ﻪﮑﺒﺷ و هداد ﺖﯿﻨﻣاce.sharif.edu/courses/93-94/1/ce442-1/resources/... · ( )...
TRANSCRIPT
شبکه شریف داده و تیمرکز امنhttp://dnsl.ce.sharif.edu
امنیت داده و شبکه
مفاهیم و تعاریف اولیه
94-93نیمسال اول -مرتضی امینی
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
فهرست مطالب
محتواي درس ضرورت امنیت داده و شبکه مفاهیم اولیه امنیت دشواري برقراري انواع و ماهیت حمالت سرویس هاي امنیتی مدلهاي امنیت شبکه
2
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
کندیم ین درس بررسیآنچه ا
ردی گیر را در بر میم زین درس مفاهیا: تهدیدهاي امنیتی یتیامن يازهاین یتیخدمات امن یتیامن يها ها و پروتکل زمیمکان يا بر رویره شده و یکامپیوترها ذخ يکه بر رو ییداده ها يبرا
. شوندیشبکه انتقال داده م
3
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
موضوعات تحت پوشش درس
یتیدات امنیتهد یمقدمات يرمزنگار مکانیزم هاي پیشگیري مکانیزم هاي تشخیص امن يمبانی طراحی پروتکل ها مبانی پروتکل هاي امنیت شبکه
4
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
موضوعات خارج از محدوده پوشش درس
شرفتهیپ يرمزنگار روشهاي هک و نفوذ اصول نظري در امنیت اطالعات ...
5
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
فهرست مطالب
محتواي درس ضرورت امنیت مفاهیم اولیه امنیتدشواري برقراري سرویس هاي امنیتی انواع و ماهیت حمالت مدلهاي امنیت شبکه
6
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
ست؟یت چیامن
ما يعبارتست از حفاظت از آنچه برا) طور غیر رسمی(ت به یامن . ارزشمند است
يدر برابر حمالت عمد در برابر نفوذ غیرعمدي
7
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
یتیاقدامات امن
پیشگیري(Prevention): جلوگیري از خسارت تشخیص و ردیابی(Detection & Tracing):
تشخیص(Detection) میزان خسارت هویت دشمن زمان، مکان، دالیل حمله، نقاط ضعف(کیفیت حمله (...
واکنش(Reaction): ترمیم، بازیابی و جبران خسارات جلوگیري از حمالت مجدد
8
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
یتیاقدامات امن
تشخیصDetection
واکنشReaction
پیشگیريPrevention
9
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
گذشته و حال: ت اطالعاتیامن
قفل دار ياطالعات در قفسه ها ينگهدار امن يقفسه ها در مکان ها ينگهدار استفاده از نگهبان یکیالکترون يستم هایاستفاده از س
نظارتیتیریو مد یکیزیف يروشها: یبه طور کل
وترهایاطالعات در کامپ ينگهدار ن یب يا ارتباط شبکه يبرقرار
وترهایکامپ وترها و یت در کامپیامن يبرقرار
ها شبکه
یت اطالعات سنتیامن نینو يایت اطالعات در دنیامن
10
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
نیازهاي امنیتی
بنابراین : ،شد امنیت با حضور فیزیکی و نظارتی تامین میدر گذشته،
ولی
براي حفاظت و مکانیزم هاي هوشمند خودکار هاياز ابزارامروزه .استفاده می شود ها از داده
11
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
CERTمنتشر شده توسط آمار CERT (Computer Emergency Response Team)
132 1,334 3,7349,859
21,756
52,658
82,094
137,529
0
20,000
40,000
60,000
80,000
100,000
120,000
140,000
89 90 91 92 93 94 95 96 97 98 99 '00 '01 '02 '03
تعدادوقاعی
سال
12
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
ابزار مهاجمان
LOW 1980 1990 2000
High
Password Guessing
Self Replicating Code Password Cracking
Exploiting Known
Vulnerability Disabling Audits
Back Doors Sweepers
DDoS Sniffers
