جزوه جامع امنیت شبکه (مهندسی امنیت شبکه)

مهندس موسوی · 2014-08-06

بسم الله الرحمن الرحیم

این جزوه آموزشی توسط مرکز توسعه آموزش مجازی پارس تدارک دیده شده، که توسط بنده تایپ، ویرایش و تکمیل شد تا جزوه‌ی جامع‌تری برای دوست‌داران امنیت شبکه باشد.
در این جزوه سعی شده که مباحث کامل باشد و لذا برای هر مبحثی که در این مقاله آمده است مقاله‌ی دیگری در این بخش تدارک خواهم دید تا در عین آموزش امنیت شبکه به مباحث دیگر آشنائی پیدا کنید.
با ما همراه باشید...
مهندس موسوی

قسمت اول:
امنیت شبکه یا Network Security پردازه‌ای است که طی آن یک شبکه در مقابل تهدیدات داخلی و خارجی امن می‌شود. یکی از پردازه‌های بسیار مهم که باید در هر شبکه اعمال شود امن کردن آن است، بدین صورت که با امن کردن شبکه از خطرات هک، نفوذ و تخریب که ممکن است خسارات مالی و جانی در بر داشته باشد در امان خواهیم ماند. استفاده از سخت‌افزارهای دارای استاندارد و نرافزارهای قدرت‌مند و کرک[SUP](1)[/SUP] نشده یکی از راه‌های روش محکم و امن کردن شبکه است. در کنار استفاده از سخت و نرم‌‌افزارها، شناسائی و بستن پورت‌هائی که از آن‌ها استفاده نمی‌شود بسیار ضروری است، زیرا که یک هکر برای نفوذ و سوء استفاده از این پورت‌ها استفاده می‌کند.

شبکه‌های بزرگ‌تر بیشتر در معرض تهدید می‌باشند، به این دلیل که در این شبکه‌ها از منابع شبکه‌ای فراوانی مانند روتر، سوئیچ، فایروال، مسیریابی، پیکربندی و پیاده‌سازی، اطلاعات و پایگاه‌های متصل به شبکه، دسترسی‌ها، ترمینال‌ها، اطلاعات در حال تبادل، و... برای آن استفاده می‌کنند که بعضی از آن‌ها یا به دلیل نقص فنی یا باگ[SUP](2)[/SUP] و یا باز بودن پورت[SUP](3)[/SUP] باعث می‌شود که امنیت شبکه کمتر شود، از این رو برای امن کردن هر شبکه باید اقدامات لازم و جدی انجام داد.

به عنوان مثال شبکه یا ISP‌های کشور: برخی از ISP‌ها مدتی است که از تکنیک‌های امنیتی خاصی استفاده می‌کنند از قبیل: MAC Filtering،[SUP](4)[/SUP][SUP])[/SUP] SOAP[SUP](5)[/SUP]، IBSNG[SUP](6)[/SUP] و… که این مسئله باعث می‌شود این آی اس پی‌ها امنیت بالاتری داشته باشند و درصد هک کردن حساب کاربری مشترکین کم باشد.

به هنگام ایجاد شبکه باید دقت داشت که در صورت امکان از پیشرفته‌ترین تکنولوژی استفاده کرد، در غیر این صورت در هر گام برای ایجاد امنیت فوق العاده باید تجدید نظر کرد و آن را بهتر و بیشتر بررسی نمود و نقاط ضعف آن را از بین برد، تا شبکه‌ امن‌تری داشته باشیم.

حمله:
حمله‌ها می‌توانند خطرناک یا غیر خطرناک باشند، اما نفوذ به یک شبکه برای صاحب آن می‌تواند خطری جدی باشد و به مثابه آژیر خطر است که باید نسبت به امن کردن شبکه خود اقدام کند. حمله‌ها می‌توانند برای سوء استفاده‌های جدی و غیر جدی صورت گیرند که برای استفاده و یا تغییر در سرویس صورت می‌گیرند و به سه دسته تقسیم می‌‌شوند که عبارتند از:

1- دسترسی غیر مجاز به اطلاعات شبکه.
2- دست‌کاری و تغییر غیر مجاز شبکه.
3- ایجاد اختلال در شبکه یا Denial of Service که حمله محروم سازی از سرویس به آن نیز گفته می‌شود.

در دو دسته اول دسترسی غیر مجاز به اطلاعات شبکه و تغییر در آن است که این نفوذ می‌تواند برای دیدن سیاست امنیتی آن شبکه صورت گرفته باشد و یا برای ایجاد تغییراتی که یا برای نفوذگر در نظر نگرفته شده و می‌خواهد آن‌ها را اعمال کند و یا از تغییرات سوء اسفاده کند. این نفوذ می‌تواند بر روی خود شبکه صورت گیرد و می‌تواند شامل رایانه‌های متصل به شبکه مانند سرورهای پایگاه داده و وب و یا اطلاعات در حال رد و بدل باشد.

