- تاریخ ثبتنام
- 2014-01-12
- نوشتهها
- 889
- پسندها
- 0
- امتیازها
- 16
- سن
- 37
- محل سکونت
- تهران، پاسداران
- وب سایت
- www.irsapro.ir
بسم الله الرحمن الرحیم
این جزوه آموزشی توسط مرکز توسعه آموزش مجازی پارس تدارک دیده شده، که توسط بنده تایپ، ویرایش و تکمیل شد تا جزوهی جامعتری برای دوستداران امنیت شبکه باشد.
در این جزوه سعی شده که مباحث کامل باشد و لذا برای هر مبحثی که در این مقاله آمده است مقالهی دیگری در این بخش تدارک خواهم دید تا در عین آموزش امنیت شبکه به مباحث دیگر آشنائی پیدا کنید.
با ما همراه باشید...
مهندس موسوی
قسمت اول:
امنیت شبکه یا Network Security پردازهای است که طی آن یک شبکه در مقابل تهدیدات داخلی و خارجی امن میشود. یکی از پردازههای بسیار مهم که باید در هر شبکه اعمال شود امن کردن آن است، بدین صورت که با امن کردن شبکه از خطرات هک، نفوذ و تخریب که ممکن است خسارات مالی و جانی در بر داشته باشد در امان خواهیم ماند. استفاده از سختافزارهای دارای استاندارد و نرافزارهای قدرتمند و کرک[SUP](1)[/SUP] نشده یکی از راههای روش محکم و امن کردن شبکه است. در کنار استفاده از سخت و نرمافزارها، شناسائی و بستن پورتهائی که از آنها استفاده نمیشود بسیار ضروری است، زیرا که یک هکر برای نفوذ و سوء استفاده از این پورتها استفاده میکند.
شبکههای بزرگتر بیشتر در معرض تهدید میباشند، به این دلیل که در این شبکهها از منابع شبکهای فراوانی مانند روتر، سوئیچ، فایروال، مسیریابی، پیکربندی و پیادهسازی، اطلاعات و پایگاههای متصل به شبکه، دسترسیها، ترمینالها، اطلاعات در حال تبادل، و... برای آن استفاده میکنند که بعضی از آنها یا به دلیل نقص فنی یا باگ[SUP](2)[/SUP] و یا باز بودن پورت[SUP](3)[/SUP] باعث میشود که امنیت شبکه کمتر شود، از این رو برای امن کردن هر شبکه باید اقدامات لازم و جدی انجام داد.
به عنوان مثال شبکه یا ISPهای کشور: برخی از ISPها مدتی است که از تکنیکهای امنیتی خاصی استفاده میکنند از قبیل: MAC Filtering،[SUP](4)[/SUP][SUP])[/SUP] SOAP[SUP](5)[/SUP]، IBSNG[SUP](6)[/SUP] و… که این مسئله باعث میشود این آی اس پیها امنیت بالاتری داشته باشند و درصد هک کردن حساب کاربری مشترکین کم باشد.
به هنگام ایجاد شبکه باید دقت داشت که در صورت امکان از پیشرفتهترین تکنولوژی استفاده کرد، در غیر این صورت در هر گام برای ایجاد امنیت فوق العاده باید تجدید نظر کرد و آن را بهتر و بیشتر بررسی نمود و نقاط ضعف آن را از بین برد، تا شبکه امنتری داشته باشیم.
حمله:
حملهها میتوانند خطرناک یا غیر خطرناک باشند، اما نفوذ به یک شبکه برای صاحب آن میتواند خطری جدی باشد و به مثابه آژیر خطر است که باید نسبت به امن کردن شبکه خود اقدام کند. حملهها میتوانند برای سوء استفادههای جدی و غیر جدی صورت گیرند که برای استفاده و یا تغییر در سرویس صورت میگیرند و به سه دسته تقسیم میشوند که عبارتند از:
1- دسترسی غیر مجاز به اطلاعات شبکه.
2- دستکاری و تغییر غیر مجاز شبکه.
3- ایجاد اختلال در شبکه یا Denial of Service که حمله محروم سازی از سرویس به آن نیز گفته میشود.
در دو دسته اول دسترسی غیر مجاز به اطلاعات شبکه و تغییر در آن است که این نفوذ میتواند برای دیدن سیاست امنیتی آن شبکه صورت گرفته باشد و یا برای ایجاد تغییراتی که یا برای نفوذگر در نظر نگرفته شده و میخواهد آنها را اعمال کند و یا از تغییرات سوء اسفاده کند. این نفوذ میتواند بر روی خود شبکه صورت گیرد و میتواند شامل رایانههای متصل به شبکه مانند سرورهای پایگاه داده و وب و یا اطلاعات در حال رد و بدل باشد.