Packet Forging Spoofing Internet Worms
ابزار مهاجمان
دانش مهاجمان
13
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
گذشته و حال: نیازهاي امنیتی
از دو نمودار قبلی بخوبی پیداست: تعداد حمالت علیه امنیت اطالعات به طور قابل مالحظه اي افزایش
.یافته است امروزه تدارك حمله با در اختیار بودن ابزارهاي فراوان در دسترس به
).بر خالف گذشته(دانش زیادي احتیاج ندارد
14
)http://dnsl.ce.sharif.edu( شبکه شریفداده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)1(انگلیس BIS نگاهی به گزارش
68%
52%
35%
60%
81%
0% 20% 40% 60% 80% 100%
سازمانهاي کوچک -2010
سازمانهاي کوچک -2012
سازمانهاي کوچک -2013
سازمانهاي کوچک -2014
سازمانهاي بزرگ -2014
حوادث امنیتی بدخواهانه در سازمانها
15
)http://dnsl.ce.sharif.edu( شبکه شریفداده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)2(انگلیس BIS نگاهی به گزارش
43%
41%
16%
41%
66%
73%
47%
59%
33%
22%
10%
45%
55%
58%
44%
73%
0% 20% 40% 60% 80%
حمالت از خارج سازمان
دیگر حوادث ناشی از پرسنل داخلی
دزدي و کالهبرداري
افزارهاي مخرب آلودگی به ویروس و نرم
انواع حوادث رخ داده در سازمانها
2013 -سازمانهاي کوچک 2013 -سازمانهاي بزرگ 2014 -سازمانهاي کوچک 2014 -سازمانهاي بزرگ 16
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)3(انگلیس BISنگاهی به گزارش
سازمانهاي بزرگ )میلیون تومان معادل به(
سازمانهاي کوچک )میلیون تومان معادل به(
تسلسل و وقفه در کسب و کار 312 – 208 3380 – 1820
زمان صرف شده براي مقابله با حادثه 46/8 – 15/6 176/8 – 62/4
هاي مستقیم مقابله با حادثه هزینه 88/4 – 46/8 702 – 416
و غرامت پرداختی به تنظیم مقررات جریمه 20/8 – 10/4 208 – 124/8
و کسب و کار) شامل حق مالکیت معنوي(خسارات مالی 88/4 – 44/2 644/8 – 452/4
لطمه به شهرت و اعتبار 41/6 –8/32 936 – 260
)2014(متوسط کل هزینه یک حادثه سنگین امنیتی 598 – 338 5980 – 3120
)2013(متوسط کل هزینه یک حادثه سنگین امنیتی 338 – 182 4420 – 2340
2014 -هاي مرتبط با یک حادثه سنگین امنیتی در سازمانها متوسط هزینه
17
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)1(هاي فیشینگ توزیع سایت
)SIRگزارش ( 2010ماه دوم 6هاي فیشینگ در دنیا در توزیع سایت
18
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)2(فیشینگ هاي توزیع سایت
)SIRگزارش ( 2013ماه دوم 6هاي فیشینگ در دنیا در توزیع سایت
19
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)1(هاي آلوده توزیع سیستم
)SIRگزارش ( 2010ماهه دوم 3هاي آلوده به بدافزار در دنیا در توزیع سیستم
20
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)2(آلوده هاي توزیع سیستم
)SIRگزارش ( 2013ماهه دوم 3هاي آلوده به بدافزار در دنیا در توزیع سیستم
21
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)1(ساز هاي آلوده توزیع سایت
)SIRگزارش ( 2010ماهه چهارم 3ساز در دنیا در هاي آلوده توزیع سایت
22
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)2(ساز هاي آلوده توزیع سایت
)SIRگزارش ( 2013ماهه چهارم 3ساز در دنیا در هاي آلوده توزیع سایت
23
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)1(جنگ سایبري
1991(جنگ عراق و آمریکا(
ایجاد اختالل در سیستم ضدهوایی عراق
توسط نیروي هوایی آمریکا با استفاده از ویروسی با نامAF/91
انتقال از طریق چیپ پرینتر آلوده به ویروس از مسیر عمان و سوریه
ولیکن ! هر چند بعدها درستی موضوع تایید نشد...
