maniei.ir
یاد من باشد فردا حتما باور این را بکنم، که دگر فرصت نیست و بدانم که اگر دیر کنم ،مهلتی نیست مرا و بدانم که شبی خواهم رفت و شبی هست، که نیست، پس از آن فرداییmaniei.ir
یاد من باشد فردا حتما باور این را بکنم، که دگر فرصت نیست و بدانم که اگر دیر کنم ،مهلتی نیست مرا و بدانم که شبی خواهم رفت و شبی هست، که نیست، پس از آن فرداییTCP/IP و OSI
معماری اینترنت، معماری شبکهای غالب در اوایل دههی 2000 است. اینترنت بر پروتکل اینترنت IPاستوار است، که میتوان آن را روی همهی انواع شبکههای فیزیکی و تحت همهی انواع برنامههای کاربردی به کار انداخت. استقلال پروتکل اینترنت هم از شبکههای فیزیکی و هم از برنامههای کاربردی، نقطهی قوت اصلی آن است. این پروتکل حتی با فناوریهای شبکهای کاملاً جدید، مثل «شبکهی محلی بیسیم» (دبلیولن[ یا «سرویس رادیویی بستهای عمومی» (جیپیآراِس) و شبکهی «سامانهی عمومی ارتباطات همراه» (جیاِساِم) نیز کار میکند. برنامههای جدید و بسیاری برنامههای دیگر که در آینده عرضه میشوند را میتوان به راحتی با سرویس استاندارد پروتکل اینترنت اجرا کرد. معماری اینترنت اساساً از سال 1974 ثابت مانده و همچنان قدرت خود را اثبات میکند. بنابراین شعار قدیمی «آیپی ورای همه، همه چیز برروی آیپی» امروز بیش از هر زمان دیگری صدق میکند این مدل علا رغم محبوبیتش ایراداتی داردکه عیبهای اصلی IP، فضای ناکافی نشانی، عدم پشتیبانی از جایجایی فیزیکی، فقدان کیفیت متمایز سرویس، و فقدان امنیت آن میباشد
کار با اینترنت به پیشرفت خود ادامه میدهد و به عرصههای جدید برنامههای کاربردی گسترش مییابد. کاهش سرانهی قیمت محصولات، عملاً همهی برنامهها را به استفاده از فناوری اصلی IPسوق خواهد داد. اگر جابجاییپذیری، کیفیت خدمات، و امنیت، محور اصلی خدمات اینترنت در نسل آینده باشند، در آن صورت یک سکوی عمومی جهانی خواهیم داشت تا کار الکترونیکی را بر روی آن استوار کنیم این سکوی فنی برای کار الکترونیکی امن، در حال شکلگرفتن است و جنبههای شبکهای امنیت را میتوان حل کرد. اما وقتی که با افراد و با جریانهای پیچیدهی اطلاعات سروکار داریم، هیچ راهحل استاندارد سادهای برای امنیت کل سیستم وجود ندارد.کار زییادی باید انجام شود. باید سازوکارهای استاندارد امنیت بهکارگرفته شوند تا اطمینان حاصل شود که سیستمهای اطلاعاتی مورد استفاده، امنیت جریان های اطلاعاتی را به خطر نمیاندازند.
هیچ روش شناختهشدهای برای اثبات امنیت کل فرایندها وجود ندارد. باید مداوماً به نظارت و به بازخورددادن به فرایندهایمان بپردازیم. همچنین بازرسی بهوسیلهی یک طرف بیرونی که مسئولیتی در استقرار یا اجرای سیستم ندارد لازم است.
OSI چیست؟
OSI (Open System Interconnection ) یک مدل مرجع برای ارتباط بین دو کامپیوتر می باشد که در سال 1980 طراحی گردیده است. هر چند امروزه تغییراتی درآن به وجود آمده اما هنوز هم کاربردهای فراوانی در جاهای مختلف اینترنت و به خصوص در پایه های شبکه دارد.
این مدل بر اساس لایه بندی قراردادهای برقراری ارتباط که همزمان روی دو سیستم مرتبط اجرا شده اند پایه ریزی شده است که این امر بسیار سرعت و دقت ارتباط را افزایش می دهد و این قراردادها بصورت طبقه طبقه در هفت لایه تنظیم شده اند که در زیر بررسی خواهند شد. (شکل 1)
| لایه کاربرد | Application |
| لایه ارائه | Presentation |
| لایه جلسه | Session |
| لایه انتقال | Transport |
| لایه شبکه | Network |
| لایه پیوند داده ها | Data link |
| لایه فیزیکی | Physial |
شکل 1: لایه های مدل OSI
بررسی هفت لایه OSI :
لایه فیزیکی :
این لایه که تنها تشکیل شده از سخت افزار می باشد و قراردادهای سخت افزاری در آن اجرا می شود وظیفه انتقال نهایی اطلاعات را دارد که این انتقال یصورت سیگنال و به صورت صفرو یک می باشد
لایه پیوند داده ها :
در این لایه اطلاعات ، کشف خطا و اصلاح می شوند و بدون خطا و به صورت مطمئن به سوی مقصد ارسال می شوند .وظیفه دیگر این لایه مطمئن شدن از رسیدن اطلاعات به مقصد است که این کار توسط
بیتهای (Parity check , checksum ,crc ) انجام می پذیرد .که در صورت بروز خطا مجددا اطلاعات ارسال خواهند شد .