هدف از ایجاد امنیت شبکه ثابت کردن محرمانگی داده، نگهداری جامعیت داده و نگهداری در دسترس بودن داده است.
تحلیل خطر:
چنانچه متوجه نقطه ضعف یا عوامل تهدید کننده و یا نفوذگر به شبکه شدیم باید خطرات مختلف را ارزیابی کرد تا بتوان از پیشرفت تهدید جلوگیری کرد و شبکه امنتری ایجاد کرد. یک مدیر شبکه باید احتمالات انجام حمله را حساب کند و بر اساس حساب احتمالات شبکه امنتری ایجاد کند تا ریسک آن به مراتب کمتر شود. با پیشگیری میتوان حتی در صورت حمله و یا نفوذ خسارات وارده را به حد اقل رساند، وقتی که شبکه از هر لحاظ محکم و امن باشد، هیچ حملهای قادر به نفوذ جدی و وارد کردن خسارات زیاد نخواهد بود.
به یاد داشته باشیم که برای ایجاد و یا ساخت یک شبکه حتماً باید سیاست امنیتی داشته باشیم تا طبق آن پس از تحلیل خطرات پیش رویم. این سیاست باید در بر دارنده تقویت شبکه، احتمال خطرات، میزان مقاومت در برابر حمله، میزان خسارت بعد از نفوذ و... را مشخص کرده باشد، تا صورت حمله ناگهانی مدیران شبکه زمینه لازم را داشته باشند تا از آن محافظت نمایند. در عموم گذاشتن این سیاست بدون جزئیات بسیار ضروری است. سیاسیت امنیت از چند لحاظ مهم است:
- چه و چرا باید محافظت شود.
–چه کسی باید مسؤولیت حفاظت را به عهده بگیرد.
–زمینهای به وجود آورد که هر گونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی به طور کلی به دو دسته تقسیم میشوند:
مجاز: (Permissive) هر آنچه به طور مشخص ممنوع نشده است، به عبارتی مجاز است.
محدود کننده: (Restriactive) هر آنچه به طور مشخص مجاز نشده است، به عبارتی ممنوع است.
معمولاً ایده محدود کننده در سیاست امنیت شبکه پیشنهاد میشود چون سیاستهای مجاز دارای مشکلات امنیتی است و نمیتوان تمامی موارد غیر مجاز را بر شمرد.
1- شرکتهای تولید نرمافزار مانند نرمافزارهای ویندوز، فتوشاپ، آفیس، بازیهای کامپیوتری و... برای جلوگیری از کپیبرداری غیر قانونی کدهائی برای هر نرمافزار تدارک میبینند تا با استفاده از این کدها یا سریالها، کاربر را مجبور به خرید نرمافزار کرده و درآمد بیشتری حاصل کنند، بعضی از کاربران حرفهای قفل این نرمافزارها را شکسته و برای آنها شماره سریال و یا کرک میسازند که با نصب آن نرمافزار فعال شده و محدودیت آن برطرف و بدون مشکل قابل استفاده میشود، به این کاربران به اصطلاح کراکر گفته میشود.
2- باگ مشکلی است که در یک برنامه رخ داده و باعث از کار انداختن کلی آن یا اجرا نکردن دستور یا دستورات بعدی به صورت ناقص یا کامل میگردد. این مشکل در زمانی خطرناکتر میشود که برنامه قصد انجام عملیاتی خاص و مهم همچون چک کردن نام کاربری و کلمهی عبور را داشته باشد. فکر کنید در یک پیج سایت که قسمت ورود کاربر تهویه شده است پیج بدون فیلتر کردن دادههای ورودی از طرف کاربر فقط سعی به اجرا کردن آنها را دارد در این هنگام کاربری اسکریپتی را وارد میکند و چون این دادهها فقط پردازش میشوند پس میتواند برای سایت یک عامل خطرناک محسوب شده و باعث اختلال در عملکرد آن گردد.
3- پورت در معنا به معنی درگاه است و برای رد و بدل کردن اطلاعات بین دو کامپیوتر استفاده میشود. (محلی است که دادهها وارد یا خارج میشوند) دو نوع پورت فیزیکی و مجازی وجود دارد.
4- MAC Filter برای افزایش امنیت شبکه وایرلس به کار میرود.
5- SOAP مخفف Simple Object Access Protocol است. پروتکلی ساده برای تبادل ساده پیامهایی از جنس اکسامال بر روی شبکههای رایانهای.