24
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)2(جنگ سایبري
2007(حمله سایبري روسیه به استونی(
ها ها، و رسانه ها، بانک حمله به وزارتخانه
روِرهاي اداري تحت کنترل روسیهحمله از طریق س
25
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)3(جنگ سایبري
2010(اي ایران حمله اسراییل به تاسیسات هسته(
از طریق ویروسStuxnet
هاي کنترل صنعتی و سازي سیستم آلودهPLCها
سازي سانتریفیوژهاي نطنز آلوده: هدف
26
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)4(جنگ سایبري
Stuxnet: اي ایران حمله اسراییل به تاسیسات هسته
27
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)5(جنگ سایبري
2011(حمله به وزارت امورخارجه ایران(
توسط گروهی موسوم به گروهAnonymous
نفوذ به کارگزارهاي پست الکترونیکی اداره گذرنامه و روادید وزارت امور خارجه
پست الکترونیکی 000,10افشاي محتواي بیش از
28
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
فهرست مطالب
محتواي درس ضرورت امنیت مفاهیم اولیه امنیتدشواري برقراري سرویس هاي امنیتی انواع و ماهیت حمالت مدلهاي امنیت شبکه
29
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
مبانی امنیت داده ها
.پذیري مبتنی است بر تحقق سه ویژگی محرمانگی، جامعیت و دسترس :ها امنیت داده محرمانگی (Confidentiality)
ها داده غیرمجاز افشاي عدم• صحت (Integrity)
غیرمجاز افزارهاي نرم یا افراد توسط ها داده دستکاري عدم•
پذیري دسترس (Availability) هرزمان در و مکان هر در مجاز افراد توسط ها داده به دسترسی•
30
I C
A
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
محرمانگی
:است نوع دو بر مشتمل خود محرمانگیداده محرمانگی )Data Confidentiality(
غیرمجاز افراد به خصوصی و محرمانه هاي داده اینکه از اطمینان .شوند نمی افشاء
حریم خصوصی)Privacy(
آوري، توانند بر روي امکان و نحوه جمع اطمینان از اینکه افراد میهاي خصوصی خود توسط سازي و انتشار یا افشاي داده ذخیره
.دیگران کنترل و تاثیر داشته باشند
31
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
محرمانگی
هاي متداول مکانیزم :
اريگنرمز
کنترل دسترسی
My Credit
Card PIN #: 1234
32
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
صحت
:است نوع دو بر مشتمل خود صحتداده صحت )Data Integrity(
دستکاري غیرمجاز افراد توسط ها برنامه یا و ها داده اینکه از اطمینان .یابند نمی تغییر یا و
صحت منبع)Origin Integrity(
اطالعات) فرستنده(اطمینان از درستی و صحت منبع.
33
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
صحت
هاي متداول مکانیزم : امضاي دیجیتال کد احراز اصالت پیام کنترل دسترسی
انتقال پول از علی به محمود
انتقال پول از علی به حسین
34
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
دسترس پذیري
دهی به افراد مجاز در هر مکان سرویسها و دسترسی به داده: تعریف .زمان و در هر
تهیه پشتیبان و نصب سیستم هاي محافظ مناسب: مکانیزم متداول
35
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
دالیل ناامنی شبکه ها
ضعف فناوري پروتکل، سیستم عامل، تجهیزات •
ضعف تنظیمات راه اندازي رمزنگاري، از استفاده عدم نامناسب، گذرواژه هاي فرض، پیش تنظیمات رهاکردن•
... الزم، تنظیمات اعمال بدون اینترنت هاي سرویس
گذاري ضعف سیاست امنیتی سیاست وجود عدم• مخاطرات بازیابی و مقابله براي طرحی وجود عدم• )فنی و مدیریتی( مناسب امنیتی نظارت نداشتن•
36
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
يامن ساز
گستره امنیت تمامی منابع سازمان است و نه تنها کارگزار اصلی.
به مسئلۀ امنیت الزم است و نه نگرش فنی مدیریتینگرش.
