close
تبلیغات در اینترنت
1/ax (20)
loading...

دانلود پایان نامه

رفتن به محتوا   1/ax (20) فهرست عنوانصفحه مقدمه 3 افزودن به ضریب عملکرد هکرها4 سطح 1 امنیت پیرامون5 سطح 2 امنیت پیرامون 7 استاندارد شبکه های محلی بی سیم 9 شبکه های بی سیم و انواع WPAN,WWAN.WLAN 11 مقدار بر شبکه خصوصی مجازی (VPN)12 دسته بندی VPN بر اساس رمزنگاری 12 دسته بندی VPN بر اساس لایه پیاده سازی 14 مقایسه تشخیص نفوذ و پیشگیری از نفوذ14 تفاوت شکلی تشخیص با پیشگیری14 تشخیص نفوذ16 نتیجه ی نهایی17 مقدمه ای بر تشخیص نفوذ17 انواع حملات شبکه ای با توجه به طریقه حمله 18 انواع حملات شبکه ای با…

1/ax (20)

admin بازدید : 70 یکشنبه 16 مهر 1396 نظرات ()

 

1/ax (20)

فهرست

عنوانصفحه

مقدمه 3

افزودن به ضریب عملکرد هکرها4

سطح 1 امنیت پیرامون5

سطح 2 امنیت پیرامون 7

استاندارد شبکه های محلی بی سیم 9

شبکه های بی سیم و انواع WPAN,WWAN.WLAN 11

مقدار بر شبکه خصوصی مجازی (VPN)12

دسته بندی VPN بر اساس رمزنگاری 12

دسته بندی VPN بر اساس لایه پیاده سازی 14

مقایسه تشخیص نفوذ و پیشگیری از نفوذ14

تفاوت شکلی تشخیص با پیشگیری14

تشخیص نفوذ16

نتیجه ی نهایی17

مقدمه ای بر تشخیص نفوذ17

انواع حملات شبکه ای با توجه به طریقه حمله 18

انواع حملات شبکه ای با توجه به حمله کننده 19

پردازه تشخیص نفوذ 20

مقدمه ای بر IPSEC 20

انواع IPSEC VPN 21

کاربرد پراکسی در امنیت شبکه 23

برخی از انواع پراکسی24

SMTP proxy 25

امنیت و پرتال 27

امنیت و پرتال CMS PARS27

راهکارهای شبکه های سیم 28

نسب، طراحی و راه اندازی شبکه و ایرلس Multipoint Point o29

نسب طراحی و راه اندازی شبکه های Hot spot29

مشاوره و تامین تجهیزات برای راه اندازی شبکه های وایرلس29

شبکه های بیسیم35

انواع شبکه های بی سیم 36

شبکه های (MANET) Mobile ad hoc 38

کاربردهای شبکه Mobile ad hoc 39

پروتوکل های مسیریابی Routing proto cols39

پروتوکل TCP/IP40

مقدمه40

معنی پروتوکل TCP/IP41

لایه های پروتکل TCP/IP41

لایه Application42

لایه Transport43

لایه اینترنت43

لایه Network Interface43

مشخص نمودن برنامه ها 43

آدرس IP44

یورت TCP/IP44

سوکت (Socket)44

TCP/IP44

پروتکل:TCP لایه Transport45

ارسال اطلاعات با استفاده از TCP45

پروتوکل: UUP لایه Internet 46

پروتوکل: IP لایه Internet48

مسیر یابی 49

معنای حمل49

توزیع توپولوژی49

آلگوریتم برداری راه دور 49

آلگوریتم حالت اینک59

پروتوکل بردار مسیر50

مقایسه الگوریتم مسیریابی 50

انتخاب مسیر51

عوامل چندگانه 51

شبکه های حسگر بی سیم52

نگاهی به شبکه های بی سیم حسگر52

ویژگی های عمومی یک شبکه حسگر54

ساختار ارتباطی شبکه های حسگر54

فاکتورهای طراحی 54

تحمل خرابی55

قابلیت گسترش55

هزینه تولید 55

سخن پایانی57

منابع 58

مقدمه

امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است.

در این سلسله مقالات رویکردی لایه بندی شده برای امن سازی شبکه به شما معرفی می گردد.  این رویکرد هم یک استراتژی تکنیکی است که ابزار و امکان مناسبی را در سطوح مختلف در زیرساختار شبکه شما قرار می دهد و هم یک استراتژی سازمانی است که مشارکت همه از هیأت مدیره تا قسمت فروش را می طلبد.

رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستمهای امنیتی و روال ها در پنج لایه مختلف در محیط فناوری اطلاعات متمرکز می گردد.

۱- پیرامون

۲- شبکه

۳- میزبان

۴- برنامه  کاربردی

۵- دیتا

در این سلسله مقالات هریک از این سطوح تعریف می شوند و یک دید کلی از ابزارها و سیستمهای امنیتی گوناگون که روی هریک عمل می کنند، ارائه می شود. هدف در اینجا ایجاد درکی در سطح پایه از امنیت شبکه و پیشنهاد یک رویکرد عملی مناسب برای محافظت از دارایی های دیجیتال است. مخاطبان این سلسله مقالات متخصصان فناوری اطلاعات، مدیران تجاری و تصمیم گیران سطح بالا هستند.

محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و عجیب و غریب نیاز ندارد. با درکی کلی از مسأله،  خلق یک طرح امنیتی استراتژیکی و تاکتیکی می تواند تمرینی آسان باشد. بعلاوه، با رویکرد عملی که در اینجا معرفی می شود، می توانید بدون هزینه کردن بودجه های کلان، موانع موثری بر سر راه اخلال گران امنیتی ایجاد کنید.

  

افزودن به ضریب عملکرد هکرها

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد (work factor) استفاده می کنند که مفهومی مهم در پیاده سازی امنیت لایه بندی است. ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوذگر بمنظور تحت تأثیر قراردادن یک یا بیشتر از سیستمها و ابزار امنیتی تعریف می شود که باعث رخنه کردن در شبکه می شود. یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می گیرد در حالیکه یک شبکه با ضریب عملکرد پایین می تواند نسبتاً به راحتی مختل شود. اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، که فایده رویکرد لایه بندی شده نیز هست، احتمالاً شبکه شما را رها می کنند و به سراغ شبکه هایی با امنیت پایین تر می روند و این دقیقاً همان چیزیست که شما می خواهید.

تکنولوژی های بحث شده در این سری مقالات مجموعاً رویکرد عملی خوبی برای امن سازی دارایی های دیجیتالی شما را به نمایش می گذارند. در یک دنیای ایده آل، شما بودجه و منابع را برای پیاده سازی تمام ابزار و سیستم هایی که بحث می کنیم خواهید داشت. اما متأسفانه در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه تان را ارزیابی کنید – چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و غیره – و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنید.

 

مدل امنیت لایه بندی شده

در این جدول مدل امنیت لایه بندی شده و بعضی از تکنولوژی هایی که در هر سطح مورد استفاده قرار می گیرند، ارائه شده اند. این تکنولوژی ها با جزئیات بیشتر در بخش های بعدی مورد بحث قرار خواهند گرفت.

