اصول و مبانی امنیت در شبکه های رایانه ای

توضیحات : 
این فایل دارای فرمت word و قابل ویرایش می باشد.



اصول و مبانی امنیت در شبکه های رایانه ای



چکیده

هدف از ارائه ی این پروژه معرفی اصول و مبانی امنیت در شبکه های کامپیوتری می باشد .در ابتدا به تعاریف و مفاهیم امنیت در شبکه می پردازیم .

در مبحث امنیت شبکه ،منابع شبکه وانواع حملات ،تحلیل خطر ،سیاست های امنیتی ،طرح امنیت شبکه و نواحی امنیتی به تفضیل مورد تحلیل و بررسی قرار می گیرد .

برای حفظ امنیت شبکه نیاز است تا مراحل اولیه ایجاد امنیت و سیتم های عامل و برنامه کاربردی مناسب لحاظ شود .در ادامه به انواع حملات در شبکه های رایانه ای پرداخته ایم و برای افزایش امنیت در سطح شبکه به AUDITING ، کامپیوترهای بدون دیسک ،به رمز در آوردن داده ها و محافظت در برابر ویروس پرداخته ایم .

و اما روشهای تامین امنیت در شبکه که عبارتند از : دفاع در عمق ،فایروال و پراکسی که به طور کامل تشریح شده است .و در ادامه سطوح امنیت شبکه ، تهدیدات علیه امنیت شبکه ، امنیت شبکه لایه بندی شده، ابزارها و الگوهای امنیت شبکه ،مراحل ایمن سازی شبکه ، راهکارهای امنیتی شبکه ،مکانیزم های امنیتی و الگوریتم جهت تهیه الگوی امنیت شبکه توضیح داده شده است .



