‫یا ذاالمن و االمان‬

‫آزمایشگاه‌امنیت‌داده‌و‌شبکه‌شریف‬

‫امنیت شبکه پیشرفته‬

‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫رسول‌جلیلی‌و‌مجید‌ذوالفقا ‌ری‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬
 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫معرفی‬

‫• درس امنیت شبکه پیشرفته ‪CE40-817‬‬

‫• نیمسال دوم تحصیلی ‪۹۹-۰۰‬‬
‫• زمان کالس‪ :‬یکشنبه و سهشنبه‪ ،‬ساعت ‪ ۱۵:۰۰‬تا ‪۱۶:۳۰‬‬
‫• محل تشکیل کالس‪ vc.sharif.edu/ch/jalili :‬یا ‪cw.sharif.edu‬‬

‫• مدرس‪ :‬رسول جلیلی و مجید ذوالفقاری‬

‫• رایانامه‪ jalili@sharif.edu :‬و ‪m.zolfaghari@sharif.edu‬‬
‫• تدریسیاران‪:‬‬
‫علی حبیبی ‪ahabibi@ce.sharif.edu‬‬ ‫•‬
‫مصیب حاجیمقصودی ‪hajimaghsoodi@ce.sharif.edu‬‬ ‫•‬
‫محمدرضا مقدس ‪mmoghaddas@ce.sharif.edu‬‬ ‫•‬
‫محمدامین باژند ‪bajand@ce.sharif.edu‬‬ ‫•‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪1/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫موضوعات‌درس‬

‫‪ .1‬مقدمه‌ای‌بر‌امنیت‌شبکه‬
‫‪ .2‬حفاظ‌ها‌(‪)Firewall‬‬
‫‪ .3‬سامانه‌های‌تشخیص‌نفوذ‌(‪)IDS‬‬
‫‪ .4‬حمالت‌منع‌خدمت‌(‪)DoS‬‬
‫‪ .5‬سامانه‌های‌امنیتی‌نسل‌آینده‬
‫‪ .6‬پروتکل‌های‌امنیت‌شبکه‌‬
‫‪ .7‬امنیت‌شبکه‌ملی‌اطالعات‌‬
‫‪ .8‬بدافزارهای‌شبکه‌ای‌‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪2/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫موضوعات‌درس‌‪ -‬ادامه‬

‫‪ .9‬تحلیل‌ترافیک‬
‫‪ .10‬شبکه‌های‌حافظ‌گمنامی‌‬
‫‪ .11‬امنیت‌مسیریابی‌‬
‫‪ .12‬امنیت‌شبکه‌های‌سلولی‌و‌بی‌سیم‌‬
‫‪ .13‬مرکز‌عملیات‌امنیتی‌شبکه‌(‪)SOC‬‬
‫‪ .14‬فناوری‌های‌نوظهور‌در‌امنیت‌شبکه‌(‪ ML ‌،NFV‌،SDN‬و‌‪)...‬‬
‫‪ .15‬امنیت‌فناوری‌های‌نوظهور‌(‪ Cloud ‌،SDN‌،IoT‬و‌‪)...‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪3/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫نحوه‌ارزیابی‬

‫‪ ۴‬نمره‬ ‫• امتحان‌میان‌نیم‌سال‬
‫• پنجشنبه ‪ ۲۶‬فروردین ‪ – ۱۴۰۰‬ساعت ‪ ۱۰‬صبح‬
‫‪ ۷‬نمره‬ ‫• امتحان‌پایانی‬
‫• سهشنبه اول تیر ‪ – ۱۴۰۰‬ساعت ‪ ۹‬صبح‬
‫‪ ۶‬نمره‬ ‫• تمرین‌ها‪:‬‬
‫• ‪ ۴‬تمرین دارای دو بخش تئوری و عملی‬

‫‪ ۲‬نمره‬ ‫• آزمونک‪:‬‬
‫• از فصل اول و دوم و مطالب درس امنیت داده و شبکه‬

‫‪ ۲‬نمره‬ ‫• ارائه‌مروری‪:‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪4/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫فهرست‌مطالب‬

‫• مبانی امنیت داده و شبکه‬

‫• بدافزارها‬

‫• رمزنگاری‬

‫• احراز صحت پیام‬

‫• امنیت الیه شبکه‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪5/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫مبانی‌امنیت‌داده‌و‌شبکه‬

