امنیت اطالعات و هکر ها مریم مباشرفرد مقدمه امنیت به معنی حفاظت از دادهها در مقابل کاربران غیر مجاز است . حصول اطمینان کاربران.
Download
Report
Transcript امنیت اطالعات و هکر ها مریم مباشرفرد مقدمه امنیت به معنی حفاظت از دادهها در مقابل کاربران غیر مجاز است . حصول اطمینان کاربران.
امنیت اطالعات و هکر ها
مریم مباشرفرد
مقدمه
امنیت به معنی حفاظت از دادهها در مقابل کاربران غیر مجاز است.
حصول اطمینان کاربران از مجاز بودن در رابطه با انجام کاری که
برای آن تالش میکنند.
حفاظت از دادهها در مقابل افشای غیرمجاز ،تغییر یا تخریب.
سیستم نیازمند آگاهی از قیود معینی است که کاربران نباید آنها را نقض
کنند.
امنیت پایگاه داده و اطالعات )(Data Securityچیست؟
امنیت پایگاه داده فرآیند حفاظت از داده های سازمان در برابر دسترسی و استفاده غیر مجاز ،افشاگری ،تخریب و
یا تغییر می باشد .
مدیریت امنیت داده زیر مجموعه ای از مدیریت تکنولوژی اطالعات می باشد که خود نیزشامل زمینه های مختلفی
می باشد.
پایگاه های داده و به طبع امنیت داده های سازمان در واقع اصلی ترین چالش مدیران عامل و مسئوالن IT
سازمان می باشد .امروزه
گسترش استفاده از سیستم های کامپیوتری ،سایت های اینترنتی و برنامه های کاربردی موجب گردیده که مباحث
مربوط به امنیت
پایگاه داده دارای اهمیت بسیار باالیی باشد و در نتیجه با توجه به نقش اطالعات به عنوان کاالی با ارزش در
تجارت امروز ،لزوم
حفاظت صحیح ازآن ضروری تر به نظر می رسد .برای رسیدن به این هدف هر سازمان بسته به ارزش داده های
خود ،نیازمند پیاده
سازی یک سیاست کلی جهت مدیریت امنیت داده ها می باشد.
امنیت اطالعات تهدیدی بزرگ برای
سازمانها
به عنوان یک مدیرعامل ،مدیر فناوری اطالعات و یا راهبر پایگاه داده ،به چه میزان از امنیت
اطالعات سازمان خود اطمینان دارید ؟ -آیا منابع اطالعاتی ( پایگااه هاای داده ) ساازمان خاود
را
به خوبی می شناسید ؟ آیا دسترسی و استفاده از این اطالعات به خوبی کنتارل مای شاود؟ آیاا تاا
به
حال به این موضوع اندیشیده اید که در صورت افشای اطالعات حساس موجود در پایگاه های
داده شرکت شما چه اتفاقی رخ می دهد؟
امنیت اطالعات تهدیدی بزرگ برای سازمانها
باید به این نکته توجه داشته باشید که در بسیاری از موارد هزینه افشای اطالعات و داده ها جبران ناپذیر است و
در بسیاری
موارد دیگر سازمان را متحمل ضرر های بسیاری می کند.
از آنجایی که مسائل امنیتی اغلب به سادگی دیگر بخشهای فن آوری اطالعات ،توجیه اقتصادی قابل لمس ندارند،
بنابراین این امر
در بسیاری از موارد ( به طور عام در کشور ما) مورد توجه مدیران ارشد سازمان قرار گرفته نمی شود.
بحث امنیت اطالعات و به طور خاص مدیریت امنیت پایگاه های داده نیازمند مهارتهای خاص همچون راهبری
امنیت پایگاه داده
می باشد .متاسفانه به دلیل گستردگی دانش های فوق و عدم اولویت امنیت در سایر فعالیتهای فناوری ،این بحث
از نظر مدیران
فناوری اطالعات و راهبران پایگاه داده به میزان الزم مورد توجه قرار گرفته نمی شود.
این موضوع ،کلیه فعالیتهای تجاری سازمان را همیشه با یک ریسک بزرگ روبرو می سازد.
مفاهیم اصلی امنیت اطالعات
امنیت داده ها به چهار مفهوم کلی قابل تقسیم است :
محرمانگی )(Confidentially
تمامیت )(Integrity
اعتبار و سندیت )(Authenticity
دسترس پذیری )(Availability
مفاهیم اصلی امنیت
اطالعات
محرمانگی ):(Confidentially
محرمااان ی اطالتااات یعناای حفاظاات از اطالتااات در مقاباال دسترساای و اسااتفاده غیاار مجاااز .داده
های محرمانه
تنها توسط افراد مجاز قابل دسترسی می باشند.
تمامیت ):(Integrity
در بحث امنیت اطالتات ،تمامیت به این معناست که داده هاا نمای توانناد توساط افاراد غیار مجااز
ساخته ،تغییر
و یا حذف گردند .تمامیت ،همچنین یکپارچ ی داده ها که در بخشهای مختلاف پای ااه داده ذخیاره
شده اند را
تحت الشعاع قرار می دهد.
مفاهیم اصلی امنیت
اطالعات
اعتبار و سندیت )(Authenticity
اتتبار و سندیت داللت بر موثق بودن داده هاا و نیاز اصال باودن آنهاا دارد .باه طریقای کاه اطمیناان
حاصل شود
داده ها کپی یا جعلی نیستند.
دسترس پذیری )(Availability
دسترس پذیری به این معنی می باشد که داده ها ،پای اه های داده و سیستمهای حفاظت امنیت ،در زمان
نیاز به اطالتات در دسترس باشند.
