسته رمز شده در هر بار که وارد سوئیچ میشود برای خواندن آدرس باید رمز گشایی شود در این حالت اطلاعات ایمن نیستند.
1-1- رمز گذاری انتها به انتها: در این حالت فرایند رمز گذاری فقط در دو سیستم انتهایی یعنی سیستم مبدأ و مقصد انجام میگیرد. داده ها در چنین سیستمی به صورت بسته هایی شامل داده و فایل سرایند ارسال میشود، که بخش داده ای آن رمز گذاری میشود.
به طور کلی در هنگام رمز گذاری از هر دو رش استفاده میشود یعنی بخش داده ای کاربر توسط کلید رمز گذاری انتها به انتها رمز گذاری میشود سپس کل بسته با استفاده از کلید رمز گذاری پیوند نیز رمز گذاری میشود در نتیجه زمانی که سوئیچ بسته را برای خواندن فایل سرایند با استفاده از کلید رمز گذاری پیوند باز میکند داده های کاربر ایمن هستند.
یی
شکل 2: رمز گذاری در شبکه سوئیچینگ بسته ای
1- توزیع کلید
توزیع کلید ابزار تحویل کلید به طرفی است که تمایل به مبادله داده دارد، بدون آنکه فرد دیگری بتواند آن کلید را ببیند.
1-1- مرکز توزیع کلید
مرکز توزیع کلید تعیین میکند کدام سیستم ها می توانند با یکدیگر ارتباط برقرار کنند. وقتی به دو سیستم اجازه ارتباط داده شد مرکز توزیع کلید، کلید نشست یک بار مصرف را که توسط کلید دائمی رمز گذاری شده است برای آن اتصال فراهم میکند.
2- احراز هویت
احراز هویت را می توان با استفاده از رمز گذاری و یا با استفاده از برچسب در انتهای هر پیام انجام داد.
2-1- کد احراز هویت
در این روش با استفاده از کلید سری که بین فرستنده و گیرنده مشترک است کد احراز هویت(MAC) پیام که حاصل تابعی از پیام و کلید است، بدست می آید. اگر کد دریافتی در مقصد با کد ارسالی از مبدأ یکسان باشد آنگاه مشخص است که پیام تغییر نکرده و از مبدأ مورد نظر ارسال شده است.
این تابع پیامی با طول متغیر را دریافت میکند و خلاصه پیام با طول ثابت را در خروجی تولید میکند و خلاصه پیام همراه پیام ارسال میشود در مقصد نیز پس از دریافت پیام تابع آن را بدست آورده، اگر خلاصه ایجاد شده با آنچه از مبدأ رسیده یکسان باشد احراز هویت انجام شده. خلاصه پیام می تواند با کلید سرّی رمز گذاری شود.
1-1- رمزگذاری/ رمزگشایی: فرستتنده پیام را با کلید عمومی گیرنده رمزگذاری میکند.
1-2- امضای دیجیتال: فرستنده پیام را با کلید خصوصی خود امضا میکند.
1-3- مبادله پیام: دو طرف در مبادلۀ کلید نشست شرکت دارند.
2- کربروس
یک سرویس دهنده احراز هویت متمرکز است که وظیفه اش احراز هویت کاربران برای سرویس دهنده ها و سرویس دهنده ها به کاربران است و از رمزگذاری متقارن استفاده می کند . به طور کلی مراحل کارکربروس به روش زیر است:
ابتدا کاربر وارد ایستگاه کاری شده و سرویسی را از سرور درخواست میکند. سپس سرویس دهنده احراز هویت (AS) در بانک اطلاعاتی خود بررسی میکند که آیا کاربر اجازه دستیابی به آن سرویس را دارد، و بلیط صدور بلیط را ایجاد میکند که آن را با استفاده ازکلید بدست آمده از کلمه عبور کاربر رمز گزاری کرده است. در ادامه کابر با استفاده از رمز خود کلید را بدست آورده و پیام دریافت شده از AS را رمز گشایی میکند و بلیط و احراز هویت کننده را به TGS می فرستد که حاوی شناسه کاربر، آدرس شبکه و زمان است. در مرحله بعد TGS پس از رمزگشایی پیام کاربر و بررسی پیام، بلیط را برای سرویس دهنده درخواستی صادر میکند. در ادامه ایستگاه کاری بلیط و احراز هویت کننده را به سرویس دهنده ارسال میکند. سرویس دهنده بررسی میکند که بلیط و احراز هویت کننده مطابقت دارند و اجازه دسترسی را به کاربر می دهد. اگر نیاز به احراز هویت متقابل باشد سرویس دهنده احراز هویت کننده را برمی گرداند. شکل زیر درخواست بلیط برای سرویسی را نشان میدهد که در قلمرو کربروس محلی نمی باشد.
