ﻪﮑﺒﺷ و هداد ﺖﯿﻨﻣاce.sharif.edu/courses/93-94/1/ce442-1/resources/... · ( )...

شبکه شریف داده و تیمرکز امنhttp://dnsl.ce.sharif.edu

امنیت داده و شبکه

مفاهیم و تعاریف اولیه

94-93نیمسال اول -مرتضی امینی

)http://dnsl.ce.sharif.edu( شبکه شریف داده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی

فهرست مطالب

محتواي درس ضرورت امنیت داده و شبکه مفاهیم اولیه امنیت دشواري برقراري انواع و ماهیت حمالت سرویس هاي امنیتی مدلهاي امنیت شبکه

2


کندیم ین درس بررسیآنچه ا

ردی گیر را در بر میم زین درس مفاهیا: تهدیدهاي امنیتی یتیامن يازهاین یتیخدمات امن یتیامن يها ها و پروتکل زمیمکان يا بر رویره شده و یکامپیوترها ذخ يکه بر رو ییداده ها يبرا

. شوندیشبکه انتقال داده م

3


موضوعات تحت پوشش درس

یتیدات امنیتهد یمقدمات يرمزنگار مکانیزم هاي پیشگیري مکانیزم هاي تشخیص امن يمبانی طراحی پروتکل ها مبانی پروتکل هاي امنیت شبکه

4


موضوعات خارج از محدوده پوشش درس

شرفتهیپ يرمزنگار روشهاي هک و نفوذ اصول نظري در امنیت اطالعات ...

5



محتواي درس ضرورت امنیت مفاهیم اولیه امنیتدشواري برقراري سرویس هاي امنیتی انواع و ماهیت حمالت مدلهاي امنیت شبکه

6


ست؟یت چیامن

ما يعبارتست از حفاظت از آنچه برا) طور غیر رسمی(ت به یامن . ارزشمند است

يدر برابر حمالت عمد در برابر نفوذ غیرعمدي

7


یتیاقدامات امن

پیشگیري(Prevention): جلوگیري از خسارت تشخیص و ردیابی(Detection & Tracing):

تشخیص(Detection) میزان خسارت هویت دشمن زمان، مکان، دالیل حمله، نقاط ضعف(کیفیت حمله (...

واکنش(Reaction): ترمیم، بازیابی و جبران خسارات جلوگیري از حمالت مجدد

8


یتیاقدامات امن

تشخیصDetection

واکنشReaction

پیشگیريPrevention

9


گذشته و حال: ت اطالعاتیامن

قفل دار ياطالعات در قفسه ها ينگهدار امن يقفسه ها در مکان ها ينگهدار استفاده از نگهبان یکیالکترون يستم هایاستفاده از س

نظارتیتیریو مد یکیزیف يروشها: یبه طور کل

وترهایاطالعات در کامپ ينگهدار ن یب يا ارتباط شبکه يبرقرار

وترهایکامپ وترها و یت در کامپیامن يبرقرار

ها شبکه

یت اطالعات سنتیامن نینو يایت اطالعات در دنیامن

10


نیازهاي امنیتی

بنابراین : ،شد امنیت با حضور فیزیکی و نظارتی تامین میدر گذشته،

ولی

براي حفاظت و مکانیزم هاي هوشمند خودکار هاياز ابزارامروزه .استفاده می شود ها از داده

11


CERTمنتشر شده توسط آمار CERT (Computer Emergency Response Team)

132 1,334 3,7349,859

21,756

52,658

82,094

137,529

0

20,000

40,000

60,000

80,000

100,000

120,000

140,000

89 90 91 92 93 94 95 96 97 98 99 '00 '01 '02 '03

تعدادوقاعی

سال

12


ابزار مهاجمان

LOW 1980 1990 2000

High

Password Guessing

Self Replicating Code Password Cracking

Exploiting Known

Vulnerability Disabling Audits

Back Doors Sweepers

DDoS Sniffers

Packet Forging Spoofing Internet Worms

ابزار مهاجمان

دانش مهاجمان

13


گذشته و حال: نیازهاي امنیتی

از دو نمودار قبلی بخوبی پیداست: تعداد حمالت علیه امنیت اطالعات به طور قابل مالحظه اي افزایش

.یافته است امروزه تدارك حمله با در اختیار بودن ابزارهاي فراوان در دسترس به

).بر خالف گذشته(دانش زیادي احتیاج ندارد

14

)http://dnsl.ce.sharif.edu( شبکه شریفداده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی

)1(انگلیس BIS نگاهی به گزارش

68%

52%

35%

60%

81%

0% 20% 40% 60% 80% 100%

سازمانهاي کوچک -2010




سازمانهاي بزرگ -2014

حوادث امنیتی بدخواهانه در سازمانها

15

)http://dnsl.ce.sharif.edu( شبکه شریفداده و تیامنمرکز امنیت داده و شبکه 94-93اول نیمسال -مرتضی امینی

)2(انگلیس BIS نگاهی به گزارش

43%

41%

16%

41%

66%

73%

47%

59%

33%

22%

10%

45%

55%

58%

44%

73%

0% 20% 40% 60% 80%

حمالت از خارج سازمان

دیگر حوادث ناشی از پرسنل داخلی

دزدي و کالهبرداري

افزارهاي مخرب آلودگی به ویروس و نرم

انواع حوادث رخ داده در سازمانها

2013 -سازمانهاي کوچک 2013 -سازمانهاي بزرگ 2014 -سازمانهاي کوچک 2014 -سازمانهاي بزرگ 16


)3(انگلیس BISنگاهی به گزارش

سازمانهاي بزرگ )میلیون تومان معادل به(

سازمانهاي کوچک )میلیون تومان معادل به(

تسلسل و وقفه در کسب و کار 312 – 208 3380 – 1820

زمان صرف شده براي مقابله با حادثه 46/8 – 15/6 176/8 – 62/4

هاي مستقیم مقابله با حادثه هزینه 88/4 – 46/8 702 – 416

و غرامت پرداختی به تنظیم مقررات جریمه 20/8 – 10/4 208 – 124/8

و کسب و کار) شامل حق مالکیت معنوي(خسارات مالی 88/4 – 44/2 644/8 – 452/4

لطمه به شهرت و اعتبار 41/6 –8/32 936 – 260

)2014(متوسط کل هزینه یک حادثه سنگین امنیتی 598 – 338 5980 – 3120

)2013(متوسط کل هزینه یک حادثه سنگین امنیتی 338 – 182 4420 – 2340

2014 -هاي مرتبط با یک حادثه سنگین امنیتی در سازمانها متوسط هزینه

17


)1(هاي فیشینگ توزیع سایت

)SIRگزارش ( 2010ماه دوم 6هاي فیشینگ در دنیا در توزیع سایت

18


)2(فیشینگ هاي توزیع سایت

)SIRگزارش ( 2013ماه دوم 6هاي فیشینگ در دنیا در توزیع سایت

19


)1(هاي آلوده توزیع سیستم

)SIRگزارش ( 2010ماهه دوم 3هاي آلوده به بدافزار در دنیا در توزیع سیستم

20


)2(آلوده هاي توزیع سیستم

)SIRگزارش ( 2013ماهه دوم 3هاي آلوده به بدافزار در دنیا در توزیع سیستم

21


)1(ساز هاي آلوده توزیع سایت

)SIRگزارش ( 2010ماهه چهارم 3ساز در دنیا در هاي آلوده توزیع سایت

22


)2(ساز هاي آلوده توزیع سایت

)SIRگزارش ( 2013ماهه چهارم 3ساز در دنیا در هاي آلوده توزیع سایت

23


)1(جنگ سایبري

1991(جنگ عراق و آمریکا(

ایجاد اختالل در سیستم ضدهوایی عراق

توسط نیروي هوایی آمریکا با استفاده از ویروسی با نامAF/91

انتقال از طریق چیپ پرینتر آلوده به ویروس از مسیر عمان و سوریه

ولیکن ! هر چند بعدها درستی موضوع تایید نشد...

24



2007(حمله سایبري روسیه به استونی(

ها ها، و رسانه ها، بانک حمله به وزارتخانه

روِرهاي اداري تحت کنترل روسیهحمله از طریق س

25



2010(اي ایران حمله اسراییل به تاسیسات هسته(

از طریق ویروسStuxnet

هاي کنترل صنعتی و سازي سیستم آلودهPLCها

سازي سانتریفیوژهاي نطنز آلوده: هدف

26



Stuxnet: اي ایران حمله اسراییل به تاسیسات هسته

27



2011(حمله به وزارت امورخارجه ایران(

توسط گروهی موسوم به گروهAnonymous

نفوذ به کارگزارهاي پست الکترونیکی اداره گذرنامه و روادید وزارت امور خارجه

پست الکترونیکی 000,10افشاي محتواي بیش از

28




29


مبانی امنیت داده ها

.پذیري مبتنی است بر تحقق سه ویژگی محرمانگی، جامعیت و دسترس :ها امنیت داده محرمانگی (Confidentiality)

ها داده غیرمجاز افشاي عدم• صحت (Integrity)

غیرمجاز افزارهاي نرم یا افراد توسط ها داده دستکاري عدم•

پذیري دسترس (Availability) هرزمان در و مکان هر در مجاز افراد توسط ها داده به دسترسی•

30

I C

A


محرمانگی

:است نوع دو بر مشتمل خود محرمانگیداده محرمانگی )Data Confidentiality(

غیرمجاز افراد به خصوصی و محرمانه هاي داده اینکه از اطمینان .شوند نمی افشاء

حریم خصوصی)Privacy(

آوري، توانند بر روي امکان و نحوه جمع اطمینان از اینکه افراد میهاي خصوصی خود توسط سازي و انتشار یا افشاي داده ذخیره

.دیگران کنترل و تاثیر داشته باشند

31


محرمانگی

هاي متداول مکانیزم :

اريگنرمز

کنترل دسترسی

My Credit

Card PIN #: 1234

32


صحت

:است نوع دو بر مشتمل خود صحتداده صحت )Data Integrity(

دستکاري غیرمجاز افراد توسط ها برنامه یا و ها داده اینکه از اطمینان .یابند نمی تغییر یا و

صحت منبع)Origin Integrity(

اطالعات) فرستنده(اطمینان از درستی و صحت منبع.

33


صحت

هاي متداول مکانیزم : امضاي دیجیتال کد احراز اصالت پیام کنترل دسترسی

انتقال پول از علی به محمود

انتقال پول از علی به حسین

34


دسترس پذیري

دهی به افراد مجاز در هر مکان سرویسها و دسترسی به داده: تعریف .زمان و در هر

تهیه پشتیبان و نصب سیستم هاي محافظ مناسب: مکانیزم متداول

35


دالیل ناامنی شبکه ها

ضعف فناوري پروتکل، سیستم عامل، تجهیزات •

ضعف تنظیمات راه اندازي رمزنگاري، از استفاده عدم نامناسب، گذرواژه هاي فرض، پیش تنظیمات رهاکردن•

... الزم، تنظیمات اعمال بدون اینترنت هاي سرویس

گذاري ضعف سیاست امنیتی سیاست وجود عدم• مخاطرات بازیابی و مقابله براي طرحی وجود عدم• )فنی و مدیریتی( مناسب امنیتی نظارت نداشتن•

36


يامن ساز

گستره امنیت تمامی منابع سازمان است و نه تنها کارگزار اصلی.

به مسئلۀ امنیت الزم است و نه نگرش فنی مدیریتینگرش.

مهاجمین داخلی و مجاز خطر بالقوة بیشتري دارند.

توان تراکنش امن داشت ها امن فکر نکنند نمی مادام که انسان.

فه خاص و مقطعییک وظیند است نه یک فرآی يساز امن.

37


احراز اصالت، فایروال، . . . رمزنگاري،

هاي تشخیص سیستم. . .نفوذ، تله عسل،

آزمون نفوذ و پذیري آسیب

عملیات شبکه و امنیت

چرخه ایجاد امنیت

مشی خط امنیتی

سازي امن

پایش

تست و آزمون

مدیریت و بهبود

38


امنیت

کارآیی

عملکرد

یت سازمانیامن ياستراتژ

و عملکرد ییت، کارآین امنیمصالحه ب. ت مورد انتظار کاربران؟یزان امنیم قابل تحمل سازمان؟ یزان ناامنیم

39


امنیتی) سیاست(خط مشی

امنیتی )سیاست( مشی خط(Security Policy): امنیتی نیازمندیهاي .نماید می بیان را ارتباطی /اطالعاتی سیستم یک یا و سازمان یک

در تعریف سیاست هاي امنیتی: بدانید تا چه اندازه و در چه نقاطی نیاز به اقدامات محافظتی داریدباید.

و هر یک تا چه حد وجود داردباید مشخص شود که چه نوع اطالعاتی در سازمان .قابل دسترسی براي هر یک از افراد سازمان است

هایی در اجراي اقدامات محافظتی سازمان ولیتؤچه افرادي، چه مس دباید بدانی .دارند

ارتباط این افراد با کاربران عادي سازمان چگونه بوده و چه راهنمایی و .دننبه آنان ارائه کباید هایی در مواقع خطر و بروز ویروس آموزش

40


)Bishopاز ( مفاهیم اولیهتعاریف و

حمله )Attack(: تالش عمدي براي رخنه در یک سیستم یا سوء .استفاده از آن

رخنه )Breach( :نقض سیاست امنیتی یک سیستم

نفوذ )Intrusion( :فرایند حمله و رخنه ناشی از آن

آسیب پذیري )Vulnerability( : ،هر گونه نقطه ضعف در توصیفطراحی، پیاده سازي، پیکربندي، اجرا که بتوان از آن سوءاستفاده

