رنامه فایروال وینروت کریو – بخش نخست، معرفی


ساعت ۱٢:٢٥ ‎ق.ظ روز ٥ خرداد ۱۳٩٠  

 مقدمه

تصمیم دارم در چند قسمت برنامه ی فایروال وینروت کریو را برای خواننده گان وبلاگم معرفی کنم و بخش های مختلف آن را جداگانه به صورت گام به گام و همراه با فیلم و تصویر آموزش دهم. مطالب آموزشی این سلسله مقالات هم برای دانشجویان و هم برای مدیران شبکه یا کافی نت ها یا هر جایی که با شبکه ی اینترنت و اتصالات WAN در ارتباط هستند، مفید خواهد بود. امکانات محافظت از نفوذ، گزارش گیری ها، محدودیت کاربران به صورت ساعتی و حجمی (دانلود و آپلود) و همچنین محددویت های دسترسی به سایت ها و ... در این مجموعه مقاله بحث و بررسی خواهد شد. در نهایت بخش ارتباط این برنامه با اکتیو دایرکتوری ویندوز سرور را هم شرح خواهم داد. با توجه به این که در اغلب شبکه های اداری و تجاری خرید فایروال های سخت افزاری و همچنین نرم افزار های کنترل و سهمیه بندی پهنای باند و حجم مصرفی اینترنت هزینه ی قابل توجهی را به دنبال دارد، مدیران شبکه می توانند با تعقیب مباحث آموزشی این مجموعه مقاله در هزینه ها صرفه جویی کنند و وابستگی خود و سازمان شان را کاهش دهند. چرا که در اغلب سیستم های فایروال سخت افزاری و همچنین برنامه های Lan Accounting امکانات بسیار پیچیده ای هست که برای شبکه های کوچک و حتی متوسط توجیه مالی و فنی ندارد. لازم به ذکر است که صرفا بخش نخست یعنی معرفی کلی نرم افزار، ترجمه بوده، بقیه ی بخش ها به صورت تألیف می باشند.
خوشحال خواهم شد اگر پرسش یا پیشنهاد تان را با من در میان بگذارید.

 



 
جلسه نوزدهم امنیت شبکه


ساعت ٩:۳۳ ‎ق.ظ روز ٢٤ اردیبهشت ۱۳٩٠  

به نام خدا

ساختار سیگنالینگIMS SIP

پروتکلSIP جزو سیگنالینگ‌های کنترلی در معماری IMS می‌باشد. احراز هویت مبدا و مقصد در یک ارتباط و احراز هویت یک ارتباط و پشتیبانی از ثبت‌نام، اصلاح اطلاعات موقعیت‌های کاربران، محرمانگی در سیگنالینگ مکالمه‌ها و جریان‌های داده از وظایف این سیگنالینگ است. استاندارد3GPP TS24.229  استانداردهای مربوط به اجرایSIP درIMS را توضیح داده است. تمام سیگنالینگ SIP در دامنه سوییچ بسته ای و سطح کاربر درIMS مبادله می‌شوند. سیگنالینگSIP مطابق با IETF RFC 3261 دارای دو حالت درخواست و پاسخ می‌باشد. پیام‌های درخواست نظیر invite, bye به منظورایجاد تغییرات در یک اتصال ارسال می‌شوند، در حالی که پیام‌های پاسخ‌ نظیرOk برای توجه دادن به نتایج ناشی از ارسال درخواست می‌باشد. پیام‌های درخواست شامل شش درخواست invite bye, ack, options, cancel, register می‌باشند و پیام‌های پاسخ شامل سه دسته پیام1xx, 2xx.3xx,4xx,5xx,6xx می‌باشند. این مشخصه ها در پست های قبلی امنیت تشریح شده است.

ویژگی‌ها و مکانیزم‌های امنیتی IMS 

دسترسی امن کاربران به شبکه IMS با ابعاد امنیتی احراز هویت کاربر وشبکه، حفاظت از محرمانگی ارتباط، حفاظت از یکپارچگی ارتباط برقرار می‌شود. موارد ذکر شده ویژگی‌هایی می‌باشد که ارتباط یک کاربر با شبکه IMS دارا می‌باشد. در ادامه این ویژگی‌ها مورد بررسی قرار می‌گیرد.

شناسه ISIM

کلیدهای احراز هویت و توابع کاربر درون UICC ذخیره شده است. شناسه ارتباطی این شبکهISIM نامیده می‌شود. داده‌های امنیتی IMS و توابع آن درونUICCذخیره شده است. کاربران شبکهIMS نمی‌توانند تغییر و اصلاحی در نام دامنه شبکه خانه را در سیم کارت خود انجام دهند[g]. در ایجاد ارتباط کاربر با شبکهIMS، شناسه ISIM درونUICC امکان انتخاب مکانیزم‌های امنیتی متفاوتی را برای شبکه فراهم می‌نماید. یکی از این انتخاب ها بین شبکه و کاربر توافق شده و ارتباط امن ایجاد خواهد شد. انتخاب ها شامل موارد زیر می‌باشند:

  • هیچ تابع امنیتی و یا داده‌ای به اشتراک گذاشته نمی‌شود.
  • تنها الگوریتم‌ها به اشتراک گذاشته می‌شوند.
  • کلید احراز هویت، مکانیزم چک شماره ترتیبی به اشتراک گذاشته می‌شوند.
  • کلید احراز هویت، توابع احراز هویت و مکانیزم چک شماره ترتیبی به اشتراک گذاشته می‌شوند.

این انتخاب‌ها در شبکهUSIM وجود ندارد و در آن شبکه کلید احراز هویت، توابع احراز هویت و مکانیزم چک شماره ترتیبی در تمام ارتباط‌های کاربر با شبکه به اشتراک گذاشته خواهد ش و کاربر مجاز به انتخاب این موارد و توافق بر سر آن‌ها با شبکه نمی‌باشد

 

احراز هویت

یک کاربر IMS دارای مشخصه‌های مخصوص خود در HSS می‌باشند که شامل اطلاعات و داده‌های مختص کاربر است و در استاندارد3GPP TS 23.228 تعیین شده است. در زمان ثبت نام کاربر، سرور S-CSCF توسط I-CSCSF به کاربر معرفی می‌شود.  مشخصه‌های کاربر توسط واسط ارتباطیCx  از HSSبه S-CSCF منتقل می‌شود. پروتکل احراز هویت استفاده شده در شبکهUMTS با نام IMS AKA در شبکهIMS مورد بهره‌برداری قرار می‌گیرد. این دو پروتکل کاملا شبیه هم هستند. تنها در IMS AKA پاسخی(RES) که کاربر برای احراز هویت خود به شبکه ارسال می‌نماید به صورت رمز شده منتقل می‌شود در حالی که پاسخ ارسال شده کاربر در UMTS AKA  به صورت متن رمز نشده و کاملا آشکار ارسال می‌شود و امکان شنود آن بیشتر می‌باشد. توضیحات بیشتر در زمینه احراز هویت در بخش‌های بعدی خواهد آمد.

محرمانگی

امکان محافظت از محرمانگی سیگنالینگSIP در شبکه ‌IMS ارتباط بین کاربر و سرور P-CSCF را برقرار می‌نماید. تجهیزات کاربر الگوریتم‌های رمز‌نگاری برای استفاده در نشست را برای P-CSCF ارسال می‌نماید.  این سرور تصمیم می‌گیرد الگوریتم مورد استفاده کدام باشد و با الگوریتم مورد نظر شبکه نیز تطابق داشته باشد. توافق شبکه و کاربر در این زمینه، شامل کلیدهای رمزنگاری مورد استفاده در حفظ محرمانگی نیز می‌شود. مکانیزم مبتنی بر IMS AKA می‌باشد. مکانیزم محرمانگی در ارتباط امن بین سرورهای CSCFها به مکانیزم‌های امنیتی مشخص شده در امنیت دامنه شبکه و در  TS33.210تعیین شده است.

یکپارچگی

محافظت از یکپارچگی ارتباط بین کاربر و سرورP-CSCF برای محافظت از سیگنالینگSIP برقرار می‌شود. الگوریتم و کلیدهای استفاده شده در یکپارچگی بین کاربر و شبکه مورد توافق قرار می‌گیرد. با این مکانیزم، حملات تکرار محدود خواهند شد. مکانیزم یکپارچگی در ارتباط امن بین سرورهای  CSCFها به مکانیزم‌های امنیتی مشخص شده در امنیت دامنه شبکه و در TS33.210 تعیین خواهد شد. مطابق با RFC3261، پشتیبانی از پروتکلTLS توسط سرورهایSIP اجباری می‌باشد. برای محافظت از محرمانگی و یکپارچگی ارتباط بین سرورها، این پروتکل در لایه بالای IPSec قابل اجرا می‌باشد و مشخصه‌های Session ID, IP address, port No.در اتصالTLS وجود دارد. در صورتی که پروتکلTLS بر روی سرور قابل ارایه باشد، می‌تواند احراز هویت تشریح شده در TS33.310 را مورد استفاده قرار داد.

شاد و امیدوار باشین.

 



 
جلسه هجدهم امنیت شبکه


ساعت ٩:٢٩ ‎ق.ظ روز ٦ آذر ۱۳۸٩  

 به نام خدا

 مسایلی از سیگنالینگ SIP: 

 با سلام

 

 سیگنالینگSIP یکی از سیگنالینگ‌های کنترلی در شبکه‌های نسل جدید و در لایه کنترل هسته این شبکه‌ها یعنیIMS می‌باشد. این سیگنالینگ در ابتدا برای VOIP بهره‌برداری شده است اما با افزودن برخی سرآیندها و تعریفRFCهای جدید درIETF می‌تواند آن را در محیط IMS نیز استفاده نمود و تمام سرویس‌های شبکه‌های نسل جدید را از طریق آن برای کاربران فراهم نمود.

این سیگنالینگ دارای سرورهایی می‌باشد که هر کدام بخشی از کارهای کنترلی سیگنالینگSIPرا بر عهده دارند. سرورSIP ای که انتقال داده‌ها و شناسه‌های کاربر را به سرور دیگری انجام می‌دهد در مد redirect می‌باشد و سروری که درخواست‌های کاربر را اجرا می‌کند و ارتباط را برقرار می‌سازد، یک Proxy می‌باشد. سرورProxy این امکان را دارد تا درخواست کاربر را به یکProxy سرور دیگری ارسال نماید. پس سرورRedirect سروری است که اعلام می‌نماید که کاربر مقصد به سرور‌ دیگری متصل می‌باشد و سرورProxy درصدد برقراری درخواست ارسال شده می‌باشد. در صورتی که کاربرSIP  ، درخواستی را به سرورredirect می‌دهد. این سرور اعلام می‌کند که کاربر مربوطه به یک Proxy server دیگری مراجعه نموده است. بنابراین درخواست کاربر اول به سرویس‌دهنده مقصد ارسال می‌شود. معادل با سرورهای SIP در شبکه IMS عنوان‌های P-CSCF,I-CSCF و S-CSCF تعریف شده است که سرورهای اصلیP-CSCF و S-CSCF می‌باشند. سرورP-CSCF اولین سرور و نود ارتباطی کاربر با شبکهIMS می‌باشد. سرویس‌های کیفیت سرویس(QOS) فشرده‌سازی پیام و برخی سرویس‌های امنیتی نظیر یکپارچگی و رمزنگاری در این سرور پیاده‌سازی و نهایی می‌شود. الگوریتم‌های مربوط به فشرده‌سازی پیام SIP و یا QOS در این سرور نگهداری و توافق می‌شود. در صورتی که محیط انتقال پیامSIP، به یک محیط reliable نیاز نداشته باشد، بهتر است سیگنالینگ SIP بر روی UDP که سبکتر می‌باشد، اجرا شود و تنها در صورت لزوم از TCP استفاده شود. زیرا TCP ( و هر پروتکلreliable دیگری )درخواست ارسال شده را هر نیم ثانیه یکبار می‌فرستد تا زمانی که پاسخ را دریافت نماید. این یک حسن است که کیفیت سرویس و اطمینان از دریافت پیام توسط مقصد را بالا می‌برد، اما باعث کندی در شبکه و نیز افزایش تعداد سیگنالینگ‌ها نیز می‌شود.

