network-security muhibullah aman-first edition-in persian

کابلدانشگاه

کمپیوتر ساینسدانشکده

تکنالوژی معلوماتی دیپارتمنت

ی شبکه هاامنیت

کمپیوتری

هجری خوشیدی 5931بهار سال: و ترتیب: محب هللا "امان"تهیه

راهنما: صبغت هللا "اسلمزی"استاد

2 تهیه کننده: محب هللا "امان"

امنیت شبکه ها

رانم که این مجموعه را میخوانند:همقطابه

م ؛ نهاست که میتوانستاین تمام چیزی "

"متمام چیزی که میخواست



کزو برتر اندیشه بر نگذرد به نام خداوند جان و خرد

Network Security

امنیت شبکه موضوعاتی را که ما درین فصل مورد بحث قرار خواهیم داد:

Ā .محرکین و عاملین که باعث به میان آمدن رشتهء امنیت شبکه ها شده اند Ā .معرفی ارگان های مهم که درعرصهء امنیت شبکه ها فعالیت دارند Ā .معرفی دامنه های شبکه

( چیست؟Network Securityامنیت شبکه )

به منظور جلوگیری از دسترسی غیر administratorکه توسط حی است که تدابیر و رو هایامینت شبکه ها عبارت از اصطال

را معلومات بکار برده میشود شبکه و مجاز بهره برداری از معلومات و یا هم وسایل تعریف تغییرات و تکذیب شبکه و منابع

معرفی میکند.

(:Network Security Driversمحرکین امنیت شبکه )محرکین اصلی رشتهء امنیت شبکه محسوب میگردد و تمام رو ها و راهکارهایی که در بخ امنیت Hackingبدون شک هکر و

معانی زیادی را ارایه میکند. ولی در hackerکلمه ده میگردد. شبکه هم معرفی میشود برای کوتاه کردن دست هکر ها به شبکه استفا

مهمترین معنی هکر عبارت از پروگرامر های انترنتی می باشند که به دنبال دسترسی غیرمجاز به وسیلهء در انترنت می باشد.

ها به شبکه و یاهم userه مانع دسترسی وهمچنین هکر ها میتوانند به اشخاصی اطالق گردند که به دنبال اجرایی پروگرام هایی اند ک

ویا هم در بعضی حاالت هکر ها و فاسد کردن معلومات در سرور ها می باشند. user( برای interruptsبه دنبال ایجاد مزاحمت )

ها صرف به منظور اینکه سرعت کار میدیا و وسایل را در شبکه ضعیف نمایند پروگرام هایی را به اجرا در میاورند.

ولی در بعضی از حاالت متخصصین شبکه و برنامه نویسان ماهر نیز در نق یک هکر ظاهر میگردند وبا بکارگیری مهارت های

که این خود یکی از دالیل به میان آمدن برنامه نویسی شان نقاط آسیب پذیر در مقابل حمالت را شناسایی و تشخیص میدهند.

Network Security Field .گردیده است

وظیفهء متخصصین امنیت شبکه ایجاب میکند که ایشان باید همیشه یک قدم جلوتر از هکر ها نظربه مهارت ها و فنون برنامه نویسی

ها مهارت های خودرا workshopو شبکه باشند. وبدین منظور یک متخصص امنیت شبکه میتواند با سهم گرفتن در آموز ها

نای د پرنمودن خالهایی امنیتی ممکنه می باشند بناء همیشه به دنبال راه های جدیدی می باشند کهوایشان همیشه در صد افزای دهد.



الزامی است که بصورت برای این اشخاص خود باعث گردیده که مبحث امنیت شبکه هر چه بیشترداغ و داغتر گردد. وهمچنین

( باشد.updateهای امنیتی را بررسی کند. به اصطالح ما )مستمر با ارگان های امنیتی شبکه ارتباط داشته و همه روزه سایت

برای متخصصین شبکه الزم است که تا به تمام ابزارها پروتوکول ها تکنیک ها و تکنالوژی ها آشنایی و دسترسی داشته

ویا ازبین بردن خطر و فعالیات باشد.آنها باید همیشه از فعالیتهای بدخواهان و هکرها آگاه باشند و مهارت الزم برای محدود سازی

که تمام این ویژگیها و فعالیتهایی را که باید یک متخصص امنیت شبکه داشته باشد باعث میگردد تا ما رشته ویا ایشان را داشته باشند.

مضمونی را به نام امنیت شبکه ها بخوانیم.

هم نمی بود. network securityها و متخصص امنیت شبکه ها نمی بود امروز Hackerیعنی اگر

تاریخچهء سرقت های انترنتی

Hacking میالدی در سیستم تیلفون ها 5391باراول در سالAT&T صورت گرفت که از امواج صدا برای نگهداری فون ها استفاده

ها و tonesهای خود معرفی نمود که با Phone systemرا در automatic switchesیک AT&Tمیگردید. یعنی زمانیکه

آهنگ های مذکور با استفاده از یک سگنال duplicateدریافته بودند که با تکثیر و AT&Tصداها کار میکرد و بعضی از مشتریان

محسوب میگردد. hacking, میتوانند به مدت بیشتری صحبت نمایند. و درحقیقت این اولین

با استفاده از مودم War dialingمیالدی رو 5391طوریکه در دههء با تغییر سیستم ارتباط , رو های هکینگ نیز تغییر یافت

های کمپیوتری رایج گردید.

War dialing بصورت اتوماتیک نمبرهای تماس اشخاص را در ساحهء محلی کوچک دریافت میکرد و از آن برای دسترسی به

Password-crackingیدا میشد با استفاده از برنامهء وسایر وسایل استفاده میکرد یعنی زمانیکه یک نمبر تماس پ کمپیوتر ,

programs .در صدد دریافت پسورد میشدند

ها در صدد userدرین رو کشف شد که تا هنوز هم هکر ها استفاده میکنند. War drivingرو 5331به همین ترتیب در سال

Wirelessویا کمپیوتر که در آن PDAیک با ها می باشد. که access pointدسترسی مخفیانه و غیر مجاز به شبکه با استفاده از

به این هدف میرسند.فعال باشد

استفاده میگردد.به همین ترتیب رو های مختلفی دیگری نیز در حال تکامل Password-crackingهم authenticationبرای

نام برد. Nmapمثل Network scanning toolsمی باشند که از جمله میتوان از

سارقین انترنتی مشهور و جرایم آنها :

طوریکه میدانیم امروزه ملیاردها دالر روزانه بین اشخاص و ارگانها با استفاده از انترنت و شبکه مبادله میگردد و به همین ترتیب

نرو قانون از ای نتی می پردازند.زندگی میلیون ها شخص وابسته به انترنت و شبکه می باشد که با استفاده از انترنت به تجارت انتر

جزا در صدد محافظت افراد و دارایی ارگان ها می باشند و مجرمین زیادی برهمین مبنا دستگیر و مجازات شده اند.

نوشته شد. که رو کار این ویروس مصروف David Smithنامیده میشد توسط Melissa Virusاولین ویروس ایمیل که به نام

تاوان $5000ماه زندان و 01با این عمل خود به David Smith ها بود. mail serverبار کردن میموری در ساختن و اضافه

نقدی محکوم گردید.