.کرده و سیاستهاي امنیتی سیستم را نقض کرد

41


مفاهیم اولیهتعاریف و

مهاجم و هکر)Attacker and Hacker(

هک)Hack ( در واقع به معنی کنکاش به منظور کشف حقایق و نحوة

.کار یک سیستم است

حمله)Attack (نفوذ به سیستمهاي دیگران و در واقع تالش براي

.خصمانه استهک

Malicious Hacker = Attacker

42


)Stallingsاز( مفاهیم اولیهتعاریف و

حمله امنیتی )Security Attack( :لی که امنیت اطالعات عم .سازمان را نقض می کند

مکانیزم امنیتی )Security Mechanism( : روش درنظرگرفتههر مکانیزم . جلوگیري و بازیابی از حمالت ،شده براي تشخیص

سازي یک سیاست امنیتی امنیتی در واقع یکی از روشهاي پیاده .است

سرویس امنیتی )Security Service( :هاي تضمین سرویس .باال يها زمیبا استفاده از مکان کننده امنیت

43


...)در این درس(تعاریف و مفاهیم اولیه

پذیري آسیب (Vulnerability): یا و شده شناخته رخنۀ یا درز افزار نرم یا افزار سخت عملکرد یا پیکربندي سازي، پیاده ،طراحی در مشکوك

.گردد می سیستم آن در نفوذ موجب که سیستم یک

نفوذ (Intrusion): محرمانگی نقض آن نتیجه که اعمال از مجموعه هر، .باشد منبع یک پذیري دسترس یا و صحت

حمله(Attack) : ارتباطی، /اطالعاتی سیستم یک در عمدي نفوذ یک به .)موجود آسیب پذیري هاي از بهره گیري با معموالً( شود می گفته حمله

44


...)در این درس(تعاریف و مفاهیم اولیه

مکانیزم امنیتی (Security Mechanism): به هر روش، ابزار و یارود، یک مکانیزم امنیتی اي که براي اعمال یک سیاست امنیتی به کار می رویه .دگوین

سرویس امنیتی(Security Service): کنندة هاي تضمین به سرویس

.شود امنیت در یک سیستم و یا شبکه گفته می

45




46


امنیت يبرقرار يدشوار

شودی م يریاس پذیو مق ییش کارآیافزا یت معموالً قربانیامن.

بر است نهیت باال هزیامن.

ت را به عنوان مانع در برابر انجام شدن کارها یکاربران عادي امن

.کنندی نم يرویپ یتیامن ياستهایکنند و از سی م یتلق

47


امنیت يبرقرار يدشوار

ت به طور گسترده در یدور زدن امن يافزارها اطالعات و نرم

.ار هستندیاخت

رند و یگی ک مبارزه در نظر میت را به عنوان یدور زدن امن یبرخ

.برندی از انجام آن لذت م

ها و ستمیه سیاول يهای در هنگام طراح یتیمالحظات امن

.شود ها در نظر گرفته نمی شبکه48




49


سرویس هاي امنیتی

ها داده حفظ صحت (Integrity)

ها محرمانگی دادهحفظ (Confidentiality)

احراز اصالت(Authentication)

کنترل دسترسی(Access Control)

عدم انکار (Non-repudiation)

پذیري دسترس(Availability) 50



آنچه رسیده همان است نکه ینان از ایاطم: ها داده حفظ صحت .که فرستاده شده

ام یت پیکد احراز هو(MAC) امضاء نکه تنها کاربران مورد ینان از ایاطم: ها محرمانگی دادهحفظ

.امها استینظر قادر به درك پرينگارمز

51



که ادعا استهمانی که کاربر نینان از ایاطم :احراز اصالت .کند میکنترل هویت حق دسترسی کاربر تنها به منابع مقرر شده : کنترل دسترسی

.داردشود مجازشماري هم نامیده می.