به طور عام SIP یک سیگنالینگ برای شبکه‌های با پهنای باند زیاد می‌باشد. پروتکل‌های لایه انتقال به دلیل تاثیری که بر روی ‌call set up   دارند اهمیت می‌یابند و این مساله در QOS اهمیت دارد زیرا وقتی یک پیام گم میشود، می‌بایست پیامی دیگر ارسال گردد. به این ترتیب فشرده‌سازی و اندازه پیام‌ها نیز اهمیت می‌یابد. زمان‌بندی در سیگنالینگ‌هایی که با لایه کاربرد ارتباط دارند اهمیت زیادی دارد و افزایش اندازه پیام‌ها مشکلات ارتباطاتی را ایجاد می‌کند. و با fragmentation و skew نمی توان کاری کرد. به همین دلیل هنوز فشرده‌سازی پیام در این سیگنالینگ اهمیت دارد. روش فشرده‌سازی پیام در سیگنالینگSIP با نام SigComp تعریف شده است. روش‌های فشرده سازی در استفاده از سربار فشرده شده و یک abbreviation برای متن پیام می‌باشد که در جدولی این abbreviation توافق شده است.

Some example acronyms for SIP message field name

Abbr.

Field name

a

Accept

ai

Alert-Info

pani

P-Access-Network-Info

Rr

Record-Route

ae

Accept-Encoding

aei

Authentication-Info

pdcstpid

P-DCS-Trace-Party-ID

rk

Response-Key

al

Accept-Language

cd

Content-Disposition

p

Path

Sv

Security-Verify

این مکانیزم‌ها در افزایش کیفیت سرویس SIP تاثیر دارد. هرچه الگوریتم فشرده‌سازی سبک‌تر باشد، بار پردازشی تحمیلی بر روی سرورP-CSCF کمتر خواهد بود.

 



 
جلسه هفدهم امنیت شبکه


ساعت ۳:۱٩ ‎ب.ظ روز ۱٦ تیر ۱۳۸٩  

به نام خدا

مدیریت وقایع شبکه

با سلام

یکی از بخش‌هایی که در امنیت شبکه اهمیت می‌یابد، پاسخ‌گویی به حملات و رویدادهایی است که در شبکه به وقوع پیوسته است. این پاسخ‌گویی با مدیریت وقایع ثبت‌ شده و تحلیل آن‌ها انجام می‌شود. تحلیل وقایع شبکه و وضعیت شبکه دارای ساختاری به نام ساختار مدیریت ثبت وقایع می‌باشد.

ساختار مدیریت ثبت وقایع، شامل سخت‌افزار، نرم‌افزار، شبکه‌ها و رسانه استفاده شده برای تولید، ‌انتقال، ذخیره، تحلیل و مرتب نمودن داده‌های ثبت‌شده می‌باشد. این ساختار توابعی را برای پشتیبانی از آنالیز و تحلیل وقایع نظیر فیلترینگ، گردآوری، نرمالیزه نمودن، همبستگی‌سنجی و غیره شامل می‌شود و همچنین بر دسترس‌پذیر بودن داده‌ها و پشتیبانی و نگهداری از گزارش‌های ثبت‌شده از طریق توابعی نظیر parsing، بازبینی، تحلیل و آنالیز، چرخش، آرشیو و نگهداری به همراه تست یکپارچگی فایل‌ها نظارت دارد. این نظارت شامل اجرای مکانیزم‌های امنیتی در کلیه مراحل ذکر شده نیز می‌باشد تا از آسیب‌پذیری‌ها جلوگیری شود. مکانیزم‌های امنیتی نظیر محرمانگی، دسترس‌پذیری و یکپارچگی داده‌ها با بررسی نیازمندی‌های امنیتی پیاده‌سازی بومی این سیستم به‌دست می‌آید. انتقال و ارتباطات از طریق پروتکلی با نامsyslog و یا ابزاری با نامSIEM صورت می‌پذیرد.

معماری ثبت وقایع شامل بخش جمع‌آوری وقایع و بخش ثبت آن‌ها با فرمت یکسان به همراه مونیتورینگ و تحلیل گزارش‌های ثبت شده می‌باشد. واحد جمع‌آوری، فرمت وقایع و ذخیره آن‌ها بر اساس دسته‌بندی‌های تعریف شده را انجام می‌دهد. این گزارش‌ها، شامل اطلاعات و مشخصه‌های وقایع رخ‌داده در شبکه است. این اطلاعات از طریق تولید‌کنندگان وقایع توسط سیستم‌های تشخیص نفوذ و با فرمت‌های متفاوت به این بخش وارد می‌شوند و بر اساس سیاست‌گذاریها و دسته‌بندی‌های انجام شده در یک پایگاه داده با اولویت‌های مشخص ذخیره می‌شوند تا در بخش تحلیل و مونیتورینگ شبکه، مورد ارزیابی و استفاده قرار گیرند.

مونیتورینگ وضعیت شبکه شامل مونیتورینگ فعالیت ابزار و تجهیزات نصب شده در شبکه و همچنین شامل مونیتورینگ گزارش‌ها و پیام‌های ارسال شده می‌باشد. روش‌های فعال و غیرفعال برای مونیتورینگ تعریف شده است. اما مونیتورینگی که در واحد ثبت وقایع به منظور تولید پاسخ‌های مناسب انجام می‌پذیرد، به صورت فعال و یا بلادرنگ ‌است.

مونیتورینگی که به صورت غیرفعال بر روی گزارش‌های ارسالی از ابزار انجام می‌پذیرد، مدیریت اجرایی درون بخش ثبت وقایع را برعهده دارد. این مونیتورینگ بر اساس سیاست‌گذاریهای تعیین ‌شده، سطح و اولویت داده‌های ذخیره شده در پایگاه داده، مقدار داده منسوب به هر واقعه و سایر الزامات، عملیات انتقال و ذخیره واقعه در پایگاه داده را انجام می‌دهد.

 

 



 
جلسه شانزدهم امنیت شبکه


ساعت ۳:٠٩ ‎ب.ظ روز ٢۳ اسفند ۱۳۸۸  

به نام خدا

سیگنالینگSIP

با سلام

یکی از سیگنالینگ‌های مهم در زمینه انتقال صوت در شبکه اینترنت سیگنالینگ SIP است و در انتقال صوت بر رویIP و شبکه‌های مبتنی بر IP نظیر شبکه نسل آینده(IMS)، شبکه تلفن همراه نسل سه و غیره از آن استفاده می‌شود. این سیگنالینگ در سطح کنترلی شبکه‌ها و به منظور تنظیم و برقراری ارتباط کاربران با سرورهای شبکهIP و تنظیمات مربوط به کیفیت ارتباط و غیره استفاده می‌شود. این سیگنالینگ بر رویTCP و UDP قابل انتقال هست که البته به دلیل ماهیت ارتباط صوت بیشتر بر رویUDP منتقل می‌شود و انتقال آن رویTCP به دلیل افزایش تاخیر‌ها و ارسال مجدد درTCP، کاهش کیفیت صوت منتقل شده را در بر خواهد داشت.

سیگنالینگSIP دارای آسیب‌پذیری‌های متنوعی است که می‌توان دسته‌بندی زیر را برای آن‌ها در نظر گرفت:

 

1- دسته اول بر اساس شبکهIP نظیر حملات ‌replay, DOS, Spoofing, sniffing, middle man می‌باشد.

2- دسته دوم به علت طبیعت و ساختارSIP در لایه کاربرد نظیر bogus terminate, bogus register است.

3- دسته سوم شامل حملاتی ناشی از ترکیب استفاده از SIP در شبکه و آسیب‌پذیری‌های مختلف شبکهVOIP و رسانه‌های کاربردی  نظیر SQL injection, buffer overflow می‌باشد.

در ادامه بعضی از حملات در این سیگنالینگ را با توضیح مختصری تشریح می‌نماییم.

 

§         DOS

حملات ‌DOS پهنای باند سیستم را اشغال می‌کند، زمان پردازش اضافی به سیستم تحمیل می‌نماید و باعث می ‌شود سیستم کارایی خود را از دست بدهد زیرا درگیر تعداد زیادی پیام نصفه می‌شود. در ضمن حمله‌کننده به پیام‌های ارسال شده از سرورSIPپاسخی نمی‌دهد و تنها آدرسهای منابعSIP در این پیام‌ها را شنود نموده و از آن برای DDOS بهره می‌برد.

 

  •  Voice trapping

شنود ترافیک در سیگنالینگSIP به دلیل عدم رمزنگاری پیام‌ها امکان‌پذیر است.

 

  •  Voice spam/Predicate call

مهاجم پیام‌های invite متعدد را برای مزاحمت کاربری و یا برای فروش محصول خود ارسال می‌نماید. وجود Spamدر این شبکه مزاحمت بیشتری دارد. زیرا spam  پست الکترونیکی به دلیل اینکه on-line چک نمی‌شود و هرگاه فرصت دست داد چک می‌شود، آزاردهنده نیست اما ماهیت بلادرنگ voip باعث پاسخ‌گویی به تمامinviteهای رسیده می‌شود.

 

  • Bogus terminate

برای از کار انداختن یک نشست در SIP با ارسال پیام‌های جعلیcancel و یا bye به سرورSIP مکالمه را بدون اطلاع کاربر ارتباطی قطع می‌نمایند.

 

  • Malformed message

داخل نمودن یکسری کدهای نامعتبر و اضافی درون پیامهای ارسالی، سرریز بافر ویا SQL injection از حملاتی است که می‌تواند انجام شود و از کد نویسی در بخش‌هایی از هدر SIP استفاده می‌نماید.

 

  • Phishing

در این حمله از شناسه‌های شبکه سو‌استفاده می‌شود. به این مفهوم که شناسه یک کاربر مجاز را استفاده نموده و به سرور‌SIP متصل می‌شوند تا اطلاعات لازم را از ارتباط ایجاد شده دریافت نمایند. یا آدرس خود را به عنوان یک سرور پروکسی مجازSIP در وب سایت وارد ‌نموده و کاربر به سرور جعلی که آدرس آن وارد شده است، متصل می‌شود.

 

  • Replay attack

تکرار اطلاعات درست و حقیقی یک پیام ارسال شده در شبکه درون پیامی جعلی توسط حمله‌کننده را حمله تکرار می‌نامند. در این حمله ابتدا شنود انجام می‌شود و اطلاعات بدست آمده از پیام تحت فرمت جدید دوباره در شبکه ارسال می‌شود.

در این بخش به راه‌حل‌های اشاره شده می‌پردازیم. از مکانیزم‌هایی که امنیت SIP را افزایش می‌دهند می‌توان به موارد زیر اشاره نمود:

  1. اضافه نمودن IPsec به سیگنالینگSIP دشوار و پرزحمت است زیرا منجر به تحمیل سرباز اضافی به دلیل رمزنگاری به روشIPsec-ESP می‌شود.
  2. احراز هویت در لایه انتقال  (TLS) همان HTTPS,SIPSمی‌باشد. این روش سربار کمتری نسبت به IPsecایجاد می‌کند و از الگوریتمPKI بهره می‌برد. باید از TCP برای انتقال استفاده شود.
  3. استفاده از پروتکل که  SRTPبا رمز نگاری، محرمانگی و نیز احراز هویت که می‌تواند با گذاشتن یک nonce از حمله تکرارreplay جلوگیری ‌نماید.
  4. استفاده از سیستم‌های NIDS در شبکه‌هایVOIP کاربرد دارد.

جدول زیر نگاشتی از حملات و تهدیدها به همراه راه‌حل‌های ارایه شده در هر مورد را نشان می‌دهد.

سد حملات سیگنالینگ SIP با استفاده از مکانیزم‌های امنیتی مختلف

 

در مورد بهبود عملکرد امنیتی سیگنالینگSIP مقاله‌های متعددی ارایه شده است. تنوع راه‌حل‌های ارایه شده دسته‌بندی آن‌ها را مشکل می‌نماید و هر مقاله دسته‌بندی‌های خاصی را برای آن درنظر گرفته است. اما حمله‌های شایع در این سیگنالینگ را می‌توانflooding, Dos دانست. برای این سیگنالینگ استانداردها و RFC های متعددی ارایه شده است که می‌توانند راهنمای خوبی برای آشنایی بیشتر با ساختار این سیگنالینگ باشند.