3- استاندارد X.509
اساس X.509 استفاده از کلید عمومی و استفاده از امضاهای دیجیتال است و از ساختار گواهی نامه و پروتکل های احراز هویت در آن استفاده شده است.
3-1- گواهی نامه
نماد گذاری زیر برای تعریف گواهی نامه استفاده می شود:
گواهی نامه به کابر A توسط اداره گواهی نامه معتبر صادر شده است. CA<>=CA {V,SN,AI,CA,TA,A,AP}
CA گواهی نامه را توسط کلید خصوصی خود امضا می کند و اگر کاربر کلید عمومی متناظرش را داشته باشد می تواند بررسی کند که گواهی نامه امضا شده توسط CA معتبر است.
1-1- رویه های احراز هویت در X.509
احراز هویت یک طرفه: شامل انتقال اطلاعات از کاربر A به کاربر B است.
احراز هویت دو طرفه: به هر دو طرف شرکت کننده در ارتباط اجازه می دهد شناسه یکدیگر را بررسی کنند.
احراز هویت سه طرفه: پیام نهایی از A به B وجود دارد که شامل کپی امضا شده ای از rB نانس است. این روش وقتی ضروری است که ساعت های همگام شده وجود ندارد.
2- زیر ساخت کلید عمومی
زیر ساخت کلید عمومی را مجموعه ای از سخت افزارها، نرم افزارها، افراد، سیست ها و رویه های مورد نیاز برای ایجاد مدیریت، ذخیره، توزیع و ابطال گواهی نامه های دیجیتال بر اساس رمز نگاری نامتقارن تعریف میکنند. هدف اصلی PKI این است که کلید عمومی به طور امن، راحت و کارامد بدست آید.
3- امنیت پست الکترونیکی
3-1- PGP
PGP یک سرویس محرمانگی و احراز هویت را رائه می دهد که برای پست الکترونیکی و ذخیره فایل به کار می رود و رایگان می باشد.
عملیات واقعی PGP شامل 5 سرویس است:
v احراز هویت: با استفاده از امضای دیجیتال صورت می گیرد که از کد درهم ساز SHA-1 و DSS یا RSA استفاده میکند.
v محرمانگی: از طریق رمزگذاری پیام هایی که باید منتقل یا به صورت فایل محلی ذخیره گردند انجام می شود.
v فشرده سازی: PGP پیام را پس از امضا و قبل از رمز گذاری فشرده سازی میکند. ممکن است از ZIP استفاده شود.
v سازگاری پست الکترونیکی: بسیاری از سیستم های پست الکترونیک فقط استفاده ازبلوک هایی را مجاز می دانند که شامل متن اسکی باشد. PGP سرویس تبدیل رشته دودویی 8 بیتی را به کارکترهای اسکی قابل چاپ فراهم می سازد.
v قطعه بندی و مونتاژ: امکانت پست الکترونیک دارای محدودیت طول هستند. PGP پیام های طولانی را به طور خودکار به قطعات کوچکتری تبدیل میکند تا از طریق پست الکترونیک ارسال شود.
برای ثیت نام در دوره آموزش امنیت شبکه کلیک کنید.
1- RFC 822
استانداردی برای ارسال پیام متنی مبتنی بر اینترنت است. در این استاندارد پیام ها دارای پکت و محتویات هستند. پکت شامل اطلاعات مورد نیاز برای حمل(مجموعه ای از فیلدهای سرایند) و محتویات شیء را می سازد که باید به گیرنده تحویل داده شود. سرایند و بدنه با یک سطر خالی از هم جدا می شوند.
1-1- MIME
MIME بسط محیط کاری RFC 822 است که هدف آن بر طرف کردن محدودیت های استفاده از پروتکل SIMP و یا سایر پروتکل های انتقال نامه و RFC 822 برای پست الکترونیکی است. MIME شامل پنج فیل سرایند شامل نسخه MIME، نوع محتویات، کدگذاری انتقال محتویات، ID محتویات و توصیف محتویات می باشد، همچنین شامل دو بخش فرمت محتویات و کدگذاری انتقال نیز می باشد.
