آموزش امنیت شبکه

[poor!a 15,130]

به نام آنکه هر چه داریم و هر چه هستیم از اوست

 

 

 

وقتی بحث امنیت شبکه پیش می اید ، مباحث زیادی قابل طرح و ارائه هستند ، موضوعاتی که هر کدام به تنهایی می توانند جالب ، پرمحتوا و قابل درک باشند ، اما وقتی صحبت کار عملی به میان می اید ، مسئله به نحوی پیچیده می شود . ترکیب علم و عمل ، احتیاج به تجربه دارد و نهایت هدف یک علم هم ، به کار امدن آن هست .

وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید ، ممکن است این سوال برایتان مطرح شود که " خب ، حالا از کجا شروع کنم ؟ اول کجا را ایمن کنم ؟ چه استراتژی را پیش بگیرم و کجا کار را تمام کنم ؟ " انبوهی از این قبیل سوالات فکر شما را مشغول می کند و کم کم حس می کنید که تجربه کافی ندارید و این البته حسی طبیعی هست . پس اگر این حس رو دارید و می خواهید یک استراتژی علمی - کاربردی داشته باشید ، تا انتهای این مقاله با من باشید تا قدم به قدم شما رو به امنیت بیشتر نزدیک کنم.

 

همیشه در امنیت شبکه موضوع لایه های دفاعی ، موضوع داغی هست و نظرات مختلفی وجود دارد . عده ای فایروال را اولین لایه دفاعی می دانند ، بعضی ها هم Access List رو اولین لایه دفاعی می دانند ، اما واقعیت پنهان این هست که هیچکدام از اینها ، اولین لایه دفاعی نیستند . یادتون باشد که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی ، Policy هست . بدون policy ، لیست کنترل ، فایروال و هر لایه دیگر ، بدون معنی می شود و اگر بدون policy شروع به ایمن کردن شبکه کنید ، محصول یک آبکش واقعی از کار در می اید .

 

با این مقدمه ، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می دانید که چه چیزی رو می خواهید و چی را احتیاج ندارید ، کار را شروع می کنیم . ما باید پنج مرحله رو پشت سر بگذاریم تا کارمان تمام بشود . این پنج مرحله عبارتند از :

 

۱) Inspection ( بازرسی )

۲) Protection ( حفاظت )

۳) Detection ( ردیابی )

۴) Reaction ( واکنش )

۵) Reflection ( بازتاب)

 

در طول مسیر ، از این پنج مرحله عبور می کنیم ، ضمن اینکه ایمن کردن شبکه به این شکل ، احتیاج به تیم امنیتی دارد و یک نفر به تنهایی نمی تواند این پروسه رو طی کند و اگر هم بتواند ، خیلی طولانی می شود و قانون حداقل زمان ممکن را نقض می کند .

 

۱) اولین جایی که ایمن کردن رو شروع می کنیم ، ایمن کردن کلیه authentication های موجود هست . معمولا رایج ترین روشauthentication که مورد استفاده قرار می گیرد ، استفاده از شناسه کاربری و کلمه رمز هست.

 

مهمترین جاهایی که باید authentication را ایمن و محکم کرد عبارتند از :

 

▪ کلمات عبور کاربران ، به ویژه مدیران سیستم .

▪ کلمات عبور سوییچ و روتر ها ( من روی سوییچ خیلی تاکید میکنم ، چون این device به صورت plug and play کار می کند ، اکثر مدیرهای شبکه از config کردن ان غافل می شوند ، در حالی که می تواند امنیت خیلی خوبی به شبکه بدهد ، به مدیران امنیتی توصیه میکنم که حتما این device رو کنترل کنند ) .

▪ کلمات عبور مربوط به SNMP .

▪ کلمات عبور مربوط به پرینت سرور .

▪ کلمات عبور مربوط به محافظ صفحه نمایش .

 

آنچه که شما در کلاسهای امنیت شبکه در مورد Account and Password Security یاد گرفتید را اینجا به کار می برید . که من به خاطر طولانی نشدن بحث به انها اشاره نمیکنم .

۲) قدم دوم نصب و به روز کردن آنتی ویروس بر روی همه دسکتاپ ، سرور و میل سرورها هست . ضمن اینکه آنتی ویروس های مربوط به کاربران باید به طور اتوماتیک به روز رسانی بشود و آموزشهای لازم در مورد فایلهای ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک یا اضطراری به کاربران هم داده بشود .

 

۳) مرحله سوم شامل نصب آخرین به روز رسانی های امنیتی سیستم عامل و سرویسهای موجود هست . در این مرحله علاوه بر کارهای ذکر شده ، کلیه سرورها و device ها و دسک تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی ، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند .

 

۴) در این مرحله نوبت گروه بندی کاربران و اعطای مجوزهای لازم به فایلها و دایرکتوری ها میباشد . ضمن اینکه account های قدیمی هم باید غیر فعال شوند . گروه بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود . بعد از پایان این مرحله ، یک بار دیگه امنیت سیستم عامل باید چک بشود تا چیزی فراموش نشده باشد .

 

۵) حالا نوبت device ها هست که معمولا شامل روتر ، سوییچ و فایروال می شود . بر اساس policy موجود و توپولوژی شبکه ، اینbox ها باید config بشوند . تکنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین اساس این مرحله خیلی مهم هست. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست می تواند مورد توجه قرار بگیرد تا اطمینان حاصل بشود که از حداقل ممکن برای IP Assign به شبکه ها استفاده شده است.

 

۶) قدم بعد تعیین استراژی backup گیری هست . نکته مهم که اینجا وجود دارد این هست که باید مطمئن بشویم که سیستمbackup گیری و بازیابی به درستی کار می کند و بهترین حالت ممکن باشد .

 

۷) امنیت فیزیکی . اول از همه به سراغ UPS ها می رویم . باید چک کنیم که UPS ها قدرت لازم رو برای تامین نیروی الکتریکی لازم جهت کار کرد صحیح سخت افزار های اتاق سرور در زمان اضطراری رو داشته باشند . نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت هست. همینطور ایمنی در برابر سرقت و آتش سوزی. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم های الکترونیکی آسیب وارد نکند . به طور کل آنچه که در مورد امنیت فیزیکی یاد گرفتید را در این مرحله به کار می برید .

 

۸) امنیت وب سرور یکی از موضوعاتی هست که روش باید وسواس داشته باشید. به همین دلیل در این قسمت کار ، مجددا و با دقت بیشتر وب سرور رو چک و ایمن می کنیم . در حقیقت ، امنیت وب رو اینجا لحاظ می کنیم .