 
جلسه چهاردهم امنیت شبکه


ساعت ۱:۱۸ ‎ب.ظ روز ٤ مهر ۱۳۸۸  

با نام خدا

 

بخش‌های امنیتی پروتکلSNMP

 

در ادامه معرفی پروتکل مدیریتی SNMP به مکانیزم‌های امنیتی آن می‌رسیم.


بخش‌های امنیتی همانند احراز هویت، محرمانگی و یکپارچگی در نسخه سومSNMP مورد توجه قرار گرفته است. در زمان انتقال پیام توسط SNMP می‌توان حالتهای دسترسیread-write, no-acces read-only, را برای پیام‌‌ها‌ تنظیم نمود. در نسخه‌ 1 و 2 این پروتکل شنود بسته‌های ارسال شده قابل انجام بود زیرا رمزنگاری داده  در ترافبک شبکه انجام نمی‌شد.


این پروتکل می‌تواند بر روی TCP پیاده‌سازی شود اما در اغلب موارد بر روی‌UDP پیاده‌سازی می‌شود که IP spoofing را در این بخش میسر می‌نماید و شنود بسته‌های داده ارسال شده در شبکه را در لایه IP قابل انجام می‌نماید.


حملات brute force (شکستن رمز با امتحان تعدادی کلید با توجه به طول کلید الگوریتم رمزنگاری) و  dictionary attack از جمله مواردی هستند که تمام نسخه‌های این پروتکل نسبت به آن ضعف دارند. این ضعف به خاطر عدم پشتیبانی  پروتکل‌ از پروتکل دستداد چالش و پاسخ(challenge- response handshake) می‌باشد.


علاوه بر حملات بالا، این پروتکل می‌بایست در مقابل حمله dos (وقفه) نیز مقابله نماید. به این منظور، مقایسه پاسخ‌های دریافت شده به ازای درخواست‌های ارسال شده به شبکه در SNMP انجام می‌پذیرد. هر پاسخی که دریافت می‌شود می‌بایست به ازای درخواستی، ارسال شده به شبکه باشد؛ در غیر این صورت احتمال وجود حمله DOS وجود دارد.


در نسخه سوم این پروتکل مدل امنیتی مبتنی بر کاربر با نام (User-based Security Model(USM)) تعریف شده است. مدلUSM  در معماریSNMP کاربرد دارد و پروسیجرهایی تولید می‌کند تا در ایجاد سطوح امنیتی برای پیام‌های SNMP استفاده شوند. یکسری MIB مدیریتی برای مونیتورینگ و نظارت بر این مدل امنیتی(USM) تعریف شده است. نحوه انجام این تنظیمات در RFC 3414 تشریح شده است.


در بخش احراز هویت از الگوریتم‌های رمزنگاری HMAC-MD5-96 و HMAC-SHA-96 استفاده می‌شود و CBC-DES برای محرمانگی در پروتکلSNMP کاربرد دارد. به منظور حفظ محرمانگی، احراز هویت پیام بایستی الزامی باشد. مدلUSM پروتکلSNMP امکان استفاده از این الگوربتم‌ها را در کنارSNMP  مهیا نموده است.


هر کدام از الگوریتم‌ها به روشی پیاده‌سازی می‌شوند و توضیح نحوه پیاده سازی روش‌ها و الگوریتم‌های ذکرشده در بالا  جزو معرفی SNMP نمی‌باشد. برای آشنایی با هر کدام از این الگوریتم‌ها می‌توانید از شبکه اینترنت استفاده نموده و شرح پیاده‌سازی آن‌ها را مطالعه نمایید. روش و مدلUSM این الگوریتم‌ها را به منظور افزایش کارایی و امنیت پروتکل SNMP در کنار هم وبه کمک واحدهایMIB پیاده سازی نموده است. نحوه پیاده‌سازی آن‌ها در جلسه آینده مورد بحث قرار می‌گیرد.

 

موفق باشین..........

 



 
جلسه سیزدهم امنیت شبکه


ساعت ۱۱:۳٥ ‎ق.ظ روز ۳۱ امرداد ۱۳۸۸  

 

 با نام خدا


ادامه پروتکلSNMP

 

پروتکلSNMP امکان پیاده‌سازی بر روی محیط‌های متعدد با کاربری در شبکه‌های وسیع و یا شبکه‌هایی با کاربردهای محدود و کوچک را دارا می‌باشد.


پروتکل SNMP برای سیستم‌های مدیریت در شبکه به منظور مونیتورینگ تجهیزات نصب شده در شبکه کاربرد دارد و شامل یک لایه کاربردی، یک پایگاه داده و بخش داده می‌باشد.

داده مدیریتی پیکربندی سیستم را توصیف می‌نماید. داده‌ها توسط کاربردهای مدیریتی تنظیم و مقداردهی می‌شوند. معماری و ساختارSNMP متشکل از مجموعه ای از ایستگاه های مدیریت شبکه و المان‌های شبکه است.

المان‌های مدیریتی کاربردهای مربوط به مدیریت را اجرا می‌کنند . این المان‌ها وظیفه کنترل و مونیتورینگ تجهیزات شبکه را بر عهده دارند. SNMP ارتباط بین المان‌های مدیریتی و المان‌های شبکه را در لایه کاربردOSI برقرار می‌نماید.


هر سیستم مدیریتی با استفاده از یک بخش نرم‌افزاری(agent) اطلاعات لازم را از طریقSNMP به سیستم مدیریتی منتقل می‌نماید. همان‌طور که قبلا هم اشاره شده است،SNMP پورت161 از UDP را برایagentها و پورت 162 را برای مدیریت استفاده می‌کند. مدیریت می‌تواند درخواست‌ها را از طریق هر پورت مبدای به پورت161 یک agent بفرستد و هر agent پاسخ درخواست مدیریت را به پورت‌های مبدا می‌فرستد.


مدیریت پیام‌های هشدار و اطلاع‌رسانی را از طریق پورت162 دریافت می‌نماید، اما یک  agentاجازه دارد پیام‌های هشدار و اطلاع‌رسانی را از طریق هر پورت ‌در  دسترس خود ارسال نماید.


تجهیزات شبکه که از پروتکلSNMP استفاده می‌نمایند، یک گره مدیریتی در شبکه تشکیل می‌دهند. این گره‌ها و تجهیزات مدیریتی، وظیفه جمع‌آوری و ذخیره اطلاعات مدیریتی و تبدیل آن‌ها به داده‌هایی قابل استفاده برایSNMP را بر عهده دارند.


یک agent درواقع یک ماژول نرم‌افزاری مدیریت شبکه است و در مورد داده‌های محلی گره شبکه، اطلاعات مدیریتی دارد و آن‌ها را به فرمت قابل تفسیرSNMP، ترجمه می‌نماید.

ساختار مدیریتی توسط زیربخشی از SNMP با نام MIB و یا (Management Information Bases) تعریف می‌شود.MIB ساختار مدیریتی یک سیستم را توصیف می‌کند. هر واحدMIB با نام OID و یا (Object Identifier) نام دارد و متغیری را در بر می‌گیرد که توسطSNMP قابل خواندن و تفسیر می‌باشد. هر OID می‌تواند به لایه‌ای از OSI مربوط باشد.


پروتکلSNMP، دارای یک متعادل‌کننده بار نیز می‌باشد. این بخش(dispatcher) وظیفه مدیریت ترافیک بار را درSNMP برعهده دارد. برای بسته‌های داده‌ای که خارج می‌شوند، یکdispatcher نوع پیام و نوع پردازشی که باید روی آن انجام پذیرد، را مشخص می‌نماید. سپس پیام را به ماژول مورد نظر راهنمایی می‌نماید. Dispatcher پیام مربوطه را برای ارسال به لایه انتقال می‌سپارد.

برای پیام‌های ورودی،dispatcher پیام‌ها را از لایه انتقال دریافت می‌نماید و هر پیام را به ماژول متناظر برای پردازش می‌دهد و پیام را به کاربرد موردنظر راهنمایی می‌نماید.


بخش‌های امنیتی همانند احراز هویت، محرمانگی و یکپارچگی در نسخه سومSNMP مورد توجه قرار گرفته است که در پست‌های اینده به آن‌ها خواهیم پرداخت.


موفق باشین..........



 
جلسه دوازدهم امنیت شبکه


ساعت ۳:٥٢ ‎ب.ظ روز ۱٧ امرداد ۱۳۸۸  

با نام خدا


پروتکل‌ مدیریتی شبکه  SNMP(Simple Network Management Protocol)

 


در این پست راجع به سطح مدیریت در معماری شبکه‌ها بحث می‌نماییم. علاوه بر سطوح کنترل و کاربر، سطح مدیریت، یکی از سطوح معماری شبکه است که شامل پروتکل‌های مختلفی می‌باشد و از استاندارد SNMP می‌توان به عنوان یک پروتکل در سطح مدیریت نام برد .


طبق استاندارد ISO-8498-2، دو جنبه ایمنی مدیریت در شبکه داریم: امنیت مدیریت و مدیریت در امنیت. بخش امنیت مدیریت در واقع، امنیت بسته‌های مدیریتی است که در شبکه ارسال می‌شوند. به عنوان مثال، حفظ امنیت بسته‌هایی مدیریتی که در شبکه ارسال و دریافت می‌شوند به این بخش مربوط می‌شود. پروتکل‌هایی همانندSSL,TLS,IPsec,… در صورتی که از بسته‌های مدیریتی حمایت کنند، می‌توانند جزو این دسته باشند که در پست‌های قبلی به آنها اشاره شده است. (البته این پروتکل‌ها هر نوع ترافیک در شبکه را پشتیبانی می‌نمایند و فقط مختص ترافیک مدیریتی نیستند و می‌بایست هر نوع ترافیکی را محافظت نمایند.)


بخش دوم اشاره شده در استانداردISO-8498-2 ،ایجاد مدیریت در ایمنی شبکه و یا مدیریت امنیت می‌باشد. مدیریت امنیت پشتیبانی‌هایی است که یک پروتکل‌ مدیریتی همانندSNMP در شبکه انجام می‌دهد تا ما به یک شبکه امن دست‌یابیم.


مدیریت شبکه با استفاده از مجموعه‌ای از ابزارهای کنترلی، به همراه مونیتورینگ شبکه، گزارشی از وضعیت شبکه می‌دهد و باعث می‌شود تا سیاست‌های امنیتی و کنترلی لازم اندیشیده شود. در این بخش پروتکل‌های کنترلی و مدیریتی وضعیت شبکه را کنترل می‌نمایند و تعیین می‌کنند که ترافیک و پیکربندی شبکه چگونه انجام شود.


مدیریت در شبکه، کار پیکربندی مناسب شبکه را با توجه به کاربرد هر شبکه انجام می‌دهد و مسوولیت نگهداری و پشتیبانی از شبکه، محاسبه مقدار استفاده از منابع و تنظیم سیاست‌های اجرایی را بر عهده دارد. این تنظیمات افزایش ایمنی شبکه را فراهم می‌آورند.


مدیریت یک شبکه باید به صورت بلادرنگ و در کنار شبکهٔ فعال، انجام پذیرد تا در سرویس‌دهی شبکه خللی ایجاد نشود و احیانا شبکه کند نشود.  ابزارهای مدیریتی شبکه، یک محیط GUI برای مدیر فراهم می‌نماید و با پیام‌های مربوطه، خطاهای شبکه را اطلاع می‌دهد. این ابزار قابلیت بررسی و تست شبکه و ترافیک آن، هم‌چنین ثبت رویدادهای شبکه را نیز دارند. به کار بردن ابزار مدیریتی، زمان عیب‌یابی و راه‌اندازی سیستم‌ها را کاهش می‌دهد.