Robert Morries اولینWorm الین کود بود نوشت که با پخ این 33انترنتی را که دارایWorm فیصد سیستم 51در انترنت

ساعت کار بدون پرداخت و 011به مدت سه سال آزادی مشروط و Robert Morriesدر نتیجه های انترنتی از کار افتید. که

جریمه مالی شد. $ 51111همچنین



به چهار سال زندان به دلیل دزدیدن کریدت کارت حساب ها محکوم گردید. Kevin Mitnickیکی از معروفترین هکر انترنتی

ستفاده کرده باشد درصورتیکه وی بخاطر اهداف بدخواهانه چنین کاری کرده باشد محکوم به یک هکر از هرروشی که برای دزدیدن ا

زندان پرداخت جرایم سنگین و محدودیت در دسترسی به محیط برای فعالیت وی خواهد شد.

ه باعث گردید که بحث نتیجهء بازیابی و اکتشاف های هکر ها و پیشرفته بودن ابزار هکر ها وقانون گذاری ادارات دولتی هم

از اهمیت خاصی برخوردار گردد. 5331امنیت شبکه در دهه

لذا بطور خالصه میتوان محرکین امنیت شبکه را اشخاص ذیل دانست:



مسئولیت های متخصصین امنیت شبکه:

Confidentialityو Integrityین متخصصین امنیت شبکه مسئول نگهداری ثبات معلومات برای یک ارگان و همچنان تضم

برای یک متخصص امنیت شبکه الزامی است تا برای جلوگیری از تداخالت بیرونی به شبکه فایروال هارا معلومات می باشد.

شده تبادله نماید. encryptعیارسازی و معلومات کمپنی را به شکل

را درشبکه تطبیق نماید. Enterprise Authenticationوهمچنین یک متخصص امنیت شبکه باید طرح

ارگان های مهم که در عرصهء امنیت شبکه های کمپیوتری فعالیت دارند:

سه ارگان مهم در عرصهء امنیت شبکه های کمپیوتری عبارتنداز:

5. SysAdmin, Audit, Network, Security (SANS) Institute

0. Computer Emergency Response Team (CERT)

9. International Information Systems Security Certification Consortium (ISC Squared)

CERT CERT (Computer Emergency Response Team) گروهی است که مسئول شناسایی کشف و حل اتفاقات و حوادث امنیتی

تحت CERTت که باعث به میان آمدن گروه ساخته بود یکی از محرکین اس Morrisشبکه ها در سراسر جهان می باشد. و کرمی که

های سرور های جهان دسترسی دارند و درصورت وقوع سرقت های انترنتی Registryگردید. این گروه به تمام DARPAمدیریت

دفعتا دست به کار شده و عامل آنرا از نقاط مختلف جهان پیدا میکند.

کشور جهان مسئول ایمن 591نفر متخصص در 91111داشتن بی از ارگان امنیتی دیگری است که با ISC2به همین ترتیب

برای انتقال محفوظ و مصئون معلومات می باشد. Cyberساختن فضای

Domain :یا ساحات تطبیق امنیت شبکه

امنیت شبکه Domainدر پهلوی دانستن وشناختن محرکین امینت شبکه ها و ارگان های مهم که درین عرصه فعالیت دارند دانستن

در ISO/IECکه سازمان جهانی منظم برای آموختن امنیت شبکه ها هم الزامی است. Frameworkها هم به منظور ایجاد یک

ISO/IEC 27002 50 امنیت شبکه هارا در ( ناحیهDomain تقسیم نموده است که این امر سهولیات زیادی را درعرصهء )

اندارد ها برای امنیت شبکه ها به وجود آورده است.آموختن امنیت شبکه ها و ایجاد ست



چپتر دوم

Viruses, Worms and Tarojan Horses ها Wormها حمالت اند که با استفاده از ویروس ها End-userمعموال یک نکتهء آسیب پذیری تمام شبکه ها و به خصوص

گردند.ها توسط هکر ها راه اندازی می Tarojan Horse)کرم ها( و

ویروس ها به سافت ویرهای مخربی گفته میشوند که معموال ضمیمهء یک پروگرام دیگر شده و عملیه های ناخواسته و مخرب

دیگری را در کمپیوتر بطور ناخواسته اجرا میکند.

Worm یگردد یعنی این فایل ها ها کودهای مخرب و خودسرانهء را در کمپیوتر ها اجرا نموده و بطور ناخواسته در کمپیوتر تکثیر م

میکنند. وسپس به سایر کمپیوتر ها سرایت میکنند. pasteخودرا کاپی نموده و در تمام کمپیوتر

ها اپلیکیشن های اند که با ظاهر تقلبی و مشابه به برنامه های کاربردی مفید نوشته میگردند و درصورت Tarojan Horseولی

کردن آن مقاصد هکر هارا دنبال میکند. دانلود این نوع برنامه ها و باز



در ذیل هر کدام آنرا به تفصیل مورد بحث قرار میدهیم:

(:Virusesویروس ها )

ویروس ها فایل های اجرایی مخرب ویا کودهایی می باشند که ضمیمهء یک برنامهء دیگر میشوند. وبا اجرا شدن برنامهء مذکور

روس ساده معموال در نخستین الین کود برنامهء قابل اعتماد جای میگیرد.ویروس ها هم اجرا میگردد. یک وی

در کمپیوتر ها به دنبال تمام فایل ها در کمپیوتر ها اجرا گردند و سپس ایشان End-userاکثرا ویروس ها باراول نیاز دارند تا توسط

آنان نیز ضمیمه میگردند. وواضح است درصورتیکه ( میگردند و درصورت در یافت آنان بهExecutable Fileهای قابل اجرا )

بگیریم و سپس در سایر کمپیوتر ها اجرا کنیم در سایر کمپیوتر فایل های قابل اجرا را از اینگونه کمپیوترها )کمپیوترهای ویروسی(

ها نیز عین عملیه تکرار خواهدشد.

USB CDیسک ها نشر و پخ میشد ولی امروز معموال توسط در گذشته ویروس ها زیادتر توسط مودم های کمپیوتری و فالپی د

DVD فایل های به اشتراک گذاشته در شبکه ها Email ها وغیره پخ میگردند. ولی ویروس هایEmail نوعی مشهور ویروس

ها می باشند.

(:Wormsکرم ها )

Worm ها بکار گرفته میشود زیرا در شبکهکودهای مخرب می باشند که ها در حقیقت نوعی پیشرفته تر ازWorm ها میتوانند

درشبکه ویا در کمپیوتر تولید Wormچندین هزار و یا چندین میلیون Wormخود بخود تکثیر شوند و در مدت زمان کم از یک

جرای خود توسط گردد. که فرق بین ویروس ها و کرم ها هم درهمین نکته است که ویروس ها برای شروع فعالیت خود نیاز به ا

user ها را داشت ولیworm ها بخاطر تکثیر و فعالیت نیاز به مداخلهءEnd-user .ها ندارد بلکه خود به خود تکثیر میگردند

Worm ها بخاطر ضعیف ساختن ویاDown ساختن شبکه ها توسط هکر ها راه اندازی میگردد و مثال معروف آن همSQL

Slammer Worm راه اندازی شد و باعث 0119ی بود که در جنورdown شدن سرعت انترنت و در نهایت باعثDenial of

Service )هزار 011گردید و اضافه تراز )عدم پذیر خدماتEnd-device .البته در مدت سی دقیقه از کار افتادPatch برای

را درخود نداشتند. patchهایی از کار افتید که این serverبه میان آمده بود لذا تنها 0110قبال در سال Wormاین با مقابله

:دارای سه بخ ذیل است Wormکودهای مخرب

Ā فعال سازی بخش (Enabling vulnerability) بخشی که در آن یک :Worm با بهره گیری از ایمیل فایل های قابل

درسیستم های آسیب پذیر خودرا نصب می نماید. Tarojan horseاجرا و

Ā بخ ( تکثیرPropagation mechanism): بعد ازینکهWorm در سیستم نصب گردید با استفاده ازین بخ کود

Worm .ها خودرا زیاد میسازند وتکثیر میکنند



Ā بخ ( سود گیریPayload) درین بخ کودهایی است که باید طبق خواست هکر ها باید اجرا گردد که اکثرا هکر ها :

ها میزنند. Wormرا از کار بیاندازند دست به تولید صرف برای اینکه شبکه

تمام حمالت که با استفاده از ویروس سال گذشته نشان می دهد که 01ها و ویروس ها در worm مختلف تحقیقات در مورد حمالت

ها صورت میگیرد پنج مرحلهء ذیل را طی میکند: wormها و

Ā ( مرحلهء پژوه و کشفProbe phase :)حله درین مرtarget ویا سیستمی که باید مورد حمله قرار گیرد شناسایی

این مرحله تکمیل گردد. ICMP Packet (Ping)میگردد و میتوان با استفاده از

Ā ( مرحلهء نفوذPenetrate phase( درین مرحله کودهای مخرب :)Worm به سیستم )آسیب پذیر ها ویا ویروس ها

آن راهایی کشف گردد که بتواند کودهای مخرب را به سیستم قربانی ارسال کند. انتقال داده میشود. یعنی باید درĀ ( مرحلهء دوام آوریPersist Phase :) بعدازینکهworm ها بطور مؤفقانه در سیستم مورد نظر نفوذ کرد هکر ها باید

گردد. که این عملیه rebootمطمئن شوند که کودهای مخرب ایشان در سیستم مذکور از بین نرود ولو اینکه سیستم

میتواند با تغییر سیستم فایل ها تغییرات در ریجیستری ها و نصب کودهای جدید در آن صورت گیرد.

Ā ( مرحلهء پخ و نشرPropagate phase:) درین مرحله هکر ها به توسعه دادن حمالت شان فکر میکنند و کوش

FTPها File Shareکه این عملیه میتواند به آسانی با استفاده از ند.های همسایهء آسیب پذیر را دریابکمپیوترمیکنند تا

Server .ها وغیره صورت گرفته و به سایر کمپیوتر ها ارسال گردد

Ā ( مرحلهء از کاراندازی یا فلج سازیParalyze phase درین مرحله خسارات به سیستم های قربانی وارد میگردد که :)

گردد فایل ها حذف گردد معلومات سرقت گردد و غیره. Crashویروس ها گردد سیستم میتواند فایل ها آلوده به

Trojan horse:

ها این است که در زمانی مردم یونان اسپ بزرگ چوبی را ساختند و در Tarojan horseالبته وجه تسمیهء این نوع برنامه ها به

( Trojanاهالی شهر تروی ) ( آنرا به عنوان تحفه بهTroyصد تسخیر شهر تروی )درون آن سربازان یونانی را جای دادند و به ق

غافل از این دسیسه اسپ چوبی بزرگ را داخل شهر احاطه شدهء خود نمودند و در وسط شهر جای Troyاهدا نمودند. سربازان

نانی از درون اسپ برآمده و شهر را تصرف به خواب میرود سربازان یو Troyدادند زمانیکه نیمهء شب فرا میرسد و اهالی

میکنند.



Trojan Horse Attacks هم مشابه رو فوق صورت میگیرد یعنی در درون یک برنامهء ظاهرا شناخته شده و کارا کودها و

ته بندی میشوند و ها نظر به مقدار خسارات که به یک سیستم میرسانند دس Trojan Horseبرنامه های مخربی را پنهان میکنند.

عبارتنداز:

Ā Remote-Access Trojan Horses این نوع :Trojan Horse ها درصورت نفوذ به سیستم کوش میکند که یک

Remote Access یاBack door .برای هکر ها بسازد تا هکر ها بتواند بصورت ریموت به سیستم وصل گردند

Ā Data Sending Trojan Horses میتواند معلومات سری و خاص را ازقبیل پسورد را به هکر ارسال : درصورت نفوذ

دارد.Ā Destructive Trojan horse.درصورت نفوذ فایل هارا فاسد ویاهم حذف میکند :

Ā Proxy Trojan horse درصورت نفوذ این نوع :

Trojan horse سیستم قربانی میتواند منحیث ها

Proxy server کر ها از اعتبار ایفای وظیفه نموده و ه

آن استفاده نماید.Ā FTP Trojan horse : را که 05درصورت نفوذ پورت

است باز میکند و ویروس ها را ارسال FTPمربوط

میکندویا فایل هارا انتقال میدهد.

Ā Security software disabler Trojan horse این :

ها درصورت نفوذ برنامه های Trojan horseنوع

قبیل انتی ویروس ها و فایروال هارا از کار تی از یامن

می اندازد.Ā Denial of Service Trojan horse درصورت نفوذ :

سرعت درشبکه ها وسیستم ها میگردد باعث پایین آمدن

و کوش میکنند تا خدمات را متوقف نمایند.



ها Trojan horseجلوگیری از شیوع و پخش ویروس ها ، کرم ها و هاییکه به منظور از کارانداختن و ضعیف ساختن سیستم راه اندازی میگردند Trojan horseویروس ها کرم ها و تقریبا تمام

ها حافظه های مؤقتی می باشند که دیتا را برای پراسس Bufferرا در سیستم ها واقع شوند. Buffer Overflowکوش میکنند تا

کوش میکنند با اجرایی کودهای مخرب تمام این حافظهء مؤقتی را اشغال نماید و در ها درخود ذخیره می نمایند. ازینرو هکر ها

حصهء سافت ویرهای صدمه رسان که توسط 1/3 نتیجه سیستم ها نمیتواند پراسهء را راه اندازی کند و خدماتی را اجرا نماید.

CERT شناسایی گردیده است کوش میکنند تا درBuffer ها اضافه باری(Overflow.واقع گردد )

ها و Wormمعموال یک متخصص امنیت در شبکه های کمپیوتری راه های زیادی را در دسترس دارد تا از حمالت ویروس ها

Trojan horse ها جلوگیری نماید. یکی ازاین رو ها استفاده از سافت ویرهایanti-Virus می باشد. که اینگونه سافت ویر ها

های مذکور فایل های آلوده و یا برنامه های مخرب را دریافت ننماید و یا درصورت دریافت Hostباعث میگردد که hostدریک

دفعتا عکس العمل نشان دهد.

ها انتی ویروس هارا میسازند که میتوان از Trojan horseارگان های زیادی است که برای مقابله با ویروس ها کرم ها و

Symantec McAfee Trend Micro وغیره نام برد. و تمام سافت ویرهای انتی ویروس باداشتن گزینهءUpdate کوش

ها ارایه کنند. Userمیکنند تا عکس العمل ها در مقابل آخرین حمالت ویروس ها را به



ها چندین Wormنطوریکه حمالت ها زیاد تر به منظور از پا درآوردن شبکه ها توسط هکر ها استفاده میگردد و هما Wormولی

یگرفت طریقهء جلوگیری از حمالت آن نیز چندین مرحله را در بر میگیرد و در واقع برای جلوگیری از کشف مرحله را در بر م

ها بطور جداگانه تدابیر Worm جلوگیری از پخ و جلوگیری از خسارات Wormسیستم های آسیب پذیر جلوگیری از انتقال

یگردد.اتخاذ م



چپتر سوم

(Attack Methodologiesشیوه های حمله )ها خالصه نمیگردد بلکه انواع زیادی از حمالت Trojan horseحمالت کمپیوتری و انترنتی تنها به حمالت ویروس ها کرم ها و

ه میتوان از نقطه نظر اهداف هکر ها شبکه یی وجود دارد که برای شناسایی حمالت بهتر است آنهارا به کتگوری ها تقسیم نماییم. ک

حمالت را به سه بخ ذیل دسته بندی نمود:

Ā ( حمالت اکتشافیReconnaissance Attacks)

Ā ( حمالت دستیابیAccess Attacks)

Ā ( حمالت ناپذیرایی یا روگردانی خدماتDenial of Service Attacks)

:(Reconnaissance Attacksحمالت اکتشافی )غیرمجاز سیستم ها خدمات و نقاط آسیب پذیر راه اندازی میگردند. ویا به عبارت Discoveryمالت به منظور کشف و این نوع ح

و Acccessدیگر این نوع حمالت به منظور جمع آوری معلومات در بارهء سیستم های آسیب پذیر و یا هم مقدمهء برای حمالت

Dos است که به دنبال پیدا کردن خانه های باشد که بتواند آسان به آن راه پیدا کند. از محسوب میگردد. و مشابه به حمالتی دزدی

قبیل خانه های با امنیت پایین و یا به دنبال مواقعی باشند که ساکنین خانه در منزل نباشند وغیره.

که طی آن یک هکر امکان پذیر است. ها Port Scannerها و Packet Snifferاین هدف هکر ها با استفاده از برنامه های مانند

و پس از شناسایی آن کوش میکنند تا پورت های به دنبال آی پی آدرس های فعال در شبکه میگردند. Ping sweepبا استفاده از

فعال را کشف نمایند.

ابزارهایرا که هکر ها درین گونه حمالت استفاده میکنند عبارتنداز:

Packet sniffers

Packet Sniffer ها عبارت از نرم افزارهایی اند که با استفاده ازnetwork adopter ها درPromiscuous mode

می نماید. captureجریان دارد را LANتمام پاکت های که در یک

Promiscuous mode عبارت از حالتNetwork adopter است که درآن تمام پاکت های دریافت شده توسطNIC را

نشده باشد به آسانی توسط این encryptید پراسس گردند. را به شبکه ارسال میکند. و درصورتیکه این پاکت ها که با

می باشد Wire sharkبهترین مثال اینگونه سافت ویر ها سافت ویر خوانده میشود

.



Ping Sweep

د.ننمای را دریافت شدهدر یک شبکه استفاده که IP address سلسلهءبا استفاده از این سافت ویر ها هکر ها می توانند

Port scans

که مشخص شناسایی و قابل استفاده میباشد. port numberبا استفاده از یک hostدر یک serviceطوریکه میدانیم هر

را دریافت نماییم. TCPو UDPبا استفاده از این نوع نرم افزار ها میتوانیم پورت نمبرهای پروتوکولهای

Internet information queries

domain آدرس های نصب شده در domainیک ownerاین نرم افزار ها برای آشکار کردن معلومات مشخص مانند

وغیره استفاده میگردد.

تنها به منظور کشف نمودن و شناسایی کردن سیستم های آسیب پذیر درشبکه Reconnaissance attacksبخاطر باید داشت که

استفاده میگردد و درحقیقت یک مقدمه برای سایر حمالت در شبکه می باشد. لذا متخصصین امنیت شبکه میتوانند با عیارسازی

Alarms ها زمانیکه یک پارامتر مشخص از حالت نارمل خارج میگردد مثال مقدار پاکت هایICMP زیاد گردد وغیره از اینگونه

برای تشخیص و جلوگیری از این نوع حمالت ASA (Adaptive security appliance)از وهمچنین استفاده حمالت باخبر شود.

بسیار مؤثر است.



(:Access Attacksحمالت دستیابی )

Access Attack ها با مورد استفاده قراردادن نقطهء آسیب پذیر از قبیل خدماتAuthentication خدمات FTP خدمات Web

ها دیتابس ها وغیره معلومات سّری داشته باشند. این نوع Web Accountش میکنند تا دخالتی در وغیره در یک سیستم کو

.ع مختلف میتواند راه اندازی گرددحمالت به اشکال وانوا

هکر ها به سه مقصد ذیل دریک شبکه ویا دریک سیستم اینگونه حمالت را راه اندازی میکنند:

Ā بدست آوردن دیتا Ā دسترسی به سیستم Ā باالبردن سرحد دسترسی خود

Access Attack :ها به پنج نوع است

1. Password Attacks :

Passwordاستفاده میگردد. که Password attacks معموال ی سیستم ها و سرور ها در شبکه برای حدس زدن پسورد ها

attack ها به رو های مختلفی از قبیلBrute-force attack dictionary attacks Trojan horse Programs IP

Spoofing وPacket Sniffer ها راه اندازی شده میتواند. هرچند معمولترین رو برایPassword attack همانBrute-

force attack می باشد که با استفاده ازBuilt-in Dictionary و استعمالusername سیستم راه پیدا و پسورد مکرر در نهایت به

کنند.می



2. Trust exploitation:

کوش میکند تا از اعتماد سیستم های دیگر به طور غیر مجاز استفاده نموده و خودرا به عنوان یک Attackerدرین نوع حمالت

.اد معرفی کندسیستم با اعتبار جلوه دهد یعنی کوش میکند جعل هویت کند و خودرا در شبکه منحیث یک سیستم قابل اعتم

باالی سیستم System Aاز اعتماد Attackerاعتماد دارد که درین حالت Bتنها باالی سیستم System Aبطور مثال در شکل فوق

B استفاده نموده و با جعل هویت خود خودرا منحیث سیستمB معرفی میکند و به سیستمA .دسترسی پیدا میکند



3. Port redirection: ی آن هکر ها از اعتماد یک وسیله در شبکهء که در آن فایروال می باشد که ط Trust-exploitation attacksیک نوع از درحقیقت

و به شبکه و فایروال ها وانمود میکند که پاکت های ارسالی از طرف هکر از سیستم قابل اعتماد مذکور ها فعال است استفاده نموده

می نمایند. dropنصورت فایروال ها پاکت های کمپیوتر های بیگانه را چون در غیر آ فرستاده شده است.

از هکر packetبرای این منظور هکر ها کوش میکنند برنامهء را در سیستم قابل اعتماد برای شبکه نصب نماید که حین دریافت

ت ذیل را منحیث پاکت فرستاده از طرف صورت گیرد. و پاک Session redirectionپورت آنرا تغییر بدهد ویاهم عملیهء ها

خود به شبکه ارسال کند.

را ندارد از اینرو با 09میتواند از فایروال عبور نماید ولی اختیارات پورت 00با استفاده از پورت نمبر Attackerدر شکل ذیل

وسپس به سرور های دلخواه صورت میگیرد. Port redirectionدسترسی پیدا نموده و در آن جا Aبه کمپیوتر 00استفاده از پورت

خود وصل میگردد.