هدف از ایجاد امنیت شبکه ثابت کردن محرمانگی داده، نگهداری جامعیت داده و نگهداری در دسترس بودن داده است.

تحلیل خطر:
چنانچه متوجه نقطه ضعف یا عوامل تهدید کننده و یا نفوذگر به شبکه شدیم باید خطرات مختلف را ارزیابی کرد تا بتوان از پیشرفت تهدید جلوگیری کرد و شبکه امن‌تری ایجاد کرد. یک مدیر شبکه باید احتمالات انجام حمله را حساب کند و بر اساس حساب احتمالات شبکه امن‌تری ایجاد کند تا ریسک آن به مراتب کمتر شود. با پیش‌گیری می‌توان حتی در صورت حمله و یا نفوذ خسارات وارده را به حد اقل رساند، وقتی که شبکه از هر لحاظ محکم و امن باشد، هیچ حمله‌ای قادر به نفوذ جدی و وارد کردن خسارات زیاد نخواهد بود.

به یاد داشته باشیم که برای ایجاد و یا ساخت یک شبکه حتماً باید سیاست امنیتی داشته باشیم تا طبق آن پس از تحلیل خطرات پیش رویم. این سیاست باید در بر دارنده تقویت شبکه، احتمال خطرات، میزان مقاومت در برابر حمله، میزان خسارت بعد از نفوذ و... را مشخص کرده باشد، تا صورت حمله ناگهانی مدیران شبکه زمینه لازم را داشته باشند تا از آن محافظت نمایند. در عموم گذاشتن این سیاست بدون جزئیات بسیار ضروری است. سیاسیت امنیت از چند لحاظ مهم است:
- چه و چرا باید محافظت شود.
–چه کسی باید مسؤولیت حفاظت را به عهده بگیرد.
–زمینه‌ای به وجود آورد که هر گونه تضاد احتمالی را حل و فصل کند.

سیاست‌های امنیتی به طور کلی به دو دسته تقسیم می‌شوند:

مجاز: (Permissive) هر آ‌ن‌چه به طور مشخص ممنوع نشده است، به عبارتی مجاز است.
محدود کننده: (Restriactive) هر آ‌ن‌چه به طور مشخص مجاز نشده است، به عبارتی ممنوع است.

معمولاً ایده محدود کننده در سیاست امنیت شبکه پیشنهاد می‌شود چون سیاست‌های مجاز دارای مشکلات امنیتی است و نمی‌توان تمامی موارد غیر مجاز را بر شمرد.

1- شرکت‌های تولید نرم‌افزار مانند نرم‌افزارهای ویندوز، فتوشاپ، آفیس، بازی‌های کامپیوتری و... برای جلوگیری از کپی‌برداری غیر قانونی کدهائی برای هر نرم‌افزار تدارک می‌بینند تا با استفاده از این کدها یا سریال‌ها، کاربر را مجبور به خرید نرم‌افزار کرده و درآمد بیشتری حاصل کنند، بعضی از کاربران حرفه‌ای قفل این نرم‌افزارها را شکسته و برای آن‌ها شماره سریال و یا کرک می‌سازند که با نصب آن نرم‌افزار فعال شده و محدودیت آن برطرف و بدون مشکل قابل استفاده می‌شود، به این کاربران به اصطلاح کراکر گفته می‌شود.
2- باگ مشکلی است که در یک برنامه رخ داده و باعث از کار انداختن کلی آن یا اجرا نکردن دستور یا دستورات بعدی به صورت ناقص یا کامل می‌گردد. این مشکل در زمانی خطرناک‌تر می‌شود که برنامه قصد انجام عملیاتی خاص و مهم همچون چک کردن نام کاربری و کلمه‌ی عبور را داشته باشد. فکر کنید در یک پیج سایت که قسمت ورود کاربر تهویه شده است پیج بدون فیلتر کردن داده‌های ورودی از طرف کاربر فقط سعی به اجرا کردن آن‌ها را دارد در این هنگام کاربری اسکریپتی را وارد می‌کند و چون این داده‌ها فقط پردازش می‌شوند پس می‌تواند برای سایت یک عامل خطرناک محسوب شده و باعث اختلال در عملکرد آن گردد.
3- پورت در معنا به معنی درگاه است و برای رد و بدل کردن اطلاعات بین دو کامپیوتر استفاده می‌شود. (‏محلی است که داده‌ها وارد یا خارج می‌شوند) دو نوع پورت فیزیکی و مجازی وجود دارد.
4- MAC Filter برای افزایش امنیت شبکه وایرلس به کار می‌رود.
5- SOAP مخفف Simple Object Access Protocol است. پروتکلی ساده برای تبادل ساده پیام‌هایی از جنس اکس‌ام‌ال بر روی شبکه‌های رایانه‌ای.
6- IBSng، نرم افزار مدیریت و حساب‌داری کاربران اینترنت، اینترانت و VoIP می‌باشد. این نرم افزار به صورت یک‌پارچه سرویس‌های Dialup(Analog/E1), Lan Accounting, Wireless, ADSL, VoIP و SMS را کنترل می‌کند

مهندس موسوی · 2014-08-11

قسمت دوم:

طرح امنیت شبکه:

- ویژگی‌های امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا به کارگیری [SUP](1)[/SUP]SSH یا پوسته امن. هر بار که داده‌ای از طرف کامپیوتر به شبکه فرستاده می‌شود، به صورت خودکار توسط SSH کدگذاری می‌شود. این پرتکول معمولاً بیشتر برای درگاه‌های بانکی مورد استفاده قرار می‌گیرد تا پرداخت اینترنتی آنلاین امن‌تر شود.

- فایروال‌ها. که معمولاً برای جلوگیری از حمله‌ها بسیار مفید و کاربردی هستند.
- مجتمع کننده‌ها برای دسترسی از دور. ‌
- تشخیص نفوذ.
- سرورهای Authentication، Authorization، Accounting و مخفف آن‌ها AAA می‌باشد.

به اختصار:
Authentication: یعنی این‌که چه کسی می‌تواند وارد شود.
Authorization: به چه جاهایی دسترسی پیدا کند.
Accounting: چقدر اعتبار دارد (پول، ساعت استفاده، استفاده از هر کدام از منابع به چه میزان و...).

Authentication (تصدیق یا سندیت) به معنای وارسی عناصر شناسایی ارائه شده از سوی کاربر، تجهیزات یا نرم‌افزارهایی است که تقاضای استفاده و دسترسی به منابع شبکه را دارند. عناصر شناسایی در ابتدایی‌ترین و معمول‌ترین حالت شامل نام کاربری و کلمه عبور می‌باشند. پس از ارائه عناصر شناسایی از سوی متقاضی، سیستم کد کاربری و کلمه عبور را با بانک اطلاعاتی مختص کدهای شناسایی کاربری مقایسه کرده و پذیرش یا عدم پذیرش دسترسی به منابع را صادر می‌کند.

Authorization (اجازه) فرایندی است که طی آن به کاربران و یا تجهیزات متقاضی دسترسی به منابع، امکان استفاده از منبع یا منابع مستقر بر روی شبکه داده می‌شود. به بیان دیگر این عمل برای مدیران شبکه امکان تعیین نوع دسترسی به هریک از منابع شبکه، برای تک تک متقاضیان دسترسی و یا گروهی از آنها، را فراهم می‌کند.

Accounting آخرین بخش از فرایند جمعی AAA است. طی این فرایند، گزارشی از عملکرد کاربران یا سخت‌افزارهایی که هویت آنها طی اعمال Authentication و Authorization تایید شده است، توسط خادم AAA تهیه می‌شود. این عمل می‌تواند با استفاده از خادم های خارجی که اس پروتکل‌ها و استانداردهایی چون TACACS[SUP]2[/SUP]+ و RADIUS[SUP]3[/SUP] استفاده می‌کنند انجام گیرد. به بیان دیگر، این عمل قدمی فراتر از دو مرحله پیشین برداشته، و پیگیری بعدی، پس از احراز هویت را انجام می‌دهد. پیام‌های Accounting به شکل رکورد، میان تجهیزاتی که از طریق آنها دسترسی متقاضی درخواست شده و پایگاه‌های داده‌ای از قبیل TACACS+ یا RADIUS، تبادل می‌گردد.

- مکانیزم‌های کنترل دسترسی و محدود کننده دسترسی برای دستگاه‌های مختلف شبکه. نمونه‌ای از این مکانیزم‌ها:
[SUP]4[/SUP]DMZ که در میان شبکه خصوصی یا داخلی و شبکه خارجی یا اینترنت قرار می‌گیرد. این شبکه به کاربران خارج از سازمان اجازه برقراری ارتباط با سرورهای داخلی سازمان به صورت مستقیم را نمی‌دهد و به همین وسیله از اطلاعات سازمان حفاظت می‌کند.

شناخت سیستم‌های IDS و IPS و تفاوت آنها:
IDS قسمت‌هایی از شبکه را که به نظر می‌رسد کسی به آنجا صدمه زده کشف می‌کند و سپس اخطار می‌دهد. بدیهی است که این اخطار بعد و یا در حین آسیب به دستگاه صورت می‌گیرد. IPS برای جلوگیری از ورود بدون مجوز به شبکه یا سرویس دهنده طراحی شده است و از صدمه سیستم جلوگیری به عمل می‌آورد.

نواحی امنیتی:
یکی از بهترین شیوه‌های دفاع در مقابل حملات شبکه، طراحی امنیت شبکه به صورت منطقه‌ای و مبتنی بر توپولوژی است که توپولوژی الگوی هندسی استفاده شده جهت اتصال کامپیوترها است، توپولوژی انتخاب شده برای پیاده سازی شبکه‌ها، عاملی مهم در جهت کشف و برطرف نمودن خطاء در شبکه خواهد بود. یکی از مهم‌ترین ایده‌های مورد استفاده در شبکه‌های مدرن، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می‌گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب در آن، تأمین می‌کند. هم‌چنین منطقه‌بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه می‌شود.

نواحی امنیتی بنا بر استراتژی‌‌های اصلی تعریف می‌شوند:
- تجهیزات و دستگاه‌هائی که بیشترین نیاز امنیتی را دارند که معمولاً اجازه دسترسی عمومی یا از شبکه‌های دیگر به این منطقه داده نمی‌شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می‌شود. کنترل شناسائی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می‌شود.
- سرورهائی که فقط باید از سوی کاربران داخلی در دسترس باشند. کنترل به این تجهیزات با کمک فایروال انجام می‌شود و دسترسی‌ها کاملاً نظارت و ثبت می‌شوند.
- سرورهائی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه‌ای جدا و بدون امکان دسترسی به مناطق امن‌تر شبکه قرار می‌گیرند.
- استفاده از فایروال‌ها به شکل لایه‌ای و به کارگیری فایروال‌های مختلف سبب می‌شود تا در صورت وجود یک اشکال امنیتی در یک فایروال، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor [SUP]5[/SUP] نیز کم شود.

1- ssh مخفف کلمه ” Secure shell protocol ”. آن پروتکل استانداری برای مبادله رمز شده بین یک کامپیوتر و سرویس دهنده است. رمزنگاری از مشاهده اطلاعات مبادله شده توسط اپراتور شبکه جلوگیری می‌کند. SSH می‌تواند برای کاربردهای متعددی به کار رود، که برقراری اتصال امن (secure login) و انتقال فایل امن (SCP/SFTP) کاربردهای رایج آن هستند و به شما اجازه می‌دهد تا به کامپیوتر سرور به صورت ریموت یا از راه دور متصل شوید تا بتوانید از سرور نگهداری کنید.
2- برگرفته از Terminal Access Controller Access Control System)) ، يک پروتكل "تأیيد" قديمی در شبكه‌های مبتنی بر سيستم عامل يونيكس است كه اين امكان را برای يک سرويس دهنده راه دور فراهم می‌نمايد تا رمز عبور درج شده توسط كاربران را به يک سرويس دهنده تأیید شده هدايت تا صلاحيت آنان برای استفاده از يک سيستم بررسی گردد.
3- پروتكل RADIUS (برگرفته شده از Remote Authentication Dial-In User Service)، استانداردی برای طراحی و پياده‌سازی سرويس دهندگانی است كه مسئوليت تأیيد و مديريت كاربران را برعهده خواهند گرفت. مشخصات و نحوه عمل‌كرد پروتكل RADIUS در RFC 2865 و RFC 2866 تعريف شده است. پروتكل RADIUS از يک معماری سرويس گيرنده - سرويس دهنده برای تأیيد و accounting استفاده می‌نمايد.
4- DMZ مخفف عبارت Demilitarized Zone است و عموماً به بخش‌هایی از شبکه اشاره می‌کند که کاملاً قابل اطمینان نیست. DMZ امکانی روی شبکه فراهم می‌کند تا سیستم‌هایی که توسط عموم مردم و از طریق اینترنت قابل دسترسی است، از سیستم‌هایی که فقط توسط پرسنل سازمان قابل استفاده است تفکیک شود.
5- Backdoor برنامه مخربی است كه معمولاً با انتشار ویروس‌ها، كرم‌ها و تروجان‌ها روی شبکه یا كامپیوتر كاربر نصب می‌شود.

مهندس موسوی · 2014-09-13

قسمت سوم:

مثالی از یک ریسک امنیتی شبکه برای درک بهتر:

1. کاربر a یک فایل برای كاربر b می‌فرستد، فایل شامل اطلاعات محرمانه و حساس مانند محاسبات مالی و... می‌باشد، که بایستی از دسترس بیگانه دور باشند. کاربر c که مجاز به خواندن فایل نمی‌باشد قادر به پائیدن انتقال اطلاعات بوده و یک نسخه از فایل هنگام ارسال، به دست می‌آورد.
2. یک مدیر شبکه d پیامی را برای رایانه e که تحت مدیریت اوست ارسال می‌کند، پیام به رایانه e فرمان می‌دهد که فایل افراد مجاز را به روز کرده و نام چندین کاربر جدید که می‌توانند به سیستم دست یابند را در آن وارد کند. کاربر f پیام را دزدیده، محتویات آن را با اضافه کردن و یا حذف کردن نام‌های دل‌خواه خود تغییر داده و سپس آن را برای e می‌فرستد. E پیام را با تصور این‌که از سوی مدیر d ارسال شده پذیرفته و فایل مجاز را بر اساس آن به روز در می‌آورد.
3. به جای دزدیدن یک پیام، کاربر f، پیام مورد نظر خویش را با ورودی‌های دل‌خواه خود را ساخته و آن را طوری برای e می‌فرستد که e خیال می‌کند از جانب مدیر d صادر شده است، و بنابراین فایل افراد مجاز را بر اساس آن به روز در می‌آورد.
4. کارمندی بدون اخطار قبلی اخراج می‌شود. مدیر امور اداری پیامی به سیستم سرور می‌فرستد تا حساب او را از اعتبار خارج کند. وقتی این اعمال انجام می‌شود، سرور بایستی تذکری را برای فایل کارمند ارسال کرده و انجام عمل را تأیید کند. کارمند قادر به استراق سمع پیام بوده و ارسال آن را آن‌قدر به تأخیر می‌اندازد تا خود بتواند آخرین دست‌یابی به سرور را پیدا کرده و اطلاعات حساس را استخراج کند. پس از آن پیام ارسال شده، عمل صورت پذیرفته و تأیید آن داده می‌شود. عمل این کارمند ممکن است برای مدت قابل ملاحظه‌ای کشف نشود.
5- یک پیام ممکن است از طرف یک مشتری برای خرید سهام به کارگزار او فرستاده شود. متعاقباً ممکن است قیمت سهام پائین آمده و مشتری ارسال چنین پیامی را انکار کند. اگر چه این لیست به هیچ وجه تمام تهدیدهای امنیتی را پوشش نمی‌دهد، ولی نمایش‌گر محدوده وسیع امنیت است.

در طراحی یک مکانیسم یا الگوریتم امنیتی به خصوص، همیشه بایستی حملات مؤثر بر علیه آن ویژگی امنیتی را در نظر داشت.
در هنگام طراحی یک مکانیسم یا الگوریتم امنیتی به خصوصی، باید در نظر گرفت که نباید از راه‌کارهای تکراری استفاده کرد، بلکه برای ایجاد امنیت فوق العاده باید از ابتکار و خلاقیت‌های مبتکرانه نوین بهره برد.
وقتی که مکانیسم‌های متفاوت امنیتی طراحی شدند، لازم است تصمیم گرفته شود که در کجا باید از آن‌ها استفاده کرد. این امر هم در مورد محل فیزیکی آن‌ها (این‌که مکانیسم‌های امنیتی در کدام نقطه شبکه مورد نیازند) و هم در مفهوم منطقی آن‌ها (این‌که مکانیسم‌های امنیتی در کدام لایه و یا لایه‌های معماری، مثل tcp/ip، باید گنجانده شوند) صحیح می‌باشد.
مکانیسم‌های امنیتی معمولاً شامل بیش از یک الگوریتم و یا یک پروتکل هستند. آن‌ها معمولاً اشخاص را مقید می‌کنند تا برخی اطلاعات سری را در اختیار داشته باشند (مثلاً یک کلید رمزنگاری) که این خود سؤالاتی در زمینه تولید، توزیع و حفاظت از این اطلاعات سری را مطرح می‌سازد. هم‌چنین اتکاء به رفتار برخی پروتکل‌های ارتباطی ممکن است وظیفه طراحی مکانیسم‌های امنیتی را با مشکل مواجه سازد.
به عنوان مثال: اگر عمل‌کرد صحیح یک مکانیسم امنیتی نیاز به محدود کردن زمان انتقال یک پیام فرستنده و گیرنده را داشته باشد، آن‌گاه هر پروتکل یا شبکه‌ای که تأخیر زمانی و متغیر و یا غیر قابل انتظاری در ارسال پیام را ایجاد نماید، ممکن است این معیار امنیتی را بی‌معنی سازد.
حملات به اینترنت و سیستم‌های متصل به اینترنت پیچیده‌تر شده در حالی که مهارت و معلومات لازم برای کاهش این خطرات کاهش یافته است. در ضمن، حملات فرم خودکارتری به خود گرفته و می‌توانند صدمات بیشتری را وارد نمایند.
معماری یک شبکه بسته به نیاز امنیتی آن تغییر می‌یابد تا مخاطرات بدون اتلاف زیاد منابع به حداقل رسد و بازدهی امنیتی شبکه با توجه به امکانات موجود حداکثر شود. این موضوع که از موارد جدید علم امنیت سخت افزار است در سال‌های اخیر رشد چشم‌گیری داشته است.
برای تعیین نیازهای امنیتی یک سازمان، و برای ارزیابی و انتخاب خط مشی‌ها و محصولات امنیتی مختلف، مدیر مسؤول امنیت نیازمند یک روش سیستماتیک برای تشخیص نیازهای امنیتی و مشخص کردن روش‌های تأمین آن نیازهاست. این امر خود به قدر کافی در یک محیط متمرکز پردازش داده‌ها پیچیده بوده و در صورت استفاده از شبکه‌های lan و wan پیچیدگی آن چندین برابر می‌شود.