6- IBSng، نرم افزار مدیریت و حسابداری کاربران اینترنت، اینترانت و VoIP میباشد. این نرم افزار به صورت یکپارچه سرویسهای Dialup(Analog/E1), Lan Accounting, Wireless, ADSL, VoIP و SMS را کنترل میکند
این جزوه آموزشی توسط مرکز توسعه آموزش مجازی پارس تدارک دیده شده، که توسط بنده تایپ، ویرایش و تکمیل شد تا جزوهی جامعتری برای دوستداران امنیت شبکه باشد.
در این جزوه سعی شده که مباحث کامل باشد و لذا برای هر مبحثی که در این مقاله آمده است مقالهی دیگری در این بخش تدارک خواهم دید تا در عین آموزش امنیت شبکه به مباحث دیگر آشنائی پیدا کنید.
با ما همراه باشید...
مهندس موسوی
قسمت اول:
امنیت شبکه یا Network Security پردازهای است که طی آن یک شبکه در مقابل تهدیدات داخلی و خارجی امن میشود. یکی از پردازههای بسیار مهم که باید در هر شبکه اعمال شود امن کردن آن است، بدین صورت که با امن کردن شبکه از خطرات هک، نفوذ و تخریب که ممکن است خسارات مالی و جانی در بر داشته باشد در امان خواهیم ماند. استفاده از سختافزارهای دارای استاندارد و نرافزارهای قدرتمند و کرک[SUP](1)[/SUP] نشده یکی از راههای روش محکم و امن کردن شبکه است. در کنار استفاده از سخت و نرمافزارها، شناسائی و بستن پورتهائی که از آنها استفاده نمیشود بسیار ضروری است، زیرا که یک هکر برای نفوذ و سوء استفاده از این پورتها استفاده میکند.
شبکههای بزرگتر بیشتر در معرض تهدید میباشند، به این دلیل که در این شبکهها از منابع شبکهای فراوانی مانند روتر، سوئیچ، فایروال، مسیریابی، پیکربندی و پیادهسازی، اطلاعات و پایگاههای متصل به شبکه، دسترسیها، ترمینالها، اطلاعات در حال تبادل، و... برای آن استفاده میکنند که بعضی از آنها یا به دلیل نقص فنی یا باگ[SUP](2)[/SUP] و یا باز بودن پورت[SUP](3)[/SUP] باعث میشود که امنیت شبکه کمتر شود، از این رو برای امن کردن هر شبکه باید اقدامات لازم و جدی انجام داد.
به عنوان مثال شبکه یا ISPهای کشور: برخی از ISPها مدتی است که از تکنیکهای امنیتی خاصی استفاده میکنند از قبیل: MAC Filtering،[SUP](4)[/SUP][SUP])[/SUP] SOAP[SUP](5)[/SUP]، IBSNG[SUP](6)[/SUP] و… که این مسئله باعث میشود این آی اس پیها امنیت بالاتری داشته باشند و درصد هک کردن حساب کاربری مشترکین کم باشد.
به هنگام ایجاد شبکه باید دقت داشت که در صورت امکان از پیشرفتهترین تکنولوژی استفاده کرد، در غیر این صورت در هر گام برای ایجاد امنیت فوق العاده باید تجدید نظر کرد و آن را بهتر و بیشتر بررسی نمود و نقاط ضعف آن را از بین برد، تا شبکه امنتری داشته باشیم.
حمله:
حملهها میتوانند خطرناک یا غیر خطرناک باشند، اما نفوذ به یک شبکه برای صاحب آن میتواند خطری جدی باشد و به مثابه آژیر خطر است که باید نسبت به امن کردن شبکه خود اقدام کند. حملهها میتوانند برای سوء استفادههای جدی و غیر جدی صورت گیرند که برای استفاده و یا تغییر در سرویس صورت میگیرند و به سه دسته تقسیم میشوند که عبارتند از:
1- دسترسی غیر مجاز به اطلاعات شبکه.
2- دستکاری و تغییر غیر مجاز شبکه.
3- ایجاد اختلال در شبکه یا Denial of Service که حمله محروم سازی از سرویس به آن نیز گفته میشود.
در دو دسته اول دسترسی غیر مجاز به اطلاعات شبکه و تغییر در آن است که این نفوذ میتواند برای دیدن سیاست امنیتی آن شبکه صورت گرفته باشد و یا برای ایجاد تغییراتی که یا برای نفوذگر در نظر نگرفته شده و میخواهد آنها را اعمال کند و یا از تغییرات سوء اسفاده کند. این نفوذ میتواند بر روی خود شبکه صورت گیرد و میتواند شامل رایانههای متصل به شبکه مانند سرورهای پایگاه داده و وب و یا اطلاعات در حال رد و بدل باشد.
هدف از ایجاد امنیت شبکه ثابت کردن محرمانگی داده، نگهداری جامعیت داده و نگهداری در دسترس بودن داده است.
