مقاله پایانی دوره امنیت شبکه (جهت دریافت مدرک Network Security از موسسه ICS کانادا)

نوشته شده توسط بهادر اکرمی در 28 اکتبر 2013

Network Security (امنیت شبکه): مجموعه ای از فعالیت­هایی است که شبکه را در برابر هرگونه نفوظ و یا تهدید احتمالی از درون یا بیرون شبکه محافظت می­کند این محافظت هم از نظر فیزیکی (سخت افزاری) و هم از نظر نرم افزاری و برقراری ارتباط بین کامپیوترها در شبکه می­باشد.

برخی از تجهیزاتی که در شبکه باید مورد حفاظت قرار ­گیرند:

سخت افزاری­های شبکه، اطلاعات نرم افزاری شبکه، کلیدهای رمز،  پایگاه­های داده­ای، گذرگاه­های مورد استفاده در شبکه، اطلاعات در حال تبادل در هر لحظه از زمان،  اطلاعات و چگونگی استفاده از منابع شبکه مورد استفاده کاربران

حمله

هرگونه تلاش با درجه خطر بالا یا پایین که به گونه­ای منجر به تغییر یا استفاده از منابع قابل دسترسی از طریق شبکه به صورت مجاز یا غیر مجاز شود را حمله می­گویند. این حمله میتواند توسط درون شبکه توسط افراد خودی یا بیرون از شبکه توسط هکر­ها صورت پذیرد.

عموماً حمله­ها به سه دسته ذیل تقسیم­بندی می­شوند:

  • دسترسی غیر مجاز به منابع و اطلاعات از طریق شبکه
  • دستکاری غیر مجاز اطلاعات در حال انتقال بر روی خطوط شبکه
  • حملات ایجاد اختلال در ارائه سرویس (Denial of Service)  DOS

حملات به دو طریق انجام می­گیرد:

۱-   حملات غیر فعال : دارای ماهیت استراق سمع و یا شنود اطلاعات انتقال یافته می باشد. هدف اینگونه حمله دسترسی به اطلاعات است و به دو مدل ذیل تقسیم می­گردد:

الف)- افشای محتویات پیام

ب)- تحلیل ترافیک

۲-     حملات فعال : شامل ایجاد تغییر در جریان اطلاعات و یا تشکیل جریان جدیدی از داده می باشد.

حملات عموماً به چهار دسته نقاب دار، باز خوانی، تغییر پیام و انکار سرویس تقسیم می­شوند.

دفاع  و امنیت: ثابت کردن محرمانگی داده­ها، نگهداری جامعیت داده­ها، اطمینان از در دسترس بودن داده­ها، اهداف کلی ایجاد امنیت در شبکه می­باشند.

تحلیل خطر: در حالت ایده آل باید یک شبکه را در مقابل تمامی خطرات مورد حفاظت قرار داد. به این منظور باید ارزیابی دقیقی از انواع خطرات انجام داد.

احتمال به وقوع پیوستن حمله و خسارات وارده در صورت انجام حمله موفق از دو فاکتور اصلی در تحلیل خطر در شبکه­های کامپیوتری می­باشند.

سیاست امنیتی: سیاست امنیتی باید به گونه ای تعریف شود که احتمال خطرات و میزان خسارت به حداقل رسد. چه چیزی و چرا باید محافظت شود، چه کسی مسئولیت حفاظت را بر عهده دارد و  زمینه ای بوجود آید که هرگونه تضاد احتمالی بر طرف کند سه نقش اصلی سیاست امنیتی در شبکه می­باشد.

سیاست­های امنیتی به دو دسته کلی مجاز و محدود کننده تقسیم می­گردند. و با تعریف این سیاست­های امنیتی یک طرح امنیتی شبکه شکل می­گیرد که شامل بخش­های کلمه عبور امنیتی و یا بکار گیری SSH،  فایروال­ها، مجتمع کننده­ها، تشخیص نفوذ، سرورهای امنیتی AAA  و سایر خدمات AAA برای شبکه، مکانیزمهای کنترل دسترسی و محدود کننده دسترسی می­باشد.

تجهیزات و دستگاه­هایی که بیشترین امنیت را نیاز دارند ، سرورهایی که فقط از سوی کاربران داخلی در دسترس هستند و  سرورهای عمومی که در منطقه­ای جدا و بدون امکان دسترسی هستند نواحی امنیتی یک شبکه می­باشند.