حفره امنیتی
پیامدهای منفی یک حفره امنیتی چیست؟
کاهش درآمدوافزایش هزینه
خدشه به اتتبار و شهرت یک سازمان
ازدست دادن اطالتات مهم پیامدهای قانونی
سلب اتتماد مشتریان و سرمایه گذاران
مزایای سرمایه گذاری در امنیت اطالعات
کاهش احتمال غیر فعال شدن سیستم ها و برنامه ها
استفاده موثر از منابع انسانی و غیر انسانی در یک سازمان
کاهش هزینه از دست دادن داده
افزایش حفاظت از مالکیت معنوی
مدیریت خطرات امنیتی
رویکرد پیشگیرانه چیست؟
شناسایی تهدیدات موجود در یک سازمان
اولویت بندی خطرات
نحوه مدیریت در یک سطح قابل قبول
کاهش خطر آسیب پذیری
مدیریت خطرات امنیتی
دستاوردهای پیاده سازی فرایند مدیریت خطرات امنیتی
زمان پاسخ به تهدیدات
مدیریت قانونمند
هزینه های مدیریت زیر ساخت
مدیریت و اولویت بندی خطرات
هکرها
روشهای حمله
و
راههای مقابله با آنها
هکرها چه کسانی هستند؟
هکر به معنای نفوذگر ،به شخص ی اطالق میشود که هدف اصلی او نشان دادن قدرت خود به
کامپیوتر و سایر ماشينها میباشد .هکر يک برنامهنويس کنجکاو است که صدمهای وارد نمیکند،
حتی باعث تحکیم انتقاالت میشود .در واقع این افراد محافظان شبکه هستند که با بررس ی
ضعفهای شبکه سعی در تصحیح و تقویت خطوط ارتباطی میکنند.
خصوصیات هکرها:
)1وارد شدن به سیستم
)2شکست دادن محاسبات
)3کنجکاوی در اطالعات محرمانه
دستهبندی هکرها:
(White Hat Hackers Group)-1گروه نفوذگران کاله سفید
(Black Hat Hackers Group)-2گروه نفوذگران کاله سیاه
(Gray Hat Hackers Group)-3گروه نفوذگران کاله خاکستری
(Pink Hat Hackers Group)-4گروه نفوذگران کاله صورتی
انواع حمالت هکرها:
* حمله از نوع دستکاری اطالعات ):(Modification
* حمله از نوع افزودن اطالعات ):(Fabrication
* حمله از طریق استراق سمع ):(Sniffation
* حمله از نوع وقفه ):(Interruption
انگيزههای حمله هکرها:
)1بدست آوردن ثروت از طریق جابجا کردن دادهها و یا پیدا کردن کارت اعتباری
)2جاسوس ی و کسب اطالعات از سایر سازمانها
)3آزار رسانی و کسب شهرت در ميان مردم (بیشتر جنبهی روانی دارد)
)4فاش کردن اطالعات محرمانه
)5قطع ارتباط و یا اختالل در ارتباط
)6اهداف تروریستی و خرابکارانه
)7تفریح و امتحان کردن ديوارههای امنيتی
)8انتقام و ضربه زدن
تعدادی از حمالت معروف که توسط هکرها انجام میشوند:
)1حمله از طریق IP
)2حمله از طریق TCP
)3حمله از طریق Applet
)4حمله از طریقFire Wall
)5حمله از طریق جعل کردن وب
)6حمله به کلمات عبو ر
)7حمله از طریق استراق سمع
)8حمله از طریق مودم ها
)1حمله از طریق ):IP (Internet Protocol
این نوع حمله سادهترين حمله هکرها است .این روش حمله در دو مرحله انجام میگيرد:
-2نفوذ و انجام عمليات
-1جستجو
هکررر اول تمررام تررالش خررود را بررای بدسررت آوردن IPصرررف میکنرردن ایررن کررار بررا بررسر ی ،پررردازش دسررتی و
فکری دادههای در حال تبادل امکانپذير است .همچنين میتوان آنها را از ترتیبی که در اتصال به شربکه
انج ررام ش ررده ،پی رردا ک رررد .پ ررس از کش ررف ش ررمارههای س ررريالهای آدر ،IPهک ررر خ ررود را در ب ررين س رررویس
دهنده و کاربر قرار میدهد و با ارسال بستههای تقلبی ،اطالعات را به سرقت میبرد.
)2حمله از طریق ):TCP (Transmission Control Protocol
ايررن نرروع حملرره از متررداولترين نرروع حملرره برره سرررویس دهنرردههای مرررتبط بررا اینترنررت اسررت .هرردف اصررلی
هکر از حمله به TCPتحت کنترل درآوردن کامپيوترهايی است کره از طریرق سررویس دهنرده بره شربکه
متصررل شرردهاند .هکررر در ایررن روش کرراربر را از سرررویس دهنررده جرردا سرراخته و خررود را برره جررای کرراربر ب ره
سرویس دهنده معرفی میکند به طوری که سرویس دهنده هکر را بره عنروان يرک کراربر معت رر بشناسردن
از ایررن پررس هر ونرره تبررادالت بررين سرررویس دهنررده و هکررر انجررام میشررود .حملرره برره TCPبسرریار آسررانتر و
مؤثرتر از حمله به IPاست و کار را راحتتر میکند ،چرا که در این روش هکر تنها يرک برار حملره میکنرد
و از مقابله با سيستمهای امنیتی رمز عبور فرار میکند.
)3نفوذ به کامپیوتر از طریق :Applet
Appletتوسر ررط مرورگرهر ررا بر رره حافظر رره بارگر ررذاری میشر رروندApplet ،ها ااا اغلر ررب توسر ررط برنامر رره Java
نوشر ر ررته میشر ر رروندApplet .هر ر ررای مورنر ر رری میتر ر رروان نوشر ر ررت و آنهر ر ررا را بر ر ررر روی وب سر ر ررایت ق ر ر ررار داد .ایر ر ررن
Appletهر ررای مور رررب جاسر ررو هکرهر ررا هسر ررتند کر رره اعمر ررال خواسر ررته شر رردهی آنر رران را انجر ررام میدهنر ررد.
