پروتكل امنيت اينترنت ipsec

**M.A.H.S.A** · 08-22-2011 10:56 AM

قدرتهاي اعمال اينترنتي بسياري از مراحل امنيتي وپروتوكل ها را مشخص كرده است.در سالهاي اخير ،بسياري از آنها در محدودهREVOLVED-IPSEC شده است.اين پروتوكل طراحي شده است تا اتصالات وتركيبات حفاظت امنيتي متعددي براي استفاده كنندهاز اينترنت ايجاد كند.با استفاده از روشهاي متفاوت عمل IPSEC براي مصرف كننده ،راههايي در باره كسب AUTH و خدمات خصوصي ارائه مي كند.
در اين مقاله مفاهيم امنيت اينترنتي رامعرفي كرده وآنها را توضيح مي دهيم.تمركز در اين مقاله برروي «پروتكل امنيت اينترنت» ( IPSEC) است.عملكردهاي IPSEC توسط مثالهايي كه از روشهاي انتقال ،تونل آورده مي شود توضيح داده مي شوند ، سپس نقوص امنيتي را امتحان مي كنيم .يعني انواع ايمني را كه توسط اينترنت ارائه مي شود را مي آزمائيم واينكه چگونه بكار گرفته مي شود.

مشكل ايمني:
بسياري از كساني كه اين پاراگراف را مي خوانند ، خود قربانيان اسلحه امنيتي روي كامپيوتر شخصي يا شركتشان بوده اند .گاهي اوقات اين اسلحه فقط كمي آزار دهنده است يا حتي مي تواند با مزه وجالب باشد .ولي گاهي اوقات مي تواند فجيع باشد كه ناشي از خرابي فايلهاي اطلاعاتي ويا برنامه ها باشد .بيشتر مواقع همين امر موجب كم آمدن زمان مفيد كاري مي شود.
FBI براي فهميدن حوزه اشكال آفرين ، داراي يك سازمان متخصص امنيت شبكه كامپيوتر است .اين سازمان كه مقرش در سان فرانسيسكو مي باشد، درسال 1998 گزارش كردكه فقط60% در FORTUNE سيستمشان اسلحه امنيتي دارند واين به مفهوم نفوذ موفق به سيستمشان است بنابراين به نظر مي رسدكه در 100% آنها تلاشهايي براي نفوذ ورخنه كردن انجام شده است. بعدها FBIگزارش كرد كه هر اتفاق ناگواري حدود 8/2 ميليون براي شركت خرج دارد تا درست شود .
IBM مركز ضد ويروس را در مركز تسهيلات خود درهاوترن شهر نيويورك اداره مي كند .IBM در اين بخش بابيش از 20000 مهاجم امنيتي جداگانه مبارزه ميكند.امروزه اين قسمت 6تا 10 ويروس جديد را در روز تجزيه وتحليل وپردازش مي نمايد .
تعاريف امنيت:
اولين اصطلاح Encription است.كه به معني تغيير ساختمان جمله متن پيام است كه آنرا براي بازديد كننده اي كه توجه نداشته باشد مفهوم مي كند وجملات به شكل عده اي كلمات بي مفهوم ظاهر مي شود .اين اطلاعات معمولا به نام متن رمزي ناميده مي شوند. Decryptionمتضاد Encryption است وبه معني تغيير متن رمزي به شكل اصلي خود است يعني همان متن واضح.
Encryption و Decryptionتوسط جابجايي يا جايگزيني متن واضح از طريق يك الگوريتم به متن رمزي انجام مي گيرد (عمل رمز شناسي).دوورودي براي اين كار وجود دارد.
الف:متن واضح ب: مقدار خاصي كه مربوط به كليد مي باشد.
عمل رمز شناسي ممكن است براي هر كسي آشكار باشد وكار مرموز وسري نباشد. از طرف ديگر اين كليد نبايد در اختيار همگان قرار گيرد ، اگر كسي اين كليد را داشته باشد واين عمل شناخته شده باشد اين مرحله آسانتر مي شود كه ساختار متن رمزي را تغيير دهد تا به شكل متن واضح در آيد.
Encryption و Decrypyion با يكي از اين دو روش صورت مي گيرد ومعمولا با تركيبي از از هردو رخ مي دهد .اولين روش با 3 نام شناخته مي شود، خصوصي يا متقارن يا متداول به هر نامي كه ناميده شود ، از يك كليد براي Encryption وDecryption استفاده مي كند.
اين كليد سري است ودر حقيقت سري است كه ميان فرستنده وگيرنده پيام وجود دارد .فرستنده از اين كليد استفاده مي كند تا متن واضح را به شكل رمزي در آوردوگيرنده از همين كليد بهره مي گيرد تا متن رمزي را به شكل متن واضح در آورد .
روش دوم با دو نام شناحته مي شود :عمومي يا نامتقارن.اين روش از دو كليد متفاوت استفاده مي كند (در واقع دو گروه متفاوت كليدها) يكي براي Encryption وديگري براي Decryption استفاده مي شوند.يكي كليد عمومي وديگري كليد خصوصي ناميده مي شوند.ما بعداً در باره اين كليدها مفصل صحبت خواهيم كرد.
عبارت ديگري كه بايد معرفي نماييم امضاي ديجيتالي است (Digital Signature ).اين مسأله مرحله اثبات وتأييد را توضيح مي دهد تا مشخص كند كه دسته اي كه پيامي را براي عده ديگري مي فرستند,در حقيقت همان گروه مجاز هستند بهترين راهي كه مي توان براي اين عمل در نظر گرفت اين است كه مي تواند شبيه امضاء كسي باشد, يعني كسي را تأييدمي كند .
بحثهاي بعدي نشان خواهد داد كه چگونمه روشهاي(Encryption )كليد عمومي مورد استفاده قرار مي گيرند تا از امضاي ديجيتالي حمايت كنند.