معماری امنیت OSI : معماری یک شبکه بسته به نیاز امنیتی آن تغییر می یابد. برای تعیین نیاز های امنیتی یک سازمان و برای ارزیابی و انتخاب خط مشی ها و محصولات امنیتی مختلف ، مدیر مسئول امنیت ، نیاز مند یک روش سیستماتیک برای تشخیص نیاز های امنیتی و مشخص کردن روش های تامین این نیاز هاست.

معماری امنیت بر سه سرویس کلی حمله امنیتی،  مکانیسم امنیتی و سرویس امنیتی تمرکز دارد . که هدف این سرویس­ها مقابله با حملات می باشد.

سرویسهای امنیتی : سرویس امنیتی یک سرویس ارتباطی و یا پردازشی است که توسط یک سیستم ایجاد شده تا نوعی امنیت تعریف شده از حفاظت را برای منابع سیستم بوجود آورد.

اعتبار سنجی: اعتبار سنجی سبب ایجاد اطمینان در برقراری ارتباطات شبکه­ای می­شود.

کنترل دستیابی : قابلیت محدود کردن و کنترل دست­یابی به سیستم­های میزبان و کاربردها از طریق پیوند ارتباطی است.

محرمانگی داده­ها : یعنی حفاظت از اطلاعات در حال انتقال بر روی خطوط شبکه در برابر حملات غیر فعال.

سرویس قابلیت دسترسی : قابلیت دسترسی یک خاصیت و یا یک منبع می­باشد که در صورت تقاضا از سوی یک واحد مجاز و بر اساس مشخصه های عملکرد ، سیستم و منابع آن آماده ی سرویس دهی باشند.

راهکار های امنیتی ویژه عبارتند از رمزنگاری، امضای دیجیتال، کنترل دستیابی، تمامیت داده­ها، مبادله احراز هویت و …

راهکارهای امنیتی فراگیر عبارتند از عملکرد قابل اعتماد، برچسب امنیتی، تشخیص رویداد، نظارت بر رویداد و ترمیم امنیت

شخص ثالث مورد اعتماد یک مدل از امنیت شبکه می­باشد که طراحی الگوریتم مناسب برای رمز نگاری داده های محرمانه، تولید کلیدهای مورد نیاز طرفین، استفاده از روش مناسب برای توزیع و توافق روی اطلاعات مخفی و طراحی یک پروتکل مناسب برای ارتباط و تبادل امن داده های طرفین شرایط استفاده از آن می­باشد.

استاندارد های اینترنت و انجمن اینترنت

اسناد RFC مجموعه وسیعی از نکات تکنیکی و منسجم ثبت شده می­باشد که حول محور اینترنت و مسایل مربوط به آن ایجاد شده­اند و شامل سه گروه کلی استانداردها، استانداردهای پیش نویس و استاندارد­های پیشنهادی می­شود و اصولاً روال تکاملیRFCها از پیشنهاد شروع می­شود.

RFCها به چهار دسته آزمایشی، اطلاعاتی، تاریخی و قدیمی طبقه­بندی می­شوند و دارای سه زیرمجموعه مهم مجموعه استاندارد، Best Current و (BCP ) و ( FYI ) می­باشند

رمز نگاری

مهم ترین وسیله خودکار مورد استفاده در امنیت شبکه و امنیت اطلاعات ، رمز نگاری  می باشد و به دوشکل مرسوم رمزنگاری رسمی یا متقارن و رمزنگاری کلید- عمومی یا نامتقارن است.

طرح رمزنگاری متقارن دارای پنج جز متن ساده، الگوریتم رمز نگاری، کلید سری، متن رمز شده و  الگوریتم رمز گشایی می باشد.

مهمترین  رمزهای قالبی متقارن  استاندارد رمز نگاری دیتا، سه گانه و استاندارد رمز نگاری پیشرفته می­باشند.

محل استقرار تجهیزات رمز نگاری :

در استفاده از رمزنگاری لازم است تصمیم بگیریم چه چیزی را رمزنگاری کرده ایم و لوازم مربوط به رمز نگاری کجا قرار داده شده است. که در این مورد دو انتخاب کلی وجود دارد رمزنگاری پیوند و رمز نگاری سر به سر که در عرض یک شبکه سوئیچ استفاده می­شوند.