تحلیل خطر:
چنانچه متوجه نقطه ضعف یا عوامل تهدید کننده و یا نفوذگر به شبکه شدیم باید خطرات مختلف را ارزیابی کرد تا بتوان از پیشرفت تهدید جلوگیری کرد و شبکه امنتری ایجاد کرد. یک مدیر شبکه باید احتمالات انجام حمله را حساب کند و بر اساس حساب احتمالات شبکه امنتری ایجاد کند تا ریسک آن به مراتب کمتر شود. با پیشگیری میتوان حتی در صورت حمله و یا نفوذ خسارات وارده را به حد اقل رساند، وقتی که شبکه از هر لحاظ محکم و امن باشد، هیچ حملهای قادر به نفوذ جدی و وارد کردن خسارات زیاد نخواهد بود.
به یاد داشته باشیم که برای ایجاد و یا ساخت یک شبکه حتماً باید سیاست امنیتی داشته باشیم تا طبق آن پس از تحلیل خطرات پیش رویم. این سیاست باید در بر دارنده تقویت شبکه، احتمال خطرات، میزان مقاومت در برابر حمله، میزان خسارت بعد از نفوذ و... را مشخص کرده باشد، تا صورت حمله ناگهانی مدیران شبکه زمینه لازم را داشته باشند تا از آن محافظت نمایند. در عموم گذاشتن این سیاست بدون جزئیات بسیار ضروری است. سیاسیت امنیت از چند لحاظ مهم است:
- چه و چرا باید محافظت شود.
–چه کسی باید مسؤولیت حفاظت را به عهده بگیرد.
–زمینهای به وجود آورد که هر گونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی به طور کلی به دو دسته تقسیم میشوند:
مجاز: (Permissive) هر آنچه به طور مشخص ممنوع نشده است، به عبارتی مجاز است.
محدود کننده: (Restriactive) هر آنچه به طور مشخص مجاز نشده است، به عبارتی ممنوع است.
معمولاً ایده محدود کننده در سیاست امنیت شبکه پیشنهاد میشود چون سیاستهای مجاز دارای مشکلات امنیتی است و نمیتوان تمامی موارد غیر مجاز را بر شمرد.
1- شرکتهای تولید نرمافزار مانند نرمافزارهای ویندوز، فتوشاپ، آفیس، بازیهای کامپیوتری و... برای جلوگیری از کپیبرداری غیر قانونی کدهائی برای هر نرمافزار تدارک میبینند تا با استفاده از این کدها یا سریالها، کاربر را مجبور به خرید نرمافزار کرده و درآمد بیشتری حاصل کنند، بعضی از کاربران حرفهای قفل این نرمافزارها را شکسته و برای آنها شماره سریال و یا کرک میسازند که با نصب آن نرمافزار فعال شده و محدودیت آن برطرف و بدون مشکل قابل استفاده میشود، به این کاربران به اصطلاح کراکر گفته میشود.
2- باگ مشکلی است که در یک برنامه رخ داده و باعث از کار انداختن کلی آن یا اجرا نکردن دستور یا دستورات بعدی به صورت ناقص یا کامل میگردد. این مشکل در زمانی خطرناکتر میشود که برنامه قصد انجام عملیاتی خاص و مهم همچون چک کردن نام کاربری و کلمهی عبور را داشته باشد. فکر کنید در یک پیج سایت که قسمت ورود کاربر تهویه شده است پیج بدون فیلتر کردن دادههای ورودی از طرف کاربر فقط سعی به اجرا کردن آنها را دارد در این هنگام کاربری اسکریپتی را وارد میکند و چون این دادهها فقط پردازش میشوند پس میتواند برای سایت یک عامل خطرناک محسوب شده و باعث اختلال در عملکرد آن گردد.
3- پورت در معنا به معنی درگاه است و برای رد و بدل کردن اطلاعات بین دو کامپیوتر استفاده میشود. (محلی است که دادهها وارد یا خارج میشوند) دو نوع پورت فیزیکی و مجازی وجود دارد.
4- MAC Filter برای افزایش امنیت شبکه وایرلس به کار میرود.
5- SOAP مخفف Simple Object Access Protocol است. پروتکلی ساده برای تبادل ساده پیامهایی از جنس اکسامال بر روی شبکههای رایانهای.
6- IBSng، نرم افزار مدیریت و حسابداری کاربران اینترنت، اینترانت و VoIP میباشد. این نرم افزار به صورت یکپارچه سرویسهای Dialup(Analog/E1), Lan Accounting, Wireless, ADSL, VoIP و SMS را کنترل میکند
آخرین ویرایش: