پروتكل امنيت اينترنت ipsec
قدرتهاي اعمال اينترنتي بسياري از مراحل امنيتي وپروتوكل ها را مشخص كرده است.در سالهاي اخير ،بسياري از آنها در محدودهREVOLVED-IPSEC شده است.اين پروتوكل طراحي شده است تا اتصالات وتركيبات حفاظت امنيتي متعددي براي استفاده كنندهاز اينترنت ايجاد كند.با استفاده از روشهاي متفاوت عمل IPSEC براي مصرف كننده ،راههايي در باره كسب AUTH و خدمات خصوصي ارائه مي كند.
در اين مقاله مفاهيم امنيت اينترنتي رامعرفي كرده وآنها را توضيح مي دهيم.تمركز در اين مقاله برروي «پروتكل امنيت اينترنت» ( IPSEC) است.عملكردهاي IPSEC توسط مثالهايي كه از روشهاي انتقال ،تونل آورده مي شود توضيح داده مي شوند ، سپس نقوص امنيتي را امتحان مي كنيم .يعني انواع ايمني را كه توسط اينترنت ارائه مي شود را مي آزمائيم واينكه چگونه بكار گرفته مي شود.
مشكل ايمني:
بسياري از كساني كه اين پاراگراف را مي خوانند ، خود قربانيان اسلحه امنيتي روي كامپيوتر شخصي يا شركتشان بوده اند .گاهي اوقات اين اسلحه فقط كمي آزار دهنده است يا حتي مي تواند با مزه وجالب باشد .ولي گاهي اوقات مي تواند فجيع باشد كه ناشي از خرابي فايلهاي اطلاعاتي ويا برنامه ها باشد .بيشتر مواقع همين امر موجب كم آمدن زمان مفيد كاري مي شود.
FBI براي فهميدن حوزه اشكال آفرين ، داراي يك سازمان متخصص امنيت شبكه كامپيوتر است .اين سازمان كه مقرش در سان فرانسيسكو مي باشد، درسال 1998 گزارش كردكه فقط60% در FORTUNE سيستمشان اسلحه امنيتي دارند واين به مفهوم نفوذ موفق به سيستمشان است بنابراين به نظر مي رسدكه در 100% آنها تلاشهايي براي نفوذ ورخنه كردن انجام شده است. بعدها FBIگزارش كرد كه هر اتفاق ناگواري حدود 8/2 ميليون براي شركت خرج دارد تا درست شود .
IBM مركز ضد ويروس را در مركز تسهيلات خود درهاوترن شهر نيويورك اداره مي كند .IBM در اين بخش بابيش از 20000 مهاجم امنيتي جداگانه مبارزه ميكند.امروزه اين قسمت 6تا 10 ويروس جديد را در روز تجزيه وتحليل وپردازش مي نمايد .
تعاريف امنيت:
اولين اصطلاح Encription است.كه به معني تغيير ساختمان جمله متن پيام است كه آنرا براي بازديد كننده اي كه توجه نداشته باشد مفهوم مي كند وجملات به شكل عده اي كلمات بي مفهوم ظاهر مي شود .اين اطلاعات معمولا به نام متن رمزي ناميده مي شوند. Decryptionمتضاد Encryption است وبه معني تغيير متن رمزي به شكل اصلي خود است يعني همان متن واضح.
Encryption و Decryptionتوسط جابجايي يا جايگزيني متن واضح از طريق يك الگوريتم به متن رمزي انجام مي گيرد (عمل رمز شناسي).دوورودي براي اين كار وجود دارد.
الف:متن واضح ب: مقدار خاصي كه مربوط به كليد مي باشد.
عمل رمز شناسي ممكن است براي هر كسي آشكار باشد وكار مرموز وسري نباشد. از طرف ديگر اين كليد نبايد در اختيار همگان قرار گيرد ، اگر كسي اين كليد را داشته باشد واين عمل شناخته شده باشد اين مرحله آسانتر مي شود كه ساختار متن رمزي را تغيير دهد تا به شكل متن واضح در آيد.
Encryption و Decrypyion با يكي از اين دو روش صورت مي گيرد ومعمولا با تركيبي از از هردو رخ مي دهد .اولين روش با 3 نام شناخته مي شود، خصوصي يا متقارن يا متداول به هر نامي كه ناميده شود ، از يك كليد براي Encryption وDecryption استفاده مي كند.
اين كليد سري است ودر حقيقت سري است كه ميان فرستنده وگيرنده پيام وجود دارد .فرستنده از اين كليد استفاده مي كند تا متن واضح را به شكل رمزي در آوردوگيرنده از همين كليد بهره مي گيرد تا متن رمزي را به شكل متن واضح در آورد .
