Network Security Mechanisms in Persian PDF
Document Details
Uploaded by Deleted User
University of Birjand
2023
Maryam Azadmanesh
Tags
Related
- Network Security Controls - Technical Controls PDF
- Chapter 9 - 01 - Understand Secure Application Design and Architecture - 01_ocred.pdf
- Chapter 3 - 02 - Discuss Network Security Fundamentals_fax_ocred.pdf
- Network Security Concepts Guide PDF
- Network Security Lecture 09: Transport Layer Security PDF
- Network Hardware Security PDF
Summary
This document is a lecture presentation about network security mechanisms within a university context including firewalls, intrusion detection systems, and VPNs, for the first semester of 1403-1404 (2023-2024). The document covers topics such as firewall functionalities, security mechanisms, and practical examples. It seems to be lecture notes rather than an exam paper/test.
Full Transcript
بسمه تعالی امنیت شبکههای کامپیوتری مکانیزمهای امنیتی در شبکه مریم آزادمنش...
بسمه تعالی امنیت شبکههای کامپیوتری مکانیزمهای امنیتی در شبکه مریم آزادمنش نیمسال اول 1403-1404 امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 1 مکانیزمهای امنیتی در شبکه ❑ دیوارهآتش ❑ سیستم تشخیص نفوذ ❑ تله عسل ❑ شبکههای خصوصی مجازی ()VPN امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 2 دیواره آتش ❑ دیواره اتش چیست؟ ▪ نقطه کنترل و نظارت شبکه ▪ امکان اتصال شبکه ها با سطوح اعتماد مختلف با یکدیگر ▪ ترافیک گذرنده از داخل به خارج و برعکس باید از دیواره آتش عبور کند. ▪ تنها اطالعات و اشخاص مجاز ،با توجه به سیاست های شبکه محلی ،می توانند از دیواره آتش عبور کنند. ▪ دیواره آتش باید خود در مقابل نفوذ امن باشد. ▪ دیواره آتش کد کمی اجرا میکند ،بنابراین bugها (رخنههای امنیتی) کمی دارد. ▪ دیواره آتش میتواند به صورت حرفهای تر مدیریت شود. ▪ دیواره آتش نرمافزارهای کمتری با loggingو monitoringبیشتر ،اجرا میکند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 3 خدمات فراهم شده توسط دیواره آتش ❑ امکان بازرسی و کنترل دسترسی به شبکه و منابع و سرویس های ان ❑ امکان ثبت جریان ترافیک ❑ تصفیه بر اساس محتوای بسته ها ❑ فراهم سازی ترجمه ادرس NATو نظارت بر استفاده ❑ پیاده سازی شبکه خصوصی مجازی امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 4 مکانیزمهای کنترلی در دیواره آتش ❑ کنترل سرویس ▪ سرویس های اینترنتی قابل دسترس ▪ اعمال کنترل بر اساس ادرس IPو پورت ▪ استفاده از پروکسی برای سرویس های استاندارد ❑ کنترل جهت ▪ اینکه درخواست یک سرویس از کدام سمت میتواند ارسال و پاسخ داده شود. ❑ کنترل کاربر ❑ کنترل دسترسی به سرویس شخص درخواست کننده امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 5 محدویتهای دیواره آتش ❑ دیواره آتش نمی توانند با حمالت زیر مقابله کنند: ▪ حمالتی که از فایروال عبور نمی کنند. ▪ اتصال کارکنان از طریق Dial-up ▪ خطرات داخلی ▪ کارمندان ناراضی یا ساده لوح ▪ ممانعت کامل از انتقال ویروس ها و فایل های اجرایی مخرب ▪ با توجه به تنوع سیستم های عامل و انواع فایل های مورد پشتیبانی ان ها امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 6 شمای کلی دیواره آتش Router Enterprise Internet LAN Web Mail Server Server DMZ Network Firewall Firewall 1403-1404 نیم سال اول تحصیلی، دانشگاه بیرجند، مریم آزادمنش،امنیت شبکه 7 افرازهای منطقی ❑ افراد درون سازمان :هر فردی درون سازمان فرض میشود که امن است. ❑ افراد بیرون سازمان :افراد غیر امن و تهدیدها در بیرون سازمان قرار