 

ردیف سطح امنیتی ابزار و سیستم های امنیتی قابل استفاده

۱ پیرامون ·       فایروال
·       آنتی ویروس در سطح شبکه
·       رمزنگاری شبکه خصوصی مجازی

۲ شبکه ·       سیستم  تشخیص/جلوگیری از نفوذ (IDS/IPS)
·       سیستم مدیریت آسیب پذیری
·       تبعیت امنیتی کاربر انتهایی
·       کنترل دسترسی/ تایید هویت کاربر

۳ میزبان ·       سیستم تشخیص نفوذ میزبان
·       سیستم ارزیابی آسیب پذیری میزبان
·       تبعیت امنیتی کاربر انتهایی
·       آنتی ویروس
·       کنترل دسترسی/ تایید هویت کاربر

۴ برنامه کاربردی ·       سیستم تشخیص نفوذ میزبان
·       سیستم ارزیابی آسیب پذیری میزبان
·       کنترل دسترسی/ تایید هویت کاربر
·       تعیین صحت ورودی

۵ داده ·       رمزنگاری
·       کنترل دسترسی/ تایید هویت کاربر

سطح ۱: امنیت پیرامون

منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است. «پیرامون» اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت کننده شبکه است. این ناحیه ای است که شبکه به پایان می رسد و اینترنت آغاز می شود. پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترل شده است که در بخشی از پیرامون قرار دارند که بعنوان DMZ (demilitarized zone) شناخته می شود. DMZ معمولاً وب سرورها، مدخل ایمیل ها، آنتی ویروس شبکه و سرورهای DNS  را دربرمی گیرد که باید در معرض اینترنت قرار گیرند. فایروال قوانین سفت و سختی در مورد اینکه چه چیزی می تواند وارد شبکه شود و چگونه سرورها در DMZ می توانند با اینترنت و شبکه داخلی تعامل داشته باشند، دارد.

پیرامون شبکه، به اختصار، دروازه شما به دنیای بیرون و برعکس، مدخل دنیای بیرون به شبکه شماست.

تکنولوژیهای زیر امنیت را در پیرامون شبکه ایجاد می کنند:

 ·   فایروال ـ معمولاً یک فایروال روی سروری نصب می گردد که به بیرون و درون پیرامون شبکه متصل است. فایروال سه عمل اصلی انجام می دهد ۱- کنترل ترافیک ۲- تبدیل آدرس و ۳- نقطه پایانی VPN. فایروال کنترل ترافیک را با سنجیدن مبداء و مقصد تمام ترافیک واردشونده و خارج شونده انجام می دهد و تضمین می کند که تنها تقاضاهای مجاز اجازه عبور دارند. بعلاوه، فایروال ها به شبکه امن در تبدیل آدرس های IP داخلی به آدرس های قابل رویت در اینترنت کمک می کنند. این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری می کند. یک فایروال همچنین می تواند به عنوان نقطه پایانی تونل های VPN (که بعداً بیشتر توضیح داده خواهد شد) عمل کند. این سه قابلیت فایروال را تبدیل به بخشی واجب برای امنیت شبکه شما می کند.

 

·   آنتی ویروس شبکه ـ  این نرم افزار در DMZ نصب می شود و محتوای ایمیل های واردشونده و خارج شونده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه می کند.  این آنتی ویروس ها آمد و شد ایمیل های آلوده را مسدود می کنند و آنها را قرنطینه می کنند و سپس به دریافت کنندگان و مدیران شبکه اطلاع می دهند. این عمل از ورود و انتشار یک ایمیل آلوده به ویروس در شبکه جلوگیری می کند و جلوی گسترش ویروس توسط شبکه شما را می گیرد. آنتی ویروس شبکه، مکملی برای حفاظت ضدویروسی است که در سرور ایمیل شما و کامپیوترهای مجزا صورت می گیرد. بمنظور کارکرد مؤثر، دیتابیس ویروس های شناخته شده باید به روز نگه داشته شود.

 

·   VPNـ یک شبکه اختصاصی مجازی (VPN) از رمزنگاری سطح بالا برای ایجاد ارتباط امن بین ابزار دور از یکدیگر، مانند لپ تاپ ها و شبکه مقصد استفاده می کند. VPN اساساً یک تونل رمزشده تقریباً با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد می کند. این تونل VPN می تواند در یک مسیریاب برپایه VPN، فایروال یا یک سرور در ناحیه DMZ پایان پذیرد. برقراری ارتباطات VPN برای تمام بخش های دور و بی سیم شبکه یک عمل مهم است که نسبتاً آسان و ارزان پیاده سازی می شود.

 مزایا

تکنولوژی های ایجاد شده سطح پیرامون سال هاست که در دسترس هستند، و بیشتر خبرگان IT با تواناییها و نیازهای عملیاتی آنها به خوبی آشنایی دارند. بنابراین، از نظر پیاده سازی آسان و توأم با توجیه اقتصادی هستند. بعضیاز فروشندگان راه حل های سفت و سختی برای این تکنولوژیها ارائه می دهند و بیشتر آنها به این دلیل پر هزینه هستند.

معایب

از آنجا که بیشتر این سیستم ها تقریباً پایه ای هستند و مدت هاست که در دسترس بوده اند، بیشتر هکرهای پیشرفته روش هایی برای دور زدن آنها نشان داده اند. برای مثال، یک ابزار آنتی ویروس نمی تواند ویروسی را شناسایی کند مگر اینکه از قبل علامت شناسایی ویروس را در دیتابیس خود داشته باشد و این ویروس داخل یک فایل رمزشده قرار نداشته باشد. اگرچه VPN رمزنگاری مؤثری ارائه می کند، اما کار اجرایی بیشتری را برروی کارمندان IT تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری باید بصورت مداوم مدیریت شوند.

ملاحظات

پیچیدگی معماری شبکه شما می تواند تأثیر قابل ملاحظه ای روی میزان اثر این تکنولوژی ها داشته باشد. برای مثال، ارتباطات چندتایی به خارج احتمالاً نیاز به چند فایروال و آنتی ویروس خواهد داشت. معماری شبکه بطوری که تمام این ارتباطات به ناحیه مشترکی ختم شود، به هرکدام از تکنولوژی های مذکور اجازه می دهد که به تنهایی پوشش مؤثری برای شبکه ایجاد کنند.

انواع ابزاری که در DMZ شما قرار دارد نیز یک فاکتور مهم است. این ابزارها چه میزان اهمیت برای کسب و کار شما دارند؟ هرچه اهمیت بیشتر باشد، معیارها و سیاست های امنیتی سفت و سخت تری باید این ابزارها را مدیریت کنند.

سطح ۲-  امنیت شبکه

سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی شما اشاره دارد. شبکه داخلی شما ممکن است شامل چند کامپیوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید. این قضیه بخصوص برای سازمان های کوچک تا متوسط صدق می کند که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش دیگر به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند:

 

·   IDSها (سیستم های تشخیص نفوذ) و IPSها (سیستم های جلوگیری از نفوذ) ـ تکنولوژیهای IDS و IPS ترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهای IDS مسؤولین IT را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار ترافیک  آسیب رسان را مسدود می کنند. IDSها و IPSها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPSها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی ها از نام آنها استنباط می شود. محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند. پیکربندی های IDS و IPS  استاندارد در شکل نشان داده شده اند:

  

·   مدیریت آسیب پذیری – سیستم های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام می دهند: (۱) شبکه را برای آسیب پذیری ها پیمایش می کنند و (۲)روند مرمت آسیب پذیری یافته شده را مدیریت می کنند. در گذشته، این تکنولوژی VA )تخمین آسیب پذیری( نامیده می شد. اما این تکنولوژی اصلاح شده است، تا جاییکه بیشتر سیستم های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می دهند.

سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می کنند. آنها معمولاً پایگاه داده ای از قوانینی را نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبکه را مشخص می کنند. در طول یک پیمایش، سیستم هر ابزار یا برنامه ای را با بکارگیری قوانین مناسب می آزماید.

  همچنانکه از نامش برمی آید، سیستم  مدیریت آسیب پذیری شامل ویژگیهایی است که روند بازسازی را مدیریت می کند. لازم به ذکر است که میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می کند.

 

·   تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می کنند که تضمین می کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند، رعایت کرده اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای VPN و RAS می گیرد.

  روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آنها از این تست ها معمولاً برای بررسی  (۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی ویروس های به روز شده و غیره و (۲) کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.

·   کنترل دسترسیتأیید هویت – کنترل دسترسی نیازمند تأیید هویت کاربرانی است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.