( اسکریپت های سمت سرویس دهنده رو هیج وقت فراموش نکنید )

 

۹) حالا نوبت چک ، تنظیم و تست سیستم های Auditing و Logging هست . این سیستم ها هم می تواند بر پایه host و هم بر پایهnetwork باشد . سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید که تمام اطلاعات لازم ثبت و به خوبی محافظت می شود . در ضمن ساعت و تاریخ سیستم ها درست باشد ، مبادا که اشتباه باشه که تمام زحماتتان در این مرحله به باد میرود . و امکان پیگیری های قانونی در صورت لزوم دیگر وجود ندارد .

 

۱۰) ایمن کردن Remote Access با پروتکل ها و تکنولوژی های ایمن و Secure قدم بعدی رو تشکیل می دهد. در این زمینه با توجه به شرایط و امکانات ، ایمن ترین پروتکل و تکنولوژی ها رو به خدمت بگیرید .

 

۱۱) نصب فایروال های شخصی در سطح host ها ، لایه امنیتی مضاعفی به شبکه شما میدهد . پس این مرحله رو فراموش نکنید .

 

۱۲) شرایط بازیابی در حالت های اضطراری رو حتما چک و بهینه کنید . این حالت ها شامل خرابی قطعات کامپیوتری ، خرابکاری کاربران عادی ، خرابی ناشی از بلایای طبیعی ( زلزله - آتش سوزی - افتادن - سرقت - سیل و ... ) و خرابکاری ناشی از نفوذ هکرها ، میباشد . استاندارد های warm site و hot site را در صورت امکان رعایت کنید.

یادتون باشد که " همیشه در دسترس بودن اطلاعات " ، جز، قوانین اصلی امنیتی هست .

۱۳) و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی هست ، عضو شدن در سایتها و بولتن های امنیتی و در جریان آخرین اخبار امنیتی قرار گرفتن هست.

 

 

با تشکر از

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

[poor!a 15,130]

جلسه اول امنیت شبکه[TABLE=width: 710]

[TR]

[TD] [/TD]

[/TR]

[/TABLE]

[TABLE=width: 710]

[TR]

[TD]

 

ایجاد امنیت برای محافظت از دارایی ها تعریف می گردد. روش های تعریف شده و استانداردهای متفاوتی برای حفظ دارایی ها موجود است.

در مورد امنیت مفاهیم مختلفی وجود دارد. امنیت می تواند شامل محافظت (protection) و یا تشخیص(detection) باشد.

• امنیت
  

حفظ دارایی ها برای جلوگیری از آسیب رسانی به آنهاست. یعنی ممکن است دارایی وجود داشته باشد، اما هیچ تهدیدی برایش معنی پیدا نکند. مانند تکه های الماسی که در کهکشان موجود است، تعریف امنیت برای این دارایی ها مادامی که تهدیدی برایشان نیست، معنی ندارد.

 

 

حفاظت از دارایی ها با اطلاع از اینکه این دارایی آسیب پذیری دارد و می تواند با سواستفاده از این آسیب پذیری مورد حمله قرار بگیرد، انجام می پذیرد. مثلا پایگاه داده ای که در شبکه موجود است و اطلاعات و شناسه های کاربران را در خود ذخیره کرده است، یک دارایی در شبکه محسوب می شود و باید مورد حفاظت قرار گیرد زیرا در صورت دسترسی افراد غیرمجاز، به شبکه آسیب می رسد. پس این آسیب پذیری می تواند مورد سواستفاده قرار گیرد.

• تشخیص
  

زمانی که تشخیص مد نظر ما باشد، باید ابزار و تمهیداتی در شبکه تعریف کنیم تا قابلیت تشخیص حمله ها (attack) را داشته باشد. ابزاری که وضعیت شبکه را آمارگیری نموده و در هر زمان از وضعیت ابزار شبکه، نودهای ارتباطی، ترافیک بین مسیریابها، نوع ترافیک انتقالی، زمان پیام ها و بسیاری از پارامترهای شبکه آگاهی دارد.

 

 

 

این ابزار وضعیت شبکه را همچون موجود زند ه ای گزارش می دهند و در صورت ایجاد هر گونه وضعیت مشکوک در شبکه اقدامات امنیتی لازم را انجام می دهند.

 

 

 

محافظت و تشخیص نقشی همانند پیشگیری و درمان در مقابل بیماریها را دارند. تشخیص حمله در صورتی که از آن جلوگیری نماید، یک تشخیص فعال(detection active) نامیده می شود.

 

 

 

دسته دیگر تشخیص را تشخیص منفعل(passive detection) می نامیم. در این تشخیص بعد از وقوع حمله، گزارشی از وضعیت شبکه داده می شود و توانایی پیش بینی و پیشگیری از حمله ها وجود ندارد.

 

ایمن سازی ارتباطات در شبکه طبق استانداردهای تعریف شده دارای بخش ها و مفاهیم متفاوتی است.

 

 

هراستانداردی بخش هایی را برای امنیت تعیین می کند وحفظ امنیت هر داده ای بعضی از این بخش ها را شامل می شود. در ادامه به بخش های اساسی مفهوم حفظ امنیت می پردازیم.

 

1) Access control

2) Authentication

3) Non-repudiation

4) Data confidentiality

5) Communication security

6) Data integrity

7) Availability

8) Privacy

 

 

 

 

برخی مفاهیم ضروری هستند. حفظ محرمانگی داده از ضروریات اولیه است. داده ارسالی که در شبکه تنها باید برای گیرنده و مقصد مفهوم و قابل استفاده باشد و بقیه گیرندگان غیر مجاز قابلیت بهره بردن از آن را نداشته باشند.

 

بجز محرمانگی , احراز هویت فرستنده پیام هم ارزشمند است.

 

 

 

این هشت مفهوم بر اساس استاندارد ITU-T X.805تعریف شده است و ما آنها را به ترتیب در جلسات بعدی بررسی می نماییم.

 

 

 

[/TD]

[/TR]

[/TABLE]

[poor!a 15,130]

جلسه دوم امنیت شبکه[TABLE=width: 710]

[TR]

[TD]

 

 

[/TD]

[/TR]

[/TABLE]

[TABLE=width: 710]

[TR]

[TD]

 

بعد امنیتی کنترل دسترسی

 

 

کنترل دسترسی از امکان استفاده غیرمجاز منابع شبکه جلوگیری می نماید. بعد کنترل دسترسی نشان می دهد که تنها افراد ویا ابزار مجاز، اجازه دسترسی به المان های شبکه، جریان داده ها و استفاده از سرویس ها و کاربردها و نیز ذخیره و اصلاح اطلاعات را دارند.

 

همچنین کنترل دسترسی سطوح متفاوت دسترسی به شبکه را تعریف می نماید. سطوح متفاوت دسترسی به بخشهای دسترسی به منابع، کاربردها، استفاده از عملگرها، استفاده از اطلاعات ذخیره شده و جریان داده ها تقسیم بندی شود و بر اساس درصد مجاز بودن هرکس، هر کدام از آنها، قابل استفاده باشد. در این صورت اجازه دسترسی تنها در همان سطحی که تعریف شده است، داده خواهد شد و امکان اصلاح و تغییر اطلاعات و تنظیمات سایر بخشها وجود ندارد.

تعریف کنترل دسترسی در شبکه در لایه های مختلف انجام می شود.تعریف دیواره های آتش در همه هفت لایه OSI میسر می باشد. دیوار آتش از منابع موجود در داخل شبکه در مقابل حملات بیرونی محافظت کرده و به کاربران داخل شبکه طبق سیاست های امنیتی، اجازه دسترسی به شبکه خارجی را می دهد. تنظیم و یا مسدود نمودن پورت ها در لایه هفت، امکان مدیریت دسترسی به برخی برنامه ها و کاربردها همانند messengerها را امکان پذیر می نماید.کنترل دسترسی در لایه های پایین تر همانند تنظیماتی که در پورتهای سوییچها و دست های مسیریابها انجام می پذیرد، امکان مدیریت ترافیک را تا لایه سه مهیا می سازد.دسترسی بر اساس نام کاربری، کلمه عبور، شماره پورت مبدا، مقصد (،ftp و telnet)، نوع پروتکل شبکه ای مورد استفاده (،UDP،TCP)، آدرس مبدا، مقصد و موقعیت درخواست کننده فراهم می شود و بر اساس این تنظیمات، ***** کردن بسته ها در لایه های سه تا هفت صورت می‌گیرد. امروزه دیوار آتش علاوه بر مدیریت در ترافیک عبوری، سرویس های امنیتی متنوعی ارایه می دهد. به عنوان مثال می توان از( VPN (Virtual Private Networkو یا از NAT Server و همین طور تعدیل بار ، ویروس یاب و سیستمهای تشخیص نفوذ نام برد.

انواع متفاوت دیوار آتش مانند ثابت، پویا، کاربردی، بسته ای، مداری و غیره وجود دارد. دیوار آتش سطح کاربرد، امنیت بالاتری دارد. در این نوع مکانیزم تنها درخواست سرویس هایی پاسخ داده می شود که مجاز باشند مثلا تنها سرویس های http،ftp اجازه عبور دارند و بقیه ***** می شوند.

ابعاد امنیتی کنترل دسترسی و احراز هویت وابستگی نزدیکی به هم دارند زیرا با احراز هویت یک کاربر، اجازه دسترسی کاربر به منابع و اطلاعات صادر می شود به این ترتیب سطح دسترسی معلوم شده است.

در قسمت های بعدی به بعد امنیتی احراز هویت می پردازیم.

 

 

 

[/TD]

[/TR]

[/TABLE]

[poor!a 15,130]

جلسه سوم امنیت شبکه[TABLE=width: 710]

[TR]

[TD]

 

[/TD]

[/TR]

[/TABLE]

[TABLE=width: 710]

[TR]

[TD]

 

بٌعد امنیتی احراز هویت

(Authentication)

 

 

 

بُعد احراز هویت، در مورد تشخیص درست بودن هویت فردی است که می خواهد از امکانات شبکه استفاده نماید.

احراز هویت این اطمینان را می دهد که موجودیتی که در ارتباط شبکه ای شرکت کرده است، مجاز می باشد. این موجودیت می تواند شخص، ابزار، سرویس و یا کاربرد نصب شده در شبکه باشد.

 

یکی بودن هویت کاربر با چیزی که ادعا می کند, به معنی مجاز شناخته شدن آن کاربر است. تنها از این طریق است که کاربر میتواند سرویس ها را از شبکه دریافت نماید.

در حمله هایی که در شبکه رخ می دهد حمله کننده، با استفاده از مشخصه های عناصر مجاز همانند آدرس IP، آدرس MAC ، مشخصه های شناسه کاربری و کلمه عبور و غیره، خود را عنصر مجاز معرفی نموده و به شبکه وارد می شود.

 

محافظت از این بخش ها و جلوگیری از افشای این مشخصه ها باعث در امان ماندن شبکه از حمله های افراد غیرمجاز می گردد.

 

بُعد کنترل دسترسی و احراز هویت با یکدیگر ارتباط نزدیک دارند و ما می توانیم با دادن شناسه کاربری متفاوت به افراد و تعیین سطح دسترسی هر شناسه، باعث شویم تا افراد بتوانند به سرویس های شبکه دسترسی یابند و امکاناتی همانند اصلاح و تغییر داده ها، حذف و یا تغییر مکان و مسیر ذخیره دادها را داشته باشند.

 

بالاترین سطح دسترسی، با دسترسی به شناسه ها و کلمه عبور admin به دست می آید و بالاترین امکان تغییر داده را داراست. در این مورد فرد غیر مجاز، با بالاترین سطح دسترسی به امکانات و دارایی های شبکه، آسیب رسانی را انجام می دهد.

 

همان طور که می دانید، محافظت از شناسه های عبور, از اولویت های مهم امنیتی است و افشای هر شناسه باعث افشای اطلاعات با سطح دسترسی مربوطه برای عموم خواهد بود.

 

فرد غیر مجاز می تواند با شناسه سرقت شده وارد شبکه گشته، اطلاعات لازم را کپی و یا اطلاعات انحرافی را وارد شبکه نموده و بدون جاگذاشتن اثری خارج شده و به اهداف خود برسد. اطلاعات تقلبیِ وارد شده به جای اطلاعات اصلی پردازش شده و بر اساس آنها تصمیم گیری انجام گردد.

 

راه دیگری که امنیت اطلاعات را بالا می برد، رمز نمودن آنهاست تا در صورتی که شناسه های عبور افشا شدند، اطلاعات رمز شده قابل سواستفاده نباشد. رمزنگاری داده ها با اهداف مختلف انجام می گردد و در جلسه بعدی به آن می پردازیم.

 

 

 

[/TD]

[/TR]

[/TABLE]

[poor!a 15,130]

جلسه چهارم امنیت شبکه[TABLE=width: 710]

[TR]

[TD]

 

[/TD]

[/TR]

[/TABLE]

[TABLE=width: 710]

[TR]

[TD]بعد امنیتی محرمانگی داده

(Data Confidentiality)

 

یکی از روش های اصلی حفظ اطمینان در ارتباطات شبکه ای استفاده از رمزنگاری پیام و داده ها می باشد. به علت دسترسی کاربران و شبکه های متفاوت به امکانات شبکه ، امکان شنود در شبکه وجود دارد. شنود داده در صورت رمز بودن آنها امکان سواستفاده را کاهش می دهد. روش های رمزگذاری برای نگهداری محرمانه پیام ها و یا داده های ذخیره شده به کار می روند.

 

 

الگوریتم های رمزنگاری متقارن و نامتقارن وجود دارد. روش های رمزنگاری با استفاده از کلید عمومی، یکی از روش های متداول است. هر کاربر، کلید عمومی خود را اعلام می کند و ما با استفاده از کلید، پیام را رمزکرده و به شبکه می فرستیم. حال تنها کسی که کلید خصوصی رمزگشایی را داشته باشد، قادر به بازگشایی پیام خواهد بود و بقیه درصورت دریافت پیام نیز از آن سردرنمی آورند. روش­های مختلف رمزنگاری مانند DES, RSA را می توان نام برد.

 

 

در کنار رمزنگاری، روش های مختلف کشف رمز برای شکستن کلیدها تعریف شده است. سختی کلیدها نشان دهنده امنیت بالاتر پیام خواهد بود. امروزه از الگوریتم های رمز با طول کلید بالاتر بهره می بریم و زمان کشف این کلیدها، طولانی است و نیازمند پردازشهای پیچیده است.

رمزنگاری علاوه بر ایجاد محرمانگی در داده ها برای حفظ یکپارچگی پیام و احراز هویت نیز استفاده می شود.

 

 

در برخی موارد نمونه ای رمزشده(MAC) از پیام به همراه پیام فرستاده می شود. گیرنده این مقدار را بازتولید می کند و با نمونه MACگرفته شده مقایسه می کند. در صورتی که هر دو یکسان بودند، یعنی پیام در بین راه دچار تغییر نشده است و یکپارچگی آن حفظ شده است.

 

 

این روش برای کشف تغییراتی که فرستنده غیرمجاز در متن پیام ایجاد می کنند و آن را با مشخصات آدرسی فرستنده به ما بفرستند، مفید است. در این حالت MAC تولید شده با MAC دریافتی یکی نیست و پیام ارزشی ندارد.

 

 

ایجاد محرمانگی در شبکه هایی که به صورت broadcasting انتقال داده دارند، مهم است.

 

 

خلاصه اینکه هر ترفندی به کار می بریم تا پیام ما تنها به دست فرستنده برسد و تنها او بتواند آن را استفاده کند.

 

 

 

[/TD]

[/TR]

[/TABLE]

[poor!a 15,130]

جلسه پنجم امنیت شبکه

 

حمله های شبکه های کامپیوتری

 

حملات در شبکه های کامپیوتری جزو جدانشدنی دنیای اینترنت شده اند. حملات به دلایل متفاوتی همانند منافع تجاری، دلایل کینه جویانه، حیله گری و تقلب، جنگ و منافع اقتصادی انجام می پذیرند.

حمله ها در نتیجه نقص یکی از ابعاد امنیتی همانند محرمانگی ، یکپارچگی و یا دسترس پذیری در شبکه و منابع آن انجام می پذیرند.

تقسیم بندیهای مختلفی برای انواع حملات تعریف شده است. شما هر کتاب و مرجعی را که ببینید نوعی گروه بندی را انجام داده اند. در مجموع حملات را به گروه های زیر تقسیم می نماییم.

- Modification Attacks (تغییر غیرمجاز اطلاعات)

- Repudiation Attacks (جلوگیری از وقوع یک اتفاق و یا تراکنش)

- Denial of service attacks (عملی که مانع می شود از اینکه منابع شبکه بتوانند سرویس های درخواستی را به موقع ارایه دهند.)

- Access attacks (دسترسی غیرمجاز به منابع شبکه و اطلاعات)

به طور عام هر عملی که باعث می شود تا عملکرد شبکه ناخواسته گردد، حمله نامیده می شود. ممکن است این عمل تغییر رفتار مشهودی در سیستم شبکه نباشد.

حمله غیرفعال: وقتی فرد غیرمجاز در حال شنود ترافیک ارسالی می باشد، تغییر مشهودی در رفتار سیستم نداریم. این حمله، حمله غیرفعال است. در صورتی که شنودکننده موفق به رمزگشایی گردد، اطلاعات مفیدی به دست آورده است.

حمله فعال: حمله ای که محتوای پیام را اصلاح نماید، فرستنده و یا گیرنده پیام را تغییر دهد و یا هر ترفندی که پاسخ مجموعه را تغییر دهد، حمله فعال نامیده می شود.

در ادامه به معرفی حملات معروف شبکه و راه های مقابله با آن خواهیم پرداخت.

 

Denial of Service (DOS)/ Distributed DOS

درحمله DOS ، منابع یک سیستم اشغال می شود تا آن منبع توانایی پاسخگویی به درخواست ها را نداشته باشد. این حمله با بمباران سیل آسای یک سرور با تعداد زیادی از درخواست ها مواجه می نماید که نمی توان به همه آنها به صورت کارآمد پاسخ گفت. مورد دیگر فرستادن مجموعه درخواست ها به هارد درایو یک سیستم است که تمام منابع آن را درگیر نماید.

نوع دیگر DOS توزیع شده است که از طریق تعداد زیادی از host ها انجام می پذیرد. برنامه حمله بدون اطلاع مالکان، بر روی این سیستم ها نصب و در رابطه با اجرای حمله به سوی هدف، فعال می گردند.

مثال های زیر را می توان برایDOS نام برد.

Buffer overflow (دریافت حجم زیادی از داده ها در پاسخ یک درخواست مانند دریافت حجم زیادی از پاسخ ها در مقابل دستور echo در پروتکل ICMP)

SYN attack(بهره برداری از فضای بافر درhandshake پروتکل TCP)

Teardrop Attack(تغییر فیلد offset در بسته IP)

Smurf (فرستادن Broadcast یک دستور PING - ارسال پاسخ کلیه آنها به سمت هدف حمله- ایجاد ترافیک اشباع شده در سمت هدف)

Back door

حمله در مخفی از طریق مودم های dial up و غیره انجام می گردد. سناریو آن دسترسی به شبکه از طریق کنار گذاشتن مکانیزم های کنترلی با استفاده از راه های مخفی می باشد.

IP Spoofing

در این حمله قربانی متقاعد می گردد که به یک سیستم شناخته شده و قابل اطمینان متصل شده است. این حمله در لایه TCP انجام می پذیرد و آدرس یک مبدا مجاز (به جای مبدا غیرمجاز) داده می شود و مقصد این بسته را گرفته و دستورات بسته را پذیرفته، اعمال می نماید.

[poor!a 15,130]

جلسه ششم امنیت شبکه[TABLE=width: 710]

[TR]

[TD=align: right]

حمله های شبکه های کامپیوتری(ادامه)

در جلسه قبل راجع به حملات رایج شبکه‌های کامپیوتری بحث شد. قرار شد این جلسه به ادامه حملات و راه های مقابله با اونها بپردازیم....

Fileextensions

سیستم عامل ویندوز قابلیتی دارد که اجازه می‌دهد تا پسوند یک برنامه در مقابل کاربر مخفی باقی بماند که ظاهرا باعث راحتی در کار است، اما باعث می‌شود برخی کدهای مخرب در ظاهری آشنا، مخفی شوند. مثلا فایلی با نام readme.txt در ظاهر یک فایل متنی بی آزار است، در حالی که می تواند نام آن readme.txt.bat باشد! و پسوند واقعی.bat به علت خاصیت ویندوز مخفی شده باشد.

راه مقابله: شما می توانید خاصیت مخفی بودن پسوند فایل‌ را در ویندوز غیر‌فعال نمایید.

 

Packetsniffing

ترافیک ایستگاه کاری شبکه‌های LAN ، در مقابل شنود توسط بقیه ایستگاه‌های کاری، در یک hub آسیب‌پذیر است. در این محیط، کاربر ترافیک دیگران را بدون اینکه آشکار شود و به صورت off lineگوش می‌دهد. ابزار شنود در این محیط، حمله را انجام داده ، ترافیک را شنود کرده، کپی نموده و سپس به مقصد نفوذکننده می‌فرستند. شنود شامل تمام ترافیک اینترنت مانند پست الکترونیکی، instant message و ترافیک web خواهد بود. در زمان شنود ترافیک web،تمام عملیاتی که کاربر انجام می‌دهد، توسط شنود‌کننده دیده می‌شود.

راه مقابله: بهترین روش محافظتی در مقابل این حمله، رمزگذاری پیام‌های انتقالی است تا در صورت شنود نیز نتوان استفاده‌ای از پیام‌ها نمود.

Hijacking & sessionreplay

Hijacking به معنی دزدی در حین انتقال به منظور انتقال به مقصد جدید است.

Session Hijacking وقتی رخ می‌دهد که یک session پروتکل TCP/IP توسط یک شنود‌کننده شبکه برداشت شود. به این معنی که در حال انتقال یک پیام بین فرستنده و گیرنده، تغییرات لازم در وضع و حالت پیام داده شده و پیام اصلاح شده دوباره در جریان ترافیک شبکه قرار می‌گیرد. با این تغییرات، نفوذکننده به عنوان مقصد پیام تعریف می‌شود.

تمام پیام‌های بعدی تعریف شده در آن session، بین مبدا اصلی و نفوذکننده(به عنوان مقصد جدید) در جریان خواهد بود و ترافیک به سمت مقصد مورد نظر حمله‌کننده، تغییر مسیر می‌دهد و تمامی پیام‌های بعدی آن session به حمله کننده می‌رسد.

راه مقابله: کاربردهای مبتنی بر web ، برای حمله‌های hijacking مناسب هستند. استفاده از پروتکل SSL از حملات hijacking و replay جلوگیری می‌نماید. این پروتکل بر روی TCP/IP و قبل از پروتکل‌های HTTP,IMAP استفاده می‌گردد و به صورت client- Server اجرا می‌شود. سرور خود را برای Client احراز هویت نموده و اجازه می‌دهد client نیز خود را به سرور معرفی نماید پس از احراز هویت دو سویه، یک ارتباط رمز شده بین دو طرف برقرار می‌شود.

[/TD]

[/TR]

[/TABLE]

[poor!a 15,130]

جلسه هفتم امنیت شبکه

[TABLE=width: 710]

[TR]

[TD=align: right]Intrusion Detection System

در جلسه های قبل راجع به حملات رایج شبکه‌های کامپیوتری بحث نمودیم. در ادامه به راه کارهای مقابله می پردازیم.................

شناسایی حمله در مکانیزم های دفاعی برای پیشگیری از وقوع حمله مهم است. IDS(Intrusion Detection System) از ابزاری است که در شبکه به این منظور استفاده می شود.

سیستم IDS به صورت یک ابزار در شبکه(به عنوان مسیریاب- سوییچ...) با نرم افزاری که کار مونیتورینگ ترافیک عبوری را انجام می‌دهد، نصب می‌شود. معمولا دیوار آتش به همراه IDS کار تشخیص حمله را انجام می‌دهند. اگر از درون یک LAN به سمت بیرون حرکت کنید ابتدا به IDS سپس به دیوار آتش می‌رسید و پس از آن به شبکه بیرونی(اینترنت) می‌رسید. زیرا دیوار آتش یا از عبور بسته ممانعت می نماید و یا بسته را عبور می دهد. بنابراین ترافیک گسیل شده از شبکه بیرون در صورتی که از دیوار آتش عبور نمود توسط IDS بررسی می شود تا در مورد مشکوک بودن رفتار آن تصمیم‌گیری شود. در عمل این دو ابزار در یک آدرس IP می‌توانند پیاده‌سازی شوند. به علت منحرف نمودن توجه مهاجم از وجود ابزار امنیتی در شبکه، معمولا سیستم‌های امنیتی را در غالب یک مسیریاب، سوییچ در شبکه قرار می‌دهیم.

یک IDS کار مونیتور نمودن ترافیک شبکه و سرکشی به فایلهایlog راانجام میدهد. به این ترتیب هرگونه تخلف از سیاستهای امنیتی معمول شبکه را تشخیص می‌دهد.

انواع متفاوتی از این سیستم تعریف شده است. سیستم هایی که بر مبنای رفتار ترافیک شبکه، تنظیمات پورت‌ها، بر اساس نشانه‌ها و رفتار یک حمله که در منبع سیستم IDS ذخیره شده است و تغییر ترافیک با این الگو تطابق داده می‌شود، بر اساس تخطی از الگوی رفتاری معمول یک کاربر و یا سایر مشخصه ها به تشخیص یک حمله می‌پردازد و هشداری مبنی بر احتمال حمله را می‌دهد. سیستمIDS کار مقابله با حمله و سد آن را نیز عهده دار می‌باشد.

سیستم‌های IDS‌ای که رفتار آماری غیر عادی را تشخیص می‌دهند(behavior-based) وسیستم‌هایی که بر روی سگمنت‌های شبکه و ترافیک آنها به صورت بلادرنگ شنود و تحلیل می‌نمایند، سیستمهای مبتنی بر شبکه می‌باشند که در واقع نشانه‌ها را تشخیص می‌دهند . این سیستمها شامل یک برنامه لایه کاربرد به همراه NIC می‌باشند. ترافیک بقیه سگمنتهای آن شبکه و یا بقیه خطوط ارتباطی همانند خطوط تلفن مونیتور نمی شوند.

سیستم‌های کارآمد باید بتوانند هر نوع حمله‌ای را با ترکیبی از این روش‌ها و بدون تلف نمودن منابع سیستم، داده‌های بلادرنگ و قابل اعتمادی از شبکه را بدست‌ آورند. این سیستم ها برای مقابله با حمله DOS کاربرد دارند.

می توان IDS را کنار سوییچ‌ها نصب نمود و با استفاده از پورت‌های خاص این ابزار که خاصیت یک هاب را دارند، ترافیک عبوری از سوییچ را به IDS فرستاد (forward نمود) به این ترتیب یک سیستم محافظتی خاموش در شبکه قرار داده‌ایم.

سیستم هایIDS مشکلاتی نیز دارند:

برخی هکرها حوصله زیادی در عملی نمودن حمله خود دارند. برخی حمله‌ها بر اساس تغییرات بسیار کند ترافیک عبوری و با گذشت زمان زیاد به وقوع می پیوندند و این یعنی سیستم IDS باید نمونه‌های زیادی از اطلاعات را در پایگاه داده ذخیره و تحلیل نماید! و تشخیص حمله نیازمند هزینه فضای حافظها و تحلیل رفتاری طولانی مدت شبکه است.

در مواردی مشخصه‌ها و شناسه‌هایی که در بخش کاربرد سیستم IDS تنظیم می‌شوند مانند نوع سیستم عامل و شماره نسخه آن و platform مربوطه باعث می‌شود حملاتی که به صورت موردی و یا با فرمت جدید انجام می شود از دید دور بماند. این نوع سیستمIDS به شدت به سیستم عامل و منابع خود وابسته است و برای داشتن شبکه سالم به پشتیبانی و به روز شدن مداوم نیازمند است تا شناسایی آسیب‌پذیری‌های جدید و هماهنگی با آنها را به خوبی انجام دهد. در واقع داشتن دید سازگار با تغییرات نوع حمله ها نیازمند همراهی با تغییرات کاربردها و امکانات مهاجمان می‌باشد.

در مورد سیستم‌های IDS که بر اساس رفتار ترافیک عبوری تصمیم‌گیری می‌نمایند، به روز شدن و پشتیبانی ضرورت کمتری دارد. آنها بر اساس تحلیل ترافیک به تصمیم‌گیری می‌پردازند.

گاهی سیستم آنقدر حساس تنظیم شده است که با کوچکترین تغییر و تحولی در شبکه هشدار می‌دهد و این موقع‌هاست که مدیر شبکه شاکی از این ابزار محافظتی ترجیح می‌دهد خود با ترفندهای دستی همانند بستن پورت ICMP، کنترل دسترسی به ترافیک و برخی محدودیت های دیگر، خود به trace شبکه برای مقابله با حملات بپردازد.

نرم‌افزارهایی open source در شبکه با هسته Linux, Unix تعریف می‌شوند که ادعا می‌نمایند به scan پورتها‌ می‌پردازند و به ما در کنترل شبکه کمک می‌نمایند. این نرم‌افزارها گاهی از طریق Back door های تعریف شده به شنود ترافیک مشغولند.

نرم‌افزاری مانند snort که در عمل به همراه یک موتور IDS میتواند یک سیستم تشخیص نفوذ را ایجاد کند توسط مهاجم برای استراق سمع بسته های مربوط به دیگران استفاده می شود.

سیستم‌های محافظتی دیگری بجز IDS همانند دیوار آتش و ... نیز وجود دارند.

 

 

[/TD]

[/TR]

[/TABLE]

[poor!a 15,130]

جلسه هشتم امنیت شبکه[TABLE=width: 710]

[TR]

[TD]

[TABLE=width: 710]

[TR]

[TD]

 

به نام خدا

 

 

حمله های لایه کاربرد( virus, worm):

 

 

در این پست راجع به برخی حمله ها در لایه کاربرد مطالبی ارایه می گردد. امیدوارم مفید باشه.

 

 

حمله های مربوط به لایه کاربردی شامل انواع ویروس‌ها و کرم‌ها می‌باشد. یکی از روش های انتشار ویروس‌ها ، قرار گرفتن در boot sector است که با هر بار روش شدن و بالا آمدن سیستم، ویروس فعال می‌گردد و در جاهای مختلف نظیرDVD,CD و ... قرار می گیرد.

 

 

یک ویروس روش های متفاوت تکثیر را در شبکه دارد. ویروس برای تکثیر نیازمند یک برنامه میزبان می باشد که در کامپیوتر میزبان نصب می‌گردد و از طریق اجرای این برنامه ،‌ فعالیت خود را آغاز می‌‌نماید.

 

 

یک ویروس فایل‌های داده را آلوده نمی‌کند، چون فایلهای داده اجرا نمی‌شوند و قسمت اجرایی هم ندارند که بتوانند به ویروس کمک کنند.

گاهی ویروس‌ها به صورت رمزشده در شبکه منتقل می‌شوند. هدف از رمز کردن یک ویروس، ‌ایجاد محرمانگی برای داده نمی‌باشد، بلکه هدف تغییر شکل ویروس است تا در شبکه توسط ابزار امنیتی مانند دیوار آتش و یا IDS ها قابل تشخیص نباشند و در مقصد توسط برنامه رمزگشایی که دارند، ‌بازیابی شده و اجرا گردند.

 

 

ویروس ها بر اساس یک برنامه HOST و بر اساس تحریکی که ممکن است کاربر به آن پاسخ دهد( مثل کلیک کردن توسط کاربر) به سیستم وارد شده و منتشر می‌گردند. گاهی برنامه های نامربوطی به صورت دادن پیغام از ما می خواهند یکی از گزینه های YES/NO را انتخاب کنیم تا آنها اجازه داشته باشند که نصب شوند و ما غافل از اینکه هر دو گزینه YES/NOدر باطن یکی هستند گزینه NO را انتخاب می نماییم!! و به این ترتیب به برنامه ویروس اجازه می دهیم تا در کامپیوتر ما نصب شوند!!

 

 

علاوه بر ویروس‌ها که در لایه کاربرد شبکه فعال هستند، کرم ها نیز وجود دارند. کرم‌ها (worm ) به صورت خودکار منتشر می‌شوند و نیاز به تحریکی از طرف کاربر ندارند. عملکرد کرم‌ها مستقل است و نیازی به استفاده از برنامه میزبان ندارند.

برای جلوگیری از نفوذ کرم‌ها و ویروس‌ها در شبکه اینترنتDARPA یک گروه به نام گروه CERT

Computer Emergency Response Team را تشکیل داد که هنوز هم در زمینه امنیت فعال است.

 

 

یک مدیر شبکه خوب باید اطلاعات کافی از مهاجمین داشته باشد و بتواند تشخیص دهد که مهاجم از لحاظ داشتن امکانات و نیز اطلاعات راجع به حمله، درچه سطحی قرار دارد.

اسب های تراوا نوع دیگری از حمله‌های لایه کاربرد می‌باشد. به اسب های تراوا که در سطح سیستم عامل عمل می‌کنندRootkit گفته می شود.

 

 

با توجه به حمله‌های لایه کاربرد، بررسی و تشخیص نقاط ضعف شبکه به جلوگیری و کشف حمله‌ها کمک موثری نماید. این روش ها شامل موارد زیر است:

- تعیین پورت های باز

- تعیین ماشین های فعال

- به دست آوردن نقشه شبکه

- تعیین موقعیت مسیریاب‌ها و دیواره آتش

- تعیین سیستم عامل

- تجزیه و تحلیل دیواره آتش و نقاط ضعف و قوت آن

 

 

علاوه بر اطلاعات بالا می توان از نرم افزارهای قوی که برایscan نمودن و تشخیص وضعیت شبکه نوشته شده‌اند، بهره برد. نرم افزارهایی مانند ethereal,NESUSو.... که البته دو نوع مورد استفاده مفید و مضر می توانند داشته باشند.

 

 

می توان از طریق نصب برنامه Nesus نقاط آسیب‌پذیر را یافت. این نوع نرم افزارها برای استفاده معمولی در شبکه طراحی شده‌اند تا مدیر شبکه نقاط آسیب‌پذیر شبکه را بیابد.

 

 

البته جالبه بدونید که یک مهاجم می تواند از طریق پورتی که بازمونده، نفوذ کرده و نرم افزار NESUS را در سیستم نصب نموده و نقاط ضعف شبکه را به صورت غیر مجاز scan نماید و این حسن سواستفاده از نرم افزار است!!

 

 

 

[/TD]

[/TR]

[/TABLE]

[/TD]

[/TR]

[/TABLE]

[poor!a 15,130]

جلسه نهم امنیت شبکه[TABLE=width: 710]

[TR]

[TD]

[TABLE=width: 710]

[TR]

[TD]پروتکل‌های امنیتی شبکه ها

پروتکل، مجموعه قوانینی برای ارتباط طرفین و یا دو موجودیت نظیر(peer entity) می‌باشد. مجموعه قوانینی که برای انتقال پیام بین دو طرف ارتباط در یک شبکه وجود دارد. پروتکل‌های مختلفی در لایه های مختلف شبکه ها تعریف شده‌اند. این پروتکل‌ها اهداف مختلفی را دنبال می‌نمایند. پروتکل‌های تعریف شده در لایه کاربرد ارتباط بین دو نهاد به صورت انتها به انتها را برقرار می‌نمایند. یعنی دو کاربرد در دو انتهای ارتباط به صورت امن رابطه برقرار می‌نمایند.

 

 

پروتکل‌های امنیتی در لایه های پایین‌تر با ارتباط کاربردی، کاری ندارند و امنیت در حد واسط‌ها و دیتا گرام و یا امنیت بسته را برقرار می‌نمایند.

 

 

پروتکل‌های امنیتی در ابتدا کار احراز هویت را انجام می‌دهند. احراز هویت به صورت یکطرفه و دو طرفه انجام می‌پذیرد. احراز هویت یک طرفه یعنی کاربر و یا نهادی که می‌خواهد از شبکه ارتباط بگیرد، باید ابتدا خود را معرفی نماید.

 

 

معرفی یک کاربر به شبکه، بسته به اینکه پروتکل امنیتی مربوط به کدام لایه باشد، فرق می‌کند. پروتکل امنیتی لایه سه، آدرس IP او را بررسی نموده و تصدیق می‌نماید. پروتکل امنیتی لایه کاربرد، آدرس پورت‌ها، شماره نشست و بقیه مشخصه‌ها را بررسی می‌نماید. بقیه مشخصه‌ها می‌تواند شامل شماره ترتیبی(Sequent Number) نیز باشد.

 

 

در احراز هویت دوطرفه شبکه سرویس‌دهنده هم باید خود را به کاربر معرفی نموده و خود را احراز نماید. بعد از معرفی اولیه دو طرف و توافق بر کیفیت ارتباط ؛ امکان ایجاد ارتباط ، تعریف شده و شروع می‌شود.

 

 

توافق‌های اولیه راجع به الگوریتم‌‌های رمزنگاری مورد استفاده، کلید‌های عمومی، کلیدهای خصوصی و بقیه مشخصه‌ها می‌باشد. پس از این مرحله هر دو طرف ارتباط می‌دانند که از چه کلیدی استفاده کنند تا طرف مقابل قادر به رمزگشایی باشد،‌از چه الگوریتمی برای رمزنمودن داده استفاده نمایند و بقیه اطلاعات لازم را از طرف دیگر بدست می‌آورند.

این توافق‌ها در بخشی به نام hand shaking و یا دست‌داد انجام می‌پذیرد. دستداد در ابتدای هر ارتباط انجام می‌پذیرد.

در مورد احراز هویت و روش‌های مختلف آْن در مقاله‌های بعدی توضیح خواهیم داد.

 

 

از پروتکل‌های امنیتی می‌توانم به ‌IPsec، SSL، SSH،TLS،WTLS اشاره کنم. هر کدام از این پروتکل‌ها می‌توانند به همراه پروتکل‌های شبکه و در کنار آنها، وظیفه اجرا و پیاده‌سازی مکانیزم‌های امنیتی را به منظور حفظ ابعاد هشت‌گانه امنیتی برعهده داشته باشند.

 

 

این مکانیزم‌ها از بروز حمله‌‌ها جلوگیری می‌نمایند. پیاده‌سازی برخی از این پروتکل‌ها به صورت اجباری در پروتکل‌ها تعریف شده است. به عنوان مثال پیاده‌سازی پروتکلIPsec در پروتکل IPv6 اجباری می‌باشد. پروتکلIPsec مربوط به لایه شبکه و بقیه پروتکل‌های گفته شده مربوط به لایه کاربرد و یا انتقال می‌باشند.

 

 

سازگاری این پروتکل‌ها در کنار بقیه استانداردهای شبکه منجر به افزایش استفاده از آنها می‌گردد. برخی از آنها نیز همانند WTLS به منظور خاصی تعریف می‌گردد.

 

 

پروتکلWTLS یک پروتکل امنیتی لایه انتقال است که در شبکه‌های سیار برای حفظ امنیت لایه کاربرد ارتباط انتها به انتهای کاربران شبکه تعریف شده است.

 

 

پروتکل‌های دیگر لایه انتقال SSL، TLS می‌باشند و پروتکلSSH مربوط به ارتباط در لایه کاربرد می‌باشد. با وجودی که پروتکل‌های SSL، TLS شباهت زیادی دارند، به طور همزمان و در دو طرف یک ارتباط قابل استفاده نیستند. هدف این دو پروتکل صحت داده و محرمانگی ارتباط بین طرفین ارتباط می‌باشد.

 

 

SSL بیشتر توسطWEB browser ها و کارهای مربوط به شبکه که امنیت در آنها مهم می‌باشد، به کار گرفته می‌شود. یکی از این کاربردهای مهم تجارت الکترونیک می‌باشد.SSL بر روی TCP اجرا می‌گردد.

 

 

هر چه پروتکل امنیتی استفاده شده در لایه‌های پایین‌تر باشد نیازی به تغییر برنامه ها نخواهیم داشت. به عنوان مثال در صورت استفاده از IPsec نیازی به تغییرات در برنامه‌های کاربر نیست اما در صورتی که بخواهیم از SSL و یا TLS استفاده نماییم، باید برنامه کاربردی تا حدودی تغییر یابد و از پیاده‌سازی پروتکل امن مربوطه آگاه باشد.

 

[/TD]

[/TR]

[/TABLE]

[/TD]

[/TR]

[/TABLE]

[poor!a 15,130]

جلسه دهم امنیت شبکه[TABLE=width: 710]

[TR]

[TD]

[TABLE=width: 710]

[TR]

[TD]

پروتکلIPsec امنیتی

 

 

پروتکل‌IPSec در لایه سه اعمال شده و مکانیزم‌های امنیتی را بر روی پروتکلIP اعمال می‌کند. ایجاد این مکانیزم‌ها بر روی IP باعث می‌شود تا حدودی امنیت در شبکه‌ اینترنت بر روی داده‌ها اعمال شود. این پروتکل در لایه سه و به همراه IPv6 به صورت اجباری اعمال می‌شود و باعث ایمن نمودن ارتباط ایجاد شده در شبکه داخلی و در کل شبکه می‌گردد.

اعمال این پروتکل امنیتی در لایه سه، نیازی به تغییر در برنامه‌های کاربردی نصب شده در شبکه ندارد و پس از پیاده‌سازی آن، همان برنامه ها و پروتکل‌های قبل از اعمالIPSec به کار خود ادامه می‌دهند.

این پروتکل مسیریابی مطمینی در شبکه موجب می‌گردد و از بسیاری از حملاتی که ناشی از مسیریابی جعلی است ممانعت می‌نماید.

این پروتکل در دو م‍د transport و tunnel مورد بهره‌برداری قرار می‌گیرد. در مد انتقال، از payload یا همان داده و قسمتی از سرآیند IPکه این پروتکل به آن اضافه شده است، محافظت می‌شود و سرآیندهای مربوط به IP محافظت نمی‌شوند.

مد تونل‌زنی‌IPSec بر روی دروازه‌ها و یا گره‌هایی که توسط آنها اطلاعات از زیرشبکه خارج می‌گردد، اعمال می‌گردد و در زمان خروج بسته‌ها ایمنی بر روی آن‌ها اضافه می‌شود و از payload محافظت می‌گردد.

کل داده به همراه بخش‌های ایمنی، به عنوان داده جدید برای datagram جدید درنظر گرفته شده و سرآیند مربوط به datagram نیز محافظت می‌شود. به این معنی که یک سرآیند خارجی امنیتی به کل بسته ‌IP شامل داده و سرآیند آن اضافه می‌گردد.

 

 

پروتکلIPsec از حملاتی نظیرIPSpoofing ممانعت می‌کند و به علت تعریف شماره‌های توالی در خود از حمله تکرار نیز جلوگیری می‌کند. در حمله تکرار مهاجم بسته فرستاده شده در شبکه را دریافت نموده و دوباره آن را ارسال می‌کند. در صورت داشتن شماره توالی و یا sequence Number در یک بسته وقتی دوباره بسته‌ای فرستاده باشد، این شماره توالی در شبکه تکراری خواهد بود و گیرنده با دریافت این موضوع بسته را drop می‌کند. در صورتی که بسته‌ای نیز از شبکه حذف شود، شماره توالی مربوط به آن حذف شده است و شبکه متوجه مفقود شدن یک بسته خواهد شد.

نوشتن شماره توالی و time stamp و یا مهر زمانی‌ برای جلوگیری از حمله تکرار می‌باشد.

هر کدام از این دو مد کاری پروتکلIPSec، می‌توانند در دو نوع حالت پیاده‌سازی شوند. پیاده‌سازی این پروتکل با دو روش AH,ESP مورد اجرا قرار می‌گیرد. سرویس‌های پروتکل AH شامل احراز هویت، یکپارچگی داده و کنترل دسترسی است.

روش ESP با رمزنگاری، شامل سرویس‌های محرمانگی داده، کنترل دسترسی و محرمانگی جریان داده می‌باشد.

هر دو روش از ایجاد حمله تکرار بسته‌ها با استفاده از یک مقدار شماره توالی سی و دو بیتی، ممانعت می‌کنند.

زمان انتقال ترافیک، وقتی که بسته‌IP، به هر گره‌ای که بر روی آن IPSec نصب شده است، برخورد کند، بر اساس آدرس مقصد می‌تواند تشخیص دهد که این گره، کاربر نهایی، مسیریاب و یا یک دیواره آْتش است.

 

 

[/TD]

[/TR]

[/TABLE]

[/TD]

[/TR]

[/TABLE]