سمینار آموزشی امنیت شبکه

سمینار آموزشی امنیت شبکه

مرکز فناوری اطالعات

شرکت پست

مرکز فناوری اطالعات شرکت پست

2

فهرست مطالب

- امنیت شبکه يك ضرورت، يك نياز1- مفاهیم پايه امنیت شبکه2- آشنايي با حمله های متداول3- آشنایی با تكنيكها و تجهيزات امنيت شبكه4


3

امنیت شبکه يك ضرورت، يك نياز


4

مقدمه

امروزه با باال رفتن آمار کاربران اینترنت در کشور و آشنایی آنها با

افزارهای نفوذ به شبکه های کامپیوتری و همچنین با رشد نرممیزان اطالعات موجود بر روی سرورهای سازمانها, نیاز به نظارت بر امنیت شبکه های کامپیوتری اهمیت بسزایی پیدا

می کند.عدم آشنایی بسیاری از کاربران و پرسنل سازمانها, به نفوذگران کمک می کند تا به راحتی وارد یک شبکه کامپیوتری شده و از

داخل آن به اطالعات محرمانه دست پیدا کنند یا اینکه به اعمال خرابکارانه بپردازند.


5

دالیل توجه به امنیت شبکهوجود انگیزه نفوذ با توجه به گسترش اطالعات مهم •

روی شبكه هاسهولت نفوذ و خرابکاری با استفاده از ابزارهای •

رایگان موجود در اینترنتافزایش روزافزون انواع ویروسهای کامپیوتری•وجود ضعفهای امنیتی در سیستم های عامل و برنامه •

های کاربردیوجود کاربران غیر حرفه ای و آموزش ندیده•


6

نتیجه بی توجهی به امنیت شبکه

نفوذ به شبکه و دسترسی به اطالعات محرمانه•سوء استفاده مالی•تخریب اطالعات موجود و نرم افزارها•تخریب سخت افزاری•از کار انداختن سرورها و اشغال پهنای باند•


7

آمار تهدیدهای شبکه های کامپیوتری

% افزایش 45 ماه گذشته 12آمار حمله به وب سایتها طی • \ وب سایت با بیش از یک میلیون 6000یافته است. تقریبا

صفحه؛% از شرکتهای تجاری و دولتی در آمریکا مورد 90نزدیک به •

حمله قرار گرفته اند.% از مدیران شبکه بزرگترین تهدیدات امنیتی را از 80بیش از •

طرف کارمندان داخل موسسات می دانند. کشور میباشند که سهم آمریکا 10% از حمالت تنها 80منشاء •

% از کل آنها است.35 کشور اول منشاء حمالت بترتیب آمریکا, کره جنوبی, چین, 10•

آلمان, فرانسه, تایوان, کانادا, ایتالیا, انگلستان و ژاپن هستند.


8

نتیجه گیری

یک مشكل امنیتی معادل است با کلید نفوذ به شبکه شما!•هر روز که می گذرد نیاز به بازنگری بر امنیت شبکه •

افزایش مییابد.اعمال تدابیر امنیتی روی شبکه, بیمه کردن آن در برابر •

خسارتهای احتمالی است.


9

مفاهیم پايه امنیت شبکه


10

امنیت داده اي چیست؟

به محافظت اطالعات, از دسترسی افراد غیر مجاز اطالق میشود.

امنیت شبکه چیست؟

حفاظت از اطالعاتی که در شبکه جهت دسترسی افراد مجاز قرار داده شده اند.


11

مولفه های یک شبکه امن

(: تمامی افراد و Confidentialityمحرمانه ماندن اطالعات )•سازمانها دارای اطالعات محرمانه ای هستند و میخواهند محرمانه

بماند.(: اطمینان از اینکه پیام حقیقتا از Authenticationاحراز هویت )•

کسی که تصور می کنید رسیده باشد.( : یعنی دست نخوردگی و عدم تغییر Integrityسالمت داده ها )•

پیام و اطمینان از آنکه داده ها با اطالعات مخرب مثل یک ویروس آلوده نشده اند.

( : باید تمام امکانات شبکه بدون Availabilityدر دسترس بودن )•دردسر و زحمت در اختیار آنهایی که مجاز به استفاده از شبکه

هستند باشد و در ضمن هیچکس نتواند در دسترسی به شبکه ایجاد اشكال نمايد.


