جواب
سوالات سري اول درس شبكه هاي كامپيوتري
سؤال10:
چگونه مي توان شبكه هاي امن كامپيوتري ايجاد نمود و خواص اين نوع شبكه ها چيست ؟
سؤال11:
منظور از ساختارهاي Client/Server، 3-Tier، Peer To Peer و Master - Slave
چيست؟
سؤال12:
منظور از يك سايت كامپيوتري، وب سايت و سايت اطلاع رساني چيست؟
سؤال14:
قابليتهاي مودم هاي سنكرون را همراه با چند مثال نام ببريد؟
سؤال16:
منظور از سيستمهاي باز كامپيوتري چيست و روش ارتباطات پروتكل ها چگونه مي باشد؟
سؤال17:
منظور از پروتكلهاي مسير يابي چيست و چند نمونه را بيان كنيد؟
سؤال18:
روشهاي متداول Hacking كدامند؟
سؤال19:
آينده شبكه هاي كامپيوتري را چگونه ارزيابي مي كنيد؟
سؤال20:
ليستي از نمونه وب سايتهايي كه در رابطه با اين درس مي باشند را نام ببريد؟
اشتباه بزرگي كه اكثر افراد مرتكب مي
شود اين است كه براي سيستم خود يك خط مشي و يا Base Line بوجود نمي آورند.
اگر بتوان بصورت بلا درنگ حافظه فضاي
ديسك و ساير منابع را مورد كنترل قرار داد ووضيعت انها را چك نمود در صورت باز
بودن يك port و يا اشكال بوجود آمدن ، مي توان اقدامات مؤ ثري را قبل از آنكه مشكل
جدي بوجود آورد انجام داد. همچنين ايجاد نسخه پشتيبان از فايلها و تهيه گزارشها ي
دوره اي از وضيعت سيستم اقدامات مقيد ديگري است كه مي توان انجام داد . ابزاري كه
مديريت سيستم را در تشخيص تغييرات ياري مي نمايد به اسم trip
wire شناخته
مي شود .
نرم افزارهاي گمراه كننده (Spofing soft ware) :
معناي لغوي spofing كلاه برداري است ابزارهايي وجود
دارند كه با شبيه سازي يك سري از سرويسها ، مهاجم را گمراه نموده و از ورود او به
شبكه جلوگيري مي نمايد .
براي ايجاد شبكه هاي امن بايد
اطلاعات را رمزگذاري كرد . زماني كه رمزگذاري در لايه فيزيكي انجام مي شود ، واحد
رمزي را بايد بين هر كامپيوتر و رسانه فيزيكي قرار داد . هر بيتي كه كامپيوتر را
ترك مي كند ، رمزگذاري و هر بيتي كه واردكامپيوتر مي شود ، رمز گشائي مي شود .
براي ايمن نگه داشتن شبكه نه تنها بايد اطلاعات را از چشم نامحرمان حفظ كرد ، بلكه
بايد از جعل اطلاعات و گم شدن آنها جلوگيري بعمل آورد .
به همين دليل براي جلوگيري از جعل
شدن و يا باخبر شدن سارقين و محرمانه ماندن خبر نيز از الگوريتمهاي مختلف رمزنگاري
و پروتكل هاي SSI و ... مي توان استفاده كرد . در برخي از مواقع الگوهاي ترافيك نيز خود جزء
اطلاعات سري محسوب مي شوند . ( از طريق آدرس هاي مبدأ ، مقصد قابل استنتاج است ) .
مثلاً اگر در زمان جنگ ، دشمن متوجه شود حجم ترافيك پنتاگون واقع در واشنگتن بطور
ناگهاني كاهش چشمگير يافته است و به اندازه همين مقدار به ترافيك East
Podunk (پودانك شرقي)
افزوده شده است ، لازم نيست كه دشمن بهره هوشي 200 داشته باشد تا دريابد كه يك امر
غير عادي در جريان است . مطالعه طول و فركانس پيام توسط دشمن را ، «تحليل ترافيك»
مي گويند كه با درج مقدار زيادي ترافيك ساختگي مي تواند بسيار مشكل تر شود .
نامه هاي الكترونيكي و ديگر اطلاعاتي
كه به صورت الكترونيك ارسال مي شوند مثل كارت پستالهاي ديجيتال هستند و هر كسي مي
تواند به متن درون آن پي ببرد .سيستم هاي رمز نگاري ايمن مي كوشند تا امنيت اين
نوع مبادلات را تضمين كنند.
فرستادن نامه از طريق پست ممكن است
چند روز طول بكشد ولي در عوض داراي امنيت است.برخلاف اين روش پست الكترونيك به طرز
اعجاب آوري سريع است و به همان نسبت هم ميزان امنيت آن پايين ميآيد.يك راهكار براي
افزايش ايمني اين گونه مبادلات رمز كردن آنهاست يعني اينكه با استفاده از نرم
افزار هاي مخصوص آنها را در هم بريزيم تا براي افراد غير مجاز قابل خواندن
نباشد.از دهه هشتاد ميلادي تاكنون با گسترش الگوريتم هاي پيچيده و سخت افزار هاي
كامپيوتري قدرتمند سيستم هاي رمزنگاري بسيار قوي در اختيار ميلون ها نفر در سرتاسر
جهان قرار گرفتند.پيشرفت هاي فن آوري هاي جديد سيستم هاي رمزيي را به ما عرضه
خواهند كرد كه در برابر قوي ترين وپيشرفته ترين حملات هم مقاومت مي كنند.
از آنجاكه اينترانت ها عمدتا حاوي
اطلاعات يك سازمان يا شركت هستند امري بديهي است كه ازعمومي بودن و نفوذ كردن در
آنها به طريقي جلوگيري كنيم طبق تعريف اينترانت ها نبايد لزوما دسترسي به اينترنت
يا ديگرر شبكه ها را فراهم كنند باايجاد اين امكانيك سازمان ريسك پذيري خود را
بالابرده است . بدين طريق امكان انتقال ويروس افزايش پيدا مي كند .همچنين در هنگام
استفاده از مودم ها اتصال به ديگر شبكه ها و ... ممكن است نقطه ضعف هايي در امنيت ديده شود.بنابراين بسيار مهم است
كه طرح بسيار محكمي براي امنيت بريزيم.مشخص ترين دشمن خارجي hacker ها هستند اشخاصي كه از نظر تكنيكي
در سطح بالايي ميباشند.يك hacker ممكن است به اينترنت سازمان فقط به خاطر سرگرمي يا با ديد يك
پيروزي نفوذ كند.يا ممكن است رقباي سازمان يا شركت شخصي را براي نفوذ در اينترنت
سازمان به كار گرفته باشند كه اين شخص hacker ناميده مي شود در زير چند روش براي مراقبت از داده هاي شخصي ارائه
مي دهيم :
الف) از حفاظت كلمه عبور (password )براي محدود كردن
دسترسي به كامپيوتر برنامه ها و فايل هاي خود بهره بگيرد.
ب) وصله هاي نرم افزاري (patch ) موجود در پايگاه وب
ميكروسافت براي غير فعال كردن regwize و guid را از طريق آن پايگاه ( http://www.microsoft.com ) در يافت كنيد.
ج) اطلاعات محرمانه خود را از طريق
پيام هاي E - MAIL رمزي نشده ارسال نكنيد.
د) از رمزنگاري (ENCRYPTION ) كه اطلاعات را به يك حالت غير
فعال خواندن تبديل مي كند براي جل جلوگيري از فاش شدن نامه هاي E
- MAIL و اسناد خود
توسط افراد غير مجاز بهره بگيريد.
تعدادي از ويروس ها كاري جز تكثير و
اشغال فضا انجام نمي دند اگر چيزي داده ها را صدمه زند يا دسترسي به آن را جلوگيري
كند يك تخلف امنيتي رخ داده است .ويروس ها نگراني بزرگي براي تمام سيستم ها
ميباشند.ويروس ها از طريق شبكه و يا فايل هاي انتقال داده شده از برنامه هاي نرم
افزاري و نرم افزار هاي رايگان و حتي از نرم افزار هاي تهيه شده به سيستم وارد مي
شوند.ويروس ياب ها و حافظه هاي ويروسي دو نوع وسيله هستند كه مي توانند جهت حفاظت
سيستم مورد استفاده قرار گيرند.يك حافظه ويروسي نوعي برنامه است كه از زمان راه
اندازي تا خاموش نمودن سيستم در حافظه در تمام مدت در حال اجرا خواهد بود.يك حافظه
ويروس برنامه ها را قبل از اينكه اجرا شوند جهت شناسايي ويروس و جلوگيري از تكثير
آن ويا هر نوع صدمه ديگر مورد مطالعه و بررسي قرار مي دهد.
