Embed Size (px)
DESCRIPTION
این اسلاید به بررسی کلی بحث امنیت در شبکه می پردازد..
Citation preview
امنیت در شبکه های کامپیوتری
تهیه کننده: ایمان رحمانیاناستاد راهنما: دکتر سخاوتی
89بهمن
مسئله چيست؟
نياز به شبكه گسترش روزافزون شبكههاي كامپيوتري در
سطح سازمان هاضرورت ارتباط شبكههاي سازماني با يكديگر ارتباط بين شبكهاي اختصاصي ) خطوط
ارتباطي اختصاصي يا شبكه اختصاصي (VAN) استيجاري
2مسئله -
مزايا و معايب شبكه اختصاصياختصاصي بودن كانال و كم شدن احتمال حملهآزادي در انتخاب پروتكلهزينه باال در ايجادهزينه نگهداري و ارتقاءعدم اتصال به دنياي خارج از سازمان
اينترنت، بستر ارتباط الكترونيكي دنيا و ضرورتاتصال به آن
دوگانگي در ارتباطات و محدوديتهاي حاصل از آن
3مسئله -
بسطي ارتباط بينشبكهاي از طريق اينترنت وبر اينترنت
حال پتانسيل اتصال ميليون ها نفر به شبكه.سازماني فراهم شده است
:لذا.تهديد وجود دارد.امنيت مطلق وجود ندارد.امنيت جزء الينفك سيستم ها شده است
حمالت، سرويس ها و مكانيزم ها
مفاهيم امنيتي
(حمله امنيتيSecurity Attack : )عملي كه امنيت اطالعات سازمان را نقض مي كند
(مكانيزم امنيتيSecurity Mechanism: )روش درنظرگرفته شده براي تشخيص, جلوگيري و
بازيابي از حمالت(سرويس امنيتيSecurity Service):
سرويس هاي تضمين كننده امنيت
سرويس امنيتي
محرمانگي
هويت شناسي
جامعيت
عدم انكار
كنترل دسترسي
دسترس پذيري
سرويس امنيتي
جامعيت داده: آنچه رسيده همان است كه فرستاده شدهامضاء ::
محرمانگي دادهها: عدم تغيير و يا دزدي دادههارمزگذاري ::
هويتشناسي: شما هماني هستيد كه ادعا ميكنيدكنترل هويت ::
مجازشناسي: شما همان ميزان حق دسترسي داريد كه بهشما اعطا شده است
::Access Controlو ديگر مكانيزمهاي سيستم عامل بازرسي و كنترل:: آيا تردد داده با مقررات امنيتي سازمان
سازگار است؟ Firewall و ابزارهاي كنترل اتصال
امنيتيحمالت
Informationsource
Informationdestination
جريان عادي
امنيتيحمالت
Informationsource
Informationdestination
قطع ارتباط
حمله به دسترس پذيري •
امنيتيحمالت
Informationsource
Informationdestination
استراق سمع
حمله به محرمانگي •
امنيتيحمالت
Informationsource
Informationdestination
تغيير
حمله به جامعيت •
امنيتيحمالت
Informationsource
Informationdestination
جعل هويت
حمله به هويت شناسي •
امنيتيحمالت
استراق سمع، نظارت بر جريانهاي شبكه •
حمالت غيرفعال
گرفتن محتويات پيغام
تحليل جريانهاي شبكه
استراق سمع
امنيتيحمالت
بعضي از تغييرا ت رشته هاي داده •
حمالت فعال
نقابگذاري
عدم پذيرش سرويستكرار
تغييرمحتويات
پيغام
هويتجعلي
قطع ارتباط
تغيير
تعريف حمالت كامپيوتري و مهاجمان
؟حمالت كامپيوتري چيستفعاليت سوء در برابر سيستم هاي كامپيوتري
و يا سرويس هاي آنها : ويروس، دسترسي غيرمجاز، جلوگيري از ارائه سرويس و...
مهاجمان چه كساني هستند؟انجام دهنده اعمال سوء كامپيوتري: تك نفره يا
گروهي، با اهداف و روش هاي مختلف.
نمودار حمالت گزارش شده
نمودار حمالت
گزارش شدهدر سازمان
CERThttp://
www.cert.org
انواع مهاجمان
هكرهارقيبان داخليرقيبان خارجيدولت هاي خارجي
اهداف مهاجمان
تفريح و تفنن و كنجكاوي انتقام جويي، مردم آزاري رقابتاهداف اقتصادياهداف سياسي ، جاسوسي
ابزار مهاجمان
دانش فردي اينترنت
بيان آسيب پذيري نرم افزارها مثال:ابزار هاي توليد حمله خودكار
Targa : مثال
ابزار مهاجمان
LOW 1980 1990 2000
High
Password Guessing
Self Replicating Code
Password Cracking
Exploiting Known
VulnerabilityDisabling Audits
Back Doors Sweepers
Stealth Diagnostics DDoS Sniffers
Packet Forging Spoofing Internet Worms
مهاجمان دانش
مراحل عمومي انجام حمله
كاوشكشف اطالعات: ساختار سازماني، قابليت شبكه،
..راهكارهاي امنيتي وتهاجم
نفوذ از راه ضعف شناخته شده )دستيابي غير مجاز به يك (سيستم
سوءاستفادهكسب اطالعات محرمانه، تغيير در سيستم و ...
مخفي سازيحذف اثرات: متوقف كردن ثبت رويداد، بازگردان به حالت
اوليه
انواع كلي حمالت
كاوش سيستم براي كشف ضعف احتمالي و …
port scanning ً مثال كسب امتيازات غير مجاز
connection hijacking, password cracking ً مثالجلوگيري از سرويس
چند نوع تكنيك حمله متداول
استفاده از كابران مجاز و اسب Trojan))خطاهاي پياده سازي و عيوب نرم افزاري
( سرريز بافرBuffer overflow )(ايجاد ظاهر دروغين)نقابحمالت كلمه رمز(بررسي بسته )استخراج اطالعات دلخواه جعلIP ( تأييد اعتبار با آدرسIP)بمب منطقي
بمب منطقي
برنامه اي است كه به محض وقوع .شرايطي خاص اجرا مي شود
معموًال� در بخش اصلي نرم افزار است.معموًال� توسط توليدكننده نرم افزار قرار
داده مي شود.Code Red ويروس : مثال
Code Red توزيع ويروس
19 July, Midnight - 159 Hosts Infected
Code Red توزيع ويروس
19 July, 11:40 AM - 4,920 Hosts Infected
Code Red توزيع ويروس
20 July, Midnight - 341,015 Hosts Infected
رمزنگاري
قديميترين و مناسبترين راه براي حفظ محرمانگي
روشهاي مبتني بر كليد در مقابل روشهايمبتني بر الگوريتم
( رمزگذاري يكسويهMessage Digest)
رمزگذاري مبتني بر كليد
رمزگذاري مبتني بر كليد
(كليد محرمانه يا متقارن )بين رمزگذار و رمزبرداراستفاده طرفين از يك كليد مشترك▪قابل قبول از نقطهنظر امنيتي▪ طول كليد يك پارامتر تنظيم با نياز▪مشكل تفاهم طرفين روي كليد بويژه براي دو ناشناس▪
كليد عمومي يا نامتقارن: رمزگذاري با كليد عموميو رمزبرداري با كليد خصوصي
مشكل در تاييد كليد عمومي فرستنده براي گيرنده▪مراكز گواهي هويت▪
جامعيت و امضاء
توليد فشردهاي از متن با استفاده از توابعدرهم
رمزگذاري فشردهاي از پيغام با كليد خصوصيفرستنده به عنوان امضاء
ارسال امضاء همراه متنتوليد فشرده متن پيغام در مقصدرمزگذاري فشرده با كليد عمومي فرستندهمقايسه فشرده رمزشده با امضاء
هويت شناسي
گذرواژه معمولي!!
گذرواژه يكبارمصرف
هويت شناسي مبتني بر كليد
هويت شناسي مبتني بر ويژگي هاي انساني
بازرسي و كنترل
عليرغم اعمال روش هاي گفته شده، با وجود.مسير ارتباطي باز هم تهديد وجود دارد
وجود هر سرويس براي افراد بيروني يك تهديداست:
.خارجيها امكان ارسال نامه دارند خارجيها امكان ديدن صفحه ابرمتني سازمان شما
را دارند. داخليها امكانTelnet.از منزل دارند .داخليها امكان ارسال نامه دارند داخليها امكان دسترسي به صفحه ابرمتني ديگران
را دارند.
2بازرسي و كنترل-
تهديدهاي اصليتر(ويروس )خرابكاري و انتشار
برنامههاي جاسوس )سرقت اطالعات و يا حتي(عملكرد شما
،بيهودگي اطالعاتي: اداره، مدرسه، منزل…
ابزار بازرسي و كنترل
فيلتر§ بسته يا حفاظ( Firewall براي كنترل )بستهها
فيلتر§ اتصال به ازاء خدماتي كه در سازمانارايه ميشود يا مجاز است.
تهاجم ياب داخلي و خارجي ،كنترلكننده محتوي ) شامل ويروسياب ترافيك
( الگوياب متن، الگوياب فايل، الگوياب آدرس
شبكههاي خصوصي مجازي -1
جايگزيني شبكه اختصاصي با اينترنتتهديدها
.طوالني بودن زمان كشف يك خطا يا حمله▪ترميمناپذيري بعضي از بالياي حاصل از تهديد▪
( راه حل شبكههاي خصوصي مجازيVPN)
شبكههاي خصوصي مجازي -2
بررسيها نشان داده است كه ميتوان بهVPN اميدوار بود ليكن
نگرش مديريتي به مسئلة امنيت الزم است و نه نگرش ▪فني.
اختصاص منابع الزم براي مواجهه با اتفاقات الزم است.▪گستره امنيت تمامي منابع سازمان است و نه تنها ▪
كارگزار اصليمهاجمين داخلي و مجاز خطر بالقوة بيشتري دارند. ▪
اتصال يك مودم از داخل به بيرون خيلي ساده است.مادام كه انسانها امن فكر نكنند نميتوان تراكنش امن ▪
مالي داشت.
1اعتماد الكترونيكي-
نقش اصلي در مبادالت الكترونيكي: مشاركت.مستلزم اعتماد
در پرواز، هنوز به بليط الكترونيكي اعتمادنداريم.
تامل در عملياتOn-line در موارد مربوط به پول، مسائل شخصي و محرمانه، و خانواده
وجود دارد. ،شعار همه چيز در خانه )كار، خريد، تحصيل
…( در مقابل اعتماد بدون معاشرت و مالقات حضوري.
آيا اعتماد از طريق تكنولوژي ممكن است؟چقدر؟
ت؟آيا ميتوان از خير مبادالت الكترونيكي گذش
2اعتماد الكترونيكي-
اعتماد زياد و كم هر دو هزينه زيادي دارد.:در اعتماد بايد به موارد زيرتوجه كرد
.چه ميزان ضربه ميخوريم.معتمد ما كيست و چه ميزان نامرد استچارچوب اعتماد و ضربه چيست؟.تكنولوژي بطور مطلق امن و مطمئن نيست ،مصالحه بين نيازها و ضربهها، فركانس ضربه
…احتمال ناامني،
3اعتماد الكترونيكي-
اختيارات افراد ناشناس چقدر است؟رويدادنگاري به چه ميزان است )امكان تعقيب(؟بيمهسابقه عملكرد و شهرت انسان به انسان اعتماد ميكند و نه به كال“
”تكنولوژي
شبكه، تهديد، راهحل
شبكه و ارتباط بينشبكهاي به عنوان بسترتهديد
مدل OSIبه عنوان مرجع TCP/IP
اليه فيزيكياليه شبكهاليه انتقالاليه كاربرد
امنيت ًاليه فيزيكي
بيت و قاب به عنوان واحد كار ، ،در سطح مخابرات ،دروازه به دروازهرمزنگاري بيدرنگ
امنيت ًاليه شبكه
بسته( Packetبه عنوان واحد كار )در سطح سيستم عاملنود به نودهويت شناسيكنترل دسترسيIPSec
امنيت ًاليه انتقال
اتصال( Connectionبه عنوان واحد كار )در سطح سيستم عاملانتها به انتهاهويت شناسيكنترل دسترسيتصفيهSSL، TLS، SSH
امنيت ًاليه كاربرد
مثال ( واحد كار بستگي به كاربرد دارد FTP )(در سطح كاربر )و نه سيستم عاملDBMSهويت شناسي تصفيه محتويSET
DBMS سيستم عامل و
خاص و مهم بودن جايگاه سيستم عامل
سيستمهاي عامل سري ويندوزسيستمهاي عامل سري لينوكس نقشDBMSدر امنيت سازمان
انتقالذخيره سازيدادههاي فعال و منفعل
