جزوه امنیت شبکه

جزوه امنیت شبکه علمی کاربردی

از

دانلود جزوه امنیت شبکه
دانلود جزوه

 

 

 

 

 

 

 

 

 

 

 

 

1 محرمانگی Confidentiality

فقط افراد خاصی به داده ها دسترسی مشکل باشند یا به عبارت دیگر افراد غیر مجاز به داده های افراد مجاز، دسـترسـی پیدا نکنند. (مشکل در حوزه شـبکه: یعنی اگر فرد به فرد دیگری بخواهد در بستر شبکه پیامی را ارسـال لینک افراد غیر مجاز نتوانند به محتوای پیام ارسـال شـده دسـترسی پیدا کنند که دانشگاه این منظور از مکانیزم رمزنگاری استفاده علمی کاربردی).

-2 جامعیت Integrity (صحت معنی علمی کاربردی).

x :Data Integrity آنچه که گیرنده دریافت کرده اسـت باید دقیقا0 همان چیزی باشـد که فرستند فرستاده است.

x :Source integrity آنچه گیرنده دریافت کرده باید از طرف همان فردی ارســال شــده باشــد که ادعا لینک. (اینجا ملاک فقط کاربر انسانی نیستیم، منظور کامپیوتر هم هست). مثل حمله جعل هویت.

امضا دیجیتال : به ما در حوزه جامعیت کمک لینک. -3 در دسترس پذیری Availability

منابعی که یک کاربر، مجاز است به آنها دسترسی مشکل برای، در هنگام نیاز همراه باید در اختیار او قرار گیرد.

نکته: برقراری هر کدام از سه مورد حسب نیاز و تدابیر اتخاذ شده دانشگاه سیستم ها برنامه ریزی شده و حتی ذره ای از آن ها هم نقض شــود امنیت به مخاطره میرود. (مهم) ما در امنیت شــبکه به دنبال امن کردن نیســتیم به فقط به دنبال برقراری تکنیک هایی هســتیم که بتوانیم دادههای خود را به صــورت امن ( با در نظر گرفتن ســه جنبه امنیت ) در شبکه مبادله نماییم.

تعاریف و مفاهیم امنیتی:

-1 دارایی Asset

هر چیزی که مخاطره در مورد آن دارایی معنا را یا هر چیزی که ارزش حفاظت کردن را مانند داده ها، کاربر، نرم افزار و سخت افزار.

-2 تصدیق اصالت :Authentication اطمینان از اینکه کاربر همانی است که ادعا لینک

-3 مجاز شناسی :Authorization کاربر به همان میزان حق دسترسی را که به او اعطا شده است.

 

تا کنون به دو قید اشــاره نمودیم یکی کاربر همیشــه جزوه امنیت شبکه به داده هایی دســترســی به آنها دانشگاه او مجاز دسـترسـی داشـته باشـد و کاربر به همان میزان حق دسـترسـی را که به او اعطا شـده اسـت. ( یعنی همیشه

Availabilityو به همان Authorization میزان).

 

 

دانلود خلاصه کتاب جزوه امنیت شبکه pdf

 

 

-4 حفظ حریم خصوصی : Privacy

مقاومت در مقابل افشـای اطلاعاتی که از مشاهده فعالیت های شبکه می توان استنتاج کرد. که با محرمانگی تفاوت را. در محرمانگی امکان را داده ها در دسـترس برای و افراد غیر مجاز نمی توانند به محتوای آن پی ببرند چون رمز گذاری شـده اسـت. ولی حریم خصـوصـی افراد غیر مجاز نباید به داده ها دسترسی پیدا کنند.
-5 خط مشی های امنیتی :Security policy

به بیان رسـمی قواعد، باید ها و نباید هایی که سبب علمی کاربردی تا دارایی های اطلاعاتی یک شبکه به طور امن باقی بمانند.(مجموعه ی باید ها و نبایدها).

جزوه امنیت
جزوه امنیت

-6 راه کار امنتی Security mechanism

راهکاری که دانشگاه تشــخیص، جلوگیری یا ترمیم از حمله امنیتی طراحی شــده اســت. به عبارتی می توان گفت راه کار امنیتی پیاده سـازی خط مشـی ها است. مثلا در خط مشی های ما باید احراز هویت کنیم و در راه کار امنیتی میاییم انتخاب می کنیم که با یوسر و پسورد یا اسکن اثر انگشت این کار را مشکل دهیم.