بخش چهارم کاربر اعتبار سنجی:

پروتکل کربروس (Kerberos): (برگرفته از نام سگ سه سر- یکی از اساطیر یونان باستان) وظیفه این پرتکل سنجش اعتبار در شبکه­های کامپیوتری است و برای انجام اعتبار سنجی قوی در برنامه­های سرویس دهنده و سرویس گیرنده (Server/Client) گنجانده شده و دید این پرتکل به شبکه به صورتی است که شبکه را یک مکان نا امن و خطرناک می­داند و اطلاعات ارسالی در شبکه را اطلاعاتی قابل تغییر و ویرایش می­داند. هدف کربروس ایجاد یک شناسایی دو طرفه به سرویس دهنده و سرویس گیرنده است. دلیل انتخاب این نام برای کربروس سه لبه یا سه سر بودن این پروتکل می­باشد (سرویس گیرنده، سرویس دهنده و اعتبار بین دو مورد قبل (Trust میانی) که KDC نامیده می­شود.) امروزه از این پروتکل بصورت گسترده در Win Server 2008 R2 استفاده می­شود.

Kerberos 5 و پروتکل NTLM دو انتخاب برای بررسی اعتبار کاربران درWin2000  می­باشد.

کارامدتر بودن، دوطرفه بودن، اعتبار سنجی تفویض شده، سادگی مدیریت اعتبار و  قابلیت تعامل مزیت­های سنجیدن اعتبار به وسیکه کربروس است.

IETF استاندارد سنجش اعتبار کربروس می­باشد که در مؤسسه MIT پایه گذاری گردید، پروتکل کربروس به شدت بر پایه تکنیک­های سنجش اعتبار از قبیل رمزهای مشترک بنا نهاده شده است و مفهوم اصلی آن این است که اگر دو نفر رمزی را بداند آنها می­توانند دیگری را با رمزی که از وی دارند شناسایی کنند.

Authenticator یک پرتکل ساده است که از سنجش اعتبار کلید رمز استفاده می­کند و برای شخصی که از بیرون می­خواهد وارد سیستم شود استفاده می­شود و شخص خارجی هربار که اجازه ورود می­خواهد باید دارای کلید جدید برای Authenticator باشد.

KDC سرویسی است که بصورت فیزیکی روی یک سرور امن و محافظت شده در حال اجراست KDC یک بانک اطلاعاتی از مشخصات کاربران و قوانینی که در ناحیه خود دارند را در خود نگه می­دارد (Domain در ویندوز K2 یک نمونه از این سرویس است)

Ticket Session (مجوز ورود): یکی از مزایای استفاده از مجوز ورود این است که سرور لازم نیست کلید نشستی که برای ارتباط با کاربر استفاده می­کند را ذخیره کند. این مسئولیت سرویس گیرنده است که Ticket را برای سرور در Cache گواهینامه خود نگه دارد و برای هربار دسترسی به سرور آن­را ارائه دهد. هرگاه سرور یک مجوز ورود از سرویس گیرنده دریافت کند می­تواند از کلید رمز برای رمز گشایی و استخراج کلید نشست استفاده کند و سرور نیازی به نگهداری کلید نشست ندارد.

زیر ساخت عمومی کلید: وجود شخص سومی در معاملات امروزه امری عادی تلقی می­شود چرا که گاها شخص سوم می­تواند بعنوان ناظر یا مجری ارتباط ظاهر گردد مانند بنگاههای معاملاتی و غیره، در دنیای دیجیتال این شخص سوم PKI (Public Key Infrastructure) خوانده می­شود (زیر ساخت عمومی کلید) چیزی که در دنیای دیجتال عموم Stationها برای ارتباط با یکدیگر می­توانند از آن استفاده کنند.

مرکز صدور امضای دیجیتال مکانی است که کاربران می­توانند از طریق آن گواهینامه­های الکترونیکی در جهت امضای دیجیتال اسناد دریافت نمایند.

CA Server، CA Console، OCSP Server، OCSP Console، LRA، Time Stamp Server و Time Stamp Console زیر سیستم­های مجزای مربوط به مولفه­های نرم افزاری زیر ساخت کلید عمومی در صنایع انفورماتیک می­باشند که با کارکرد این زیر سیستم­ها در کنار یکدیگر می­توان کار صدور گواهی را انجام داد و وقتی سه زیر سیستم (CA, OCSP, TSS) در کنار هم قرار گیرند چهار مبحث یکپارچگی اطلاعات، محرمانگی، تشخیص هویت و عدم انکار در فضای دیجیتال قابل دسترس خواهد بود.