معماری امنیت osi[SUP]1[/SUP]

حمله امنیتی: هر عملی که امنیت اطلاعات متعلق به یک سازمان را به مخاطره اندازد.
مکانیسم امنیتی: ساز و کاری که برای تشخیص، جلوگیری و یا به خود آمدن از یک حمله امنیتی به کار رود.
سرویس امنیتی: سرویسی که امنیت سیستم‌های پردازش اطلاعات و انتقال اطلاعات در یک سازمان را ارتقاء بخشد.

هدف این سرویس‌ها مقابله با حملات امنیتی می‌باشد و از یک یا چند مکانیسم امنیتی برای فراهم آوردن سرویس استفاده می‌کنند.

پیاده‌سازی و تست بستر امن
تجهیزات شبکه از منظر تئوری امن هستند و استفاده صحیح از آن‌ها از این دیدگاه مشکلات امنیتی باقی نمی‌گذارد، اما در عمل چنین نیست و اکثر قریب به اتفاق تجهیزات سخت ‌افزاری از تکنولوژی‌هائی استفاده می‌کنند که با کمی تلاش قابل شکستن است (به دلیل تأخیر زمانی سخت‌افزار با تکنولوژی (به عنوان مثال شبکه‌‎های بی‌سیم wifi) تقریباً بدون استثناء قابل شکست هستند، در حالی‌که سازمان‌های بسیاری از این‌گونه شبکه‌ها استفاده می‌کنند، غافل از این‌که نفوذگری در پس دیوارهای سازمان به راحتی می‌تواند تراکنش‌های سازمان را شنود کرده و حتی تغییر دهد و شبکه را مختل نماید.

پیاده سازی و تست یک بستر امن می‌تواند خیال یک سازمان را از بابت این‌گونه مخاطرات که حتی ممکن است به مخیله طراحان شبکه نیز خطور نکند، ایمن سازد.

1- از کلمات Open Systems Interconnect اقتباس و يک مدل مرجع در خصوص نحوه ارسال پيام بين دو نقطه در يک شبکه مخابراتی و ارتباطی است. هدف عمده مدل OSI، ارائه راهنمائی‌های لازم به توليد کنندگان محصولات شبکه‌ای به منظور توليد محصولات سازگار با يکديگر است.

مهندس موسوی · 2014-09-26

قسمت چهارم:

حملات امنیتی
در ابتدا آماری از حملات از سازمان Cert را ملاحظه کنیم، تا به اهمیت امنیت شبکه پی ببریم. قبل از آن شاید برای شما جالب باشد که تیم امنیتی Cert به دلیل یک کِرم تأسیس شد که در دوم نوامبر ۱۹۸۸ روزی است که “رابرت تاپان موریس” ۲۳ ساله کرم خود را ریخت! وی فارغ‌التحصیل دانشگاه کورنل بود؛ با نوشتن یک برنامه مخرب توانست اولین کرم اینترنتی را رها کند و باعث فلج شدن بیش از ۶ هزار سیستم کامپیوتری شود. همین کرم باعث و بانی یک خیر بزرگ شد. در واقع کرم موریس الهام‌بخش تأسیس تیم دولتی ضد تروریسم با نام CERT شد که هدف آن مبارزه با کرم‌های موریس آینده است.