52



عدم امکان انکار دریافت یا ارسال توسط گیرنده و : عدم انکار فرستنده

امضاء براي به موقع خدماتدر دسترس بودن : پذیري دسترس

کاربران مجاز

53




54


)ادامه(انواع حمالت

:از نظر تاثیرانواع حمالت

:(Active)حمالت فعال (Masquerade) جعل هویت

(Replay) ارسال دوباره پیغام

(Modification) تغییر

(Denial of Service) سرویس منع

:(Passive)حمالت غیرفعال (Traffic Analysis)تحلیل ترافیک

(Release of message) انتشار پیغام

Sniffer 55


حمله شنود یا استراق سمع

نقض محرمانگی: هدف بندي شده هاي طبقه دسترسی غیرمجاز به داده: نتیجه راه هاي تحقق حمله:

اتصال فیزیکی به شبکه و دریافت بسته ها دسترسی غیرمجاز به پایگاه داده ها وجود ضعف و آسیب پذیري در سیستم کنترل دسترسی

56


)ادامه(حمله شنود یا استراق سمع

مشتري

کارگزار

مهاجم

کرافی

د تشنو

PINرمز یا مشتري

57


حمله منع سرویس یا وقفه

نقض دسترس پذیري: هدف کاهش کارایی و یا عدم امکان دسترسی کاربران به : نتیجه حمله

شبکه و یا سرویس هاي فراهم شدهراه هاي تحقق حمله :

ارسال بسته و درخواست هاي مشکل دار راه اندازي سیل ترافیکی استفاده از ضعف ها و آسیب پذیري هاي نرم افزاري شبکه ویا سرویس ها

58


)ادامه(حمله منع سرویس یا وقفه

مشتري کارگزار

مشتري

کارگزار

مهاجم

مهاجم

59


حمله تغییر یا دستکاري داده ها

نقض صحت: هدف هاي سیستم یا شبکه تغییر غیرمجاز داده: نتیجه راه هاي تحقق حمله:

قرار گرفتن در مسیر شبکه و دستکاري و ارسال به گیرنده دسترسی غیرمجاز به پایگاه داده ها و تغییر غیرمجاز در آن وجود ضعف و آسیب پذیري در سیستم کنترل دسترسی و صحت

60


)ادامه(حمله تغییر یا دستکاري داده ها

حمله مرد میانی)Man in the Middle (

مشتري

کارگزار

مهاجممیلیون به 2انتقال

حساب علی 2انتقال : مشتري

میلیون به 2: کارگزار میلیون به حساب بابک .حساب بابک منتقل شد

میلیون به 2: کارگزار .حساب علی منتقل شد

61


حمله جعل هویت

نقض صحت: هدف توانند که می ییها داده پیام ها و) اضافه کردنیا (جعل : نتیجه

.استفاده باشند مخرب یا منشأ سوءراه هاي تحقق حمله:

اتصال فیزیکی به شبکه و دریافت بسته ها عمال تغییرات موردنیازارسال (بازارسال بسته هاي شنود شده پس از ا

)بسته هاي جعلیوجود ضعف در مکانیزم احراز هویت و کنترل صحت

62


)ادامه(حمله جعل هویت

به طور مشابه جعل کارگزار(حمله جعل مشتري یا کاربر(

مشتري

کارگزار

مهاجم

ارسال داده هاي جعلی به جاي مشتري

63




64


مدل کلی در یک ارتباط امن

سناریوي کلی در هر ارتباط امن: مثل (نیاز انتقال یک پیغام بین طرفین با استفاده از یک کانال ناامن

)شبکه اینترنتهاي محرمانگی، صحت و احراز اصالت در انتقال نیاز به تامین سرویس

پیامکنند تکنیکهاي مورد استفاده عموما از دو مولفه زیر استفاده می:

هاي امنیتی موردنیاز جهت فراهم آوردن سرویس: تبدیل امنیتی گیرند و نحوي که در تبدیل فوق مورداستفاده قرار می: اطالعات مخفی

.اند بین طرفین ارتباط به اشتراك گذاشته شده

65


یک مدل نمونه براي ارتباط امن

شخص ثالث مورد اعتماد

دشمن

اطالعات مخفی اطالعات مخفی

تبدیل امنیتی تبدیل امنیتی کانال اطالعات

گیرنده فرستنده

66


تضمین سرویس امنیتی

دهد که براي فراهم آمدن یک سرویس مدل فوق نشان می :امنیتی خاص مجبوریم نیازهاي زیر را فراهم کنیم

انجام تبدیل امنیتی موردنظرطراحی الگوریتم مناسب براي موردنیاز طرفین اطالعات مخفیتولید اطالعات مخفیدرباره استفاده از روش مناسب براي توزیع و توافق ارتباط طرفین و تضمین سرویس طراحی یک پروتکل مناسب براي

امنیتی

67


پایان

مرکز امنیت داده و شبکه شریفhttp://dnsl.ce.sharif.edu

پست الکترونیکی

[email protected]

68

ﻪﮑﺒﺷ و هداد ﺖﯿﻨﻣاce.sharif.edu/courses/93-94/1/ce442-1/resources/... · ( )...

Documents