Professional Documents
Culture Documents
1 ANS 992 Jalili&Zolfaghari Introduction
1 ANS 992 Jalili&Zolfaghari Introduction
آزمایشگاهامنیتدادهوشبکهشریف
رسولجلیلیومجیدذوالفقا ری
نیمسالدوم۹۹-۰۰
مقدمهایبرامنیتشبکه
معرفی
موضوعاتدرس
.1مقدمهایبرامنیتشبکه
.2حفاظها()Firewall
.3سامانههایتشخیصنفوذ()IDS
.4حمالتمنعخدمت()DoS
.5سامانههایامنیتینسلآینده
.6پروتکلهایامنیتشبکه
.7امنیتشبکهملیاطالعات
.8بدافزارهایشبکهای
موضوعاتدرس -ادامه
.9تحلیلترافیک
.10شبکههایحافظگمنامی
.11امنیتمسیریابی
.12امنیتشبکههایسلولیوبیسیم
.13مرکزعملیاتامنیتیشبکه()SOC
.14فناوریهاینوظهوردرامنیتشبکه( ML ،NFV،SDNو)...
.15امنیتفناوریهاینوظهور( Cloud ،SDN،IoTو)...
نحوهارزیابی
۴نمره • امتحانمیاننیمسال
• پنجشنبه ۲۶فروردین – ۱۴۰۰ساعت ۱۰صبح
۷نمره • امتحانپایانی
• سهشنبه اول تیر – ۱۴۰۰ساعت ۹صبح
۶نمره • تمرینها:
• ۴تمرین دارای دو بخش تئوری و عملی
۲نمره • آزمونک:
• از فصل اول و دوم و مطالب درس امنیت داده و شبکه
۲نمره • ارائهمروری:
فهرستمطالب
• بدافزارها
• رمزنگاری
مبانیامنیتدادهوشبکه
)(Confidentiality محرمانگي
عدم افشای غیرمجاز دادهها •
صحت )(Integrity
• عدم دستکاری دادهها توسط افراد یا نرمافزارهای غیرمجاز
• عدم جعل منبع
)(Availability دسترسپذیري
دسترسی به دادهها توسط افراد مجاز در هر مکان و هر زمان •
دالیلناامنیشبکهها
• ضعف فناوری
پروتکل ،سیستم عامل ،تجهیزات •
• ضعف تنظیمات
رهاكردن تنظیمات پیشفرض ،گذرواژههای نامناسب ،عدم استفاده از رمزنگاری ،راهاندازی •
سرویسهای اینترنت بدون اعمال تنظیمات الزم... ،
• ضعف سیاستگذاری
عدم وجود سیاست امنیتی •
عدم وجود طرحی برای مقابله و بازیابی مخاطرات •
نداشتن نظارت امنیتی مناسب (مدیریتی و فنی) •
چرخهایجادامنیت
تست و
آزمون
آزمون نفوذ و
آسیبپذیری
خطمشیامنیتی)(Security Policy
• تعریف:
• نیازمندیهای امنیتی یک سازمان و یا یک سیستم اطالعاتی /ارتباطی
• در تعریف خطمشی امنیتی:
• باید مشخص شود كه چه نوع اطالعاتی در سازمان وجود دارد و هر یک تا چه حد
قابل دسترسی برای هر یک از افراد سازمان است.
• باید بدانید چه افرادی ،چه مسؤولیتهایی در اجرای اقدامات محافظتی سازمان دارند.
• باید بدانید تا چه اندازه و در چه نقاطی نیاز به اقدامات محافظتی دارید.
تعاریفومفاهیماولیه
سرویسهایامنیتی
سرویسهایامنیتی -ادامه
• عدمانكار )(Non-repudiation
• عدم امکان انکار دریافت/ارسال توسط گیرنده/فرستنده
• امضاء
• دسترسپذیري )(Availability
• در دسترس بودن به موقع خدمات برای كاربران مجاز
انواعحمالتازنظرتاثیر
Sniffer
دفاعالیهبهالیهیادفاعدرعمق
• تعریف :افزایش تعداد الیههای دفاعی و دشوار کردن مسیر دسترسی نفوذگران به
مناطق حساس و کلیدی سامانه یا شبکه.
مثال :دفاعدرعمقدریکسیستمشبکهای
• امنسازی كارگزار
• امنسازی كارخواه
مثال -امنسازیشبکهوارتباطات
مثال -امنسازیکارگزار
مثال -امنسازیکارخواه
• استفاده از ضد بدافزار
• استفاده از حفاظ شخصی
• استفاده از وصلههای امنیتی به روز برای سیستمعامل و نرمافزارهای نصب شده
مراتبمقابلهبانفوذوتهاجمدرسامانه
تهاجمات و حمالت
ترميم و بازیابی تشخيص پيشگيري
سیستمهای پشتیبان و ترمیم سامانه تشخیص نفوذ ()IDS شناسایی و احراز اصالت
خودکار
سامانه تلهعسل ()Honeypot کنترل دسترسی
مکانیزمهای پشتیبانگیری و
بازیابی اطالعات سامانه مدیریت اطالعات و حفاظ
راهاندازی سایت پشتیبان (به
رویدادهای امنیتی ()SIEM رمزنگاری و امضای دیجیتال
طور فیزیکی مجزا و مستقل)
بدافزارها
انواعبدافزارها
• ویروس ()Virus
• یک قطعه برنامه كوچک با انتشار از طریق چسبیدن به دیگر فایلها
• کرم ()Worm
• برنامه كوچک مستقل با توانایی كپی شدن و بیشتر انتشار از طریق شبکه
انواعبدافزارها -ادامه
• باجافزار ()Ransomware
• بدافزاری كه دسترسی یا كنترل كاربر به سیستم یا دادههایش را محدود
مینماید (با قفل كردن صفحه ،یا رمزگذاری فایلها ،یا دزدی فایلها و تهدید به
انتشار) و باجخواهی مینماید.