ردیف	سال حمله (به میلادی)	تعداد حملات
1	1988	6
2	1989	132
3	1990	252
4	1991	406
5	1992	773
6	1993	1/334
7	1994	2/340
8	1995	2/412
9	1996	2/573
10	1997	2/134
11	1998	3/734
12	1999	9/859
13	2000	21/756
14	2001	52/658

نمونه‌هائی از حملات:
کوین پولسن” در سال ۱۹۸۳ یک دانشجو بود , توانست آرپانت را هک کند. آرپانت یک شبکه جهانی بود با رخنه پولسن به‌طور مؤقتی در کنترل وی قرار گرفت. “ولادمیر لوین” روسی فارغ‌التحصیل دانشگاه سن‌پترزبورگ بود توانست در سال ۱۹۹۵ کامپیوترهای Citibank را متقاعد کند ۱۰ میلیون دلار از حساب دیگر مشتریان به حساب شخصی وی واریز کنند. لوین حتی این مبلغ را به دیگر حساب‌هایش در انگلیس، فنلاند، هلند، آلمان و اسرائیل منتقل کرده بود.
شاید شما هم به دنبال شهرت باشید؟ این کسب شهرت برای یک پسر بچه که هویت واقعی‌اش به‌خاطر کم سن و سالی فاش نشده است، درد سر آفرید. این کودک کانادایی که به “مافیا بوی” شهرت یافته است به خاطر نفوذ به بزرگ‌ترین سایت‌های اینترنتی دنیا مثل آمازون، یاهو و ebay در فوریه سال ۲۰۰۰ دستگیر شد. او توانسته بود این سایت‌ها را به مدت یک هفته از کار بیندازد. مافیا بوی با این اقدام خود ۷۵ کامپیوتر را در ۵۲ شبکه از کار انداخته بود.
حال تصور کنید پای اینترنت نشسته‌اید و هر سایتی را که باز می‌کنید با این جمله روبرو می‌شوید: “کلیک تولدت مبارک”. چه اتفاقی افتاده است؟ حتماً طرف‌داران کلیک از سرتاسر دنیا خواسته‌اند با هک‌کردن این سایت‌ها سالگرد تولد کلیک را دسته‌جمعی جشن بگیرند! برای اولین بار جان تی دراپر (John T. Draper) در سال ۱۹۷۲ کاری کرد که موجب شد فناوری جدید هک متولد شود.

آشنائی با انواع حمله‌ها
حمله‌ها به دو دسته فعال و غیر فعال تقسیم می‌شوند:
حمله‌های غیر فعال: حملات غیر فعال دارای ماهیت استراق سمع و یا شنود اطلاعات انتقال یافته است. هدف دشمن در این نوع حمله، دست‌یابی به اطلاعات است و دو نوع حمله غیر فعال، یک افشای محتویات پیام و دیگری تحلیل ترافیک است.
استراق سمع Eavesdropping: در این نوع حمله، وقتی که مثلاً کاربر A به كاربر B پیامی ارسال می‌کند، نفوذگر به آن پیام صوتی یا نوشتاری دسترسی پیدا می‌کند.
تجزیه و تحلیل ترافیک Traffic Analysis: فرض کنید با روشی محتویات پیام و یا سایر اطلاعات ترافیکی را طوری تغییر داده‌ایم که نفوذگر، حتی اگر پیام را سرقت کنند، نتواند اطلاعات آن را استخراج نماید. در این نوع حفاظت ما از رمز نگاری فایل استفاده می‌کنیم، اما در هر صورت نفوذگر حرفه‌ای می‌تواند الگوی رمز نگاری شده بر روی پیام را کشف کند. نفوذگر می‌تواند محل و هویت طرفین ارتباط را تعیین کرده و از تعداد و طول پیام‌هائی که بین آن‌ها رد و بدل می‌شود، آگاه شود.

حمله‌های غیر فعال: این نوع حملات شامل ایجاد تغییرات در جریان داده‌ها و یا خلق جریان جدیدی از داده‌هاست، و می‌توان آن‌ها را به چهار دسته تقسیم کرد.