Appletه ررا از مت ررداولترين و موربت رررين ن رروع حم ررالت هکره ررا ب رره حس رراب میآين ررد .هک ررر در Appletب رره
صورتی عمل میکند تا مرورگرر بره صرورت پیوسرته و مکررر آنهرا را اجررا نمایرد کره غانبرا ایرن نروع حملره بره
متوقف شدن سیستم میانجامد.
)4حمله از طریق :Fire Wall
روش ر ی کرره هکرهررا برره وسرریله آن از دیررواره آت ر عبررور میکننررد Fire Wallنررام دارد .در ایررن روش هکررر
پورتهررای برراز در دیررواره آت ر را مررورد بررس ر ی ق ررار داده و سررعی میکنررد تررا دیررواره آت ر را کنررار گذاش رته و
راهه ررای ارتب رراطی را ب رراز نمای ررد .دانس ررتن ای ررن ک رره ک رردام پ ررورت دی ررواره آت ر ب رراز اس ررت ،از اطالع ررات نینهاي ررت
سودمند است.
)5حمله از طریق مودمها:
Modemيکی از رايجتررين ابزارهرای ارتبراطی مربروط بره شربکه اسرتن مرودم بره کراربر امکران مریدهرد ترا از
طریررق خررط تلفررن برره شرربکه متصررل شررده و برره تبررادل اطالعررات ب ردازنررد .محصرروالت کنترررل از راه دور برره
کرراربران امکرران مرریدهنررد تررا برره تمررام منررابع کررامپیوتر خررود دسترسر ی داشررته باشررند .اگررر در ایررن محصرروالت
سیس ررتم امنیت رری تنظ رریم نش ررود ،ههت رررین راه نف رروذ هکره ررا م رریش رروند .هک ررر در اون ررين مرحل رره اق رردام ب رره هی رره
فهرسررتی از شررماره تلفررنهررایی کرره مررودم برره آنهررا متصررل مرریشررود ،مررینمايررد و سرروس توسررط ابرز ار مربوطرره،
شررماره تلفررن را کنترررل مررینمايررد .پررس از شررمارهگيررری و در صررورت ارتبرراط ،سرريگنا ی ارسررال مرریشرود و هکررر
آن شماره را در نیست قرار میدهد.
)6حمله به کلمات عبور:
این نروع حملره يکری از پرطرفردارترين و کارآمردترین نروع حملرهها میباشرد .در بسریاری از سرازمانها کلمرات
عب ر ررور بس ر رریار معم ر ررو ی ،اغل ر ررب از بس ر رریاری اطالع ر ررات حس ر ررا محافظ ر ررت میکنن ر ررد .متأس ر ررفانه ب ر ررا وج ر ررود
سيسررتمهای امنیترری ،ایررن کلمررات عبررور ضررعیف برره راحترری کشررف شررده و هکررر برره ایررن اطالعررات دسترسر ی
پیدا میکند .به خاطر این ونه مشکالت است که هر کاربر يک کلمه عبور و حتی برخری چنرد کلمره عبرور
دارند .نرمافزارهای بسیاری جهت پیدا کردن کلمات عبور وجود دارند.
)7استراق سمع دادهها:
Snifferها ابزاری هستند که هکر به وسیله آنها در الیه فيزیکی شبکه اقردام بره اسرتراق سرمع دادههرا
دادههررا
میکنرردSniffer .هررا فقررط جهررت اسررتراق سررمع دادههررا مررورد اسررتفاده قررار میگيرنررد و در ت ييررر
نقشر ی ندارنررد .اطالعرراتی کرره Snifferبرره سرررقت میبرررد امنیررت تررک تررک ماشررينهای شرربکه محلرری را برره
خطر میاندازد.
)8جعل کردن يک وب:
يک رری دیگ ررر از ش رريوههای حمل رره هکره ررا جع ررل ک ررردن ي ررک وب میباش ررد .در ای ررن روش ي ررک نب ررخه از وب
سايت کپی میشودن وب کپی شرده دارای تمرام ارواهر وب اصرلی اسرت ،امرا در پرس زمینره کلمرات عبرور
و رمزه ررای وارد ش ررده توس ررط بازدیدکنن ررد ان ای ررن ص ررفحهی جعل رری ب ررای هک ررر ارس ررال میش رروند و تم رام
اعمال زیر نظر وی انجام میگيرند.
مقابله با نفوذ از طریق مودمها:
اگررر شرربکه دارای مررودم نرراامن و برردون کلمررات عبررور باشررد ،برره راحترری مررورد حملرره هکرهررا قررار مرریگيررردن
انبته پیشگيری از این نوع حمالت ساده است .استفاده از يک خط شمارهگيری و مودم قروی اونرين راه
پیشررگيری اسررت .اگررر برره مررودم احتیررای اسررت بایررد آنهررا را تحررت نظررارت کلرری سیسررتم و خررط شررمارهگيررری
در بیاوریررد ،همچنررين در مررواقعی کرره برره آنهررا احتیررايی نیسررت بایررد غيرررفعررال شرروند .برره عررالوه از کلمررات
عب ررور ط رروالنی و دش رروار اس ررتفاده ش ررود .زم ررانی ک رره ش ررما ب ررای م ررودم خ ررود ي ررک کلم رره عب ررور دش رروار ق رر ار
دهیررد ،هکرهررا هرچرره قرردر کرره برره شرربکه و خطرروط شررما آشررنا باشررند ،بایررد ب ررای هررر کرراراکتر کلمرره شررما
وقت بسیاری را صرف کنند .به عنوان مثرال اگرر کلمره عبرور شرما دارای 20کراراکتر و ترکیبری از حرروف
و اعررداد باشررد ،هکررر جهررت کشررف آن بررا سیسررتمی برره سرررعت 2 GHzنیرراز برره یررک هفترره زمرران دارد.