12

هکر كيست؟فردي می باشد که بر حسب نیازها و توانايي های خود

اقدام به نفوذ به شبکه ها نموده تا بتواند اهداف خود را برآورده سازد.

هکرها چه توانايي هايي دارند؟دانش شبکه ای خوبی دارند.•دانش روانشناسی خوبی دارند.•از فرصتها خوب استفاده میکنند.•ابزارهای نفوذ را خوب بکار می برند.•بعضا برنامه نویسان خوبی هستند.• هستند.صبوراز همه مهمتر •


13

کار هکرها چیست؟

تفریح یا اندازه گیری ضریب توانایی فردی یا کنجکاوی )معموال •دانشجویان(

دزدیدن دانشي که برای تهیه آن باید هزینه صرف کرد.•انتقام جویی و ضربه زدن به رقیب؛•آزار رسانی و کسب شهرت از طریق مردم آزاری؛•جاسوسی و کسب شهرت از طریق مردم آزاری؛•جاسوسی و کسب اطالع از وضعیت نظامی و سیاسی یک کشور یا •

منطقه؛رقابت ناسالم در عرصه تجارت و اقتصاد؛•جابجا کردن مستقیم پول و اعتبار از حسابهای بانکی و دزدیدن •

شماره کارتهای اعتباری؛کسب اخبار جهت اعمال خرابکاری و موذیانه )توسط تروریستها(•


14

انواع هکرها

(Black Hatsكاله سیاه ها )•( افراد حرفه ای كه شما نمی توانید از Crackers- كركرها )

شر آنها در امان باشید.افراد آماتور كه با نرم افزارهای نفوذی كار می كنند.-

(White Hatsكاله سفیدها )•- متخصصین امنیتی؛

.- مدیران سیستم كه از سیستمهای شما محافظت می كنند


15

تهدیدهای بالقوه امنیت شبكه های كامپیوتری

فاش شدن غیر مجاز اطالعات و در نتیجه استراق سمع •داده ها یا پیامهای در حال مبادله روی شبكه

قطع ارتباط و اختالل در شبكه به واسطه یك اقدام •خرابكارانه

تغییر و دستكاری غیر مجاز اطالعات یا یك پیغام ارسال •شده


16

چرخه عملياتي اجراي امنیت در یك سیستم

(Planبرنامه ریزی)•(Designطراحی)•(Implementپیاده سازی)•(Audit بازرسی)•(Repeatتكرار )•


17

چرا تكرار؟

هکرها همه روزه چند برابر میشوند.•ماهیت آنها بسته به زمان تغییر میکنند.•حجم اطالعات با ارزش برروي شبكه هر روز بيشتر •

مي شود.شبكه ها و سيستم هاي نرم افزاري درون شبكه ها •

\ در حال تغيير و به روز رساني هستند. مرتبا


18

الیه های امنیت در شبکه های کامپیوتری

الیه شبکه•الیه سیستم های عامل•الیه نرم افزارهای کاربردی•


19

الیه شبکهبا نفوذ به این الیه:

امکان تخریب شبکه بوسیله از کار انداختن مسیرهای •اصلی ارتباطی شبکه فراهم می گردد.

امکان دریافت بسته های اطالعاتی عبوری برروی شبکه •( فراهم می گردد.Sniffingاز طریق گوش دادن به خط )

امکان یافتن ایستگاههای کاری بدون محافظ و حمله به •آنها فراهم می گردد.

امکان تغییر در مسیرهای ارسال اطالعات و دسترسی •به اطالعات ارسالی از منابع مشخص فراهم می گردد.


20

الیه سیستم عاملبا نفوذ به این الیه:

می توان سرویس را بطور کامل از کار انداخت.•می توان با ارتقاء سطح دسترسی به راحتی به •

سطوح باالتر بدون محدودیت نفوذ کرد.می توان از طریق این الیه با سادگی بیشتری به •

الیه نرم افزارهای کاربردی دسترسی یافت.


21

الیه نرم افزارهای کاربردیبا نفوذ به این الیه:

اطالعات با ارزش داخل نرم افزارها قابل •دسترسی است.

می توان قسمتی از اطالعات را تغییر داد.•می توان اطالعات با ارزش سیستم را تخریب •

نمود.می توان عملکرد سیستم را تغییر داد.•می توان اطالعات غیر واقعی ونادرست را بجای •

اطالعات صحیح وارد سیستم نمود.