ساختار Client/Server :
Client :
در اين مدل نياز به خطوط ارتباطي پر
ظرفيتي نمي باشد و نيز امكانات سرور اصلي لازم نيست جامع باشد . نمونه كاربردهايي
را كه اين محيط دارد بيشتر در زمينه هاي درخواست اطلا عات بر اساس فرمهاي از پيش
ساخته شده مي باشد .صفحه هاي نمايش داده شده در اين روش داراي سرعت بالايي مي باشد
.
Server :
دراين مدل معمولا جهت كاربرد هايي
استفاده مي شود كه نياز Client مشخص نيست
و Client مي تواند انتخابهاي گوناگوني را داشته باشد .لذا در محيطهايي كه
نياز به جستجوي اطلا عات بانكها ي اطلاعاتي مطرح مي گردد . وتنوع گزارشها مي تواند
زياد باشد بكار گرفته مي شود . در اين مدل سعي مي شود بر اساس انتخابهايي كه در
اختيار كاربر قرار داده مي شود ساختار درخواست شكل بگيرد و بعدا درخواست به سمت Server فرستاده شود در اين مدل نياز به
سرويسهاي پر قدرت تر و كانالهاي با پهناي باند بيشتر مي باشد. در صورتي كه صفحه
هاي HTML در اختيار كاربر مناسب طراحي شده باشند نياز به خطوط ارتباطي با
پهناي باند و سرور پرقدرت كا هش مي يابد.
در اين سيستم ها Server
با ذخيره داده ها كه توسط Client ها
بصورت اشتراكي مورد استفاده قرار مي گيرد ، به ارائه خدمات به كامپيوترهاي متصل به
خويش مي پردازد . سيستم هاي Client و Server ارتباط بسيار نزديكي
به شبكه هاي توزيع شده دارند . وقتي نياز به فرآيندهاي محاسباتي باشد و داده ها و
برنامه ها مي توانند از كارگزار به Client ارسال
شوند ، با انجام محاسبات در Client ، بار كاري Server كاهش
يافته و در انتها نتايج به Server بازميگردد
. اين سيستم ها مي توانند از چندين Server كه با
يكديگر نيز ارتباط دارند ، تشكيل شوند . اين Server ها
مي توانند از بانك هاي اطلاعاتي نيز پشتيباني نمايند كه به دليل اشتراك مفاهيم آن
با معماري (Tine-Architecture) در سوالات بعدي توضيح دقيق تري از
آن ارائه خواهد گرديد .
ساختار 3-Tier :
ساختارهای 3_Tire ، ساختارهای سه
سطحی هستند که در شبکه های کامپيوتری امروزه دارای سه
لايه زير هستند :
_ لايه Presentation
يا لايه ارائه ، لايه ای است که
با مرورگرهای کاربران و يا در کل کامپيوترهای کاربران نهايی در
گير است .اين لايه ممکن است در برگيرنده سيستم های عامل متفاوتی که
کارتران از آن ها استفاده می نمايند باشد ،لذا بزرگترين مسئله اين لايه
مسئله استقلال از
Platform ها است .يعنی کاربرها يی
که بر اساس الگوی سه لايه ارائه مي شوند بايد برای platform
های متفاوت قابل استفاده باشند .
اين لايه از نظر فنی
وظيفه ارسال و دريافت اطلاعات از لايه ميانی را دارد.
_ لاِيه منطق تجاری
(Business logic ) ، در اين لايه server
های متعددی به پردازش تقاضای
کاربران از قبيل درخواست های web (web
Server )
، درخواست های email ،درخواستهای
مرتبط با تجارت الکترونيک و موارد مشابه می پردازد ودر کل منطق تجاری
سايت هاو کاربردهای توزيع شده را مدل می نمايند.
_ لايه داده ، اين
لايه وظيفه ارتباط لايه فوقانی را با پايگاه داده ای اعم از رابطه ای
يا غير رابطه ای برخوردار است و در اين حين بار بسياری از پردازشها در
لايه های بالايی توزيع شده واز ميان رفته است
ساختار Peer
To Peer :
دو Protocol
Stack را
كه از يك استاندارد پيروي كرده باشند و مشابه هم باشند را Peer
To Peer گويند.
مجموعه اي از سيستم هاي نرم افزاري و
سخت افزاري كه به يكديگر توسط يكي از پروتكل هاي شبكه به هم وصل شده اند و مي
توانند از اطلا عات يكديگر استفاده كنندو همچنين امكان اين را داشته باشند افراد
مختلف بتوانند از امكانات شبكه به اندازهاي مدير شبكه براي آنها تعيين كرده به طور
مشترك استفاده نمايند.
يك سايت اطلا ع رساني جامع بايد از
نظر اطلا عات ، سخت افزار ، نرم افزار ، كاربران ، محيط و ساير تجهيزات از جامعيت
كلي بر خوردار باشد. به اين مفهوم كه تمامي موارد بالا در آن تامين شده و هيچ جز
اضافي در سيستم وجود نداشته باشد همچنين تمامي اجزا آن با يكديگر سازگاري داشته و
هر يك از توان عملياتي بالايي برخوردار باشد.
سايت جامع اطلاع رساني داراي مزاياي
زير مي باشد :
1- بازدهي و كيفيت مطلوب كل سايت
2- امكان مديريت بهتر سايت
3- امكان توسعه ساده تر و با هزينه
كمتر
4- كاهش احتمال خرابي و افزايش تحمل
خرابي در سايت
5- افزايش سرعت در شبكه و ارائه
خدمات و سرويسهاي اطلا ع رساني
6- استفاده بهتر از منابع سايت
7- قابليت اطمينان بالا
8- امكان ساختار بندي و مديريت بهتر
اطلا عات
اجزاي سايت :
همانگونه كه در بخش پيشين نيز گفته
شد ، سيستم اطلاع رساني كامپيوتري عبارتست از يك يا چندين پايگاه اطلا عاتي و
مجموعه اي از كامپيوتر ها كه به كاربر امكان جستجو و مشاهده اطلا عات در قالبي
مشخص را مي دهد پس با يك ديد كلي مي توان اجزاي اصلي سايت اطلا ع رساني را به صورت
زير دسته بندي نمود:
1- اطلاعات
2- محيط اداري و فني
3- محيط سخت افزاري
4- محيط نرم افزاري
5- كاربران
Media در فارسي رسانه ترجمهشدهاست. االف ) كابل هاي مسي ب)فيبرهاي
نوري ج)امواج راديويي د) ماهواره ها ه) ماكروويو ر)امواج مادون قرمز ز) نورليزر
رسانههاي مغناطيسي: مانند نوار
مغناطيسي يا ديسك .
كابل جفت به هم تابيده(twisted pair): دو سيم مسي عايقدار به ضخامت 1 ميليمتر و بهصورت مارپيچ بههم
تابيده. مانند سيم تلفن.
كابل هممحور باند پايه(coax): دو نوع دارد50اهمي و 75 اهمي.
كابل هممحور پهن باند
فيبر نوري كه بسيار سريع است.خود
فيبر نوري ميتواند پهناي باند 50000 گيگا بايت در ثانيه را ارائه دهد و علت محدود
شدن آن به 1 گيگا بايت در ثانيه، عدم توانايي در تبديل سريع بين سيگنالهاي
الكتريكي و نوري است.
Carrier يك پالس يا موج الكترومغناطيسي منتقل
شده است كه ميتوان فركانس آن را تغيير داد .اين تغييرات مودلاسيون ناميده
ميشوند.
انواع مدولاسيون آنالوگ carrier :
amplitude modulation (AM)
frequency modulation (FM)
phase modulation
انواع مدولاسيون ديجيتالي :
pulse code
modulation (PCM)
pulse
amplitude modulation (PAM)
pulse position modulation (PPM)
Carrier detect يك سيگنال كنترلي بين مودم و كامپيوتر است كه
مشخص ميكند مودم يكlive carrier را كه ميتواند در ارسال و دريافت اطلاعات استفاده شود تشخيص دهد.
در صنعت مخابرات، carrier يك تلفن يا كمپاني ديگر است كه
سرويسهاي انتقال مخابراتي را ميفروشد يا اجاره ميدهد. local exchange carrier (LEC) يك كمپاني تلفن محلي است و inter-exchange
carrier (IEC or IXC) براي ارتباطات راه دور.