‫امنيت دادهها‪ :‬مبتنی است بر تحقق سه ویژگی محرمانگی‪ ،‬صحت و دسترسپذیری‪.‬‬

‫)‪(Confidentiality‬‬ ‫‪‬محرمانگي‬
‫عدم افشای غیرمجاز دادهها‬ ‫•‬

‫‪‬صحت )‪(Integrity‬‬
‫• عدم دستکاری دادهها توسط افراد یا نرمافزارهای غیرمجاز‬
‫• عدم جعل منبع‬

‫)‪(Availability‬‬ ‫‪‬دسترسپذیري‬
‫دسترسی به دادهها توسط افراد مجاز در هر مکان و هر زمان‬ ‫•‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪6/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫دالیل‌ناامنی‌شبکه‌ها‬

‫• ضعف فناوری‬
‫پروتکل‪ ،‬سیستم عامل‪ ،‬تجهیزات‬ ‫•‬

‫• ضعف تنظیمات‬
‫رهاكردن تنظیمات پیشفرض‪ ،‬گذرواژههای نامناسب‪ ،‬عدم استفاده از رمزنگاری‪ ،‬راهاندازی‬ ‫•‬
‫سرویسهای اینترنت بدون اعمال تنظیمات الزم‪... ،‬‬

‫• ضعف سیاستگذاری‬
‫عدم وجود سیاست امنیتی‬ ‫•‬
‫عدم وجود طرحی برای مقابله و بازیابی مخاطرات‬ ‫•‬
‫نداشتن نظارت امنیتی مناسب (مدیریتی و فنی)‬ ‫•‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪7/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫چرخه‌ایجاد‌امنیت‬

‫احراز اصالت‪ ،‬فایروال‪،‬‬

‫رمزنگاری‪. . . ،‬‬
‫امنسازي‬

‫عملیات شبکه و امنیت‬

‫مدیریت‬ ‫خطمشي‬
‫پایش‬
‫و بهبود‬ ‫امنيتي‬ ‫سیستمهای تشخیص‬
‫نفوذ‪ ،‬تله عسل‪. . . ،‬‬

‫تست و‬
‫آزمون‬
‫آزمون نفوذ و‬
‫آسیبپذیری‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪8/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫خط‌مشی‌امنیتی‌)‪(Security Policy‬‬

‫• تعریف‪:‬‬
‫• نیازمندیهای امنیتی یک سازمان و یا یک سیستم اطالعاتی‪ /‬ارتباطی‬
‫• در تعریف خطمشی امنیتی‪:‬‬
‫• باید مشخص شود كه چه نوع اطالعاتی در سازمان وجود دارد و هر یک تا چه حد‬
‫قابل دسترسی برای هر یک از افراد سازمان است‪.‬‬
‫• باید بدانید چه افرادی‪ ،‬چه مسؤولیتهایی در اجرای اقدامات محافظتی سازمان دارند‪.‬‬
‫• باید بدانید تا چه اندازه و در چه نقاطی نیاز به اقدامات محافظتی دارید‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪9/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫تعاریف‌و‌مفاهیم‌اولیه‬

‫• آسيبپذیري )‪ :(Vulnerability‬درز یا مشکل شناختهشده و یا مشکوك در‬

‫طراحی‪ ،‬پیادهسازی‪ ،‬پیکربندی یا عملکرد سختافزار یا نرمافزار یک سیستم كه‬
‫موجب نفوذ در آن سیستم میگردد‪.‬‬
‫• رخنه (‪ :)Breach‬نقض خطمشی امنیتی یک سیستم‬
‫نفوذ )‪ :(Intrusion‬هر مجموعه از اعمال كه نتیجه آن نقض محرمانگی‪ ،‬صحت و‬ ‫•‬
‫یا دسترسپذیری یک منبع باشد‪.‬‬
‫حمله )‪ :(Attack‬یک نفوذ عمدی در یک سیستم اطالعاتی‪ /‬ارتباطی (معموالً با‬ ‫•‬
‫بهرهگیری از آسیبپذیریهای موجود)‪.‬‬
‫سازوکار امنيتي )‪ :(Security Mechanism‬هر روش‪ ،‬ابزار و یا رویهای كه‬ ‫•‬
‫برای اعمال یک خطمشی امنیتی به كار میرود‪.‬‬
‫سرویس امنيتي )‪ :(Security Service‬سرویسهای تضمینكنندة امنیت در‬ ‫•‬
‫یک سیستم و یا شبکه‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪10/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫سرویس‌های‌امنیتی‬