4. Man-in-the-middle attacks:

همانطوریکه ازنام پیداست در اینگونه حمالت هکر ها در وسط دو سیستم باهم مرتبط جای گرفته و معلومات را که بین دو شخص

ردوبدل میگردد خوانده ویاهم تغییرات می آورد.



جای میگیرد وبه عوض صفحهء اصلی صفحهء جعلی را Web serverمی بینید که هکر مذکور بین کمپیوتر و در شکل ذیل

پیشک مینماید. که در آن مقاصد شوم خودرا تطبیق کرده است.

5. Buffer overflow:

ها ترافیک تولید Bufferیت درینگونه حمالت هکر ها با استفاده از پروگرام ها و کودهای مخربی کوش میکنند باالتر از ظرف

میگردد. downهارا اشغال نمایند. که درین حالت سیستم ها بی از حد مصروف ویاهم Bufferنمایند. و

ها Access attackتشخیص و جلوگیری از

سس کاربردی ها پرا Logs( مرور بر Monitoring( دیده بانی )access attacksبهترین رو برای تشخیص حمالت دستیابی )

bandwidth utilization .درصورت وقوع میباشدaccess attacks ما با دیدن Log های تولید شده در سیستم به بسیار آسانی

شده است میگردیم. Fieldدر آن loginمتوجه تعداد دفعاتی که

مرحله اول: زمانی که کمپیوتر قربای

Webpage را ازWeb Server

درخواست میکند درخواست مذکور

به هکر می رسد.

مرحله دوم: هکر درخواست کمپیوتر

قربانی را دریافت میکند و صفحهء

Web Serverدرخواستی آنرا از

درخواست میکند

مرحلهء سوم: هکر میتواند در

صفحهء درخواستی تغییرات آورده و

مقاصد خودرا دنبال نماید.

صفحهء مرحلهء چهارم: هکر

انترنتی دستکاری شده را به عوض

صفحهء اصلی به کمپیوتر قربانی

ارسال میکند.



ManageEngineبرنامه هایی از قبیل ها وسایل شبکهدر (Login Fieldهمچنان برای ثبت کردن تعداد دفعات اتصال نامؤفق )

Eventlogs CSACS1 .که معلومات کافی مبنی براینکه چه سیستمی و چند بار کوش کرده است تا به سیستم وغیره وجود دارد

وصل گردد ولی نامؤفق بوده را ذخیره میکند.

اد دفعاتی را که کوش کرده اند به سیستم وصل نیز از این ویژگی برخوردار است و میتواند تعد Windowsو Unixسرور های

گردند را در خود ثبت مینمایند و همچنین وسایل شبکه مانند روتر ها و فایروال ها پس از کوش نامؤفق چندبار برای وصل شدن

از کوش باز میدارد.برای مدتی هکر ها را

Denial of Service (DOS) Attacks

Denial of Service attacks و کوش میشود تا درخواست هاحمالتی اند که معموال درشبکه ها راه اندازی میگردند و طی آن

شبکه ویا انترنت بهپاکت های بی از حد

ارسال گردد. تا درنهایت وسایل شبکه بی

از حد مصروف شده و پراسه ها آهسته و

صدمه ببینند. ی موجود در آناپلیکیشن هاحمالت صرف به و درحقیقت اینگونه

ها userمنظور ایجاد مزاحمت برای

وسایل و برنامه ها ها راه اندازی میگردد.

1 Cisco Secure Access Control Server



( هم میتوانند آنرا Unskilled attackersها بسیار آسان می باشد حتی هکر های ابتدایی و بدون مهارت ) Dos attacksراه اندازی

در صورت وقوع اینگونه ی شبکه و در نهایت باالی تجارت سبب خواهد شد. زیرا راه اندازی کنند ولی پیامدهای ناگواری را باال

حمالت تجارت های که وابسته به شبکه است دنبال نشده و در نتیجه نقص زیادی در تجارت رخ خواهد داد.

و slowسیستم ها ( ها است که با پروسس آن Poisonous packetها ارسال پاکت های زهری ) Dos attacksیک مثال از

crash .و در بعضی از حاالت هکر ها پاکت های مسلسل و زیادی را به سیستم مورد نظر ارسال میکند که درنتیجه تمام میگردند

bandwidth .موجودی را در لینک شبکه اشغال میکند

DDoS (Distributed Denial of Service) attacks :

DDoS attacks شابه به ها در نیت و مقصد مDoS attack ها می باشد وتنها فرق آنها این است کهDDoS Attack از چندین

منبع هماهنگ شده در شبکه آغاز میگردد.

هاقسمی است که در نخست تمام سیستم هایی قابل دست رس را بررسی میکند وپس از DDoS attackطرز کار هکر ها در

را در آن ها نصب میکند. هر سیستمی که این پروگرام در آن نصب گردد Zombieرام دسترسی به سیستم های قابل دسترس پروگ

را Remote-Control attackها برنامه های agent systemکردن این accessمنحیث یک جاسوس برای هکر عمل میکند و با

هارا بطور ناخواسته DoS attackدر آن userکه طی آن هر هاراه اندازی میگردد DDoS attackراه اندازی نموده و درنهایت

راه اندازی میکنند.

ها می پردازیم که به شما کمک خواهد کرد تا طرز کار اینگونه حمالت را بدانید. DoS attacksدر ذیل به معرفی سه نوع معمول

5. Ping of Death درین گونه حمالت یک هکر یک :echo request که سایز آن از حدمعمول پاکت ه( 65535ا bytes )

بزرگتر است می فرستد که ارسال اینگونه پاکت ها باعث فروپاشی سیستم قربانی میگردد. وهمچنین یک نوع از اینگونه

را Reassemblyهای که مسئولیت Bufferرا به سیستم قربانی می فرستد که طی آن ICMPحمالت پاکت های

خودرا ازدست میدهد.دارندپرمیگردند. و درنتیجه سیستم کارآیی



0. Smurff Attack

با یک آدرس Multi-access broadcastرا به شبکهء ICMPدرین گونه حمالت هکر ها به تعداد زیادی پاکت های

ها به Hostشده و در مقابل تمام Broadcastهایی شبکه Hostمنبع جعلی ارسال میکند. که هر پاکت مذکور به تمام

یدهند و درنتیجه ترافیک در شبکه ها زیاد میگردد.نیزم replyپاکت

9. TCP SYN Flood

از کالینت به سرور ارسال میگردد درین رو حمالت Connectionبه منظور درخواست TCP CYNطوریکه میدانیم پاکت های

سرور مذکور هم با ارسال پاکت به پیمانهء زیادی از آدرس های فرستندهء ساختگی به سرور ارسال میگردد و TCP SYNپاکت های

connection( را به میان می آورد وبدین ترتیب تعداد Half-open connectionارتباطات نیمه تکمیل ) TCP SYN-ACKهای

هایی جدید نمیتوانند با سرور ارتباط برقرار نمایند. Clientهایی که سرور ساخته میتواند کال به حالت نیمه باز در آمده و

ین پاکت از حد معمول بزرگتر سایز ا

است که از طرف هکر ارسال گردیده

است وباعث فروپاشی کمپیوتر قربانی

میگردد.