لایه شبکه :
و اما پیچیده ترین لایه یعنی لایه شبکه که در آن قراردادهای شبکه بندی تعریف شده است . وظیفه این لایه انتقال تکنولوژی برقراری ارتباط برای دیگر شبکه های مستقل است که این امر این امکان را به osi می دهد که بتواند در زیر شبکه های مختلف فعالیت کند .
لایه انتقال :
در این لایه قبل از ارسال اطلاعات یک بسته به سمت مقصد فرستاده می شود تا مقصد را برای دریافت اطلاعات آماده کند . همچنین این لایه وظیفه تکه تکه کردن بسته ها ، شماره گذاری آنها و ترتیب و نظم دهی آنها را بر عهده دارد. که البته بسته ها در طرف گیرنده دوباره در همین لایه نظم دهی و قابل استفاده برای لایه های بالاتر خواهند شد.
لایه جلسه :
در این لایه بر کارهایی از قبیل زمان ارسال و دریافت بسته ها مقدار رسیده و مقدار مانده از بسته ها نظارت می شود که به مدیرت بسته ها بسیار کمک می کند .
لایه ارائه :
در این لایه استانداردهای رمز نگاری و فشرده سازی اطلاعات تعریف شده است که این لایه در امنیت بسیار مهم می باشد .
لایه کاربرد :استانداردهای ارتباط بین نرم افزارهای شبکه در این لایه قرار دارد که می توان از :
FTAM CMIP MHS VT نام برد.
مدل شبکه ای TCP/IP(Internet protocol /Transmission Control Protocol )
رایج ترین مدل شبکه های کامپیوتری، مدل چهار لایه TCP/IP است که با بهره گیری از پشته پروتکل TCP/IP به تبادل داده و نظارت بر مبادلات داده می پردازد در شبکه کامپیوتری برای کاهش پیچیدگی های پیاده سازی، آن را مدل سازی میکنند که از جمله میتوان به مدل هفت لایه OSI و مدل چهار لایه TCP/IP اشاره نمود. در این مدلها، شبکه لایه بندی شده و هر لایه با استفاده از پروتکلهای خاصی به ارائه خدمات مشخصی میپردازد. مدل چهار لایه TCP/IP نسبت به OSI محبوبیت بیشتری پیدا کرده است ولی علیرغم این محبوبیت دارای نقاط ضعف و اشکالات امنیتی است که باید راهکارهای مناسبی برای آنها ارائه شود تا نفوذگران نتوانند به منابع شبکه دسترسی پیدا کرده و یا اینکه اطلاعات را بربایند.
شناسائی لایه های مدل TCP/IP، وظایف، پروتکلها و نقاط ضعف و راهکارهای امنیتی لایه ها در تعیین سیاست امنیتی مفید است ، TCP/IP مجموعه قراردادهایی هستند که در جهت اتصال کامپیوتر ها در شبکه مورد استفاده قرار می گیرند. وبه تعریف دیگر قرارداد کنترل انتقال اطلاعات می باشد .
پروتکل TCP
لایه کاربرد لایه کاربرد لایه ارائه لایه کاربرد لایه جلسه لایه انتقال لایه انتقال لایه انتقال لایه شبکه لایه شبکه لایه پیوند داده ها لایه واسطه شبکه لایه فیزیکی لایه واسطه شبکه
مقایسه با osi : (شکل2)
همانطور که از شکل پیداست TCP/IP از چهار لایه تشکیل شده که در زیر به صحبت در مورد چهار لایه TCP/IP می پردازیم .
لایه واسط شبکه :
در این لایه تمام استانداردهای سخت افزاری و انواع پروتکل شبکه تعریف شده که خاصیت بزرگ این لایه این موضوع می باشد که در آن می توان بین نرم افزار و سخت افزار شبکه ارتباط برقرار کرد.