مودمهاي سنكرون از اولين ضريب يك
تكنولوژي انتقال شروع مي شود.همانند1*0/56=T1 مانند مودمهاي سنكرون PATTON
مودمهاي سنكرون در محيطهاي مخابراتي
ودر شبكه هاي مخابراتي بيت مراكز اصلي استفاده مي كنند
پروتكل PPP حامل كننده TCP/IP،PPP است وبراي اتصال به
اينترنت نياز است كه سرعت پايه آن 64يا N*64 است.
مودمهاي آسنكرون مودمهاي هستند كه
جهت ارتباط با شبكه مخابراتي استفاده مي نمايندسرعتهاي آسنكرون از چندبيت
تاماكزيمم اولين سرعت سنكرون شبكه مخابراتي مي باشد.
وقتي دو شبكه SNA(System
Network Architecture) و DEC توسط شركتهاي IBM و Digital Equipment به وجود آمدند. اين دو شبكه تنها از equipmentهاي
ساخت شركتهاي خودشان استفاده ميكردند. به همين دليل با يكديگر سازگار نبودند و
امكان تبادل اطلاعات بين دو شبكه به آساني ميسر نبود. به چنين سيستمهايي سيستمهاي
بسته اطلاق ميشود. براي افزايش قابليت انعطافپذيري شبكهها لازم است امكان
استفاده از equipmentهاي متنوع در شبكهها عملي گردد و
خريداران وابسته به يك توليدكننده نباشند. از طرفي امكان برقراري ارتباط بين شبكههاي
متفاوت نيز برقرار باشد. لذا ميبايستي امكاناتي فراهم آيد تا equipmentهاي
متنوع و ساخت كارخانجات متفاوت با يكديگر سازگار Complient شوند.
به خاطر هدف "Mix and Matching between tepes of equipment" استانداردهايي تحت عنـوان پروتكـلها
ايجاد شدنـد. با تدوين اين استانداردها كليه مشترياني كه از قوانين فوق تبعيت
بنمايند ميتوانند ارتباط داشته باشند به چنين سيستمهايي، سيستم باز گفته
ميشود.
Closed
System = DEC, SNA
Open
System = Ethernet, Token Ring
مسيرهاي پويا از طريق پروتكلهاي
مسيريابي ساخته مي شوند. پروتكلهاي مسير يابي بر اساس اين مفهوم كار مي كنند كه هر
مسيرياب شبكه
محل زندگي خود
را مي شناسد و مي تواند با شبكه هاي ديگر از طريق مسيريابهاي ديگر ارتباط برقرار
كند. نمونه هايي از اين پروتكلهاي مسير يابي RIF، DJPF و NLSP است.
يعني
اينكه به صورت غير مجاز وارد يك سايت كامپيوتري شده و بتوانيم درون اطلاعات آن
سايت تغييراتي ايجاد كرد ويا اطلا عاتي را از آن سايت به سرقت برد ويا باعث تخريب
اطلا عات آن سايت شد.Hacking يعني اينكه بتوان امنيت داخلي يك شبكه شكست و از
ديواره هاي Fire Wall آن گذشت و سيستم آن سايت در اختيار گرفت و افرادي كه اين كار را
انجام مي دهند Hacker ناميده مي شوند .
طبقهبندي
حملات به شبكه
گوناگوني
حملات به شبكه ميتوانند به اندازه سيستمهايي باشد كه آنها سعي در نفوذ به آنها
ميكنند. بعضي حملات كاملاً پيچيده و استادانه ميباشند در حالي كه بقيه بصورت
ناشناخته توسط اپراتور وسايل طرحريزي ميشوند. براي ارزيابي حملات گوناگون نياز
به شناخت بعضي محدوديتهاي ذاتي پروتكل TCP/IP ميباشد. هنگامي كه اينترنت شكل گرفت ، واحدهاي گوناگون دولتي و
دانشگاهها را به منظور تسهيل در امر يادگيري و تحقيقات به يكديگر متصل نمود.
معماران اصلي اينترنت هرگز پيشبيني استعمال اينترنت به شكلي كه امروزه ميباشد را
نكرده بودند. به عنوان يك پيآمد در اوايل تولد پروتكل اينترنت ( IP ) مسئله امنيت در خصوصيات آن
طراحي نشده بود. به همين دليل اكثر پيادهسازيهايي كه توسط IP انجام ميگيرد بصورت ذاتي ناامن
ميباشند. آيا تنها با گذشت ساليان زياد و ارائه RFCهاي
مختلف ابزارهاي لازم براي شروع گسترش IP بصورت امن وجود دارد؟ چون پيشبينيهاي اختصاصي
جهت امنيت IP از ابتدا طراحي نشدهاند بنابراين تقويت پيادهسازيهاي
IP همراه با تلاشهايي جهت امنيت شبكه ، سرويسها و محصولات از اهميت خاصي
جهت كاهش دادن خطرات ذاتي پروتكل اينترنت برخوردار خواهد بود. در زير انواع
گوناگون حملات متداول موجود در شبكههاي IP وچگونگي كاهش دادن اين حملات و يا
مقابله با آنها را مورد بررسي قرار خواهيم داد.
Packet
Sniffers
Packet
Sniffer نرمافزاري
كاربردي است كه كارت شبكه را در وضعيت بيقاعده مورد استفاده قرار ميدهد ( وضعيت
بيقاعده به وضعيتي گفته ميشود كه كارت شبكه تمامي پاكتهايي كه از طريق كابل
شبكه فيزيكي دريافت ميكند را براي پردازش وارد يك برنامه كاربردي ميكند ) تا
تمامي پاكتهاي شبكه را كه از طريق يك حوزه برخورد اختصاصي ارسال شده بودند را ضبط
بكند. Snifferها امروزه بصورت قانوني جهت كمك به
رفع اشكال و تجزيه و تحليل ترافيك مورد استفاده قرار ميگيرند. با اين وجود چون
برنامههاي شبكهاي گوناگوني دادهها را بصورت متني ساده ( مانند telnet ، FTP ، POP3 و غيره ) ارسال ميكنند، يك Packet
Sniffer ميتواند
اطلاعات بااهميت و اغلب حساس مانند اسامي كاربرها و اسامي رمز را تهيه كند.
مشكل جدي
در رابطه با بدست آوردن اسامي كاربرها و اسامي رمز اين است كه اغلب كاربرها اسامي
ورود و اسامي رمز را در برنامهها و سيستمهاي مختلف مجدداً مورد استفاده قرار ميدهند.
در حقيقت ، كاربرهاي زيادي از يك اسم رمز جهت دستيابي به تمامي برنامهها و كارتهاي
اعتباري خود استفاده ميكنند. اگر يك برنامه كاربردي در وضعيت سرويسگيرنده- سرويسدهنده
اجرا شود و اطلاعات تعيين اعتبار بصورت متني ساده از طريق شبكه ارسال شود ، اين به
مثابه آن است كه همين اطلاعات تعيين اعتبار ميتوانند جهت دسترسي به ديگر منابع
خارجي اشتراكي مورد استفاده قرار گيرند. به اين دليل كه Hackerها
خصوصيات انساني را شناخته و از آنها استفاده ميكنند ( روشهاي حمله به حملات
مهندسي اجتماعي مشهور هستند ). مثالي از اين خصوصيات ميتواند بكارگيري اسامي رمز
يكسان در برنامههاي گوناگون باشد. آنها غالباً جهت بدست آوردن اطلاعات حساس موفق
ميباشند. در بدترين حالت يك Hacker به اعتبار كاربر در سطح سيستم دسترسي پيدا ميكند كه ميتواند با
استفاده از اين مساله يك اعتبار جديد براي خود ايجاد كرده و در هر زمان از آن به
عنوان يك در پشتي جهت وارد شدن به شبكه و بكارگيري منابع آن ، استفاده كند.