وجود دارد که تا به امروز به ثبت رسیده است. بطور کلی اهداف حمالت DoSمین ترتیب صد ها نوع حمالت دیگر از نوع به ه

DoS :عبارتنداز

Ā مصرف بیهوده منابع مانندbandwidth disk space Processor time وغیره. تا استفاده کنندگان اصلی

گردند. شبکه وسیستم نتواند از شبکه و سیستم مستفید

Ā تحریف معلوماتconfiguration ها از قبیلRouting information

Ā مزاحمت در ارتباطات فعالUser هایی اصلی از قبیلTCP Session ها

Ā از کارانداختن وسایل فزیکی شبکه ها

Ā قطع ساختن ارتباط سیستم قربانی با سایرین درشبکه ها

هارا در شبکه DoS attackبه ما کمک خواهد کرد تا فعالیت های غیر معمول و Network Utilizationاستفاده از برنامه های

شناسایی نماییم.



چپتر چهارم

(Mitigating Attacksجلوگیری از حمالت )مهمترین سوالی که درذهن متخصصین امنیت شبکه و شاگردان شکل خواهد گرفت این خواهد بود که چگونه میتوانیم با درنظرداشت

واع مختلف رو های مختلف و کتگوری های مختلف حمالت از حمالت جلوگیری نماییم؟ان

تقسیم نمودیم با تشخیص نوع DoSو Reconnaissance Accessهمانطوریکه در فصل قبلی تمام حمالت را به سه کتگوری

حمالت ما میتوانیم راهکارها برای جلوگیری از حمالت را نیز مشخص کنیم.

(:Reconnaissance attacksارها برای جلوگیری از حمالت اکتشافی )راهکĀ استفاده ازAuthentication قوی میتواند گزینهء خوبی باشد برای جلوگیری از حمالت اکتشافی و به ویژه برنامه های

هارا از حیله های Userمناسب و مستحکم میتواند authenticationها. ودرحقیقت استفاده از Packet Sniffersمثل

هکر ها محفوظ دارد.

One-Time Password(OTP) یکی از نمونه هایauthentication مستحکم می باشد که از میکانیزمTwo-Factor

authentication بهره میگیرد و درسیستم هایی از قبیلATM از آن استفاه میگردد که درآن برعالوهToken card

ATM Cardبه کار است یکی ATMهم می باشد. و درحقیقت دو عامل برای استفاده از PINی یک هر استفاده کننده دارا

آن. که دسترسی همزمان هکر ها به هردو عامل امکان پذیر نیست. Passwordو دیگری

Ā Encryption اکت راه حل دیگری است که دست هکرهارا ازشبکه کوتاه می سازد. زیرا درین حالت ولو اینکه هکر ها پ

شده خوانا captureها بگیرد ولی مطمئنا چیزی عاید نمیگردد چون پاکت های Snifferهارا با استفاده از

(readable.نیست )

Ā استفاده از برنامه هایAnti sniffer هم میتواند سیستم هارا از حمالت اکتشافی باخبر کند. طوریکه با استفاده ازین برنامه ها به

های پاکت ها مشاهده میگردد. Response timeدر آسانی تغییرات

Ā استفاده ازIPS و فایروال ها میتواند برای کاه حمالتport scanning .مؤثر باشد

Ā IPS های شبکه و همچنینIPS هاییHost ها میتوانند به آسانی حمالت اکتشافی را شناسایی نموده و بهadministrator

خاطرنشان سازد.

(:Access Attacksی جلوگیری از حمالت دستیابی )راهکارها برا

Ā تعدادی زیادی ازAccess attacks هایی که مؤفق به دستیابی به سیستم ها و منابع میگردند با استفاده از حدس زدن پسورد

یتکه قابل ها صورت میگیرند. که استفاده از پروتوکولهای brute-force dictionary attacksها و یا استفاده از

Encrypt or hashed authentication همراه با پسورد های پیچیده میتواند به پیمانهء زیادی مانع اینگونه حمالت

گردند.

برای ساختن یک پسورد پالیسی مستحکم رو های ذیل میتواند استفاده گردد:



مر پسورد ها غیرفعال ساختن حساب بعدازچندین اتصال نامؤفق کمک خواهد تا از کوش هایی مست

جلوگیری صورت گیرد.

استفاده نکردن از پسورد هایPlaintext و به عوض آن استفاده کردن ازOTP و پسورد های

encrypt شده

استفاده از پسورد های طوالنی و مستحکم که شامل حروف خورد بزرگ نمبر وحروف خاص

باشد.

Ā Cryptography روزی است. که استفاده از یک بخ اصلی تمام شبکه های مصؤن امencryption بخصوص برای

گردد به همان اندازه encryptیک امر حتمی است. وبه هر اندازهء که ترافیک شبکه بهتر remoteدسترسی از طریق

شانس هکر ها برای دسترسی به شبکه و منابع کمتر میگردد.

:DoSراهکارهابرای جلوگیری از حمالت

DoSی هاییکه به پیمانهء زیادی از انترنت استفاده میکنند الزم است تا پالن ها و راهکارهایی برای جلوگیری از برای آنعده از کمپن

Attacks کنندها تصویب.

ها با استفاده از آدرس های جعلی صورت گرفته است که اینگونه حمالت به آسانی میتواند DoS attackتجارب نشان میدهد که اکثر

ها در وسایل چون روتر ها و فایروال ها جلوگیری گردد. anti-spoofing technologyتوسط

( ها می باشند که میتوانند از چندین منبع DDoS) Distributed DoS attackهایی امروزی از نوع DoS Attackتعداد زیادی از

داریم. ISPsی دقیق اشکال زدایی وهمکاری در شبکه راه اندازی گردد. برای جلوگیری ازاینگونه حمالت ما نیاز به پالن گذار

سویچ ها و روتر های سیسکو تعدادی به ما کمک کند. DoSها نیز میتوانند برای جلوگیری از حمالت IPSاستفاده از فایروال ها و

Port security DHCP Spoofing IP Source Guard ARP Inspectionها از قبیل anti-spoofing technologyاز

ACL .وغیره را حمایت میکند

نکته ها برای متخصصین امنیت شبکه

نکته 51دفاع در مقابل حمالت در شبکه خواهان تخصص و خالقیت هایی می باشد که باید یک متخصص امنیت شبکه داشته باشد.

ذیل که به شما کمک خواهد کرد که ضامن امنیت شبکه خود باشید عبارتنداز:

5. Patch ها و ( برنامه های امنیتی را بروزup to date.نگه بدارید )



خدمات و پورت هایی را که استفاده نمیگردند غیرفعال ویا خامو کنید. .0

از پسورد های مستحکم استفاده نموده و بار بار آنرا تغییر بدهید. .9

دسترسی فزیکی به سیستم هارا کنترول نمایید. .0

ب سایت ها غیر الزمی است جلوگیری نمایید زیرا در بعضی از حاالت در ویب هایی را که در وی Inputاز وارد کردن .1

ها معلومات مختلفی را مطالبه می نماید که ممکن عواقبی userسایت های تقلبی که توسط هکر ها پیشک میگردد از

خطرناکی داشته باشد.

نمایید. Test( را تهیه نمایید و آنهارا بطور دوامدار Backupفایل های پشتیبان ) .9

انتخاب نموده و هویت شانرا تثبیت نماییدتا قابل اعتماد Social engineeringکارمندان تخصصی و ورزیده در بخ .7

باشد.