عبارت بعدي معروف به hash است يا عملhash يا كد hash يا هضم پيام.اين عمل محاسبه(طراحي)روي پيام هر چقدر طولاني باشد را انجام مي دهد تا ميزاني با طول مشخص ايجاد كند .از اين روش هنگامي كه با(e)حفاظت مي شود استفاده مي گردد تا فرستنده پيام را دريافت كند.
انواع استقرار ممكن براي سخت افزار يا نرم افزار:
استقرار:
همانطور كه ممكن است انتظار داشته باشيد استقرار خاصي IPSEC در سخت افزار ونرم افزار مي تواند گوناكون باشد سه شكل ممكن (شكل 4-9) وجود دارد .اول اينكه نرم افزار مستقيماًدر كد منبع IP قرار گيرد كه براي HOST يا نرم افزار دروازه امنيتي مي تواند قابل استفاده باشد به اين يافته « ضربه به كد» مي گويند. ( BITC ) (THE CODE BUMP-IN)
روش ديگر استقرارIPSEC تحت مقدار زيادي پروتكل IP است كه بدين معني است كه روي خط رانندگي عمل مي كنند .اين روش معمولاً براي HOST ها قابل استفاده است به طريقي كهIPSEC بالاي لايه شبكه ناحيه محلي (MAC ( وتحت كنترل ودسترسي عوامل باشد به اين يافته « ضربه به مقدار زياد » مي گويند. (BITS) (BUMP-IN-THE-STACK)
روش سوم استفاده از وسيله مجزا واتصال آن به يكHOST يا دروازه امنيتي است به طور مثال اين وسيله مي تواند يك پردازشگري باشد كه توسط ارتش استفاده مي شود به اين يافته«ضربه به سيستم»مي گويند.(BUMP-IN-THE-WIRE)
وسيلهBITV معمولاً با مخاطب قرار دادنIP در دسترس قرار مي گيرد واگر از HOSTحمايت كند مانندBITS برايHOST است هنگاميكه با يك ROUTER يا FIREWALL به شكل مختصر توضيح داده شد )عمل كند به نظر مي رسد كه يك دروازه امنيتي است وبايد براي توضيح اعمال امنيتي FIREWALL شكل گيرد.
انواع مشكلات امنيتي:
يك سازمان در برابرچه نوع مشكلات امنيتي بايد ايمن باشد؟بسياري از مسائل امنيتي با نامهاي فريبنده ومؤثري مانند ويروس ،كرم وغيره در ارتباط هستند.اين بخش فصل به مرور اين مشكلات مي پردازد.
ويروس:
ويروس قسمتي از يك كد است كه خود را به برنامه كپي مي كند وهنگامي كه برنامه اجرا مي شود ،عمل مي كند .سپس ممكن است خود را مضاعف نمايد ودر نتيجه ،ساير برنامه ها را نيز مبتلا سازد .ممكن است خود را نشان ندهد تا توسط يك عمل خاص مورد اثبات قرارگيرد بطور مثال يك داده ،رديابي عملي مانند حذف شخص از مجموعه DATA BASE وغيره.ويروس ممكن است خود را به ساير برنامه ها را نيز اضافه كند.
آسيب ويروس ممكن است فقط آزاردهنده باشد ، مانند اجراي كدهاي غير ضروري فراوان كه از كيفيت عمل سيستم مي كاهد ولي معمولاً ويروس آسيب رسان است .در واقع ويروس را به عنوان برنامه اي توضيح مي دهند كه باعث گم شدن يا آسيب به اطلاعات ياساير منابع شود .آيا كمبود كيفيت عمل مي تواند در طبقه بندي آسيب ها قرار گيرد ؟البته ولي آسيب نسبي است.
ممكن است رد يابي يا يافتن ويروس مشكل باشد .شايد گاهي اوقات خودشان ناپيد شوند.
كرم:
گاهي كرم به جاي ويروس به كار مي رود .شباهتهايي ميان اين دو وجود دارد .كرم كدي است كه خودش را دوباره توليد مي كند .با اينحال برنامه مستقلي است كه ساير برنامه ها را اضافه نمي كند ولي خود را بارها دوباره ايجاد مي كند تا اينكه سيستم كامپيوتر يا شبكه را خاموش كند يا از سرعتش بكاهد به اين جمله مشكل«انكار خدمات» گويندكه موضوع بحث در بسياري از اجتماعات است كه بعد از خاموشي وب سايت هاي بزرگ در ژانويه 2000 ،مي باشد دليل اينكه هاپ ( JOHN HUPP) ،كرم را به عنوان كدي معرفي كردند كه در ماشين وجود دارد واين قطعه كرم در ماشين مي تواند به محاسبات ملحق شود يا نشود .وخود مي تواند به تنهايي زنده بماند.
اسب تروا:
اين نيز يكي ديگر از كدهاست وويروس وكد مي توانند تحت طبقه بندي «اسب تروا» قرار گيرند دليل انتخاب اين اسم اين است كه خود را (درون برنامه ديگر)پنهان مي سازد درست همانند داستان قديمي سربازان يوناني به آنان داخل شكم اسب بزرگي پنهان مي شدند كه توسط شهروندان تروايي به داخل شهر تروا آورده شد .سپس هنگامي كه داخل دژ تروا بودسربازان از اسب بيرون آمدند ودروازه شهر را گشودند تا راه بقيه سربازان رومي را بگشايند.
FIREWALL ها:
سيستمي است كه استفاده مي شود تا سياست كنترل دسترسي در يك سازمان يا بين سازمانها را تقويت كندFIRE WALL تنها يك ماشين نيست بلكه مجموعه اي از دستگاههاونرم افزار است كه سياست كنترل دستيابي راINSTITUTES مي كند. (همكاري امنيتي) اين اصطلاح بسيار آسان ، از عبور تبادل جلوگيري مي كند يا به آن كمك مي كند تا از يك طرف به طرف ديگرFIRE WALL برود.
هر تبادل مجازي كه مي تواند اين FIRE WALL را ازيك شبكه به شبكه ديگر يا ازيكHOST به ديگري برود بايد توشط سياست امنيت كه در طرح هاي كنترل دستيابي سازمان مستقر شده اند توضيح داده شود.