تهديدهاي
Packet Sniffers را ميتوان به روشهاي گوناگوني كاهش داد:
تعيين
اعتبار - اولين انتخاب جهت مقابله با Packet Snifferها
استفاده از يك تعيين اعتبار كارا و قوي ميباشد. تعيين اعتبار كارا ميتواند به
روشي باشد كه تعيين اعتبار كاربرها را به گونهاي انجام دهد كه براحتي قابل اشتباه
و قابل گول خوردن نباشد. يك مثال بارز از تعيين اعتبار كارا اسامي رمز one-time ميباشند ( OTP ). يك OTP گونهاي از تعيين اعتبار دو عامله
ميباشد. تعيين اعتبار دو عامله از تركيب چيزي با چيز ديگر كه دومي براي ما شناخته
شده ميباشد ، بدست ميآيد. ماشينهاي اتوماتيك گويا ( ATM ) مثالي از اين نوع
تعيين اعتبار ميباشند. يك مشتري به هر دو كارت ATM و شماره شناسايي شخصي ( PIN ) جهت معاملات نيازمند ميباشد.
با استفاده ازOTP شما نيازمند يك PIN و كارت رمزي خود جهت تعيين اعتبار به يك دستگاه يا يك نرمافزار
ميباشيد. يك كارت رمزي ابزار سختافزاري يا نرمافزاري است كه در فواصل زماني
معين (معمولاً هر يك دقيقه ) اسامي رمز جديد و ظاهراً تصادفي توليد ميكند. كاربر
براي ايجاد يك اسم رمز يكتا كه تنها جهت يك بار تعيين اعتبار بكار ميرود اسم رمز
تصادفي را با يك PIN تركيب ميكند. اگر يك Hacker آن اسم رمز را توسط يك Packet
Sniffer بدست
آورد ، آن اطلاعات بيفايده خواهد بود زيرا اسمرمز قبلاً اعتبار خود را از دست
داده است. بايد توجه داشت كه اين روش مقابله تنها در برابر پيادهسازيهاي Snifferي
كارآيي خواهد داشت كه جهت بدست آورد اسامي رمز مورد استفاده قرار ميگيرند. Snifferهايي
كه جهت بدست آوردن اطلاعات حساس
( مانند پيامهاي پست الكترونيكي ) بكار برده ميشوند بيتاثير خواهند بود.
زيرساختار
سوييچي - روش ديگر مقابله كردن با Packet Snifferها
در محيط خود قرار دادن يك زيرساختار سوييچي ميباشد. به عنوان مثال اگر يك سازمان
از اترنت بصورت سوييچي استفاده كند ، Hackerها تنها
ميتوانند به ترافيكي دسترسي داشته باشند كه بر پورت مخصوصي كه به آن متصل شدهاند
جاري ميباشد. يك زير ساختار سوييچي بطور صريح حملات Packet
Snifferها را از بين نميبرد ولي ميتواند تا حدود زيادي تاثير
آنها را كاهش دهد.
ابزارهاي
ضد Sniffing - روش سوم مقابله در برابر Snifferها
استفاده از نرمافزارها و سختافزارهاي تشخيص دهنده Sniffing بر روي شبكه ميباشد. چنين سختافزار
يا نرمافزاري بطور كامل حملات را از بين نميبرد ولي همانند بسياري از ابزارهاي
امنيتي در شبكه جزيي از كل سيستم خواهند بود. چنين ابزارهايي كه به " Anti-Sniffers " مشهور ميباشند
تغييرات در زمان جواب ميزبانها را از طريق پردازش مقدار بيشتر ترافيك نسبت به
حالت عادي تشخيص ميدهند. مثالي از چنين ابزار نرمافزاري امنيت شبكه كه قابل
دسترس از صنايع LophtHeavy ميباشد ، AntiSniff نام دارد. جهت اطلاعات بيشتر ميتوانيد به آدرس http://www.lopht.com/antisniff/ مراجعه كنيد.
رمز نگاري
- موثرترين روش مقابله با Packet Sniffer ها تشخيص آنها يا جلوگيري از آنها نميباشد ،
بلكه ترجمه پاكتها بصورت بيربط يا بصورت رمزي خواهد بود. اگر يك كانال ارتباطي
بصورت رمزنويسيشده ايمن باشد ، تنها دادهاي كه يك Packet
Sniffer تشخيص خواهد
داد متن رمزي ( رشتهاي از بيتها بصورت تصادفي ) خواهد بود و پيغام اصلي دريافت
نخواهد شد. آرايش رمزنويسي در سطح شبكه مربوط به شركت Cisco بر اساس امنيت IP ( Ipsec ) عمل ميكند. IPSec يك روش استاندارد جهت ارتباط
تجهيزات شبكه بصورت خصوصي از طريق IP ميباشد. ديگر پروتكلهاي رمزنويسي جهت مديريت شبكه شاملSecure
Shell ( SSH ) وSecure
Sockets Layer (SSL ) ميباشند.
IP
Spoofing
يك حمله IP
Spoofing هنگامي اتفاق
ميافتد كه يك Hacker از بيرون يا درون شبكه خود را به عنوان يك
كامپيوتر قابل اعتماد معرفي ميكند. يك Hacker اين عمل را به دو روش ميتواند
انجام دهد. يا از يك آدرس IP كه در محدوده آدرسهاي معتبر IP براي يك شبكه ميباشد استفاده ميكند
و يا از يك آدرس IP خارجي معتبر كه قابل اعتماد بوده و دسترسي به منابع مخصوص بر روي
شبكه را ميسر ميسازد ، بهره ميبرد. بهترين مثال در اين رابطه اقدام به يك حمله DoS با استفاده از آدرسهاي مبدا Spoof شده جهت مخفيكردن هويت Hacker ميباشد.
بطور
معمول ، يك حمله IP Spoofing محدود به تزريق كردن دستورات يا دادههاي
مغرضانه درون يك جريان دادهاي است كه مابين سرويسدهنده و سرويسگيرنده يا در يك
شبكه نظير به نظير در جريان ميباشد. براي فعال كردن ارتباط دوطرفه ، Hacker مجبور به تغيير تمامي جداول
مسيريابي جهت اشاره به آدرس IP ، Spoof شده ميباشد. روش ديگري كه بعضي مواقع Hackerها
انتخاب ميكنند بطور ساده نگران نبودن در رابطه با دريافت پاسخ از برنامههاي
كاربردي ميباشد. اگر Hacker سعي در بدست آوردن يك فايل مهم و حساس از سيستم كند ، پاسخهاي
برنامه كاربردي اهميتي نخواهند داشت.
با اين
وجود ، اگر Hacker موفق به تغيير جداول مسيريابي به سمت آدرس IP Spoof شده شود ، ميتواند تمامي پاكتهاي
شبكه كه به سمت آن آدرس Spoof شده متوجه ميباشند را دريافت كرده و به عنوان يك كاربر معتبر به
آنها پاسخ دهد.
حملات IP
Spoofing قابل
كاهش ميباشند ولي نميتوان آنها را كاملاً از بين برد. از روشهاي زير ميتوان
جهت مقابله با آنها استفاده نمود:
كنترل
دسترسي - بهترين روش مقابله با IP Spoofing ، پيكربندي مناسب كنترل دستيابي ميباشد. براي
كاهش تاثير IP Spoofing بايد كنترل دسترسي را به گونهاي تنظيم كرد كه
هرگونه ترافيك مربوط به شبكه خارجي كه داراي آدرس مبدايي است كه مربوط به شبكه
داخلي است را ناديده بگيرد. بايد توجه داشت كه اين روش تنها زماني از حملات Spoofing جلوگيري به عمل ميآورد كه آدرسهاي
داخلي تنها آدرسهاي معتبر باشند. اگر آدرسهاي خارجي معتبر نيز وجود داشته باشند
، اين روش موثر نخواهد بود.