نکته: در این سلسله مباحث،  به کنترل دسترسی و تأییدهویت در سطوح شبکه، میزبان، نرم افزار و دیتا در چارچوب امنیتی لایه بندی شده می پردازیم. میان طرح های کنترل دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد. معمولاً تراکنش های تأیید هویت در مقابل دید کاربر اتفاق می افتد

استاندارد شبکه های محلی بی سیم

در ماه ژوئن سال 1997 انجمن مهندسان برق و الكترونيك (IEEE) استاندارد IEEE 802.11-1997 را به عنوان اولين استانداردِ شبكه‌های محلی بی‌سيم منتشر ساخت. اين استاندارد در سال 1999 مجدداً بازنگری شد و نگارش روز آمد شده آن تحت عنوان IEEE 802.11-1999 منتشر شد. استاندارد جاری شبكه‌های محلی بی‌سيم يا همانIEEE 802.11 تحت عنوان ISO/IEC 8802-11:1999، توسط سازمان استاندارد سازی بين‌المللی (ISO) و مؤسسه استانداردهای ملی آمريكا (ANSI) پذيرفته شده است. تكميل اين استاندارد در سال 1997، شكل گيری و پيدايش شبكه سازی محلی بی‌سيم و مبتنی بر استاندارد را به دنبال داشت. استاندارد 1997، پهنای باند 2Mbps را تعريف می‌كند با اين ويژگی كه در شرايط نامساعد و محيط‌های دارای اغتشاش (نويز) اين پهنای باند می‌تواند به مقدار 1Mbps كاهش يابد. روش تلفيق يا مدولاسيون در اين پهنای باند روش DSSS است. بر اساس اين استاندارد پهنای باند 1 Mbps با استفاده از روش مدولاسيون FHSS نيز قابل دستيابی است و در محيط‌های عاری از اغتشاش (نويز) پهنای باند 2 Mbpsنيز قابل استفاده است. هر دو روش مدولاسيون در محدوده باند راديويی 2.4 GHz عمل می‌كنند. يكی از نكات جالب توجه در خصوص اين استاندارد استفاده از رسانه مادون قرمز علاوه بر مدولاسيون‌های راديويی DSSS و FHSS به عنوان رسانهانتقال است. ولی كاربرد اين رسانه با توجه به محدوديت حوزه عملياتی آن نسبتاً محدود و نادر است. گروه كاری 802.11 به زير گروه‌های متعددی تقسيم می‌شود. شكل‌های 1-1 و 1-2 گروه‌های كاری فعال در فرآيند استاندارد سازی را نشان می‌دهد. برخی از مهم‌ترين زير گروه‌ها به قرار زير است:

 

كميته 802.11e كميته‌ای است كه سعی دارد قابليت QoS اِتـِرنت را در محيط شبكه‌های بی‌سيم ارائه كند. توجه داشته باشيد كه فعاليت‌های اين گروه تمام گونه‌های 802.11 شامل a، b، و g را در بر دارد. اين كميته در نظر دارد كه ارتباط كيفيت سرويس سيمی يا Ethernet QoS را به دنيای بی‌سيم بياورد.

كميته 802.11g كميته‌ای است كه با عنوان 802.11 توسعه يافته نيز شناخته می‌شود. اين كميته در نظر دارد نرخ ارسال داده‌ها در باند فركانسی ISM را افزايش دهد. باند فركانسی ISM يا باند فركانسی صنعتی، پژوهشی، و پزشكی، يك باند فركانسی بدون مجوز است. استفاده از اين باند فركانسی كه در محدوده 2400 مگاهرتز تا 2483.5 مگاهرتز قرار دارد، بر اساس مقررات FCC در كاربردهای تشعشع راديويی نيازی به مجوز ندارد. استاندارد 802.11g تا كنون نهايی نشده است و مهم‌ترين علت آن رقابت شديد ميان تكنيك‌های مدولاسيون است. اعضاء اين كميته و سازندگان تراشه توافق كرده‌اند كه از تكنيك تسهيم OFDM استفاده نمايند ولی با اين وجود روش PBCC نيز می‌تواند به عنوان يك روش جايگزين و رقيب مطرح باشد. كميته 802.11h مسئول تهيه استانداردهای يكنواخت و يكپارچه برای توان مصرفی و نيز توان امواج ارسالی توسط فرستنده‌های مبتنی بر 802.11 است.

فعاليت دو كميته 802.11i و 802.11x در ابتدا برروی سيستم‌های مبتنی بر 802.11b تمركز داشت. اين دو كميته مسئول تهيه پروتكل‌های جديد امنيت هستند. استاندارد اوليه از الگوريتمی موسوم به WEP استفاده می‌كند كه در آن دو ساختار كليد رمز نگاری به طول 40 و 128 بيت وجود دارد. WEP مشخصاً يك روش رمزنگاری است كه از الگوريتم RC4 برای رمزنگاری فريم‌ها استفاده می‌كند. فعاليت اين كميته در راستای بهبود مسائل امنيتی شبكه‌های محلی بی‌سيم است.

اين استاندارد لايه‌های كنترل دسترسی به رسانه (MAC) و لايه فيزيكی (PHY) در يك شبكه محلی با اتصال بی‌سيم را دربردارد. شكل 1-1 جايگاه استاندارد 802.11 را در مقايسه با مدل مرجع نشان می‌دهد.

 

شبکه‌های بی‌سیم و انواع WWAN , WLAN , WPAN

تکنولوژی شبکه‌های بی‌سیم، با استفاده از انتقال داده‌ها توسط اموج رادیویی، در ساده‌ترین صورت، به تجهیزات سخت‌افزاری امکان می‌دهد تا بدون‌استفاده از بسترهای فیزیکی همچون سیم و کابل، با یکدیگر ارتباط برقرار کنند. شبکه‌های بی‌سیم بازه‌ی وسیعی از کاربردها، از ساختارهای پیچیده‌یی چون شبکه‌های بی‌سیم سلولی -که اغلب برای تلفن‌های همراه استفاده می‌شود- و شبکه‌های محلی بی‌سیم (WLAN – Wireless LAN) گرفته تا انوع ساده‌یی چون هدفون‌های بی‌سیم، را شامل می‌شوند. از سوی دیگر با احتساب امواجی همچون مادون قرمز، تمامی تجهیزاتی که از امواج مادون قرمز نیز استفاده می‌کنند، مانند صفحه کلید‌ها، ماوس‌ها و برخی از گوشی‌های همراه، در این دسته‌بندی جای می‌گیرند. طبیعی‌ترین مزیت استفاده از این شبکه‌ها عدم نیاز به ساختار فیزیکی و امکان نقل و انتقال تجهیزات متصل به این‌گونه شبکه‌ها و هم‌چنین امکان ایجاد تغییر در ساختار مجازی آن‌هاست. از نظر ابعاد ساختاری، شبکه‌های بی‌سیم به سه دسته تقسیم می‌گردند : WWAN، WLAN و WPAN.

مقصود از WWAN، که مخفف Wireless WAN است، شبکه‌هایی با پوشش بی‌سیم بالاست. نمونه‌یی از این شبکه‌ها، ساختار بی‌سیم سلولی مورد استفاده در شبکه‌های تلفن همراه است. WLAN پوششی محدودتر، در حد یک ساختمان یا سازمان، و در ابعاد کوچک یک سالن یا تعدادی اتاق، را فراهم می‌کند. کاربرد شبکه‌های WPAN یا Wireless Personal Area Network برای موارد خانه‌گی است. ارتباطاتی چون Bluetooth و مادون قرمز در این دسته قرار می‌گیرند.