كمك ديگرFIRE WALL اين است كه خودش بايد ايمن باشد .همچنين بايد Penetration ايمن داشته باشد .با اين توضيحاتFIRE WALL سيستمي است كه از شبكه هاي مطمئن تا شبكه نا مطمئن را حفاظت مي كند ، شبكه هاي مطمئن مي توانند شبكه هاي داخل سازمان وشبكه هاي نامطمئن مي توانند اينترنت باشند .با اين حال ،مفهوم سيستم هاي مطمئن وغير مطمئن به سازمان بستگي دارد در بعضي شرايط در يك سازمان ،شبكه هاي مطمئن وغير مطمئن مي توانند وجود داشته باشندكه به نياز مربوط به دانستن وحفاظت منابع بستگي دارد در واقع مفهوم Fire Wall هاي داخلي (داخل شركت)وخارجي(ميان شبكه داخلي وخارجي)مضمون مهمي در ساختن مكانيزم هاي حفاظتي است.در واقعFIRE WALL هاي داخلي ،بسيار مهم هستند . چون معروف هستند كهHACK كردن داخلي وسلاحهاي امنيتي داخلي بسيار مشكلتر ازHack كردن خارجي يا سلاحهاي امنيتي خارجي هستند.
به طور خلاصه ما مي توانيمFIRE WALL راوسيله اي براي مراحل امنيتي سازمان فرض كنيم ،يعني وسيله اي براي سياستهاي كنترل دستيابي.از اين وسيله براي انجام مراحل واقعي استفاده مي شود بنابر اين معرف سياست امنيتي وتصميم تحقق در سازمان است.

**M.A.H.S.A** · 08-22-2011 10:57 AM

اجراي FIRE WALL :
چون شبه سازمانها به كارمندان خود اجازه مي دهند كه به اينترنت عموميCONNECT شوند بايد به نحوي طراحي شود كه اهداف دسترسي اينترنتي سازمان را بر آورده سازد (يا ساير شبكه هاي عمومي)خلاصه سازمان ممكن است به سايتهاي سازمان ،اجازه دسترسي به اينترنت را ندهدولي به اينترنت اجازه دستيابي به سازمان را مي دهد .به عنوان يك جايگزين ديگر ممكن است استفاده شوند كه فقط به سيستم هاي انتخابي اجازه دهند كه به سيستم هاي خصوصي درFIRE WALL وارد يا خارج شوند .
سياستهاي دسترسي ممكن است FIRE WALL رابه دوروش اصلي انجام مي دهد.
الف-هر خدماتي را مجاز بداند تا اينكه آشكارا رد شود
ب-هر خدماتي را رد كند تا آشكارا مجاز شود
[NCSA96]الف-موقعيت قابل توجهي براي سلاحهاي امنيتي ايجاد مي كند در بيشتر مواقع (ب)خدماتي است كه درآن بيشتر طرحهاي دستيابي طراحي مي شوند .مشكل(الف)اين است كه تبديل به يك چتر كامل تمام در برگيرنده مي شود كه مي توانداز مسير جانبي عبور كند(bypass ) . به طور مثال خدمات جديد مي توانند از اين دسته باشند كه در فيلترFIRE WALL توضيح داده نمي شود يا توسط طرح دست يابي سازمان توضيح داده مي شود.به عنوان مثال خدمات رد شده كه در ساختار اينترنت انجام مي شود ،مي توانند با استفاده از پرت دي انترتي غير استاندارد ،غلبه كننده كه در سياست آشكار توضيح داده نشده است (و رد شده است).
آخرين نكته در اين بحث اوليهFIRE WALLS اين است كه دربسياري موارد ،استفاده از انواع مختلف FIRE WALL هامنطقي است تا تجزيه تحليل دستيابي وفيلتر كردن وابسته به طبيعت تبادل وويژگي مانند آدرسها،شماره پرت ها وغيره انجام پذيرد.
يكي از اعمال اصلي انجام شده توسط FIRE WALL فيلتر كردن بسته هاست (شكل5-9)اين اصطلاح عملي را توصيه مي كند كه بسته هاي خاصي اجازه عبور از FIRE WALL رادارند وديگر بسته ها نمي توانند عمل فيلتر كردن بستگي به قوانيني دارد كه در نرم افزار اجرا كننده FIRE WALL بشكل رمزي در آمده است .متداول ترين نوع فيلتر كردن بسته از ديدگاه يك ROUTER مسير ياب قديمي در برنامه اطلاعاتيIP انجام مي شود(بسته هايIP ).فيلتر كردن معمولاًروي (الف)آدرس منبع،(ب)آدرسIP مقصد ،(ج) شماره پرت منبع و(د) شماره پرت مقصد
Filtering:
انجام ميشود.در حاليكه اين پديده ها براي بيشترROUTER هايHIGH-END استفاده مي شود همهROUTER ها نمي توانند روي شماره هاي پرت فيلتر كنند.
بعلاوه سايرROUTER فيلتر را بر اساس ارتباطات شبكه فرستنده انجام مي دهند براي تصميم گيري در باره اينكه آياDATA GRAM ازميان ارتباط ورودي يا خروجي بايد عبور كند يا خير؟
فيلتر كردن همچنين بستگي به سيستم هاي عمل كننده خاصي دارد ،به طور مثال بعضي از HOST هاي UNLX قادرند فيلتر كنند وساير آنها نمي توانند.
تبادل از يك شبكه غير مطمئن به FIRE WALL انجام مي گيرد .قبل از اينكه توسط FIRE WALL پردازش نشده است فيلتر نشده است.
