مراحل امنیتی در شبکه
حال که مفهوم امنیت و اصول کلی ان را می دانیم نوبت به چگونگی ایجاد ان میرسد در شروع هر کاری ما باید بدانیم چه داریم و باید از چه چیز محافظت کنیم مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
1- شناسایی بخشی که باید تحت محافظت قرار گیرد.
2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
3- تصمیم گیری درباره چگونگی تهدیدات
4- پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف
1- تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
2- اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده
3- منابع نامحسوس شبکه مانند عرض باند و سرعت
4- اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
5- ترمینالهایی که برای استفاده از منابع مختلف به شبکه متصل می شوند.
6- اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان
7- خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.
و در حالت تخصصی تر و توضیحی حملات شامل :
• Back Door ها اغلب به دليل عدم توجه ايجاد كننده نرم افزار ، به صورت باز رها مي شود و همين امر باعث مي شود علاوه بر ايجاد كننده ، ديگران نيز از آن سوءاستفاده كنند.
• هكر ابتدا آدرس IP يك كامپيوتر مورد اعتماد را پيدا مي كند.
• پس از به دست آوردن اين اطلاعات هكر شروع ارسال اطلاعات به سيستم قرباني كرده و خود را مورد اعتماد وانمود مي كند (خود را به جاي يك كامپيوتر مورد اعتماد جا مي زند! )
• پس از برقراري ارتباط شروع به دريافت اطلاعاتي مي كند كه در حالت معمول ، مجاز به دسترسي به آنها نيست
• نفوذگر ترتيبي را اتخاذ مي كند كه دو كامپيوتر از وجود او بي اطلاع باشند.
• به اين ترتيب دسترسي كاملي به اطلاعات دارد. يعني هم مي تواند آنها را دريافت كند و هم مي تواند آنها را مطابق ميل خود تغيير دهد و به نفر بعدي تحويل دهد.
• سيستم هاي Wireless در معرض اين حمله قرار دارند.
• وقتي بسته ها دزديده شدند ، هكر اطلاعات مهم و نامهاي كاربري و كلمات عبور را از درون آن استخراج مي كند.
• وقتي كه اطلاعات ازبسته ها استخراج شدند ، دوباره بسته ها روي خط قرار مي گيرند و يا بدانها به صورت دروغين پاسخ داده مي شود.
• هكر مي تواند نشست TCP بين دو ماشين را به دست آورد
• يك روش مشهور استفاده از Source-rout كردن IP ها مي باشد.
• Source-rout كردن يعني بسته هاي IP را طوري تغيير دهيم كه از مسيري خاص بگذرند.
• به صورت ساده تر هنگامي مي باشد كه نفوذگر ركوردهاي DNS را كه به Host هاي صحيحي اشاره دارند ، به Host مورد نظر خود تغيير مي دهد.
Denial Of Service ( DOS ) و Distributed Denial Of Service ( DDOS)
• اين نوع حملات به منظور از كار انداختن يك سرويس و يا از دسترس كاربران خارج كردن يك سرويس به كار مي رود.
• نوع توزيع شده اين نوع حملات ، از تعداد زيادي كامپيوتر ( Zompbie ) در سراسر دنيا استفاده مي شود. و در لحظه اي كه حمله كننده اصلي دستور مي دهد تمام اين Zompbie ها به طور همزمان به يك قرباني خاص از پيش تعييد شده ، حمله مي كنند.
• نمونه ايراني آن كرم دامبي بود كه پس از انتشار به سايتهاي IIRIB و ISNA و ... حمله مي كرد.
• راه ديگر هنگامي مي باشد كه نفوذگر با استفاده از نقاط ضعف كاربر انتهايي (End User ) راه نفوذ به شبكه را پيدا مي كند.
• سوءاستفاده از نقاط ضعف افراد با به دست آوردن عادت هاي شخصيتي افراد براي اغفال آنها و يا تحت فشار قرار دادن آنها تا اطلاعات مورد نياز براي نفوذ به شبكه را در اختيار فرد هكر قرار دهد.
• براي فهم بهتر اين حمله شما بايد به روشهاي رمز كردن و شكاندن آنها، اطلاع داشته باشيد.
• حمله Brute-force حروف را به صورت تركيبي استفاده مي كند و با تست كردن آنها رمز عبور را پيدا مي كند.