شبکه‌های WPAN از سوی دیگر در دسته‌ی شبکه‌های Ad Hoc نیز قرار می‌گیرند. در شبکه‌های Ad hoc، یک سخت‌افزار، به‌محض ورود به فضای تحت پوشش آن، به‌صورت پویا به شبکه اضافه می‌شود. مثالی از این نوع شبکه‌ها، Bluetooth است. در این نوع، تجهیزات مختلفی از جمله صفحه کلید، ماوس، چاپگر، کامپیوتر کیفی یا جیبی و حتی گوشی تلفن همراه، در صورت قرارگرفتن در محیط تحت پوشش، وارد شبکه شده و امکان رد و بدل داده‌ها با دیگر تجهیزات متصل به شبکه را می‌یابند. تفاوت میان شبکه‌های Ad hoc با شبکه‌های محلی بی‌سیم (WLAN) در ساختار مجازی آن‌هاست. به‌عبارت دیگر، ساختار مجازی شبکه‌های محلی بی‌سیم بر پایه‌ی طرحی ایستاست درحالی‌که شبکه‌های Ad hoc از هر نظر پویا هستند. طبیعی‌ست که در کنار مزایایی که این پویایی برای استفاده کننده‌گان فراهم می‌کند، حفظ امنیت چنین شبکه‌هایی نیز با مشکلات بسیاری همراه است. با این وجود، عملاً یکی از راه حل‌های موجود برای افزایش امنیت در این شبکه‌ها، خصوصاً در انواعی همچون Bluetooth، کاستن از شعاع پوشش سیگنال‌های شبکه است. در واقع مستقل از این حقیقت که عمل‌کرد Bluetooth بر اساس فرستنده و گیرنده‌های کم‌توان استوار است و این مزیت در کامپیوترهای جیبی برتری قابل‌توجه‌یی محسوب می‌گردد، همین کمی توان سخت‌افزار مربوطه، موجب وجود منطقه‌ی محدود تحت پوشش است که در بررسی امنیتی نیز مزیت محسوب می‌گردد. به‌عبارت دیگر این مزیت به‌همراه استفاده از کدهای رمز نه‌چندان پیچیده، تنها حربه‌های امنیتی این دسته از شبکه‌ها به‌حساب می‌آیند

مقدمه اي بر شبكه خصوصي مجازي (VPN)

شبكه خصوصي مجازي يا Virtual Private Network كه به اختصار VPN ناميده مي شود، امكاني است براي انتقال ترافيك خصوصي بر روي شبكه عمومي. معمولا  از VPN براي اتصال دو شبكه خصوصي از طريق يك شبكه عمومي مانند اينترنت استفاده مي شود.منظور از يك شبكه خصوصي شبكه اي است كه بطور آزاد در اختيار و دسترس عموم نيست. VPN به اين دليل مجازي ناميده مي شود كه از نظر دو شبكه خصوصي ، ارتباط از طريق يك ارتباط و شبكه خصوصي بين آنها برقرار است اما در واقع شبكه عمومي اين كار را انجام مي دهد. پياده سازي VPN معمولا اتصال دو يا چند شبكه خصوصي از طريق يك تونل رمزشده انجام مي شود. در واقع به اين وسيله اطلاعات در حال تبادل بر روي شبكه عمومي از ديد ساير كاربران محفوظ مي ماند. VPN را مي توان بسته به شيوه پياده سازي و اهداف پياده سازي آن به انواع مختلفي تقسيم كرد. 

 دسته بندي VPN براساس رمزنگاري

 VPN را مي توان با توجه به استفاده يا عدم استفاده از رمزنگاري به دو گروه اصلي تقسيم كرد:

1- VPNرمزشده : VPN هاي رمز شده از انواع مكانيزمهاي رمزنگاري براي انتقال امن اطلاعات بر روي شبكه عمومي استفاده مي كنند. يك نمونه خوب از اين VPN ها ، شبكه هاي خصوصي مجازي اجرا شده به كمك IPSec  هستند.

2-  VPN رمزنشده : اين نوع از VPN براي اتصال دو يا چند شبكه خصوصي با هدف استفاده از منابع شبكه يكديگر ايجاد مي شود. اما امنيت اطلاعات در حال تبادل حائز اهميت نيست يا اين كه اين امنيت با روش ديگري غير از رمزنگاري تامين مي شود. يكي از اين روشها تفكيك مسيريابي است. منظور از تفكيك مسيريابي آن است كه تنها اطلاعات در حال تبادل بين دو شبكه خصوصي به هر يك از آنها مسير دهي مي شوند. (MPLS VPN) در اين مواقع مي توان در لايه هاي بالاتر از رمزنگاري مانند SSL استفاده كرد.

هر دو روش ذكر شده مي توانند با توجه به سياست امنيتي مورد نظر ، امنيت مناسبي را براي مجموعه به ارمغان بياورند، اما معمولا VPN هاي رمز شده براي ايجاد VPN امن به كار  مي روند. ساير انواع VPN مانند MPLS VPN بستگي به امنيت و جامعيت عمليات مسيريابي دارند.

 

 دسته بندي VPN براساس لايه پياده سازي

VPN بر اساس لايه مدل OSI كه در آن پياده سازي شده اند نيز قابل دسته بندي هستند. اين موضوع از اهميت خاصي برخوردار است. براي مثال در VPN هاي رمز شده ، لايه اي كه در آن رمزنگاري انجام مي شود در حجم ترافيك رمز شده تاثير دارد. همچنين سطح شفافيت VPN براي كاربران آن نيز با توجه به لايه پياده سازي مطرح مي شود.

1-  VP لايه پيوند داده : با استفاده از VPN هاي لايه پيوند داده مي توان دو شبكه خصوصي را در لايه 2 مدل OSI با استفاده از پروتكلهايي مانند ATM يا Frame Relay به هم متصل كرد.با وجودي كه اين مكانيزم راه حل مناسبي به نظر مي رسد اما معمولا روش ارزني نيست چون نياز به يك مسير اختصاصي لايه 2 دارد. پروتكلهاي Frame Relay و ATM مكانيزمهاي رمزنگاري را تامين نمي كنند. آنها فقط به ترافيك اجازه مي دهند تا بسته به آن كه به كدام اتصال لايه 2 تعلق دارد ، تفكيك شود. بنابراين اگر به امنيت بيشتري نياز داريد بايد مكانيزمهاي رمزنگاري مناسبي را به كار بگيريد.

2-  VPN لايه شبكه : اين سري از VPN ها با استفاده از tunneling لايه 3 و/يا تكنيكهاي رمزنگاري استفاده مي كنند. براي مثال مي توان به IPSec Tunneling و پروتكل رمزنگاري براي ايجاد VPN اشاره كرد.مثالهاي ديگر پروتكلهاي GRE و L2TP هستند. جالب است اشاره كنيم كه L2TP در ترافيك لايه 2 تونل مي زند اما از لايه 3 براي اين كار استفاده مي كند. بنابراين در VPN هاي لايه شبكه قرار مي گيرد. اين لايه براي انجام رمزنگاري نيز بسيار مناسب است. در بخشهاي بعدي اين گزارش به اين سري از VPN ها به طور مشروح خواهيم پرداخت.

3-  VPN لايه كاربرد : اين VPN ها براي كار با برنامه هاي كاربردي خاص ايجاد شده اند. VPN هاي مبتني بر SSL از مثالهاي خوب براي اين نوع از VPN هستند. SSL رمزنگاري را بين مرورگر وب و سروري كه SSL را اجرا مي كند، تامين          مي كند.SSH  مثال ديگري براي اين نوع از VPN ها است.SSH به عنوان يك مكانيزم امن و رمز شده براي login به اجزاي مختلف شبكه شناخته مي شود. مشكل VPNها در اين لايه آن است كه هرچه خدمات و برنامه هاي جديدي اضافه مي شوند ، پشتيباني آنها در VPN نيز بايد اضافه شود.

دسته بندي VPN براساس كاركرد تجاري

مقايسه تشخيص نفوذ و پيش گيري از نفوذ

ايده پيش گيري از نفوذ (Intrusion Prevention) اين است كه تمام حملات عليه هر بخش از محيط محافظت شده توسط روش هاي به كار گرفته شده ناكام بماند. اين روش ها مي توانند تمام بسته هاي شبكه را بگيرند و نيت آنها را مشخص كنند ـ آيا هركدام يك حمله هستند يا يك استفاده قانوني ـ سپس عمل مناسب را انجام دهند.