مدیریت کلید رمزنگاری، ایمن سازی کانال­های ارتباطی توسط پروتکل SSL/TLS،  امنیت ارتباطات بیسیم،  ایمن سازی کاربردهای تحت وب، ایمن سازی پست الکترونیک، ایمن سازی برنامه اتوماسیون اداری، ایمن سازی برنامه­های کاربردی خاص،  امنیت پایگاه داده، امکان ورود به سیستم عامل و شبکه، امنیت مستندات، امنیت کد، ایمن سازی خدمات روی ارتباطات سیار، کنترل دسترسی و طبقه بندی اطلاعات، شبکه­های VPN و هویت شناسی مجموعه کاربردهای PKI در سازمان­ها می­باشد.

امنیت در زمینه پست الکترونیک

امنیت ایمیل یک نیاز حیاتی محسوب شده و چیزی بیش از فیلترینگ ضد اسپم یا ضد ویروس را شامل می­شود. کلاهبرداری Fishing، کاربران سازمانی را تهدید به سرقت رمزهای عبور آنها می­کند تا بتوانند به شبکه­های سازمانی دسترسی یابند.

ابزارهای امنیت ایمیل از قبیل: Iron Port C-Series و Mira point Message Server M-Series نه تنها می­توانند با کوتاه کردن دست اسپم­ها موجب صرفه­جویی در وقت کاربران شوند، بلکه می­توانند همه مسائل امنیتی دیگر را نیز مدنظر قرار دهند و هر دو دارای راهکارهایی برای نادیده گرفتن درصد بالایی از اسپم­ها را دارند که در Iron Port این کارکرد Reputation Filters و در Mira Port آن را Mail Hurdle می­نامند. قدرت آزمایش شده Iron Port درخصوص مهار اسپم­ها ۹۳ درصد اسپم­های دریافتی و Mira Port 92 درصد اسپم­های دریافتی می­باشد.

Iron Port C-Series V.4.0.7-11 : ابزارهای Iron Port C-Series، دارای ویژگی طراحی شده برای کاهش لود بر روی شبکه داخلی هستند. Iron Port C-Series، برپایی آسانی دارد و ابزارهای رفع عیب و مانیتورینگ قدرتمند و کارایی ضد اسپم عالی بدون هیچ نیازی به تنظیم را ارائه می­دهد و همچنین یک دسته گسترده از ویژگی­های امنیتی شامل فیلترینگ محتوا برای زبان قابل اعتراض، امنیّت اطلاعات و سازگاری با نیازهای قانونی را فراهم می­سازد.

MirapointMessage Server V.3.5.9-GR: دارای دو سری ابزار است، RazorGate که یک گیت­وی امنیت ایمیل می­باشد و Message Server که شامل یک سرور ایمیل به همراه یک سری ویژگی­های امنیتی است. Mira point Message Server یک مجموعه غنی از قابلیت­های امنیتی ایمیل، یک سرور ایمیل و تقویم با ویژگی­های کامل را ارائه می­کند. این ابزار مجموعه کاملی از ویژگی­های فیلتر سازی محتوا را فراهم می­سازد که به راحتی قابل تنظیم هستند. فیلتر سازی ضد اسپم نیازمند انجام یک سری تنظیمات است تا به سطح قابل قبولی از تشخیص­های نادرست دست یابد.

امنیت IP، وب و مدیریت شبکه

استفاده از بیشتر فناوری­های نوین، از قبیل تلفن­های IPدار گرفته تا سیستم­های دارایی بهره گیرنده از فناوری شناسایی فرکانس رادیویی، امکانات نامحدودی وجود دارد، ولی تطبیق دادن مدل امنیتی سازمان­ها با فناوری کار بسیار مشکلی است.برای رفع خطرات و تهدیدات امنیتی شبکه چهار تکنیک و روش وجود دارد:

۱-     تکنیک اول(کنترل دسترسی)

۲-     تکنیک دوم(پیشگیری و محافظت)

۳-     تکنیک سوم (رفع مشکل توسط عامل کمکی)

۴-     تکنیک چهارم (ارائه پاسخ­های پویا به مشکلات)