لایه شبکه :
در این لایه پروتکل IP آدرس دهی و تنظیم می شود .(توضیحات در قسمت IP ) و همچنین دیگر پروتکل ها مانند ARP,ICMP,BOOTP که در این میان نقش هیچکدام به اندازه IP , ICMP مهم نیست در کل وظیفه این لایه دادن اطلاعات در مورد شبکه و آدرس دهی در آن می باشد که مسیر یابها از آن بسیار استفاده میکنند .
لایه انتقال :
ابتدایی ترین وظیف این لایه آگاهی از وضعیت بسته ها می باشد که بسیار مهم نیز هست .
و در مرحله بعد وظیفه این لایه انتقال اطلاعاتی می باشد که نیاز به امنیت ندارند و سرعت برای آنها مهم تر است
لایه کاربرد :
این لایه دارای امکانات زیادی برای هنر نمایی متخصصان می باشد.
در این لایه برنامه های کاربردی قرار دارند و در کل این لایه لایه ی نرم افزارهای شبکه می باشد و همچنین لایه پروتکل های نرم افزاری نیز می باشد .
از مهم ترین نکات در خصوص این لایه قرارداشتن : انتقال فایل (FTP) و مدیریت پست (SMTP) و بقیه برنامه های کاربردی می باشد .
پروتکل اینترنت IP
IP یکی از مهمترین قسمتهای TCP/IP و شاید بتوان گفت مهمترین قسمت آن زیرا تقریبا شما برای هر کاری نیاز به آن خواهید داشت .IP یک آدرس عددی است که برای ارتباط با شبکه به هر ماشینی در شبکه اختصاص داده می شود (چون IP برای وسایلی از قبیل ROUTER و MODEM و LAN و … استفاده می شود ما اصطلاحا به جای نام بردن تک تک آنها همه را ماشین می نامیم )
«IP شما نسبت به نوع اتصال شما متغییر و یا ثابت می باشد. »
وظیفه IP چیست ؟
وظیفه پروتکل IP حمل و تردد بسته های حاوی اطلاعات و همچنین مسیر یابی آنها از مبدا تا مقصد است
اساس کار پروتکل IP چیست ؟
IP پس از دریافت اطلاعات از TCP شروع به قطعه قطعه کردن آن به قطعه های کوچک به اسم FRAGMENT می نماید، پس از این مرحله برای هر FRAGMENT یک بسته IP می سازد که حاوی اطلاعات مورد نیاز بسته برای حرکت در طول شبکه می باشد و بسته IP را به بسته TCP اضافه می کند
و شروع به ارسال بسته های تیکه تیکه شده(FRAGMENT) می نماید حال مسیر یابها بر اساس تنظیمات قسمت IP بسته ها را به مقصد خود هدایت می کنند و آن را داخل زیر شبکه ها هدایت می کنند
خصوصیات IP :
بسته IP حد اکثر 64 کیلوبایت فضا را اشغال خواهد کرد و بیشتر از آن نمی تواند باشد ولی موضوع جالب اینجاست که در حالت عادی حجم بسته حدود 1600 بایت بیشتر نمی شود
IP در تمامی سیستم های عامل با ساختار استانداردی که دارد به درستی کار می کنند و نیاز به هیچ نوع سخت افزار ندارد .
نکاتی جالب در مورد IP
آدرس های ویژه :
این آدرسها نمونه های از آدرس های IP خاص هستند که از قبل برای مقاصد خاصی در نظر گرفته شده اند و در تعریف شبکه نمی توان از آنها به عنوان IP برای ماشینها استفاده کرد .
0.0.0.0
از این آدرس در مواردی استفاده می شود که ماشین میزبان از IP خود بی اطلاع است .البته اگر از این آدرس به عنوان آدرس فرستنده استفاده شود هیچ جوابی برای فرستنده پس فرستاده نمی شود .
HostId.0
این آدرس برای زمانی است که از آدرس خود در زیرشبکه بی اطلاع باشیم
255.255.255.255
از این آدرس برای ارسال پیامهای به صورت عمومی و فراگیر در شبکه استفاده می شود البته با استفاده از این آدرس می توان در زیر شبکه خود پیام فراگیر ارسال کرد .
NetId.255
از این آدرس برای ارسال پیامهای فراگیر در دیگر شبکه ها از خارج از آنها استفاده می شود .البته این سرویس تقریبا در بیشتر اوقات از سوی مدیران شبکه غیر فعال می شود.
مقایسه دو پروتکل در بخش های مختلف امنیتی
در ادامه، حملات، سرویس ها و مکانیزم ها و تجهیزات امنیتی در لایه های مختلف در قالب جداول 1-2-3-4 با یکدیگر مقایسه می شوند و همانطور که در جداول مذکور نشان داده شده است می توان نتیجه گرفت که بیشترین حملات به ترتیب در لایه IP,TCP ، کاربرد و میزبان به شبکه است و سرویس ها و مکانیزم ها بیشتر در لایه IP به چشم می خورد و تجهیزات امنیتی با بهره گیری از مکانیزم های مختلف بیشتر در لایه IP , TCP و کاربرد ، کاربری دارند .