دارند. ❑ :)Demilitarized Zone( DMZمحل قرارگیری سرورهای ضروری اما خطرناک ❑ نقطه خوبی برای سرورهای ایمیل ،وب ❑ افراد خارج از سازمان میتوانند ایمیل ارسال کنند ،یا صفحات وب را بازیابی کنند. ❑ افراد درون سامان میتوانند ایمیل بازیابی کنند ،صفحات وب را به روز کنند. ❑ این ماشینها باید به دقت نظارت شوند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 8 انواع دیواره آتش ❑ Packet filter ❑ Application-Level Gateways ❑ Circuit-level Gateways امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 9 Packet Filters ❑ مبتنی بر روترها هستند و ارزان هستند. ❑ هر بسته منفرد پذیرفته میشود یا رد میشود؛ هیچ اطالعات زمینهای استفاده نمیشود. ❑ برای هر بسته سرآیند IPو سرایند الیه انتقال ( )TCP/UDPبررسی میشود. ❑ مزیت آن سادگی است ❑ عیب آن این است که معموال اصول اولیه ناکافی هستند و قوانین مختلف ممکن است در تقابل یکدیگر باشند و برای سرویسهای مشابه FTPضعیف عمل میکنند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 10 Packet Filters ❑ تصفیه بسته ها در این نوع دیواره آتش بر اساس فیلتر های زیر صورت می گیرد: ▪ نوع پروتکل ()ICMP ،TCP ،IP ▪ ادرس IPمبدا و مقصد ▪ پورت مبدا و مقصد ▪ حالت ارتباط (پرچم های RST ،ACK ،SYNو )... ▪ زمان :فعال کردن سرویس در یک بازه زمانی خاص ▪ واسط ورودی و خروجی (eth1 ،eth0 امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 11 Packet Filters امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 12 تنظیم قوانین دیواره آتش ❑ عمل: ▪ :)Pass( Permitبه بسته اجازه عبور بدهیم. ▪ :)Block( Denyحذف بستهها ❑ جهت: ▪ مبدا (بسته از کجا آمده است) یا شبکه ▪ مقصد (بسته به کجا میرود) یا شبکه ❑ پروتکل: ▪ UDP ،TCP ❑ Flagهای بسته: ▪ RST ،SYN ،ACKو .... امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 13 بدون حالت اجرا می شود. ❑ ما میخواهیم به اتصاالت Outboundاجازه دهیم. ❑ ما باید به بستههای پاسخ اجازه دهیم. ❑ برای ،TCPاین کار میتواند بدون حالت انجام شود. ❑ در اولین بسته اتصال TCPفقط SYNبا مقدار یک تنظیم شده است. ❑ در همه سایر بستهها ACKتنظیم میشود. ❑ راهکار :به همه بستههایی که بیت ACKآنها یک است ،اجازه ورود بدهیم. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 14 مثالهایی از نمونههای فیلترینگ تنظیم دیواره آتش سیاست ()Policy همه بستههای خروجی که شماره پورت مقصد 80استDrop ، هیچ دسترسی وبی به خارج شبکه نباشد. شود. همه بسته های TCP SYNکه وارد شبکه میشوند را DROP ترافیک های TCPکه وارد شبکه میشود تنها به سرور وب با کن مگر اینکه آدرس IPمقصد ان 07.244.203130.2باشد و آدرس 130.207.244.203باشد. پورت مقصد 80باشد. Dropکردن هر بسته ICMPکه می خواهد از شبکه خارج جلوگیری از اینکه کسی شبکه را Traceکند. شود. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 15 یک نمونه قانون ❑ ما میخواهیم spammersها را بالک کنیم ،اما میخواهیم اجازه دهیم که سایرین به gatewayما ایمیل ارسال کنند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 16 یک نمونه قانون ❑ ما میخواهیم به همه مکالمات از داخل شبکه با mail gatewayهای از راه دور اجازه دهیم. اشتباه ❑ ما روی انتخاب شماره پورت hostاز راه دور کنترلی نداریم.هر فرایند از راه دوری روی پورت 25میتواند با ما تماس بگیرد. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 17 یک نمونه قانون ❑ ما میخواهیم به همه مکالمات با mail gatewayاز راه دور اجازه دهیم. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 18 مشکالت مربوط به دیوارههای آتش بدون حالت ❑ در UDPهیچ مفهومی از اتصال وجود ندارد. ▪ در تعریف قواعدی مثل اینکه تنها اتصاالت خروجی مجاز باشد ،دچار ضعف است. ▪ اتصاالتی که شروعکننده ارتباط از درون شبکه باشد. ❑ بستههای ICMPمعموال برای اعالن مشکل در یک اتصال TCPو UDPتوسط مسیریابها ارسال میشود. ▪ دیواره آتش بدون حالت نمیتواند ارتباط بین این اتصاالت را درک کند. ▪ اگر تنها اتصاالت خروجی مجاز باشد ،این بستهها توسط دیواره آتش فیلتر میشود. ❑ در پروتکلهایی مثل FTPدو کانال کنترلی و داده وچود دارد(.یک اتصال TCPروی هر یک) ▪ دیواره آتش بدون حالت نمیتواند ارتباط بین این دو اتصال را درک کند. ▪ اگر تنها اتصاالت خروجی مجاز باشد ،پروتکل FTPممکن است دچار مشکل شود. ❑ و .... امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 19 دیواره آتش دارای حالت ❑ بسیاری از مسائل packet filterساده را حل میکند. ❑ برای هر اتصال ،یک حالت ( )stateدر دیواره آتش نگهداری میشود. ▪ هنگامی یک بسته به بیرون میرود ،حالت اتصال ثبت میشود. ▪ برای بستههای ورودی بررسی میشوند که متعلق به کدام حالت ثبت شده هستند. ❑ میتواند درخواست/پاسخ UDPرا مدیریت کند. ❑ میتواند بستههای ICMPمرتبط با اتصاالت را مدیریت کند. ❑ معموال در کنار NATپیادهسازی میشود. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 20 Application Gateway ❑ Packet filterقادر به دفاع در برابر حمالت الیه باالتر نیست. ❑ Application Gateway ▪ بیشتر به عنوان proxy serverاطالق می شود. ▪ اصوال نقش واسط انتقال ترافیک در الیه کاربرد را ایفا می کند: ▪ کاربر از proxyتقاضای سرویس می کند. ▪ Proxyصالحیت کاربر برای استفاده از سرویس را بررسی می کند. ▪ Proxyبا سرور اصلی تماس می گیرد و قطعات TCPرا منتقل می کند. ▪ اگر کد سرویس مدنظر proxyپیاده سازی نشده باشد ،سرویس غیر قایل دسترس خواهد بود. ▪ Application Gatewayمیتواند در سطوح مختلفی پیادهسازی شود. ▪ کارکردن در سطح )SMTP (RFC 2821یا در سطح محتوای ایمیل ()RFC 2822 امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 21 Application Gateway امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 22 Application Gateway ❑ مزایا: ▪ تنها با لیست محدودی از برنامههای کاربردی سر و کار دارد. ▪ امکان تصفیه بر اساس محتوای بستههای وجود دارد. ▪ به طور کلی میتوان گفت امنیت بیشتری فراهم میکند. ❑ معایب: ▪ سربار بوجود امده برای ایجاد هر اتصال ▪ طرفین با هم ارتباط مستقیم ندارند. ▪ با تغییر proxy serverها ممکن است مجبور به تغییر پیکربندی شبکه باشیم. ▪ در مجموع کارایی کمتری دارد. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 23 Circuit Gateway ❑ Circuit gatewayدر الیه انتقال کار می کند(.هرچند که استثنا وجود دارد). ❑ اطالعات آدرس IPو شماره پورت موجود در سرایند ( TCPیا )UDPرا بررسی می کند تا به یک hostداخلی و hostخارجی اجازه ایجاد اتصال بدهد یا ندهد. ❑ ترافیک بدون کنترل محتوای داخلی آن منتقل می شود. ❑ صرفا کنترل میشود که یک ارتباط برقرار شود یا نه. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 24 نحوه عملکرد Circuit Gateway ❑ Circuit gatewayابتدا نشست ( TCPیا )UDPرا بررسی می کند. ❑ سپس یک اتصال مجزا با HOSTداخلی و HOSTخارجی ایجاد می کند. ❑ یک جدول از اتصاالت معتبر نگهداری میکند و بسته ورودی در هر جهت را در جدول ارزیابی میکند. ▪ یک بسته مجاز به عبور است اگر متعلق به یک اتصال در جدول باشد ،در غیر این صورت بالک می شود. ❑ هنگامی که نشست پایان می یابد ،مدخل مرتبط حذف میشود و مدار بسته میشود. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 25 نحوه عملکرد Circuit Gateway ❑ HOSTخارجی نمی تواند به طور مستقیم با HOSTداخلی ارتباط برقرار کند. ❑ تنها می تواند با GATEWAYارتباط برقرار کند و GATEWAYدر صورت مجازشماری با CLIENTارتباط برقرار می کند. ❑ GATEWAYکامپیوترهای داخلی از دید خارج پنهان می کند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 26 نحوه عملکرد Circuit Gateway امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 27 مکانیزمهای امنیتی در شبکه ❑ دیوارهآتش ❑ سیستم تشخیص نفوذ ❑ تله عسل ❑ شبکههای خصوصی مجازی ()VPN امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 28 سیستم تشخیص نفوذ ()IDS ❑ تشخیص نفوذ ()Intrusion detection ▪ فرایند نظارت بر وقایع رخ داده در یک شبکه و یا سیستم کامپیوتری در جهت کشف موارد انحراف از سیاست های امنیتی ❑ سیستم تشخیص نفوذ ()Intrusion detection system ▪ یک نرم افزار با قابلیت تشخیص ،آشکارسازی و پاسخ (واکنش) به فعالیت های غیرمجاز یا ناهنجار در رابطه با سیستم. ▪ مثالهایی از سیستمهای تشخیص نفوذ در جهان واقع :دزگیر ماشین و خانه ،سیستمهای نظارتی و ... امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 29 وظایف سیستم تشخیص نفوذ ❑ جلوگیری از رفتارهای مشکل زا با مشاهده خطرات کشف شده ❑ تشخیص و مقابله با مقدمات حمله ❑ ثبت تهدیدات موجود برای یک سازمان ❑ اطالعات مفیدی دریاره تهاجمات و نفوذهایی که واقع می شوند ،ارائه می دهد و امکان عیب یابی ،کشف و تصحیح عامل های سبب شونده را فراهم می کند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 30 نیازمندیهای IDS ❑ سرعت باال ،نظارت به حجم باالی داده ▪ از دست رفتن بسته رخ ندهد ❑ اخطارهای بالدرنگ ❑ حمالت مختلفی را تشخیص بدهد. ❑ در استفاده از منابع اقتصادی باشد. ❑ مقاوم در برابر stressباشد. ❑ نسبت به حمالتی که روی خودش هم انجام میشود ،مقاوم شود. ▪ سوء استفاده از واکنش IDS امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 31 معماری سیستم تشخیص نفوذ امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 32 دستهبندی سیستم تشخیص نفوذ IDS استقرار روش تحلیل واکنش به نفوذ زمانبندی تحلیل تشخیص سوء تشخیص ناهنجاری مبتنی بر میزبان محل قرارگیری استفاده فعال غیرفعال بالدرنگ دورهای دسته ای Anomaly Host based Network based Misuse Active Passive Real-time Periodic Batch Detection Detection معماری متمرکز غیرمتمرکز Centralized Distributed 33 امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 استقرار سیستم تشخیص نفوذ ❑ استقرار سیستم تشخیص نفوذ ▪ مبتنی بر شبکه )(NIDS ▪ مبتنی بر میزبان ()HIDS ❑ مبتنی بر شبکه )(NIDS نظارت و تحلیل ترافیک کل شبکه ▪ ▪ مشاهده تخطی از پروتکلها و الگوهای اتصال غیرمعمول نظارت بر فعالیت کاربران ▪ ▪ بررسی دادههای بستهها و اطالعات سرآیند برای مشاهده توالیهای دستور بدخواه مزیت ▪ ▪ دیدگاه عمومی از حمالت به شبکه معایب ▪ ▪ عدم توانایی در تحلیل اطالعات رمز شده ▪ آنچه IDSمشاهده میکند ،ممکن است آنچه به سیستم نهایی میرسد ،نباشد. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 34 استقرار سیستم تشخیص نفوذ ❑ حمله درج ( ،)Insertion Attackحملهای است که برای دور زدن IDSاستفاده میشود. )3حمله کننده )1حملهکننده قطعه قطعه 3را ارسال یک را ارسال میکند. میکند. )2حمله کننده قطعه 2را با TTL=1 )4حملهکننده قطعه ارسال میکند.قطعه دو را با TTLمناسب به IDSمیرسد.اما دوباره ارسال میکند. مسیریاب میانی به NIDSبه دلیل دلیل صفر شدن تکراری بودن قطعه TTLآن را دور آن را دور میاندازد، میاندازد. اما قربانی قطعه جدید را دریافت میکند. 