-7 سرویس های امنیتی Security service

سـرویسـی اســت که امنیت سـیسـتم های پردازش داده ها و انتقال اطلاعات ســازمانها را ارتقا استاد. این ســرویس ها تمایل دارند با حملات امنیتی مقابله کنند .این ســرویس ها با اســتفاده از چند راه کار امنیتی فراهم می شـوندقاعدتا.0سرویس های امنیتی در حوزه شبکه با استفاده از یک یا چند مکانیزم امنیتی پیاده سازی علمی کاربردی.

-8 آسیب پذیری Security service

به نقاط ضـعف در توصـیف، طراحی ، پیاده سـازی، پیکر بندی، اجرا که بتوان از آن ها سـو استفاده کرده و خط مشی های امنیتی سیستم را نقض کردمثلا.0ازضعیف خلاصهن پسورد استفاده می کنیم که که خط مشی یا نبایدی رو از بین ببریم .(بالقوه)
-9 مخاطره یا تهدید Threat

احتمال سوء استفاده از یک یا چند آسیب پذیری

-10 حمله Attack

محقق شدن یک تهدید از طریق یک یا چند آسیب پذیری بروی یک دارایی(بالفعل).

حمله کننده و یا مهاجم Attacker

” مشکل دهنده اعمال سـو در شبکه که آن اعمال، خط مشی های امنیتی آن شبکه را نقض لینک. که دارد تک نفره یا گروهی با اهداف و روش های دارد می برای.” باید ها و نباید ها در سیستم های دارد متفاوت است، پس در حالت کلان ما در سیستم ها خطوط قرمزی را رسم و خط مشی هایی را مشخص می کنیم (در سـیستم های دارد متفاوت است) که هر کدام از آن ها نقض امنیت به مخاطره می افتد. حمله کننده ناقض خط مشی ها است.

انواع مهاجمان

مهاجم داخلی: عضو معتبر در داخل شبکه که بر خلاف خط مشی های امنیتی شبکه خود فعالیت های مخربی مشکل استاد. ( بر اساس آمار سال 2006 بیش از 60 یا 70 درصد حملات توسط نیرو های خود صورت می پذیرد)

مهاجم خارجی: عضوی در خارج از شبکه است که در شبکه، یک کاربر مجاز شناخته علمی کاربردی و می خواهد فعالیت های مخربی را در شبکه مشکل استاد تا خط مشی های امنیتی نقض علمی کاربردی.

انواع حملات امنیتی

تقسیم بندی حملات بر اساس RFC 2828

حمله غیر فعال :Passive حمله غیر فعال از اطلاعات شــبکه اســتفاده لینک اما تاثیری بر منابع شــبکه را. یعنی ترافیکی را در شبکه وارد نلینک( در اینجا محرمانگی نقض علمی کاربردی .(C

هدف مهاجم، بدسـت آوردن اطلاعات از داده های در حال انتقال از شـبکه است. دو نوع حمله غیر فعال عبارتند از:

-1 آشکارسازی محتویات پیام مانند استراق سمع (Sniff)یا نظارت بر انتقال داده ،

در آشـکار سـازی محتویات پیام، فایل منتقل شـده در بسـتر شبکه ممکن است حاوی اطلاعات حسـاس و یا محرمانه( از طریق رمزنگاری) برای و مهاجم محتویات داخل پیام را بررسی لینک.( رمزگشایی)

-2 تحلیل ترافیک: در این حملـه مهاجم حتی اگر پیام ها رمز جزوه امنیت شبکه شـــده باشـــند دارد الگوی این پیامها، مکان و هویت طرفین ارتباط، تعداد دفعات و طول پیام های مبادله شــده را مشـاهده لینک و اطلاعاتی را اسـتنتاج نماید. ( درست است که محرمانگی پیام حفظ میشه ولی می توان منبع ارسال کننده ودریافت کننده پیام کشف علمی کاربردی)

تشـخیص حملات خیلی دشـوار است زیرا در این نوع حمله تغییری در داده ایجاد نمی شـود و گیرنده خبر را که شخص ثالثی، پیام را می خواند یا الگوی ترافیکی را مشاهده لینک. در حملات غیر فعال تاکید بیشتری در پیشگیری است نه تشخیص.