تفاوت شكلي تشخيص با پيش گيري

در ظاهر، روش هاي تشخيص نفوذ و پيش گيري از نفوذ رقيب هستند. به هرحال، آنها ليست بلندبالايي از عملكردهاي مشابه، مانند بررسي بسته داده، تحليل با توجه به حفظ وضعيت، گردآوري بخش هاي TCP، ارزيابي پروتكل و تطبيق امضاء دارند. اما اين قابليت ها به عنوان ابزاري براي رسيدن به اهداف متفاوت در اين دو روش به كار گرفته مي شوند. يك IPS  (Intrusion Prevention System) يا سيستم پيش گيري مانند يك محافظ امنيتي در مدخل يك اجتماع اختصاصي عمل مي كند كه بر پايه بعضي گواهي ها و قوانين يا سياست هاي از پيش تعيين شده اجازه عبور مي دهد. يك IDS (Intrusion Detection System) يا سيستم تشخيص مانند يك اتومبيل گشت زني در ميان اجتماع عمل مي كند كه فعاليت ها را به نمايش مي گذارد و دنبال موقعيت هاي غيرعادي مي گردد. بدون توجه به قدرت امنيت در مدخل، گشت زن ها به كار خود در سيستم ادامه مي دهند و بررسي هاي خود را انجام  مي دهند.

تشخيص نفوذ

هدف از تشخيص نفوذ نمايش، بررسي و ارائه گزارش از فعاليت شبكه است. اين سيستم روي بسته هاي داده كه از ابزار كنترل دسترسي عبور كرده اند، عمل مي كند. به دليل وجود محدوديت هاي اطمينان پذيري، تهديدهاي داخلي و وجود شك و ترديد مورد نياز،  پيش گيري از نفوذ بايد به بعضي از موارد مشكوك به حمله اجازه عبور دهد تا احتمال تشخيص هاي  غلط (false positive) كاهش يابد. از طرف ديگر،  روش هاي IDS با هوشمندي همراه هستند و از تكنيك هاي مختلفي براي تشخيص حملات بالقوه، نفوذها و سوء استفاده ها بهره مي گيرند. يك IDS معمولاً به گونه اي از پهناي باند استفاده مي كند كه مي تواند بدون تأثير گذاشتن روي معماري هاي محاسباتي و شبكه اي به كار خود ادامه دهد.

طبيعت منفعل IDS آن چيزي است كه قدرت هدايت تحليل هوشمند جريان بسته ها را ايجاد مي كند. همين امر IDS را در جايگاه خوبي براي تشخيص موارد زير قرار مي دهد:

حملات شناخته شده از طريق امضاءها و قوانين

تغييرات در حجم و جهت ترافيك با استفاده از قوانين پيچيده و تحليل آماري

تغييرات الگوي ترافيك ارتباطي با استفاده از تحليل جريان

تشخيص فعاليت غيرعادي با استفاده از تحليل انحراف معيار

تشخيص فعاليت مشكوك با استفاده از تكنيك هاي آماري، تحليل جريان و تشخيص خلاف قاعده

 بعضي حملات تا درجه اي از يقين بسختي قابل تشخيص هستند، و بيشتر آنها فقط مي توانند توسط روش هايي كه داراي طبيعت غيرقطعي هستند تشخيص داده شوند. يعني اين روش ها براي تصميم گيري مسدودسازي براساس سياست مناسب نيستند.

 

 

 

پيش گيري از نفوذ

چنانچه قبلاً هم ذكر شد، روش هاي پيش گيري از نفوذ به منظور محافظت از دارايي ها، منابع، داده و شبكه ها استفاده مي شوند. انتظار اصلي از آنها اين است كه خطر حمله را با حذف ترافيك مضر شبكه كاهش دهند در حاليكه به فعاليت صحيح اجازه ادامه كار مي دهند. هدف نهايي يك سيستم كامل است- يعني نه تشخيص غلط حمله (false positive) كه از بازدهي شبكه مي كاهد و نه عدم تشخيص حمله (false negative) كه باعث ريسك بي مورد در محيط شبكه شود. شايد يك نقش اساسي تر نياز به مطمئن بودن است؛ يعني فعاليت به روش مورد انتظار تحت هر شرايطي. بمنظور حصول اين منظور، روش هاي IPS بايد طبيعت قطعي (deterministic) داشته باشند.

قابليت هاي قطعي، اطمينان مورد نياز براي تصميم گيري هاي سخت را ايجاد مي كند. به اين معني كه روش هاي پيش گيري از نفوذ براي سروكار داشتن با موارد زير ايده آل هستند:

  برنامه هاي ناخواسته و حملات اسب ترواي فعال عليه شبكه ها و برنامه هاي اختصاصي، با استفاده از قوانين قطعي و ليست هاي كنترل دسترسي

  بسته هاي ديتاي متعلق به حمله با استفاده از فيلترهاي بسته داده اي سرعت بالا

  سوءاستفاده از پروتكل و دستكاري پروتكل شبكه با استفاده از بازسازي هوشمند

 حملات DoS/DDoS مانند طغيان SYN و ICMP با استفاده از الگوريتم هاي فيلترينگ برپايه حد آستانه

  سوءاستفاده از برنامه ها و دستكاري هاي پروتكل ـ حملات شناخته شده و شناخته نشده عليه HTTP، FTP، DNS، SMTP و غيره با استفاده از قوانين پروتكل برنامه ها و امضاءها

 باراضافي برنامه ها با استفاده از ايجاد محدوديت هاي مصرف منابع

 تمام اين حملات و وضعيت آسيب پذيري كه به آنها اجازه وقوع مي دهد به خوبي مستندسازي شده اند. بعلاوه، انحرافات از پروتكل هاي ارتباطي از لايه شبكه تا لايه برنامه جايگاهي در هيچ گونه ترافيك صحيح ندارند.

 

نتيجه نهايي

تفاوت بين IDS و IPS به فلسفه جبرگرايي مي انجامد. يعني IDS مي تواند (و بايد) از روش هاي غيرقطعي براي استنباط هرنوع تهديد يا تهديد بالقوه از ترافيك موجود استفاده كند. اين شامل انجام تحليل آماري از حجم ترافيك، الگوهاي ترافيك و فعاليت هاي غيرعادي مي شود. IDS به درد افرادي مي خورد كه واقعاً مي خواهند بدانند چه چيزي در شبكه شان در حال رخ دادن است.

از طرف ديگر، IPS بايد در تمام تصميماتش براي انجام وظيفه اش در پالايش ترافيك قطعيت داشته باشد. از يك ابزار IPS انتظار مي رود كه در تمام مدت كار كند و در مورد كنترل دسترسي تصميم گيري كند. فايروال ها اولين رويكرد قطعي را براي كنترل دسترسي در شبكه ها با ايجاد قابليت اوليه IPS فراهم كردند. ابزارهاي IPS قابليت نسل بعد را به اين فايروال ها اضافه  كردند و هنوز در اين فعاليت هاي قطعي در تصميم گيري براي كنترل دسترسي ها مشاركت دارند.

مقدمه اي بر تشخيص نفوذ (Intrusion Detection)

 تشخيص نفوذ عبارت است از پردازه تشخيص تلاشهايي كه جهت دسترسي غيرمجاز به يك شبكه يا كاهش كارايي آن انجام مي شوند.در تشخيص نفوذ بايد ابتدا درك صحيحي از چگونگي انجام حملات پيدا كرد. سپس بنابر درك بدست آمده، روشي دو مرحله اي را براي متوقف كردن حملات برگزيد. اول اين كه مطمئن شويد كه الگوي عمومي فعاليتهاي خطرناك تشخيص داده شده است. دوم اين كه اطمينان حاصل كنيد كه با حوادث مشخصي كه درطبقه بندي مشترك حملات نمي گنجند، به سرعت رفتار مي شود.به همين دليل است كه بيشتر سيستم هاي تشخيص نفوذ (IDS) بر مكانيزمهايي جهت بروزرساني نرم افزارشان متكي هستند كه جهت جلوگيري از تهديدات شبكه به اندازه كافي سريع هستند. البته تشخيص نفوذ به تنهايي كافي نيست و بايد مسير حمله را تا هكر دنبال كرد تا بتوان به شيوه مناسبي با وي نيز برخورد كرد.

