دسته
جك وSMS
ستاره ها
ايرانشناسي
مهدويت
خبر گزاري مهدي فخر در شهر ستان ها
كرمان شناسي
بهترين مطالب
آموزش گام به گام تنیس
آرشیو
آمار وبلاگ
تعداد بازدید : 96471
تعداد نوشته ها : 695
تعداد نظرات : 58
Rss
طراح قالب
در این مقاله مفاهیم امنیت اینترنتی رامعرفی کرده وآنها را توضیح می دهیم.تمرکز در این مقاله برروی «پروتکل امنیت اینترنت» ( IPSEC) است.عملکردهای IPSEC توسط مثالهایی که از روشهای انتقال ،تونل آورده می شود توضیح داده می شوند ، سپس نقوص امنیتی را امتحان می کنیم .یعنی انواع ایمنی را که توسط اینترنت ارائه می شود را می آزمائیم واینکه چگونه بکار گرفته می شود.مشکل ایمنی:بسیاری از کسانی که این پاراگراف را می خوانند ، خود قربانیان اسلحه امنیتی روی کامپیوتر شخصی یا شرکتشان بوده اند .گاهی اوقات این اسلحه فقط کمی آزار دهنده است یا حتی می تواند با مزه وجالب باشد .ولی گاهی اوقات می تواند فجیع باشد که ناشی از خرابی فایلهای اطلاعاتی ویا برنامه ها باشد .بیشتر مواقع همین امر موجب کم آمدن زمان مفید کاری می شود.FBI برای فهمیدن حوزه اشکال آفرین ، دارای یک سازمان متخصص امنیت شبکه کامپیوتر است .این سازمان که مقرش در سان فرانسیسکو می باشد، درسال 1998 گزارش کردکه فقط60% در FORTUNE سیستمشان اسلحه امنیتی دارند واین به مفهوم نفوذ موفق به سیستمشان است بنابراین به نظر می رسدکه در 100% آنها تلاشهایی برای نفوذ ورخنه کردن انجام شده است. بعدها FBIگزارش کرد که هر اتفاق ناگواری حدود 8/2 میلیون برای شرکت خرج دارد تا درست شود .IBM مرکز ضد ویروس را در مرکز تسهیلات خود درهاوترن شهر نیویورک اداره می کند .IBM در این بخش بابیش از 20000 مهاجم امنیتی جداگانه مبارزه میکند.امروزه این قسمت 6تا 10 ویروس جدید را در روز تجزیه وتحلیل وپردازش می نماید .تعاریف امنیت:قبل از اینکه به موضوع بپردازیم تعدادی تعریف مورد نیاز است در این معرفی ، این تعاریف در سطح معمولی نگهداشته می شوند .سپس جزئیات آنها توضیح داده خواهد شد جدول 1-9 این تعاریف را خلاصه کرده است .اولین اصطلاح Encription است.که به معنی تغییر ساختمان جمله متن پیام است که آنرا برای بازدید کننده ای که توجه نداشته باشد مفهوم می کند وجملات به شکل عده ای کلمات بی مفهوم ظاهر می شود .این اطلاعات معمولا به نام متن رمزی نامیده می شوند. Decryptionمتضاد Encryption است وبه معنی تغییر متن رمزی به شکل اصلی خود است یعنی همان متن واضح.Encryption و Decryptionتوسط جابجایی یا جایگزینی متن واضح از طریق یک الگوریتم به متن رمزی انجام می گیرد (عمل رمز شناسی).دوورودی برای این کار وجود دارد.الف:متن واضح ب: مقدار خاصی که مربوط به کلید می باشد.عمل رمز شناسی ممکن است برای هر کسی آشکار باشد وکار مرموز وسری نباشد. از طرف دیگر این کلید نباید در اختیار همگان قرار گیرد ، اگر کسی این کلید را داشته باشد واین عمل شناخته شده باشد این مرحله آسانتر می شود که ساختار متن رمزی را تغییر دهد تا به شکل متن واضح در آید.Encryption و Decrypyion با یکی از این دو روش صورت می گیرد ومعمولا با ترکیبی از از هردو رخ می دهد .اولین روش با 3 نام شناخته می شود، خصوصی یا متقارن یا متداول به هر نامی که نامیده شود ، از یک کلید برای Encryption وDecryption استفاده می کند.این کلید سری است ودر حقیقت سری است که میان فرستنده وگیرنده پیام وجود دارد .فرستنده از این کلید استفاده می کند تا متن واضح را به شکل رمزی در آوردوگیرنده از همین کلید بهره می گیرد تا متن رمزی را به شکل متن واضح در آورد .روش دوم با دو نام شناحته می شود :عمومی یا نامتقارن.این روش از دو کلید متفاوت استفاده می کند (در واقع دو گروه متفاوت کلیدها) یکی برای Encryption ودیگری برای Decryption استفاده می شوند.یکی کلید عمومی ودیگری کلید خصوصی نامیده می شوند.ما بعداً در باره این کلیدها مفصل صحبت خواهیم کرد.