جریان عادی داده های ارسال شده از فرستنده به گیرنده

حمله غیر فعال(-(Sniffبر اثر این حمله محرمانگی نقض شده است. راه حل آن هم رمزنگاری داده ها قبل از ارسال است.

حمله فعال : Active ســعی لینک منابع شـــبکه را تغییر استاد یا بر عملیات و عملکرد آنها اثر بگذارد. در حمله فعال، مهاجم خودش اطلاعاتی تولید لینک، و در شــبکه انتشــار استاد یا ترافیکی را وارد insert، تغییرupdate و یا حذف delete لینک.

-1 نقاب زنی یا تظاهر کردن Masquerade

وقتی رخ استاد که یه عنصــری در شــبکه خود را بجای عنصــر دیگری معرفی لینک.(نقض جامعیت منبع).

-2 تغییر پیام :Modification

بخشی از پیام تغییر کرده یا پیام ها تاخیر مواجه شوند یا ترتیب آن عوض شوند.( نقض جامعیت داده)

-3 تکرار : Replay

تکرار اطلاعات درســت و حقیقی یک پیام ارســال شــده در شــبکه، درون یک پیام جعلی توســط حمله کننده را حمله تکرار می نمایند.( نقض دســـترســـی با افزایش ترافیک یا جامعیت بســـته به ســـناریو فرسـتنده داده) به عبارتی نیز می توان گفت وقتی بسته ها مکررا0 ارسال علمی کاربردی موجب پاسخگویی در سمت گیرنده به هر پیام و افزایش پردازش منابع سیستم علمی کاربردی.

-4 ممانعت از سرویس و یا اختلال در سرویس ) DOS نقض دسترسی):

از اســتفاده عادی یا مدیریت امکانات، جلوگیری لینک به عنوان مشکل مهاجم ممکن اســت پیام های ارسـال شده به مقصد خاصی را توقیف لینک. مشکل دیگر آن تخریب کل شبکه از طریق غیر فعال کردن کل شــبکه یا تحمیل بار زیاد به آن اســت تا کارایی آن از بین برود. موکدا0 ممانعت از ســرویس تنها به

معنی قطع کامل ارتباط نخواهد خلاصه بلکه شامل کاهش میزان کارایی هم می برای.

در بخش حملات فعال، قصــد داریم داده های خود را از طریق شــبکه نا امن به صــورت امن انتقال دهیم، و هدف تشخیص حملات، ترمیم خرابی یا تاخیر ناشی از آن است.

جلسه سوم مورخ 95/12/11

تهدید های شبکه به چهار دسته تقسیم علمی کاربردی:

-1 استراق سمع یا شنود(:(Interception

هرگاه یک شخص غیر مجاز به هر نحو بتواند نسخه ای از داده ها ی در حال جریان بین مبدا و مقصد را به نفع خود شنود لینک را حمله استراق سمع میگویند.( حمله غیر فعال و نقض محرمانگی)
-2 دستکاری(:(Manipulation

هرگاه داده ای در حال جریان بین مبدا و مقصد توسط شخص غیر مجاز، به هر نحو دستکاری یا تحریف علمی کاربردی را حمله دستکاری می گویند( حمله از نوع فعال و جامعیت داده در آن نقض علمی کاربردی).
-3 جعل(:(Fabrication

هرگاه یک شخص غیر مجاز اقدام به تولید پیام های ساختگی کرده و آن ها را به شخص مجاز دیگری نسبت استاد، حمله جعل و ارسال داده های ساختگی به وقوع پیوسته است.( حمله از نوع فعال و در آن جامعیت منبع و داده نقض علمی کاربردی).
-4 وقفه(:(Interruption

هرگاه کسی بتواند سیستم یا سرویس را در شبکه از کار بیندازد، حمله وقفه رخداده است.( حمله از نوع وقفه و در آن دسترسی نقض علمی کاربردی).