فيلترينگ RFC
2827 -
همچنين ميتوانيد از عمل Spoofing كاربران يك شبكه بر عليه شبكههاي ديگر جلوگيري به عمل بياوريد (
و همزمان يك شهروند خوب شبكه باشيد ). اين عمل توسط جلوگيري كردن از هر گونه
ترافيك خروجي كه داري آدرس مبدا اي غير از محدوده IP مربوط به سازمان شما بر روي شبكه
است انجام ميپذيرد.ISP شما نيز قادر به اين نوع فيلترينگ خواهد بود كه تحت عنوان RFC
2827 قابل
مراجعه است. اين نوع فيلترينگ هر گونه ترافيكي كه آدرس مبدا اي غير از آدرسهاي
موجود در يك محيط اختصاصي داشته باشد را ناديده ميگيرد. به عنوان مثال اگر يك ISP ارتباطي را به آدرس IP 15.1.1.0/24 تدارك ديده است ، ميتواند تنها ترافيكي كه از آدرس 15.1.1.0/24 سرچشمه ميگيرد را از طريق رابط وارد راهبر ISP كند و در واقع فقط آن ترافيك را
فيلتر كرده و عبور ميدهد. بايد توجه داشت كه اگر تمامي ISPها
از اين نوع فيلترينگ استفاده كنند ، ميزان تاثير آن بطور قابل ملاحظهاي كاهش
خواهد يافت. همچنين هر چقدر مقدار اطلاعاتي كه از دستگاههاي مختلف بصورت فيلتر
شده دريافت ميكنيم بيشتر باشد ، به همان اندازه انجام اين فيلترينگ در سطح دانههاي
ريز ( Granular ) دشوارتر خواهد بود. به عنوان مثال ، اجراي فيلترينگ RFC
2827 در راهبر
دسترسي به اينترنت نيازمند اين است كه شما به شماره شبكه اصلي ( كه 10.0.0.0/8 ميباشد ) اجازه دهيد تا از راهبر دسترسي عبور كند. اگر شما
فيلترينگ را در سطح توزيع پيادهسازي كنيد ، خواهيد توانست فيلترينگهاي اختصاصيتري
را انجام دهيد ( مثلاً 10.1.5.0/24 ). موثرترين روش جهت مقابله با حملات Spoofing همان روش مقابله با Sniffing
ميباشد كه عبارت است از : برطرف كردن ميزان تاثير آن. IP
Spoofing تنها زماني
درست عمل ميكند كه دستگاهها از تعيين اعتباري بر پايه آدرسهاي IP استفاده كرده باشند. بنابراين اگر
از روشهاي تعيين اعتبار اضافي استفاده كنيد ، حملات IP
Spoofing خنثي خواهند
شد. تعيين اعتبار از طريق رمزنويسي بهترين شكل تعيين اعتبار اضافي ميباشد. ولي
زماني كه امكانپذير نباشد يك تعيين اعتبار دو عامله قوي كه از OTP استفاده ميكند نيز ميتواند موثر
باشد.
Denial of
Service
بطور حتم
رايجترين شكل حمله ميباشد. حملات DoS همچنين سختترين از لحاظ برطرف كردن بصورت كامل
ميباشند. حتي در بين انجمن Hacker ها نيز حملات DoS به عنوان چيزي جزيي و
بد فرم معروف ميباشند زيرا به تلاش بسيار اندكي براي اجرا كردن نياز دارند. با
اين وجود ، بدليل پيادهسازي آسان و صدمه قابل توجه ، حملات DoS شايان توجه بسيار از
طرف مسوولان امنيت ميباشند. اگر علاقمند به يادگيري بيشتر در رابطه با حملات DoS هستيد ، تحقيق در رابطه با روشهايي
كه توسط بعضي از بهترين حملات انجام گرفته ميتواند سودمند باشد. اين حملات شامل
موارد زير ميباشند.
TCP SYN Flood
Tribe Flood Network ( TFN ) and Tribe
Flood Network 2000 ( TFN2K )
Trinco
Stacheldraht
Trinity
يك منبع
عالي ديگر در رابطه با موضوع امنيت Computer Emergency Response Team (
CERT ) ميباشد.
آنها يك مقاله عالي در رابطه با حملاتDoS ارائه دادهاند كه ميتوانيد
در آدرس زير آن را پيدا كنيد :
http://www.cert.org/tech_tips/denial_of_service.html
حملات DoS از حملات ديگر متفاوت ميباشند
زيرا هدف آنها عموماً دسترسي به شبكه شما يا اطلاعات موجود در شبكه شما نميباشد.
اين حملات بر روي قابل دسترس نبودن يك سرويس بصورت عادي تمركز ميكنند كه معمولاً
از طريق گرفتن محدوديتهاي بعضي منابع بر روي شبكه و يا سيستمعامل و يا برنامه
كاربردي انجام ميپذيرند.
هنگامي كه
صحبت از برنامههاي كاربردي سرويسدهنده در شبكه مانند سرويسدهنده Web يا سرويسدهنده FTP به ميان ميآيد ، اين
حملات ميتوانند بر روي بدست آوردن و باز گذاشتن تمامي اتصالهاي قابل دسترس كه
توسط سرويسدهنده پشتيباني ميشوند تمركز داشته باشند. اين مساله بطور صريح توسط
قفل كردن كاربرهاي معتبر سرويسدهنده و يا سرويس انجام ميگيرد. اين حملات همچنين
ميتوانند با استفاده از پروتكلهاي عمومي اينترنت مانند TCP و يا پروتكل پيام كنترل اينترنت (
ICMP ) پيادهسازي شوند. اكثر اين حملات از يك ضعف در معماري كلي
سيستمي كه مورد حمله قرار ميگيرد استفاده ميكنند تا از ايرادهاي نرمافزاري و
يا حفرههاي امنيتي. با اين وجود بعضي حملات كارآيي كلي شبكه شما را از طريق جاري
كردن سيل توسط پاكتهايي كه ناخواسته و اغلب بيفايده هستند و توسط ارائه گزارشات
غلط در رابطه با وضعيت منابع شبكه به مخاطره انداخته و دچار مشكل ميسازند.
جلوگيري از اين نوع حمله اغلب به اين دليل كه نياز به هماهنگي و همكاري با تامين
كننده جريان upstream شبكه شما ميباشد ، بسيار دشوار
خواهد بود. اگر ترافيكي كه به منظور مصرف كردن پهناي باند قابل دسترس شما وجود
دارد در آنجا متوقف نشود ، از بين بردن آن در ورودي شبكه شما زياد جالب نخواهد بود
زيرا پهناي باند قابل دسترس شما قبلاً مصرف خواهد شد. هنگامي كه اين نوع حمله از
طريق سيستمهاي مختلف و بصورت همزمان انجام ميپذيرد به حمله DoS توزيعي يا DDoS مشهور ميباشد.
تهديدهايي
كه از طريق حمله DoS پيش ميآيند را ميتوان به يكي از سه روش زير كاهش داد :
خصوصيات Anti-Spoof - تنظيم مناسب
خصوصيات Anti-Spoof بر روي راهبرها و ديوارهاي آتش ميتواند احتمال زيان شما را كاهش
دهد. اين مساله حداقل شامل فيلترينگ RFC 2827 ميباشد. اگر Hacker ها قادر به پنهان كردن هويت خود نباشند ، هرگز حمله نخواهند كرد.
خصوصيات Anti-DoS - تنظيم مناسب خصوصيات Anti-DoS بر روي راهبرها و ديوارهاي آتش ميتواند
به محدود كردن ميزان تاثير يك حمله كمك كند. اين خصوصيات اغلب در رابطه با محدوديتهايي
هستند كه بر روي تعداد اتصالهاي نيمه بازي كه يك سيستم در هر زمان اجازه باز بودن
آنها را ميدهد ، وجود دارند.
محدود
كردن نرخ ترافيك - يك سازمان ميتواند محدودكننده نرخ ترافيك را از طريق ISP شما پيادهسازي كند. اين نوع
فيلترينگ ميزان ترافيك غير واقعي كه از طريق بخشهاي شبكه با يك نرخ واقعي عبور ميكند
را محدود ميكند. يك مثال بارز محدود كردن مقدار ترافيك ICMP ي است كه وارد يك
شبكه ميشود زيرا اين ترافيك تنها جهت مقاصد تشخيص ايرادها مورد استفاده قرار ميگيرد.
حملات DoS ي كه بر پايه ICMP انجام ميگيرند متداولتر هستند.
Password
Attacks
Hackerها
قادر به پيادهسازي حملات اسم رمز به روشهاي مختلفي مانند حمله Brute-force ، برنامههاي اسب
تروآ ، IP Spoofing و Packet Sniffers ميباشند. اگرچه Packet
Sniffers و IP
Spoofing قادر
به بدست آوردن اسامي كاربرها و اسامي رمز ميباشند با اين وجود حملات اسم رمز
معمولاً به تلاشهاي مكرر جهت شناسايي شناسه كاربري يا اسم رمز اطلاق ميشود. اين
تلاشهاي مكرر به حملات brute-force معروف ميباشند.
يك حمله brute-force اغلب از طريق بكارگيري برنامهاي
كه در طول شبكه اجرا شده و سعي در وارد شدن به يك منبع اشتراكي همانند يك سرور ميكند
، انجام ميپذيرد. هنگامي كه Hacker ها بصورت موفقيتآميزي به منابع دسترسي پيدا ميكنند
، آنها دقيقاً داراي همان حق و حقوقي هستند كه كاربراني كه جهت دسترسي به آن منابع
معرفي شدهاند، دارا ميباشند. اگر شناسههاي كاربريي كه بدست آوردهاند داراي
امتيازات ويژه باشد ، Hacker ها ميتوانند با استفاده از آنها براي دسترسيهاي
آتي بدون توجه به وضعيت يا تغيير در شناسههاي كاربري بدست آمده درهاي پشتي ايجاد
كنند.