22

نتیجه گیریبا توجه به نا امن بودن شبکه های موجود و

گسترش روز افزون ویروسها و حمالت کامپیوتری و همچنین گسترش و افزایش

اطالعات با ارزش برروی شبکه ها , وجود یک مکانیزم مدون امنیتی جهت تمام شبکه های

کامپیوتری داخل سازمانها الزامی است.

محدودیت بیشتر =امنیت بهتر


23

آشنایی با حمله های متداول


24

انواع حمالت

حمله ای که هنگام شروع با (: Activeحمله فعال )•بروز اختالل در شبکه علنی شده و در عملیات شبکه

تاثیر می گذارد.

حمله ای که شبکه را (: Passiveحمله غیر فعال)•با اختالل مواجه نمیکند و ظاهرا مشکلی در کار

ارسال و دریافت بوجود نمی آورد.


25

بررسی انواع حمالت رایج شبکه های کامپیوتری

•DDOS و DOS

• Smurf

•SYN Flood

•Buffer Overflow

•Sniffing

•IP Spoofing


26

DOS و DDOSبررسی حمله

این حمله باعث اشباء شدن خطوط ارتباطی شده و دسترسی به نقاط مختلف شبکه را قطع می نمایند.

چنانچه این حمله به سرویس خاصی صورت پذیرد آن سرویس از کار خواهد افتاد.


27


28

Smurfبررسی حمله

و ارسال بسته ICMPدر این حمله با استفاده از پروتکل Broadcast به آدرسهای echo reply و echoهای

آدرس سیستم مورد IP نمودن Spoofشبکه و همچنین حمله اقدام به از کار انداختن کامل سرویس مورد نظر می نماید. عملکرد این نوع حمله همانند حمله

DDOS و DOS.است است که در آن Fraggle, حمله Smurfپسر عموی حمله

حمله صورت می گیرد.UDPبا استفاده از پروتکل


29

SYN Floodبررسی حمله

به سمت SYNدر این حمله تعداد بسیار زیادی بسته های سیستم مورد حمله فرستاده شده و بدون پاسخ رها می شوند, که این کار باعث اشغال نمودن توانایی سیستم می شود. این حمله همچنین باعث اشغال پهنای باند موجود در خطوط ارتباطی نیز می گردد.


30


31

Buffer Overflowبررسی حمله

این حمله ناشی از نقاط ضعف در طراحی و پیاده سازی برنامه های کاربردی میباشد. در این حمله

شخص نفوذ گر به وسیله فرستادن اطالعات خاص به سرویس مورد نظر در سیستم مذکور باعث

Overwrite شدن قسمتی از حافظه Stack .می شود این عمل باعث اجرا شدن برنامه دیگری از حافظه شده که همان خواسته شخص نفوذ کننده است و

باعث دسترسی شخص نفوذگر به سیستم می شود.


32

Sniffingبررسی حمله

می باشد و از دید فنی Passiveاین حمله از نوع پنهان می ماند. در این نوع حمله نفوذگر می تواند اطالعات بسیاری که در شبکه محلی در

حال عبور می باشد را به دست آورده و از آنها برای اهداف خود استفاده نماید. اینگونه

اطالعات میتوانند اطالعات محرمانه داخل شبکه باشند.


33

IP Spoofingبررسی حمله

در این نوع حمله فرد حمله کننده سیستم خود را به صورت مجازی به جای یک سیتم حقیقی در

شبکه جا میزند و با این روش می تواند به حقوق موجود برای سیستم حقیقی دسترسی یابد و از تمامی امکانات موجود برای سیستم

حقیقی استفاده نماید.


34

آشنايي با تكنيكها و تجهيزات امنيت شبكه


35

دید امنیتی یک مدیر فنی شبکه

یک مدیر شبکه از نظر امنیتی دارای دیدگاه خاصی نسبت به شبکه مورد نظر مي باشد، این دیدگاه

مستقیما در طراحی و پیاده سازی آن شبکه دخیل است.

در این دیدگاه نقاط پر اهمیت شبکه و قسمتهای مختلف آن از لحاظ امنیتی مورد بررسی قرار گرفته

و رویه های امن سازی سيستم تهيه میگیرند.


