امروز: یکشنبه 25 آذر 1397
دسته بندی محصولات
بخش همکاران
بلوک کد اختصاصی

بررسی اصول و مبانی امنیت در شبکه های رایانه ای

بررسی اصول و مبانی امنیت در شبکه های رایانه ای دسته: فنی و مهندسی
بازدید: 2 بار
فرمت فایل: doc
حجم فایل: 725 کیلوبایت
تعداد صفحات فایل: 150

پژهش بررسی اصول و مبانی امنیت در شبکه های رایانه ای در 150 صفحه ورد قابل ویرایش

قیمت فایل فقط 16,500 تومان

خرید

پژهش بررسی اصول و مبانی امنیت در  شبکه های رایانه ای در 150 صفحه ورد قابل ویرایش



چکیده

هدف از ارائه ی این پروژه معرفی اصول و مبانی امنیت در شبکه های کامپیوتری می باشد .در ابتدا به تعاریف و مفاهیم امنیت در شبکه می پردازیم .

در مبحث امنیت شبکه ،منابع شبکه وانواع حملات ،تحلیل خطر ،سیاست های امنیتی ،طرح امنیت شبکه و نواحی امنیتی به تفضیل مورد تحلیل و بررسی قرار می گیرد .

برای حفظ امنیت شبکه نیاز است تا مراحل اولیه ایجاد امنیت و سیتم های عامل و برنامه کاربردی مناسب لحاظ شود .در ادامه به انواع حملات در شبکه های رایانه ای پرداخته ایم  و برای افزایش امنیت در سطح شبکه به AUDITING  ، کامپیوترهای بدون دیسک ،به رمز در آوردن داده ها و محافظت در برابر ویروس پرداخته ایم .

و اما روشهای تامین امنیت در شبکه که عبارتند از : دفاع در عمق ،فایروال و پراکسی که به طور کامل تشریح شده است .و در ادامه سطوح امنیت شبکه ، تهدیدات علیه امنیت شبکه ، امنیت شبکه لایه بندی شده، ابزارها و الگوهای امنیت شبکه ،مراحل ایمن سازی شبکه ، راهکارهای امنیتی شبکه ،مکانیزم های امنیتی و الگوریتم جهت تهیه الگوی امنیت شبکه  توضیح داده شده است .






فهرست مطالب



عنوان


صفحه

مقدمه .............................................................................................................................................................


1

فصل یکم : تعاریف و مفاهیم امینت در شبکه


2

1-1) تعاریف امنیت شبکه


2
1-2) مفاهیم امنیت شبکه


4
1-2-1) منابع شبکه


4
1-2-2) حمله


6

1-2-3) تحلیل خطر


7

1-2-4- سیاست امنیتی


8

1-2-5- طرح امنیت شبکه


11

1-2-6- نواحی امنیتی


11

فصل دوم : انواع حملات در شبکه های رایانه ای


13

2-1) مفاهیم حملات در شبکه های کامپیوتری


15

2-2) وظیفه یک سرویس دهنده


16

2-3) سرویس های حیاتی و مورد نیاز


16

2-4) مشخص نمودن پروتکل های مورد نیاز


16

2-5) مزایای غیر فعال نمودن پروتکل ها و سرویس های مورد نیاز


17

2-6) انواع حملات


18

1-2-6)  حملات از نوع Dos




2-2-6) حملات از نوع D Dos




2-6-3) حملات از نوع Back dorr




2-6-3-1) Back ori fice




2-6-3-2) Net Bus




2-6-3-3) Sub seven




2-6-3-4) virual network computing




2-6-3-5) PC Any where




2-6-3-6) Services Terminal




2-7) Pactet sniffing




2-7-1) نحوه کار packet sniffing




2-2-7) روشهای تشخیص packet sniffing در شبکه




2-7-3) بررسی سرویس دهندة DNS




2-7-4) اندازه گیری زمان پاسخ ماشین های مشکوک




2-7-5) استفاده از ابزارهای مختص Antisniff




فصل سوم ) افزایش امنیت شبکه




3-1) علل بالا بردن ضریب امنیت در شبکه




3-2) خطرات احتمالی




3-3) راه های بالا بردن امنیت در شبکه




3-3-1) آموزش




3-3-2) تعیین سطوح امنیت




3-3-3) تنظیم سیاست ها




3-3-4) به رسمیت شناختن Authen tication




3-3-5) امنیت فیزیکی تجهیزات




3-3-6) امنیت بخشیدن به کابل




3-4) مدل های امنیتی




3-4-1) منابع اشتراکی محافظت شده توسط کلمات عبور




3-4-2) مجوزهای دسترسی




3-5) امنیت منابع




3-6) روش های دیگر برای امنیت بیشتر




3-6-1) Auditing




3-6-2) کامپیوترهای بدون دیسک




3-6-3) به رمز در آوردن داده ها




3-6-4) محافظت در برابر ویروس




فصل چهارم : انواع جرایم اینترنتی و علل بروز مشکلات امنیتی




4-1) امنیت و مدل




4-1-1) لایه فیزیکی




4-1-2) لایه شبکه




4-1-3) لایه حمل




4-1-4) لایه کاربرد




4-2) جرایم رایانه ای و اینترنتی




4-2-1) پیدایش جرایم رایانه ای




4-2-2) قضیه رویس




4-2-3)تعریف جرم رایانه ای




4-2-4) طبقه بندی جرایم رایانه ای




4-2-4-1) طبقه بندی OECDB




4-2-4-2) طبقه بندی شعرای اروپا




4-2-4-3)  طبقه بندی اینترپول




4-2-4-4) طبقه بندی در کنوانسیون جرایم سایبرنتیک




4-2-5) شش نشانه از خرابکاران شبکه ای




4-3) علل بروز مشکلات امنیتی




4-3-1) ضعف فناوری




4-3-2) ضعف پیکربندی




4-3-3) ضعف سیاستی




فصل 5 ) روشهای تأمین امنیت در شبکه




5-1) اصول اولیه استراتژی دفاع در عمق




5-1-1) دفاع در عمق چیست.




5-1-2) استراتژی دفاع در عمق : موجودیت ها




5-1-3) استراتژی دفاع در عمق : محدودة حفاظتی




5-1-4) استراتژی دفاع در عمق : ابزارها و مکانیزم ها




5-1-5) استراتژی دفاع در عمق : پیاده سازی




5-1-6)  جمع بندی




5-2)فایر وال




1-5-2) ایجاد یک منطقه استحفاظی




5-2-2) شبکه های perimer




5-2-3) فایروال ها : یک ضرورت اجتناب ناپذیر در دنیای امنیت اطلاعات




5-2-4) فیلترینگ پورت ها




5-2-5) ناحیه غیر نظامی




5-2-6) فورواردینگ پورت ها




5-2-7) توپولوژی فایروال




5-2-8) نحوة انتخاب یک فایروال




5-2-9) فایروال ویندوز




5-3) پراکسی سرور




5-3-1) پیکر بندی مرور




5-3-2) پراکسی چیست




5-3-3) پراکسی چه چیزی نیست




5-3-4) پراکسی با packet filtering تفاوت دارد.




5-3-5) پراکسی با packet fillering  state ful تفاوت دارد .




5-3-6) پراکسی ها یا application Gafeway




5-3-7)  برخی انواع پراکسی




5-3-7-1) Http proxy




5-3-7-2) FTP Proxy




5-3-7-3) PNs proxy




5-3-7-4)  نتیجه گیری




فصل 6 ) سطوح امنیت شبکه




6-1) تهدیدات علیه امنیت شبکه




6-2) امنیت شبکه لایه بندی شده




6-2-1) سطوح امنیت پیرامون




 6-2-2) سطح 2 – امنیت شبکه




6-2-3) سطح 3 – امنیت میزبان




6-2-4) سطوح 4 – امنیت برنامه کاربردی




6-2-5) سطح 5 – امنیت دیتا




6-3) دفاع در مقابل تهدیدها و حملات معمول




 فصل هفتم ) ابزارها و الگوهای امنیت در شبکه و ارائه ی یک الگوی امنیتی




7-1) مراحل ایمن سازی شبکه




7-2) راهکارهای امنیتی شبکه




7-2-1) کنترل دولتی




7-2-2) کنترل سازمانی




7-2-3) کنترل فردی




7-2-4) تقویت اینترانت ها




7-2-5) وجود یک نظام قانونمند اینترنتی




7-2-6) کار گسترده فرهنگی برای آگاهی کاربران




7-2-7) سیاست گذاری ملی در بستر جهانی




7-3) مکانیزم امنیتی




7-4) مرکز عملیات امنیت شبکه




7-4-1) پیاده سازی امنیت در مرکز SOC




7-4-2) سرویس های پیشرفته در مراکز SOC




7-5)  الگوی امنیتی




7-5-1) الگوریتم جهت تهیه الگوی امنیتی شبکه









فهرست شکلها



عنوان


صفحه

شکل 3-1  مجوزهای مربوط به فایل ها و دایرکتوری اشتراکی را نشان می دهد.


3

شکل 5-1 یک نمونه از پیاده سازی Fire wall را مشاهده می کنید


3

شکل 5-2  یک نمونه از پیاده سازی Fire wall  را مشاهده می کنید




شکل 5-3  ارتباط بین سه نوع شبکه Perimeter را نمایش می دهد.




شکل 5-4  دو شبکه Perimeter درون یک شبکه را نشان می دهد.




شکل 5-5  یک فایروال مستقیماً و از طریق یک خط dial – up ، خطوط ISPN و یا مووم های کابلی به اینترنت متصل می گردد.




شکل 5-6  روتر متصل شده به اینترنت به هاب و یا سوئیچ موجود در شبکه  داخل مستقل می گردد.




شکل 5-7  فایردال شماره یک از فایر دال شماره 2 محافظت می نماید.




شکل 5-8  یک کارت شبکه دیگر بر روی فایر دال و برای ناحیه DMZ استفاده می گردد.




شکل 5-9  Proxy server




شکل 5-10  logging




شکل 5-11  Ms proxy server  




شکل 5-12  SMTP proxy




شکل 5-13  SMTP Filter Properties




شکل 5-14  Mozzle pro LE  




شکل 5-15  DNS proxy




شکل 5-16  




شکل 6-1  




شکل 6-2   برقراری ارتباط VPN




شکل 6-3   پیکربندی های IDS و IPS استاندارد




شکل 6-4   سطح میزبان




شکل 6-5    Prirate local Area Network




شکل 6-6    حملات معمول












فهرست جدولها



عنوان


صفحه

جدول2-1-  مقایسه تهدیدات امنیتی در لایه های چهارگانه TCP/IP




جدول2-2-  اهداف امنیتی در منابع شبکه




جدول6-1- امنیت شبکه لایه بندی شده

















لیست علایم و اختصارات





(Secure dhell)


SSH

(Au then tication, Authorization and Accounting)


DMZ

Distributed denial of service)


DDOS

User service Remote Autheution Dial-in


RADIUS

Terminal Access controller Access control system


TACACS

Simple Mail Transfer protocol


SMTP

Simple Network Management perptocel


SN MP

Network Adsress Ttranclation


NAT

Port Address Translation


PAT

In for mation assurance Technical Farmwork From


IATFF

National security Agency


NSA

Key manage ment infrastructure


KMI

Public Key infrastructure


PKI

List Access control


ACL

Challenge Hhandshake Anthentication protocol


CHAP

Password Authentication protocol


PAP

Point to point tunneling protocol


pptp

Authenticated Header


AH

Encasugated secure payload


ESP

Secure sockets layer


SSL

TTransport layer security


TLS

Internet connection Firewall


ICF

File transfer protocol


FTP

Dpmin Name Server


DNS

Intrusion Detection system


IDS

Virtual Network computing


VNC




مقدمه



چنانچه به اهمیت شبكه‌های اطلاعاتی (الكترونیكی) و نقش اساسی آن دریافت اجتماعی آینده پی برده باشیم، اهمیت امنیت این شبكه‌ها مشخص می‌گردد. اگر امنیت شبكه برقرار نگردد، مزیتهای فراوان آن نیز به خوبی حاصل نخواهد شد و پول و تجارت الكترونیك، خدمات به كاربران خاص، اطلاعات شخصی، اطلاعاتی عمومی و نشریات الكترونیك همه و همه در معرض دستكاری و سوءاستفاده‌های مادی و معنوی هستند. همچنین دستكاری اطلاعات- به عنوان زیربنای فكری ملت‌ها توسط گروههای سازماندهی شده بین‌المللی، به نوعی مختل ساختن امنیت ملی و تهاجم علیه دولت‌ها و تهدیدی ملی محسوب می‌شود.
برای كشور ما كه بسیاری از نرم‌افزارهای پایه از قبیل سیستم عامل و نرم‌افزارهای كاربردی و اینترنتی، از طریق واسطه‌ها و شركتهای خارجی تهیه می‌شود، بیم نفوذ از طریق راههای مخفی وجود دارد. در آینده كه بانكها و بسیاری از نهادها و دستگاههای دیگر از طریق شبكة به فعالیت می‌پردازند، جلوگیری از نفوذ عوامل مخرب در شبكه بصورت مسئله‌ای استراتژیك درخواهد آمد كه نپرداختن به آن باعث ایراد خساراتی خواهد شد كه بعضاً جبران‌ناپذیر خواهد بود. چنانچه یك پیغام خاص، مثلاً از طرف شركت مایكروسافت، به كلیه سایتهای ایرانی ارسال شود و سیستم عاملها در واكنش به این پیغام سیستمها را خراب كنند و از كار بیندازند، چه ضررهای هنگفتی به امنیت و اقتصاد مملكت وارد خواهد شد؟
نكته جالب اینكه بزرگترین شركت تولید نرم‌افزارهای امنیت شبكه، شركت چك پوینت است كه شعبة اصلی آن در اسرائیل می‌باشد. مسأله امنیت شبكة برای كشورها، مسأله‌ای استراتژیك است؛ بنابراین كشور ما نیز باید به آخرین تكنولوژیهای امنیت شبكه مجهز شود و از آنجایی كه این تكنولوژیها به صورت محصولات نرم‌افزاری قابل خریداری نیستند، پس می‌بایست محققین كشور این مهم را بدست بگیرند و در آن فعالیت نمایند.
امروزه اینترنت آنقدر قابل دسترس شده كه هركس بدون توجه به محل زندگی، ملیت، شغل و زمان میتواند به آن راه یابد و از آن بهره ببرد. همین سهولت دسترسی آن را در معرض خطراتی چون گم شدن، ربوده شدن، مخدوش شدن یا سوءاستفاده از اطلاعات موجود در آن قرار می‌دهد. اگر اطلاعات روی كاغذ چاپ شده بود و در قفسه‌ای از اتاقهای محفوظ اداره مربوطه نگهداری می‌شد، برای دسترسی به آنها افراد غیرمجاز می‌بایست از حصارهای مختلف عبور می‌كردند، اما اكنون چند اشاره به كلیدهای رایانه‌ای برای این منظور كافی است.

تعاریف امنیت شبکه :

بر اساس واژه نامه Webster امنیت به معنای کیفیت یا حالت امن بودن، رهایی از خطر، ترس و احساس نگرانی و تشویش می باشد. این تعبیر در دنیای الکترونیکی نیز صادق می باشد اما اگر بخواهیم تعریفی تخصصی در این زمینه داشته باشیم می توانیم بگوییم که، برقراری امنیت در حفظ و بقاء 4 اصل می باشد:

    محرمانگی : اطلاعات فقط و فقط بایستی توسط افراد مجاز قابل دسترس باشد.
    تمامیت : یک سیستم از عناصری متشکل است که در کنار هم برای رسیدن به هدفی یکسان همکاری دارند. حفظ تمامیت به معنای پیشگیری از بروز مشکل در این همکاری و پیوسته نگه داشتن عناصر یک سیستم می باشد.
    دسترس پذیری : اطلاعات بایستی به هنگام نیاز، توسط افراد مجاز قابل دسترس باشد.
    عدم انکار : به هنگام انجام کاری و یا دریافت اطلاعات یا سرویسی، شخص انجام دهنده یا گیرنده نتواند آن را انکار کند.

2) مفاهیم امنیت شبكه
امنیت شبكه یاNetwork Security پردازه ای است كه طی آن یك شبكه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:

1-شناسایی بخشی كه باید تحت محافظت قرار گیرد.

2-تصمیم گیری درباره  مواردی كه باید در مقابل آنها از بخش مورد نظر محافظت كرد.

3-تصمیم گیری درباره چگونگی تهدیدات

4-پیاده سازی امكاناتی كه بتوانند از دارایی های شما به شیوه ای محافظت كنند كه از نظر هزینه به صرفه باشد.

5-مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

برای درك بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبكه می پردازیم.
1-2) منابع شبكه

در یك شبكه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبكه را معرفی می كند كه باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

1-تجهیزات شبكه مانند روترها، سوئیچ ها و فایروالها

2-اطلاعات عملیات شبكه مانند جداول مسیریابی و پیكربندی لیست دسترسی كه بر روی روتر ذخیره شده اند.

3-منابع نامحسوس شبكه مانند عرض باند و سرعت

4-اطلاعات و منابع اطلاعاتی متصل به شبكه مانند پایگاه های داده و سرورهای اطلاعاتی

5-ترمینالهایی كه برای استفاده از منابع مختلف به شبكه متصل می شوند.                           

6-اطلاعات در حال تبادل بر روی شبكه در هر لحظه از زمان

7-خصوصی نگهداشتن عملیات كاربرن و استفاده آنها از منابع شبكه جهت جلوگیری از شناسایی كاربران.

مجموعه فوق به عنوان دارایی های یك شبكه قلمداد می شود.
2-2) حمله

حال به تعریف حمله می پردازیم تا بدانیم كه از شبكه در مقابل چه چیزی باید محافظت كنیم. حمله تلاشی خطرناك یا غیر خطرناك است تا یك منبع قابل دسترسی از طریق شبكه ، به گونه ای مورد تغییر یا استفاده قرار گیرد كه مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبكه را به سه دسته عمومی تقسیم كنیم:

1-دسترسی غیرمجاز به منابع و اطلاعات از طریق شبكه

2-دستكاری غیرمجاز اطلاعات بر روی یك شبكه

3-حملاتی كه منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.

كلمه كلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یك عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبكه است، اما به عبارت كلی می توان دسترسی غیرمجاز را تلاش یك كاربر جهت دیدن یا تغییر اطلاعاتی كه برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یك شبكه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبكه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبكه و اطلاعات مختص اجزاء شبكه جهت انجام كارها مانند جداول مسیریابی روتر است. منابع شبكه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مكانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبكه ، حفاظت از شبكه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه كرد:

1-ثابت كردن محرمانگی داده

2-نگهداری جامعیت داده

3 -نگهداری در دسترس بودن داده  
3-2) تحلیل خطر

پس از تعیین دارایی های شبكه و عوامل تهدیدكننده آنها ، باید خطرات مختلف را ارزیابی كرد. در بهترین حالت باید بتوان از شبكه در مقابل تمامی انواع خطا محافظت كرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی كه باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاكتور اصلی در تحلیل خطر عبارتند از :

1-احتمال انجام حمله

2-خسارت وارده به شبكه درصورت انجام حمله موفق
4-2) سیاست امنیتی

پس از تحلیل خطر باید سیاست امنیتی شبكه را به گونه ای تعریف كرد كه احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید كلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت كوتاهی تغییر پیدا كنند اما اصول كلی امنیت یك شبكه كه سیاست های آن را تشكیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:

1-چه و چرا باید محافظت شود.

2-چه كسی باید مسئولیت حفاظت را به عهده بگیرد.

3-زمینه ای را بوجود آورد كه هرگونه تضاد احتمالی را حل و فصل كند.

سیاستهای امنیتی را می توان به طور كلی به دو دسته تقسیم كرد:

1-مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

2-محدود كننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.

معمولا ایده استفاده از سیاستهای امنیتی محدودكننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشكلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد.
5-2) طرح امنیت شبكه

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یك طرح امنیت شبكه می رسیم. المانهای تشكیل دهنده یك طرح امنیت شبكه عبارتند از :

1-ویژگیهای امنیتی هر دستگاه مانند كلمه عبور مدیریتی و یا بكارگیریSSH

2-فایروالها

3-مجتمع كننده هایVPN برای دسترسی از دور

4-تشخیص نفوذ

5-سرورهای امنیتیAAA (Authentication، Authorization and Accounting) و سایر خدماتAAA برای شبكه

6-مكانیزمهای كنترل دسترسی و محدودكننده دسترسی برای دستگاههای مختلف شبكه
6-2) نواحی امنیتی

تعریف نواحی امنیتی نقش مهمی را در ایجاد یك شبكه امن ایفا می كند. در واقع یكی از بهترین شیوه های دفاع در مقابل حملات شبكه ، طراحی امنیت شبكه به صورت منطقه ای و مبتنی بر توپولوژی است و یكی از مهمترین ایده های مورد استفاده در شبكه های امن مدرن ، تعریف نواحی و تفكیك مناطق مختلف شبكه از یكدیگر است. تجهیزاتی كه در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می كند. همچنین منطقه بندی یك شبكه باعث ایجاد ثبات بیشتر در آن شبكه نیزمی شود.
نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.

1-تجهیزات و دستگاههایی كه بیشترین نیاز امنیتی را دارند (شبكه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبكه های دیگر به این منطقه داده نمی شود. دسترسی با كمك یك فایروال و یا سایر امكانات امنیتی مانند دسترسی از دور امن (SRA) كنترل می شود. كنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

2-سرورهایی كه فقط باید از سوی كاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. كنترل دسترسی به این تجهیزات با كمك فایروال انجام می شود و دسترسی ها كاملا نظارت و ثبت می شوند.