مهاجمین داخلی و مجاز خطر بالقوة بیشتري دارند.
توان تراکنش امن داشت ها امن فکر نکنند نمی مادام که انسان.
فه خاص و مقطعییک وظیند است نه یک فرآی يساز امن.
37
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
احراز اصالت، فایروال، . . . رمزنگاري،
هاي تشخیص سیستم. . .نفوذ، تله عسل،
آزمون نفوذ و پذیري آسیب
عملیات شبکه و امنیت
چرخه ایجاد امنیت
مشی خط امنیتی
سازي امن
پایش
تست و آزمون
مدیریت و بهبود
38
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
امنیت
کارآیی
عملکرد
یت سازمانیامن ياستراتژ
و عملکرد ییت، کارآین امنیمصالحه ب. ت مورد انتظار کاربران؟یزان امنیم قابل تحمل سازمان؟ یزان ناامنیم
39
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
امنیتی) سیاست(خط مشی
امنیتی )سیاست( مشی خط(Security Policy): امنیتی نیازمندیهاي .نماید می بیان را ارتباطی /اطالعاتی سیستم یک یا و سازمان یک
در تعریف سیاست هاي امنیتی: بدانید تا چه اندازه و در چه نقاطی نیاز به اقدامات محافظتی داریدباید.
و هر یک تا چه حد وجود داردباید مشخص شود که چه نوع اطالعاتی در سازمان .قابل دسترسی براي هر یک از افراد سازمان است
هایی در اجراي اقدامات محافظتی سازمان ولیتؤچه افرادي، چه مس دباید بدانی .دارند
ارتباط این افراد با کاربران عادي سازمان چگونه بوده و چه راهنمایی و .دننبه آنان ارائه کباید هایی در مواقع خطر و بروز ویروس آموزش
40
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)Bishopاز ( مفاهیم اولیهتعاریف و
حمله )Attack(: تالش عمدي براي رخنه در یک سیستم یا سوء .استفاده از آن
رخنه )Breach( :نقض سیاست امنیتی یک سیستم
نفوذ )Intrusion( :فرایند حمله و رخنه ناشی از آن
آسیب پذیري )Vulnerability( : ،هر گونه نقطه ضعف در توصیفطراحی، پیاده سازي، پیکربندي، اجرا که بتوان از آن سوءاستفاده
.کرده و سیاستهاي امنیتی سیستم را نقض کرد
41
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
مفاهیم اولیهتعاریف و
مهاجم و هکر)Attacker and Hacker(
هک)Hack ( در واقع به معنی کنکاش به منظور کشف حقایق و نحوة
.کار یک سیستم است
حمله)Attack (نفوذ به سیستمهاي دیگران و در واقع تالش براي
.خصمانه استهک
Malicious Hacker = Attacker
42
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)Stallingsاز( مفاهیم اولیهتعاریف و
حمله امنیتی )Security Attack( :لی که امنیت اطالعات عم .سازمان را نقض می کند
مکانیزم امنیتی )Security Mechanism( : روش درنظرگرفتههر مکانیزم . جلوگیري و بازیابی از حمالت ،شده براي تشخیص
سازي یک سیاست امنیتی امنیتی در واقع یکی از روشهاي پیاده .است
سرویس امنیتی )Security Service( :هاي تضمین سرویس .باال يها زمیبا استفاده از مکان کننده امنیت
43
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
...)در این درس(تعاریف و مفاهیم اولیه
پذیري آسیب (Vulnerability): یا و شده شناخته رخنۀ یا درز افزار نرم یا افزار سخت عملکرد یا پیکربندي سازي، پیاده ،طراحی در مشکوك
.گردد می سیستم آن در نفوذ موجب که سیستم یک
نفوذ (Intrusion): محرمانگی نقض آن نتیجه که اعمال از مجموعه هر، .باشد منبع یک پذیري دسترس یا و صحت
حمله(Attack) : ارتباطی، /اطالعاتی سیستم یک در عمدي نفوذ یک به .)موجود آسیب پذیري هاي از بهره گیري با معموالً( شود می گفته حمله
44
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
...)در این درس(تعاریف و مفاهیم اولیه
مکانیزم امنیتی (Security Mechanism): به هر روش، ابزار و یارود، یک مکانیزم امنیتی اي که براي اعمال یک سیاست امنیتی به کار می رویه .دگوین
سرویس امنیتی(Security Service): کنندة هاي تضمین به سرویس
.شود امنیت در یک سیستم و یا شبکه گفته می
45
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
فهرست مطالب
محتواي درس ضرورت امنیت مفاهیم اولیه امنیتدشواري برقراري سرویس هاي امنیتی انواع و ماهیت حمالت مدلهاي امنیت شبکه
46
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
امنیت يبرقرار يدشوار
شودی م يریاس پذیو مق ییش کارآیافزا یت معموالً قربانیامن.