واژه‌های کلیدی

امنیت ،حملات ، شبکه ، فایروال ، پراکسی ، الگو



فهرست مطالب


مقدمه 

1

فصل یکم : تعاریف و مفاهیم امینت در شبکه

2

1-1) تعاریف امنیت شبکه

2

1-2) مفاهیم امنیت شبکه

4

1-2-1) منابع شبکه

4

1-2-2) حمله

6

1-2-3) تحلیل خطر

7

1-2-4- سیاست امنیتی

8

1-2-5- طرح امنیت شبکه

11

1-2-6- نواحی امنیتی

11

فصل دوم : انواع حملات در شبکه های رایانه ای

13

2-1) مفاهیم حملات در شبکه های کامپیوتری

15

2-2) وظیفه یک سرویس دهنده

16

2-3) سرویس های حیاتی و مورد نیاز

16

2-4) مشخص نمودن پروتکل های مورد نیاز

16

2-5) مزایای غیر فعال نمودن پروتکل ها و سرویس های مورد نیاز

17

2-6) انواع حملات

18

1-2-6) حملات از نوع Dos



2-2-6) حملات از نوع D Dos



2-6-3) حملات از نوع Back dorr



2-6-3-1) Back ori fice



2-6-3-2) Net Bus



2-6-3-3) Sub seven



2-6-3-4) virual network computing



2-6-3-5) PC Any where



2-6-3-6) Services Terminal



2-7) Pactet sniffing



2-7-1) نحوه کار packet sniffing



2-2-7) روشهای تشخیص packet sniffingدر شبکه



2-7-3) بررسی سرویس دهندة DNS



2-7-4) اندازه گیری زمان پاسخ ماشین های مشکوک



2-7-5) استفاده از ابزارهای مختص Antisniff



فصل سوم ) افزایش امنیت شبکه



3-1) علل بالا بردن ضریب امنیت در شبکه



3-2) خطرات احتمالی



3-3) راه های بالا بردن امنیت در شبکه



3-3-1) آموزش



3-3-2) تعیین سطوح امنیت



3-3-3) تنظیم سیاست ها



3-3-4) به رسمیت شناختن Authen tication



3-3-5) امنیت فیزیکی تجهیزات



3-3-6) امنیت بخشیدن به کابل



3-4) مدل های امنیتی



3-4-1) منابع اشتراکی محافظت شده توسط کلمات عبور



3-4-2) مجوزهای دسترسی



3-5) امنیت منابع



3-6) روش های دیگر برای امنیت بیشتر



3-6-1) Auditing



3-6-2) کامپیوترهای بدون دیسک



3-6-3) به رمز در آوردن داده ها



3-6-4) محافظت در برابر ویروس



فصل چهارم : انواع جرایم اینترنتی و علل بروز مشکلات امنیتی



4-1) امنیت و مدل



4-1-1) لایه فیزیکی



4-1-2) لایه شبکه



4-1-3) لایه حمل



4-1-4) لایه کاربرد



4-2) جرایم رایانه ای و اینترنتی



4-2-1) پیدایش جرایم رایانه ای



4-2-2) قضیه رویس



4-2-3)تعریف جرم رایانه ای



4-2-4) طبقه بندی جرایم رایانه ای



4-2-4-1) طبقه بندی OECDB



4-2-4-2)طبقه بندی شعرای اروپا



4-2-4-3) طبقه بندی اینترپول



4-2-4-4) طبقه بندی در کنوانسیون جرایم سایبرنتیک



4-2-5) شش نشانه از خرابکاران شبکه ای



4-3) علل بروز مشکلات امنیتی



4-3-1) ضعف فناوری



4-3-2) ضعف پیکربندی



4-3-3) ضعف سیاستی



فصل 5 ) روشهای تأمین امنیت در شبکه



5-1) اصول اولیه استراتژی دفاع در عمق



5-1-1) دفاع در عمق چیست.



5-1-2) استراتژی دفاع در عمق : موجودیت ها



5-1-3) استراتژی دفاع در عمق : محدودة حفاظتی



5-1-4) استراتژی دفاع در عمق : ابزارها و مکانیزم ها



5-1-5) استراتژی دفاع در عمق : پیاده سازی



5-1-6) جمع بندی



5-2)فایر وال



1-5-2) ایجاد یک منطقه استحفاظی


5-2-2) شبکه های perimer


5-2-3)فایروال ها : یک ضرورت اجتناب ناپذیر در دنیای امنیت اطلاعات


5-2-4) فیلترینگ پورت ها


5-2-5) ناحیه غیر نظامی


5-2-6) فورواردینگ پورت ها


5-2-7) توپولوژی فایروال


5-2-8) نحوة انتخاب یک فایروال


5-2-9) فایروال ویندوز



5-3) پراکسی سرور


5-3-1) پیکر بندی مرور


5-3-2) پراکسی چیست


5-3-3) پراکسی چه چیزی نیست



5-3-4) پراکسی با packet filteringتفاوت دارد.



5-3-5) پراکسی با packet fillering state fulتفاوت دارد .