3-سرورهایی كه باید از شبكه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امكان دسترسی به مناطق امن تر شبكه قرار می گیرند. درصورت امكان بهتر است هر یك از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یكی ، سایرین مورد تهدید قرار نگیرند. به این مناطقDMZ یاDemilitarized Zone می گویند.

4-استفاده از فایروالها به شكل لایه ای و به كارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یك اشكال امنیتی در یك فایروال ، كل شبكه به مخاطره نیفتد و امكان استفاده ازBackdoor نیز كم شود











1)مفاهیم حملات در شبکه های کامپیوتری
حملات در یک شبکه کامپیوتری حاصل پیوند سه عنصر مهم  سرویس ها ی فعال  ، پروتکل های استفاده شده  و پورت های باز می باشد . یکی از مهمترین وظایف کارشناسان فن آوری اطلاعات ، اطیمنان از ایمن بودن شبکه و مقاوم بودن آن در مقابل حملات است (مسئولیتی بسیار خطیر و سنگین ) . در زمان ارائه سرویس دهندگان ، مجموعه ای از سرویس ها و پروتکل ها به صورت پیش فرض فعال  و تعدادی دیگر نیز غیر فعال شده اند.این موضوع ارتباط مستقیمی با سیاست های یک سیستم عامل و نوع نگرش آنان به مقوله امنیت  دارد. در زمان نقد امنیتی سیستم های عامل ، پرداختن به موضوع فوق  یکی از محورهائی است  که کارشناسان امنیت اطلاعات  با حساسیتی بالا آنان را دنبال می نمایند.
اولین مرحله در خصوص ایمن سازی یک محیط شبکه ، تدوین ، پیاده سازی و رعایت یک سیاست امنیتی است  که محور اصلی برنامه ریزی در خصوص ایمن سازی شبکه را شامل می شود . هر نوع برنامه ریزی در این رابطه مستلزم توجه به موارد زیر است :

1- بررسی نقش هر سرویس دهنده به همراه پیکربندی انجام شده در جهت انجام وظایف مربوطه در شبکه

2- انطباق سرویس ها ، پروتکل ها و برنامه های  نصب شده  با خواسته ها ی یک سازمان

3- بررسی تغییرات لازم در خصوص هر یک از سرویس دهندگان فعلی (افزودن و یا حذف  سرویس ها و پروتکل های غیرضروری ، تنظیم دقیق امنیتی سرویس ها و پروتکل های فعال )

تعلل و یا نادیده گرفتن فاز برنامه ریزی می تواند زمینه بروز یک فاجعه عظیم اطلاعاتی را در یک سازمان به دنبال داشته باشد . متاسفانه در اکثر موارد توجه جدی به مقوله برنامه ریزی و تدوین یک سیاست امنیتی نمی گردد . فراموش نکنیم که فن آوری ها به سرعت و به صورت مستمر در حال تغییر بوده و می بایست متناسب با فن آوری های جدید ، تغییرات لازم با هدف افزایش ضریب مقاومت سرویس دهندگان و کاهش نقاط آسیب پذیر آنان با جدیت دنبال شود . نشستن پشت یک سرویس دهنده و پیکربندی آن بدون وجود یک برنامه مدون و مشخص ، امری بسیار خطرناک بوده که بستر لازم برای  بسیاری از حملاتی که در آینده اتفاق خواهند افتاد را فراهم می نماید . هر سیستم عامل دارای مجموعه ای از سرویس ها ، پروتکل ها  و  ابزارهای خاص خود بوده  و نمی توان بدون وجود یک برنامه مشخص و پویا  به تمامی ابعاد آنان توجه و از  پتانسیل های آنان در جهت افزایش کارائی و ایمن سازی شبکه استفاده نمود. پس از تدوین یک برنامه مشخص در ارتباط با سرویس دهندگان ، می بایست در فواصل زمانی خاصی ، برنامه های تدوین یافته مورد بازنگری قرار گرفته و تغییرات لازم در آنان با توجه به شرایط موجود و فن آوری های جدید ارائه شده ، اعمال گردد . فراموش نکنیم که حتی راه حل های انتخاب شده فعلی که دارای عملکردی موفقیت آمیز می باشند ، ممکن است در آینده و با توجه به شرایط پیش آمده  قادر به ارائه عملکردی صحیح ، نباشند .

2) وظیفه یک سرویس دهنده
پس از شناسائی جایگاه و نقش هر سرویس دهنده در شبکه می توان در ارتباط با سرویس ها و پروتکل های مورد نیاز آن به منظور انجام وظایف مربوطه ، تصمیم گیری نمود . برخی از سرویس دهندگان به همراه وظیفه آنان در یک شبکه کامپیوتری به شرح زیر می باشد :

Logon Server : این نوع سرویس دهندگان مسئولیت شناسائی و تائید کاربران در زمان ورود به شبکه را برعهده دارند . سرویس دهندگان فوق می توانند عملیات خود را به عنوان بخشی در کنار سایر سرویس دهندگان نیز انجام دهند .

Network Services Server : این نوع از سرویس دهندگان مسئولیت میزبان نمودن سرویس های مورد نیاز شبکه را  برعهده دارند . این سرویس ها عبارتند از :
- Dynamic Host Configuration Protocol )  DHCP)
- Domain Name System ) DNS)
- Windows Internet Name Service)  WINS)
- Simple Network Management Protocol )  SNMP)

 Application Server : این نوع از سرویس دهندگان مسئولیت میزبان نمودن برنامه ها ی کاربردی نظیر بسته نرم افزاری Accounting و سایر نرم افزارهای مورد نیاز در سازمان را برعهده دارند .