35 استقرار سیستم تشخیص نفوذ ❑ در حمله درج ( ،)Insertion Attackآنچه که قربانی دریافت میکند با آنچه که NIDSمشاهده میکند ،یکی نیست. ❑ دلیل این حمالت عدم یکسانبودن پیادهسازی پروتکلها و سیستم عاملها و ابهامات در آنها است. ▪ راهکارهای مقابله ▪ نرمالسازی ▪ در نظر گرفتن سرهمبندیهای مختلف بستهها ❑ نظارت بر میزبان ()HIDS ▪ استفاده از مکانیسمهای ممیزی سیستم عامل ▪ نظارت بر فراخوانیهای سیستمی انجام شده توسط یک برنامه ▪ نظارت بر فعالیتهای کاربر ▪ نظارت بر اجرای برنامههای سیستم امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 36 استقرار سیستم تشخیص نفوذ ❑ نظارت بر میزبان ()HIDS ▪ مزایا ▪ کشف حمالتی که از طریق شبکه قابل شناسایی نیستند. ▪ قابلیت عمل در محیطی که ترافیک شبکه در آن رمز شده ▪ IDSباید سرهمبندی بستهها را به صورت کامل انجام دهد. ▪ معایب ▪ امکان غیر فعال شدن سیستم در بخشی از حمله ▪ نیاز به انباره زیاد برای ذخیره اطالعات ▪ سربار محاسباتی برای میزبان امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 37 روش تحلیل سیستم تشخیص نفوذ ❑ روش تحلیل سیستم تشخیص نفوذ ▪ تشخیص سوء استفاده ()Misuse Detection ▪ تشخیص ناهنجاری ()Anomaly Detection ❑ تشخیص سوء استفاده ()Misuse Detection ▪ شناخت حمالت موجود ▪ تعریف الگوی حمالت برای موتور تحلیل ▪ جستجوی مجموعه ای از وقایع که با یک الگوی از پیش تعریف شده مطابقت دارد. ▪ نیاز به بروزرسانی الگوهای حمله ▪ روشهای پیاده سازی :سیستم خبره ،روش های مبتنی بر گذار حاالت و ... امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 38 روش تحلیل سیستم تشخیص نفوذ ❑ تشخیص ناهنجاری )(Anomaly Detection ▪ شناخت عملکرد نرمال سیستم ▪ تهیه نمایه هایی از رفتار نرمال سیستم برای موتور تحلیل ▪ جستجوی فعالیت غیرنرمال ▪ روش های پیاده سازی :روش های آماری ،شبکه های عصبی و ... ❑ مقایسه روش تشخیص ناهنجاری و تشخیص سوء استفاده 39 واکنش به نفوذ در سیستم تشخیص نفوذ ❑ واکنش به نفوذ در سیستمهای تشخیص نفوذ ▪ فعال ()IPS ▪ غیر فعال ()IDS ❑ سیستمهای IDSسنتی تنها نفوذ را تشخیص میدادند و به مدیر سیستم هشدار میدهد. ❑ سیستمهای تشخیص نفوذ ممکن است فعاالنهتر باشند و به صورت خودکار به فعالیتهای نفوذ تشخیص داده شده پاسخ دهند. ❑ به این سیستمهای IPSسیستمهای جلوگیری از نفوذ گفته میشود. ❑ یک IPSمیتواند به صورت خودکار قوانین محیطی شبکه را تغییر دهد ،سیستمهای آسیبدیده را جدا کند و سرویسها را خاموش کند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 40 واکنش به نفوذ در سیستم تشخیص نفوذ ❑ IPSدر خط جریان بسته و بعد از دیواره آتش قرار میگیرد. ❑ NIDSبه صورت موازی در شبکه قرار میگیرد. ❑ اگر ناهنجاری امنیتی مشاهده کندIDS ،هشدار میدهد ،اما قادر نیست که ترافیک را مسدود کند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 41 NIDSو IPS ❑ استفاده از IPSو IDSبه طور همزمان در شبکه امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 42 زمانبندی تحلیل در سیستم تشخیص نفوذ ❑ : Real-time detectionبا ورود داده آن را تحلیل میکند. ❑ :Batch dataوقتی اندازه داده به اندازه مشخصی رسید ،آن را تحلیل میکند. ❑ :Periodic detectionبه صورت دورهای در زمان مشخصی تحلیل میکند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 43 مکانیزمهای امنیتی در شبکه ❑ دیوارهآتش ❑ سیستم تشخیص نفوذ ❑ تله عسل ❑ شبکههای خصوصی مجازی ()VPN امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 44 تله عسل ❑ یک منبع سیستم اطالعاتی که ارزش آن در استفاده غیرمجاز یا غیر قانونی از آن منبع است. ❑ هر وسیله ،سیستم ،دایرکتوری یا فایلی که به عنوان طعمه ای برای فریب مهاجمان از منحرف کردن دارایی های مهم و ماشینهای با ارزشتر شبکه و جمع آوری رفتارهای نفوذی استفاده می شود. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 45 چرا تله عسل؟ ❑ ساخت امضاهای آنتی ویروس ❑ ساخت امضاهای SPAMو فیلترها ❑ شناسایی سیستمهای آلوده ❑ کمک به مجریان قانون برای ردیابی مجرمان ❑ شناسایی و خاموش کردن botnetها ❑ جمعآوری و تجزیه و تحلیل بدافزار ()Maleware امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 46 تله عسل ❑ تله عسل در پیشگیری ،تشخیص ،واکنش و پژوهش موثر است. ❑ پیشگیری ▪ کند کردن سرعت عملیات نفوذگر و توقف حمله ▪ مثال :عکس العمل نشان دادن به ادرس هایی که در شبکه موجود نیست. ❑ تشخیص ▪ کشف و شناسایی نقص های شبکه ▪ به دلیل حجم داده کم و توانایی عملکرد در محیط های رمز شده بهتر از IDSعمل می کند. . امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 47 تله عسل ❑ پاسخ ▪ همیشه فقط فعالیت های غیرفانونی ذخیره می شود. ▪ تجزیه و تحلیل ان ساده است. ▪ می توان در برابر حمله پاسخ سریع و موثری داد. ❑ پژوهش ▪ برای تحقیقات در زمینه امنیت شبکه به کار می رود. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 48 تله عسل ❑ مزایا ▪ مجموعه داده کم و با ارزش باال دارد. ▪ کاهش False positive ▪ شناسایی حمالت جدید ()False negative ▪ در محیطهای رمزشده کار میکند. ▪ مفهومسادهای که منابع کمی دارد. ❑ معایب ▪ میدان دید محدود ▪ ریسک (به ویژه در )High-interaction امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 49 انواع تله عسل ❑ تعامل کم ()Low-interaction ▪ کاربردها ،سرویسها و سیستم عامل شبیهسازی میشود. ▪ ریسک کمی دارد ،به آسانی قابل پیادهسازی و نگهداری است ،اما اطالعات محدودی را دریافت میکند. ❑ تعامل باال ()High-interaction ▪ کاربردها ،سرویسها و سیستم عامل واقعی ▪ اطالعات زیادی دریافت میکند ،اما ریسک باالیی دارد و نگهداری آن سخت است. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 50 Honeyd ❑ ،Honeydیک تله عسل مجازی با تعامل کم است. ▪ سرویسهای دلخواه TCP/UDPرا شبیهسازی میکند. ▪ میتوان نحوه رفتار آن ( )personalityرا به گونهای تنظیم کرد که به نظر برسد سیستم عامل خاصی در حال اجرا است. ▪ تنها پشته شبکه شبیهسازی شده است و نه سیستم عامل. ▪ ابزارهای fingerprintingمثل NMAPو Xprobeرا میتواند فریب دهد. ▪ از چندین آدرس IPبه صورت همزمان حمایت میکند. ▪ یک hostمیتواند ادعا کند که چندین IPاست (تا 65536آدرس امتحان شده است) امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 51 Honeyd ❑ ،Honeydیک تله عسل مجازی با تعامل کم است. ▪ از ICMPحمایت میکند(.ماشینهای مجازی به pingو tracerouteپاسخ میدهند). ▪ از یکپارچهسازی با سیستمهای واقعی حمایت میکند(.سرویس را میتوان proxyو هدایت کرد ())redirect ▪ شبیه سازی شبکه با توپولوژیهای مسیریابی دلخواه با خصوصیات قابل تنظیم لینک مثل latencyو packet loss ▪ ابزارهای networking mappingمثل tracerouteتنها توپولوژی شبیهسازی شده را کشف میکنند. ▪ از loggingحمایت میکند. ▪ Logساده connection ▪ Logکامل بسته امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 52 معماری Honeyd ❑ پایگاه داده تنظیمات ▪ ذخیره تنظیمات مرتبط با هر IPمرتبط با honeypotهای مجازی ❑ Packet Dispatcher ▪ درخواست تنظیمات آدرس IPمربوط از پایگاه داده تنظیمات ▪ بررسی طول بسته IPو checksum ▪ تحویل بسته به Protocol handler امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 53 معماری Honeyd ❑ Protocol handler ▪ :ICMP handlerحمایت از اکثر درخواستهای ICMPبا توجه به تنظیمات ▪ TCP handlerو UDP handler ▪ برای پورتهای باز ایجاد اتصال به سرویسها (سرویسهای شبیهسازی شده یا redirectبه سرویس واقعی) ▪ برای پورتهای بسته در صورت مجاز بودن ،ارسال پیغام ICMP Port Unreachable ❑ Personality Engine ▪ تنظیم محتوای بستهها مطابق با پشته پروتکل سیستم عامل تنظیم شده قبل از ارسال بسته به شبکه ❑ Routing ▪ زمانیکه که Honeydتوپولوژی شبکه را شبیهسازی میکند ،استفاده میشود. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 54 Honeynets ❑ Hoenynetیک Honeypotبا تعامل باال است. ❑ Honeynetیک شبکه است که هدف اصلی آن تحلیل بهرهبردایها از آسیبپذیریهای جدید سیستم روی شبکه است. ❑ هر ترافیکی که وارد یا خارج شود ،مشکوک است. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 55 عملکرد Honeynet ❑ یک شبکه بسیار کنترلشده که در آن هر بستهای که وارد یا خارج میشود ،نظارت ،ضبط و تجزیه و تحلیل میشود. ▪ Data Control ▪ Data Capture ▪ Data Analysis امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 56 معماری Honeynet ❑ Honeywall ▪ Gateway deviceدر Honeynetاست. ▪ نقطه اصلی ورود و خروج همه ترافیک شبکه Honeynet ▪ امکان کنترل و تحلیل کامل همه ترافیک شبکه به/از Honeynet امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 57 کنترل داده در Honeynet ❑ فیلترکردن ترافیک خروجی ▪ محدود کردن نرخ برای محافظت شبکه خارج از Honeynetدر برابر حمالت DOS ▪ معموال با استفاده از Iptables ❑ جلوگیری از نفوذ ▪ به صورت فعاالنه مانع از حمالت خطرناک به خارج از Honeynetمیشود. ▪ با استفاده از )Snort-inline( NIPS امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 58 کنترل داده در Honeynet امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 59 Data Captureدر Honeynet ❑ همه فعالیتها در سطوح مختلف را میگیرد. ▪ فعالیت کاربرد ▪ فعالیت سیستم ▪ فعالیت شبکه امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 60 Sebekدر Honeynet ❑ ماژول پنهان کرنل که همه فعالیتهای hostرا captureمیکند. ❑ فعالیت به شبکه فرستاده میشود. ❑ حملهکننده نمیتواند هیچیک از بستههایی که منشا آن Sebekاست را Sniffکند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 61 معماری Sebekدر Honeynet امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 62 حمالت در Honeypot ❑ نفوذ )(Compromising ▪ Honeypotمعموال در LANمجزای مجاور با زیرساخت حیاتی شبکه قرار میگیرد. ▪ نقطه شروع خوبی برای حمالت داخلی ❑ مسموم کردن )(Poisoning ▪ فراهمکردن اطالعات اشتباه ▪ محو کردن اطالعات ارزشمند با تولید نویز امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 63 حمالت در Honeypot ❑ جاسوسی ▪ فرض کنید به یک Honeypotنفوذ شود ▪ اطالعات فردی افشا میشود (نام فرد ،ساعتهای کاری ،سطح تحصص) ▪ اطالعات درون سازمان افشا میشود. ▪ اگر Honeypotفقط سیستم ویندوز را شبیهسازی کند. ▪ اگر Oracle ،Honeypotرا شبیهسازی کند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 64 تشخیصHoneypot ❑ ویژگیهای فنی Honeypot ▪ زمانهای پاسخ ،بنرها ( )bannersو پارامترهای ناسازگاری ❑ ویژگیهای اجتماعی سیستم مثل تعامل کاربران ▪ در یک بازه طوالنی مدت هیچ فایلی در سرور ایجاد نشده است یا به هیچ فایلی در سرور تقاضای دسترسی داده نشده است. ❑ Network sniffing ▪ بستههایی که به/از سیستم ارسال میشونددریافت میشوند. ❑ جستجو برای ردپایی از Vmware ▪ Vmwareمعموال یک platformمحبوب برای Honeypot امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 65 تشخیصHoneynet ❑ جستجو برای ابزارهای مخصوص Honeypotمثل sebek ❑ جستجو برای فایلهای logو تاریخچهها ▪ فقط انسانهای بد اشتباه نمیکنند. ❑ آسیبپذیریهایی که در Honeypotوجود دارد (فقط در )low-interaction امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 66 مکانیزمهای امنیتی در شبکه ❑ دیوارهآتش ❑ سیستم تشخیص نفوذ ❑ تله عسل ❑ شبکههای خصوصی مجازی ()VPN امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 67 شبکههای خصوصی مجازی ()VPN ❑ سازمان های چند سایتی ( ،)multi-site organizationsشبکه های خصوصی را با استفاده از خطوط اجاره ای اداره می کردند.