‫• حفظ صحت دادهها )‪(Integrity‬‬

‫• اطمینان از اینکه آنچه رسیده همان است كه فرستاده شده‪.‬‬
‫• كد احراز هویت پیام )‪(MAC‬‬
‫• امضاء‬

‫• حفظ محرمانگي دادهها )‪(Confidentiality‬‬

‫• اطمینان از اینکه تنها كاربران مورد نظر قادر به درك پیامها است‪.‬‬
‫• رمزنگاری‬

‫• احراز اصالت )‪(Authentication‬‬

‫• اطمینان از این كه كاربر همانی است كه ادعا میكند‪.‬‬
‫• كنترل و احراز هویت‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪11/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫سرویس‌های‌امنیتی‌‪ -‬ادامه‬

‫• کنترل دسترسي )‪(Access Control‬‬

‫• كاربر تنها به منابع مقرر شده حق دسترسی دارد‪.‬‬
‫• مجازشماری هم نامیده میشود‪.‬‬

‫• عدمانكار )‪(Non-repudiation‬‬
‫• عدم امکان انکار دریافت‪/‬ارسال توسط گیرنده‪/‬فرستنده‬
‫• امضاء‬

‫• دسترسپذیري )‪(Availability‬‬
‫• در دسترس بودن به موقع خدمات برای كاربران مجاز‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪12/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫انواع‌حمالت‌از‌نظر‌تاثیر‬

‫حمالت فعال )‪:(Active‬‬

‫هویت )‪(Masquerade‬‬ ‫جعل‬
‫ارسال دوباره پیغام )‪(Replay‬‬
‫تغییر )‪(Modification‬‬
‫منع خدمت )‪(Denial of Service‬‬

‫حمالت غيرفعال )‪:(Passive‬‬

‫تحلیل ترافیک‬
‫)‪(Traffic Analysis‬‬
‫انتشار پیغام )‪(Release of message‬‬

‫‪Sniffer‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪13/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫دفاع‌الیه‌به‌الیه‌یا‌دفاع‌در‌عمق‬

‫• تعریف‪ :‬افزایش تعداد الیههای دفاعی و دشوار کردن مسیر دسترسی نفوذگران به‬
‫مناطق حساس و کلیدی سامانه یا شبکه‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪14/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫مثال‪ :‬دفاع‌در‌عمق‌در‌یک‌سیستم‌شبکه‌ای‬

‫• امنسازی شبکه و ارتباطات‬

‫• امنسازی كارگزار‬

‫• امنسازی كارخواه‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪15/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫مثال‌‪ -‬امن‌سازی‌شبکه‌و‌ارتباطات‬

‫• استفاده از شبکه مبتنی بر سوئیچ‬

‫• افزایش مصونیت نسبت به شنود بسته‬
‫• امکان تعریف نواحی مختلف با سطوح امنیتی مختلف (مکانیزم ‪)VLAN‬‬
‫• امکان اعمال برخی سیاستهای دسترسی با امکاناتی همچون ‪Port Security‬‬

‫• استفاده از ابزارهای مدیریت شبکه‬

‫• توجه به امنیت و محرمانگی ارتباطات ‪Wireless‬‬
‫• رفع آسیبپذیریهای سرویسهای شبکه )… ‪(email, File Server,‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪16/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫مثال‌‪ -‬امن‌سازی‌کارگزار‬

‫• استفاده از ضدبدافزار (ترجیحا به صورت ‪)Corporate‬‬

‫• استفاده از وصلههاي امنیتی (‪ )Patch‬به روز برای سیستمعامل و نرمافزارهای‬
‫نصب شده‬
‫• تغییر در تنظیمات پیشفرض‬
‫• غیرفعال کردن سرویسهای غیرضروری‬
‫• مسدود کردن تمام پورتهای ‪ TCP/IP‬به غیر از موارد الزم‬
‫• اجرای سیاستهای امنیتي مختلف در خصوص گذرواژه‪ ،‬حسابرسي کاربران و ‪....‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪17/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫مثال‌‪ -‬امن‌سازی‌کارخواه‬