 استانداردSNMP، یک استاندارد مونیتورینگ می‌باشد که وضعیت شبکه را بررسی نموده و دستورات لازم را ارسال می‌نماید. سه نسخه از این استاندارد به بازار آمده است. نسخه سوم استاندارد، ابعاد امنیتی احراز هویت، محرمانگی و کنترل دسترسی فیچرهای مدیریتی را پشتیبانی می‌نماید. پروتکل SNMP مربوط به لایه کاربرد بوده و می‌تواند بر رویTCP و UDP اجرا شود. البته نسخه یک تنها بر رویUDP قابل پیاده‌سازی بوده است.


این استاندارد از شماره پورت161برای ارسال درخواست‌ به عناصر شبکه و شماره پورت162برای ارسال رویدادها به ایستگاه مدیریت استفاده می‌نماید. ایستگاه مدیریتی یا(Management Agent)، کار نظارت و مدیریت را انجام می‌دهد و سایر عناصر موجود در شبکه تحت نظارت این ایستگاه مدیریتی فعالیت می‌نمایند. اطلاعات مدیریتی تحت ساختارMIB(management Information Base) قرار دارند. عناصر(Agent) هایی که در کار مدیریت شبکه شرکت می‌نمایند، می‌توانند Bridge ها، مسیر‌یاب‌‌ها و یا هاب‌‌ها و یا هر عنصر دیگری باشند. مدیریت این عناصر بر عهده ایستگاه مدیریت می‌باشد که می‌تواند بیش از یک ایستگاه در نظر گرفته شود. استانداردSNMP امکان تنظیمات ایستگاه مدیریتی، بازیابی مقادیر MIB و یا اطلاعات از رویدادهایی که در هر Agent رخ می‌دهد، را با استفاده از دستورات ساده‌(Get, SET, Trap) به دست می‌ٱورد.


پروتکل SNMP ، علاوه بر مدیریت برای ایجاد امنیت شبکه، در ثبت رویدادها و به اصطلاحlog management نیز کاربرد دارد. ثبت رویدادها به منظور آگاهی از رفتار شبکه انجام می‌پذیرد تا سیاست‌های مناسب کنترلی برای شبکه بر اساس نوع رویدادها،تنظیم شود و ما را به سوی داشتن شبکه امن‌تر رهنمون سازد.

...........

تا بعد .....

 


 



 
جلسه یازدهم امنیت شبکه


ساعت ۳:٥٧ ‎ب.ظ روز ٢۳ اردیبهشت ۱۳۸۸  

 

به نام خدا

 پروتکل امنیتی Transport Layer Security(TLS)

 

این پروتکل امنیتی ، در لایه انتقال و بسیار نزدیک به پروتکل امنیتیSSL(Secure Socket Layer) تعریف شده است، تا ارتباطات روی شبکه‌ را همانند شبکه اینترنت ایمن نماید. پروتکل‌های امنیتی  TLSو SSL، پروتکل‌های امنیتی استفاده شده در لایه انتقال شبکه‌ها می‌باشند و در شبکه‌های سیار و سیمی می‌توانند پیاده‌سازی شوند.

این پروتکل یک ارتباط انتها به انتها را رمزنگاری می‌نماید. موسسه IETF آن را در RFC5246 استاندارد نموده است.

  هدف از تعریف و اجرای TLS در لایه انتقال، ایمن نمودن تراکنش‌های ارتباطی در لایه کاربرد می‌باشد. این پروتکل امنیتی می‌تواند در کنار پروتکل‌های ارتباطی، همانندHTTP،FTP،SMTP،NNTP مورد استفاده قرار گیرد. به عنوان مثال، مفهوم HTTPS یادآور این مطلب است که در ارتباط HTTP از پروتکل ارتباطی TLS در لایه انتقال بهره برده‌ایم.

به این ترتیب پروتکل‌های لایه بالاتر به همراه این پروتکل یک ارتباط ایمن را به همراه مکانیزم‌های موجود در TLS پدید می‌آورد. مکانیزم‌های درنظر گرفته شده این پروتکل، شامل رمزنگاری به منظور ایجاد محرمانگی در ارتباط و الگوریتم‌های صحت به منظور ایجاد یکپارچگی و تضمین حفظ صحت داده در روند انتقال آن به مقصد می‌باشد.

علاوه بر مکانیزم‌های گفته شده، تایید هویت نهادهایی که قصد شرکت در ارتباط را دارند، نیز در این پروتکل منظور شده است.

پروتکل TLS تایید هویت یک‌‌طرفه یا دوطرفه (تایید هویت کاربر به شبکه و تایید هویت شبکه به کاربر) را برای دسترسی رمزشده به شبکه‌ها فراهم می‌نماید. این عمل با استفاده از الگوریتمی صورت می‌گیرد که کاربر و شبکه، هردو در مورد آن توافق نموده‌اند.

بخش‌هایی همچون حفاظت از بسته داده، محدود نمودن و بهینه نمودن اندازه بسته و انتخاب یک الگوریتم سریع، به استانداردTLS  افزوده شده‌است.

کیفیت ارتباط بین دو طرف بستگی به نوع الگوریتم‌های توافق شده بین آنها دارد. این توافق قبل از اجرای TLS، و با تبادل پیام بین دو طرف بوجود می‌آید.

الگوریتم و روش انتخابی شبکه، در پیام ارسالی به اطلاع کاربر می‌رسد. الگوریتم‌ها شامل، الگوریتم‌هایی می‌باشد که قرار است در محاسبه چکیده پیام(MAC) مورد استفاده قرار گیرد.

علاوه بر آن الگوریتم‌ها و روش‌های انتخابی برای رمزنگاری نیز در این پیام ارسال می‌شود.به این ترتیب کاربر متوجه می‌شود از چه نوع الگوریتم و از چه تنظیماتی در ارتباط خود با شبکه بهره ببرد. تست صحت داده در این پروتکل، توسط الگوریتم‌های عمومی تعریف شده، انجام می‌پذیرد.

این پروتکل برای محافظت از پروتکل کاربردی SIP استفاده می‌شود.  پروتکل SIP، در بحثVoIP و یا تلفن مبتنی بر IP کاربرد دارد. انتقال صوت بر روی شبکه اینترنت می‌تواند نمونه‌ای از VoIP باشد.

در لایه انتقال برای تعریف کانال‌های ارتباطی، مفهومی به نام نشست (Session) وجود دارد. نشست‌هایی که لایه انتقال در ارتباط با شبکه IP تعریف می‌نماید، دارای زمان اعتبار می‌باشد.

هر نشست تعریف شده، با استفاده از Sequence Numberها و یا همان شماره توالی مشخص می‌شود.

یک نشست علاوه بر شماره توالی دارای یک مدت اعتبار نیز می‌باشد. مدت اعتبار نشست نشان می‌دهد که تا چه زمان، ارتباط بین کاربر و شبکه IP می‌تواند طول بکشد.

 قابلیت دیگری که درTLS  وجود دارد، امکان  تعلیق یک نشست و اجرای دوباره آن در زمانی دیگر می‌باشد.

به این طریق یک نشست می‌تواند در مدت زمان طولانی، به صورت باز، ولی غیرفعال باقی بماند. این قابلیت باعث می‌شود تا یک حمله‌کننده از مشخصه‌های ارتباط که در زمان طولانی معتبر باقی مانده است، سو استفاده نماید.

در طول مدت معتبر بودن یک نشست، کلیدهای امنیتی آن معتبر می‌باشند و این موضوع احتمال کشف کلیدهای رمزنگاری را توسط یک مهاجم افزایش می‌دهد.

بحث پروتکل‌ها، پروتکل‌های امنیتی و تاثیر تعامل آنها در کنار هم، جای بحث و مطلب زیادی دارد.

فعلا همین اندازه باشه تا پست‌های بعدی ....

شاد باشین و می‌بخشین به خاطر وقفه‌ای که پیش اومد......................



 
جلسه دهم امنیت شبکه


ساعت ۸:٠٥ ‎ب.ظ روز ٢۳ اسفند ۱۳۸٧  

به نام خدا

پروتکلIPsec امنیتی

 

پروتکل‌IPSec در لایه سه اعمال شده و مکانیزم‌های امنیتی را بر روی پروتکلIP اعمال می‌کند. ایجاد این مکانیزم‌ها بر روی IP باعث می‌شود تا حدودی امنیت در شبکه‌ اینترنت بر روی داده‌ها اعمال شود. این پروتکل در لایه سه و به همراه IPv6 به صورت اجباری اعمال می‌شود و باعث ایمن نمودن ارتباط ایجاد شده در شبکه داخلی و در کل شبکه می‌گردد.

اعمال این پروتکل امنیتی در لایه سه، نیازی به تغییر در برنامه‌های کاربردی نصب شده در شبکه ندارد و پس از پیاده‌سازی آن، همان برنامه ها و پروتکل‌های قبل از اعمالIPSec به کار خود ادامه می‌دهند.

این پروتکل مسیریابی مطمینی در شبکه موجب می‌گردد و از بسیاری از حملاتی که ناشی از مسیریابی جعلی است ممانعت می‌نماید.

این پروتکل در دو م‍د transport و tunnel مورد بهره‌برداری قرار می‌گیرد. در مد انتقال، از payload یا همان داده و قسمتی از سرآیند IP که این پروتکل به آن اضافه شده است، محافظت می‌شود و سرآیندهای مربوط به IP محافظت نمی‌شوند.

 مد تونل‌زنی‌IPSec بر روی دروازه‌ها و یا گره‌هایی که توسط آنها اطلاعات از زیرشبکه خارج می‌گردد، اعمال می‌گردد و در زمان خروج بسته‌ها ایمنی بر روی آن‌ها اضافه می‌شود و از payload محافظت می‌گردد.

کل داده به همراه بخش‌های ایمنی، به عنوان داده جدید برای datagram جدید درنظر گرفته شده و سرآیند مربوط به datagram نیز محافظت می‌شود.  به این معنی که یک سرآیند خارجی امنیتی به کل بسته ‌IP شامل داده و سرآیند آن اضافه می‌گردد.

 

پروتکلIPsec از حملاتی نظیرIPSpoofing ممانعت می‌کند و به علت تعریف شماره‌های توالی در خود از حمله تکرار نیز جلوگیری می‌کند. در حمله تکرار مهاجم بسته فرستاده شده در شبکه را دریافت نموده و دوباره آن را ارسال می‌کند. در صورت داشتن شماره توالی و   یا sequence Number در یک بسته وقتی دوباره بسته‌ای فرستاده باشد، این شماره توالی در شبکه تکراری خواهد بود و گیرنده با دریافت این موضوع بسته را drop می‌کند. در صورتی که بسته‌ای نیز از شبکه حذف شود، شماره توالی مربوط به آن حذف شده است و شبکه متوجه مفقود شدن یک بسته خواهد شد.

نوشتن شماره توالی و time stamp و یا مهر زمانی‌ برای جلوگیری از حمله تکرار می‌باشد.

هر کدام از این دو مد کاری پروتکلIPSec، می‌توانند در دو نوع حالت پیاده‌سازی شوند. پیاده‌سازی این پروتکل با دو روش AH,ESP مورد اجرا قرار می‌گیرد.  سرویس‌های پروتکل AH شامل احراز هویت، یکپارچگی داده و کنترل دسترسی است.

روش ESP با رمزنگاری، شامل سرویس‌های محرمانگی داده، کنترل دسترسی و محرمانگی جریان داده می‌باشد.

هر دو روش از ایجاد حمله تکرار بسته‌ها با استفاده از یک مقدار شماره توالی سی و دو بیتی، ممانعت می‌کنند.  

زمان انتقال ترافیک، وقتی که بسته‌IP، به هر گره‌ای که بر روی آن IPSec نصب شده است، برخورد کند، بر اساس آدرس مقصد می‌تواند تشخیص دهد که این گره، کاربر نهایی، مسیریاب و یا یک دیواره آْتش است.

ادامه مطالب در مقاله های بعدی می‌آید.

سال جدید سال خوبی باشه و به آرزوهاتون برسین……………….



