TCP/IP Stack

امنیت TCP/IP Stack

هر لایه دارای مکانیزم های امنیتی ، پروتکل ها و برنامه های مختص به خود می باشد . در ادامه به برخی از امکانات امنیتی متداول و مرتبط با هر یک از لایه های پروتکل TCP/IP اشاره می گردد :
لایه فیزیکی : معادل لایه های اول و دوم مدل مرجع OSI

• 
  
• Packet Filters ، به منظور استقرار بین یک شبکه داخلی و یک شبکه خارجی طراحی می گردند. برای برخورد مناسب ( ارسال ، نپذیرفتن ، حذف ) با بسته های اطلاعاتی ورودی و یا خروجی از یک شبکه از مجموعه قوانین تعریف شده خاصی استفاده می گردد . ACL ( برگرفته از Access Control List ) روتر ، نمونه ای از یک Packet Filter می باشد .
• NAT ، ( برگرفته از Network Address Translation ) ، مکانیزمی برای ترجمه آدرس است . اکثر کاربران اینترنت با سرعت بالا از NAT استفاده می نمایند . تکنولوژی فوق به منظور تامین امنیت کاربران ، آدرس داخلی آنان را از دید شبکه های خارجی مخفی نگه می دارد .
• CHAP ( برگرفته از Challenge Handshake Authentication Protocol ) ، یک پروتکل "تائید" است که از آن به عنوان گزینه ای جایگزین در مقابل ارسال معمولی و رمز نشده نام و رمز عبور استفاده می گردد . پروتکل فوق از الگوریتم MD5 برای رمزنگاری رمزهای عبور استفاده می نماید .
• PAP ( برگرفته از Password Authentication Protocol ) . پروتکل فوق ، به عنوان بهترین گزینه امنیتی در لایه فیزیکی مطرح نمی باشد و با ارائه امکاناتی کاربران را ملزم به درج نام و رمز عبور می نماید . اطلاعات درج شده توسط کاربران به صورت متن معمولی ( رمز نشده ) ارسال می گردد ( مهمترین محدودیت پروتکل PAP ) .

لایه شبکه : معادل لایه سوم مدل مرجع OSI

• 
  
• PPTP ( برگرفته از Point to Point Tunneling Protocol ) توسط کنسرسیومی متشکل از مایکروسافت و 3com پیاده سازی و هدف آن ارائه امکانات لازم به منظور کپسوله سازی داده می باشد . امنیت لازم برای PPTP توسط رمزنگاری Point-to-point مایکروسافت ارائه شده است .
• L2TP : پروتکل V*PN فوق به منظور امنیت و بر اساس پروتکل های PPTP و L2F پیاده سازی شده است .
• IPsec : از پروتکل فوق به منظور حفاظت بسته های اطلاعاتی IP و دفاع در مقابل حملات شبکه ای استفاده می گردد . IPsec از پروتکل های امنیتی و مدیریت کلید پویا استفاده نموده و دارای دو پیکربندی پایه AH ( برگرفته از Authenticated Header ) و ESP ( برگرفته از Encapsulated Secure Payload ) می باشد .
  

لایه حمل : معادل لایه های چهارم و پنجم مدل مرجع OSI

• 
  
• SSL ( برگرفته از Secure Sockets Layer ) ، پروتکلی است که با استفاده از آن به کابران این اطمینان داده می شود که به صورت ایمن اقدام به مبادله اطلاعات بر روی شبکه ( نظیر اینترنت ) نمایند .
• TLS ( برگرفته از Transport Layer Security ) ، پروتکلی مشابه پروتکل SSL است و از یک رویکرد لایه ای به منظور امنیت داده استفاده می نماید . TLS از چندین پروتکل زیر مجموعه دیگر تشکیل می گردد .
  

لایه کاربرد : برخی از وظایف لایه پنجم و معادل لایه های ششم و هفتم مدل مرجع OSI

• 
  
• RADIUS ( برگرفته از Remote Authentication Dial-In User Service ) متداولترین پروتکل تائید کاربران dialup در دنیای شبکه های کامپیوتری است . پروتکل فوق امکانات لازم برای تائید و اعطای مجوز لازم به کابران dialup شبکه های کامپیوتری را فراهم می نماید .
• TACACS ( برگرفته از Terminal Access Controller Access Control System ) ، یک پروتکل "تائید" قدیمی در شبکه های مبتنی بر سیستم عامل یونیکس است که این امکان را برای یک سرویس دهنده راه دور فراهم می نماید تا رمز عبور درج شده توسط کاربران را به یک سرویس دهنده تائید شده هدایت تا صلاحیت آنان برای استفاده از یک سیستم بررسی گردد .
• Kerberos توسط MIT و به عنوان یک پروتکل تائید قدرتمند پیاده سازی شده است . پروتکل فوق برای تائید مجوز کاربران در ارتباط با اشیاء متفاوت از tickets استفاده می نماید . Kerberos ، امکانات لازم به منظور رمزنگاری ، پیوستگی داده و محرمانگی را ارائه می نماید .
• S-MIME ( برگرفته از Secure / Multipurpose Internet Mail Extensions ) ، پروتکلی به منظور ایمن سازی نامه های الکترونیکی است . پروتکل فوق با بهره گیری از امکاناتی نظیر رمزنگاری و امضاء دیجیتال ، امنیت نامه های الکترونیکی را تضمین می نماید .
  

کارشناسان امینت اطلاعات بر این عقیده هستند که چون نمی توان یک شبکه و یا host را صرفا" با استفاده از امکانات امنیتی یک لایه صددرصد ایمن نمود ، می بایست از رویکرد "دفاع در عمق " و یا امنیت لایه ای ( layered security ) استفاده نمود . ایده "دفاع در عمق" می تواند بطرز قابل توجهی کاهش حملات موفقیت آمیز را به دنبال داشته باشد.