بر است نهیت باال هزیامن.
ت را به عنوان مانع در برابر انجام شدن کارها یکاربران عادي امن
.کنندی نم يرویپ یتیامن ياستهایکنند و از سی م یتلق
47
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
امنیت يبرقرار يدشوار
ت به طور گسترده در یدور زدن امن يافزارها اطالعات و نرم
.ار هستندیاخت
رند و یگی ک مبارزه در نظر میت را به عنوان یدور زدن امن یبرخ
.برندی از انجام آن لذت م
ها و ستمیه سیاول يهای در هنگام طراح یتیمالحظات امن
.شود ها در نظر گرفته نمی شبکه48
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
فهرست مطالب
محتواي درس ضرورت امنیت مفاهیم اولیه امنیتدشواري برقراري سرویس هاي امنیتی انواع و ماهیت حمالت مدلهاي امنیت شبکه
49
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
سرویس هاي امنیتی
ها داده حفظ صحت (Integrity)
ها محرمانگی دادهحفظ (Confidentiality)
احراز اصالت(Authentication)
کنترل دسترسی(Access Control)
عدم انکار (Non-repudiation)
پذیري دسترس(Availability) 50
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
سرویس هاي امنیتی
آنچه رسیده همان است نکه ینان از ایاطم: ها داده حفظ صحت .که فرستاده شده
ام یت پیکد احراز هو(MAC) امضاء نکه تنها کاربران مورد ینان از ایاطم: ها محرمانگی دادهحفظ
.امها استینظر قادر به درك پرينگارمز
51
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
سرویس هاي امنیتی
که ادعا استهمانی که کاربر نینان از ایاطم :احراز اصالت .کند میکنترل هویت حق دسترسی کاربر تنها به منابع مقرر شده : کنترل دسترسی
.داردشود مجازشماري هم نامیده می.
52
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
سرویس هاي امنیتی
عدم امکان انکار دریافت یا ارسال توسط گیرنده و : عدم انکار فرستنده
امضاء براي به موقع خدماتدر دسترس بودن : پذیري دسترس
کاربران مجاز
53
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
فهرست مطالب
محتواي درس ضرورت امنیت مفاهیم اولیه امنیتدشواري برقراري سرویس هاي امنیتی انواع و ماهیت حمالت مدلهاي امنیت شبکه
54
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)ادامه(انواع حمالت
:از نظر تاثیرانواع حمالت
:(Active)حمالت فعال (Masquerade) جعل هویت
(Replay) ارسال دوباره پیغام
(Modification) تغییر
(Denial of Service) سرویس منع
:(Passive)حمالت غیرفعال (Traffic Analysis)تحلیل ترافیک
(Release of message) انتشار پیغام
Sniffer 55
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
حمله شنود یا استراق سمع
نقض محرمانگی: هدف بندي شده هاي طبقه دسترسی غیرمجاز به داده: نتیجه راه هاي تحقق حمله:
اتصال فیزیکی به شبکه و دریافت بسته ها دسترسی غیرمجاز به پایگاه داده ها وجود ضعف و آسیب پذیري در سیستم کنترل دسترسی
56
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)ادامه(حمله شنود یا استراق سمع
مشتري
کارگزار
مهاجم
کرافی
د تشنو
PINرمز یا مشتري
57
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
حمله منع سرویس یا وقفه
نقض دسترس پذیري: هدف کاهش کارایی و یا عدم امکان دسترسی کاربران به : نتیجه حمله
شبکه و یا سرویس هاي فراهم شدهراه هاي تحقق حمله :