 
جلسه نهم امنیت شبکه


ساعت ۱:٠٠ ‎ب.ظ روز ٢٥ بهمن ۱۳۸٧  

به نام خدا

پروتکل‌های امنیتی شبکه ها

 پروتکل، مجموعه قوانینی برای ارتباط طرفین و یا دو موجودیت نظیر(peer entity) می‌باشد. مجموعه قوانینی که برای انتقال پیام بین دو طرف ارتباط در یک شبکه وجود دارد. پروتکل‌های مختلفی در لایه های مختلف شبکه ها تعریف شده‌اند. این پروتکل‌ها اهداف مختلفی را دنبال می‌نمایند. پروتکل‌های تعریف شده در لایه کاربرد ارتباط بین دو نهاد به صورت انتها به انتها را برقرار می‌نمایند. یعنی دو کاربرد در دو انتهای ارتباط به صورت امن رابطه برقرار می‌نمایند.


 پروتکل‌های امنیتی در لایه های پایین‌تر با ارتباط کاربردی،  کاری ندارند و امنیت در حد واسط‌ها و دیتا گرام و یا امنیت بسته را برقرار می‌نمایند.


 پروتکل‌های امنیتی در ابتدا کار احراز هویت را انجام می‌دهند. احراز هویت به صورت یکطرفه و دو طرفه انجام می‌پذیرد. احراز هویت یک طرفه یعنی کاربر و یا نهادی که می‌خواهد از شبکه ارتباط بگیرد، باید ابتدا خود را معرفی نماید.


معرفی یک کاربر به شبکه، بسته به اینکه پروتکل امنیتی مربوط به کدام لایه باشد، فرق می‌کند. پروتکل امنیتی لایه سه، آدرس IP او را بررسی نموده و تصدیق می‌نماید. پروتکل امنیتی لایه کاربرد، آدرس پورت‌ها، شماره نشست و بقیه مشخصه‌ها را بررسی می‌نماید. بقیه مشخصه‌ها می‌تواند شامل شماره ترتیبی(Sequent Number) نیز باشد.


 در احراز هویت دوطرفه شبکه سرویس‌دهنده هم باید خود را به کاربر معرفی نموده و خود را احراز نماید. بعد از معرفی اولیه دو طرف و توافق بر کیفیت ارتباط ؛ امکان ایجاد ارتباط ، تعریف شده و شروع می‌شود.


 توافق‌های اولیه راجع به الگوریتم‌‌های رمزنگاری مورد استفاده،  کلید‌های عمومی، کلیدهای خصوصی و بقیه مشخصه‌ها می‌باشد. پس از این مرحله هر دو طرف ارتباط می‌دانند که از چه کلیدی استفاده کنند تا طرف مقابل قادر به رمزگشایی باشد،‌از چه الگوریتمی برای رمزنمودن داده استفاده نمایند و بقیه اطلاعات لازم را از طرف دیگر بدست می‌آورند.

این توافق‌ها در بخشی به نام hand shaking و یا دست‌داد انجام می‌پذیرد. دستداد در ابتدای هر ارتباط انجام می‌پذیرد.

 در مورد احراز هویت  و روش‌های مختلف آْن در مقاله‌های بعدی توضیح خواهیم داد.


از پروتکل‌های امنیتی می‌توانم به ‌IPsec، SSL، SSH،TLS،WTLS اشاره کنم. هر کدام از این پروتکل‌ها می‌توانند به همراه پروتکل‌های شبکه و در کنار آنها، وظیفه اجرا و پیاده‌سازی مکانیزم‌های امنیتی را به منظور حفظ ابعاد هشت‌گانه امنیتی برعهده داشته باشند.


این مکانیزم‌ها از بروز حمله‌‌ها جلوگیری می‌نمایند. پیاده‌سازی برخی از این پروتکل‌ها به صورت اجباری در پروتکل‌ها تعریف شده است. به عنوان مثال پیاده‌سازی پروتکلIPsec  در پروتکل IPv6 اجباری می‌باشد. پروتکلIPsec مربوط به لایه شبکه و بقیه پروتکل‌های گفته شده مربوط به لایه کاربرد و یا انتقال می‌باشند.


سازگاری این پروتکل‌ها در کنار بقیه استانداردهای شبکه منجر به افزایش استفاده از آنها می‌گردد. برخی از آنها نیز همانند WTLS به منظور خاصی تعریف می‌گردد.


 پروتکلWTLS یک پروتکل امنیتی لایه انتقال است که در شبکه‌های سیار برای حفظ امنیت لایه کاربرد ارتباط انتها به انتهای کاربران شبکه تعریف شده است.


پروتکل‌های دیگر لایه انتقال SSL، TLS می‌باشند و پروتکلSSH مربوط به ارتباط در لایه کاربرد می‌باشد. با وجودی که پروتکل‌های SSL، TLS شباهت زیادی دارند، به طور همزمان و در دو طرف یک ارتباط قابل استفاده نیستند. هدف این دو پروتکل صحت داده و محرمانگی ارتباط بین طرفین ارتباط می‌باشد.


SSL بیشتر توسطWEB browser ها و کارهای مربوط به شبکه که امنیت در آنها مهم می‌باشد، به کار گرفته می‌شود. یکی از این کاربردهای مهم تجارت الکترونیک می‌باشد.SSL بر روی TCP اجرا می‌گردد.


هر چه پروتکل امنیتی استفاده شده در لایه‌های پایین‌تر باشد نیازی به تغییر برنامه ها نخواهیم داشت. به عنوان مثال در صورت استفاده از IPsec نیازی به تغییرات در برنامه‌های کاربر نیست اما در صورتی که بخواهیم از SSL و یا TLS استفاده نماییم، باید برنامه کاربردی تا حدودی تغییر یابد و از پیاده‌سازی پروتکل امن مربوطه آگاه باشد.


ادامه مطالب در مقاله های بعدی می‌آید.


شاد باشین...................



 
جلسه هشتم امنیت شبکه


ساعت ٢:۱٢ ‎ق.ظ روز ٢٠ دی ۱۳۸٧  


به نام خدا


حمله های لایه کاربرد( virus, worm):


در این پست راجع به برخی حمله ها در لایه کاربرد مطالبی ارایه می گردد. امیدوارم مفید باشه.


حمله های  مربوط به لایه  کاربردی شامل انواع ویروس‌ها و کرم‌ها می‌باشد. یکی از روش های انتشار ویروس‌ها ، قرار گرفتن در boot sector است که با هر بار روش شدن و بالا آمدن سیستم، ویروس فعال می‌گردد   و در جاهای مختلف نظیرDVD,CD  و ... قرار می گیرد.


یک ویروس روش های متفاوت تکثیر را در شبکه دارد. ویروس برای تکثیر نیازمند یک برنامه میزبان می باشد که در کامپیوتر میزبان نصب می‌گردد و از طریق اجرای این برنامه ،‌ فعالیت خود را آغاز می‌‌نماید.


یک ویروس فایل‌های داده را آلوده نمی‌کند، چون فایلهای داده اجرا نمی‌شوند و قسمت اجرایی هم ندارند که بتوانند به ویروس کمک کنند.

گاهی ویروس‌ها به صورت رمزشده در شبکه منتقل می‌شوند. هدف از رمز کردن یک ویروس، ‌ایجاد محرمانگی برای داده نمی‌باشد، بلکه هدف تغییر شکل ویروس است تا در شبکه توسط ابزار امنیتی مانند دیوار آتش و یا IDS ها قابل تشخیص نباشند و در مقصد توسط برنامه رمزگشایی که دارند، ‌بازیابی شده و اجرا گردند.


ویروس ها بر اساس یک برنامه HOST و بر اساس تحریکی که ممکن است کاربر به آن پاسخ دهد( مثل کلیک کردن توسط کاربر) به سیستم وارد شده و منتشر می‌گردند. گاهی برنامه های نامربوطی به صورت دادن پیغام از ما می خواهند یکی از گزینه های YES/NO را انتخاب کنیم تا آنها اجازه داشته باشند که نصب شوند و ما غافل از اینکه هر دو گزینه YES/NOدر باطن یکی هستند گزینه NO را انتخاب می نماییم!! و به این ترتیب به برنامه ویروس اجازه می دهیم تا در کامپیوتر ما نصب شوند!!


علاوه بر ویروس‌ها که در لایه کاربرد شبکه فعال هستند، کرم ها نیز وجود دارند. کرم‌ها (worm ) به صورت خودکار منتشر می‌شوند و نیاز به تحریکی از طرف کاربر ندارند. عملکرد کرم‌ها مستقل است و نیازی به استفاده از برنامه میزبان ندارند.

برای جلوگیری از نفوذ کرم‌ها و ویروس‌ها در شبکه اینترنتDARPA یک گروه به نام گروه CERT

Computer Emergency Response Team را تشکیل داد که هنوز هم در زمینه امنیت فعال است.


یک مدیر شبکه خوب باید اطلاعات کافی از مهاجمین داشته باشد و بتواند تشخیص دهد که مهاجم از لحاظ داشتن امکانات و نیز اطلاعات راجع به حمله، درچه سطحی قرار دارد.

اسب های تراوا نوع دیگری از حمله‌های لایه کاربرد می‌باشد. به اسب های تراوا که در سطح سیستم عامل عمل می‌کنندRootkit گفته می شود.


 با توجه به حمله‌های لایه کاربرد، بررسی و تشخیص نقاط ضعف شبکه به جلوگیری و کشف حمله‌ها کمک موثری نماید. این روش ها شامل موارد زیر است:

- تعیین پورت های باز

- تعیین ماشین های فعال

- به دست آوردن نقشه شبکه

- تعیین موقعیت مسیریاب‌ها و دیواره آتش

- تعیین سیستم عامل

- تجزیه و تحلیل دیواره آتش و نقاط ضعف و قوت آن


علاوه بر اطلاعات بالا می توان از نرم افزارهای قوی که برایscan نمودن و تشخیص وضعیت شبکه نوشته شده‌اند، بهره برد. نرم افزارهایی مانند ethereal,NESUSو.... که البته دو نوع مورد استفاده مفید و مضر می توانند داشته باشند.


می توان از طریق نصب برنامه Nesus نقاط آسیب‌پذیر را یافت. این نوع نرم افزارها برای استفاده معمولی در شبکه طراحی شده‌اند تا مدیر شبکه نقاط آسیب‌پذیر شبکه را بیابد.


 البته جالبه بدونید که یک مهاجم می تواند از طریق پورتی که بازمونده، نفوذ کرده و نرم افزار NESUS را در سیستم نصب نموده و نقاط ضعف شبکه را به صورت غیر مجاز scan نماید و این حسن سواستفاده از نرم افزار است!!



 
جلسه هفتم امنیت شبکه


ساعت ۱:۱۳ ‎ق.ظ روز ٢٥ آذر ۱۳۸٧  

به نام خدا

Intrusion Detection System

در جلسه های قبل راجع به حملات رایج شبکه‌های کامپیوتری بحث نمودیم. در ادامه به راه کارهای مقابله می پردازیم.................

شناسایی حمله در مکانیزم های دفاعی برای پیشگیری از وقوع حمله مهم است. IDS(Intrusion Detection System) از ابزاری است که در شبکه به این منظور استفاده  می شود.

سیستم IDS به صورت یک ابزار در شبکه(به عنوان مسیریاب- سوییچ...) با نرم افزاری که کار مونیتورینگ ترافیک عبوری را انجام می‌دهد، نصب می‌شود. معمولا دیوار آتش به همراه IDS کار تشخیص حمله را انجام می‌دهند. اگر از درون یک LAN به سمت بیرون حرکت کنید ابتدا به IDS سپس به دیوار آتش می‌رسید و پس از آن به شبکه بیرونی(اینترنت) می‌رسید. زیرا دیوار آتش یا از عبور بسته ممانعت می نماید و یا بسته را عبور می دهد. بنابراین ترافیک گسیل شده از شبکه بیرون در صورتی که از دیوار آتش عبور نمود توسط IDS بررسی می شود تا در مورد مشکوک بودن رفتار آن تصمیم‌گیری شود. در عمل این دو ابزار در یک آدرس IP می‌توانند پیاده‌سازی شوند. به علت منحرف نمودن توجه مهاجم از وجود ابزار امنیتی در شبکه، معمولا سیستم‌های امنیتی را در غالب یک مسیریاب، سوییچ در شبکه قرار می‌دهیم.