روش دوم با دو نام شناحته مي شود :عمومي يا نامتقارن.اين روش از دو كليد متفاوت استفاده مي كند (در واقع دو گروه متفاوت كليدها) يكي براي Encryption وديگري براي Decryption استفاده مي شوند.يكي كليد عمومي وديگري كليد خصوصي ناميده مي شوند.ما بعداً در باره اين كليدها مفصل صحبت خواهيم كرد.
عبارت ديگري كه بايد معرفي نماييم امضاي ديجيتالي است (Digital Signature ).اين مسأله مرحله اثبات وتأييد را توضيح مي دهد تا مشخص كند كه دسته اي كه پيامي را براي عده ديگري مي فرستند,در حقيقت همان گروه مجاز هستند بهترين راهي كه مي توان براي اين عمل در نظر گرفت اين است كه مي تواند شبيه امضاء كسي باشد, يعني كسي را تأييدمي كند .
بحثهاي بعدي نشان خواهد داد كه چگونمه روشهاي(Encryption )كليد عمومي مورد استفاده قرار مي گيرند تا از امضاي ديجيتالي حمايت كنند.
عبارت بعدي معروف به hash است يا عملhash يا كد hash يا هضم پيام.اين عمل محاسبه(طراحي)روي پيام هر چقدر طولاني باشد را انجام مي دهد تا ميزاني با طول مشخص ايجاد كند .از اين روش هنگامي كه با(e)حفاظت مي شود استفاده مي گردد تا فرستنده پيام را دريافت كند.
انواع استقرار ممكن براي سخت افزار يا نرم افزار:
استقرار:
همانطور كه ممكن است انتظار داشته باشيد استقرار خاصي IPSEC در سخت افزار ونرم افزار مي تواند گوناكون باشد سه شكل ممكن (شكل 4-9) وجود دارد .اول اينكه نرم افزار مستقيماًدر كد منبع IP قرار گيرد كه براي HOST يا نرم افزار دروازه امنيتي مي تواند قابل استفاده باشد به اين يافته « ضربه به كد» مي گويند. ( BITC ) (THE CODE BUMP-IN)
روش ديگر استقرارIPSEC تحت مقدار زيادي پروتكل IP است كه بدين معني است كه روي خط رانندگي عمل مي كنند .اين روش معمولاً براي HOST ها قابل استفاده است به طريقي كهIPSEC بالاي لايه شبكه ناحيه محلي (MAC ( وتحت كنترل ودسترسي عوامل باشد به اين يافته « ضربه به مقدار زياد » مي گويند. (BITS) (BUMP-IN-THE-STACK)
روش سوم استفاده از وسيله مجزا واتصال آن به يكHOST يا دروازه امنيتي است به طور مثال اين وسيله مي تواند يك پردازشگري باشد كه توسط ارتش استفاده مي شود به اين يافته«ضربه به سيستم»مي گويند.(BUMP-IN-THE-WIRE)
وسيلهBITV معمولاً با مخاطب قرار دادنIP در دسترس قرار مي گيرد واگر از HOSTحمايت كند مانندBITS برايHOST است هنگاميكه با يك ROUTER يا FIREWALL به شكل مختصر توضيح داده شد )عمل كند به نظر مي رسد كه يك دروازه امنيتي است وبايد براي توضيح اعمال امنيتي FIREWALL شكل گيرد.
انواع مشكلات امنيتي:
يك سازمان در برابرچه نوع مشكلات امنيتي بايد ايمن باشد؟بسياري از مسائل امنيتي با نامهاي فريبنده ومؤثري مانند ويروس ،كرم وغيره در ارتباط هستند.اين بخش فصل به مرور اين مشكلات مي پردازد.
ويروس:
ويروس قسمتي از يك كد است كه خود را به برنامه كپي مي كند وهنگامي كه برنامه اجرا مي شود ،عمل مي كند .سپس ممكن است خود را مضاعف نمايد ودر نتيجه ،ساير برنامه ها را نيز مبتلا سازد .ممكن است خود را نشان ندهد تا توسط يك عمل خاص مورد اثبات قرارگيرد بطور مثال يك داده ،رديابي عملي مانند حذف شخص از مجموعه DATA BASE وغيره.ويروس ممكن است خود را به ساير برنامه ها را نيز اضافه كند.