حمله نقاب‌دار یا جعل هویت Masquerade: یک حمله نقاب‌‌دار وقتی صورت می‌پذیرد که شخصی وانمود کند که شخص یا فرد دیگری است، به عبارتی گویاتر تغییر هویت می‌دهد و خود را شخص دیگری معرفی می‌کند.
باز خوانی Replay: شامل دزدیدن غیر فعال واحدهای دیتا و ارسال مجدد آن‌ها با تأخیر، برای ایجاد یک اثر مخرب است. این نوع حمله زمانی رخ می‌دهد که مهاجم اطلاعاتی از قبیل نام کاربری و رمز عبور را یافته و هم‌چنین پیام‌های قبلی سیستم را در خود ذخیره می‌کند و در هنگام قطع شدن اتصال یا Session مربوطه مجدداً اقدام به استفاده از این اطلاعات می‌کند و خود را به عنوان یکی از طرف‌های مورد اعتماد در ارتباط معرفی می‌کند. یکی از روش‌های مقابله در مقابل این‌گونه حملات استفاده از یک مجموعه از شماره‌های تصادفی و رشته‌های تصادفی به نام Nonce است. اگر فرض کنیم که محمد بخواهد با علی ارتباط برقرار کند، با اولین پیغام خود به علی یک Nonce برای وی ارسال می‌کند، زمانی که علی به محمد پاسخ می‌دهد Nonce را نیز به محمد باز می‌گرداند تا ثابت کند که این علی است که قصد ارسال مجدد اطلاعات به محمد را دارد. هر شخص دیگری که بخواهد وارد این ارتباط بشود نمی‌تواند از Nonce جدید استفاده کند. روش دیگری که برای ایمن سازی در مقابل این‌گونه حملات وجود دارد، این است که در هنگامی که محمد قصد ارسال اطلاعات را دارد به اطلاعات ایجاد شده فاکتور زمان را نیز اضافه می‌کند یا به قولی به اطلاعات خود Timestamp را نیز اضافه می‌کند. این پارامتر زمانی، نشان دهنده زمانی است که پیام ارسال شده است، بنا بر این اگر کسی مجدداً قصد استفاده از این اطلاعات را داشته باشد مشخص می‌شود که در همان زمان قبلی از این اطلاعات استفاده نشده است و اطلاعات جدید نامعتبر هستند.
تغییر پیام Message Notification: تغییر پیام به سادگی دارای این معنی است که بخشی از یک پیام قانونی تغییر داده شود، یا این که پیام‎ها تأخیر یافته یا نظم آن‌ها بر هم زده شود تا نهایتاً با اثری غیر مجاز گردند.
محروم سازی از سرویس Denial of Service: این نوع حملات با هدف خارج کردن منبع اطلاعاتی از سرویس، به گونه‌ای که دیگر آن منبع قادر به ارائه سرویس به دیگران نبوده و نتواند تبادل اطلاعات درستی با کاربرانش داشته باشد، انجام می‌شود. حملات DDOS یا خارج از سرویس کردن به صورت توزیع شده، برای حمله به هدف مورد نظر از چندین کامپیوتر مختلف استفاده می‌کنند، در این‌گونه حملات نرم‌افزارهای حمله به هدف بر روی تعداد زیادی از کامپیوترهای موجود در شبکه ارتباطی نصب می‌شوند، این نصب شدن حتی از دید مالک سیستم هم مخفی می‌ماند و صاحب سیستم از این‌که این نرم‌افزارها بر روی سیستم او نصب شده‌اند کاملاً بی‌خبر است، زمانی که تعداد این‌گونه ماشین‌های طعمه زیاد شد، مهاجم به این تعداد کثیر از کامپیوترها دستور می‌دهد که حملات خود را به یک هدف تعیین شده شروع کنند و سرور مورد نظر به دلیل عدم توانایی در پاسخ‌گویی به این حجم زیاد از درخواست‌ها از سرویس خارج شده و به اصطلاح Overwhelm یا دست‌پاچه می‌شود.
کارشناسان امنیت نیز بایستی سیستم‌های شبکه خود را به صورت متناوب اسکن کرده و آثار هک و موارد مشکوک از جمله نقاط ضعف امنیتی را مرتباً بررسی کنند. به دلیل این‌که مرحله اسکن کردن سیستم‌های هدف اولین مرحله در انجام حملات هکری است، ما با بررسی وضعیت شبکه و کنترل اسکن‌هایی که از یک سیستم می‌شود، می‌توانیم از بروز حمله قبل از آن مطلع شده و جلوی روی دادن آن را بگیریم.
هر سیستم اطلاعاتی و شبکه کامپیوتری راه‌کارهای امنیتی مخصوص به خود را دارد و این راه‌کارها بر اساس سرویس‌های امنیتی مورد نیاز آن شبکه تعریف می‌شوند.
سرویس‌های امنیتی توسط استانداردهای مختلفی بیان شده که شاید مهم‌ترین استاندارد X.800 باشد.
این استاندارد برای امنیت هشت بعد مختلف قائل شده است که عبارتند از:

حفظ حریم خصوصی (Privacy)
قابلیت دسترسی (Availability)
صحت داده‌ها (Data Integrity)
امنیت ارتباطات (Communication Security)
محرمانگی داده‌ها (Data Confidentiality)
انکارناپذیری (Non-Repudiation)
احراز اصالت (طرفین) (Authentication)
کنترل دست‌یابی (Access Control)