2- سرویس های امنیتی پیشرفته
رسیدهای امضاء شده: برگرداندن رسید امضاء شده تحویل به منشاء پیام را ثابت می کند.
برچسب های امنیتی: مجموعه ای از اطلاعات امنیتی درباره حساسیت پیام را دربر می گیرد.
لیست های پستی امن: MLA می تواند یک پیام ورودی را دریافت کند، رمزگذاری خاص پیرتده را برای هر گیرنده انجام دهد و پیام را حمل نماید.
3- IPsec
IPsecقابلیت امنیت را در ارتباطات LAN و WANهای خصوصی و عمومی و اینترنت تامین میکند. نمونه هایی از کاربرد آن عبارتند از:
1- امنیت اتصال دفتر شعب روی اینترنت 2- دستیابی راه دور امن روی اینترنت 3- برقراری اتصال اینترانت و اکسترانت با شرکا
4- ارتقاء امنیت تجارت الکترونیک
1-1- سرویس های IPsec
1- امنیت اتصال دفتر شعب روی اینترنت 2- دستیابی راه دور امن روی اینترنت 3- برقراری اتصال اینترانت و اکسترانت با شرکا
1- وابستگی امنیتی
وابستگی امنیتی(SA) ارتباط یکطرفه ای بین فرستنده و گیرنده ای است که سرویس های امنیتی را برای ترافیک حمل شده روی آن فراهم می آورد. وابستگی امنیتی دارای پارامترهای مختلفی است که برخی از آنها یکتا هستند که در زیر به آنها اشاره شده است.
1-1- پارامترهای SA
شاخص پارامترهای امنیتی(SPI): رشته بیت منحصر به فردی است که به سیستم مرور کننده اجازه می دهد یک وابستگی امنیتی را انتخاب نماید که بسته دریافتی تحت آن پردازش شود. این مقدار فقط دارای ارزش محلی است.
آدرس مقصد IP: این آدرس مربوط به نقطه پایانی مقصد SA است، می تواند کاربر نهایی، فایروال و یا مسیریاب باشد.
شناسه پروتکل امنیتی: نشان میدهد که وابستگی، یک وابستگی امنیتی AH است یا [2]ESP.
1-2- حالت انتقال
حالت انتقال برای ارتباط های انتها به انتها استفاده می شود. در این حالت حفاظت بر روی محموله بسته IP اعمال می شود. AH در حالت انتقال احراز هویت محموله و ESP رمزگذاری محموله IP را انجام می دهد.
1-3- حالت تونل
حالت تونل در ارتباط هایی استفاده می شود که در حداقل در یک طرف SA دروازه امنیتی مانند فایروال قرار داشته باشد. در این حالت حفاظت بر روی کل بسته IP (محموله IP و سرایند داخلی)اعمال می شود. ESP در حالت تونل کل بسته IP داخلی را به همراه سرایند IP داخلی رمز گذاری می کند و AH کل بسته
AH کل بسته IP داخلی و بخش های انتخابی سرایند بیرونی را احراز هویت می کند.
1- حمله تکرار
حمله ای است که در ان حمله کننده یک کپی از بسته احراز هویت شده را بدست می آورد و بعدا ان را به مقصد مورد نظر می فرستد. برای جلوگیری از آن فیلد شماره ترتیب طراحی شده است.
1-1- پروتکل ISAKMP/Oakley
این پروتکل برای مدیریت خودکار کلید در IPsec به کار می رود. شامل عنصر تعیین کلید(Oakley) و وابستگی امنیتی اینترنت و مدیریت کلید(ISAKMP) است. Oakley از الگوریتم دایفی هلمن استفاده میکند، استفاده از کوکی ها با حمله مسدود کردن و با استفاده از نانس با حملات تکرار مقابله میکند. همچنین با احراز هویت مبادله دایفی هلمن از حمله Man in the middle ممانعت میکند. ISAKMP یک محیط کاری را برای مبادله پیام فراهم می آورد، و رویه ها و فرمت هایی را برای ایجاد، اصلاح و حذف وابستگی امنیتی تعریف می کند. مانند تعریف محموله هایی برای مبادله تولید کلید عمومی و داده احراز هویت.