تبادل بر اساس سياست امنيتي در FIRE WALL به شبكه يا شبكه هاي مطمئن انتقال مي يابد ،تا فيلتر شود .در غير اين صورت آنهايي كه از آزمايشات FIRE WALL در نيامده اند دور ريخته مي شوند. در چنين شرايطي ،تبادل بايد براي تجزيه وتحليل هاي بعدي ثبت شود كه جنبه مهمي در زمينه رد يابي مشكلات امنيتي ممكن مي باشد.استفاده از تمام قوانين فيلتر كردن يك ROUTETR ممكن است كار بسيار پيچيده اي باشد حتي اگر قابل اجرا باشد ،ممكن است درROUTER حجم كاري كه پردازش آن كامل نشده ،ايجاد كند .كار ديگر اين است كه بيش از يك FIRE WALL داشته باشيم كه بعضي از داده هاي فيلتر كردن به روشي كه معروف به PROXY FIRE WALL يا استفاده از دروازه است انجام مي شود .مثلاً كاغذ NCSA بيان مي كند كه يكROUTER ممكن است از تمام بسته هايTELNETوFTP به يكHOST خاص بگذرد كه تحت عنوان دروازه اجراي TELNET/FIP شناخته مي شود،سپس اين دروازه ،كارهاي فيلتر كردن بعدي را انجام مي دهد.
مصرف كننده اي كه مي خواهد به سايت سيستم خاصي متصل شود ممكن است نياز باشد كه اول بهAPPLICATION (دروازه اجراوصل شود وسپس بهHOST مقصد متصل گردد)مصرف كننده اول به ELENT/APPLICATIONGATE WAY مي شود ونامHOST داخلي را وارد مي كند.A.G سپس آدرس منبعIP مصرف كننده را براي معتبر بودن كنترل مي كند .(در اين ارتباط ،ممكن استUSER مجبور شود كهA.G را تأييد نمايد )سپس ارتباطTELNET ميان دروازه وHOST داخلي محلي برقرار مي شود كه سپس تبادل ميان دو دستگاه HOST عبور مي كند.
بعلاوه FIRE WALL عملي بعداً مي تواند طراحي شود تا انقلاب خاصي را تأييد يا تكذيب كند .آنچه به نظر مي رسد اين است كه استفاده بعضيUSER ها را تكذيب مي كند واين گونه عمل مي كند كه با تكذيب فرمانFTPPUT بهSERVER مي نويسد.
خدماتFIRE WALL كنترل شده MFWS :
MFWS تقريباً سلاح جديدي در جنگهاي امنيتي است سازماني كه اين خدمات را ارائه مي كند ،مسئوليت درست شدن وكنترل FIRE WALL شركت را به عهده دارد كه شامل طراحي كلي سازمان امنيتي كامل ،مجوز گرفتن براي نرم افزارINSTALL (نصب)،نگهداري وحتي اعمال اصلي كنترل است .
در تخمين وارزشيابيMFWS بايد به دقت به پتانسيل شخصي كاركنان شركت بنگرد ،در واقع شايد بزرگترين شكايت در باره تأمين كنندگان FIRE WALL كمبود شعور كاركنان امنيتي آنهاست.
ولي اين LAMENT ازطريق صنعت متداول است.اما افراد ماهر كافي وجود ندارد.با اين وجود ،شكست درزمينه داشتن كاركنان با صلاحيت درMFWS كهFIRE WALL هايش ما را كنترل مي كنند.مي تواند مشكلات فراواني بيافريندمانند سلاحهاي امنيتي AKA .
تأمين كننده Fire Wall ،2راه پيش پاي مشتري در باره محل Fire Wall مي گذارد. (شكل6-9) الف- روي سياستهاي مشتري ب-روي سايت تأمين كننده بيشتر خدمات توسط ISPهاو انتقال دهندگان مسافت طولاني تأمين مي شود بنابراين (ب)معمولاًاستقرار Fire Wall در مركز اطلاعاتي تأمين كننده در سررور را ايجاب مي كند.(مثلاً محل حضور ISP يا POP ) .
براي راه الف-راحت تراست كه تلاشهاي امنيتي در نقطه متمركز جمع شود. شخص از داشتن Fire Wall اختصاصي مطمئن مي شودوبراي اطمينان فيلترهاي خاصي ايجاد مي شود.براي راه ب- شركت لازم نيست كه فضاي خود را براي وسايل استفاده كند وكاركناني را براي Fire Wall اختصاص دهند .با اينحال راه ب- ممكن است به اين مفهوم باشد كه تلاشهاي امنيتي در محل هايي باچند سررورتصرف شوند .همچنين راه ب-ممكن است به اين معني باشد كه Fire Wall باساير مشتريان تقسيم شده است ولي تصرف لزوماًبد نيست. ممكن است موجب تأخير كمتر وفاصله پرش كمتر شود.
خدمات fire wall كنترل شده:
براي راه ب- دانستن اينكه تأمين كننده چند سايت دارد،خوب است چون تبادل مي تواند توسط محلهاي مضاعف تقسيم شود(مثلاً در امريكا ،اروپا،آسيا وغيره)
همانطور كه اين شكل نشان مي دهد درواقع تنظيم غير اختصاصي دوتنوع ايجاد مي كند.
IP_Sec , Fire wall:
اين مثالها براي اعمال روش تونل است كه در آنها فايرواسها تونل امنيتي ميان آنها را حمايت مي كند. بسته USER براي اين امتحان مي شود كه آيا با سياست امنيتي Out Bound مي خواند يا خير ؟
به خاطر داشته باشيد كه اين هماهنگي مي تواند در باره آدرسهاي IP ،ID پروتكل وشماره هاي پرت ها نيز صورت گيرد . اين بسته ها بر اساس اينكه هماهنگ مي شوند يا نه –الف-به شكل واضح Forwardمي شوند (بدون جايگزين) يا-ب- Drop مي شوند (بدون پردازش هاي بعدي)يا-ج- به راههايي Subject مي شوند كه توسط سياست امنيتي OutBound تعيين مي شود.
الف- IPSEC در يك فايروال(بسته OutBound )
ب- IPSEC در يك فايروال(بسته InBound )
بسته امنيتي به فايروال ميرسد جايي كه بدون تونل مي شود (Decapsulate) .بسته IP سپس براي هماهنگي با سياست SA(inBound)مقايسه مي شود .اگر هماهنگ باشد عملي كه توسط سياست امنيتي InBound تعيين شده انجام مي شود در غير اين صورت Drop مي شود.
مكانيزم هاي امنيتي:
عمل Hash :
اين بخش از مقاله Coding و مكانيزم را براي ايجاد امنيت معرفي مي نمايد .اجازه بدهيد با يك روال كار بسيار مهم واصلي شروع كنم كه معروف به Hash يا عمل Hashing است اين عمل مدارك User را به يك Degestتبدبل مي كند كه معروف به اثر انگشت ديجيتالي (عددي)يا Degest پيغام است.
به اين دليل اين نام را انتخاب كرده اند كه علاوه بر جنبه Encryption عمل مي تواند براي جستجو جعل شده ها و Temprory مدارك نيز استفاده شود. Hash به شكل زير عمل مي كند ودر اين شكل نيز نشان داده شده است.
ابتدا،متن پيام به شماره هاي Binery تبديل مي شود وبه Block هاي هم اندازه تقسيم ميگردد.اين ها به الگوريتم Input ciphering ارسال مي شود كه خروجي توليد مي كند كه معروف به Degest يا Hash مي باشد.

**M.A.H.S.A** · 08-22-2011 10:57 AM

توجه داشته باشيد كه Degest به محاسبه پيام اصلي User بستگي دارد.
جنبه جالب عمل Hash اين است كه Degest هميشه به اندازه و بدون تغيير مي باشد البته بدون توجه به طول پيام User . Convention متداول ايجاد كد 128 بايتي است كه معمولاً به شكل 32 String شماره اي ارائه مي گردد.جنبه جالب ديگري از Hash اين است كه بهبود بخشيدن پيام ازاعمال Hash تقريباً غيرممكن است اين مفهوم تحت عنوان يك عمل يك طرفه شناخته مي شود.الگوريتم Hash استقرار مي يابد تا هيچ 2پيامي يك Hash را Yield نكند.(حداقل در هيچ Bound آماري منطقي)اين بدين معني است كه درون هيچ عددمنطقي محاسبه ممكن نيست تا پيامي پديد آورد كه همان Hash پيام متفاوت ديگر را ايجاد كندبدليل اين عمل Degest مي تواند بعنوان اثر انگشت پيام خود باشد بعلاوه راز عمل Hash اينست كه ميتوان براي جستجوي Temprory پيام استفاده كرد.بنابراين وسيله اي ايجاد مي كند تا 2جنبه امنيتي را حمايت كند –الف-صحت -ب- Intergrity مثالهايي از Hash هاي اينترنت :الگوريتم Degest پيام MD5 چاپ شده در سال 1321 نوشته ران ريوست براي عمل Hash بسيار مورد استفاده قرار مي گيرد.در چند سال اخير براي جمله InRelibility مورد انتقاد قرار گرفته است ومعلوم است كه امكان اين مسئله وجود دارد كه 2 Input متفاوت يافته شود كه همان Degest را ايجاد مي كند .به غير از اين مشكل به مشكل ديگر تأكيد مي كنم . مشكل اين است كه MD5 در روترهاي Cisco استفاده مي شوند تا از پروتكل هاي متفاوت چرخشي حفاظت كند مانند Rip ,OSPF , BGP .
الگوريتم MD5 براي ماشينهاي 32 بايتي طراحي شده است كه Extension MD5 با Enhancment هاي متعددي است كه به طور خلاصه به آن اشاره مي شود.پيامي باطول arbitry را مي گيرد و Degest پيام 128 بايتي را ايجاد مي كند.پيام ورودي در Block 512 بايتي را پردازش مي كند (16كلمه 32بايتي).كه براي امضاهاي ديجيتالي طراحي شده است.الگوريتم ايمن Hash (SHA) معمولاً تحت عنوان استاندارد Hash ايمن SHA-1 ناميده مي شود توسط سازمان ملي استاندارد وتكنولوژي آمريكا NIST چاپ مي شود.بستگي به PreDecessor MD5 دارد كه معروف به MD4 است .تفاوتهاي اصلي ميان (SHA-1) واين SMD كه Degest پيام 160بايتي به جاي 128بايتي ايجاد مي كند.اين Degest را طولاني تر از SHA-1 مي كند. شامل پردازش بيشتري براي ايجاد Degest طولاني تر مي شود.باابن حال SHA-1 يكي از الگوريتم ها Hash است كه به دليل محدوديت براي Colission بسيار استفاده مي شود.در حاليكه Sha-1 يك Degest قوي تر پيام است ،اگر براي MD5 استفاده شود Intergrity خود را حفظ مي كندوبه شكل مؤثرتري عمل مي كند(محاسبه آن سريع تر است) تا SHA-1 ، سرعت محاسباتي مهم است.چون هر بسته كه از يك گروه خارج شده يا به آن وارد مي شود بايد روي آن محاسبات امنيتي انجام شود.
براي اطلاعلت بيشتر در باره مراجعه كنيد.بدليل Concern با MD4 وMD5 ارزشيابي Intergrity Primitive اروپايي RIPE را گسترش داد .آن نيز از SHA-1 نشأت گرفت ولي طول آن 160بايت است با اين حال Ripemd مانند SHA-1 نسبت به MD4 اثركمتر دارد.
HMAC در 2104 RFC چاپ شد ونويسندگانش Ran Canetti,Mihir Bellare, Hugo Krawczyk بودند. يك عمل كليدي Hash است IPSEC نياز داردكه تمام پيام Authentication با استفاده از HMAC انجام شود.
RFC 2104 ،Objective هاي طرح شده HMAC را بيان مي كند (ومن نيز مستقيماً به آن اشاره مي كنم):
13/استفاده بدون مضاعف شدن اعمال HASH قابل دسترسي .مخصوصاً اعمالي كه Hash به خوبي در نرم افزار .و كد به شكل آزاد وگسترده در دسترس است .
14/براي جلوگيري از عمل اصلي HASH بدون انجام Degradati خاص.
15/براي استفاده وكنترل كليدها به روش آسان.
16/تجزيه قابل درك Cryptographic از قدرت مكانيزم Authentication وابسته به منطقي در مورد اعمال Undelivery HASH
17/اجازه براي Reptceabitiy آسان اعمال Undelivery Hash در مواردي كه اعمال Hash سريع تر وايمن تر يافته يا مورد نياز مي باشند.
كليدهاي عمومي:
سالهاست كه كليدهاي عمومي در شبكه هاي عمومي وخصوصي براي Encrypt كردن اطلاعات مورد استفاده قرار مي گيرند.مفهوم كليد عمومي در محاسبه دو كليد با يك عمل نهفته است يك كليد معروف به عمومي وديگري كليد خصوصي است.اين نام ها به اين منظور گذاشته شده كه كليد عمومي مي تواند به بزرگ» Disseminate شود.در حاليكه كليد خصوصي اين طور نيست.پديدآورنده كليد خصوصي اين كليد را به شكل سري نگهداشته است.اگر اين كليد Disse شود توسط Encrypt اوليه آن براي انتقال از ميان تونل امنيتي انجام شده است. Not With Standing مفهوم كليد عمومي اين است كه كليد خصوصي رابه Vest نزديك كند ومحتواي آن را به هيچ كس به غير از پديد آورنده بروز ندهد.
كليدهاي عمومي براي Encrypt كردن استفاده مي شوند . فرستنده از كليد عمومي گيرنده استفاده مي كند تا متن واضح پيام را نموده به شكل پيام نامفهوم در آورد .پردازش در گيرنده Revers ميشود يعني در جايي كه دريافت كننده از كليد خصوصي براي Decrypt نمودن پيام نامفهوم به پيام واضح استفاده مي كند.
بعلاوه استفاده از كليدهاي عمومي براي Encrypt كردن براي مراحل authentication نيز به طور گسترده اي استفاده مي شوند .همچنين براي كنترل Intergerity واثبات حمل نيز مورد استفاده قرار مي گيرند كه بعداًبه آن بحث مي پردازيم.
در اين مثال فرستنده از از كليد خصوصي فرستنده استفاده مي كند تا ميزان شناخته شده اي را به امضاي ديجيتالي Encrypt كند. هدف اين امضاي ديجيتالي اين است كه authenticity فرستنده را ارزشيابي كند.فرستنده Conscoenty از طريق ساير مقادير كه به كليد عمومي گيرنده فرستاده است .اين كليد به الگوريتم براي امضاي ديجيتالي ورودي استفاده مي شود.اگر اعمال Decrypt كردن ناشي شده ،محاسبه مقدار شناخته شده را منجر مي گردد كه قبلاًتوشط فرستنده Instantiut شده بود فرستنده همان فرستنده مجاز تلقي مي شود(يعني فرستنده authentic است)
به طور خلاصه اگر مقدار محاسبه شده معروف دردريافت كننده برابر با مقدارقابل انتظار باسد پس فرستنده شده است.اگر محاسبه برابر نباشد پس فرستنده صحيح نيست.يا اشتباهي در پردازش صورت گرفته است.هر چه باشد فرستنده اچازه ندارد هيچ سود بعدي در سيستم دريافت كننده ببرد.ما آموخته ايم كه دو عمل اصلي در انتقال وحمايت از داده هاي ايمن وجود دارد .اولين عمل Encryption (درفرستنده)پيام فرستنده Decryption, Complimentation پيام در گيرنده است.عمل دوم اطمينان از اين مطلب است كه فرستنده مناسب ،پيام را فرستاده و Imposter اين كاررا نكرده است.يعني فرستنده پيام صحيح است.
از تكنيكهاي بسيار استفاده مي شود وما به تازه در باره اعمال كليدي عمومي اطلاعات بدست آورده ايم روش ديگر در شكل 8-9 نشان داده شده است.اين روش ازcryptographer عمومي كه الان توضيح داديم وعمل hash كه قبلاًتوضيح داده شد استفاده مي كند.
notection چعبه هاي سياه سمبلINPUT به OUTPUعمل است . در رويداد 1 :پيام اصلي (نوشته واضح)بهCRYPTOGRAPH كردن عمل يك طرفهSUBJECT HASHمي شود نتايج آن عمل DIGپيام است .در رويداد 2 :DIG عمل وكليد خصوصي فرستنده به عمل شكل 10-9 SUB,ENCRIPTION مي شود كه منجر به امضاي ديجيتالي مي گردد.امضاي ديجيتالي ،به پيام اصلي اضافه مي شود(نوشته واضح) وتمام اين بخش اطلاعات در رويداد 3 با كليد عمومي گيرنده مي شود.نتيجه يك پيام نامفهوم است.
اكنون پردازش در دريافت كننده براي شده است.در رويداد 4 پيام نامفهوم با كليد خصوصي دريافت كننده SERVERS مي شودكه در الف/ پيام اصلي (پيام واضح)و ب/ امضاي ديجيتالي اينگونه است.رويداد 4جنبهCRYPTOGRAPHY ,CRITICAL با كليد عمومي است چون فقط آنهايي كه از كليد خصوصي گيرنده عبور مي كنند ،مي توانند پيام ناهفهوم را نمايند.
سپس،امضاي ديجيتالي توسط كليد عمومي فرستنده (در رويداد 5) DECRYPT مي شودوپيام واضح (در رويداد 6)به عمل HASH يك طرفهCRYPTOGRAPHY مشخص SUBJECT مي شودكه در فرستنده انجام شده است .سپس گيرنده اعمال ناشي از از رويداد5و6 را مقايسه مي كند واگر مقادير ناشي شده همانند بودند،گيرنده مي تواند مطمئن باشد كه فرستنده واقعي وصحيح است .اگر نتايج متفاوت بودند ،چيزي AMISS شده يا فرستندهPHONY است يا INTRERLOPERتبادل فرستنده راINTERSEPT كرده وآنرا جايگزين نموده يا تبادل در انتقال آسيب ديده است.