‫• استفاده از ضد بدافزار‬
‫• استفاده از حفاظ شخصی‬
‫• استفاده از وصلههای امنیتی به روز برای سیستمعامل و نرمافزارهای نصب شده‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪18/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫مراتب‌مقابله‌با‌نفوذ‌و‌تهاجم‌در‌سامانه‬

‫تهاجمات و حمالت‬
‫ترميم و بازیابی‬ ‫تشخيص‬ ‫پيشگيري‬
‫سیستمهای پشتیبان و ترمیم‬ ‫سامانه تشخیص نفوذ (‪)IDS‬‬ ‫شناسایی و احراز اصالت‬
‫خودکار‬
‫سامانه تلهعسل (‪)Honeypot‬‬ ‫کنترل دسترسی‬
‫مکانیزمهای پشتیبانگیری و‬
‫بازیابی اطالعات‬ ‫سامانه مدیریت اطالعات و‬ ‫حفاظ‬
‫راهاندازی سایت پشتیبان (به‬
‫رویدادهای امنیتی (‪)SIEM‬‬ ‫رمزنگاری و امضای دیجیتال‬
‫طور فیزیکی مجزا و مستقل)‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪19/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫بدافزارها‬

‫• بدافزار (‪ :)Malware‬یک قطعه كُد‪ ،‬اسکریپت‪ ،‬و یا برنامه كه به قصد‬

‫خرابکاری و اختالل در امنیت سیستمها یا شبکهها منتشر میشود‪.‬‬

‫• اهداف خرابكارانه بدافزارها‪:‬‬

‫• دزدی اطالعات محرمانه و نقض حریم خصوصی (مثال اطالعات بانکی)‬
‫• كندی و ایجاد وقفه و اختالل در سیستمها و سرویسدهی‬
‫• تخریب و تغییر اطالعات‬
‫• سوءاستفاده از منابع و سرویسها‬
‫• باجگیری‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪20/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫انواع‌بدافزارها‌‬

‫• ویروس (‪)Virus‬‬
‫• یک قطعه برنامه كوچک با انتشار از طریق چسبیدن به دیگر فایلها‬

‫• کرم (‪)Worm‬‬
‫• برنامه كوچک مستقل با توانایی كپی شدن و بیشتر انتشار از طریق شبکه‬

‫• اسب تروا (‪)Trojan Horse‬‬

‫• مخفی در یک برنامه مفید یا به صورت یک برنامه به ظاهر مفید‬

‫• بات (‪ )Bot‬و شبكه بات (‪)Botnet‬‬

‫• فراهم نمودن امکان كنترل تعدادی سیستم قربانی برای مقاصد سوء و انجام‬
‫حمالت جمعی توزیعشده‬
‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪21/42‬‬
 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫انواع‌بدافزارها‌‪ -‬ادامه‬

‫• باجافزار (‪)Ransomware‬‬
‫• بدافزاری كه دسترسی یا كنترل كاربر به سیستم یا دادههایش را محدود‬
‫مینماید (با قفل كردن صفحه‪ ،‬یا رمزگذاری فایلها‪ ،‬یا دزدی فایلها و تهدید به‬
‫انتشار) و باجخواهی مینماید‪.‬‬

‫• جاسوسافزار (‪)Spyware‬‬
‫• به منظور جاسوسی از سیستم قربانی و ارسال اطالعات محرمانه‪.‬‬

‫• ترسافزار (‪)Scareware‬‬
‫• ترسافزار معموال با یک سری ترفند به كاربر القا میكند كه سیستم او دارای‬
‫مشکلی است یا به یک ویروس آلوده شده و تنها راه پاكسازی آن‪ ،‬نصب همان‬
‫ترسافزار است‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪22/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫انواع‌بدافزارها‌‪ -‬ادامه‬

‫• تبليغافزار (‪)Adware‬‬
‫• با هدف تبلیغات به خصوص تبلیغات كاالها و خدمات غیرمجاز‪.‬‬