مدیریت شبکه: استفاده از فناوری­های نوین و متعدد و در عین حال پویا در طراحی، پیاده سازی و نگهداری شبکه­های کامپیوتری نیازمند طیف دانشی وسیعی در زمینه شبکه می­باشد و همچنین آشنا بودن با آخرین تکنولوژی­های روز شبکه، سیاست کلی یادگیری اصول شبکه و ایجاد توانایی مدیریت یک شبکه به شرح ذیل است:

مطالعه دقیق مباحثی مانند مدل مرجعOSI، مفاهیم پروتکل TCP/IP، پشته یا Stacks، لایه دوم و تجهیزات مرتبط با آن، Routing، سرویس­ها، استفاده مفید از منابع مرجع شبکه­ای، ایمن سازی و ایمن نگهداشتن شبکه­ها، خروجی و آشنایی با نحوه عملکرد برنامه­ها و رویه­های درگیر در فرایند ارتباطی

امنیت وب: در زمینه وب باید به دلایلی که باعث هک شدن وب سایت­ها می­شود بپردازیم که شامل موارد ذیل است:

۱-     Cross site scripting یا XSS تزریق اسکریپ­ توسط هکرها در سایت

۲-     Injection flaws : دستورات غیر مجاز را به بانک­های اطلاعاتی تزریق می­کنند و معروفترین نوع آن SQL Injection است

۳-     Malicious file execution: ارسال یک اسکریپ PHP یا ASP به جای فایل تصویری توسط کاربر

۴-   Insecure direct object reference : مانند ارسال کد کاربردیا نام فایل مخصوص او بصورت پارامتر در آدرس صفحه که با تغییر در اطلاعات کاربر دیگری وجود خواهد داشت

۵-     Cross site request forgery : بدست گرفتن کنترل مرورگر توسط هکر و ارسال دستورات نادرست از طرف کاربر به سایت

۶-   Information leakage & improper error handling : اگر خطاهای سایت به شکل مناسبی مدیریت نشود ممکن است در صفحات خطا اطلاعات مهمی نمایش داده شود

۷-   Broken authentication & session management: به سرقت رفتن کوکی­های مربوط به ورود کاربر و راه جلوگیری از آن رمزنگاری اطلاعات و استفاده از SSL است.

۸-     Insecure cryptographic storage: استفاده از کلید رمز ساده یا عدم رمزنگاری اطلاعات کلیدی

۹-     Insecure communications: هکر در لایه ارتباطات شبکه در شرایطی می­تواند اطلاعات در حال انتقال در شبکه را مشاهده کند

۱۰- Failure to restrict URL access: دسترسی هکرها به برخی از صفحات خاص که دسترسی آن صفحات فقط در اختیار افراد خاصی مانند مدیر سایت می­باشد

تعرض: یکی از مسائل امنیتی مهم در سیستم­های شبکه­ای، تعرض خصمانه و یا حداقل ناخواسته کاربران و نرم افزارهاست. تعرض کاربر می­تواند بصورت اتصال غیر مجاز به ماشین و یا انجام عملیاتی فراتر از آنچه که برای او مجاز است صورت پذیرد.

تعرض در بحث نرم افزاری ممکن است به شکل ویروس، کرم و یا اسب تروا ظاهر گردد.

مهاجم نقاب­دار، سوء استفاده کننده و کاربر خفیه سه دسته از مهاجمین هستند که در یکی از مطالعات مهم دراین خصوص شناسایی شده­اند.

تکنیک­های تهاجم: هدف مهاجم، کسب دست یابی به سیستم و یا افزایش محدوده اختیارات وی در دست یابی به سیستم است و این امر نیازمند کسب یکسری از اطلاعات حفاظت شده دارد، اطلاعات معمولا به یکی از دو روش تابع یک طرفه و یا کنترل دستیابی و یا با هر دو روش محافظت گردد.

مهاجمین هشت روش کلی برای بدست آوردن رمزهای عبور دارند که شش روش اول آن بر پایه حدس زدن، روش هفتم بر پایه استفاده از اسب تروا و روش هشتم برپایه گذر از حفاظت فیزیکی شبکه می­باشد.

بدون دیدگاه دسته‌بندی : آموزش شبکه

دیدگاه‌تان را ارسال کنید ...

شما باید وارد شوید تا بتوانید دیدگاه‌تان را ارسال کنید.


طراحی قالب توسط: بهادر اکرمی