تمهیدات امنیتی

شبکه
شبکه

تمهیدات امنیتی در هر شبکه باید در سه مورد زیر مشخص شده برای:

تمهیدات پیشگیری از وقوع حمله (Prevention) تمهیدات کشف حمله در صورت وقوع (Detection)

تمهیدات بازیابی و خروج از بحران پس از وقوع حمله((Recovery

مفهوم دفاع در عمق(:(Defense in depth تمام توان خود در یک نقطه متمرکز نپرداخته و به فرا خور نیاز به هر سه حوزه تمهیدات امنیتی بپردازیم. ما نمی توانیم امنیت را صد در صد برقرار کنیم پس باید به دنبال کاهش اثر هم باشیم.

تمرین: تعداد 5 عدد از حملات فوق را انتخاب کرده و علاوه بر توضیح مختصری ( یک پارگراف) راجع به آن ها مشخص دارد ابتدا حمله از چه نوعی است و سپس کدام جنبه امنیت را نقض می نماید.

مدل امنیت شبکه بر پایه استارا X.508

اهداف / سرویس های امنیت شبکه در مدل :X.508

-1 کنترل دسترسی :Access control هر کدام از عناصر سیستم باید به منابعی دسترسی مشکل برای که قبلا0 به آن اعطا شده

-2 تصدیق هویت : Authentication یک عنصر از سیستم باید همانی برای که اعلام لینک ( به دنبال جامعیت منبع )

-3 عدم انکار :Non-repudiation ساختار اطلاعاتی ما باید به گونه برای که فرستنده و گیرنده نتوانند از فعالیت خود را انکار کنند.

-4 محرمانگی :Data confidentiality فقط اطلاعات در اختیار افراد مجاز سیستم قرار گیرد -5 امنیت ارتباطات Communication security

-6 جامعیت داده :Data integrity

-7 در دسترس پذیری:Availability

-8 حفظ حریم خصوصی:Privacy حق افراد در مورد اینکه درچه مکانی و در چه زمانی، چه میزانی از اطلاعات در اختیار دیگران قرار گیرد.

سرویس های امنیت شبکه در استارا X.805

در این معماری امنیت در سه لایه مورد بررسی قرار می گیرد:

-1 امنیت زیرساخت یا

-2 امنیت سرویس ها یا

-3 کاربر یا

در این مدل مکعب مسـتطیل زیر تشـکیل شـده از لایه های سه گانه مورد نیاز در امنیت شبکه هستم و از طرفی 8 ســرویس به عنوان ضــربه گیر نیز در نظر گرفته شــده اســت که می توان گفت اگر ما ارتباطات نا امن داریم ( همان آسـیب پذیری های بالقوه و بالفعل) این ارتباطات باید از فیلتر این سـرویس ها عبور کرده و سپس امکان دستیابی به دارایی های اطلاعاتی ما را مشکل باشند ( ℎ ) و از طرف دیگر آسیب پذیری ها در مراحل طراحی و پیاده سـازی و اجرا اسـت که سـیسـتم ما را به مخاطره می کشاند. تمامی درخواست ها باید از این مجرای امنیتی عبور داده شـوند که به این حالات سه گانه برسند. دانشگاه تکمیل مفهوم بیان شده در بستر شبکه به ازای لایه های سه گانه امنیت شـبکه سه حوزه خواهیم داشت به ترتیب عبارتند از : -1 حوزه مدیریت شبکه -2 حوزه کنترل شبکه -3 حوزه اسـتفاده کاربران که تمامی هشـت سـرویس و لایه های سـه گانه در هر سـه حوزه به صورت جداگانه مطرح و اعمال می گردد. (یک ساختار سه در سه را تشکیل استاد.)

در واقع برنامه ریزی دانشگاه امنیت را به جزوه امنیت شبکه فاز تقسیم بندی کنیم :

-1 برنامه ریزی و تعریف نیازمندی ها (defination and planing) -2 پیاده سازی((Impelimantion

-3 نگهداری (maintenance)

در پایان اینگونه می توان جمع بندی نمود که ما سه حوزه کاربر، مدیریت و کنترل داربم که در هر کدام از آن ها سه لایه زیر سـاخت، سـرویس و لایه کاربرد قرار داده شـده اسـت که در ازای این ساختار سه در سه می بایست مشخص نماییم در هر حوزه چه تهدید هایی مد نظر است و تکلیف نمایید هر کدام از هشت سرویس تا چه حد اعمال علمی کاربردی.