مشكل ديگر
جايي است كه كاربران همان اسم رمز را بر روي هر سيستمي كه متصل ميشوند ، استفاده
ميكنند. اين مساله اغلب شامل سيستمهاي شخصي ، سيستمهاي شركتي و سيستمهاي
اينترنت ميباشد. چون آن اسم رمز تنها در حيطه ضعيفترين ميزباني امن ميباشد كه
حاوي آن است بنابراين اگر آن سيستم دچار مشكل شود ، Hacker ها يك محدوده كامل از ميزبانهايي
كه ميتوانند همان اسم رمز را بر روي آنها امتحان كنند ، در اختيار خواهند داشت.
در وهله
اول شما ميتوانيد از اين نوع حملات از طريق اعتماد نكردن به اسامي رمز متني ساده
جلوگيري به عمل بياوريد. استفاده از OTP و يا تعيين اعتبار بصورت رمزنويسي ميتواند
بصورت مجازي حملات اسامي رمز را از بين ببرد. متاسفانه تمام برنامههاي كاربردي ،
ميزبانها و يا دستگاهها از اين روشها تعيين اعتبار استفاده نميكنند. هنگامي كه
اسامي رمز استاندارد مورد استفاده قرار ميگيرند ، بايد اسم رمزي انتخاب كرد كه به
سادگي قابل پيشگويي و حدس زدن نباشد. اسامي رمز حداقل داراي 8 حرف بوده و در آنها
بايد از حروف بزرگ ، حروف كوچك ، شمارهها و كاراكترهاي خاص ( مانند # ، % ، $ و غيره )
استفاده شده باشد. بهترين اسامي رمز آنهايي هستند كه بصورت تصادفي توليد ميشوند
ولي بخاطر سپردن آنها دشوار ميباشد و اغلب اين مساله باعث نوشتن اسامي رمز بر روي
كاغذ و يا جاي ديگر خواهد شد كه به نوبه خود خطرناك ميباشد.
پيشرفتهاي
زيادي در رابطه با نگهداري اسامي رمز چه براي كاربران و چه براي مسوولان شبكه صورت
پذيرفته است. امروزه برنامههاي نرمافزاري وجود دارند كه ليستي از اسامي رمز را
بصورت رمزي در ميآورند تا در يك كامپيوتر دستي ذخيره شود. اين موضوع به كاربر اين
اجازه را ميدهد كه تنها يك اسم رمز پيچيده را به خاطر بسپارد و بقيه اسامي رمز را
بصورت ايمن در داخل برنامه كاربردي ذخيره كند. از ديدگاه مسوول شبكه روشهاي زيادي
جهت حمله brute-force به اسامي رمز كاربران وجود دارد. مثلاً روشي كه از جانب انجمن Hacker ها مورد استفاده قرار ميگيرد LophtCrack نام دارد. LophtCrack
brute-force به اسامي رمز Windows
NT حمله برده و قادر به
ترخيص اسم رمز زماني كه كاربر از يك اسم رمز ساده استفاده ميكند ميباشد. جهت
اطلاعات بيشتر به آدرس زير مراجعه كنيد.
http://www.lopht.com/lophtcrack
Man-in-the-Middle
Attacks
يك حمله Man-in-the-Middle نيازمند آن است كه Hacker به پاكتهاي شبكه كه
در طول آن در حال عبور هستند دسترسي داشته باشد. مثالي از چنين وضعيتي ميتواند
شخصي باشد كه در يك ISP در حال كار است و به تمامي پاكتهاي شبكه كه بين
شبكههاي مشتريان وي و شبكههاي ديگر در حال رد و بدل شدن است دسترسي دارد. چنين
حملاتي اغلب از طريق Packet Sniffer هاي شبكه و مسيريابي و پروتكلهاي انتقال پيادهسازي ميشوند.
كاربردهاي احتمالي چنين حملاتي ميتواند به سرقت بردن اطلاعات ، ربودن يك جلسه در
حال انجام جهت دسترسي به منابع شبكه خصوصي ، تجزيه و تحليل ترافيك جهت بدست آوردن
اطلاعات در رابطه با شبكه و كاربران آن ، عدم پذيرش سرويس ( DoS ) ، منحرف كردن اطلاعات ارسالي و
معرفي اطلاعات جديد درون جلسات شبكه باشد.
حملات Man-in-the-Middle را تنها ميتوان از طريق رمزنگاري
بصورت موثري محدود كرد. اگر شخصي اطلاعات را در زمان نشست خصوصي بصورت رمزنگاري
شده بربايد ، چيزي كه Hacker خواهد ديد تنها متني است كه بصورت رمزي در آمده است و پيام اصلي
قابل مشاهده نخواهد بود. بايد توجه داشت كه اگر Hacker قادر به يادگيري اطلاعات در رابطه
با جلسه رمزنگاري ( مانند كليد جلسه ) باشد ممكن است حملات Man-in-the-Middle مجدداً اتفاق بيافتد.
Application
Layer Attacks
حملات به
لايه كاربردي به روشهاي گوناگوني انجام ميپذيرند. يكي از متداولترين روشها
استخراج كردن ضعفهاي شناخته شده در نرمافزارهايي است كه عموماً در سرويسدهندهها
مانند ارسال پست الكترونيكي ، HTTP و FTP قرار دارند. با استخراج اين ضعفها ، Hacker ها ميتوانند به كامپيوتري كه با
مجوزهاي شناسهاي كه برنامه كاربردي را اجرا ميكند و معمولاً شناسه ويژهاي است
كه در سطح سيستم يافت ميشود ، دسترسي داشته باشند. اين حملات به لايه كاربردي
اغلب در يك تلاش همهجانبه بصورت وسيعي به اطلاع عموم ميرسد تا به مسوولان شبكه
امكان برطرف ساختن ايراد توسط patch را بدهد. متاسفانه اكثر Hacker ها در همان ليستهاي خبري نامنويسي ميكنند كه نتيجه آن باخبر
شدن از مسائل مربوطه در همان زمان ( اگر قبلاً آن را كشف نكرده باشند ) ميباشد.
مهمترين
مشكل در رابطه با حملات به لايه كاربردي اين است كه آنها اغلب پورتهايي كه از
طريق ديوار آتش مجاز ميباشند را مورد استفاده قرار ميدهند. به عنوان مثال ، يك Hacker در حمله خود به يك سرويسدهنده Web اغلب از پورت 80 TCP كه يك پورت آسيبپذير
شناخته شده ميباشد استفاده ميكند. چون سرويسدهنده Web صفحات را در اختيار
كاربران خود قرار ميدهد ، ديوار آتش اجازه دسترسي به آن پورت را ميدهد. از
ديدگاه ديوار آتش ترافيك پورت 80 كاملاً استاندارد ميباشد.
حملات به
لايه كاربردي هرگز بطور كامل قابل پيشگيري نيستند. آسيبپذيريهاي جديد هميشه كشف
شده و به انجمن اينترنت اطلاع داده ميشوند. بهترين راه براي كاهش ميزان ضرر و
زيان مديريت سيستم بصورت عالي ميباشد. در زير ميزانهايي جهت كاستن زيان خود
آورده شده است :
خواندن
فايلهاي وقايع ( Log File ) مربوط به سيستمعامل و شبكه و يا تجزيه وتحليل
آنها توسط نرمافزارهاي مربوطه به عضويت
در آمدن در گروههاي خبري كه آسيبپذيريها را به اطلاع عموم ميرسانند. مانند Bugtraq(http://www.securityfocus.com/) و CERT(http://www.cert.org) .
سيستم
عامل و برنامههاي كاربردي خود را مطابق با آخرين Patch ها تنظيم كنيد.
در كنار
مديريت مناسب سيستم از سيستمهاي تشخيص ورود و خروج بدون مجوز ( IDS ) استفاده كنيد. دو نوع تكنولوژي IDS مكمل وجود دارد :
IDS ي كه بر اساس شبكه ميباشد به
وسيله نظارت بر تمامي پاكتهايي كه از يك حوزه برخورد اختصاصي عبور ميكنند عمل ميكند.
هنگامي كه NIDS پاكت يا گروهي از پاكتها را كه با يك حمله مظنون يا شناخته شده
مطابقت دارند ميبيند ميتواند از طريق اعلام يا خاتمه دادن به آن جلسه مساله را
حل كند.
IDS ي كه بر اساس ميزبان ميباشد ( HIDS ) از طريق وارد كردن نمايندههايي
به درون ميزبان عمل ميكند. سپس اين روش تنها نگران حملاتي خواهد بود كه به آن
ميزبان خاص انجام ميگيرند.
سيستمهاي
IDS بر اساس امضاهاي حملات عمل ميكنند. امضاهاي حملات نموداري براي يك
حمله خاص يا گونهاي از حمله ميباشند. آنها شرايط خاصي را كه بايد قبل از تشخيص
حمله بودن يك ترافيك وجود داشته باشد ، ارضا ميكنند. در دنياي فيزيكي ، IDS مي تواند با سيستم
اعلان يا دوربين امنيت مقايسه شود. بزرگترين محدوديت سيستمهاي IDS تعداد اعلانهاي صحيح و اشتباهي
است كه در يك سيستم خاص توليد ميكند. تنظيم كردن IDS جهت جلوگيري از اعلانهاي اشتباه
براي عمليات صحيح IDS در يك شبكه امري مهم ميباشد.
Network
Reconnaissance
شناسايي
شبكه عبارت است از مجموعه اعمال يادگيري اطلاعات پيرامون يك شبكه هدف با استفاده
از اطلاعات و برنامههاي كاربردي موجود. هنگامي كه Hacker ها ميخواهند در شبكه
خاصي نفوذ كنند ، قبل از اقدام به حمله اغلب نيازمند اين هستند كه تا حد امكان
اطلاعات زيادي را در غالب پرسشهاي DNS ، جارو كردن Ping و Port
Scans بدانند. پرسشهاي
DNS اطلاعاتي از قبيل اينكه چه كسي صاحب چه حوزه خاصي ميباشد و چه
آدرسهايي به آن حوزه اختصاص داده شده را آشكار ميسازد. جارو كردن Ping با استفاده از آدرسهايي كه توسط
پرسشهاي DNS مشخص شده تصويري از ميزبانهاي فعال در يك محيط خاص را ارائه ميدهد.
پس از اينكه چنين ليستي بوجود آمد ، ابزارهاي Port
scanning ميتوانند از
ميان تمامي پورتهاي معروف عبور كرده تا ليست كاملي از سرويسهايي كه بر روي
ميزبانهاي پيدا شده توسط جارو كردن Ping اجرا ميشوند را ارائه دهد. در نهايت Hacker ها ميتوانند ويژگيهاي برنامههاي
كاربردي كه بر روي ميزبانها اجرا ميشوند را امتحان كنند. بدين طريق اطلاعات خاص
مفيدي حاصل ميشود كه Hacker ها در زمان بكارگيري از سرويس از آن بهره ميجويند.
شناسايي
شبكه بصورت كامل قابل جلوگيري نميباشد. اگر قابليت انعكاس و جواب انعكاس ICMP در راهبرهاي كناري غير فعال شود ،
به عنوان مثال ، جارو كردن Ping متوقف خواهد شد ولي اين امر در دادههاي كشف
خطاي شبكه صورت ميپذيرد. با اين وجود portscan ها بدون جارو كردن ping بطور كامل نيز به سادگي قابل اجرا
هستند. آنها زمان بيشتري را خواهند گرفت زيرا نياز به جستجوي آدرسهاي IP كه ممكن است وجود نداشته باشند ،
خواهد بود. IDS ي كه در سطوح شبكه يا در سطوح ميزبان ميباشد معمولاً قادر به متوجه
ساختن مسوول شبكه از يك حمله شناسايي ميباشد. اين مساله به مسوول شبكه كمك ميكند
تا بهتر براي مقابله با حمله احتمالي آماده شود و يا ميتواند ISP ي كه ميزبان سيستمي است كه ممكن
است مورد حمله قرار بگيرد را باخبر كند.
Trust
Exploitation
بهرهجويي
از اعتماد خود به تنهايي حمله محسوب نميشود. بلكه به حملهاي اشاره ميكند كه در
آن شخصي از يك نوع رابطه اعتماد در درون شبكه استفاده ميكند. مثال مهم ميتواند
اتصال شبكه محيطي از يك شركت باشد. چنين قسمتهاي شبكه اغلب در سرويسدهندههاي DNS ، SMTP و HTTP ساكن ميشوند. از آنجاييكه همگي
در درون همان قسمت قرار دارند ، به خطر افتادن يك سيستم ميتواند منجر به خطر
افتادن ساير سيستمها شود زيرا آنها ممكن است به ساير سيستمهايي كه به همان شبكه
خودشان متصل شده ، اعتماد كنند. نمونه ديگر سيستمي است در خارج از يك ديوار آتش كه
يك نوع رابطه اعتمادي با سيستمي در داخل ديوار آتش دارد. زماني كه سيستم بيروني
سازش ميكند ، ميتواند از سطح رابطه اعتمادي براي حمله به درون شبكه استفاده كند.
شما ميتوانيد
حملاتي كه بر پايه اعتماد ميباشند را از طريق توقيفهاي جدي در سطوح امنيت در يك
شبكه تقليل دهيد. سيستمهايي كه در بيرون از ديوار آتش قرار دارند هرگز نبايد توسط
سيستمهايي كه در درون ديوار آتش هستند مورد اعتماد واقع شوند. چنين اعتمادهايي
بايد محدود به پروتكلهاي خاص باشد و باشد در صورت امكان توسط چيزي غير از آدرس IP تعيين اعتبار شوند.
Port
Redirection
حملات Port
Redirection گونهاي از
حملات بهرهجويي از اعتماد ميباشند كه از يك ميزبان واسطه جهت عبور دادن ترافيك
از ميان ديوار آتش استفاده ميكنند كه در شرايط عادي اين ارتباط قطع يا رها مي شد.
ديوار آتشي را در نظر بگيريد كه داراي سه رابط بوده و بر روي هر رابط يك ميزبان
قرار دارد. ميزباني كه در بيرون قرار دارد ميتواند به ميزباني كه در قسمت سرويسهاي
عمومي است ( معروف به DMZ ) دسترسي داشته باشد ولي نه به ميزباني كه در درون قرار دارد. ميزباني
كه در قسمت سرويسهاي عمومي قرار دارد به هر دوي ميزبانهاي داخلي و خارجي دسترسي
دارد. اگر Hacker ها موفق به مخاطره انداختن و واسطه گرفتن ميزباني كه در قسمت
سرويسهاي عمومي است بشوند ، آنها ميتوانند نرمافزاري را جهت تعيين و تغيير مسير
ترافيك از ميزبان خارجي به ميزبان داخلي نصب كنند. به اين ترتيب هيچ كدام از
ارتباطات قوانيني را كه در ديوار اتش پيادهسازي شدهاند را نقض نخواهند كرد.
اكنون ميزبان خارجي از طريق پردازش تعيين و تغيير مسير در ميزبان سرويسهاي عمومي
به ميزبان داخلي مرتبط است. مثالي از برنامه كاربردي كه اين نوع دسترسي را انجام
ميدهد netcat ميباشد. براي اطلاعات بيشتر به آدرس زير رجوع كنيد.
جلوگيري
از تعيين و تغيير مسير بصورت مقدماتي ميتواند از طريق بكارگيري مدلهاي اعتماد
مناسب ( كه قبلاً توضيح داده شد ) تامين شود. سيستمي كه تحت حمله مي باشد را در
نظر بگيريد. يك IDS تحت ميزبان مي تواند جهت شناسايي و جلوگيري از نصب چنين نرمافزارهايي
بر روي ميزبان توسط Hacker ها كمك شاياني را انجام دهد.
Unauthorized
Access
امروزه
دسترسي غير مجاز نه به حملهاي خاص بلكه به اكثر حملاتي كه در شبكهها صورت ميگيرد
، اشاره دارد. چنانچه شخصي بخواهد به زور به telnet متصل شود ، به محض اتصال به درگاه
telnet ابتدا بايد اعلان telnet را بر روي سيستمي بگيرد. در اين حالت ممكن است
چنين پيغامي دريافت كند : " جهت استفاده از اين منبع به مجوز نياز داريد
". چنانچه Hacker بخواهد تلاش براي دسترسي خود را ادامه دهد ، عمل
وي " غير مجاز " خواهد بود. چنين حملاتي ميتوانند هم در خارج و هم در
داخل شبكه صورت بپذيرند.
تكنيكهاي
تعديل حملات دسترسي غير مجاز بسيار ساده هستند. اين تكنيكها توانايي Hacker در دسترسي به يك سيستم را با
بكارگيري از يك پروتكل غيرمجاز كاهش داده و يا از بين ميبرند. مثالي كه در اين
رابطه وجود دارد اين است كه اجازه ندهيم Hacker به پورت telnet سرويسدهندهاي كه سرويسهاي شبكهاي
براي خارج فراهم ميكند ، دسترسي داشته باشد. اگر Hacker نتواند به آن پورت دسترسي داشته
باشد ، حمله به آن نيز بسيار مشكل خواهد بود. در يك شبكه وظيفه اوليه ديوار آتش
جلوگيري از حملات ساده دسترسي غير مجاز ميباشد.
Virus and
Trojan Horse Applications
حملات
ويروسها و اسب تروآ عامل اصلي آسيبپذيري ايستگاههاي كاري كاربران نهايي ميباشند.
ويروسها به نرمافزارهاي متخاصمي كه به برنامه ديگري متصل ميشوند تا عملكرد
ناخواسته خاصي را بر روي ايستگاه كاري كاربر به اجرا در بياورند گفته ميشود.
نمونه يك ويروس برنامهاي است كه به Command.com ( مفسر اصلي سيستمهاي Windows ) متصل ميشود و باعث حذف شدن برخي فايلها شده و اگر نسخههاي
ديگري از اين فايل را نيز پيدا كند ، آنها را نيز آلوده ميسازد. تفاوت اسب تروآ
تنها در اين است كه كل برنامه به گونهاي نوشته شده است كه به چيز ديگري شبيه ميباشد
، و اين در حالي است كه خود يك نوع ابزار براي حمله ميباشد. نمونه يك اسب تروآ
نرمافزار كاربردي است كه در ايستگاه كاري كاربر بازي سادهاي را اجرا ميكند.
هنگامي كه كاربر مشغول بازي است ، اسب تروآ يك كپي از خود را براي تمامي كاربرهايي
كه در كتابچه آدرس كاربر وجود دارند ميفرستد. سپس كاربرهاي ديگر بازي را دريافت
كرده و آن را بازي ميكنند بنابراين با اين روش اسب تروآ گسترش پيدا ميكند.
با
بكارگيري موثر از نرمافزارهاي ضد ويروس در سطح كاربر و اساساً در سطح شبكه ميتوان
از گسترش اين برنامههاي كاربردي جلوگيري به عمل آورد ، زيرا اين نرمافزارها
قادرند بسياري از ويروسها و بسياري از برنامههاي كاربردي اسب تروآ را شناسايي
كنند. همگامي با آخرين دستاوردهاي اين نوع حملات ميتواند سپر موثرتري در مقابل
اين نوع حملات باشد. هنگامي كه ويروس يا برنامه كاربردي اسب تروآي جديدي بوجود ميآيد
، شركتها و سازمانهاي بزرگ نيازمند اين هستند كه با آخرين و جديدترين نرمافزارهاي
ضد ويروسي همگام شوند.
What is a
" Security Policy " ?
يك تدبير
امنيتي ميتواند به سادگي يك تدبير بكارگيري قابل قبول از منابع شبكه باشد و يا در
چند صد صفحه كه شامل جزييات دقيق اصل اتصال و تدابير مربوطه ميباشند ، خلاصه شده
باشد. با وجود اينكه RFC2196 اندكي محدود است ولي به خوبي يك تدبير امنيتي را به شرح زير تعريف
ميكند :
"
تدبير امنيتي عبارت است از صورت قراردادي قوانيني كه به واسطه آنها اشخاصي كه به
تكنولوژي و اطلاعات سازماني دسترسي دارند ، ملزم به اطاعت از آنها ميشوند. "
هدف اين
مقاله وارد شدن به جزييات بهبودي يك تدبير امنيتي نيست. RFC2196 اطلاعات خوبي پيرامون اين موضوع
دارد و همچنين مكانهاي متعددي بر روي Web كه نمونه تدابير و راهناييهاي لازم هستند را
معرفي ميكند. صفحات وب زير ميتواند به خوانندگان علاقمند كمك كند.
- RFC2196 " كتاب راهنماي امنيت سايت
"
http://www.ietf.org/rfc/rfc2196.txt
- نمونه
تدبير امنيتي براي دانشگاه Illinois
http://www.aits.uillinois.edu/security/securestandards.html
- طراحي و پيادهسازي تدبير امنيتي حقوقي
http://www.knowcisco.com/content/1578700434/ch06.html
The Need
for a Security Policy
درك اين
موضوع كه امنيت شبكه يك فرآيند تكاملي است از اهميت زيادي برخوردار است. هيچ
محصولي نميتواند سازماني را " ايمن " سازد. امنيت واقعي شبكه در گرو
تركيبي از محصولات و خدماتي است كه با يك تدبير جامع امنيتي و تعهدي كه يكا يك
اعضا آن سازمان از بالا تا پايين نسبت به آن تدبير دارند ، اجين شده است. در واقع
، تدبير امنيتي كه بطور صحيح پيادهسازي شده است بدون سختافزار امنيتي اختصاصي،
ميتواند در تعديل تهديدهايي كه در رابطه با منابع يك سازمان وجود دارد بصورت
موثري عمل كند تا پيادهسازي يك محصول امنيتي جامع بدون يك تدبير مرتبط.
ارتباطات كامپيوتري بصورت يك جز
ضروري در زير ساختارهاي زندگي ما تبديل شده است.شبكه هاي كامپيوتري در هر جنبه اي
از تجارت از قبيل امور تبليغاتي - توليد - عرضه - طراحي - امور بانكي - و پرداخت
مورد استفاده قرار مي گيرد.نتيجتا اغلب شركت هاي فعلي دادراي چندين شبكه مي
باشند.مدارس در تمام سطوح خود از دوران ابتدايي تا دوره هاي بالاي دانشگاهي از
شبكه هاي كامپيوتري براي دسترس قرار دادن اطلاعات بصورت onlline از سراسر دنيا به دانش آموزان و
دانشجويان واساتيد مورد استفاده قرار ميدهند.رشد شبكه تاثير زيادي در اقتصاد جامه
داشته است.شبكه هاي داده اي نحوه تجارت و نوع ارتباط معامله گران ااقتصادي را
شديدا ممتحول نموده است.بعلاوه يك صنعت تمام عيار اخيرا به ظهور رسيده است كه
موضوع آن توسعه تكنولوژي هاي شبكه و محصولات و سرويس هاي آن مي باشد.موضووع
تكنولوژي شبكه امري پيچيده است زيرا چندين تكنولوژي وجود دارد.شركت ها به افرادي
نياز دارند كه شبكه هاي كامپيوتري را طراحي و نصب و مديريت نمايند.اينترنت از آن
پروژه تحقيقاتي اوليه به يك سيستم ارتباطي جهاني كه همه دنيا را دربر گرفته است
تيديل گرديد.رشد اينترنت تتقررريبا تا 1990 ميلادي چندان قابل تووجه نبوده استو
بيشترين تغيير را در سال 2000 داشته است.و نرخ متوسط كامپيوتر هاي جديد افزوده شده با اينترنت
در سال 98 ميلادي بيش از يك كامپيوتر در ثانيه بوده است.رشد اينتر نت ططي دو
دهه گذشته
داراي رشد نمايي بوده است.
http://www.cert.org/advisories/CA-1991-04.html
http://www.sans.org/infosecFAQ/threats/protocol_level.htm
http://www.networkmagazine.com/article/NMG20000511S0015
http://csrc.nist.gov/nissc/1996/papers/NISSC96/paper048/MALDATA.PDF
http://netsecurity.about.com/compute/netsecurity/library/weekly/aa052501a.htm
http://www.leccorder.com/content/seminars/Security-23Apr1999/Slides/
http://www.pbs.org/cringely/pulpit/pulpit20010802.html
http://www.ciac.org/ http://ciac.llnl.gov/
ftp://ftp.isi.edu/in-notes/rfc2246.txt
http://www.netscape.com/eng/ssl3/draft302.txt
http://www.faqs.org/faqs/cryptography-faq/part03/
http://www.jyu.fi/~mjos/wtls.pdf
http://www.wapforum.org/
http://www.wassenaar.org/list/cat5p2.pdf