همچنررين اگررر از سیسررتم ت ييررر کلمررهی عبررور خودکررار اسررتفاده کنیررد ،هکرهررا شررانس بسرریار کمرری ب ررای
پیدا کردن این کلمه عبور دارند.
مقابله با جستجوی پورتهای باز:
ب ررای مقابلرره بررا ایررن حملرره ههترررین عمررل ایررن اسررت کرره تمررام پورتهررای برراز و نیمصرررف را ب ندیررد .هکررر
پورتهررای برراز را جسررتجو میکنررد تررا در هناررام حملرره آنهررا را مررورد اسررتفاده ق ررار دهررد و راه خررود را ب ره
داخل شبکه باز کند .بیشترین حمالت هکرها ناش ی از باز بودن این پورتها است.
مقابله با شناسایی از طریق وب:
برای آن که يکری از قربانیران حمرالت در سرايتهای وب نباشرید و هکرر نتوانرد از طریرق وب بره شناسرایی
شرربکه شررما اقرردام کنررد ،در ابترردا سررعی کنیررد کرره ميرزان حساسرریت و سررطح امنیررت مررورد نیرراز شرربکه را
مررورد بررس ر ی ق ررار دهیررد و سرروس تعيررين کنیررد کرره چرره اطالعرراتی بایررد محرمانرره بماننررد و چرره اطالعرراتی
میتوانند در اختیار کاربران قرار گيرند.
مقابله با شکستن رمزهای عبو ر:
ب ررای مقابل رره ب ررا ای ررن حم ررالت ابت رردا بای ررد کلم ررات عب رروری انتو رراب کنی ررد ک رره در فرهن ر ن ررات نباش ررندن
کلم رههايی کرره از يررک سررری عرردد و حررروف درهررم ریوترره تشررکیل میشرروند درصررد احتمررال بسرریار کم رری
بررای کشرف شرردن دارنردن همچنررين هرر چرره قردر طررول کلمره عبررور بیشرتر باشررد ،هکرر بایررد زمران بیشررتری
جهت شکستن رمز عبور صرف کند.
نرمافرزار فيلترگررذار کلمررات عبررور ،کليرره ایررن اعمررال را انجررام میدهرردن ایررن برنامرره بررا دریافررت نرام و کلمرره
عبور جدید ،آنها را طبق انارویی کره شرما برراع تعریرف میکنيرد ،کنتررل مینمايرد .آخررین روش دفرایی
در این ونه از حمله هکرها بره کرارگيری سیسرتم کدبنردی رمزهرای عبرور اسرت .ایرن برنامره کليره رمزهرا
و کلم ررات عب ررور را ب رره وس رریله ي ررک ک ررد موص ررون ،ک رره فق ررط ب ررای سیس ررتم عام ررل مع رری دارد ،انتق ررال
میدهد.
مقابله با حملههای ناش ی از حد زدن شماره سریال:
سررادهترررين و کررارامرردترين شرریوه بررای محافظررت در برابررر حملرره هررای ناشر ی از حررد زدن شررماره سرریال
ایررن اسررت کرره مطم ر ن شرروید مسرريريرراب و هررر يررک از سرررویس دهنرردههررای موجررود در سیسررتم شررما از
سیسررتم حفررااتی بررسر ی ردپررا برخرروردار هسررتند یررا خيررر .هر رراه يررک هکررر بوواهررد در ميرران مسريريرراب و
دیوار آت قرار گيرد و عملیات نفوذی خود را انجام دهد ،میتوانيد حرکات وی را مشاهده نماييد.
امنیت در کامپيوترهای شخص ی (جلوگيری از نفوذ هکرها):
تا اینجا بحث درباره سيستمهای شبکه بود .سيستمهای خانای نيز مورد حمالت هکرها قرار میگيرند
موصوصا در ایران!!!
بیشتر حمالت هکرها در کامپيوترهای خانای در اتاقهای گفتاو ) (Chat Roomsرخ میدهند .اگرر برر
روی سیس ررتم قرب ررانی اس ررب ت رراوا ) (Trojan Horseوج ررود داش ررته باش ررد ،ب رره محر ر اتص ررال ب رره
اینترنررت ،يررک نامرره شررامل آدر ،پررورت ،نررام کرراربر و کلمرره عبررور بررای هکررر برره آدرسر ی کرره از قبرل تعيررين
کرررده اسررت ارسررال میگررردد .شررما برره عنرروان يررک کرراربر از دریافررت و بررازکردن نام رههای نینررام و نش ران،
ناآشررنا و مشررکوو برره طررور جرردی خررودداری کنیررد .اسررتفاده از دیرروار آت ر ههترررین روش در جلرروگيری از
حمالت میباشد .اغلب هکرهای ایرانی جوانانی هسرتند کره از برنامرههای آمراده اسرتفاده میکننردن ایرن
برنام رهها ق ررادر ب رره جس ررتجوی رم ررز ب ررای ه ررر کلم رهی عب رروری نمیباش ررند و مح رردودیتهایی در ای ررن زمین رره
دارند .از اجرای نرمافزارهای ارسا ی کاربران دیگر خودداری نمایید.
آخرین نکات در مورد مقابله با حمالت هکرها:
)1به هر کس ی اعتماد نکنید (مهندس ی اجتمایی).
)2اگر سیستم شما دچار مشکل شد ،آن را تحویل شخص غریبهای ندهید.