2- امنیت وب
2-1- روش های امنیتی ترافیک وب
شکل 5 نشان دهنده مکان نسبی روش های مختلف امنیتی مانند IPsec، SSL یا SET در پشته پروتکل TCP/IP می باشد.
1-1- لایه سوکت امن(SSL)
SSL طراحی شده است تا با استفاده از TCP سرویس امن end-to-end قابل اعتماد را فراهم نماید. دو مفهوم مهم در SSL عبارتند از نشست SSL و اتصال SSL. اتصال انتقالی است که نوع مناسبی از سرویس را بر اساس مدل OSI فراهم می آورد. نشست SSL وابستگی بین سرویس دهنده و سرویس گیرنده است که مجموعه ای از پارامترهای امنیتی رمزنگاری را تعریف میکنند.
17-2-1- پروتکل دست تکانی
این پروتکل به سرویس دهنده و سرویس گیرنده اجازه می دهد یکدیگر را احراز هویت کنند و برای الگوریتم روزگذاری و MAC و کلیدهای رمزنگاری که باید برای حفاظت ار داده های ارسال شده در رکورد SSL به کار روند، مذاکره نمایند.
1-2- تراکنش الکترونیکی امن(SET)
SET یک رمزگذاری باز و مشخصات امن است که برای حفاظت تراکنش های ارت ههای اعتباری در اینترنت استفاده می شود.
SET سه سرویس را فراهم می آورد:1- کانال ارتباطی امن را بین تمام شرکت کنندگان در تراکنش فراهم میکند. 2- با استفاده از گواهینامه های دیجیتال X.509v3 اعتماد را فراهم می آورد. 3- محرمانگی را با استفاده از رمزگذاری تضمین میکند.
2- نفوذگران
2-1- تشخیص نفوذگری
18-1-1- تشخیص ناهنجاری آماری: سعی در تعریف رفتار عادی یا مورد انتظار است.
تشخیص آستانه: شامل شمارش تعداد وقوع های نوع خاصی از رویداد در فاصله زمانی معینی است که اگر از تعداد معقولی بیشتر باشد فرض می شود که نفوذگر وجود دارد.
تشخیص ناهنجاری مبتنی بر پروفایل: به تشخیص رفتارهای گذشته کاربران و تشخیص انحراف های اساسی می پردازد.
18-1-2- تشخیص قانونی: سعی در تعریف رفتار مناسب دارد و قوانینی را برای تشخیص انحراف از الگوها ایجاد میکند. روش های استفاده شده در تشخیص قانونی مبتنی بر سیستم های خبره است.
2-2- Honeypot
Honeypotها سیستم های فریب دهنده ای هستند که طراحی شده اند تا حمله کنندگان بالقوه را از سیستم حیاتی منحرف کنند. این سیستم ها توسط اطلاعات ساخت یافته ای پر می شوند که ارزشمند به نظر می رسند و کاربر قانونی سیستم نمی تواند به آن دسترسی داشته باشد، پس هر دسترسی به Honeypot مشکوک است.
3- نرم افزارهای مغرض
نرم افزاری است که به طور عمدی در سیستم قرار داده می شود تا اهداف مضری را برآورده سازد. به طور کلی دو دسته هستند آنهایی که نیاز به برنامه میزبان مانند سیستم عامل و یا برنامه کاربردی دارند، مانند ویروس ها و آنهایی که مستقل هستند مانند کرم ها و زامبی.
1-1- Backdoor
یک نقطه ورودی سری در برنامه که اجازه می دهد افرادی که از در پشتی آگاهی دارند بدون عبور از رویه های امنیتی به سیستم برسند
1-1- بمب منطقی
کدی است که در یک برنامه قانونی قرار می گیرد تا در هنگام به وقوع پیوستن شرطی منفجر شود و داده ها راتغییر دهد یا حذف کند.
1-2- اسب تراوا
یک برنامه مفید مانن ماشین حساب یا رویه فرمان است، شامل یک کد مخفی است که در هنگام فراخوانی کارهای مضر انجام می دهد.
1-3- Zombie
برنامه است که به طور سری یک کامپیوتر متصل به اینترنت را تحویل می گیرد و با استفاده از آن کامپیوتر حملاتی را تدارک می بیند.