• براي مقابله با اين روش بايد كلمات رمز با طول زياد انتخاب كرد و يا كلمات رمز را هر دفعه تغيير داد
• كلمه Dictionary در اصل لغتنامه اي از كلمات معروف مي باشد كه در يك فايل ذخيره شده اند و به وسيله يك ابزار براي شكستن كلمات رمز ، مورد استفاده قرار مي گيرند
• براي مقابله با اين حمله بايد از كلماتي استفاده كرد كه در لغتنامه وجود ندارد
• براي اصلاح آنها بايد از Hotfix ها و Service Pack ها استفاده كرد
• يك War Dialer نرم افزار مي باشد كه با استفاده از مودم با يك رنجي از شماره ها تماس گرفته و شماره هايي كه تماسي موفق داشته اند را جمع آوري مي كند
اگر در كدهاي مختلف نرم افزاري طول آرگومانها بررسي نگردد در معرض اين حمله قرار دارند
• تعداد زيادي از درخواست ها به صورت نصفه كاره ارسال و رها مي شود و باعث مي شود كه سيستم به علت مواجهه با كمبود حافظه از كار بيافتد
• فرستادن بسته هاي به سوي يك شبكه سراسري با آدرسهاي منبع دروغين
• قرباني به صورت ناگهاني با سيلي از اينگونه بسته ها مواجهه مي گردد و از كار مي افتد
• با استفاده از يك تحليلگر داده هاي شبكه ، كليه اطلاعات جذب شده ، تجزيه و تحليل مي شود و كليه رمزهاي عبور و نامهاي كاربري شبكه استخراج مي گردد.
• اين حمله به صورت واقعي روي سيستمهاي قديمي ويندوز ، لينوكس و مسيريابهاي سيسكو انجام مي گيرد.
• بعد از آن با پيدا كردن نقاط آسيب پذير پورتهاي فوق ، يك حمله شكل مي گيرد
• اين دسته حملات بسيار متنوع مي باشد از جمله :
o Teardrop
o Teardrop2
o NewTear
o SynDrop
o Bonk
o Boink
شناخت انواع حملات رایج بخش مهمی از امنیت شبکه است تا زمانی که یک کاربر نداند چه تهدیداتی و چگونه ممکن است شبکه را مورد حمله قرار دهد نمی تواند ارزیابی درستی از انچه باید در جهت ایمنی انجام دهد داشته باشد لیست سریع فوق تنها توضیحی اجمالی در جهت شناخت کلی نوع حملات است حال انکه چگونگی جلوگیری و دفع تک تک این حملات در بحث ما نمی گنجد و نیازمند دوره های تخصصی است.
1- حفظ محرمانگي: يعني کاربران خاصي از داده بتوانند استفاده کنند
2- حفظ جامعيت داده: يعني داده ها بدرستي در مقصد دريافت شوند.
3- احراز هويت: يعني گيرنده از هويت فرستنده آگاه شود.
4- کنترل دستيابي مجاز: يعني فقط کاربران مجاز بتوانند به داده ها دستيابي داشته باشند.
5- عدم انکار: يعني فرستنده نتواند ارسال پيام توسط خودش را انکار کند.
1- احتمال انجام حمله
2- خسارت وارده به شبکه درصورت انجام حمله موفق
هر سیاست امنیتی مشخص کننده اهداف امنیتی و تجاری سازمان است ولی در مورد راه کارهای مهندسی و پیاده سازی این اهداف بحثی نمی کند. سند سیاست امنیتی سازمان باید قابل فهم، واقع بینانه و غیر متناقض باشد، علاوه بر این از نظر اقتصادی امکان پذیر، از نظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات مدیریت آن سطح حافظتی قابل قبولی را ارائه نماید.
بهترین روش برای دستیابی به امنیت اطلاعات، فرموله نموده سیاست امنیتی است. مشخص نمودن سرمایه های اصلی که باید امن شوند و تعیین سطح دسترسی افراد (به عبارت دیگر اینکه چه افرادی به چه سرمایه هایی دسترسی دارند) در اولین گام باید انجام شود.
در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:
1- چه و چرا باید محافظت شود.
2- چه کسی باید مسئولیت حفاظت را به عهده بگیرد.
3- زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
1- مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.
2- محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.
1- تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.
2- سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.
3- سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.
4- استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.
ارسال مقاله توسط کاربر محترم سایت: sm1372
/ج
1- شناسایی بخشی که باید تحت محافظت قرار گیرد.
2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
3- تصمیم گیری درباره چگونگی تهدیدات
4- پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف
منابع شبکه
1- تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
2- اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده
3- منابع نامحسوس شبکه مانند عرض باند و سرعت
4- اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
5- ترمینالهایی که برای استفاده از منابع مختلف به شبکه متصل می شوند.
6- اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان
7- خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.
تهديدات عليه امنيت شبکه:
در حالت کلی این تهدیدات شامل:
۱- حمله جلوگيري از سرويس (DOS):
2- استراق سمع:
3- تحليل ترافيک:
4- دستکاري پيامها و داده ها:
5- جعل هويت:
و در حالت تخصصی تر و توضیحی حملات شامل :
حملات تحت شبكه
Back Door (در پشتي )
• Back Door ها اغلب به دليل عدم توجه ايجاد كننده نرم افزار ، به صورت باز رها مي شود و همين امر باعث مي شود علاوه بر ايجاد كننده ، ديگران نيز از آن سوءاستفاده كنند.
Spoofing
• هكر ابتدا آدرس IP يك كامپيوتر مورد اعتماد را پيدا مي كند.
• پس از به دست آوردن اين اطلاعات هكر شروع ارسال اطلاعات به سيستم قرباني كرده و خود را مورد اعتماد وانمود مي كند (خود را به جاي يك كامپيوتر مورد اعتماد جا مي زند! )
• پس از برقراري ارتباط شروع به دريافت اطلاعاتي مي كند كه در حالت معمول ، مجاز به دسترسي به آنها نيست
Man in the Middel
• نفوذگر ترتيبي را اتخاذ مي كند كه دو كامپيوتر از وجود او بي اطلاع باشند.
• به اين ترتيب دسترسي كاملي به اطلاعات دارد. يعني هم مي تواند آنها را دريافت كند و هم مي تواند آنها را مطابق ميل خود تغيير دهد و به نفر بعدي تحويل دهد.
• سيستم هاي Wireless در معرض اين حمله قرار دارند.
Replay
• وقتي بسته ها دزديده شدند ، هكر اطلاعات مهم و نامهاي كاربري و كلمات عبور را از درون آن استخراج مي كند.
• وقتي كه اطلاعات ازبسته ها استخراج شدند ، دوباره بسته ها روي خط قرار مي گيرند و يا بدانها به صورت دروغين پاسخ داده مي شود.
TCP/IP Hijacking
• هكر مي تواند نشست TCP بين دو ماشين را به دست آورد
• يك روش مشهور استفاده از Source-rout كردن IP ها مي باشد.
• Source-rout كردن يعني بسته هاي IP را طوري تغيير دهيم كه از مسيري خاص بگذرند.
DNS Poisoning
• به صورت ساده تر هنگامي مي باشد كه نفوذگر ركوردهاي DNS را كه به Host هاي صحيحي اشاره دارند ، به Host مورد نظر خود تغيير مي دهد.
Denial Of Service ( DOS ) و Distributed Denial Of Service ( DDOS)
• اين نوع حملات به منظور از كار انداختن يك سرويس و يا از دسترس كاربران خارج كردن يك سرويس به كار مي رود.
• نوع توزيع شده اين نوع حملات ، از تعداد زيادي كامپيوتر ( Zompbie ) در سراسر دنيا استفاده مي شود. و در لحظه اي كه حمله كننده اصلي دستور مي دهد تمام اين Zompbie ها به طور همزمان به يك قرباني خاص از پيش تعييد شده ، حمله مي كنند.
• نمونه ايراني آن كرم دامبي بود كه پس از انتشار به سايتهاي IIRIB و ISNA و ... حمله مي كرد.
Social Engineering (مهندسي اجتماعي )
• راه ديگر هنگامي مي باشد كه نفوذگر با استفاده از نقاط ضعف كاربر انتهايي (End User ) راه نفوذ به شبكه را پيدا مي كند.
• سوءاستفاده از نقاط ضعف افراد با به دست آوردن عادت هاي شخصيتي افراد براي اغفال آنها و يا تحت فشار قرار دادن آنها تا اطلاعات مورد نياز براي نفوذ به شبكه را در اختيار فرد هكر قرار دهد.
Birthday
• براي فهم بهتر اين حمله شما بايد به روشهاي رمز كردن و شكاندن آنها، اطلاع داشته باشيد.
Brute force
• حمله Brute-force حروف را به صورت تركيبي استفاده مي كند و با تست كردن آنها رمز عبور را پيدا مي كند.