)3از دریاف ررت و اجر ررای برنامر رههای رایا رران و کی ررب مث ررل برنامر رههایی ک رره س رررعت اینترن ررت را افر رزاع
میدهند ،تا اطمینان کامل کسب نکردهايد ،خودداری کنید.
)4اگررر بررر روی سیسررتم خررود فایررل مهمرری داریررد ،آن را در حانررت فقررط خوانرردنی و پنهرران ق ررار دهیررد ت را
هکر قادر به ت يير دادههای آن فایل نباشد.
)5بر روی سیستم خود جديدترين نبخه ضد ويرو را نصب کنید تا همیشره از وجرود ويرو هرا در
امان و مطلع باشید.
)6در هنا ررام رچ ررت در Messengerه ررا از ن ررام مس ررتعار اس ررتفاده کنی رردن ای ررن ک ررار باع ررث م یش ررود ت ررا هک ررر
نتواند کلمه عبور شما را حد بزند.
FIREWALL
ديوارآت
دیوارآتش سیستمی است که در بین کاربران یک شبکه محلی و شبکه
بیرونی قرار می گیرد و ضمن نظارت بر دسترسی ها ،در تمام
سطوح ورود و خروج اطالتات را تحت نظر دارد.
قبل از ورود IPبه شبکه ابتدا وارد دیوارآتش میTCPبسته های
شوند و منتظر می مانند تا طبق معیار های حفاظتی و امنیتی
پردازش شوند.
پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیافتد :
Accept Modeاجازه تبور بسته صادر شود.
Blocking Modeبسته حذف گردد.
Response Modeبسته حذف شود و پاسخ مناسب به آن داده شود.
به مجموعه قواعد دیوارآتش سیاست امنیتی گفته می شود.
همانطور که همه جا تملیات ایست و بازرسی وقت گیر است دیوارآتش هم بعنوان
یک گلوگاه می تواند موجب تاخیر و ازدحام شود.
بن بست زمانی رخ می دهد که بسته ها آنقدر در حافظه دیوارآتش معطل شوند تا
طول تمرشان تمام شود و فرستنده مجددا اقدام به ارسال می نماید؛ به همین
دلیل طراحی دیوارآتش نیاز به طراحی صحیح و دقیق دارد تا از حالت
گلوگاهی خارج شود.
ازآنجایی که معماری شبکه بصورت الیه به الیه است ،در مدل
برای انتقال یک واحد اطالتات از الیه چهارم بر روی TCP/IP
شبکه ،باید تمام الیه ها را ب ذراند؛ هر الیه برای انجام وظیفه خود
تعدادی فیلد مشخص به ابتدای بسته اطالتاتی اضافه کرده و آن را
تحویل الیه زیرین می دهد.
قسمت اتظم کار دیوارآتش
تحلیل فیلد های اضافه شده در هر الیه و سرآیند هر بسته
می باشد.
با توجه به الیه الیه بودن معماری شبکه ،طراحی دیوارآتش نیز چند
الیه می باشد.
پیچیدگی پردازش در الیه سوم بسیار زیاد است
دیوارهای آتش یا فیلترهایی که قادرند مشخصات ترافیک خروجی
از شبکه را برای مدتی حفظ کنند و بر اساس پردازش آنها مجوز
تبور صادر نمایند ،فیلتر حالت مند نامیده می شوند.
فیلتر های معمولی کار آیی الزم را برای مقابله با حمالت ندارند
زیرا آنها بر اساس یکسری قواتد ساده بخشی از ترافیک بسته های
ورودی به شبکه را حذف می نمایند.
بسادگی قواتد دیواره آتش Firewallامروزه نرم افزارهایی مثل
را کشف کرده و در اختیار نفوذ گران قرار می دهند.
نفوذگران برای آنکه داده های مخربشان حذف نشود تالش می کنند
آنها را با TCP/IPبا تنظیم مقادیر خاص در فیلدهای بسته
ظاهری کامال مجاز از میان دیوارآتش یا فیلتر به درون شبکه
بفرستند.
برای مقابله با تملیاتهای کشف و شناسایی تملکرد دیوارآتش در
برخورد با بسته ها ،دیوارآتش باید فقط به آن گروه از بسته های
قبلی ارسال SYNاجازه ورود بدهد که در پاسخ به SYN-ACK
شده اند.
یعنی دیوارآتش باید پیشینه بسته های قبلی را حفظ کند تا در
مواجهه با چنین بسته هایی ،بدرستی تصمیم ب یرد.
بزرگترین مشکل این فیلتر ها غلبه بر تاخیر پردازش و حجم حافظه
مورد نیاز می باشد ولی در مجموع قابلیت اتتماد بسیار باالتری
دارند و ضریب امنیت شبکه را افزایش خواهند داد.
فیلترها ی معمولی و حالت مند فقط نقش ایست و بازرسی را ایفا می کنند
هرگاه مجوز برقراری یک اتصال صادر شد این نشست بین دو ماشین
داخلی و خارجی بصورت مستقیم برقرار خواهد شد؛ بدین معنا که بسته
های ارسالی از طرفین پس از بررسی ،تینا تحویل آنها خواهد شد.
وقتی ماشین مبدا تقاضای یک اتصال را برای ماشین مقصد ارسال می
کند ،فرآیند زیر اتفاق می افتد :
پراکسی به نیابت از ماشین مبدا ،این اتصال را برقرار می
کند .یعنی طرف نشست دیوار آتش قرار می گیرد نه ماشین
اصلی!
چون دیوار آتش مبتنی بر پراکسی ،باید تمام نشستهای بین
ماشینهای درون و بیرون شبکه را مدیریت و اجرا کند لذا
گلوگاه شبکه محسوب می شود و هرگونه تاخیر یا اشکال
در پیکر بندی آن ،کل شبکه را با بحران جدی مواجه
خواهد نمود.