 

انواع حملات شبكه اي با توجه به طريقه حمله

يك نفوذ به شبكه معمولا يك حمله قلمداد مي شود. حملات شبكه اي را مي توان بسته به چگونگي انجام آن به دو گروه اصلي تقسيم كرد. يك حمله شبكه اي را مي توان با هدف نفوذگر از حمله توصيف و مشخص كرد. اين اهداف معمولا از كار انداختن سرويس (DOS يا Denial of Service) يا دسترسي غيرمجاز به منابع شبكه است.

1- حملات از كار انداختن سرويس

 در اين نوع حملات ، هكر استفاده از سرويس ارائه شده توسط ارائه كننده خدمات براي كاربرانش را مختل مي كند. در اين حملات حجم بالايي از درخواست ارائه خدمات به سرور فرستاده مي شود تا امكان خدمات رساني را از آن بگيرد. در واقع سرور به پاسخگويي به درخواستهاي بي شمار هكر مشغول مي شود و از پاسخگويي به كاربران واقعي باز مي ماند.

 2- حملات دسترسي به شبكه

در اين نوع از حملات، نفوذگر امكان دسترسي غيرمجاز به منابع شبكه را پيدا مي كند و از اين امكان براي انجام فعاليتهاي غيرمجاز و حتي غيرقانوني استفاده مي كند. براي مثال از شبكه به عنوان مبدا حملات DOS خود استفاده مي كند تا درصورت شناسايي مبدا، خود گرفتار نشود. دسترسي به شبكه را مي توان به دو گروه تقسيم كرد.

الف– دسترسي به داده : در اين نوع دسترسي ، نفوذگر به داده موجود بر روي اجزاء شبكه دسترسي غيرمجاز پيدا مي كند. حمله كننده مي تواند يك كاربر داخلي يا يك فرد خارج از مجموعه باشد. داده هاي ممتاز و مهم معمولا تنها در اختيار بعضي كاربران شبكه قرار مي گيرد و سايرين حق دسترسي به آنها را ندارند. در واقع سايرين امتياز كافي را جهت دسترسي به اطلاعات محرمانه ندارند، اما مي توان با افزايش امتياز به شكل غير مجاز به اطلاعات محرمانه دسترسي پيدا كرد. اين روش به تعديل امتياز يا Privilege Escalation مشهور است.

ب- دسترسي به سيستم : اين نوع حمله خطرناكتر و بدتر است و طي آن حمله كننده به منابع سيستم و دستگاهها دسترسي پيدا مي كند. اين دسترسي مي تواند شامل اجراي برنامه ها بر روي سيستم و به كار گيري منابع آن در جهت اجراي دستورات حمله كننده باشد. همچنين حمله كننده مي تواند به تجهيزات شبكه مانند دوربينها ، پرينترها و وسايل ذخيره سازي دسترسي پيدا كند. حملات اسب ترواها ، Brute Force و يا استفاده از ابزارهايي جهت تشخيص نقاط ضعف يك نرم افزار نصب شده بر روي سيستم از جمله نمونه هاي قابل ذكر از اين نوع حملات هستند.

فعاليت مهمي كه معمولا پيش از حملات DoS و دسترسي به شبكه انجام مي شود، شناسايي يا reconnaissance است. يك حمله كننده از اين فاز جهتي افتن حفره هاي امنيتي و نقاط ضعف شبكه استفاده مي كند. اين كار مي تواند به كمك بعضي ابزارها آماده انجام پذيرد كه به بررسي پورتهاي رايانه هاي موجود بر روي شبكه مي پردازند و آمادگي آنها را جهت انجام حملات مختلف بر روي آنها بررسي مي كنند.

 

 انواع حملات شبكه اي با توجه به حمله كننده

حملات شبكه اي را مي توان با توجه به حمله كننده به چهار گروه تقسيم كرد :

1-  حملات انجام شده توسط كاربر مورد اعتماد (داخلي) : اين حمله يكي از مهمترين و خطرناكترين نوع حملات است، چون از يك طرف كاربر به منابع مختلف شبكه دسترسي دارد و از طرف ديگر سياستهاي امنيتي معمولا محدوديتهاي كافي درباره اين كاربران اعمال       نمي كنند.

2-  حملات انجام شده توسط افراد غير معتمد (خارجي) : اين معمولترين نوع حمله است كه يك كاربر خارجي كه مورد اعتماد نيست شبكه را مورد حمله قرار مي دهد. اين افراد معمولا سخت ترين راه را پيش رو دارند زيرا بيشتر سياستهاي امنيتي درباره اين افراد تنظيم شده اند

3-  حملات انجام شده توسط هكرهاي بي تجربه : بسياري از ابزارهاي حمله و نفوذ بر روي اينترنت وجود دارند. در واقع بسياري از افراد مي توانند بدون تجربه خاصي و تنها با استفاده از ابزارهاي آماده براي شبكه ايجاد مشكل كنند.

3-  حملات انجام شده توسط كاربران مجرب : هكرهاي با تجربه و حرفه اي در نوشتن انواع كدهاي خطرناك متبحرند. آنها از شبكه و پروتكلهاي آن و همچنين از انواع سيستم هاي عمل آگاهي كامل دارند. معمولا اين افراد ابزارهايي توليد مي كنند كه توسط گروه اول به كار گرفته مي شوند. آنها معمولا پيش از هر حمله ، آگاهي كافي درباره قرباني خود كسب مي كنند.

 

پردازه تشخيص نفوذ

تا بحال با انواع حملات آشنا شديم. حال بايد چگونگي شناسايي حملات و جلوگيري از آنها را بشناسيم. امروزه دو روش اصلي براي تشخيص نفوذ به شبكه ها مورد استفاده قرار مي گيرد:

1- IDS مبتني بر خلاف قاعده آماري

2- IDS مبتني بر امضا يا تطبيق الگو

روش اول مبتني بر تعيين آستانه انواع فعاليتها بر روي شبكه است، مثلا چند بار يك دستور مشخص توسط يك كاربر در يك تماس با يك ميزبان (host) اجرا مي شود.لذا در صورت بروز يك نفوذ امكان تشخيص آن به علت خلاف معمول بودن آن وجود دارد. اما بسياري از حملات به گونه اي هستند كه نمي توان براحتي و با كمك اين روش آنها را تشخيص داد.

در واقع روشي كه در بيشتر سيستمهاي موفق تشخيص نفوذ به كار گرفته مي شود، IDS مبتني بر امضا يا تطبيق الگو است.منظور از امضا مجموعه قواعدي است كه يك حمله در حال انجام را تشخيص مي دهد. دستگاهي كه قرار است نفوذ را تشخيص دهد با مجموعه اي از قواعد بارگذاري مي شود.هر امضا داراي اطلاعاتي است كه نشان مي دهد در داده هاي در حال عبور بايد به دنبال چه فعاليتهايي گشت. هرگاه ترافيك در حال عبور با الگوي موجود در امضا تطبيق كند، پيغام اخطار توليد مي شود و مدير شبكه را از وقوع يك نفوذ آگاه مي كند. در بسياري از موارد IDS علاوه بر آگاه كردن مدير شبكه، اتصال با هكر را بازآغازي مي كند و يا با كمك يك فايروال و انجام عمليات كنترل دسترسي با نفوذ بيشتر مقابله مي كند.

اما بهترين روش براي تشخيص نفوذ ، استفاده از تركيبي از دو روش فوق است.