آسيب ويروس ممكن است فقط آزاردهنده باشد ، مانند اجراي كدهاي غير ضروري فراوان كه از كيفيت عمل سيستم مي كاهد ولي معمولاً ويروس آسيب رسان است .در واقع ويروس را به عنوان برنامه اي توضيح مي دهند كه باعث گم شدن يا آسيب به اطلاعات ياساير منابع شود .آيا كمبود كيفيت عمل مي تواند در طبقه بندي آسيب ها قرار گيرد ؟البته ولي آسيب نسبي است.
ممكن است رد يابي يا يافتن ويروس مشكل باشد .شايد گاهي اوقات خودشان ناپيد شوند.
كرم:
گاهي كرم به جاي ويروس به كار مي رود .شباهتهايي ميان اين دو وجود دارد .كرم كدي است كه خودش را دوباره توليد مي كند .با اينحال برنامه مستقلي است كه ساير برنامه ها را اضافه نمي كند ولي خود را بارها دوباره ايجاد مي كند تا اينكه سيستم كامپيوتر يا شبكه را خاموش كند يا از سرعتش بكاهد به اين جمله مشكل«انكار خدمات» گويندكه موضوع بحث در بسياري از اجتماعات است كه بعد از خاموشي وب سايت هاي بزرگ در ژانويه 2000 ،مي باشد دليل اينكه هاپ ( JOHN HUPP) ،كرم را به عنوان كدي معرفي كردند كه در ماشين وجود دارد واين قطعه كرم در ماشين مي تواند به محاسبات ملحق شود يا نشود .وخود مي تواند به تنهايي زنده بماند.
اسب تروا:
اين نيز يكي ديگر از كدهاست وويروس وكد مي توانند تحت طبقه بندي «اسب تروا» قرار گيرند دليل انتخاب اين اسم اين است كه خود را (درون برنامه ديگر)پنهان مي سازد درست همانند داستان قديمي سربازان يوناني به آنان داخل شكم اسب بزرگي پنهان مي شدند كه توسط شهروندان تروايي به داخل شهر تروا آورده شد .سپس هنگامي كه داخل دژ تروا بودسربازان از اسب بيرون آمدند ودروازه شهر را گشودند تا راه بقيه سربازان رومي را بگشايند.
FIREWALL ها:
سيستمي است كه استفاده مي شود تا سياست كنترل دسترسي در يك سازمان يا بين سازمانها را تقويت كندFIRE WALL تنها يك ماشين نيست بلكه مجموعه اي از دستگاههاونرم افزار است كه سياست كنترل دستيابي راINSTITUTES مي كند. (همكاري امنيتي) اين اصطلاح بسيار آسان ، از عبور تبادل جلوگيري مي كند يا به آن كمك مي كند تا از يك طرف به طرف ديگرFIRE WALL برود.
هر تبادل مجازي كه مي تواند اين FIRE WALL را ازيك شبكه به شبكه ديگر يا ازيكHOST به ديگري برود بايد توشط سياست امنيت كه در طرح هاي كنترل دستيابي سازمان مستقر شده اند توضيح داده شود.
كمك ديگرFIRE WALL اين است كه خودش بايد ايمن باشد .همچنين بايد Penetration ايمن داشته باشد .با اين توضيحاتFIRE WALL سيستمي است كه از شبكه هاي مطمئن تا شبكه نا مطمئن را حفاظت مي كند ، شبكه هاي مطمئن مي توانند شبكه هاي داخل سازمان وشبكه هاي نامطمئن مي توانند اينترنت باشند .با اين حال ،مفهوم سيستم هاي مطمئن وغير مطمئن به سازمان بستگي دارد در بعضي شرايط در يك سازمان ،شبكه هاي مطمئن وغير مطمئن مي توانند وجود داشته باشندكه به نياز مربوط به دانستن وحفاظت منابع بستگي دارد در واقع مفهوم Fire Wall هاي داخلي (داخل شركت)وخارجي(ميان شبكه داخلي وخارجي)مضمون مهمي در ساختن مكانيزم هاي حفاظتي است.در واقعFIRE WALL هاي داخلي ،بسيار مهم هستند . چون معروف هستند كهHACK كردن داخلي وسلاحهاي امنيتي داخلي بسيار مشكلتر ازHack كردن خارجي يا سلاحهاي امنيتي خارجي هستند.
به طور خلاصه ما مي توانيمFIRE WALL راوسيله اي براي مراحل امنيتي سازمان فرض كنيم ،يعني وسيله اي براي سياستهاي كنترل دستيابي.از اين وسيله براي انجام مراحل واقعي استفاده مي شود بنابر اين معرف سياست امنيتي وتصميم تحقق در سازمان است.
پاسخ با نقل قول
علاقه مندی ها (بوک مارک ها)