• جاسوسافزار ()Spyware
• به منظور جاسوسی از سیستم قربانی و ارسال اطالعات محرمانه.
• ترسافزار ()Scareware
• ترسافزار معموال با یک سری ترفند به كاربر القا میكند كه سیستم او دارای
مشکلی است یا به یک ویروس آلوده شده و تنها راه پاكسازی آن ،نصب همان
ترسافزار است.
انواعبدافزارها -ادامه
• تبليغافزار ()Adware
• با هدف تبلیغات به خصوص تبلیغات كاالها و خدمات غیرمجاز.
رمزنگاری
• رمزنگاری دانش تغییر دادن متن آشکار و تبدیل آن به متن رمز با استفاده
از یک كلید و یک الگوریتم رمزنگاری است.
• کاربردها:
• حفظ محرمانگي :اطمینان از اینکه هر دادة ذخیره شده و یا ارسالی بر روی
شبکه تنها توسط گیرندة موردنظر میتواند رمزگشایی و استفاده گردد.
• کنترل صحت :افزودن یک سرآیند رمزشده با یک كلید به داده در حال انتقال و
بازسازی و كنترل آن در مقصد.
• احراز اصالت کاربر یا پيام :رمز یک اطالع با كلیدی كه صرفاً در اختیار كاربر و
یا مبدأ موردنظر است و وارسی آن در مقصد.
انواعرمزنگاری
• رمزنگاري متقارن
استفاده از یک كلید نشست مشترك برای رمز دادهها بین دو فرد •
مساله اصلی :نیاز به تبادل كلید نشست مشترك از طریق یک كانال اَمن •
كاربردها :حفظ محرمانگی دادهها و كنترل صحت •
نیاز به زمان كمتری برای رمزگذاری و رمزگشایی (نسبت به الگوریتمهای •
نامتقارن) دارد.
• رمزهای متقارن را میتوان با دو روش عمده تولید كرد:
• رمزهای قطعهای یا قالبی ()Block Cipher
• رمزهای جریانی ()Stream Cipher
• رمزهای قالبی استاندارد:
• استاندارد رمزگذاری داده DES
• استاندارد رمزگذاری پیشرفته AES
انواعرمزنگاری -ادامه
• رمزنگاري نامتقارن
• هر فرد دارای یک كلید عمومی و یک كلید خصوصی است.
• كلید عمومی در اختیار همگان قرار دارد.
• كلید خصوصی صرفاً در اختیار فرد قرار دارد و باید به گونهای امن نگهداری شود.
• از نظر محاسباتی ،تولید كلید خصوصی با دانستن كلید عمومی غیرممکن است.
• نیاز به زیرساخت كلید عمومی ( )PKIجهت صدور گواهی كلید عمومی
• از هر یک از كلیدها میتوان برای رمزكردن استفاده كرد .در این صورت از كلید
دیگر برای رمزگشایی استفاده میشود( .ویژگی تقارنی)
• كاربردها :رمزنگاری جهت حفظ محرمانگی و امضای دیجیتال جهت احراز هویت،
كنترل صحت و عدم انکار
ElGamal ،Diffie-Hellman ،DSA ،RSA • الگوریتمهای رمز نامتقارن معروف:
احرازصحتپیامچیست؟
• اطمینان از:
-۱صحت محتوای پیام؛ یعنی پیام دریافتی دستکاری نشده است:
• بدون تغییر
• بدون درج
• بدون حذف
کدهایاحرازصحتپیام
Kmac
نیمسالدوم۹۹-۰۰ رسولجلیلیومجیدذوالفقاری امنیتشبکهپیشرفته 28/42
مقدمهایبرامنیتشبکه
نحوهعملکردکدهایاحرازصحتپیام
حسن علی
كلید مشترك كلید مشترك
امنیتکداحرازصحتپیام
امنیتکداحرازصحتپیام -ادامه
)min(2k, 2n
• ویژگیهای یک MACمناسب:
• با دانستن یک پیام و بر چسب آن ،یافتن پیام متفاوتی با برچسب یکسان از لحاظ
محاسباتی ناممکن باشد.
• توزیع خروجی MACباید یکنواخت باشد تا احتمال اینکه دو پیام تصادفی MAC
یکسان داشته باشند ،كمینه شود.
توابعچکیدهساز
نیازمندیهایتوابعچکیدهساز
امنیتتوابعچکیدهساز
معرفیIPSec
ویژگیهایIPSec
سرآیندهایIPSec
ُمدهای انتقالبستهدرIPSec
حفاظ()Firewall
شبکه محلی
Firewall
سامانهتشخیصنفوذ
سامانهتلهعسل)(Honeypot
پایان
• منبع:
• اسالیدهای دكتر مرتضی امینی – درس امنیت داده و شبکه (منبع اصلی)
• Cryptography And Network Security, 7th Edition, by William Stallings.
رایانامه:
jalili@sharif.edu
m.zolfaghari@sharif.edu
نیمسالدوم۹۹-۰۰ رسولجلیلیومجیدذوالفقاری امنیتشبکهپیشرفته 42/42