اگر قرار باشد از دیوارآتش مبتنی بر پراکسی در شبکه استفاده شود،
اندکی از کارآیی سرویس دهنده هایی که ترافیک باال مانند وب دارند
کاسته خواهد شد ،زیرا پراکسی یک گلوگاه در شبکه محسوب می
شود.
اگر سرویس دهنده ای را برای کل کاربران اینترنت پیکر
بندی کنیم بهتر است در پشت یک دیوارآتش مبتنی بر
پراکسی قرار ن یرد.
فیلتر ها و دیواره های آتش معمولی سریعند ولیکن قابلیت
اتتماد کمتری دارند و نمی توان بعنوان حصار یک شبکه به
آنها اتتماد نمود.
بهترین پیشنهاد استفاده همزمان از هر دو نوع
دیوارآتش است.
رمزنگاری -راه حلی برای حفظ امنیت داده ها
تعریف رمز نگاری:
رمزنگاری علم کدها و رمزهاست .عبارت است از علم شناخت و بررس ی اصول و روش های تبدیل یک پیغام
محرمانه خوانا برای همه به پیغامی که به صورت رمز شده درآمده و فقط برای گیرنده مجاز قابل
خواندن و رمزگشایی میباشد .یک هنر قدیمی است و برای قرنها بمنظور محافظت از پیغامهایی که بین
فرماندهان ،جاسوسان ،عشاق و دیگران ردوبدل میشده ،استفاده شده است تا پیغامهای آنها محرمانه
بماند.
رمزنگاری دو جزء اصلی دارد -1 :الگوریتم -2کلید.
الگوریتم یک مبدل یا فرمول ریاض ی است .کلید ،یک رشته از ارقام دودویی (صفر و یک) است که
بخودیخود بیمعنی است .روش های رمز نگاری مبتنی بر کلید است که توسط الگوریتم های متقارن و یا
نا متقارن قابل پیاده سازی است.
رمزنگاری -راه حلی برای حفظ امنیت داده ها
-۱معرفی و اصطالحات
هنگامی که با امنیت دیتا سروکار داریم ،نیاز به اثبات هویت فرستنده و گیرنده پیغام داریم
و در ضمن باید از عدم تغییر محتوای پیغام مطمئن شویم .این سه موضوع یعنی
-1محرمانگی
-2تصدیق هویت
-3جامعیت
در قلب امنیت ارتباطات دیتای مدرن قرار دارند و میتوانند از رمزنگاری استفاده کنند.
اغلب این مساله باید تضمین شود که یک پیغام فقط میتواند توسط کسانی خوانده شود
که پیغام برای آنها ارسال شده است و دیگران این اجازه را ندارند .روش ی که تامین
کننده این مساله باشد "رمزنگاری" نام دارد.
رمزنگاری -راه حلی برای حفظ امنیت داده ها
-۲الگوریتمها
طراحان سیستمهایی که در آنها از رمزنگاری استفاده میشود ،باید از نقاط قوت و ضعف
الگوریتمهای موجود مطلع باشند و برای تعیین الگوریتم مناسب قدرت تصمیمگیری
داشته باشند .به طور كلي دو نوع الگوريتم مبتني بر كليد وجود دارد:
-1سيستم هاي كليد متقارن
-2سيستم هاي كليد نامتقارن
تکنولوژی شبکههای بیسیم ،با استفاده از انتقال دادهها توسط اموج
رادیویی ،در سادهترین صورت ،به تجهیزات سختافزاری امکان
میدهد تا بدوناستفاده از بسترهای فیزیکی همچون سیم و کابل ،با
یکدی ر ارتباط برقرار کنند .شبکههای بیسیم بازهی وسیعی از
کاربردها ،از ساختارهای پیچیدهیی چون شبکههای بیسیم سلولی -که
اغلب برای تلفنهای همراه استفاده میشود -و شبکههای محلی
بیسیم ) (WLAN – Wireless LANگرفته تا انوع سادهیی
چون هدفونهای بیسیم ،را شامل میشوند .از سوی دی ر با
احتساب امواجی همچون مادون قرمز ،تمامی تجهیزاتی که از امواج
مادون قرمز نیز استفاده میکنند ،مانند صفحه کلیدها ،ماوسها و
برخی از گوشیهای همراه ،در این دستهبندی جای میگیرند.
طبیعیترین مزیت استفاده از این شبکهها تدم نیاز به ساختار
فیزیکی و امکان نقل و انتقال تجهیزات متصل به اینگونه شبکهها و
همچنین امکان ایجاد تغییر در ساختار مجازی آنهاست .از نظر
ابعاد ساختاری ،شبکههای بیسیم به سه دسته تقسیم میگردند :
WLAN ،WWANو .WPAN
مقصود از ،WWANکه مخفف Wireless WANاست ،شبکههایی با پوشش بیسیم
باالست .نمونهیی از این شبکهها ،ساختار بیسیم سلولی مورد استفاده در شبکههای تلفن
همراه است WLAN .پوششی محدودتر ،در حد یک ساختمان یا سازمان ،و در ابعاد
کوچک یک سالن یا تعدادی اتاق ،را فراهم میکند .کاربرد شبکههای WPANیا
Wireless Personal Area Networkبرای موارد خان ی است .ارتباطاتی چون
Bluetoothو مادون قرمز در این دسته قرار میگیرند.