در جدول 5تجهیزات امنیتی از نظر پارامترهای مختلف با یکدیگر مقایسه می شوند و مورد ارزیابی قرار می گیرند، استفاده از تجهیزات سخت افزاری نظیر فایروال، سوئیچ ها و مسیریابهای مدیریت پذیر، گران است و هزینه پشتیبانی آنها نیز بالاست و از پیچیدگی نسبتا بالایی برخوردارند. در تجهیزات نرم افزاری نیز هزینه پشتیبانی بدلیل لزوم Update مرتب ، بالا است ولی هزینه استقرار و پیچیدگی پائین است.
جدول 1. مقایسه تهدیدات امنیتی در لایه های چهارگانه TCP/IP
|
تهدید/ لایه |
Host to Network |
IP |
TCP |
Application |
|
Trojan,Virus,Worm |
|
|
|
* |
|
SQL-Injection |
|
|
|
* |
|
TCP/IP Spoofing |
|
* |
* |
|
|
Session Hijacking |
|
|
* |
* |
|
Port Scan |
|
|
* |
* |
|
Physical Attacks |
* |
|
|
|
|
Phishing |
|
|
* |
* |
|
Password Attacks |
|
|
|
* |
|
Packet Sniffing |
|
* |
* |
|
|
Dos/DDos Attacks |
|
* |
* |
* |
|
Network Layer Attacks |
|
* |
|
|
|
Application Layer Attacks |
|
|
|
* |
|
Buffer Over Flow Attacks |
|
* |
* |
* |
|
Replay |
* |
* |
* |
* |
|
Traffic Analysis |
* |
* |
* |
|
|
Message Modification |
* |
* |
* |
جدول 2. اهراف امنیتی در منابع شبکه
|
منابع اهداف |
شبکه |
کاربران شبکه | |||
|
سخت افزارها |
نرم افزارها |
اطلاعات |
ارتباطات | ||
|
محرمانگی |
|
* |
* |
| |
|
صحت |
* |
* |
* |
* |
|
|
قابلیت دسترسی |
* |
* |
* |
* |
|
|
محافظت فیزیکی |
* |
|
* |
* |
|
|
تشخیص هویت |
|
|
|
|
* |
|
صدور اختیارات |
|
|
|
|
* |
|
حریم خصوصی |
|
|
|
|
|
|
آگاهی رسانی امنیتی |
|
|
|
|
|
جدول 3. سرویس های امنیتی در لایه های مختلف TCP/IP
|
سرویس/لایه |
Host to Network |
IP |
TCP |
Application |
|
محرمانگی |
* |
* |
* |
* |
|
تایید هویت |
* |
* |
* |
* |
|
رد انکار |
|
|
|
* |
|
کنترل جامعیت و صحت |
|
* |
* |
جدول 4. مکانیزم های امنیتی مربوط به لایه های مختلف TCP/IP
|
مکانیزم/لایه |
Host to Network |
IP |
TCP |
Application |
|
رمزنگاری |
* |
* |
* |
* |
|
امضائ دیجیتال |
|
* |
* |
* |
|
کنترل دستیابی |
|
* |
* |
* |
|
درستی و صحت داده |
|
* |
* |
* |
|
کنترل مسیریابی |
|
* |
|
|
|
رد انکار ( سندیت ) |
|
* |
|
* |
جدول 5. مقایسه تجهیزات امنیتی در لایه های چهارگانه TCP/IP
|
تجهیزات امنیتی/لایه |
Host to Network |
IP |
TCP |
Application |
|
حفاظت فیزیکی |
* |
|
|
|
|
رمزنگاری |
* |
* |
* |
* |
|
IP Sec |
|
* |
|
|
|
SSL |
|
|
* |
|
|
Firewall |
|
* |
* |
* |
|
AntiVirus |
|
|
|
* |
|
AAA Server |
* |
* |
* |
* |
|
VPN |
* |
* |
* |
* |
|
PGP |
|
|
|
* |
|
IDS/IPS |
|
* |
* |
* |
انچه در مطالب فوق گفته شد چکیده توضیحاتی در مورد مدل شبکه های کامپیوتری است که همانطور که در ابتدا بیان شد دارای ایراداتی است که مهمترین انها عدم امنیت است و اشاره شد که ارائه یک الگوریتم امنیتی ثابت ممکن نیست هر مدیر امنیتی در هر سازمان یا شبکه با توجه به اطلاعاتی که از سیستم شبکه خود دارد باید به تنظیم یک سیاست امنیتی کامل و جامع بپردازد