5-3-6) پراکسی ها یا application Gafeway


5-3-7) برخی انواع پراکسی


5-3-7-1) Http proxy


5-3-7-2)FTP Proxy


5-3-7-3)PNs proxy



5-3-7-4) نتیجه گیری


فصل 6 ) سطوح امنیت شبکه


6-1) تهدیدات علیه امنیت شبکه


6-2) امنیت شبکه لایه بندی شده



6-2-1) سطوح امنیت پیرامون



6-2-2) سطح 2 –امنیت شبکه


6-2-3) سطح 3 –امنیت میزبان


6-2-4) سطوح 4 –امنیت برنامه کاربردی


6-2-5) سطح 5 –امنیت دیتا



6-3) دفاع در مقابل تهدیدها و حملات معمول


فصل هفتم ) ابزارها و الگوهای امنیت در شبکه و ارائه ی یک الگوی امنیتی


7-1) مراحل ایمن سازی شبکه


7-2) راهکارهای امنیتی شبکه


7-2-1) کنترل دولتی


7-2-2) کنترل سازمانی


7-2-3) کنترل فردی


7-2-4) تقویت اینترانت ها

7-2-5) وجود یک نظام قانونمند اینترنتی


7-2-6) کار گسترده فرهنگی برای آگاهی کاربران


7-2-7) سیاست گذاری ملی در بستر جهانی


7-3) مکانیزم امنیتی


7-4) مرکز عملیات امنیت شبکه


7-4-1) پیاده سازی امنیت در مرکز SOC


7-4-2)سرویس های پیشرفته در مراکز SOC


7-5) الگوی امنیتی


7-5-1) الگوریتم جهت تهیه الگوی امنیتی شبکه



فهرست شکلها



عنوان

صفحه

شکل 3-1 مجوزهای مربوط به فایل ها و دایرکتوری اشتراکی را نشان می دهد.

3

شکل 5-1 یک نمونه از پیاده سازی Fire wallرا مشاهده می کنید

3

شکل5-2 یک نمونه از پیاده سازی Fire wall را مشاهده می کنید


شکل5-3 ارتباط بین سه نوع شبکه Perimeterرا نمایش می دهد.


شکل5-4 دو شبکه Perimeterدرون یک شبکه را نشان می دهد.


شکل5-5 یک فایروال مستقیماً و از طریق یک خط dial – up، خطوط ISPNو یا مووم های کابلی به اینترنت متصل می گردد.


شکل5-6 روتر متصل شده به اینترنت به هاب و یا سوئیچ موجود در شبکه داخل مستقل می گردد.


شکل 5-7 فایردال شماره یک از فایر دال شماره 2 محافظت می نماید.


شکل5-8 یک کارت شبکه دیگر بر روی فایر دال و برای ناحیه DMZاستفاده می گردد.