مقدمه اي بر IPSec

IP Security يا IPSec رشته اي از پروتكلهاست كه براي ايجاد VPN مورد استفاده قرار     مي گيرند. مطابق با تعريف IETF (Internet Engineering Task Force) پروتكل IPSec به اين شكل تعريف مي شود:

يك پروتكل امنيتي در لايه شبكه توليد خواهد شد تا خدمات امنيتي رمزنگاري را تامين كند. خدماتي كه به صورت منعطفي به پشتيباني تركيبي از تاييد هويت ، جامعيت ، كنترل دسترسي و محرمانگي بپردازد.

در اكثر سناريوها مورد استفاده ،IPSec به شما امكان مي دهد تا يك تونل رمزشده را بين دو شبكه خصوصي ايجاد كنيد.همچنين امكان تاييد هويت دو سر تونل را نيز براي شما فراهم         مي كند.اما IPSec تنها به ترافيك مبتني بر IP اجازه بسته بندي و رمزنگاري مي دهد و درصورتي كه ترافيك غير IP  نيز در شبكه وجود داشته باشد ، بايد از پروتكل ديگري مانند GRE در كنار IPSec استفاده كرد.

IPSec به استاندارد de facto در صنعت براي ساخت VPN تبديل شده است.بسياري از فروشندگان تجهيزات شبكه ، IPSec را پياده سازي كرده اند و لذا امكان كار با انواع مختلف تجهيزات از شركتهاي مختلف ، IPSec را به يك انتخاب خوب براي ساخت VPN مبدل كرده است.

 

 انواع IPSec VPN

شيوه هاي مختلفي براي دسته بندي IPSec VPN وجود دارد اما از نظر طراحي ، IPSec براي حل دو مسئله مورد استفاده قرار مي گيرد :

1- اتصال يكپارچه دو شبكه خصوصي و ايجاد يك شبكه مجازي خصوصي

2-توسعه يك شبكه خصوصي براي دسترسي كاربران از راه دور به آن شبكه به عنوان بخشي از شبكه امن

بر همين اساس ، IPSec VPN ها را نيز مي توان به دو دسته اصلي تقسيم كرد:

1- پياده سازي LAN-to-LAN IPSec

اين عبارت معمولا براي توصيف يك تونل IPSec بين دو شبكه محلي به كار مي رود. در اين حالت دو شبكه محلي با كمك تونل IPSec و از طريق يك شبكه عمومي با هم ارتباط برقرار مي كنند به گونه اي كه كاربران هر شبكه محلي به منابع شبكه محلي ديگر، به عنوان عضوي از آن شبكه، دسترسي دارند. IPSec به شما امكان مي دهد كه تعريف كنيد چه داده اي و چگونه بايد رمزنگاري شود.

2- پياده سازي Remote-Access Client IPSec

اين نوع از VPN ها زماني ايجاد مي شوند كه يك كاربر از راه دور و با استفاده ازIPSec client نصب شده بر روي رايانه اش، به يك روتر IPSec يا Access server متصل مي شود. معمولا اين رايانه هاي دسترسي از راه دور به يك شبكه عمومي يا اينترنت و با كمك روش dialup يا روشهاي مشابه متصل مي شوند. زماني كه اين رايانه به اينترنت يا شبكه عمومي متصل مي شود، IPSec client موجود بر روي آن مي تواند يك تونل  رمز شده را بر روي شبكه عمومي ايجاد كند كه مقصد آن يك دستگاه پاياني IPSec ،مانند يك روتر، كه بر لبه شبكه خصوصي مورد نظر كه كاربر قصد ورود به آن را دارد، باشد.

در روش اول تعداد پايانه هاي IPSec محدود است اما با كمك روش دوم مي توان تعداد پايانه ها را به ده ها هزار رساند كه براي پياده سازي هاي بزرگ مناسب است.

 

 ساختار IPSec

IPSec براي ايجاد يك بستر امن يكپارچه ، سه پروتكل را با هم تركيب مي كند :

1- پروتكل مبادله كليد اينترنتي ( Internet Key Exchange يا IKE )

اين پروتكل مسئول طي كردن مشخصه هاي تونل IPSec بين دو طرف است. وظايف اين پروتكل عبارتند از:

      طي كردن پارامترهاي پروتكل

      مبادله كليدهاي عمومي

      تاييد هويت هر دو طرف

      مديريت كليدها پس از مبادله

IKE مشكل پياده سازي هاي دستي و غير قابل تغيير IPSec را با خودكار كردن كل پردازه مبادله كليد حل مي كند. اين امر يكي از نيازهاي حياتي  IPSecاست. IKE خود از سه پروتكل تشكيل مي شود :

SKEME : مكانيزمي را براي استفاده از رمزنگاري كليد عمومي در جهت تاييد هويت تامين مي كند.

Oakley : مكانيزم مبتني بر حالتي را براي رسيدن به يك كليد رمزنگاري، بين دو پايانه IPSec تامين مي كند.

 ISAKMP : معماري تبادل پيغام را شامل قالب بسته ها و حالت گذار تعريف مي كند.

IKE به عنوان استاندارد RFC 2409 تعريف شده است. با وجودي كه IKE كارايي و عملكرد خوبي را براي IPSec تامين مي كند، اما بعضي كمبودها در ساختار آن باعث شده است تا پياده سازي آن مشكل باشد، لذا سعي شده است تا تغييراتي در آن اعمال شود و استاندارد جديدي ارائه شود كه IKE v2 نام خواهد داشت.

2- پروتكل Encapsulating Security Payload يا ESP

اين پروتكل امكان رمزنگاري ، تاييد هويت و تامين امنيت داده را فراهم مي كند.

3- پروتكل سرآيند تاييد هويت (Authentication Header يا AH)

اين پروتكل براي تاييد هويت و تامين امنيت داده به كار مي رود.

كاربرد پراكسي در امنيت شبكه

در مقايسه فايروال‌ها، ما مفهومي از پراكسي ارائه مي‌دهيم و پراكسي را از فيلتركننده بسته‌ها متمايز مي‌كنيم.مي‌توانيم در اينجا مزاياي پراكسي‌ها بعنوان ابزاري براي امنيت را ليست كنيم:

· با مسدود كردن روش‌هاي معمول مورد استفاده در حمله‌ها، هك‌كردن شبكه شما را مشكل‌تر مي‌كنند.

. با پنهان كردن جزئيات سرورهاي شبكه شما از اينترنت عمومي، هك‌كردن شبكه شما را مشكل‌تر مي‌كنند.

· با جلوگيري از ورود محتويات ناخواسته و نامناسب به شبكه شما، استفاده از پهناي باند شبكه را بهبود مي‌بخشند.

· با ممانعت از يك هكر براي استفاده از شبكه شما بعنوان نقطه‌ شروعي براي حمله ديگر، از ميزان اين نوع مشاركت مي‌كاهند.

· با فراهم‌آوردن ابزار و پيش‌فرض‌هايي براي مدير شبكه شما كه مي‌توانند بطور گسترده‌اي استفاده شوند، مي‌توانند مديريت شبكه شما را آسان سازند.

بطور مختصر مي‌توان اين مزايا را اينگونه بيان كرد؛ پراكسي‌ها به شما كمك مي‌كنند كه شبكه‌تان را با امنيت بيشتر، موثرتر و اقتصادي‌تر مورد استفاده قرار دهيد. بهرحال در ارزيابي يك فايروال، اين مزايا به فوايد اساسي تبديل مي‌شوند كه توجه جدي را مي‌طلبند.

برخي انواع پراكسي

تا كنون به پراكسي بصورت يك كلاس عمومي تكنولوژي پرداختيم. در واقع، انواع مختلف پراكسي وجود دارد كه هركدام با نوع متفاوتي از ترافيك اينترنت سروكار دارند. در بخش بعد به چند نوع آن اشاره مي‌كنيم و شرح مي‌دهيم كه هركدام در مقابل چه نوع حمله‌اي مقاومت مي‌كند.