36

هدف از ايجاد امنيت در یک شبکه

جلوگیری از ورود افراد غیر مجاز و دسترسی •پیدا کردن به سیستم ها

جلوگیری از خروج اطالعات با ارزش از شبکه•جلوگیری از ایجاد اختالل در ارائه سرویسهای •

شبکه جلوگیری از بروز حمالت مختلف به شبکه•


37

مواردی که در شبکه باعث کاهش امنیت می شوند

کاربران شبکه•مدیران فنی•تنظیمات فنی تجهیزات شبکه••BUGها و ضعف های سیستم عامل ضعف در طراحی و اتصاالت شبکه•


38

نقاط مهم امنيتی در شبکه

( Clientsايستگاه های كاری )•این نقاط به دلیل ضعف آگاهی های امنیتی که کاربران دارند, از

نظر امنیتی بسيار ضعیف بوده و در بیشتر مواقع حمالت از اینگونه نقاط به شبکه صورت می گیرند.

(Serversسرورها )•سرورها محلی جهت قرارگيری كليه اطالعات و سرویسهای

موجود در شبکه می باشند، لذا از اهمیت امنیتی بسيار باالیی در شبکه برخوردارند.

(Gatewaysدروازه ها )•ابزارهایی هستند که ارتباط شبكه با دنياي خارج از آن را فراهم

مي آورند و تمامی اطالعات مربوط به شبکه از اين طريق به/از شبكه داخل/خارج مي گردند.

ابزارهای فعال شبکه•تنظیمات موجود در اینگونه ابزارها رابطه مستقیم با امنیت شبکه دارد. چنانچه افراد نفوذگر به اين تجهيزات دسترسی پیدا كنند امکان مختل نمودن ارتباطات داخل آن شبکه فراهم میگردد.


39

در الیه مکانیزم های مرتبط با امنیتشبکه

•NAT (Network Address Translation)

•PAT(Port Address Translation)

•VLAN (Virtual LAN)


40

در الیه مکانیزم های مرتبط با امنیتسیستم عامل

هاSecurity Patchنصب آخرین •Sharingعدم استفاده از •بستن کلیه پورت های اضافی•استفاده از سیستم فایلهای امن•محدود نمودن کلمات عبور •استفاده از روشهای پیچیده انتخاب کلمه رمز•


41

در الیه مکانیزم های مرتبط با امنیتبرنامه های کاربردی

(Multi Layer Designطراحی چند الیه )•(Encryption Dataرمزنگاری داده ای )•استفاده از قفل های سخت افزاری •

(Hardware Locks)(Authenticationتشخیص اصالت )•


42

انواع تجهیزات امنیتی شبکه

•Firewall•IDS/IDP•Honey Pot•Antivirus


43

Firewallچیست؟ نرم افزار یا سخت افزاری برای کنترل دسترسی ها,

به منظور فراهم نمودن امنیت در الیه شبکه میباشد.

چیست؟Firewallوظیفه کنترل بسته های عبوری و بررسی آنها با قوانین و

تنظیماتی که در آنها انجام شده به منظور مسدود نمودن دسترسی و یا باز نمودن مسیر به داخل یا

خارج از شبکه.


44

ها Firewallانواع

•Packet Filterها نسبت به قوانین که در آنها تنظیم Firewallاینگونه

شده است, در مورد عبور بسته های وارد شده تصمیم می گیرند.

•State fullها عالوه بر تنظیمات ثابت موجود در Firewallاینگونه

آنها, نسبت به آمار اطالعات عبوری در حالتهای قبل تصمیمات خاص را اعمال می نمایند.


45

ها در یک شبکهFirewallجایگاه

•Personal برروی ایستگاههای کاری نصب می گردد و Firewallاین نوع

وظیفه امن نمودن همان ایستگاه کاری را بر عهده دارد.

•Host Base برروی سرورهای شبکه نصب می شود و Firewallاین نوع

وظیفه امن نمودن همان سرور خاص را بر عهده دارد.

•Gateway در مسیرهای اصلی عبور اطالعات قرار Firewallاین نوع

میگیرد و دسترسی های بین شبکه ای را کنترل می نماید.


46

IDP/IDS چیست؟ (Prevention/Intrusion Detection System)

نرم افزار یا سخت افزاری می باشد که برای تشخیص حمالت به وجود آمده در شبکه مورد استفاده قرار

می گیرند.

چیست؟IDS/IDPوظیفه بسیاری از حمالت به وجود آمده در یک شبکه را فقط

ها نمی توان مسدود نمود, اینگونه Firewallتوسط حمالت باید توسط سیستم هوشمندی که قادر به تشخیص این گونه حمالت باشند آشکار و سپس

مسدود شوند.


47

IDS/IDPانواع

•Host Base ها برروی سرورهای موجود نصب شده IDS/IDPاین نوع

و وظیفه آشکار نمودن حمالت بوجود آمده برروی آن سرور را بر عهده دارند.

•Gateway ها در مسیرهای اصلی عبور اطالعات IDS/IDPاین نوع

قرار می گیرند و تمامی بسته های اطالعاتی عبوری که از نوع حمله باشند را تشخیص داده و در صورت لزوم

ارتباط مذکور را مسدود می نماید.


48

Honey Potچیست؟ یک سیستم نرم افزاری است که بطور مجازی خود را ارائه دهنده انواع سرویسهای موجود برروی شبکه

معرفی می نماید و باعث میشود تا هکرها و نفوذگران به شبکه به سمت آن حمله نمایند, این مدت زمان

کافی است تا مدیران امنیت شبکه متوجه حمله شده و حمله کننده را شناسایی نمایند.

در شبکهHoney Potجایگاه این سیستم باید در مدخل ورودی شبکه و یا در مدخل

ورودی سایر سرویسهای شبکه قرارگیرد.


49

ویروس کامپیوتری چیست؟برنامه نوشته شده ای می باشد که هدف آن تخریب اطالعات موجود روی سیستم و یا از کار انداختن

کامل آن سیستم می باشد.

انواع ویروسهای کامپیوتری•Virus•Warm•Trojan•Spyware


50

Antivirusتعریف

سیستم نرم افزاری یا سخت افزاری می باشد که قادر به شناسایی ویروسهای موجود در

فهرست ویروسهای تعریف شده برای آن می باشد.

Antivirusوظیفه جلوگیری از ورود هرگونه ویروس به شبکه,

سرورها و یا ایستگاه های کاری موجود می باشد.


51

در شبکهAntivirusمحل قرارگیری Antivirus با توجه به قابلیتهایی که دارا می باشند به دو

تقسیم بندی می Gateway و Stand Aloneدسته شوند, که با توجه به محل قرارگیری آنها اطالعات

مختلفی را بررسی می نمایند.

هاAntivirusانواع با مدیریت متمرکزAntivirusسیستمهای •Host Base Antivirusسیستم های •


52

Monitoringتعریف سیستمهای سیستم های نرم افزاری می باشند که اطالعات مورد نیاز

یک مدیر فنی شبکه را جمع آوری می نمایند. اینگونه اطالعات در امن ماندن شبکه پس از طراحی و پیاده

سازی اهمیت بسیاری دارند.

در یک شبکهMonitoringجایگاه سیستمهای Stand Alone معموال به صورت Monitoringسیستمهای

مورد استفاده قرار میگیرند و بر روی یک سرور که را برعهده دارد نصب می گردند.Monitoringوظیفه


53

Monitoringانواع سیستم های

•ICMP Monitoring

•Service Monitoring

•Agent Monitoring

•SNMP Monitoring


54

Security Scanner

این ابزار جهت آگاهی یک مدیر فنی شبکه از نقاط ضعف احتمالی موجود در شبکه می باشد و اطالعات کاملی در مورد وضعیت تجهیزات و

سرورهای شبکه از طریق آن بدست می آید.


55

نتیجه گیریتوجه به موارد گفته شده, می توان نتیجه گرفت که امن با

نمودن یک شبکه با حجم متوسط یا بزرگ فقط در تنظیمات و نصب تجهیزات خالصه نمی شود بلکه به

ترتیب به موارد زیر تقسیم میشود:به دست آوردن دید کلی از نیازهای امنیتی شبکه•طراحی و تفکیک اجزاء شبکه از دید امنیتی •مجزا نمودن بخشهای امنیتی توسط تجهیزات امنیتی •

شبکهبازبینی متناوب از شبکه و بررسی اطالعات بدست •

آمده

سمینار آموزشی امنیت شبکه

Documents