و با پسورد ها مراقبت نمایید. encryptمعلومات حساس و سّری را کوش نمایید تا .9

ها انتی ویروس ها VPN Devicesها IPS سخت افزارها و نرم افزارهای مربوط به امنیت از قبیل فایروال ها .3

content filtering .وغیره را در شبکه ها تطبیق نمایید

یک خط مشی امنیتی شبکه را در کمپنی ایجاد نمایید. .51

NFP (Network Foundation Protection) NFP ( یک چهارچوبFramework جامع و کلی )( می باشد که راهکار هاGuidelines ) تشریح میکند.برای محافظت شبکه ها را

توسط کمپنی سیسکو معرفی گردیده است.و

NFP فکتور های امنیتی را به سه سطح ) امنیتی تقسیم نموده است سطحروتر ها و سویچ هارا در شبکه ها به سه(Plane های ذیل )

:دسته بنده نموده است(



نمودن دیتا به شکل درست می باشد. و هدف از آن کنترول eRout: این بخ مسئول (2eControl planکنترول ) سطح .5

ها ARP Messageعملکرد وسایل در شبکه مبادله میگردد می باشد. ازقبیل تعیین تمام پاکت هاییکه به منظور

Neighbor Advertise .ها وغیره

ها Management trafficمسئول مدیریت منابع و وسایل در شبکه می باشد. و (: Managementمدیریتی ) سطح .0

SSH Telnet TFTP FTPبه کمک پروتوکولهایی از قبیل ها management stationتوسط وسایل شبکه ویا

AAA .وغیره تولید میگردد

Userحمل و نقل : مسئول انتقال دادن معلومات و پاکت هایی می باشند که توسط یا سطح (Data Planeمعلومات ) سطح .9

یگردد.ها تولید م

Control plane :میتواند توسط ابزارهایی ذیل تطبیق و عملی گردد

o Cisco Auto Secure سکریپتی است که از :CLI تطبیق شده و بصورت اتوماتیک پراسه ها و خدماِت غیر

هکر ها نمیتوانند از طریق Cisco Auto Secureضروری را در روتر غیر فعال میکند. ودر حقیقت با تطبیق

اسه و خدمات اضافی در روتر ها معلومات غلط را ارسال نمایند.پر

o Routing Protocol Authentication این ویژگی توسط اکثر :Routing protocol های امروزی حمایت

غلط وتقلبی جلوگیری نماید الزم است تا Routing updateمیگردد. و برای اینکه روتر ها در شبکه از دریافت

Authentication بین آنها فعال سازد تاUpdate .را تنها از روتر هایی حقیقی دریافت نماید

o Control Plane Policy (Copp) ویژگی :cisco IOS می باشد که بهUser ها اجازهء کنترول ترافیک که

که باعث ودرحقیقت از ازدیاد ترافیکیک وسیلهء شبکه به میان می آید را میدهد. Route processorتوسط

پراسسر روتر ها میگردد جلوگیری می نماید. (overwhelmاز پا درآمدن )

2 Plane≠plan



Management Plane در مقایسه باControl plane توجه زیاد تر هکر هارا معطوف میدارد و طوریکه قبال گفتیم

وغیره براه می افتد Telnet SSH FTPترافیک های بین وسایل شبکه به کمک پروتوکولهایی مانند Management Planeدر

باید از فکتور هایی ذیل استفاده صورت گیرد: Management planeکه وسایل را درشبکه محافظت میکند. در تطبیق

Ā Login and Password Policy :.بهترین رو برای محدود ساختن دسترسی های غیر مجاز می باشد

Ā ( نمای خاطرنشان های قانونیpresent legal notification :)Notification هایی است که در موقع ضرورت باید از

یک منبع مؤثق درشبکه به راه بیُفتد.

Ā Ensure the confidentiality of data یعنی برای اینکه از صحت و قابل اعتماد بودن دیتا در شبکه مطمئن باشیم :

ها confidentiality attackبرای جلوگیری از مستحکم Authenticationاستفاده از پروتوکولهایی مدیریتی و

ضروری است.

Ā Role-base Access Control (RBAC) : این ویژگی به ما کمک خواهد کرد که دسترسی تنها توسطUser ها گروپ ها

AAA (authentication, authorization, andو RBACکه هایی واقعی صورت گرفته بتواند. Serviceو

accounting) هردو برای فراهم آوریManagement Access Control .استفاده میگردد

Ā Authorize Actions به :user .ها گروپ ها و خدمات تا سرحد معینهء شان اجازهء فعالیت میدهد

Ā ( فعال سازی راپوردهی دسترسی وسایلEnable management access reporting:) تمامaccess هایی که به وسایل

کرده و کدام کارهارا انجام accessمیگیرد را در خود ثبت میکند. و نشان میدهد که "کی" و "چی وقت" وسیله را صورت

داده است.



Data Plane Security با استفاده ازACL هاAnti-Spoofing mechanisms وLayer 2 Security features ها میتواند

ها باید با مصئونیت کامل از userیم درین سطح کنترول ترافیک های برخاسته از شخص تطبیق گردد. وطوریکه قبال اشاره کرد

خواهیم بود: Data plane securityوبا استفاده از میکانیزم های ذیل قادر به تطبیق شبکه عبور نماید.

Ā استفاده ازACL (Access Control Lists) :ACL درحقیت نوعیPacket Filtering تعیین میکند کدام پاکتمی باشد که

سبب میشودکه: ACLکه و به کدام مسیر ها هدایت شده میتواند. ها از شبکه عبور نموده میتواند

o User ها وترافیک های ناخواستهBlock .گردد

o احتمال وقوعDoS attack .ها کم گردد

o ( حمالت جعل هویتSpoofing attacks.کاه یابد )

o کنترولbandwidth ک در یک لینslow .صورت گیرد

o ( دسته بندی ترافیک به منظور محافظت سطح مدیریتیManagement و )Control plane

Ā Secure the Layer 2 Infrastructures برای کنترول ترافیک های :user ها و گروپ ها سویچ های سیسکو نیز

میتواند از قابلیت های ذیل خود استفاده کند:

o Port security

o DHCP Snooping

o Dynamic ARP Inspection (DAI)

o IP Source Guard

( را موضوعات فوق الذکر تشکیل میدهد.Network Securityکه در حقیقت مبحث امنیت شبکه )



فصل پنجم

(Securing Network Devicesمصئون ساختن وسایل شبکه )بکه ها کمک زیادی به ما خواهد کرد تا یک شبکهء محفوظ ساختن ترافیک خروجی شبکه و همچنین بررسی ترافیک ورودی در ش

برای کنترول ترافیک های ورودی و خروجی اولین (Edge routers) 3روتر های مرزی محفوظ ساختنکه مصئون داشته باشیم.

قدمی باید باشد که درین راه برداشته میشود.

CCP (Cisco Configurationبا استفاده از محیط کماندالین یا های روتر ها و سویچ ها Cisco IOSالبته درجریان محفوظ ساختن

Professional) ما نیاز به ( کتمان فزیکی وسایلDevice Hardening داریم. و این در حالتی است که تصور کنید یک کارمند )

که شما در روتر ها تطبیق هایی را Configuration( بخاطر عقده هایی که دارد میتواند disgruntled employeeناراضی )

ودر مسما گردیده است. shoulder surfingمیکنید از روی شانه های تان ببیند واین بارها اتفاق افتیده است و اینگونه حمالت به نام

حقیقت محفوظ نبودن فزیکی وسایل در شبکه ها آسانترین راه برای هکر ها طلقی میگردد.