 File Server : از این نوع سرویس دهندگان به منظور دستیابی به فایل ها و دایرکتوری ها ی کاربران ، استفاده می گردد .

Print Server : از این نوع سرویس دهندگان به منظور دستیابی به چاپگرهای اشتراک گذاشته شده در شبکه ، استفاده می شود .

Web Server : این نوع سرویس دهندگان مسئولیت میزبان نمودن برنامه های وب و وب سایت های داخلی و یا خارجی را برعهده دارند .

FTP Server : این نوع سرویس دهندگان مسئولیت ذخیره سازی فایل ها برای انجام عملیات Downloading و Uploading را برعهده دارند. سرویس دهندگان فوق می توانند به صورت داخلی و یا خارجی استفاده گردند .

 Email Server : این نوع سرویس دهندگان مسئولیت ارائه سرویس پست الکترونیکی را برعهده داشته و می توان از آنان به منظور میزبان نمودن فولدرهای عمومی و برنامه های Gropuware ، نیز استفاده نمود.

News/Usenet))NNTP Server : این نوع سرویس دهندگان به عنوان یک سرویس دهنده newsgroup  بوده  و کاربران می توانند اقدام به ارسال و دریافت پیام هائی بر روی آنان  نمایند .

به منظور شناسائی سرویس ها و پروتکل های مورد نیاز بر روی هر یک از سرویس دهندگان ، می بایست در ابتدا به این سوال پاسخ داده شود که  نحوه دستیابی به هر یک از آنان  به چه صورت است ؟ : شبکه داخلی ، شبکه جهانی  و یا هر دو مورد . پاسخ به سوال فوق زمینه نصب و پیکربندی سرویس ها و پروتکل های ضروری و حذف و غیر فعال نمودن سرویس ها و پروتکل های غیرضروری در ارتباط با هر یک از سرویس دهندگان موجود در یک شبکه کامپیوتری را فراهم می نماید .

3) سرویس های حیاتی و موردنیاز
هر سیستم عامل به منظور ارائه خدمات و انجام عملیات مربوطه ، نیازمند استفاده از سرویس های متفاوتی است . در حالت ایده آل ، عملیات نصب و پیکربندی یک سرویس دهنده می بایست صرفا" شامل سرویس ها و پروتکل های ضروری و مورد نیاز به منظور انجام وظایف هر سرویس دهنده باشد. معمولا" تولید کنندگان سیستم های عامل در مستندات مربوطه  به این سرویس ها اشاره می نمایند. استفاده از مستندات و پیروی از روش های  استاندارد ارائه شده برای پیکربندی و آماده سازی سرویس دهندگان ،زمینه نصب  و پیکربندی مطمئن با رعایت مسائل ایمنی را بهتر فراهم می نماید .
زمانی که کامپیوتری در اختیار شما گذاشته می شود ، معمولا" بر روی آن نرم افزارهای متعددی  نصب و پیکربندی های خاصی نیز در ارتباط با  آن اعمال شده است . یکی از مطمئن ترین روش ها به منظور آگاهی از این موضوع که سیستم فوق انتظارات شما را متناسب با برنامه تدوین شده ، تامین می نماید ، انجام یک نصب Clean با استفاده از سیاست ها و لیست ها ی از قبل مشخص شده است . بدین ترتیب در صورت بروز اشکال می توان به سرعت از این امر آگاهی و هر مشکل را در محدوده خاص خود بررسی و برای آن راه حلی انتخاب نمود. ( شعاع عملیات نصب و پیکربندی را به تدریج افزایش دهیم ) .

4) مشخص نمودن پروتکل های مورد نیاز
برخی از مدیران شبکه عادت دارند که پروتکل های غیرضروری را نیز بر روی سیستم نصب نمایند ، یکی از علل این موضوع ، عدم آشنائی دقیق آنان با نقش و عملکرد هریک از  پروتکل ها در شبکه بوده و در برخی موارد نیز بر این اعتقاد هستند که شاید این پروتکل ها در آینده مورد نیاز خواهد بود. پروتکل ها همانند سرویس ها ، تا زمانی که به وجود آنان نیاز نمی باشد ، نمی بایست نصب گردند . با بررسی یک محیط شبکه با سوالات متعددی در خصوص پروتکل های مورد نیاز برخورد نموده  که پاسخ به آنان امکان شناسائی و نصب پروتکل های مورد نیاز را فراهم نماید .

 به چه نوع پروتکل و یا پروتکل هائی برای ارتباط سرویس گیرندگان ( Desktop ) با سرویس دهندگان ، نیاز می باشد ؟

به چه نوع پروتکل  و یا پروتکل هائی برای ارتباط سرویس دهنده با  سرویس دهنده ، نیاز می باشد ؟

به چه نوع پروتکل  و یا پروتکل هائی برای ارتباط سرویس گیرندگان ( Desktop ) از راه دور  با سرویس دهندگان ، نیاز می باشد ؟

آیا پروتکل و یا پروتکل های انتخاب شده ما را ملزم به نصب سرویس های اضافه ای می نمایند ؟

آیا پروتکل های انتخاب شده دارای مسائل امنیتی خاصی بوده که می بایست مورد توجه و بررسی قرار گیرد ؟