خطر معمول در کلیهی شبکههای بیسیم مستقل از پروتکل و تکنولوژی
مورد نظر ،بر مزیت اصلی این تکنولوژی که همان پویایی ساختار ،مبتنی بر
استفاده از سی نالهای رادیویی بهجای سیم و کابل ،استوار است .با استفاده از
این سی نالها و در واقع بدون مرز ساختن پوشش ساختار شبکه ،نفوذگران
قادرند در صورت شکستن موانع امنیتی نهچندان قدرتمند این شبکهها ،خود را
بهتنوان تضوی از این شبکهها جازده و در صورت تحقق این امر ،امکان
دستیابی به اطالتات حیاتی ،حمله به سرویس دهندهگان سازمان و مجموته،
تخریب اطالتات ،ایجاد اختالل در ارتباطات گرههای شبکه با یکدی ر ،تولید
دادههای غیرواقعی و گمراهکننده ،سوءاستفاده از پهنایباند مؤثر شبکه و دی ر
فعالیتهای مخرب وجود دارد.
در مجموع ،در تمامی دستههای شبکههای بیسیم ،از دید امنیتی حقایقی مشترک صادق است :
.1
2
3
4
5
تمامی ضعفهای امنیتی موجود در شبکههای سیمی ،در مورد شبکههای بیسیم نیز
صدق میکند .در واقع نه تنها هیچ جنبهیی چه از لحاظ طراحی و چه از لحاظ
ساختاری ،خاص شبکههای بیسیم وجود ندارد که سطح باالتری از امنیت منطقی را
ایجاد کند ،بلکه همان گونه که ذکر شد مخاطرات ویژهیی را نیز موجب است.
نفوذگران ،با گذر از تدابیر امنیتی موجود ،میتوانند بهراحتی به منابع اطالعاتی
موجود بر روی سیستمهای رایانهیی دست یابند.
اطالعات حیاتییی که یا رمز نشدهاند و یا با روشی با امنیت پایین رمز شدهاند ،و
میان دو گره در شبکههای بیسیم در حال انتقال میباشند
حملههای DoSبهتجهیزاتوسیستمهایبیسیمبسیارمتداولاست.
نفوذگران با سرقت کدهای عبور و دیگر عناصر امنیتی مشابه کاربران مجاز در
شبکههای بیسیم ،میتوانند به شبکهی مورد نظر بدون هیچ مانعی متصل گردند.
(ادامه)
6با سرقت عناصر امنیتی ،یک نفوذگر میتواند رفتار یک کاربر را پایش کند.
از این طریق میتوان به اطالعات حساس دیگری نیز دست یافت.
7کامپیوترهای قابل حمل و جیبی ،که امکان و اجازهی استفاده از شبکهی
بیسیم را دارند ،بهراحتی قابل سرقت هستند .با سرقت چنین سخت افزارهایی،
میتوان اولین قدم برای نفوذ به شبکه را برداشت.
،میتوانند توسط نفوذگران سرقت شده یا تغییر یابند.
8یک نفوذگر میتواند از نقاط مشترک میان یک شبکهی بیسیم در یک
سازمان و شبکهی سیمی آن (که در اغلب موارد شبکهی اصلی و حساستری
محسوب میگردد) استفاده کرده و با نفوذ به شبکهی بیسیم عمالً راهی برای
دستیابی به منابع شبکهی سیمی نیز بیابد.
9در سطحی دیگر ،با نفوذ به عناصر کنترل کنندهی یک شبکهی بیسیم،
امکان ایجاد اختالل در عملکرد شبکه نیز وجود دارد.
ایستگاه بی سیم
عناصر فعال شبکههای محلی بیسیم
نقطه ی دسترسی
1ایست اه بی سیم
ایست اه یا مخدوم بیسیم به طور معمول یک کامپیوتر کیفی یا یک ایست اه کاری
ثابت است که توسط یک کارت شبکهی بیسیم به شبکهی محلی متصل میشود .این
ایست اه میتواند از سوی دی ر یک کامپیوتر جیبی یا حتی یک پویش گر بارکد نیز
باشد .در برخی از کاربردها برای اینکه استفاده از سیم در پایانههای رایانهیی برای
طراح و مجری دردسرساز است ،برای این پایانهها که معمو ًال در داخل کیوسکهایی
بههمین منظور تعبیه میشود ،از امکان اتصال بیسیم به شبکهی محلی استفاده میکنند.
در حال حاضر اکثر کامپیوترهای کیفی موجود در بازار به این امکان بهصورت
سرخود مجهز هستند و نیازی به اضافهکردن یک کارت شبکهی بیسیم نیست.
کارتهای شبکهی بیسیم تموم ًا برای استفاده در چاکهای PCMCIAاست .در
صورت نیاز به استفاده از این کارتها برای کامپیوترهای رومیزی و شخصی ،با
استفاده از رابطی این کارتها را بر روی چاکهای گسترش PCIنصب میکنند.
(ادامه)
نقطه ی دسترسی
نقاط دسترسی در شبکههای بیسیم ،همانگونه که در
قسمتهای پیش نیز در مورد آن صحبت شد ،سخت
افزارهای فعالی هستند که تم ً
ال نقش سوییچ در شبکههای
بیسیم را بازیکرده ،امکان اتصال به شبکه های سیمی را
نیز دارند .در تمل ساختار بستر اصلی شبکه تموم ًا سیمی
است و توسط این نقاط دسترسی ،مخدومها و ایست اههای
بیسیم به شبکهی سیمی اصلی متصل میگردد.
همانگونهکهگفتهشد،باتوجهبهپیشرفتهایاخیر،درآیندهیینهچنداندوربایدمنتظرگستردهگی
هرچهبیشتراستفادهازشبکههایبیسیمباشیم .اینگستردهگی،باتوجهبهمشکالتیکه ازنظرامنیتی
دراینقبیلشبکههاوجودداردنگرانیهاییرانیزبههمراهدارد .ایننگرانیهاکهنشاندهندهی
ریسکباالیاستفادهازاینبستربرایسازمانهاوشرکتهایبزرگاست،توسعهیایناستانداردرا
درابهامفروبردهاست .دراینقسمتبهدستهبندیوتعریفحمالت،خطرهاوریسکهایموجوددر
استفادهازشبکههایمحلیبیسیمبراساساستاندارد IEEE 802.11xمیپردازیم.