ارسال بسته و درخواست هاي مشکل دار راه اندازي سیل ترافیکی استفاده از ضعف ها و آسیب پذیري هاي نرم افزاري شبکه ویا سرویس ها
58
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)ادامه(حمله منع سرویس یا وقفه
مشتري کارگزار
مشتري
کارگزار
مهاجم
مهاجم
59
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
حمله تغییر یا دستکاري داده ها
نقض صحت: هدف هاي سیستم یا شبکه تغییر غیرمجاز داده: نتیجه راه هاي تحقق حمله:
قرار گرفتن در مسیر شبکه و دستکاري و ارسال به گیرنده دسترسی غیرمجاز به پایگاه داده ها و تغییر غیرمجاز در آن وجود ضعف و آسیب پذیري در سیستم کنترل دسترسی و صحت
60
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)ادامه(حمله تغییر یا دستکاري داده ها
حمله مرد میانی)Man in the Middle (
مشتري
کارگزار
مهاجممیلیون به 2انتقال
حساب علی 2انتقال : مشتري
میلیون به 2: کارگزار میلیون به حساب بابک .حساب بابک منتقل شد
میلیون به 2: کارگزار .حساب علی منتقل شد
61
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
حمله جعل هویت
نقض صحت: هدف توانند که می ییها داده پیام ها و) اضافه کردنیا (جعل : نتیجه
.استفاده باشند مخرب یا منشأ سوءراه هاي تحقق حمله:
اتصال فیزیکی به شبکه و دریافت بسته ها عمال تغییرات موردنیازارسال (بازارسال بسته هاي شنود شده پس از ا
)بسته هاي جعلیوجود ضعف در مکانیزم احراز هویت و کنترل صحت
62
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
)ادامه(حمله جعل هویت
به طور مشابه جعل کارگزار(حمله جعل مشتري یا کاربر(
مشتري
کارگزار
مهاجم
ارسال داده هاي جعلی به جاي مشتري
63
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
فهرست مطالب
محتواي درس ضرورت امنیت مفاهیم اولیه امنیتدشواري برقراري سرویس هاي امنیتی انواع و ماهیت حمالت مدلهاي امنیت شبکه
64
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
مدل کلی در یک ارتباط امن
سناریوي کلی در هر ارتباط امن: مثل (نیاز انتقال یک پیغام بین طرفین با استفاده از یک کانال ناامن
)شبکه اینترنتهاي محرمانگی، صحت و احراز اصالت در انتقال نیاز به تامین سرویس
پیامکنند تکنیکهاي مورد استفاده عموما از دو مولفه زیر استفاده می:
هاي امنیتی موردنیاز جهت فراهم آوردن سرویس: تبدیل امنیتی گیرند و نحوي که در تبدیل فوق مورداستفاده قرار می: اطالعات مخفی
.اند بین طرفین ارتباط به اشتراك گذاشته شده
65
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
یک مدل نمونه براي ارتباط امن
شخص ثالث مورد اعتماد
دشمن
اطالعات مخفی اطالعات مخفی
تبدیل امنیتی تبدیل امنیتی کانال اطالعات
گیرنده فرستنده
66
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
تضمین سرویس امنیتی
دهد که براي فراهم آمدن یک سرویس مدل فوق نشان می :امنیتی خاص مجبوریم نیازهاي زیر را فراهم کنیم
انجام تبدیل امنیتی موردنظرطراحی الگوریتم مناسب براي موردنیاز طرفین اطالعات مخفیتولید اطالعات مخفیدرباره استفاده از روش مناسب براي توزیع و توافق ارتباط طرفین و تضمین سرویس طراحی یک پروتکل مناسب براي
امنیتی
67
)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی
پایان
مرکز امنیت داده و شبکه شریفhttp://dnsl.ce.sharif.edu
پست الکترونیکی
68