 یک IDS کار مونیتور نمودن ترافیک شبکه  و سرکشی به فایلهایlog راانجام میدهد. به این ترتیب هرگونه تخلف از سیاستهای امنیتی معمول شبکه را تشخیص می‌دهد.

انواع متفاوتی از این سیستم تعریف شده است. سیستم هایی که بر مبنای رفتار ترافیک شبکه، تنظیمات پورت‌ها، بر اساس نشانه‌ها و رفتار یک حمله که در منبع سیستم IDS ذخیره شده است و تغییر ترافیک با این الگو تطابق داده می‌شود، بر اساس تخطی از الگوی رفتاری معمول یک کاربر و یا سایر مشخصه ها به تشخیص یک حمله می‌پردازد و هشداری مبنی بر احتمال حمله را می‌دهد.  سیستمIDS کار مقابله با حمله و سد آن را نیز عهده دار می‌باشد.

سیستم‌های IDS‌ای که رفتار آماری غیر عادی را تشخیص می‌دهند(behavior-based) وسیستم‌هایی که بر روی سگمنت‌های شبکه و ترافیک آنها به صورت بلادرنگ شنود و تحلیل می‌نمایند، سیستمهای مبتنی بر شبکه می‌باشند که در واقع نشانه‌ها را تشخیص می‌دهند . این سیستمها شامل یک برنامه لایه کاربرد به همراه NIC می‌باشند. ترافیک بقیه سگمنتهای آن شبکه و یا بقیه خطوط ارتباطی همانند خطوط تلفن مونیتور نمی شوند.

سیستم‌های کارآمد باید بتوانند هر نوع حمله‌ای را با ترکیبی از این روش‌ها و بدون تلف نمودن منابع سیستم، داده‌های بلادرنگ و قابل اعتمادی از شبکه را بدست‌ آورند. این سیستم ها برای مقابله با حمله DOS کاربرد دارند.

می توان IDS را کنار سوییچ‌ها نصب نمود و با استفاده از پورت‌های  خاص این ابزار که  خاصیت یک هاب را دارند، ترافیک عبوری از سوییچ را به IDS فرستاد (forward نمود) به این ترتیب یک سیستم محافظتی خاموش در شبکه قرار داده‌ایم.

سیستم هایIDS  مشکلاتی نیز دارند:

 برخی هکرها حوصله زیادی در عملی نمودن حمله خود دارند. برخی حمله‌ها بر اساس تغییرات بسیار کند ترافیک عبوری و با گذشت زمان زیاد به وقوع می پیوندند و این یعنی سیستم IDS باید نمونه‌های زیادی از اطلاعات را در  پایگاه داده ذخیره  و تحلیل نماید! و تشخیص حمله نیازمند هزینه فضای حافظها و تحلیل رفتاری طولانی مدت شبکه است.

در مواردی مشخصه‌ها و شناسه‌هایی که در بخش کاربرد سیستم IDS تنظیم می‌شوند مانند نوع سیستم عامل و شماره نسخه آن و platform مربوطه باعث می‌شود حملاتی که به صورت موردی و یا با فرمت جدید انجام می شود از دید دور بماند. این نوع سیستمIDS به شدت به سیستم عامل و منابع خود وابسته است و برای داشتن شبکه سالم به پشتیبانی و به روز شدن مداوم نیازمند است تا شناسایی آسیب‌پذیری‌های جدید و هماهنگی با آنها را به خوبی انجام دهد. در واقع داشتن دید سازگار با تغییرات نوع حمله ها نیازمند همراهی با تغییرات کاربردها و امکانات مهاجمان می‌باشد.

در مورد سیستم‌های IDS که بر اساس رفتار ترافیک عبوری تصمیم‌گیری می‌نمایند، به روز شدن و پشتیبانی ضرورت کمتری دارد. آنها بر اساس تحلیل ترافیک به تصمیم‌گیری می‌پردازند.

گاهی سیستم آنقدر حساس تنظیم شده  است که با کوچکترین تغییر و تحولی در شبکه هشدار می‌دهد و این موقع‌هاست که مدیر شبکه شاکی از این ابزار محافظتی ترجیح می‌دهد خود با ترفندهای دستی همانند بستن پورت ICMP، کنترل دسترسی به ترافیک و برخی محدودیت های دیگر، خود به trace شبکه برای مقابله با حملات بپردازد.

نرم‌افزارهایی open source در شبکه با هسته Linux, Unix تعریف می‌شوند که ادعا می‌نمایند به scan پورتها‌ می‌پردازند و به ما در کنترل شبکه کمک می‌نمایند. این نرم‌افزارها گاهی از طریق Back door های تعریف شده به شنود ترافیک مشغولند.

نرم‌افزاری مانند snort که در عمل به همراه یک موتور IDS میتواند یک سیستم تشخیص نفوذ را ایجاد کند توسط مهاجم برای استراق سمع بسته های مربوط به دیگران استفاده می شود.

 سیستم‌های محافظتی دیگری بجز IDS همانند دیوار آتش و ... نیز وجود دارند. بقیه مطالب در پست آینده.

شاد باشین...



 
جلسه ششم امنیت شبکه


ساعت ۱٢:٠٠ ‎ق.ظ روز ٢ آذر ۱۳۸٧  

به نام خدا

حمله­ های شبکه­ های کامپیوتری(ادامه)

در جلسه قبل راجع به حملات رایج شبکه‌های کامپیوتری بحث شد. قرار شد این جلسه به ادامه حملات و راه های مقابله با اونها بپردازیم....

File extensions

 سیستم عامل ویندوز قابلیتی دارد که اجازه می‌دهد تا پسوند یک برنامه در مقابل کاربر مخفی باقی بماند که ظاهرا باعث راحتی در کار است، اما باعث می‌شود برخی کدهای مخرب در ظاهری آشنا، مخفی شوند. مثلا فایلی با نام readme.txt در ظاهر یک فایل متنی بی آزار است، در حالی که می تواند نام آن readme.txt.bat باشد! و پسوند واقعی.bat  به علت خاصیت ویندوز مخفی شده باشد.

راه مقابله: شما می توانید خاصیت مخفی بودن پسوند فایل‌ را در ویندوز غیر‌فعال نمایید.

 

Packet sniffing     

ترافیک ایستگاه کاری شبکه‌های LAN ، در مقابل شنود توسط بقیه ایستگاه‌های کاری، در یک hub آسیب‌پذیر است. در این محیط، کاربر ترافیک دیگران را بدون اینکه آشکار شود و به صورت off lineگوش می‌دهد. ابزار شنود در این محیط، حمله را انجام داده ، ترافیک را شنود کرده، کپی نموده و سپس به مقصد نفوذکننده می‌فرستند.  شنود شامل تمام ترافیک اینترنت مانند پست الکترونیکی، instant message و ترافیک web خواهد بود. در زمان شنود ترافیک web،تمام عملیاتی که کاربر انجام می‌دهد، توسط شنود‌کننده دیده می‌شود.

راه مقابله: بهترین روش محافظتی در مقابل این حمله، رمزگذاری پیام‌های انتقالی است تا در صورت شنود نیز نتوان استفاده‌ای از پیام‌ها نمود.

Hijacking & session replay

Hijacking به معنی دزدی در حین انتقال به منظور انتقال به مقصد جدید است.

 Session Hijacking وقتی رخ می‌دهد که یک session پروتکل TCP/IP توسط یک شنود‌کننده شبکه برداشت شود. به این معنی که در حال انتقال یک پیام بین فرستنده و گیرنده، تغییرات لازم در وضع و حالت پیام داده شده و پیام اصلاح شده دوباره در جریان ترافیک شبکه قرار می‌گیرد. با این تغییرات، نفوذکننده به عنوان مقصد پیام تعریف می‌شود.

تمام پیام‌های بعدی تعریف شده در آن session، بین مبدا اصلی و نفوذکننده(به عنوان مقصد جدید) در جریان خواهد بود و ترافیک به سمت مقصد مورد نظر حمله‌کننده، تغییر مسیر می‌دهد و تمامی پیام‌های بعدی آن session به حمله کننده می‌رسد.

راه مقابله: کاربردهای مبتنی بر web ، برای حمله‌های hijacking مناسب هستند. استفاده از پروتکل SSL از حملات hijacking و replay جلوگیری می‌نماید. این پروتکل بر روی TCP/IP و قبل از پروتکل‌های HTTP,IMAP استفاده می‌گردد و به صورت client- Server اجرا می‌شود. سرور خود را برای Client احراز هویت نموده و اجازه می‌دهد client نیز خود را به سرور معرفی نماید پس از احراز هویت دو سویه، یک ارتباط رمز شده بین دو طرف برقرار می‌شود.

 

امیدوارم خسته نشین از اینکه مطالب دنباله‌دار می‌شن....

شاد باشین...................



 
جلسه پنجم امنیت شبکه


ساعت ۱۱:٥٥ ‎ب.ظ روز ۱۱ آبان ۱۳۸٧  

به نام خدا

حمله­های شبکه­های کامپیوتری

حملات در شبکه­های کامپیوتری جزو جدانشدنی دنیای اینترنت شده اند. حملات به دلایل متفاوتی همانند منافع تجاری، دلایل کینه­جویانه، حیله­گری و تقلب، جنگ و منافع اقتصادی انجام می­پذیرند.

حمله­ها در نتیجه نقص یکی از ابعاد امنیتی همانند محرمانگی­، یکپارچگی و یا دسترس­پذیری در شبکه و منابع آن انجام می­پذیرند.

تقسیم­بندیهای مختلفی برای انواع حملات تعریف شده است. شما هر کتاب و مرجعی را که ببینید نوعی گروه­بندی را انجام داده­اند. در مجموع حملات را به گروه­های زیر تقسیم می­نماییم.

-        Modification Attacks  (تغییر غیرمجاز اطلاعات)

-        Repudiation Attacks  (جلوگیری از وقوع یک اتفاق و یا تراکنش)

-        Denial of service attacks (عملی که مانع می­شود از اینکه منابع شبکه بتوانند سرویس­های درخواستی را به موقع ارایه دهند.)

-        Access attacks  (دسترسی غیرمجاز به منابع شبکه و اطلاعات)

به طور عام هر عملی که باعث می­شود تا عملکرد شبکه ناخواسته گردد، حمله نامیده می­شود. ممکن است این عمل تغییر رفتار مشهودی در سیستم شبکه نباشد.

حمله غیرفعال: وقتی فرد غیرمجاز در حال شنود ترافیک ارسالی می­باشد، تغییر مشهودی در رفتار سیستم نداریم. این حمله، حمله غیرفعال است. در صورتی که شنودکننده موفق به رمزگشایی گردد، اطلاعات مفیدی به دست آورده است.

حمله فعال: حمله­ای که محتوای پیام را اصلاح نماید، فرستنده و یا گیرنده پیام را تغییر دهد و یا هر ترفندی که پاسخ مجموعه را تغییر دهد، حمله فعال نامیده می­شود.

در ادامه به معرفی حملات معروف شبکه و راه­های مقابله با آن خواهیم پرداخت.

 

Denial of Service (DOS)/ Distributed DOS

درحمله DOS ، منابع یک سیستم اشغال می­شود تا آن منبع توانایی پاسخگویی به درخواست­ها را نداشته باشد. این حمله با بمباران سیل آسای یک سرور با تعداد زیادی از درخواست­ها مواجه می­نماید که نمی­توان به همه آنها به صورت کارآمد پاسخ گفت. مورد دیگر فرستادن مجموعه درخواست­ها به هارد درایو یک سیستم است که تمام منابع آن را درگیر نماید.

 نوع دیگر DOS توزیع شده است که از طریق تعداد زیادی از host ها انجام می­پذیرد. برنامه حمله بدون اطلاع مالکان، بر روی این سیستم­ها نصب و در رابطه با اجرای حمله به سوی هدف، فعال می­گردند.

مثال­های زیر را می­توان برایDOS نام برد.