كليد جلسه (ارتباط ميان وكامپيوتر راه دور)( ESSION KEY )
بعضي SIMPGEM ENTATION عمل ديگر را به اعمالي كه بحث شد EMFED مي كنند كه تحت عنوان نامهاي متفاوتي در صنعت شناخته شده هستند. بعضي ها به اين عمل (كليد جلسه)گويند ،بعضي ها به آن كليد يك زماني وبعضي هاآنرا با نام كليد متقارن يك زمانه مي نامند.
كليد جلسه يا يك زمانه استفاده مي شود تا امضاي ديجيتالي ومتن واضح را در رويداد 3 ENCRYPT كند ويك عمل COMPLEM ENTARY در گيرنده در رويداد6 انجام دهد.به كليد ،كليد متقارن گويند چون از همين كليد براي ENCRYPT وDECRYPT اطلاعات استفاده مي شود.يكي از مزاياي اين تكنيك اين است كه مي تواندIMPLEMENT شود تا اعمالي بسيار سريع وواضح انجام دهدكه لايه امنيتي ديگري به پردازش OVERALL اضافه مي كند.اعمال كليد عمومي بسيار طولاني هستند وپردازش CPUبسياري را مي طلبند.بنا براين در شكل 11-9 كليد عمومي گيرنده ،فقط استفاده مي شود تا كليد جلسه راENCRYPT نمايد.
CRIFICATION كليد:
پس تا اينجا ما فهميديم كه گيرنده به فرستنده اطمينان دارد وگيرنده باور دارد كه كليد عمومي فرستنده (كه ذخيره شده)صحيح است.ممكن است اين شرايط واقعيت نداشته باشدCRYPTOGRAPHY كليد عمومي برايCOMPROMISE يا به اصطلاح حمله «مرد ميانه»VULNER ABLE است (همچنين بدانPIGGY در وسط يا مرددر وسط گويند)كه در شكل 12-9 مشان داده شده است.
مرد ميانه يا مالوري ، كارل وتد را با فرستادن كليدهاي عمومي غلط، به اشتباه افكنده است تد،كليد عمومي مالوري را (MPUB1) در رويداد 1 دريافت مي كند .مالوري همچنين كليد عمومي ديگر ايجاد مي كند وآنرا در رويدا 2به آليس مي فرستد (MPUB2) كليدهاي غلط به رنگ خاكستري تيره در شكل نمايش داده شده اند.درزمان ديگري (رويداد3)،كارل وتد LEGITITNATEكليدهاي خصوصي توليد كردند،كه اين كليدها به رنگ سفيد در شكل براي كارل (CPRI) وتد (TPRI) نشان داده شده است.ما گمان مي كنيم كه اين كليدها ،كليدهاي جلسه هستند(كليد متقارن يك طرفه)وبراي DECRYPT,ENCRYPT تبادل،استفاده مي شود.
حمله مرد مياني:
در رويداد4 ،كارل وتد آنچه را كه فكر مي كنند كليد عمومي يكديگر است استفاده مي كنند كليد خصوصي جلسه را ENCRYPT كننددر واقع ،آنها از كليدهاي عمومي غلط مالوري استفاده مي كنند.
رويداد5 ،كليدهاي ENCRYPT شده جلسه توسط كارل وتد فرستاده مي شوند ولي توسط مالوريINTERCEPTمي شوند كه در رويداد 6 از 2كليد عمومي او استفاده مي كند تا كليدهاي خصوصي ENCRYPT نمايد(MPUB2,MPUB1)
پس در رويداد 7،مالوري كليدهاي خصوصي جلسه كارل وتد را بدست مي آورد ومي تواند به ايفاي نقش مرد مياني بپردازد وتبادل را TERCEPT كند.
براي اينكه با حمله مرد مياني بسازيم،سيستم هاي امنيتي بالايي،مفهوم CERITIFICATE ديجيتالي را IMPLEMENT مي كند وما به شدت توصيه مي كنيم كه هر سيستم CRYPTOGRAPHY كليد عمومي ازCERTI ديجيتالي استفاده كند.ازاين عمل استفاده مي شود تا گيرنده را مطمئن سازد كه كليد عمومي فرستنده ،معتبر است .براي حمايت از اين عمل ،كارل كه فرستنده است با CERTICALL ديجيتال از دسته سوم قابل اطمينان دريافت كند كه به آن CERTIFICATION AUTHARY گويند.كارل در رويداد 1كليد عمومي خود را به همراه اطلاعات IDENTIFICATION خاص وساير اطلاعات بهGERAUY مي فرستد.
CERAU از اين اطلاعات استفاده مي كند تا كارل وكليد عمومي او را شناسايي كند كه در شكل به شكل رويداد 2 نشان داده شده است.
اگر كنترل كارل رضايت بخش باشدCERAU به كارل يك CER ديجيتالي مي دهد كه معتبر بودن كليد خصوصي كارل را تأييد مي كند .اين عمل در رويداد3 نشان داده شده است .در رويداد4 وقتي كارل تبادل را به گيرنده مي فرستد (دراين مثال تد)كارل تمامي اعمالي كه در مثالهاي قبلي مان بحث كرديم را انجام مي دهد.(يعني،عمل HASH ،امضاي ديجيتالي وغيره)واين اطلاعات را به همراه CER ديجيتالي به تد مي فرستد.
در اعمال قبلي ،كليد عموميCERAUT به گروههاي ديگر من جمله تد DISSEMINATE مي شد در رويداد 5تد از كليد عموميCERAUT استفاده مي كند تا امضاي ديجيتالي CERAUT را كه قسمتي ازCER كامل است بسنجد ،اگر همه چيز كنترل شد ،تد مطمئن است كه كليد عمومي (بخش ديگري ازCER) در واقع به كارل تعلق دارد بدين گونه ،در رويداد6 توسط CERAUT مطلع مي شود كه رويداد 7نتيجه مي شود جايي كه تد مي تواند از كليد عمومي كارل استفاده كند تا پيام نامفهوم راDECRYPT نمايد.