تعریف رمزنگاری یا :Cryptography معنی لغوی آن به رمز و راز نگاشتن است و معنای علمی آن به دانشی اطلاق علمی کاربردی که اطلاعات با معنی به اطلاعات بدون معنی تبدیل علمی کاربردی.

انواع روش های رمزنگاری:

رمزنگاری متقارن((symmetric cryptosystem سیستم رمز کلید خصوصی: سیستم هایی هستم که در آن دانشگاه عملکرد تابع E و D یک کلید محرمانه و خصوصی از بین آنها به اشتراک گذاشته شده برای.

– کلاسیک:

-1 سیستم رمز جانشینی :

-2 سیستم رمز جایگشتی:

– مدرن

-1 سیستم های رمز بلوکی(:(block cipher -2 سیستم های رمز دنباله ای((stream cipher

رمزنامتقارن((asymmetricسیستم رمز کلید عمومی: سیستم های رمزی هستم که دانشگاه رمز کردن از یک کلید عمومی و دانشگاه رمزگشایی از یک کلید خصوصی دیگر و متفاوت استفاده علمی کاربردی. از ی جفت کلید استفاده علمی کاربردی. و دانشگاه امضا نمودن نیز به صورت مشکل عمل علمی کاربردی.

 

رمزنگاری متقارن((symmetric cryptosystem

هر دو طرف ارتبـاط کـه قصـــد رد و بـدل نمودن اطلاعات را دارند از یک کلید مشـــترک و محرمانه دانشگاه رمزنگاری و رمزگشـایی اسـتفاده می نمایند. در این نوع رمزنگاری فرایند رمزنگاری و رمزگشایی دو فرایند معکوس و قرینه هسـتند به این دلیل به آن ها ســیســتم های رمز متقارن گفته می شـود. با این هدف که اگر مسیر نا امن خلاصه و شخص غیر مجاز به داده های ارسـالی دسـترسـی داشـت کاری بکنیم که شـخص شـنود کننده به محتوای متن ارسـال شـده دســترسـی به وســیله رمزنگاری نمشکل برای.

– سیستم های رمز متقارن کلاسیک:

جانشــینی(:(Substation الگوریتم به این نرف دیگری جایگذاری می شـود. که به دو بخش تک الفبایی و چند الفبایی تقسـیم هستم. (هدف تغییر حروف در

متن واضح است.) سـیسـتم رمز تک الفبایی سزار: در این سـیستم یک حرف از متن اصلی برمشکل و بجای آن

یک حرف دیگر جانشـین می شـود. به این صورت که یک عدد به کلید اختصاص می دهیم و دانشگاه رمز نگاری تمامی حروف متن را به اندازه عدد تعبیه شده در کلید به سمت جلو در حروف انگلیسی شیفت می دهیم. از جمله معایب آن به خاطر سپاری و استخراج الگوی آن به آسانی است.

سیستم رمز چند الفبایی: با توجه به اینکه در زبان انگلیسی 26 حرف وجود را یک جدول شامل 26 حرف و ستون به صورت نامرتب طراحی و در این نوع رمز نگاری یک کلمه به عنوان کلید انتخاب علمی کاربردی و به ترتیب به ازای طلاقی هر حرف از متن اصلی و حروف کلید که مرتب تکرار علمی کاربردی در ماتریس از پیش طراحی شده حرف مشخص شده جایگزین می گردد.

اتصالی است یکطرفه از فرستنده به گیرنده. به ازای هر پروتکل AH و ESP یک SA جداگانه های باید از سمت فرستنده به سمت گیرنده داده علمی کاربردی. به صورت کلی می توان گفت توافق مد نظر فرستنده به صورت دستوری به گیرنده داده علمی کاربردی، ساختمان داده ی حامل این توافقات را SA می گویند. هر SA با سه پارامتر زیر شناخته علمی کاربردی. یک SA مجموعه ای از اطلاعات است که در واقع این اطلاعات دارای یک کلیدی به نام .SPI
:(SPI) Security parameters index -1 در واقع این شناسه ای است که به هر SA تعلق می گیرد.

-2 آدرس IP مقصد: برابر با ادرس مقصد SA که ممکن است آدرس میزبان یا روتر و یا فایروال میان راه برای. -3 شناسه پروتکل امنیتی: مشخص لینک پروتکل استفاده شده AH یا .ESP

 

 

 

دیدگاهتان را بنویسید