Buffer overflow (دریافت حجم زیادی از داده­ها در پاسخ یک درخواست مانند دریافت حجم زیادی از پاسخ­ها در مقابل دستور echo در پروتکل ICMP)

 SYN attack(بهره­برداری از فضای بافر درhandshake پروتکل  TCP)

Teardrop Attack(تغییر فیلد offset در بسته IP)

Smurf (فرستادن Broadcast یک دستور PING - ارسال پاسخ کلیه آنها به سمت هدف حمله- ایجاد ترافیک اشباع شده در سمت هدف)

Back door

حمله در مخفی از طریق مودم­های dial up و غیره انجام می­گردد. سناریو آن دسترسی به شبکه از طریق کنار گذاشتن مکانیزم­های کنترلی با استفاده از راه­های مخفی می­باشد.

IP Spoofing

در این حمله قربانی متقاعد می­گردد که به یک سیستم شناخته شده و قابل اطمینان متصل شده است. این حمله در لایه TCP انجام می­­پذیرد و آدرس یک مبدا مجاز (به جای مبدا غیرمجاز) داده می­شود و مقصد این بسته را گرفته و دستورات بسته را پذیرفته، اعمال می­نماید.

در هفته­های آینده، ادامه حملات و راه­های مقابله با آن­­­­­­ها را توضیح می­دهیم.

شاد باشین..................



 
جلسه چهارم امنیت شبکه


ساعت ۱۱:٢٥ ‎ب.ظ روز ۱۸ مهر ۱۳۸٧  

بعد امنیتی محرمانگی داده

 (Data Confidentiality)

یکی از روش­های اصلی حفظ اطمینان در ارتباطات شبکه­ای استفاده از رمزنگاری پیام و داده­ها می­باشد. به علت دسترسی کاربران و شبکه­های متفاوت به امکانات شبکه­­، امکان شنود در شبکه وجود دارد. شنود داده در صورت رمز بودن آنها امکان سواستفاده را کاهش می­دهد. روش­های رمزگذاری برای نگهداری محرمانه پیام­ها و یا داده­های ذخیره شده به کار می­روند.

 

 

الگوریتم­های رمزنگاری متقارن و نامتقارن وجود دارد. روش­های رمزنگاری با استفاده از کلید عمومی، یکی از روش­های متداول است. هر کاربر، کلید عمومی خود را اعلام می­کند و ما با استفاده از کلید، پیام را رمزکرده و به شبکه می­فرستیم. حال تنها کسی که کلید خصوصی رمزگشایی را داشته باشد، قادر به بازگشایی پیام خواهد بود  و بقیه درصورت دریافت پیام نیز از آن سردرنمی­آورند. روش­های مختلف رمزنگاری مانند DES, RSA را می­توان نام برد.

 

 

در کنار رمزنگاری، روش­های مختلف کشف رمز برای شکستن کلیدها تعریف شده است. سختی کلیدها نشان دهنده امنیت بالاتر پیام خواهد بود. امروزه از الگوریتم­های رمز با طول کلید بالاتر بهره می­بریم و زمان کشف این کلیدها، طولانی است و نیازمند پردازشهای پیچیده است.

رمزنگاری علاوه بر ایجاد محرمانگی در داده­ها برای حفظ یکپارچگی پیام و احراز هویت نیز استفاده می­شود.

 

 

در برخی موارد نمونه­ای رمزشده(MAC) از پیام به همراه پیام فرستاده می­شود. گیرنده این مقدار را بازتولید می­کند و با نمونه MAC گرفته شده مقایسه می­کند. در صورتی که هر دو یکسان بودند، یعنی پیام در بین راه دچار تغییر نشده است و یکپارچگی آن حفظ شده است.

 

 

این روش برای کشف تغییراتی که فرستنده غیرمجاز در متن پیام ایجاد می­کنند و آن را با مشخصات آدرسی فرستنده به ما بفرستند، مفید است. در این حالت MAC تولید شده با MAC دریافتی یکی نیست و پیام ارزشی ندارد.

 

 

ایجاد محرمانگی در شبکه­هایی که به صورت broadcasting انتقال داده دارند، مهم است.

 

 

خلاصه اینکه هر ترفندی به کار می­بریم تا پیام ما تنها به دست فرستنده برسد و تنها او بتواند آن را استفاده کند.

 

 



 
جلسه سوم امنیت شبکه


ساعت ٥:٥٥ ‎ب.ظ روز ۱ مهر ۱۳۸٧  

بٌعد امنیتی احراز هویت

 (Authentication)

 

بُعد احراز هویت، در مورد تشخیص درست بودن هویت فردی است که می­خواهد از امکانات شبکه استفاده نماید.

احراز هویت  این اطمینان را می ­دهد که موجودیتی که در ارتباط شبکه­ ای شرکت کرده است،  مجاز می باشد. این موجودیت می­ تواند شخص، ابزار، سرویس و یا کاربرد نصب شده در شبکه باشد.

 

یکی بودن هویت کاربر با چیزی که ادعا می­کند, به معنی مجاز شناخته شدن آن کاربر است. تنها از این طریق است که کاربر میتواند سرویس­ها را از شبکه دریافت نماید.

در حمله ­هایی که در شبکه رخ می­دهد حمله­ کننده، با استفاده از مشخصه­ های عناصر مجاز همانند آدرس IP، آدرس MAC ، مشخصه­ های شناسه کاربری و کلمه عبور و غیره، خود را عنصر مجاز معرفی نموده و به شبکه وارد می­شود.

 

محافظت از این بخش­ها و جلوگیری از افشای این مشخصه­ ها باعث در امان ماندن شبکه از حمله­ های افراد غیرمجاز می­گردد.

 

بُعد کنترل دسترسی و احراز هویت با یکدیگر ارتباط نزدیک دارند و ما می­توانیم با دادن شناسه کاربری متفاوت به افراد و تعیین سطح دسترسی هر شناسه،  باعث شویم تا افراد بتوانند به سرویس­های شبکه دسترسی یابند و امکاناتی همانند اصلاح و تغییر داده­ ها، حذف و یا تغییر مکان و مسیر ذخیره دادها را داشته باشند.

 

بالاترین سطح دسترسی، با دسترسی به شناسه­ ها و کلمه عبور admin به دست می­ آید و بالاترین امکان تغییر داده را داراست. در این مورد فرد غیر مجاز، با بالاترین سطح دسترسی به امکانات و دارایی­ های شبکه، آسیب رسانی را انجام می­دهد.

 

همان طور که می­دانید، محافظت از شناسه­ های عبور, از اولویت­های مهم امنیتی است و افشای هر شناسه باعث افشای اطلاعات با سطح دسترسی مربوطه برای عموم خواهد بود.

 

فرد غیر مجاز می­تواند با شناسه سرقت شده وارد شبکه گشته، اطلاعات لازم را کپی و یا اطلاعات انحرافی را وارد شبکه نموده و بدون جاگذاشتن اثری خارج شده و به اهداف خود برسد. اطلاعات تقلبیِ وارد شده به جای اطلاعات اصلی پردازش شده و بر اساس آنها تصمیم­ گیری انجام گردد.

 

راه دیگری که امنیت اطلاعات را بالا می برد، رمز نمودن آنهاست تا در صورتی که شناسه­ های عبور افشا شدند، اطلاعات رمز شده قابل سواستفاده نباشد. رمزنگاری داده­ ها با اهداف مختلف انجام می­گردد و در جلسه بعدی به آن می­پردازیم.

 



 
جلسه دوم امنیت شبکه


ساعت ۳:٥۱ ‎ب.ظ روز ٢۱ شهریور ۱۳۸٧  

 

بعد  امنیتی کنترل دسترسی 

 

کنترل دسترسی از امکان استفاده غیرمجاز منابع شبکه جلوگیری می نماید. بعد کنترل دسترسی نشان می­دهد که تنها افراد ویا ابزار مجاز، اجازه دسترسی به المان های شبکه، جریان داده­ها و استفاده از سرویس ها و کاربردها و نیز ذخیره و اصلاح اطلاعات را دارند.

 

همچنین کنترل دسترسی سطوح متفاوت دسترسی به شبکه را تعریف می نماید. سطوح متفاوت دسترسی به بخشهای دسترسی به منابع، کاربردها، استفاده از عملگرها، استفاده از اطلاعات ذخیره شده و جریان داده­ها تقسیم­بندی شود و بر اساس درصد مجاز بودن هرکس، هر کدام از آنها، قابل استفاده باشد. در این صورت اجازه دسترسی تنها در همان سطحی که تعریف شده است، داده خواهد شد و امکان اصلاح و تغییر اطلاعات و تنظیمات سایر بخشها وجود ندارد.

تعریف کنترل دسترسی در شبکه در لایه­های مختلف انجام می­شود.تعریف دیواره­های آتش در همه هفت  لایه OSI میسر می باشد. دیوار آتش از منابع موجود در داخل شبکه در مقابل حملات بیرونی محافظت کرده و به کاربران داخل شبکه طبق سیاست­های امنیتی، اجازه دسترسی به شبکه خارجی را می­دهد. تنظیم و یا مسدود نمودن پورت­ها در لایه هفت، امکان مدیریت دسترسی به برخی برنامه ها و کاربردها همانند messengerها را امکان پذیر می نماید.کنترل دسترسی در لایه های پایین تر همانند تنظیماتی که در پورتهای سوییچها و دست­های مسیریابها انجام می­پذیرد، امکان مدیریت ترافیک را تا لایه سه مهیا می سازد.دسترسی بر اساس نام کاربری، کلمه عبور، شماره پورت مبدا، مقصد (،ftp و telnet)، نوع پروتکل شبکه­ای مورد استفاده (،UDP،TCP)، آدرس مبدا، مقصد و موقعیت درخواست­کننده فراهم می­شود و بر اساس این تنظیمات، فیلتر کردن بسته­ها در لایه­های سه تا هفت صورت می‌گیرد. امروزه دیوار آتش علاوه بر مدیریت در ترافیک عبوری، سرویس­های امنیتی متنوعی ارایه می­دهد. به عنوان مثال می توان از( VPN (Virtual Private Networkو یا از  NAT  Server و همین طور تعدیل بار ، ویروس­یاب و سیستمهای تشخیص نفوذ نام برد.

انواع متفاوت دیوار آتش مانند ثابت، پویا، کاربردی، بسته­ای، مداری و غیره وجود دارد. دیوار آتش سطح کاربرد، امنیت بالاتری دارد. در این نوع مکانیزم تنها درخواست سرویس­هایی پاسخ داده می­شود که مجاز باشند مثلا تنها سرویس­های http،ftp اجازه عبور دارند و بقیه فیلتر می­شوند.

ابعاد امنیتی کنترل دسترسی و احراز هویت وابستگی نزدیکی به هم دارند زیرا با احراز هویت یک کاربر، اجازه دسترسی کاربر به منابع و اطلاعات صادر می شود به این ترتیب سطح دسترسی معلوم شده است.

در قسمت های بعدی به بعد امنیتی احراز هویت می پردازیم.



 
جلسه اول امنیت شبکه


ساعت ٤:٥٩ ‎ب.ظ روز ۸ شهریور ۱۳۸٧  

به نام خدا

 

ایجاد امنیت برای محافظت از دارایی­ها تعریف می­گردد. روش های تعریف شده و استانداردهای متفاوتی برای حفظ دارایی­ها موجود است.

در مورد امنیت مفاهیم مختلفی وجود دارد. امنیت می تواند شامل محافظت (protection) و یا تشخیص(detection) باشد.

  • امنیت

حفظ دارایی­ها برای جلوگیری از آسیب­رسانی به آنهاست. یعنی ممکن است دارایی وجود داشته باشد، اما هیچ تهدیدی برایش معنی پیدا نکند. مانند تکه­های الماسی که در کهکشان موجود است، تعریف امنیت برای این دارایی­ها مادامی که تهدیدی برایشان نیست، معنی ندارد.