شعاع RADIUS :
اعمال امنيتي در يك سازمان بزرگ كار مهمي است يكي از نگرانيهاي موجودCOMPROMISE ممكن منابع سازمان به دليل DISPERSAL ميزان امنيت در سيستم است كهRESULT IN يافتهFRUGMENTED مي شود.براي مسائل مركب،كارمندانCONTRACTORS ومشتريان نياز به دسترسي به اطلاعات دارد واين افراد كامپيوتر سازمان را عملاًاز هر جايي شماره گيري مي كنند .AUTENTICATION اين منابعDIVERS بايد در ارتباط با سياست امنيت سازمان ACCOMPLISH شود.ولي چگونه؟آيا بايد در آنجا يك سيستمAUTHENTICATION (يك سرور)در هر سايت سزمان وجود داشته باشد ؟اگر اينچنين است،چگونه اين سرورها كتنرل مي شود،چگونه فعاليت هايشان هماهنگ مي شود؟در عوض آيا يك سازمان ،سرور مركزي را DEPLOY مي كند تا تلاشهايCOORDINATION را كاهش دهد؟
براي كمك به يك سازمان براي استقرار يك يافته INTEGRATED براي كتنرل ومديريت ايمن ،گروه كاركنان شبكه اينترنت RFC2138 يعني شماره گيري AUTHE ا زراه دور در سرويس استفاده كننده را چاپ كردند RADIUS اين خصوصيات مراحل IMPLEMENT سرورAUTH رامشخص مي كند كه شاملDATA BASE مركزي است كه استفاده كنندگاني را كه شماره گيري مي كنند واطلاعات مربوطه را استفاده نكنندAUTHENTICATE را نشان مي دهند.
RADIUS همچنين به سرور اجازه مي دهد كه با ساير سرورهامشورت كند ،بعضي ممكن است براساس RADIUS باشند وبعضي اينگونه نباشد.با اين يافته ،سرور RADIUS بعنوان براي سرور ديگر عمل مي كند.
اين خصوصيات همچنين به جزئيات اين مسئله مي پردازد كه چگونه اعمال خاص استفاده كنند ،مي تواند مورد حمايت قرار گيرد،مانند TELNET,RLOGIN,PPP وغيره.
RADIUS CONFIGURATION به روش CLIENT يا سرور ساخته شده است مصرف كننده نهايي با سروري كه به شبكه دسترسي داردNAS از طريق اتصال تلفني،مرتبط مي شود .در عوضCLIENT NAS سرورRADIUS است.NASوسرورRADIUS با هم از طريق يك شبكه يا يك اتصال نقطه به نقطه ارتباط پيدا مي كنند.همانطور كه قبلاً اشاره شد،سرورRADIUS ممكن است با ساير سرور ها نيز ارتباط برقراركند ،بعصي ممكن است پروتوكل RADIUS را فعال كند وبعضي نكندمقصود اين است كه يكREPOSITORY مركزي براي اطلاعات AUT وجودداشته باشد كه در شكل به عنوان شمايل DATA BASE(ICON) نشان داده شده است.
ساختارRADIUS :
استفاده كننده بايد اطلاعات AUT را بهNAS ارائه كند (معروف به CLIENT HERE AFTER ) مانند USER NAME وكلمه عبور يا بستهPPP(OUT) سپسCLIENT ممكن است بهRADIUS دستيابي پيدا كند.
اگر چنين شود CLIENT يك پيام« درخواست دسترسي » ايجاد مي كند وبه گره هايRADIUS مي فرستد (معروف بهSERVER HERE AFTER )اين پيام شامل اطلاعات در مورد مصرف كننده اي است كهATTRIBUTEخطاب مي شود .اينها توسط مدير سيستمRADIUS مشخص مي شوند،بنابراين مي توانند تغيير كنند.مثالهايي ازATTRI شامل كلمه عبور استفاده كننده ID پرت مقصدCLIENT ID وغيره است.اگر اطلاعات SENSITIVE در بخش ATL باشد بايد توسط الگوريتم GISEST پيام MD5 محافظت شود.
مشكلات RADIUS :
RADIUS بدليل فرمان خود وساختار فضاي آدرس ATL ومحدوديت ناشي شده در مورد معرفي سرويسهاي جديد تقريباًمحدود است. RADIUS روي UDP عمل مي كندوUDP زمان ومكانيزم ارسال مجدد ندارد.بنابراين خريداران راههاي خود را براي اين مراحل مي كنند.بعلاوهASSUME-RADIUS مي كند كه هيچ پيامUNSOLICI TATED از سرور به وجود ندارد كه بعداً انعطاف پذيري آنرا محدود كند . SUCCESSOR آن DIAMETER اين مشكلات را حل مي كند.
DIAMETER قطر:
DIAMETER تقريباً يك پروتوكل جديد براي EMERGE استاندارد هاي امنيتي اينترنت است.اين DIAMETER محدودشد ،چون تعداد حدمات اينترنت جديد،رشد كرده اند وردترها وسرورهاي شبكه(NAS) بايد عوض شوند تا ازآنها حمايت مي كردند.خريداران وگروههاي كار ،پروتوكل سياست خود را براي اين اعمال ADD-ON مشخص كرده اندDIAMETER استانداردي براي مفهومHEADER هاوميزان امنيت پيام آن ايجاد مي كند .مقصود اين است كه سرويس جديدي به جاي مراحل مختلف كه قديم بود از DIAMETER استفاده كند.
DIAMETER يك SUCCENOR برايRADIUS به شمار مي رود وبه نظر مي رسد كهFRAME WORK ي براي هر سروري كه نياز به حمايت امنيتي دارد ،ارائه مي كند.به نظر مي رسد كه بالاخره جايگزين RADIUSE مي شود.