در تعداد زیادی از شبکه های کامپیوتری ،از چندین سیستم عامل نظیر ویندوز ، یونیکس و یا لینوکس ، استفاده می گردد . در چنین مواردی می توان از پروتکل TCP/IP به عنوان فصل مشترک بین آنان استفاده نمود. در ادامه می بایست در خصوص فرآیند اختصاص آدرس های IP تصیم گیری نمود ( به صورت ایستا و یا پویا و به کمک DHCP ) . در صورتی که تصمیم گرفته شود که فرآیند اختصاص آدرس های IP به صورت پویا و به کمک DHCP ، انجام شود، به یک سرویس اضافه و با نام DHCP نیاز خواهیم داشت . با این که استفاده از  DHCP  مدیریت شبکه را آسانتر می نماید ولی از لحاظ امنیتی دارای درجه پائین تری نسبت به اختصاص ایستای  آدرس های IP ، می باشد چراکه کاربران ناشناس و گمنام می توانند پس از اتصال به شبکه ،  بلافاصله از منبع صادرکننده آدرس های IP ، یک آدرس IP را دریافت و به عنوان یک سرویس گیرنده در شبکه ایفای وظیفه نمایند. این وضعیت در ارتباط با شبکه های بدون کابل غیرایمن نیز صدق می نماید. مثلا" یک فرد می تواند با استقرار در پارکینگ یک ساختمان و به کمک یک Laptop به شبکه شما با استفاده از یک اتصال بدون کابل ، متصل گردد.  پروتکل TCP/IP  ، برای "معادل سازی نام به آدرس " از یک سرویس دهنده DNS نیز استفاده می نماید . در شبکه های ترکیبی شامل چندین سیستم عامل نظیر ویندوز و یونیکس  و با توجه به این که ویندوز NT 4.0 و یا 2000 شده است ، علاوه بر  DNS به سرویس  WINS  نیز نیاز می باشد . همزمان با انتخاب پروتکل ها و سرویس های مورد نیاز آنان ، می بایست بررسی لازم در خصوص چالش های امنیتی هر یک از آنان نیز بررسی  و اطلاعات مربوطه مستند گردند( مستندسازی ، ارج نهادن به زمان خود و دیگران است ) . راه حل انتخابی ، می بایست کاهش تهدیدات مرتبط با هر یک از سرویس ها و پروتکل ها را در یک شبکه به دنبال داشته باشد .

5) مزایای غیرفعال نمودن  پروتکل ها و سرویس های غیرضروری
استفاده عملیاتی از یک سرویس دهنده بدون بررسی دقیق سرویس ها ، پروتکل ها و پیکربندی متنتاظر با هر یک از آنان زمینه بروز تهدیدات و حملات را در یک شبکه به دنبال خواهد داشت . فراموش نکنیم که مهاجمان همواره قربانیان خود را از بین سرویس دهندگانی که به درستی پیکربندی نشده اند ، انتخاب می نمایند. بنابراین می بایست به سرعت در خصوص سرویس هائی که قصد غیرفعال نمودن آنان را داریم ، تصمیم گیری شود . قطعا" نصب سرویس ها و یا پروتکل هائی که قصد استفاده از آنان وجود ندارد ، امری منطقی و قابل قبول نخواهد بود.  در صورتی که این نوع از سرویس ها نصب و به درستی پیکربندی نگردند ، مهاجمان می توانند با استفاده از آنان ، آسیب های جدی را متوجه شبکه نمایند . تهدید فوق می تواند از درون شبکه و یا خارج از شبکه متوجه یک شبکه کامپیوتری گردد . بر اساس برخی آمارهای منتشر شده ، اغلب آسیب ها و تهدیدات  در شبکه یک سازمان توسط کارکنان کنجکا و و یا ناراضی  صورت می پذیرد تا از طریق مهاجمان خارج از شبکه .
بخاطر داشته باشید که ایمن سازی شبکه های کامپیوتری مستلزم اختصاص زمان لازم و کافی برای برنامه ریزی است . سازمان ها و موسسات علاقه مندند به موازات عرضه فن آوری های جدید ، به سرعت از آنان استفاده نموده تا بتوانند از مزایای آنان در جهت اهداف سازمانی خود استفاده نمایند. تعداد و تنوع  گزینه های انتخابی در خصوص  پیکربندی هر سیستم عامل ، به سرعت رشد می نماید . امروزه  وجود توانائی لازم در جهت شناسائی و پیاده سازی سرویس ها و پروتکل های مورد نیاز در یک شبکه خود به یک مهارت ارزشمند تبدیل شده است. بنابراین لازم است کارشناسان فن آوری اطلاعات که مسئولیت شغلی آنان در ارتباط با شبکه و ایمن سازی اطلاعات است ، به صورت مستمر و با  اعتقاد به اصل بسیار مهم " اشتراک دانش و تجارب " ، خود را بهنگام نمایند. اعتقاد عملی به اصل فوق ، زمینه کاهش حملات و تهدیدات را در هر شبکه کامپیوتری به دنبال خواهد داشت .

6)انواع حملات ( Attacks )

انواع حملات

Denial of Service (DoS) & Distributed Denial of Service (DDoS)

Back Door


Spoofing

Man in the Middle


Replay

TCP/IP Hijacking


Weak Keys

Mathematical


Password Guessing

Brute Force


Dictionary

Birthday


Software Exploitation

Malicious Code


Viruses

Virus Hoaxes


Trojan Horses

Logic Bombs


Worms

Social Engineering


Auditing

System Scanning











1) مراحل ایمن سازی شبکه:

همیشه در امنیت شبكه موضوع لایه های دفاعی، موضوع داغ و مهمی است. در این خصوص نیز نظرات مختلفی وجود دارد. عده ای فایروال را اولین لایه دفاعی می دانند، بعضی ها هم Access List رو اولین لایه دفاعی می دانند، اما واقعیت این است كه هیچكدام از این‌ها، اولین لایه دفاعی محسوب نمی شوند. به خاطر داشته باشید كه اولین لایه دفاعی در امنیت شبكه و حتی امنیت فیزیكی وجود یك خط مشی (Policy) هست. بدون policy، لیست كنترل، فایروال و هر لایه دیگر، بدون معنی می شود و اگر بدون policy شروع به ایمن سازی شبكه كنید، محصول وحشتناكی از كار در می آید.
با این مقدمه، و با توجه به این كه شما policy مورد نظرتان را كاملا تجزیه و تحلیل كردید و دقیقا می دانید كه چه می خواهید و چه نمی خواهید، كار را شروع می‌شود. حال باید پنج مرحله رو پشت سر بگذاریم تا كار تمام شود. این پنج مرحله عبارت اند از :

 (1  بازرسی( (Inspection

2 ) حفاظت( Protection )

3 ) ردیابی( ( Detection

4) واكنش( ( Reaction

5 ) بازتاب Reflection ))

در طول مسیر ایمن سازی شبكه از این پنج مرحله عبور می كنیم، ضمن آن كه این مسیر، احتیاج به یك  تیم امنیتی دارد و یك نفر به تنهایی نمی تواند این پروسه را طی كند.
-1 اولین جایی كه ایمن سازی را شروع می كنیم، ایمن كردن كلیه سندیت های (authentication) موجود است. معمولا رایج ترین روش authentication، استفاده از شناسه كاربری و كلمه رمز است.
مهمترین قسمت هایی كه باید authentication را ایمن و محكم كرد عبارتند از :

- كنترل كلمات عبور كاربران، به ویژه در مورد مدیران سیستم.

- كلمات عبور سوییچ و روتر ها ( در این خصوص روی سوییچ تاكید بیشتری می شود، زیرا از آنجا كه این ابزار  (device) به صورت plug and play كار می كند، اكثر مدیرهای شبكه از config كردن آن غافل می شوند. در حالی توجه به این مهم  می تواند امنیت شبكه را ارتقا دهد. لذا  به مدیران امنیتی توصیه میشود كه حتما سوییچ و روتر ها رو كنترل كنند.

- كلمات عبور مربوط به SNMP.

- كلمات عبور مربوط به پرینت سرور.

- كلمات عبور مربوط به محافظ صفحه نمایش.

در حقیقت آنچه كه شما در كلاس‌های امنیت شبكه در مورد Account and Password Security یاد گرفتید این جا به كار می رود.

-2گام دوم نصب و به روز رسانی  آنتی ویروس ها روی همه كامپیوتر ها، سرورها و میل سرورها است. ضمن اینكه آنتی ویروس های مربوط به كاربران باید به صورت خودكار به روز رسانی شود و آموزش های لازم در مورد فایل های ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشكوك نیز باید به  كاربران داده شود.

3 -گام سوم شامل نصب آخرین وصله های امنیتی و به روز رسانی های امنیتی سیستم عامل و سرویس های موجود است. در این مرحله علاوه بر اقدامات ذكر شده، كلیه سرورها، سوییچ ها، روتر ها و دسك تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند.

-4در این مرحله نوبت گروه بندی كاربران و اعطای مجوزهای لازم به فایل ها و دایركتوری ها است. ضمن اینكه اعتبارهای( account) قدیمی هم باید غیر فعال شوند.

 گروه بندی و اعطای مجوز بر اساس یكی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود. بعد از پایان این مرحله، یك بار دیگر امنیت سیستم عامل باید چك شود تا چیزی فراموش نشده باشد.

-5حالا نوبت device ها است كه معمولا شامل روتر، سوییچ و فایروال می شود. بر اساس policy موجود و توپولوژی شبكه، این ابزار باید config شوند. تكنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین علت این مرحله خیلی مهم است. حتی موضوع مهم IP Addressing كه از وظایف مدیران شبكه هست نیز می تواند مورد توجه قرار گیرد تا اطمینان حاصل شود كه از حداقل ممكن برای IP Assign به شبكه ها استفاده شده است.

-6قدم بعد تعیین استراژی تهیه پشتیبان(backup) است. نكته مهمی كه وجود دارد این است كه باید مطمئن بشویم كه سیستم backup و بازیابی به درستی كار كرده و در بهترین حالت ممكن قرار دارد.

-7 امنیت فیزیكی. در این خصوص  اول از همه باید به سراغ UPS ها رفت. باید چك كنیم كه UPS ها قدرت لازم رو برای تامین نیروی الكتریكی لازم جهت كار كرد صحیح سخت افزار های اتاق سرور در زمان اضطراری را داشته باشند. نكات بعدی شامل كنترل درجه حرارت و میزان رطوبت،ایمنی در برابر سرقت و آتش سوزی است. سیستم كنترل حریق باید به شكلی باشد كه به نیروی انسانی و سیستم های الكترونیكی آسیب وارد نكند. به طور كل آنچه كه مربوط به امنیت فیزیكی می شود در این مرحله به كار می رود.

قیمت فایل فقط 16,500 تومان

خرید

برچسب ها : پژهش بررسی اصول و مبانی امنیت در شبکه های رایانه ای , مقاله بررسی اصول و مبانی امنیت در شبکه های رایانه ای , اصول و مبانی امنیت در شبکه های رایانه ای , تحقیق بررسی اصول و مبانی امنیت در شبکه های رایانه ای , دانلود پژهش بررسی اصول و مبانی امنیت در شبکه های رایانه ای , بررسی اصول و مبانی امنیت در شبکه های رایانه ای

نظرات کاربران در مورد این کالا
تا کنون هیچ نظری درباره این کالا ثبت نگردیده است.
ارسال نظر