• براي مقابله با اين روش بايد كلمات رمز با طول زياد انتخاب كرد و يا كلمات رمز را هر دفعه تغيير داد
Dictionary
• كلمه Dictionary در اصل لغتنامه اي از كلمات معروف مي باشد كه در يك فايل ذخيره شده اند و به وسيله يك ابزار براي شكستن كلمات رمز ، مورد استفاده قرار مي گيرند
• براي مقابله با اين حمله بايد از كلماتي استفاده كرد كه در لغتنامه وجود ندارد
Software Exploitation
• براي اصلاح آنها بايد از Hotfix ها و Service Pack ها استفاده كرد
War Dialing
• يك War Dialer نرم افزار مي باشد كه با استفاده از مودم با يك رنجي از شماره ها تماس گرفته و شماره هايي كه تماسي موفق داشته اند را جمع آوري مي كند
Buffer Overflow
اگر در كدهاي مختلف نرم افزاري طول آرگومانها بررسي نگردد در معرض اين حمله قرار دارند
SYN flood
• تعداد زيادي از درخواست ها به صورت نصفه كاره ارسال و رها مي شود و باعث مي شود كه سيستم به علت مواجهه با كمبود حافظه از كار بيافتد
Smurfing
• فرستادن بسته هاي به سوي يك شبكه سراسري با آدرسهاي منبع دروغين
• قرباني به صورت ناگهاني با سيلي از اينگونه بسته ها مواجهه مي گردد و از كار مي افتد
Sniffing
• با استفاده از يك تحليلگر داده هاي شبكه ، كليه اطلاعات جذب شده ، تجزيه و تحليل مي شود و كليه رمزهاي عبور و نامهاي كاربري شبكه استخراج مي گردد.
Ping of Death
• اين حمله به صورت واقعي روي سيستمهاي قديمي ويندوز ، لينوكس و مسيريابهاي سيسكو انجام مي گيرد.
پويش پورت
• بعد از آن با پيدا كردن نقاط آسيب پذير پورتهاي فوق ، يك حمله شكل مي گيرد
حملات قطعه قطعه كردن (Fragmentation Attack )
• اين دسته حملات بسيار متنوع مي باشد از جمله :
o Teardrop
o Teardrop2
o NewTear
o SynDrop
o Bonk
o Boink
شناخت انواع حملات رایج بخش مهمی از امنیت شبکه است تا زمانی که یک کاربر نداند چه تهدیداتی و چگونه ممکن است شبکه را مورد حمله قرار دهد نمی تواند ارزیابی درستی از انچه باید در جهت ایمنی انجام دهد داشته باشد لیست سریع فوق تنها توضیحی اجمالی در جهت شناخت کلی نوع حملات است حال انکه چگونگی جلوگیری و دفع تک تک این حملات در بحث ما نمی گنجد و نیازمند دوره های تخصصی است.
3-2هدف امنیت
1- حفظ محرمانگي: يعني کاربران خاصي از داده بتوانند استفاده کنند
2- حفظ جامعيت داده: يعني داده ها بدرستي در مقصد دريافت شوند.
3- احراز هويت: يعني گيرنده از هويت فرستنده آگاه شود.
4- کنترل دستيابي مجاز: يعني فقط کاربران مجاز بتوانند به داده ها دستيابي داشته باشند.
5- عدم انکار: يعني فرستنده نتواند ارسال پيام توسط خودش را انکار کند.
تحلیل خطر
1- احتمال انجام حمله
2- خسارت وارده به شبکه درصورت انجام حمله موفق
سیاست امنیتی
هر سیاست امنیتی مشخص کننده اهداف امنیتی و تجاری سازمان است ولی در مورد راه کارهای مهندسی و پیاده سازی این اهداف بحثی نمی کند. سند سیاست امنیتی سازمان باید قابل فهم، واقع بینانه و غیر متناقض باشد، علاوه بر این از نظر اقتصادی امکان پذیر، از نظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات مدیریت آن سطح حافظتی قابل قبولی را ارائه نماید.
بهترین روش برای دستیابی به امنیت اطلاعات، فرموله نموده سیاست امنیتی است. مشخص نمودن سرمایه های اصلی که باید امن شوند و تعیین سطح دسترسی افراد (به عبارت دیگر اینکه چه افرادی به چه سرمایه هایی دسترسی دارند) در اولین گام باید انجام شود.
در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:
1- چه و چرا باید محافظت شود.
2- چه کسی باید مسئولیت حفاظت را به عهده بگیرد.
3- زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
1- مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.
2- محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.
نواحی امنیتی
1- تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.
2- سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.
3- سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.
4- استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.
ارسال مقاله توسط کاربر محترم سایت: sm1372
/ج