 

حفاظت از دارایی ها با اطلاع از اینکه این دارایی آسیب پذیری دارد و می­تواند با سواستفاده از این آسیب­پذیری مورد حمله قرار بگیرد، انجام می­پذیرد. مثلا پایگاه داده­ای که در شبکه موجود است و اطلاعات و شناسه­های کاربران را در خود ذخیره کرده است، یک دارایی در شبکه محسوب می­شود و باید مورد حفاظت قرار گیرد زیرا در صورت دسترسی افراد غیرمجاز، به شبکه آسیب می­رسد. پس این آسیب­پذیری می­تواند مورد سواستفاده قرار گیرد.

  • تشخیص

زمانی که تشخیص مد نظر ما باشد، باید ابزار و تمهیداتی در شبکه تعریف کنیم تا قابلیت تشخیص حمله­ها (attack) را داشته باشد. ابزاری که وضعیت شبکه را آمارگیری نموده و در هر زمان از وضعیت ابزار شبکه، نودهای ارتباطی، ترافیک بین مسیریابها، نوع ترافیک انتقالی، زمان پیام­ها و بسیاری از پارامترهای شبکه آگاهی دارد.

 

این ابزار وضعیت شبکه را همچون موجود زند­ه­ای گزارش می­دهند و در صورت ایجاد هر گونه وضعیت مشکوک در شبکه اقدامات امنیتی لازم را انجام می­دهند.

 

محافظت و تشخیص نقشی همانند پیشگیری و درمان در مقابل بیماریها را دارند. تشخیص حمله در صورتی که از آن جلوگیری نماید، یک تشخیص فعال(detection active) نامیده می­شود.

 

دسته­ دیگر تشخیص  را تشخیص منفعل(passive detection) می نامیم. در این تشخیص بعد از وقوع حمله، گزارشی از وضعیت شبکه داده می­شود و توانایی پیش­بینی و پیشگیری از حمله­ها وجود ندارد.

 

ایمن سازی ارتباطات در شبکه طبق استانداردهای تعریف شده دارای بخش­ها و مفاهیم متفاوتی است.

 

 

هراستانداردی بخش­هایی را برای امنیت تعیین می­کند وحفظ امنیت هر داده­ای بعضی از این بخش­ها را شامل می­شود. در ادامه به بخش­های اساسی مفهوم حفظ امنیت می پردازیم.

 

1)          Access control

2)          Authentication

3)          Non-repudiation

4)          Data confidentiality

5)          Communication security

6)          Data integrity

7)          Availability

8)         Privacy

 

 

برخی مفاهیم ضروری هستند. حفظ محرمانگی داده از ضروریات اولیه است. داده ارسالی که در شبکه تنها باید برای گیرنده و مقصد مفهوم و قابل استفاده باشد و بقیه گیرندگان غیر مجاز قابلیت بهره بردن از آن را نداشته باشند.

 

بجز محرمانگی , احراز هویت فرستنده پیام هم ارزشمند است.

 

این هشت مفهوم بر اساس استاندارد  ITU-T X.805تعریف شده است و ما آنها را به ترتیب در جلسات بعدی بررسی می­نماییم.



 
آموزش در رابطه با امنیت شبکه های کامپیوتری


ساعت ٤:۳٤ ‎ب.ظ روز ٧ شهریور ۱۳۸٧  

به نام آنکه هر چه داریم هر چه هستیم از اوست

سلام دیگر به دوستان عزیز شبکه های کامپیوتری ،

بار دیگر با کمک دوستی بر آن شده ایم که آموزش خود را در زمینه شبکه های کامپیوتری پیشرفت بیشتری دهیم و به مسائل دیگر هم بپردازیم.

به همین منظور از این به بعد مبحث امنیت شبکه های کامپیوتری را توسط سرکار خانم افسانه معدنی برای شما دوستان عزیز آغاز می کنیم که امیدوارم برای دوستان مفید واقع شود و همچنین از خانم معدنی هم بابت این آموزشها از طرف گروه شبکه پرشین بلاگ تشکر و قدردانی میکنم و امیدوارم که همواره موفق و سربلند باشند.

شاد باشید در پناه خداوند بزرگ.لبخندچشمک



 
امنیت شبکه


ساعت ۱٠:٠٧ ‎ب.ظ روز ٢٩ فروردین ۱۳۸٧  

 به نام آنکه هر چه داریم و هر چه هستیم از اوست

 وقتی بحث امنیت شبکه پیش می اید ، مباحث زیادی قابل طرح و ارائه هستند ، موضوعاتی که هر کدام به تنهایی می توانند جالب ، پرمحتوا و قابل درک باشند ، اما وقتی صحبت کار عملی به میان می اید ، مسئله به نحوی پیچیده می شود . ترکیب علم و عمل ، احتیاج به تجربه دارد و نهایت هدف یک علم هم ، به کار امدن آن هست .
وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید ، ممکن است این سوال برایتان مطرح شود که " خب ، حالا از کجا شروع کنم ؟ اول کجا را ایمن کنم ؟ چه استراتژی را پیش بگیرم و کجا کار را تمام کنم ؟ " انبوهی از این قبیل سوالات فکر شما را مشغول می کند و کم کم حس می کنید که تجربه کافی ندارید و این البته حسی طبیعی هست . پس اگر این حس رو دارید و می خواهید یک استراتژی علمی - کاربردی داشته باشید ، تا انتهای این مقاله با من باشید تا قدم به قدم شما رو به امنیت بیشتر نزدیک کنم.


همیشه در امنیت شبکه موضوع لایه های دفاعی ، موضوع داغی هست و نظرات مختلفی وجود دارد . عده ای فایروال را اولین لایه دفاعی می دانند ، بعضی ها هم Access List رو اولین لایه دفاعی می دانند ، اما واقعیت پنهان این هست که هیچکدام از اینها ، اولین لایه دفاعی نیستند . یادتون باشد که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی ، Policy هست . بدون policy ، لیست کنترل ، فایروال و هر لایه دیگر ، بدون معنی می شود و اگر بدون policy شروع به ایمن کردن شبکه کنید ، محصول یک آبکش واقعی از کار در می اید .


با این مقدمه ، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می دانید که چه چیزی رو می خواهید و چی را احتیاج ندارید ، کار را شروع می کنیم . ما باید پنج مرحله رو پشت سر بگذاریم تا کارمان تمام بشود . این پنج مرحله عبارتند از :


۱) Inspection ( بازرسی )
۲)
Protection ( حفاظت )
۳)
Detection ( ردیابی )
۴)
Reaction ( واکنش )
۵)
Reflection ( بازتاب)


در طول مسیر ، از این پنج مرحله عبور می کنیم ، ضمن اینکه ایمن کردن شبکه به این شکل ، احتیاج به تیم امنیتی دارد و یک نفر به تنهایی نمی تواند این پروسه رو طی کند و اگر هم بتواند ، خیلی طولانی می شود و قانون حداقل زمان ممکن را نقض می کند .


۱) اولین جایی که ایمن کردن رو شروع می کنیم ، ایمن کردن کلیه authentication های موجود هست . معمولا رایج ترین روش authentication که مورد استفاده قرار می گیرد ، استفاده از شناسه کاربری و کلمه رمز هست.


مهمترین جاهایی که باید authentication را ایمن و محکم کرد عبارتند از :


کلمات عبور کاربران ، به ویژه مدیران سیستم .
کلمات عبور سوییچ و روتر ها ( من روی سوییچ خیلی تاکید میکنم ، چون این device به صورت plug and play کار می کند ، اکثر مدیرهای شبکه از config کردن ان غافل می شوند ، در حالی که می تواند امنیت خیلی خوبی به شبکه بدهد ، به مدیران امنیتی توصیه میکنم که حتما این device رو کنترل کنند ) .
کلمات عبور مربوط به SNMP .
کلمات عبور مربوط به پرینت سرور .
کلمات عبور مربوط به محافظ صفحه نمایش .


آنچه که شما در کلاسهای امنیت شبکه در مورد Account and Password Security یاد گرفتید را اینجا به کار می برید . که من به خاطر طولانی نشدن بحث به انها اشاره نمیکنم .
۲) قدم دوم نصب و به روز کردن آنتی ویروس بر روی همه دسکتاپ ، سرور و میل سرورها هست . ضمن اینکه آنتی ویروس های مربوط به کاربران باید به طور اتوماتیک به روز رسانی بشود و آموزشهای لازم در مورد فایلهای ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک یا اضطراری به کاربران هم داده بشود .


۳) مرحله سوم شامل نصب آخرین به روز رسانی های امنیتی سیستم عامل و سرویسهای موجود هست . در این مرحله علاوه بر کارهای ذکر شده ، کلیه سرورها و device ها و دسک تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی ، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند .


۴) در این مرحله نوبت گروه بندی کاربران و اعطای مجوزهای لازم به فایلها و دایرکتوری ها میباشد . ضمن اینکه account های قدیمی هم باید غیر فعال شوند . گروه بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود . بعد از پایان این مرحله ، یک بار دیگه امنیت سیستم عامل باید چک بشود تا چیزی فراموش نشده باشد .


۵) حالا نوبت device ها هست که معمولا شامل روتر ، سوییچ و فایروال می شود . بر اساس policy موجود و توپولوژی شبکه ، این box ها باید config بشوند . تکنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین اساس این مرحله خیلی مهم هست. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست می تواند مورد توجه قرار بگیرد تا اطمینان حاصل بشود که از حداقل ممکن برای IP Assign به شبکه ها استفاده شده است.


۶) قدم بعد تعیین استراژی backup گیری هست . نکته مهم که اینجا وجود دارد این هست که باید مطمئن بشویم که سیستم backup گیری و بازیابی به درستی کار می کند و بهترین حالت ممکن باشد .


۷) امنیت فیزیکی . اول از همه به سراغ UPS ها می رویم . باید چک کنیم که UPS ها قدرت لازم رو برای تامین نیروی الکتریکی لازم جهت کار کرد صحیح سخت افزار های اتاق سرور در زمان اضطراری رو داشته باشند . نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت هست. همینطور ایمنی در برابر سرقت و آتش سوزی. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم های الکترونیکی آسیب وارد نکند . به طور کل آنچه که در مورد امنیت فیزیکی یاد گرفتید را در این مرحله به کار می برید .


۸) امنیت وب سرور یکی از موضوعاتی هست که روش باید وسواس داشته باشید. به همین دلیل در این قسمت کار ، مجددا و با دقت بیشتر وب سرور رو چک و ایمن می کنیم . در حقیقت ، امنیت وب رو اینجا لحاظ می کنیم .
( اسکریپت های سمت سرویس دهنده رو هیج وقت فراموش نکنید )


۹) حالا نوبت چک ، تنظیم و تست سیستم های Auditing و Logging هست . این سیستم ها هم می تواند بر پایه host و هم بر پایه network باشد . سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید که تمام اطلاعات لازم ثبت و به خوبی محافظت می شود . در ضمن ساعت و تاریخ سیستم ها درست باشد ، مبادا که اشتباه باشه که تمام زحماتتان در این مرحله به باد میرود . و امکان پیگیری های قانونی در صورت لزوم دیگر وجود ندارد .


۱۰) ایمن کردن Remote Access با پروتکل ها و تکنولوژی های ایمن و Secure قدم بعدی رو تشکیل می دهد. در این زمینه با توجه به شرایط و امکانات ، ایمن ترین پروتکل و تکنولوژی ها رو به خدمت بگیرید .


۱۱) نصب فایروال های شخصی در سطح host ها ، لایه امنیتی مضاعفی به شبکه شما میدهد . پس این مرحله رو فراموش نکنید .


۱۲) شرایط بازیابی در حالت های اضطراری رو حتما چک و بهینه کنید . این حالت ها شامل خرابی قطعات کامپیوتری ، خرابکاری کاربران عادی ، خرابی ناشی از بلایای طبیعی ( زلزله - آتش سوزی - افتادن - سرقت - سیل و ... ) و خرابکاری ناشی از نفوذ هکرها ، میباشد . استاندارد های warm site و hot site را در صورت امکان رعایت کنید.
یادتون باشد که " همیشه در دسترس بودن اطلاعات " ، جز، قوانین اصلی امنیتی هست .

۱۳) و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی هست ، عضو شدن در سایتها و بولتن های امنیتی و در جریان آخرین اخبار امنیتی قرار گرفتن هست
.

موفق باشید.