البته پراكسي‌ها تنظيمات و ويژگي‌هاي زيادي دارند. تركيب پراكسي‌ها و ساير ابزار مديريت فايروال‌ها به مديران شبكه شما قدرت كنترل امنيت شبكه تا بيشترين جزئيات را مي‌دهد. در ادامه به پراكسي‌هاي زير اشاره خواهيم كرد:

·   SMTP Proxy

·   HTTP Proxy

·   FTP Proxy

·   DNS Proxy

 

SMTP Proxy

‌پراكسي SMTP (Simple Mail Transport Protocol) محتويات ايميل‌هاي وارد شونده و خارج‌شونده را براي محافظت از شبكه شما در مقابل خطر بررسي مي‌كند. بعضي از تواناييهاي آن اينها هستند:

·   مشخص كردن بيشترين تعداد دريافت‌كنندگان پيام: اين اولين سطح دفاع عليه اسپم (هرزنامه) است كه اغلب به صدها يا حتي هزاران دريافت‌كننده ارسال مي‌شود.

·   مشخص كردن بزرگترين اندازه پيام: اين به سرور ايميل كمك مي‌كند تا از بار اضافي و حملات بمباران توسط ايميل جلوگيري كند و با اين ترتيب مي‌توانيد به درستي از پهناي باند و منابع سرور استفاده كنيد.

·   اجازه دادن به كاراكترهاي مشخص در آدرسهاي ايميل آنطور كه در استانداردهاي اينترنت پذيرفته شده است: چنانچه قبلاً اشاره شد، بعضي حمله‌ها بستگي به ارسال كاراكترهاي غيرقانوني در آدرسها دارد. پراكسي مي‌تواند طوري تنظيم شود كه بجز به كاراكترهاي مناسب به بقيه اجازه عبور ندهد.

·   فيلتركردن محتوا براي جلوگيري از انواعي محتويات اجرايي: معمول‌ترين روش ارسال ويروس، كرم و اسب تروا فرستادن آنها در پيوست‌هاي به ظاهر بي‌ضرر ايميل است. پراكسي SMTP مي‌تواند اين حمله‌ها را در يك ايميل از طريق نام و نوع، مشخص و جلوگيري كند، تا آنها هرگز به شبكه شما وارد نشوند.

·   فيلتركردن الگوهاي آدرس براي ايميل‌هاي مقبولمردود: هر ايميل شامل آدرسي است كه نشان‌دهنده منبع آن است. اگر يك آدرس مشخص شبكه شما را با تعداد بيشماري از ايميل مورد حمله قرار دهد، پراكسي مي‌تواند هر چيزي از آن آدرس اينترنتي را محدود كند. در بسياري موارد، پراكسي مي‌تواند تشخيص دهد چه موقع يك هكر آدرس خود را جعل كرده است. از آنجا كه پنهان كردن آدرس بازگشت تنها دلايل خصمانه دارد، پراكسي مي‌تواند طوري تنظيم شود كه بطور خودكار ايميل جعلي را مسدود كند.

·   فيلتركردن Headerهاي ايميل: ‌Headerها شامل ديتاي انتقال مانند اينكه ايميل از طرف كيست، براي كيست و غيره هستند. هكرها راه‌هاي زيادي براي دستكاري اطلاعات Header براي حمله به سرورهاي ايميل يافته‌اند. پراكسي مطمئن مي‌شود كه Headerها با پروتكل‌هاي اينترنتي صحيح تناسب دارند و ايميل‌هاي دربردارنده headerهاي تغييرشكل‌داده را مردود مي‌كنند. پراكسي با اعمال سختگيرانه استانداردهاي ايميل نرمال، مي‌تواند برخي حمله‌هاي آتي را نيز مسدود كند.

·   تغييردادن يا پنهان‌كردن نامهاي دامنه و IDهاي پيام‌ها: ايميل‌هايي كه شما مي‌فرستيد نيز مانند آنهايي كه دريافت مي‌كنيد، دربردارنده ديتاي header هستند. اين ديتا بيش از آنچه شما مي‌خواهيد ديگران درباره امور داخلي شبكه شما بدانند، اطلاعات دربردارند. پراكسي SMTP مي‌تواند بعضي از اين اطلاعات را پنهان كند يا تغيير دهد تا شبكه شما اطلاعات كمي در اختيار هكرهايي قرار دهد كه براي وارد شدن به شبكه شما دنبال سرنخ مي‌گردند

امنیت و پرتال

لزوم رعایت امنیت

وب سایت اینترنتی شما در واقع هویت شما در دنیای مجازی محسوب می شود ، این بدان معناست که همانگونه که شناسنامه شما مبین هویت فردی شما در دنیای واقعی است و شما را به این نام می شناسند ، در دنیای مجازی نیز وب سایت یا وبلاگ شما مبین هویت مجازی شماست و شما را به آن نام می شناسند  . همانطور که اگر نام شما در دنیای واقعی لکه دار شود و آبروی شما دستخوش تهدید گردد ، به اعتبار شما برای کار در بازار تجارت لطمه خواهد زد ، به همان شکل نیز چنانچه وب سایت اینترنتی شما هک شود و مورد تهدید امنیتی واقع شود ، تجارت الکترونیکی شما دچار مشکلات زیادی خواهد شد . به عنوان نمونه با نگاه به آمار و ارقام موجود ، می بینیم که با هربار هک شدن یا انتشار ویروس بر روی وب سایت اینترنتی شرکتهای بزرگی همچون یاهو یا گوگل ، ارزش سهام ایشان در بازار جهانی به شدت کاهش خواهد یافت .

اما چرا این اتفاق می افتد ، علت این امر این است که دیگر آنچه شما به مشتریان خود ارائه می دهید از قابلیت اطمینان برخوردار نیست . به دیگر سخن کاربران و مشتریان تجارت الکترونیک شما نمی توانند به این سیستم اطمینان نمایند و سرمایه خود را در این عرصه خرج کنند . فرض کنید که کسی به شما می گوید که در بانکی سرمایه گذاری کن که سود بسیاری دارد ولی احتمال دارد پول تو را بدزدند !!!! . هر چقدر هم که این سرمایه گذاری سود آور باشد باز هم شما در چنین بانکی سرمایه گذاری نخواهید کرد  . تجربیات زیادی نشان می دهد که بیشتر افراد سرمایه گذاری های کم بازدی و مطمئن را بر سرمایه گذاری های پربازده و خطرناک ترجیح می دهند . از این جهت است که اینقدر بر امنیت وب سایت اینترنتی ( فراموش نکنید که گفتیم این هویت شما در وب می باشد ) تاکید می شود .

امنیت و پرتال Pars CMS

شاید این سوال در ذهن ایجاد شود که نرم افزار رایگان یا منبع باز چیست ؟ این نرم افزارها که اخیرا استفاده از آنها نیز رایج شده است , برای راه اندازی وب سایتها ، به صورت رایگان بر روی اینترنت قرار می گیرند و شرکتهای طراح سایت ، این نرم افزارها را دریافت کرده و با دستکاری مختصری در چندین فایل آن , سایت ساز را ، به فارسی ترجمه نموده و به وسیله آن وب سایتهای خود را راه اندازی می نمایند , بدون اینکه اطلاع فنی چندانی از ویژگی های فنی , تکنولوژی

 


ارسال نظر برای این مطلب

نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
نظر خصوصی
مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
کد امنیتیرفرش کد امنیتی
تبلیغات
Rozblog.com رز بلاگ - متفاوت ترين سرويس سایت ساز
اطلاعات کاربری
نام کاربری :
رمز عبور :
  • فراموشی رمز عبور؟
  • آمار سایت
  • کل مطالب : 263
  • کل نظرات : 0
  • افراد آنلاین : 2
  • تعداد اعضا : 0
  • آی پی امروز : 12
  • آی پی دیروز : 13
  • بازدید امروز : 57
  • باردید دیروز : 85
  • گوگل امروز : 0
  • گوگل دیروز : 0
  • بازدید هفته : 446
  • بازدید ماه : 1,373
  • بازدید سال : 9,756
  • بازدید کلی : 23,492