شکلزیرنماییازدستهبندیحمالتموردنظررانشانمیدهد:
مطابق درخت فوق ،حمالت امنیتی به دو دسته ی فعال و غیرفعال تقسیم می گردند.
حمالت غیرفعال
شنود
آنالیز ترافیک
حمالت فعال
تغییر هویت
پاسخ های جعلی
تغییر پیام
حمله هايDos
)(Denial-of-service
ابعاد مختلف امنيت
* امنيت سيگنال )(Signal Security
* امنيت دادهها )(Data Security
* امنيت سيستم )(System Security
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
سيستمهاي
رمزنااري
امنيت سيگنال
امنيت دادهها
امنيت
سيستم
پروتكلهاي
رمزنااري
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
كاربردها
محيطهاي عملياتي
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
سيستمهاي
رمزنااري
امنيت سيگنال
امنيت دادهها
امنيت
سيستم
پروتكلهاي
رمزنااري
اقدامات پشتيباني
اقدامات آگاهي
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
كاربردها
محيطهاي عملياتي
الكترونيك و ضدآن )(ESM , CESM
از سيگنال و ضدآن )(SIGINT , SIGSEC
اقدامات ضد الكترونيكي و ضدآن )(ECM , ECCM
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
سيستمهاي
رمزنااري
پروتكلهاي
رمزنااري
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
كاربردها
امنيت سيگنال
امنيت دادهها
امنيت
سيستم
طراحي و تحليل الگوريتمهاي رمزنگاري
تحليل ويژگيهاي آماري الگوريتمها
مقاوم سازي در برابر حمالت
تحليل الگوريتمها ( شكستن الگوريتم)
محيطهاي عملياتي
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
سيستمهاي
رمزنااري
امنيت سيگنال
امنيت دادهها
امنيت
سيستم
پروتكلهاي
رمزنااري
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
كاربردها
پياده سازي الگوريتمها
الگوريتمهاي قالبي
الگوريتمهاي دنبالهاي
الگوريتمهاي مبتني بر خم بيضوي
...
محيطهاي عملياتي
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
سيستمهاي
رمزنااري
امنيت سيگنال
امنيت دادهها
امنيت
سيستم
پروتكلهاي
رمزنااري
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
كاربردها
طراحي پروتكلهاي رمزنگاري
پروتكلهاي احراز اصالت
پروتكلهاي توزيع كليد
پروتكلهاي ويژة امنيتي
محيطهاي عملياتي
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
سيستمهاي
رمزنااري
امنيت سيگنال
امنيت دادهها
امنيت
سيستم
پروتكلهاي
رمزنااري
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
كاربردها
تحليل پروتكلهاي رمزنگاري
روشهاي شهودي
روشهاي صوري
محيطهاي عملياتي
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
پياده سازي پروتكلهاي رمزنگاري
سيستمهاي
رمزنااري
پروتكلهاي
رمزنااري
Application
امنيت سيگنال
امنيت دادهها
Presentation
Session
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
كاربردها
محيطهاي عملياتي
SET,
PEM, S-HTTP
…Kerberos,
SSL,TLS
Transport
امنيت
سيستم
IPSec
Network
PPTP
Datalink
Physical
Cryptographic
H/W Modules
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
امنيت سيستمهاي عامل
امنيت
سيستمهاي
داده
هايمزنااري
پايگاه ر
پروتكلهاي
رمزنااري
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
روشهاي كنترل دسترس ي )(Access control
امنيت سيگنال
روشهاي رديابي )(Auditing
امنيت دادهها
سيستم هاي تشخيص نفوذ )(IDS
امنيت
سيستم
كاربردها
محيطهاي عملياتي
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
امنيت سيستمهاي عامل
امنيت
سيستمهاي
داده
هايمزنااري
پايگاه ر
پروتكلهاي
رمزنااري
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
روشهاي كنترل دسترس ي )(Access control
امنيت سيگنال
روشهاي رديابي )(Auditing
امنيت دادهها
سيستم هاي تشخيص نفوذ )(IDS
امنيت
سيستم
كاربردها
محيطهاي عملياتي
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
كاربردهاي امنيتي
سيستم
الكترونيكي امن سيستمهاي عامل و
هايپست پروتكلهاي
زبانهاي
رمزنااري
رمزنااري وب امن
برنامهنويس ي
امنيت سيگنال
امنيت دادهها
...
شبكة اختصاص ي مجازي )(VPN
ديوارة آتش
مقابله با Hacking
امنيت
سيستم
كاربردها
محيطهاي عملياتي
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
تجارت الكترونيك
سيستمهاي
رمزنااري
پروتكلهاي
رمزنااري
كارتهاي هوشمند
امنيت سيگنال
امنيت دادهها
امنيت
سيستم
سيستمهاي عامل و
زبانهاي
برنامهنويس ي
سيستمهاي جديد احراز اصالت
كاربردها
محيطهاي عملياتي
زواياي مختلف تحقيق در زمينة امنيت سيستمهاي اطالعاتي
مهندس ي امنيت
سيستمهاي عامل و
پروتكلهاي
سيستمهاي
زبانهاي
رمزنااري
رمزنااري
امنيت اطالعات
استانداردهاي
برنامهنويس ي
امنيت سيگنال
مديريت امنيت () ISMS
امنيت دادهها
امنيت محيطي
امنيت
سيستم
كاربردها
محيطهاي عملياتي