‫• جاسوس کيبورد (‪)Key Logger‬‬

‫• بدافزاری كه پس از نصب روی سیستم قربانی‪ ،‬آنچه را كه صاحب سیستم تایپ‬
‫میكند ذخیره كرده و برای مهاجم میفرستد‪.‬‬

‫• بمب منطقي (‪)Logical Bomb‬‬

‫• بدافزاری كه به محض وقوع شرایطی خاص (مثالً در یک تاریخ مشخص) فعال‬
‫میشود و به خرابکاری میپردازد‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪23/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫رمزنگاری‬

‫• رمزنگاری دانش تغییر دادن متن آشکار و تبدیل آن به متن رمز با استفاده‬
‫از یک كلید و یک الگوریتم رمزنگاری است‪.‬‬

‫• کاربردها‪:‬‬
‫• حفظ محرمانگي‪ :‬اطمینان از اینکه هر دادة ذخیره شده و یا ارسالی بر روی‬
‫شبکه تنها توسط گیرندة موردنظر میتواند رمزگشایی و استفاده گردد‪.‬‬
‫• کنترل صحت‪ :‬افزودن یک سرآیند رمزشده با یک كلید به داده در حال انتقال و‬
‫بازسازی و كنترل آن در مقصد‪.‬‬
‫• احراز اصالت کاربر یا پيام‪ :‬رمز یک اطالع با كلیدی كه صرفاً در اختیار كاربر و‬
‫یا مبدأ موردنظر است و وارسی آن در مقصد‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪24/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫انواع‌رمزنگاری‬

‫• رمزنگاري متقارن‬
‫استفاده از یک كلید نشست مشترك برای رمز دادهها بین دو فرد‬ ‫•‬
‫مساله اصلی‪ :‬نیاز به تبادل كلید نشست مشترك از طریق یک كانال اَمن‬ ‫•‬
‫كاربردها‪ :‬حفظ محرمانگی دادهها و كنترل صحت‬ ‫•‬
‫نیاز به زمان كمتری برای رمزگذاری و رمزگشایی (نسبت به الگوریتمهای‬ ‫•‬
‫نامتقارن) دارد‪.‬‬
‫• رمزهای متقارن را میتوان با دو روش عمده تولید كرد‪:‬‬
‫• رمزهای قطعهای یا قالبی (‪)Block Cipher‬‬
‫• رمزهای جریانی (‪)Stream Cipher‬‬
‫• رمزهای قالبی استاندارد‪:‬‬
‫• استاندارد رمزگذاری داده ‪DES‬‬
‫• استاندارد رمزگذاری پیشرفته ‪AES‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪25/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫انواع‌رمزنگاری‌‪ -‬ادامه‬

‫• رمزنگاري نامتقارن‬
‫• هر فرد دارای یک كلید عمومی و یک كلید خصوصی است‪.‬‬
‫• كلید عمومی در اختیار همگان قرار دارد‪.‬‬
‫• كلید خصوصی صرفاً در اختیار فرد قرار دارد و باید به گونهای امن نگهداری شود‪.‬‬
‫• از نظر محاسباتی‪ ،‬تولید كلید خصوصی با دانستن كلید عمومی غیرممکن است‪.‬‬
‫• نیاز به زیرساخت كلید عمومی (‪ )PKI‬جهت صدور گواهی كلید عمومی‬
‫• از هر یک از كلیدها میتوان برای رمزكردن استفاده كرد‪ .‬در این صورت از كلید‬
‫دیگر برای رمزگشایی استفاده میشود‪( .‬ویژگی تقارنی)‬
‫• كاربردها‪ :‬رمزنگاری جهت حفظ محرمانگی و امضای دیجیتال جهت احراز هویت‪،‬‬
‫كنترل صحت و عدم انکار‬
‫‪ElGamal ،Diffie-Hellman ،DSA ،RSA‬‬ ‫• الگوریتمهای رمز نامتقارن معروف‪:‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪26/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫احراز‌صحت‌پیام‌چیست؟‬

‫• اطمینان از‪:‬‬
‫‪ -۱‬صحت محتوای پیام؛ یعنی پیام دریافتی دستکاری نشده است‪:‬‬
‫• بدون تغییر‬
‫• بدون درج‬
‫• بدون حذف‬