شکل5-9 Proxy server


شکل5-10 logging


شکل5-11 Ms proxy server


شکل5-12 SMTP proxy


شکل5-13 SMTP Filter Properties


شکل5-14 Mozzle pro LE


شکل5-15 DNS proxy


شکل5-16 


شکل6-1 


شکل6-2 برقراری ارتباط VPN


شکل6-3 پیکربندی های IDSو IPSاستاندارد


شکل 6-4 سطح میزبان


شکل 6-5 Prirate local Area Network


شکل 6-6 حملات معمول


فهرست جدولها


عنوان

صفحه

جدول2-1- مقایسه تهدیدات امنیتی در لایه های چهارگانه TCP/IP


جدول2-2- اهداف امنیتی در منابع شبکه


جدول6-1- امنیت شبکه لایه بندی شده




مقدمه


چنانچه به اهمیت شبکه‌های اطلاعاتی (الکترونیکی) و نقش اساسی آن دریافت اجتماعی آینده پی برده باشیم، اهمیت امنیت این شبکه‌ها مشخص می‌گردد. اگر امنیت شبکه برقرار نگردد، مزیتهای فراوان آن نیز به خوبی حاصل نخواهد شد و پول و تجارت الکترونیک، خدمات به کاربران خاص، اطلاعات شخصی، اطلاعاتی عمومی و نشریات الکترونیک همه و همه در معرض دستکاری و سوءاستفاده‌های مادی و معنوی هستند. همچنین دستکاری اطلاعات- به عنوان زیربنای فکری ملت‌ها توسط گروههای سازماندهی شده بین‌المللی، به نوعی مختل ساختن امنیت ملی و تهاجم علیه دولت‌ها و تهدیدی ملی محسوب می‌شود.
برای کشور ما که بسیاری از نرم‌افزارهای پایه از قبیل سیستم عامل و نرم‌افزارهای کاربردی و اینترنتی، از طریق واسطه‌ها و شرکتهای خارجی تهیه می‌شود، بیم نفوذ از طریق راههای مخفی وجود دارد. در آینده که بانکها و بسیاری از نهادها و دستگاههای دیگر از طریق شبکة به فعالیت می‌پردازند، جلوگیری از نفوذ عوامل مخرب در شبکه بصورت مسئله‌ای استراتژیک درخواهد آمد که نپرداختن به آن باعث ایراد خساراتی خواهد شد که بعضاً جبران‌ناپذیر خواهد بود. چنانچه یک پیغام خاص، مثلاً از طرف شرکت مایکروسافت، به کلیه سایتهای ایرانی ارسال شود و سیستم عاملها در واکنش به این پیغام سیستمها را خراب کنند و از کار بیندازند، چه ضررهای هنگفتی به امنیت و اقتصاد مملکت وارد خواهد شد؟
نکته جالب اینکه بزرگترین شرکت تولید نرم‌افزارهای امنیت شبکه، شرکت چک پوینت است که شعبة اصلی آن در اسرائیل می‌باشد. مسأله امنیت شبکة برای کشورها، مسأله‌ای استراتژیک است؛ بنابراین کشور ما نیز باید به آخرین تکنولوژیهای امنیت شبکه مجهز شود و از آنجایی که این تکنولوژیها به صورت محصولات نرم‌افزاری قابل خریداری نیستند، پس می‌بایست محققین کشور این مهم را بدست بگیرند و در آن فعالیت نمایند.
امروزه اینترنت آنقدر قابل دسترس شده که هرکس بدون توجه به محل زندگی، ملیت، شغل و زمان میتواند به آن راه یابد و از آن بهره ببرد. همین سهولت دسترسی آن را در معرض خطراتی چون گم شدن، ربوده شدن، مخدوش شدن یا سوءاستفاده از اطلاعات موجود در آن قرار می‌دهد. اگر اطلاعات روی کاغذ چاپ شده بود و در قفسه‌ای از اتاقهای محفوظ اداره مربوطه نگهداری می‌شد، برای دسترسی به آنها افراد غیرمجاز می‌بایست از حصارهای مختلف عبور می‌کردند، اما اکنون چند اشاره به کلیدهای رایانه‌ای برای این منظور کافی است.

تعاریف امنیت شبکه :

بر اساس واژه نامه Websterامنیت به معنای کیفیت یا حالت امن بودن، رهایی از خطر، ترس و احساس نگرانی و تشویش می باشد. این تعبیر در دنیای الکترونیکی نیز صادق می باشد اما اگر بخواهیم تعریفی تخصصی در این زمینه داشته باشیم می توانیم بگوییم که، برقراری امنیت در حفظ و بقاء 4 اصل می باشد:

محرمانگی : اطلاعات فقط و فقط بایستی توسط افراد مجاز قابل دسترس باشد.

تمامیت : یک سیستم از عناصری متشکل است که در کنار هم برای رسیدن به هدفی یکسان همکاری دارند. حفظ تمامیت به معنای پیشگیری از بروز مشکل در این همکاری و پیوسته نگه داشتن عناصر یک سیستم می باشد.
دسترس پذیری : اطلاعات بایستی به هنگام نیاز، توسط افراد مجاز قابل دسترس باشد.
عدم انکار : به هنگام انجام کاری و یا دریافت اطلاعات یا سرویسی، شخص انجام دهنده یا گیرنده نتواند آن را انکار کند.
2) مفاهیم امنیت شبکه
امنیت شبکه یاNetwork Securityپردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:



1-شناسایی بخشی که باید تحت محافظت قرار گیرد.

2-تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3-تصمیم گیری درباره چگونگی تهدیدات

4-پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5-مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه می پردازیم.

1-2) منابع شبکه



در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

1-تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها

2-اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.

3-منابع نامحسوس شبکه مانند عرض باند و سرعت

4-اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی

5-ترمینالهایی که برای استفاده از منابع مختلف به شبکه متصل می شوند. 

6-اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان

7-خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.

مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

2-2) حمله



حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:

1-دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه

2-دستکاری غیرمجاز اطلاعات بر روی یک شبکه

3-حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحاDenial of Serviceنام دارند.

کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:

1-ثابت کردن محرمانگی داده

2-نگهداری جامعیت داده

3 -نگهداری در دسترس بودن داده 

مفاهیم حملات در شبکه های کامپیوتری
حملات در یک شبکه کامپیوتری حاصل پیوند سه عنصر مهم سرویس ها ی فعال ، پروتکل های استفاده شده و پورت های باز می باشد . یکی از مهمترین وظایف کارشناسان فن آوری اطلاعات ، اطیمنان از ایمن بودن شبکه و مقاوم بودن آن در مقابل حملات است (مسئولیتی بسیار خطیر و سنگین ) . در زمان ارائه سرویس دهندگان ، مجموعه ای از سرویس ها و پروتکل ها به صورت پیش فرض فعال و تعدادی دیگر نیز غیر فعال شده اند.این موضوع ارتباط مستقیمی با سیاست های یک سیستم عامل و نوع نگرش آنان به مقوله امنیت دارد. در زمان نقد امنیتی سیستم های عامل ، پرداختن به موضوع فوق یکی از محورهائی است که کارشناسان امنیت اطلاعات با حساسیتی بالا آنان را دنبال می نمایند.
اولین مرحله در خصوص ایمن سازی یک محیط شبکه ، تدوین ، پیاده سازی و رعایت یک سیاست امنیتی است که محور اصلی برنامه ریزی در خصوص ایمن سازی شبکه را شامل می شود . هر نوع برنامه ریزی در این رابطه مستلزم توجه به موارد زیر است :

1- بررسی نقش هر سرویس دهنده به همراه پیکربندی انجام شده در جهت انجام وظایف مربوطه در شبکه 

2- انطباق سرویس ها ، پروتکل ها و برنامه های نصب شده با خواسته ها ی یک سازمان

3- بررسی تغییرات لازم در خصوص هر یک از سرویس دهندگان فعلی (افزودن و یا حذف سرویس ها و پروتکل های غیرضروری ، تنظیم دقیق امنیتی سرویس ها و پروتکل های فعال )



تعلل و یا نادیده گرفتن فاز برنامه ریزی می تواند زمینه بروز یک فاجعه عظیم اطلاعاتی را در یک سازمان به دنبال داشته باشد . متاسفانه در اکثر موارد توجه جدی به مقوله برنامه ریزی و تدوین یک سیاست امنیتی نمی گردد . فراموش نکنیم که فن آوری ها به سرعت و به صورت مستمر در حال تغییر بوده و می بایست متناسب با فن آوری های جدید ، تغییرات لازم با هدف افزایش ضریب مقاومت سرویس دهندگان و کاهش نقاط آسیب پذیر آنان با جدیت دنبال شود . نشستن پشت یک سرویس دهنده و پیکربندی آن بدون وجود یک برنامه مدون و مشخص ، امری بسیار خطرناک بوده که بستر لازم برای بسیاری از حملاتی که در آینده اتفاق خواهند افتاد را فراهم می نماید . هر سیستم عامل دارای مجموعه ای از سرویس ها ، پروتکل ها و ابزارهای خاص خود بوده و نمی توان بدون وجود یک برنامه مشخص و پویا به تمامی ابعاد آنان توجه و از پتانسیل های آنان در جهت افزایش کارائی و ایمن سازی شبکه استفاده نمود. پس از تدوین یک برنامه مشخص در ارتباط با سرویس دهندگان ، می بایست در فواصل زمانی خاصی ، برنامه های تدوین یافته مورد بازنگری قرار گرفته و تغییرات لازم در آنان با توجه به شرایط موجود و فن آوری های جدید ارائه شده ، اعمال گردد . فراموش نکنیم که حتی راه حل های انتخاب شده فعلی که.....

دانلود پروژه اصول و مبانی امنیت در شبکه های رایانه ای