عبارت دیگری که باید معرفی نماییم امضای دیجیتالی است (Digital Signature ).این مسأله مرحله اثبات وتأیید را توضیح می دهد تا مشخص کند که دسته ای که پیامی را برای عده دیگری می فرستند,در حقیقت همان گروه مجاز هستند بهترین راهی که می توان برای این عمل در نظر گرفت این است که می تواند شبیه امضاء کسی باشد, یعنی کسی را تأییدمی کند .بحثهای بعدی نشان خواهد داد که چگونمه روشهای(Encryption )کلید عمومی مورد استفاده قرار می گیرند تا از امضای دیجیتالی حمایت کنند.عبارت بعدی معروف به hash است یا عملhash یا کد hash یا هضم پیام.این عمل محاسبه(طراحی)روی پیام هر چقدر طولانی باشد را انجام می دهد تا میزانی با طول مشخص ایجاد کند .از این روش هنگامی که با(e)حفاظت می شود استفاده می گردد تا فرستنده پیام را دریافت کند.انواع استقرار ممکن برای سخت افزار یا نرم افزار:استقرار:همانطور که ممکن است انتظار داشته باشید استقرار خاصی IPSEC در سخت افزار ونرم افزار می تواند گوناکون باشد سه شکل ممکن (شکل 4-9) وجود دارد .اول اینکه نرم افزار مستقیماًدر کد منبع IP قرار گیرد که برای HOST یا نرم افزار دروازه امنیتی می تواند قابل استفاده باشد به این یافته « ضربه به کد» می گویند. ( BITC ) (THE CODE BUMP-IN)روش دیگر استقرارIPSEC تحت مقدار زیادی پروتکل IP است که بدین معنی است که روی خط رانندگی عمل می کنند .این روش معمولاً برای HOST ها قابل استفاده است به طریقی کهIPSEC بالای لایه شبکه ناحیه محلی (MAC ( وتحت کنترل ودسترسی عوامل باشد به این یافته « ضربه به مقدار زیاد » می گویند. (BITS) (BUMP-IN-THE-STACK)روش سوم استفاده از وسیله مجزا واتصال آن به یکHOST یا دروازه امنیتی است به طور مثال این وسیله می تواند یک پردازشگری باشد که توسط ارتش استفاده می شود به این یافته«ضربه به سیستم»می گویند.(BUMP-IN-THE-WIRE)وسیلهBITV معمولاً با مخاطب قرار دادنIP در دسترس قرار می گیرد واگر از HOSTحمایت کند مانندBITS برایHOST است هنگامیکه با یک ROUTER یا FIREWALL به شکل مختصر توضیح داده شد )عمل کند به نظر می رسد که یک دروازه امنیتی است وباید برای توضیح اعمال امنیتی FIREWALL شکل گیرد.انواع مشکلات امنیتی:یک سازمان در برابرچه نوع مشکلات امنیتی باید ایمن باشد؟بسیاری از مسائل امنیتی با نامهای فریبنده ومؤثری مانند ویروس ،کرم وغیره در ارتباط هستند.این بخش فصل به مرور این مشکلات می پردازد.ویروس:ویروس قسمتی از یک کد است که خود را به برنامه کپی می کند وهنگامی که برنامه اجرا می شود ،عمل می کند .سپس ممکن است خود را مضاعف نماید ودر نتیجه ،سایر برنامه ها را نیز مبتلا سازد .ممکن است خود را نشان ندهد تا توسط یک عمل خاص مورد اثبات قرارگیرد بطور مثال یک داده ،ردیابی عملی مانند حذف شخص از مجموعه DATA BASE وغیره.ویروس ممکن است خود را به سایر برنامه ها را نیز اضافه کند.آسیب ویروس ممکن است فقط آزاردهنده باشد ، مانند اجرای کدهای غیر ضروری فراوان که از کیفیت عمل سیستم می کاهد ولی معمولاً ویروس آسیب رسان است .در واقع ویروس را به عنوان برنامه ای توضیح می دهند که باعث گم شدن یا آسیب به اطلاعات یاسایر منابع شود .آیا کمبود کیفیت عمل می تواند در طبقه بندی آسیب ها قرار گیرد ؟البته ولی آسیب نسبی است.ممکن است رد یابی یا یافتن ویروس مشکل باشد .شاید گاهی اوقات خودشان ناپید شوند.کرم:گاهی کرم به جای ویروس به کار می رود .شباهتهایی میان این دو وجود دارد .کرم کدی است که خودش را دوباره تولید می کند .با اینحال برنامه مستقلی است که سایر برنامه ها را اضافه نمی کند ولی خود را بارها دوباره ایجاد می کند تا اینکه سیستم کامپیوتر یا شبکه را خاموش کند یا از سرعتش بکاهد به این جمله مشکل«انکار خدمات» گویندکه موضوع بحث در بسیاری از اجتماعات است که بعد از خاموشی وب سایت های بزرگ در ژانویه 2000 ،می باشد دلیل اینکه هاپ ( JOHN HUPP) ،کرم را به عنوان کدی معرفی کردند که در ماشین وجود دارد واین قطعه کرم در ماشین می تواند به محاسبات ملحق شود یا نشود .وخود می تواند به تنهایی زنده بماند.اسب تروا:این نیز یکی دیگر از کدهاست وویروس وکد می توانند تحت طبقه بندی «اسب تروا» قرار گیرند دلیل انتخاب این اسم این است که خود را (درون برنامه دیگر)پنهان می سازد درست همانند داستان قدیمی سربازان یونانی به آنان داخل شکم اسب بزرگی پنهان می شدند که توسط شهروندان تروایی به داخل شهر تروا آورده شد .سپس هنگامی که داخل دژ تروا بودسربازان از اسب بیرون آمدند ودروازه شهر را گشودند تا راه بقیه سربازان رومی را بگشایند.
پاورقی :در کارهای اولیه من ، یکی ازEnd eavor من در شرکت مشاوره ارتباطات کار می کرد یکی از همکاران ما کدی برای سیستم محاسبه وصورت حساب ما نوشت. سپس وقتی این شرکت بزرگتر شد ،بمب هایی به نرم افزار راه یافتند .سپس در فعالیت های بعدی کدهای مهم را من خودم نوشتم یا وسیله ای ایجاد کردم تا اطمینان یابیم که این کد مرا به خطر نخواهد انداخت .کلیشه اطمینان ولی تحقیق یک جمله قصار است که در کنترل دستی نیز مانند امنیت سیستم های اطلاعاتی قابل استفاده است. FIREWALL ها:سیستمی است که استفاده می شود تا سیاست کنترل دسترسی در یک سازمان یا بین سازمانها را تقویت کندFIRE WALL تنها یک ماشین نیست بلکه مجموعه ای از دستگاههاونرم افزار است که سیاست کنترل دستیابی راINSTITUTES می کند. (همکاری امنیتی) این اصطلاح بسیار آسان ، از عبور تبادل جلوگیری می کند یا به آن کمک می کند تا از یک طرف به طرف دیگرFIRE WALL برود.هر تبادل مجازی که می تواند این FIRE WALL را ازیک شبکه به شبکه دیگر یا ازیکHOST به دیگری برود باید توشط سیاست امنیت که در طرح های کنترل دستیابی سازمان مستقر شده اند توضیح داده شود.کمک دیگرFIRE WALL این است که خودش باید ایمن باشد .همچنین باید Penetration ایمن داشته باشد .با این توضیحاتFIRE WALL سیستمی است که از شبکه های مطمئن تا شبکه نا مطمئن را حفاظت می کند ، شبکه های مطمئن می توانند شبکه های داخل سازمان وشبکه های نامطمئن می توانند اینترنت باشند .با این حال ،مفهوم سیستم های مطمئن وغیر مطمئن به سازمان بستگی دارد در بعضی شرایط در یک سازمان ،شبکه های مطمئن وغیر مطمئن می توانند وجود داشته باشندکه به نیاز مربوط به دانستن وحفاظت منابع بستگی دارد در واقع مفهوم Fire Wall های داخلی (داخل شرکت)وخارجی(میان شبکه داخلی وخارجی)مضمون مهمی در ساختن مکانیزم های حفاظتی است.در واقعFIRE WALL های داخلی ،بسیار مهم هستند . چون معروف هستند کهHACK کردن داخلی وسلاحهای امنیتی داخلی بسیار مشکلتر ازHack کردن خارجی یا سلاحهای امنیتی خارجی هستند.به طور خلاصه ما می توانیمFIRE WALL راوسیله ای برای مراحل امنیتی سازمان فرض کنیم ،یعنی وسیله ای برای سیاستهای کنترل دستیابی.از این وسیله برای انجام مراحل واقعی استفاده می شود بنابر این معرف سیاست امنیتی وتصمیم تحقق در سازمان است. اجرای FIRE WALL :چون شبه سازمانها به کارمندان خود اجازه می دهند که به اینترنت عمومیCONNECT شوند باید به نحوی طراحی شود که اهداف دسترسی اینترنتی سازمان را بر آورده سازد (یا سایر شبکه های عمومی)خلاصه سازمان ممکن است به سایتهای سازمان ،اجازه دسترسی به اینترنت را ندهدولی به اینترنت اجازه دستیابی به سازمان را می دهد .به عنوان یک جایگزین دیگر ممکن است استفاده شوند که فقط به سیستم های انتخابی اجازه دهند که به سیستم های خصوصی درFIRE WALL وارد یا خارج شوند .سیاستهای دسترسی ممکن است FIRE WALL رابه دوروش اصلی انجام می دهد.الف-هر خدماتی را مجاز بداند تا اینکه آشکارا رد شودب-هر خدماتی را رد کند تا آشکارا مجاز شود[NCSA96]الف-موقعیت قابل توجهی برای سلاحهای امنیتی ایجاد می کند در بیشتر مواقع (ب)خدماتی است که درآن بیشتر طرحهای دستیابی طراحی می شوند .مشکل(الف)این است که تبدیل به یک چتر کامل تمام در برگیرنده می شود که می توانداز مسیر جانبی عبور کند(bypass ) . به طور مثال خدمات جدید می توانند از این دسته باشند که در فیلترFIRE WALL توضیح داده نمی شود یا توسط طرح دست یابی سازمان توضیح داده می شود.به عنوان مثال خدمات رد شده که در ساختار اینترنت انجام می شود ،می توانند با استفاده از پرت دی انترتی غیر استاندارد ،غلبه کننده که در سیاست آشکار توضیح داده نشده است (و رد شده است).آخرین نکته در این بحث اولیهFIRE WALLS این است که دربسیاری موارد ،استفاده از انواع مختلف FIRE WALL هامنطقی است تا تجزیه تحلیل دستیابی وفیلتر کردن وابسته به طبیعت تبادل وویژگی مانند آدرسها،شماره پرت ها وغیره انجام پذیرد.یکی از اعمال اصلی انجام شده توسط FIRE WALL فیلتر کردن بسته هاست (شکل5-9)این اصطلاح عملی را توصیه می کند که بسته های خاصی اجازه عبور از FIRE WALL رادارند ودیگر بسته ها نمی توانند عمل فیلتر کردن بستگی به قوانینی دارد که در نرم افزار اجرا کننده FIRE WALL بشکل رمزی در آمده است .متداول ترین نوع فیلتر کردن بسته از دیدگاه یک ROUTER مسیر یاب قدیمی در برنامه اطلاعاتیIP انجام می شود(بسته هایIP ).فیلتر کردن معمولاًروی (الف)آدرس منبع،(ب)آدرسIP مقصد ،(ج) شماره پرت منبع و(د) شماره پرت مقصدFiltering:انجام میشود.در حالیکه این پدیده ها برای بیشترROUTER هایHIGH-END استفاده می شود همهROUTER ها نمی توانند روی شماره های پرت فیلتر کنند.بعلاوه سایرROUTER فیلتر را بر اساس ارتباطات شبکه فرستنده انجام می دهند برای تصمیم گیری در باره اینکه آیاDATA GRAM ازمیان ارتباط ورودی یا خروجی باید عبور کند یا خیر؟فیلتر کردن همچنین بستگی به سیستم های عمل کننده خاصی دارد ،به طور مثال بعضی از HOST های UNLX قادرند فیلتر کنند وسایر آنها نمی توانند.تبادل از یک شبکه غیر مطمئن به FIRE WALL انجام می گیرد .قبل از اینکه توسط FIRE WALL پردازش نشده است فیلتر نشده است.تبادل بر اساس سیاست امنیتی در FIRE WALL به شبکه یا شبکه های مطمئن انتقال می یابد ،تا فیلتر شود .در غیر این صورت آنهایی که از آزمایشات FIRE WALL در نیامده اند دور ریخته می شوند. در چنین شرایطی ،تبادل باید برای تجزیه وتحلیل های بعدی ثبت شود که جنبه مهمی در زمینه رد یابی مشکلات امنیتی ممکن می باشد.استفاده از تمام قوانین فیلتر کردن یک ROUTETR ممکن است کار بسیار پیچیده ای باشد حتی اگر قابل اجرا باشد ،ممکن است درROUTER حجم کاری که پردازش آن کامل نشده ،ایجاد کند .کار دیگر این است که بیش از یک FIRE WALL داشته باشیم که بعضی از داده های فیلتر کردن به روشی که معروف به PROXY FIRE WALL یا استفاده از دروازه است انجام می شود .مثلاً کاغذ NCSA بیان می کند که یکROUTER ممکن است از تمام بسته هایTELNETوFTP به یکHOST خاص بگذرد که تحت عنوان دروازه اجرای TELNET/FIP شناخته می شود،سپس این دروازه ،کارهای فیلتر کردن بعدی را انجام می دهد.مصرف کننده ای که می خواهد به سایت سیستم خاصی متصل شود ممکن است نیاز باشد که اول بهAPPLICATION (دروازه اجراوصل شود وسپس بهHOST مقصد متصل گردد)مصرف کننده اول به ELENT/APPLICATIONGATE WAY می شود ونامHOST داخلی را وارد می کند.A.G سپس آدرس منبعIP مصرف کننده را برای معتبر بودن کنترل می کند .(در این ارتباط ،ممکن استUSER مجبور شود کهA.G را تأیید نماید )سپس ارتباطTELNET میان دروازه وHOST داخلی محلی برقرار می شود که سپس تبادل میان دو دستگاه HOST عبور می کند.بعلاوه FIRE WALL عملی بعداً می تواند طراحی شود تا انقلاب خاصی را تأیید یا تکذیب کند .آنچه به نظر می رسد این است که استفاده بعضیUSER ها را تکذیب می کند واین گونه عمل می کند که با تکذیب فرمانFTPPUT بهSERVER می نویسد. خدماتFIRE WALL کنترل شده MFWS :MFWS تقریباً سلاح جدیدی در جنگهای امنیتی است سازمانی که این خدمات را ارائه می کند ،مسئولیت درست شدن وکنترل FIRE WALL شرکت را به عهده دارد که شامل طراحی کلی سازمان امنیتی کامل ،مجوز گرفتن برای نرم افزارINSTALL (نصب)،نگهداری وحتی اعمال اصلی کنترل است .در تخمین وارزشیابیMFWS باید به دقت به پتانسیل شخصی کارکنان شرکت بنگرد ،در واقع شاید بزرگترین شکایت در باره تأمین کنندگان FIRE WALL کمبود شعور کارکنان امنیتی آنهاست.ولی این LAMENT ازطریق صنعت متداول است.اما افراد ماهر کافی وجود ندارد.با این وجود ،شکست درزمینه داشتن کارکنان با صلاحیت درMFWS کهFIRE WALL هایش ما را کنترل می کنند.می تواند مشکلات فراوانی بیافریندمانند سلاحهای امنیتی AKA .تأمین کننده Fire Wall ،2راه پیش پای مشتری در باره محل Fire Wall می گذارد. (شکل6-9) الف- روی سیاستهای مشتری ب-روی سایت تأمین کننده بیشتر خدمات توسط ISPهاو انتقال دهندگان مسافت طولانی تأمین می شود بنابراین (ب)معمولاًاستقرار Fire Wall در مرکز اطلاعاتی تأمین کننده در سررور را ایجاب می کند.(مثلاً محل حضور ISP یا POP ) .برای راه الف-راحت تراست که تلاشهای امنیتی در نقطه متمرکز جمع شود. شخص از داشتن Fire Wall اختصاصی مطمئن می شودوبرای اطمینان فیلترهای خاصی ایجاد می شود.برای راه ب- شرکت لازم نیست که فضای خود را برای وسایل استفاده کند وکارکنانی را برای Fire Wall اختصاص دهند .با اینحال راه ب- ممکن است به این مفهوم باشد که تلاشهای امنیتی در محل هایی باچند سررورتصرف شوند .همچنین راه ب-ممکن است به این معنی باشد که Fire Wall باسایر مشتریان تقسیم شده است ولی تصرف لزوماًبد نیست. ممکن است موجب تأخیر کمتر وفاصله پرش کمتر شود.خدمات fire wall کنترل شده:برای راه ب- دانستن اینکه تأمین کننده چند سایت دارد،خوب است چون تبادل می تواند توسط محلهای مضاعف تقسیم شود(مثلاً در امریکا ،اروپا،آسیا وغیره)همانطور که این شکل نشان می دهد درواقع تنظیم غیر اختصاصی دوتنوع ایجاد می کند.IP_Sec , Fire wall:این مثالها برای اعمال روش تونل است که در آنها فایرواسها تونل امنیتی میان آنها را حمایت می کند.شکل a7 -9 راههای OutGo بسته را در فایروالDepict می کند.بسته USER برای این امتحان می شود که آیا با سیاست امنیتی Out Bound می خواند یا خیر ؟به خاطر داشته باشید که این هماهنگی می تواند در باره آدرسهای IP ،ID پروتکل وشماره های پرت ها نیز صورت گیرد . این بسته ها بر اساس اینکه هماهنگ می شوند یا نهالف-به شکل واضح Forwardمی شوند (بدون جایگزین) یا-ب- Drop می شوند (بدون پردازش های بعدی)یا-ج- به راههایی Subject می شوند که توسط سیاست امنیتی OutBound تعیین می شود.الف- IPSEC در یک فایروال(بسته OutBound )ب- IPSEC در یک فایروال(بسته InBound )شکل 7-9 اعمال روی بسته ورودی درFire Wall را Depict می کند، بسته امنیتی به فایروال میرسد جایی که بدون تونل می شود (Decapsulate) .بسته IP سپس برای هماهنگی با سیاست SA(inBound)مقایسه می شود .اگر هماهنگ باشد عملی که توسط سیاست امنیتی InBound تعیین شده انجام می شود در غیر این صورت Drop می شود.مکانیزم های امنیتی:عمل Hash :این بخش از مقاله Coding و مکانیزم را برای ایجاد امنیت معرفی می نماید .اجازه بدهید با یک روال کار بسیار مهم واصلی شروع کنم که معروف به Hash یا عمل Hashing است این عمل مدارک User را به یک Degestتبدبل می کند که معروف به اثر انگشت دیجیتالی (عددی)یا Degest پیغام است.به این دلیل این نام را انتخاب کرده اند که علاوه بر جنبه Encryption عمل می تواند برای جستجو جعل شده ها و Temprory مدارک نیز استفاده شود. Hash به شکل زیر عمل می کند ودر این شکل نیز نشان داده شده است.ابتدا،متن پیام به شماره های Binery تبدیل می شود وبه Block های هم اندازه تقسیم میگردد.این ها به الگوریتم Input ciphering ارسال می شود که خروجی تولید می کند که معروف به Degest یا Hash می باشد.توجه داشته باشید که Degest به محاسبه پیام اصلی User بستگی دارد.جنبه جالب عمل Hash این است که Degest همیشه به اندازه و بدون تغییر می باشد البته بدون توجه به طول پیام User . Convention متداول ایجاد کد 128 بایتی است که معمولاً به شکل 32 String شماره ای ارائه می گردد.جنبه جالب دیگری از Hash این است که بهبود بخشیدن پیام ازاعمال Hash تقریباً غیرممکن است این مفهوم تحت عنوان یک عمل یک طرفه شناخته می شود.الگوریتم Hash استقرار می یابد تا هیچ 2پیامی یک Hash را Yield نکند.(حداقل در هیچ Bound آماری منطقی)این بدین معنی است که درون هیچ عددمنطقی محاسبه ممکن نیست تا پیامی پدید آورد که همان Hash پیام متفاوت دیگر را ایجاد کندبدلیل این عمل Degest می تواند بعنوان اثر انگشت پیام خود باشد بعلاوه راز عمل Hash اینست که میتوان برای جستجوی Temprory پیام استفاده کرد.بنابراین وسیله ای ایجاد می کند تا 2جنبه امنیتی را حمایت کند –الف-صحت -ب- Intergrity مثالهایی از Hash های اینترنت :الگوریتم Degest پیام MD5 چاپ شده در سال 1321 نوشته ران ریوست برای عمل Hash بسیار مورد استفاده قرار می گیرد.در چند سال اخیر برای جمله InRelibility مورد انتقاد قرار گرفته است ومعلوم است که امکان این مسئله وجود دارد که 2 Input متفاوت یافته شود که همان Degest را ایجاد می کند .به غیر از این مشکل به مشکل دیگر تأکید می کنم . مشکل این است که MD5 در روترهای Cisco استفاده می شوند تا از پروتکل های متفاوت چرخشی حفاظت کند مانند Rip ,OSPF , BGP .الگوریتم MD5 برای ماشینهای 32 بایتی طراحی شده است که Extension MD5 با Enhancment های متعددی است که به طور خلاصه به آن اشاره می شود.پیامی باطول arbitry را می گیرد و Degest پیام 128 بایتی را ایجاد می کند.پیام ورودی در Block 512 بایتی را پردازش می کند (16کلمه 32بایتی).که برای امضاهای دیجیتالی طراحی شده است.الگوریتم ایمن Hash (SHA) معمولاً تحت عنوان استاندارد Hash ایمن SHA-1 نامیده می شود توسط سازمان ملی استاندارد وتکنولوژی آمریکا NIST چاپ می شود.بستگی به PreDecessor MD5 دارد که معروف به MD4 است .تفاوتهای اصلی میان (SHA-1) واین SMD که Degest پیام 160بایتی به جای 128بایتی ایجاد می کند.این Degest را طولانی تر از SHA-1 می کند. شامل پردازش بیشتری برای ایجاد Degest طولانی تر می شود.باابن حال SHA-1 یکی از الگوریتم ها Hash است که به دلیل محدودیت برای Colission بسیار استفاده می شود.در حالیکه Sha-1 یک Degest قوی تر پیام است ،اگر برای MD5 استفاده شود Intergrity خود را حفظ می کندوبه شکل مؤثرتری عمل می کند(محاسبه آن سریع تر است) تا SHA-1 ، سرعت محاسباتی مهم است.چون هر بسته که از یک گروه خارج شده یا به آن وارد می شود باید روی آن محاسبات امنیتی انجام شود.برای اطلاعلت بیشتر در باره مراجعه کنید.بدلیل Concern با MD4 وMD5 ارزشیابی Intergrity Primitive اروپایی RIPE را گسترش داد .آن نیز از SHA-1 نشأت گرفت ولی طول آن 160بایت است با این حال Ripemd مانند SHA-1 نسبت به MD4 اثرکمتر دارد.HMAC در 2104 RFC چاپ شد ونویسندگانش Ran Canetti,Mihir Bellare, Hugo Krawczyk بودند. یک عمل کلیدی Hash است IPSEC نیاز داردکه تمام پیام Authentication با استفاده از HMAC انجام شود.RFC 2104 ،Objective های طرح شده HMAC را بیان می کند (ومن نیز مستقیماً به آن اشاره می کنم):13/استفاده بدون مضاعف شدن اعمال HASH قابل دسترسی .مخصوصاً اعمالی که Hash به خوبی در نرم افزار .و کد به شکل آزاد وگسترده در دسترس است .14/برای جلوگیری از عمل اصلی HASH بدون انجام Degradati خاص.15/برای استفاده وکنترل کلیدها به روش آسان.16/تجزیه قابل درک Cryptographic از قدرت مکانیزم Authentication وابسته به منطقی در مورد اعمال Undelivery HASH17/اجازه برای Reptceabitiy آسان اعمال Undelivery Hash در مواردی که اعمال Hash سریع تر وایمن تر یافته یا مورد نیاز می باشند.کلیدهای عمومی:سالهاست که کلیدهای عمومی در شبکه های عمومی وخصوصی برای Encrypt کردن اطلاعات مورد استفاده قرار می گیرند.مفهوم کلید عمومی در محاسبه دو کلید با یک عمل نهفته است یک کلید معروف به عمومی ودیگری کلید خصوصی است.این نام ها به این منظور گذاشته شده که کلید عمومی می تواند به بزرگ» Disseminate شود.در حالیکه کلید خصوصی این طور نیست.پدیدآورنده کلید خصوصی این کلید را به شکل سری نگهداشته است.اگر این کلید Disse شود توسط Encrypt اولیه آن برای انتقال از میان تونل امنیتی انجام شده است. Not With Standing مفهوم کلید عمومی این است که کلید خصوصی رابه Vest نزدیک کند ومحتوای آن را به هیچ کس به غیر از پدید آورنده بروز ندهد.کلیدهای عمومی برای Encrypt کردن استفاده می شوند . فرستنده از کلید عمومی گیرنده استفاده می کند تا متن واضح پیام را نموده به شکل پیام نامفهوم در آورد .پردازش در گیرنده Revers میشود یعنی در جایی که دریافت کننده از کلید خصوصی برای Decrypt نمودن پیام نامفهوم به پیام واضح استفاده می کند.بعلاوه استفاده از کلیدهای عمومی برای Encrypt کردن برای مراحل authentication نیز به طور گسترده ای استفاده می شوند همانطور که در شکل 9-9 نشان داده شده است.همچنین برای کنترل Intergerity واثبات حمل نیز مورد استفاده قرار می گیرند که بعداًبه آن بحث می پردازیم.در این مثال فرستنده از از کلید خصوصی فرستنده استفاده می کند تا میزان شناخته شده ای را به امضای دیجیتالی Encrypt کند. هدف این امضای دیجیتالی این است که authenticity فرستنده را ارزشیابی کند.فرستنده Conscoenty از طریق سایر مقادیر که به کلید عمومی گیرنده فرستاده است .این کلید به الگوریتم برای امضای دیجیتالی ورودی استفاده می شود.اگر اعمال Decrypt کردن ناشی شده ،محاسبه مقدار شناخته شده را منجر می گردد که قبلاًتوشط فرستنده Instantiut شده بود فرستنده همان فرستنده مجاز تلقی می شود(یعنی فرستنده authentic است)به طور خلاصه اگر مقدار محاسبه شده معروف دردریافت کننده برابر با مقدارقابل انتظار باسد پس فرستنده شده است.اگر محاسبه برابر نباشد پس فرستنده صحیح نیست.یا اشتباهی در پردازش صورت گرفته است.هر چه باشد فرستنده اچازه ندارد هیچ سود بعدی در سیستم دریافت کننده ببرد.ما آموخته ایم که دو عمل اصلی در انتقال وحمایت از داده های ایمن وجود دارد .اولین عمل Encryption (درفرستنده)پیام فرستنده Decryption, Complimentation پیام در گیرنده است.عمل دوم اطمینان از این مطلب است که فرستنده مناسب ،پیام را فرستاده و Imposter این کاررا نکرده است.یعنی فرستنده پیام صحیح است.از تکنیکهای بسیار استفاده می شود وما به تازه در باره اعمال کلیدی عمومی اطلاعات بدست آورده ایم روش دیگر در شکل 8-9 نشان داده شده است.این روش ازcryptographer عمومی که الان توضیح دادیم وعمل hash که قبلاًتوضیح داده شد استفاده می کند.notection چعبه های سیاه سمبلINPUT به OUTPUعمل است . در رویداد 1 :پیام اصلی (نوشته واضح)بهCRYPTOGRAPH کردن عمل یک طرفهSUBJECT HASHمی شود نتایج آن عمل DIGپیام است .در رویداد 2 :DIG عمل وکلید خصوصی فرستنده به عمل شکل 10-9 SUB,ENCRIPTION می شود که منجر به امضای دیجیتالی می گردد.امضای دیجیتالی ،به پیام اصلی اضافه می شود(نوشته واضح) وتمام این بخش اطلاعات در رویداد 3 با کلید عمومی گیرنده می شود.نتیجه یک پیام نامفهوم است.اکنون پردازش در دریافت کننده برای شده است.در رویداد 4 پیام نامفهوم با کلید خصوصی دریافت کننده SERVERS می شودکه در الف/ پیام اصلی (پیام واضح)و ب/ امضای دیجیتالی اینگونه است.رویداد 4جنبهCRYPTOGRAPHY ,CRITICAL با کلید عمومی است چون فقط آنهایی که از کلید خصوصی گیرنده عبور می کنند ،می توانند پیام ناهفهوم را نمایند.سپس،امضای دیجیتالی توسط کلید عمومی فرستنده (در رویداد 5) DECRYPT می شودوپیام واضح (در رویداد 6)به عمل HASH یک طرفهCRYPTOGRAPHY مشخص SUBJECT می شودکه در فرستنده انجام شده است .سپس گیرنده اعمال ناشی از از رویداد5و6 را مقایسه می کند واگر مقادیر ناشی شده همانند بودند،گیرنده می تواند مطمئن باشد که فرستنده واقعی وصحیح است .اگر نتایج متفاوت بودند ،چیزی AMISS شده یا فرستندهPHONY است یا INTRERLOPERتبادل فرستنده راINTERSEPT کرده وآنرا جایگزین نموده یا تبادل در انتقال آسیب دیده است.کلید جلسه (ارتباط میان وکامپیوتر راه دور)( ESSION KEY )بعضی SIMPGEM ENTATION عمل دیگر را به اعمالی که بحث شد EMFED می کنند که تحت عنوان نامهای متفاوتی در صنعت شناخته شده هستند. بعضی ها به این عمل (کلید جلسه)گویند ،بعضی ها به آن کلید یک زمانی وبعضی هاآنرا با نام کلید متقارن یک زمانه می نامند.شکل 11-9 نشان دهنده این است که چگونه این عمل با عملی که در باره آن بحث شد ترکیب می شود.تفاوت عمل در رویدا 3و6شکل نشان داده شده است .کلید جلسه یا یک زمانه استفاده می شود تا امضای دیجیتالی ومتن واضح را در رویداد 3 ENCRYPT کند ویک عمل COMPLEM ENTARY در گیرنده در رویداد6 انجام دهد.به کلید ،کلید متقارن گویند چون از همین کلید برای ENCRYPT وDECRYPT اطلاعات استفاده می شود.یکی از مزایای این تکنیک این است که می تواندIMPLEMENT شود تا اعمالی بسیار سریع وواضح انجام دهدکه لایه امنیتی دیگری به پردازش OVERALL اضافه می کند.اعمال کلید عمومی بسیار طولانی هستند وپردازش CPUبسیاری را می طلبند.بنا براین در شکل 11-9 کلید عمومی گیرنده ،فقط استفاده می شود تا کلید جلسه راENCRYPT نماید.CRIFICATION کلید:پس تا اینجا ما فهمیدیم که گیرنده به فرستنده اطمینان دارد وگیرنده باور دارد که کلید عمومی فرستنده (که ذخیره شده)صحیح است.ممکن است این شرایط واقعیت نداشته باشدCRYPTOGRAPHY کلید عمومی برایCOMPROMISE یا به اصطلاح حمله «مرد میانه»VULNER ABLE است (همچنین بدانPIGGY در وسط یا مرددر وسط گویند)که در شکل 12-9 مشان داده شده است.مرد میانه یا مالوری ، کارل وتد را با فرستادن کلیدهای عمومی غلط، به اشتباه افکنده است تد،کلید عمومی مالوری را (MPUB1) در رویداد 1 دریافت می کند .مالوری همچنین کلید عمومی دیگر ایجاد می کند وآنرا در رویدا 2به آلیس می فرستد (MPUB2) کلیدهای غلط به رنگ خاکستری تیره در شکل نمایش داده شده اند.درزمان دیگری (رویداد3)،کارل وتد LEGITITNATEکلیدهای خصوصی تولید کردند،که این کلیدها به رنگ سفید در شکل برای کارل (CPRI) وتد (TPRI) نشان داده شده است.ما گمان می کنیم که این کلیدها ،کلیدهای جلسه هستند(کلید متقارن یک طرفه)وبرای DECRYPT,ENCRYPT تبادل،استفاده می شود.حمله مرد میانی:در رویداد4 ،کارل وتد آنچه را که فکر می کنند کلید عمومی یکدیگر است استفاده می کنند کلید خصوصی جلسه را ENCRYPT کننددر واقع ،آنها از کلیدهای عمومی غلط مالوری استفاده می کنند.رویداد5 ،کلیدهای ENCRYPT شده جلسه توسط کارل وتد فرستاده می شوند ولی توسط مالوریINTERCEPTمی شوند که در رویداد 6 از 2کلید عمومی او استفاده می کند تا کلیدهای خصوصی ENCRYPT نماید(MPUB2,MPUB1)پس در رویداد 7،مالوری کلیدهای خصوصی جلسه کارل وتد را بدست می آورد ومی تواند به ایفای نقش مرد میانی بپردازد وتبادل راINTERCEPT کند.برای اینکه با حمله مرد میانی بسازیم،سیستم های امنیتی بالایی،مفهوم CERITIFICATE دیجیتالی را IMPLEMENT می کند وما به شدت توصیه می کنیم که هر سیستم CRYPTOGRAPHY کلید عمومی ازCERTI دیجیتالی استفاده کند.ازاین عمل استفاده می شود تا گیرنده را مطمئن سازد که کلید عمومی فرستنده ،معتبر است .برای حمایت از این عمل ،کارل که فرستنده است (شکل 13-9 )با CERTICALL دیجیتال از دسته سوم قابل اطمینان دریافت کند که به آن CERTIFICATION AUTHARY گویند.کارل در رویداد 1کلید عمومی خود را به همراه اطلاعات IDENTIFICATION خاص وسایر اطلاعات بهGERAUY می فرستد.CERAU از این اطلاعات استفاده می کند تا کارل وکلید عمومی او را شناسایی کند که در شکل به شکل رویداد 2 نشان داده شده است.اگر کنترل کارل رضایت بخش باشدCERAU به کارل یک CER دیجیتالی می دهد که معتبر بودن کلید خصوصی کارل را تأیید می کند .این عمل در رویداد3 نشان داده شده است .در رویداد4 وقتی کارل تبادل را به گیرنده می فرستد (دراین مثال تد)کارل تمامی اعمالی که در مثالهای قبلی مان بحث کردیم را انجام می دهد.(یعنی،عمل HASH ،امضای دیجیتالی وغیره)واین اطلاعات را به همراه CER دیجیتالی به تد می فرستد.در اعمال قبلی ،کلید عمومیCERAUT به گروههای دیگر من جمله تد DISSEMINATE می شد در رویداد 5تد از کلید عمومیCERAUT استفاده می کند تا امضای دیجیتالی CERAUT را که قسمتی ازCER کامل است بسنجد ،اگر همه چیز کنترل شد ،تد مطمئن است که کلید عمومی (بخش دیگری ازCER) در واقع به کارل تعلق دارد بدین گونه ،در رویداد6 توسط CERAUT مطلع می شود که رویداد 7نتیجه می شود جایی که تد می تواند از کلید عمومی کارل استفاده کند تا پیام نامفهوم راDECRYPT نماید.شعاع RADIUS :اعمال امنیتی در یک سازمان بزرگ کار مهمی است یکی از نگرانیهای موجودCOMPROMISE ممکن منابع سازمان به دلیل DISPERSAL میزان امنیت در سیستم است کهRESULT IN یافتهFRUGMENTED می شود.برای مسائل مرکب،کارمندانCONTRACTORS ومشتریان نیاز به دسترسی به اطلاعات دارد واین افراد کامپیوتر سازمان را عملاًاز هر جایی شماره گیری می کنند .AUTENTICATION این منابعDIVERS باید در ارتباط با سیاست امنیت سازمان ACCOMPLISH شود.ولی چگونه؟آیا باید در آنجا یک سیستمAUTHENTICATION (یک سرور)در هر سایت سزمان وجود داشته باشد ؟اگر اینچنین است،چگونه این سرورها کتنرل می شود،چگونه فعالیت هایشان هماهنگ می شود؟در عوض آیا یک سازمان ،سرور مرکزی را DEPLOY می کند تا تلاشهایCOORDINATION را کاهش دهد؟برای کمک به یک سازمان برای استقرار یک یافته INTEGRATED برای کتنرل ومدیریت ایمن ،گروه کارکنان شبکه اینترنت RFC2138 یعنی شماره گیری AUTHE ا زراه دور در سرویس استفاده کننده را چاپ کردند RADIUS این خصوصیات مراحل IMPLEMENT سرورAUTH رامشخص می کند که شاملDATA BASE مرکزی است که استفاده کنندگانی را که شماره گیری می کنند واطلاعات مربوطه را استفاده نکنندAUTHENTICATE را نشان می دهند.RADIUS همچنین به سرور اجازه می دهد که با سایر سرورهامشورت کند ،بعضی ممکن است براساس RADIUS باشند وبعضی اینگونه نباشد.با این یافته ،سرور RADIUS بعنوان برای سرور دیگر عمل می کند.این خصوصیات همچنین به جزئیات این مسئله می پردازد که چگونه اعمال خاص استفاده کنند ،می تواند مورد حمایت قرار گیرد،مانند TELNET,RLOGIN,PPP وغیره.شکل14-9 RADIUS CONFIGURATION را نشان می دهد که به روش CLIENT یا سرور ساخته شده است مصرف کننده نهایی با سروری که به شبکه دسترسی داردNAS از طریق اتصال تلفنی،مرتبط می شود .در عوضCLIENT NAS سرورRADIUS است.NASوسرورRADIUS با هم از طریق یک شبکه یا یک اتصال نقطه به نقطه ارتباط پیدا می کنند.همانطور که قبلاً اشاره شد،سرورRADIUS ممکن است با سایر سرور ها نیز ارتباط برقرارکند ،بعصی ممکن است پروتوکل RADIUS را فعال کند وبعضی نکندمقصود این است که یکREPOSITORY مرکزی برای اطلاعات AUT وجودداشته باشد که در شکل به عنوان شمایل DATA BASE(ICON) نشان داده شده است.ساختارRADIUS :استفاده کننده باید اطلاعات AUT را بهNAS ارائه کند (معروف به CLIENT HERE AFTER ) مانند USER NAME وکلمه عبور یا بستهPPP(OUT) سپسCLIENT ممکن است بهRADIUS دستیابی پیدا کند.اگر چنین شود CLIENT یک پیام« درخواست دسترسی » ایجاد می کند وبه گره هایRADIUS می فرستد (معروف بهSERVER HERE AFTER )این پیام شامل اطلاعات در مورد مصرف کننده ای است کهATTRIBUTEخطاب می شود .اینها توسط مدیر سیستمRADIUS مشخص می شوند،بنابراین می توانند تغییر کنند.مثالهایی ازATTRI شامل کلمه عبور استفاده کننده ID پرت مقصدCLIENT ID وغیره است.اگر اطلاعات SENSITIVE در بخش ATL باشد باید توسط الگوریتم GISEST پیام MD5 محافظت شود.مشکلات RADIUS :RADIUS بدلیل فرمان خود وساختار فضای آدرس ATL ومحدودیت ناشی شده در مورد معرفی سرویسهای جدید تقریباًمحدود است. RADIUS روی UDP عمل می کندوUDP زمان ومکانیزم ارسال مجدد ندارد.بنابراین خریداران راههای خود را برای این مراحل می کنند.بعلاوهASSUME-RADIUS می کند که هیچ پیامUNSOLICI TATED از سرور به وجود ندارد که بعداً انعطاف پذیری آنرا محدود کند . SUCCESSOR آن DIAMETER این مشکلات را حل می کند. DIAMETER قطر:DIAMETER تقریباً یک پروتوکل جدید برای EMERGE استاندارد های امنیتی اینترنت است.این DIAMETER محدودشد ،چون تعداد حدمات اینترنت جدید،رشد کرده اند وردترها وسرورهای شبکه(NAS) باید عوض شوند تا ازآنها حمایت می کردند.خریداران وگروههای کار ،پروتوکل سیاست خود را برای این اعمال ADD-ON مشخص کرده اندDIAMETER استانداردی برای مفهومHEADER هاومیزان امنیت پیام آن ایجاد می کند .مقصود این است که سرویس جدیدی به جای مراحل مختلف که قدیم بود از DIAMETER استفاده کند.DIAMETER یک SUCCENOR برایRADIUS به شمار می رود وبه نظر می رسد کهFRAME WORK ی برای هر سروری که نیاز به حمایت امنیتی دارد ،ارائه می کند.به نظر می رسد که بالاخره جایگزین RADIUSE می شود.خلاصه:قدرتهای اعمال اینترنتی بسیاری از مراحل امنیتی وپروتوکل ها را مشخص کرده است.در سالهای اخیر ،بسیاری از آنها در محدودهREVOLVED-IPSEC شده است.این پروتوکل طراحی شده است تا اتصالات وترکیبات حفاظت امنیتی متعددی برای استفاده کنندهاز اینترنت ایجاد کند.با استفاده از روشهای متفاوت عمل IPSEC برای مصرف کننده ،راههایی در باره کسب AUTHوخدمات خصوصی ارائه می کند.
دسته ها :
يکشنبه هشتم 10 1387
X