این رویکرد پرهزینه و غیر قابل انعطاف بود. ▪ راهکار ارزانتر استفاده از اینترنت اشتراکی به جای خطوط ارتباطی اختصاصی بود. ❑ VPNیک نوع شبکه خصوصی است که از ارتباطات عمومی مثل اینترنت (به جای خطوط اجارهای اختصاصی) استفاده میکند. ▪ شبکه است :تبادل اطالعات بین موجودیت های ( )entityمختلفِ شبکهی خصوصی مجازی. ▪ خصوصی است :ویژگیهای شبکه خصوصی را دارد یعنی از مجموعه بستهای از کاربران مجاز پشتیبانی میکند و به آنها امکان دسترسی به خدمات و منابع محتلف مرتبط با شبکه را میدهد(.احراز هویت دسترسی کاربر).همچنین داده به صورت خصوصی و رمز شده مبادله میشود.در بسیاری از موارد حریم خصوصی کاربر هم حفظ میشود (به عنوان مثال آدرس ipواقعی فرستنده رمز میشود). امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 68 شبکههای خصوصی مجازی ()VPN ❑ VPNیک نوع شبکه خصوصی است که از ارتباطات عمومی مثل اینترنت (به جای خطوط اجارهای اختصاصی) استفاده میکند. ▪ مجازی است :یک توپولوژی مجازی روی زیرساخت شبکه فیزیکی موجود و مشترک ساخته شده است.برای ایجاد یک ارتباط نقطه به نقطه بین نودهای شبکه مجازی ،دادهها با سرایندی که اطالعات مسیریابی را برای رسیدن به نقطه انتهایی فراهم میکند ،کپسوله میشود. ❑ VPNمیتواند عملکردهای زیر را فراهم کند: ▪ محرمانگی :با رمزنگاری دادهها ،از شنود غیرمجاز آن جلوگیری شود. ▪ احراز هویت :تایید اینکه کاربر ،روتر یا دیواره اتش یک ترافیک VPNارسال میکند ،قانونی است. ▪ صحت :تایید اینکه بسته VPNبه نحوی در حین ارتباط تغییر نکرده است. ❑ VPNها نمیتوانند مانع تحلیل ترافیک شود و اطالعاتی نظیر اندازه بستهها ،زمان استفاده از شبکه ،دو نقطه انتهایی مذاکره ،افشا میشود. ❑ VPNمیتواند برای دور زدن خط مشی سازمان با کپسولهکردن ترافیک ممنوعه و رمزکردن آن در یک بسته دیگر به کار رود. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 69 شبکههای خصوصی مجازی ()VPN ❑ Tunneling ▪ به طور نمونه یک VPNشامل مجموعه ای از اتصاالت نقطه به نقطه است که از طریق اینترنت تونل می شوند. ▪ روترهای میانی در اینترنت که این ترافیک را حمل می کنند ،هر اتصال P2Pرا به عنوان دنباله ای از بسته های مسیریابی بین نقاط پایانی می بینند. امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 70 شبکههای خصوصی مجازی ()VPN ❑ Encapsulation ❑ به منظور دستیابی به تونل سازی ،بسته ها شامل محتوای بسته ،آدرس های ورودی و خروجی ،شماره پورت ها و سایر سرایندهای بسته پروتکل استاندارد ،به عنوان محتوای بسته های که توسط مسیریابهای حامل اتصال مشاهده می شود، کپسوله می شوند. ایجاد تونل در الیه سه پشته پروتکل با استفاده از پروتکل IPSEC ایجاد تونل در الیه دو شبکه با پروتکل PPTP امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 71 شبکههای خصوصی مجازی ()VPN عملکرد شبکه خصوصی مجازی به پروتکل استفاده شده بستگی دارد ،اما به طور کلی میتوان مراحل زیر را در نظر گرفت: (1تنظیم سیاستهای امنیتی ،مجوزهای کاربران ،تعیین مسیرهای شبکه (2مرحله آغازین (مرحله مذاکره) :شامل احراز هویت کاربر ،توافق روی نسخه پروتکل امنیتی ،الگوریتم رمزنگاری ،روش مبادله کلید (3مبادله و تولید کلیدهای برای ایجاد تونل امن (4انتقال داده از طریق تونل امن (5حفظ ثبات اتصال با ارسال پیغامهای keep alive message (6پایان اتصال و آزاد سازی منابع امنیت شبکه ،مریم آزادمنش ،دانشگاه بیرجند ،نیم سال اول تحصیلی 1403-1404 72 پایان امنیت سایبری-مریم آزادمنش-دانشگاه بیرجند 73