1-4- ویروس
ویروس برنامه است که می تواند از طریق اصلاح سایر برنامه ها به انها آسیب برساند، اصلاحات شامل کپی کردن برنامه ویروس است. ویروس میتواند به ابتدا یا انتهای برنامه اجرایی اضافه شود و یا به روش های دیگر تعبیه گردد. در این حالت نسخه آلوده برنامه طولانی تر از نسخه اصلی ان است برای مقابله با تشخیص این حمله فایل اجرایی را به اندازه اولیه فشرده می کنند. همچنین از کلید رمزگذاری برای رمزگذاری ویروس استفاده می شود، بخشی از ویروس به نام موتور دگرگونی با استفاده از کلید باقی ویروس را رمزگذاری می کند هنگام فراخوانی برنامه آلوده با استفاده از کلید ویروس رمزگشایی می شود و موتور دگرگونی کلید تصادفی دیگری تولید می کند.
1-5- نرم افزار انسداد رفتار
این نرم افزار با سیستم عامل میزبان مجتمع شده و رفتار برنامه را در فعالیت های مغرضانه مانند تلاش برای حذف یا اصلاح فایل به صورت بلادرنگ نظارت می کند، سپس این فعالیت ها را قبل از اثر گذاری در سیستم مسدود می کنند.
1-6- حمله انکار سرویس توزیع شده
انکار سرویس تلاشی است برای جلوگیری از کاربران قانونی سرویس، برای استفاده از آن سرویس. این حمله از یک میزبان یا گره شبکه باشد ان را DoS گویند. حمله DDoS سعی میکند منابع مقصد را مصرف کند به طوری که نتواند سرویس ها را ارائه دهد. اولین مرحل در این حمله این است که حمله کننده تعدادی از ماشین ها را با نرم افزار zombie آلوده کند. سه کار می توان در مقابل DDos انجام داد:1-جلوگیری از حمله 2-تشخیص حمله با استفاده از جستجوی الگوهای مشکوک فیلتر کردن آنها 3-ردیابی مبدا حمله
1- فایروال
فایروال مانعی است که ترافیک باید از آن عبور نماید. سیاست امنیتی فایروال مشخص میکند که چه ترافیکی مجاز است از مسیری عبور کند. فایروال بین شبکه ساختمانی و اینترنت قرار می گیرد تا پیوند کنترل شده ای را ایجاد نماید و هدف آن حفاظت شبکه های ساختمانی از حملات اینترنتی است. چهار تکنیک است که فایروال برای کنترل دستیابی از ان استفاده میکند.
1- کنترل سرویس: سرویس های اینترنتی را که می توانند استفاده شوند تعیین میکند. ممکن است ترافیک بر اساس IP فیلتر شود.
2- کنترل جهت: تعیین میکند درخواست های سرویس خاص از چه جهتی آغاز می شود و اجازه پیدا میکند از فایروال عبور کند.
3- کنترل کاربر: این ویژگی معمولا به کاربران محلی اعمال میشود و دستیابی کاربران به سرویس خاصی را کنترل میکند.
4- کنترل رفتار: کنترل میکند که سرویس های خاص چگونه استفاده شوند.
1-1- انواع فایروال
1- مسیریاب فیلتر بسته: این فایروال مجموعه ای از قوانین را به هربسته IP ورودی یا خروجی اعمال میکند و در نهایت یا بسته راحذف میکند و یا حمل میکند.
2- دروازه سطح کاربرد(سرویس دهنده پراکسی): دروازه های سطح کاربرد به جای سرو کار داشتن با ترکیب های زیادی که در سطح TCP و IP مجاز و ممنوع هستند فقط چند کاربرد مجاز را به دقت بررسی میکند. اگر دروازه کد پراکسی را برای کاربرد خاصی پیاده سازی نکند، سرویس پشتیبانی نمی شود و از طریق فایروال حمل نمی شود.
3- دروازه سطح مدار: این فایروال می تواند سیستم مستقلی باشد و یا وظیفه خاصی باشد که توسط درواز سطح کابرد برا کابرد خاصی انجام می شود. این فایروال اتصال TCP انتها به انتها را اجازه نمی دهد، در عوض دو اتصال TCP ایجاد می کند، یکی بین خود و کاربر TCP در میزبان داخلی و دیگری بین خود و کاربر TCP در میزبان خارجی. عمل امنیتی این است که مشخص میکند کدام اتصال ها مجاز هستند.
مقاله امنیت شبکه توسط دانش پذیران مرکز توسعه آموزش های مجازی پارس نوشته شده است.