های روتر خود می باشد اما غافل از (Configuration)کلی نشسته و مشغول دیدن عیارسازیتصور کنید کارمند به این خوش

اینکه من میتوانیم این عیارسازی هارا دیده و حتی عکسی هم از آن گرفته میتوانم.

معموال روتر ها نقطهء حیاتی برای هکر ها محسوب میگردد ودسترسی هکر ها به روتر به مثابهء به خطر افتادن بخ مدیریتی و

بخاطریکه روتر ها نق یک ترافیک پولیس را در شبکه ها بازی میکند که مسئول کنترول ترافیک منیتی تمام شبکه هامی باشد.ا

ورودی و خروجی شبکه ها می باشد.

:Edge Routersمحفوظ ساختن ها آخرین روتر است که شبکه داخلی را به سایر شبکه ها و انترنت وصل میسازد. و تمام ترافیک Edge routerمیدانید طوریکه

شبکه باید ازطریق این روتر به سایر شبکه ها که اکثرا غیر قابل اعتماد است ارسال گردد. و در ضمن اولین های خروجی یک

یله این وس تر برای تأمین امنیت شبکه باید هر چه زودروتر برای ترافیک ورودی و آخرین روتر برای ترافیک خروجی می باشد و

secure گردد

Edge( شبکه دارد و به دو رو از روترهای مرزی )Complexity) روترهای مرزی بستگی به سایز و پیچیدگی عیارسازی

routers:برای تأمین امنیت شبکه استفاده میگردد )

اند که در سرحد بین وسایل کمپنی و سایر شبکه ها قرار دارد و ترافیک های ورودی و خروجی ( روتر هاییeredge routروترهای مرزی ) 3

باید از آن بگذرد.



edge(: درین رو تطبیق مکمل پالیسی امنیتی شبکه به دو Single Router Approachاستفاده از روتر واحد ) .5

router است و تمام شبکه تنها از طریقedge router ا سایر شبکه ها وصل میگردند. این رو معموال به انترنت و ی

قابل تطبیق است. SOHO (Small office/ Home Office)در شبکه های کوچک و

را به انترنت وصل نموده است و در ضمن مسئولیت امنیت شبکه LAN1یک روتر سرحدی است که شبکهء R1شکل فوق روتر در

می باشد. R1کال به دو

Defense-in-Depth Approach : درین رو ( روتر های سرحدی فقط در خط مقدمFirst line سایر شبکه ها و )attack ها

نق یک سکرین را بازی میکند به همین خاطر روتر های مرزی نیست بلکه مسئول تطبیق پالیسی امنیت شبکه به تنهاییقراردارد و

هم یاد میکنند. Screening routerرا در این رو به نام

Secondدرحقیقت فایروال خط دومی )و درخواستی را به فایروال ها واگذار میکند.ها تمام ارتباطات edge routerرو درین

line( شبکه می باشد که مسئول تجزیه و تحلیل )filteringمی باشد. و تطبیق پالیسی امنیتی شبکه ( ارتباطات

( وجود دارد یکی روتر مرزی و دیگری هم فایروال که هرکدام نقطه برای بازرسی ) در حقیقت دو Defense-in-Depth رو در

بسیار مصئون تراست. (single router approach)به رو اولی به نوبت خود ارتباطات را کنترول میکنند بناء این رو نسبت

0. DMZ (demilitarized zone) Approach : یک نوعی ازdefense-in-depth approach می باشد که برای آنعده از

در DMZ ها وغیره استفاده میگردد. web serverسرورهاییکه باید از شبکه های بیرونی قابل دسترس باشند از قبیل

بکه بیرونی وصل است.که یکی آن به شبکهء داخلی و دیگری در ش دو روتریحقیقت ساحهء است بین هایی مشخصی را Connectionداخلی مصئون و خارجی غیر مصئون قرار دارد میتواند فایروال که بین دو شبکهء

قرار دارد تنظیم و کنترول کند. DMZکه در ناحیه Public Serverبه HTTPازقبیل



ها امنیت باید در ساحات ذیل روتر ها تأمین گردد: Edge Routerتمام روتر ها به شمول در

Ā فزیکیامنیت Ā Router hardening

Ā سیستم عامل روترامنیت

(Physical Securityفزیکی )امنیت .1شبکه باید تنها به اشخاصی که صالحیت دارند قابل دسترس باشند از اینرو تمام وسایل روتر برای امنیت فزیکی هر وسایل

چه بهتر باید در اطاق دربستهء که تنها اشخاص با صالحیت به آن دسترسی دارند نگهداری گردد و محیط که وسایل در آن

میشود از مداخالت الکترومقناطیسی امواج در امان بوده و درجهء حرارت رطوبت باید کنترول گردد. نگهداری

وسایل محافظت کنید. Availabilityها از UPS (Uninterruptible Power Supply)با نصب

2. Router Hardening

ات ذیل را باید مد نظر بگیریم:نکاینکه روتر هارا در مقابل ناامنی ها محفوظ نگهداریم برای



Ā ستفاده نگردیده است حذف و یا غیر فعال کنیم.را که در روتر اها وخدمات پورت Ā ایل را عیارسازی کند.و عیارسازی روتر هارا مصئون کنیم تا هر کس نتواند طبق میل خود وسمدیریت Ā راهایی که سیستم به اساس آن تعدادغیر فعال نموده و های بیکاره را انترفسaccess .میگردد کاه دهید

(:Operating System Securityسیستم عامل )امنیت .3

ا با حداکثر میموری عیارسازی نمایید تا در مقابل و روتر هار را مصئون نماییدسیستم عامل روتر ها Performanceویژگیها و تمام

سیستم عامل روتر و از Secure copyیک نسخهء سیستم های عامل روتر استفاده نموده و آخرین از مقاومت نماید. DoSحمالت

Configuration منحیث یک هایی آنBackup .نگهداری نمایید

Administrative Access :

یک امر حتمی و ضروری برای امنیت شبکه محسوب میگردد و درصورتیکه (Administrative Access) روترمدیریتی امنیت

را تغییر و یا هم غیر routingاین سطح مدیریت دسترسی پیدا کند به آسانی میتواند پارامتر های خص غیر مجاز بتواند به یک ش

فعال نماید.

:administrative accessتأمین امنیت برای

Ā به دسترسیDevice ومحدود سازی رو های محدود سازی ارتباطات به وسیله محدود سازی پورت ها راAccess

سازید. محدودĀ فعالیت های اشخاص در مقابل یک وسیله را ثبت نمایید. تمام بازنگری برای Ā تنها اشخاص مجاز میتوانند به روتر ها دسترسی پیدا کنند.شوید که مطمئن

Ā دسترسی برای هر سطحuser .گروپ و یا خدمات را مشخص کنید

Ā مطمئن( باشید که معلومات سّریsensitive Data.در جریان انتقال از شبکه تحریف نمیگردد )



و ارزندهء تانرا با آدرس پیشهادات و انتقادات نیک منت میگذارید اگر ودراخیر

[email protected] .هرچند بامن در میان بمانید( تال کردم تا منبع کاملuritySec-CCNA)

و در بعضی مواردی که برای خودم نیز گنگ باقی می را از نزد استادان و یا هم از انترنت دانلود کنم

که مورد قبول تان قرار بگیرد.. امید ولی مؤفق به این کار نشدمماند به آن رجوع نمایم

mailto:[email protected]

network-security muhibullah aman-first edition-in persian

Education