‫‪ -۲‬پیام از جانب فرستندهی ادعا شده ارسال شده است‪.‬‬

‫• به منظور احراز صحت پیام نیاز به دو عنصر كاركردی داریم‪:‬‬

‫• عنصر اول‪ :‬یک تابع برای تولید عامل احرازكننده‬
‫• عنصر دوم‪ :‬یک پروتکل كه با استفاده از تابع فوق اصالت پیام را احراز كند‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪27/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫کد‌های‌احراز‌صحت‌پیام‬

‫• تولید یک برچسب با طول ثابت‪:‬‬

‫• وابسته به پیام‬
‫• لزوماً برگشتپذیر نیست (بر خالف توابع رمزنگاری)‬
‫• نیازمند اشتراك یک كلید مخفی بین طرفین‬
‫• آن را به اختصار ‪ MAC‬مینامند‪ .‬نام دیگر “‪”Cryptographic Checksum‬‬
‫• این برچسب را به پیام اضافه میكنند‪.‬‬
‫• گیرنده برچسب پیام را محاسبه نموده و با برچسب ارسالی مقایسه میكند‪.‬‬
‫• از صحت پیام و هویت فرستنده اطمینان حاصل میشود‪.‬‬
‫پیام‬
‫پیام‬ ‫‪MAC‬‬ ‫برچسب (‪ )TAG‬یا كد احراز صحت پیام‬

‫‪Kmac‬‬
‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪28/42‬‬
 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫نحوه‌عملکرد‌کد‌های‌احراز‌صحت‌پیام‬

‫حسن‬ ‫علی‬
‫كلید مشترك‬ ‫كلید مشترك‬

‫كد احراز‬ ‫كد احراز‬

‫داده‬ ‫‪MAC‬‬
‫شبکه‬ ‫‪V‬‬ ‫‪ 0‬یا ‪۱‬‬
‫خام‬
‫داده خام‬ ‫داده خام‬

‫‪V: Verification Function‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪29/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫امنیت‌کد‌احراز‌صحت‌پیام‌‬

‫• حمله آزمون جامع به كلید ‪MAC‬‬

‫• با داشتن یک متن و ‪ MAC‬آن‪ ،‬به صورت برونخط انجام میپذیرد‪.‬‬
‫• اگر طول كلید ‪ k‬بیت باشد‪ 2k ،‬كلید ممکن باید بررسی شود‪.‬‬
‫• با یافتن یک كلید‪ ،‬باید آن را با زوجهای دیگری چک كرد‪ ،‬چون‬
‫ممکن است چند كلید مختلف‪ ،‬یک متن را به چکیده یکسان نگاشت‬
‫كنند‪.‬‬
‫• حمله آزمون جامع برای كشف تصادم‬
‫• با داشتن یک ‪ ،MAC‬به دنبال پیامی میگردیم كه همان ‪ MAC‬را‬
‫حاصل نماید‪.‬‬
‫• اگر ‪ n ،MAC‬بیتی باشد‪ 2n ،‬پیام برای بروز تصادم باید تولید شود‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪30/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫امنیت‌کد‌احراز‌صحت‌پیام‌‪ -‬ادامه‬

‫• هزینه الزم برای حمله آزمون جامع به ‪ MAC‬برابر است با‬

‫)‪min(2k, 2n‬‬

‫• ویژگیهای یک ‪ MAC‬مناسب‪:‬‬
‫• با دانستن یک پیام و بر چسب آن‪ ،‬یافتن پیام متفاوتی با برچسب یکسان از لحاظ‬
‫محاسباتی ناممکن باشد‪.‬‬
‫• توزیع خروجی ‪ MAC‬باید یکنواخت باشد تا احتمال اینکه دو پیام تصادفی ‪MAC‬‬
‫یکسان داشته باشند‪ ،‬كمینه شود‪.‬‬

‫• نکته‪ :‬طول برچسب ‪ MAC‬همانند طول كلید در امنیت ‪ MAC‬تاثیر دارد‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪31/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫توابع‌چکیده‌ساز‬

‫• تابع یکطرفه با طول ورودی متغیر و طول خروجی ثابت‬

‫• در حالت كلی‪ ،‬بر خالف ‪ MAC‬و رمزنگاری كلیدی در كار نیست!‬
‫• نگاشت پیامهای طوالنی به رشتههای كوتاه به گونهای كه‪:‬‬
‫• یافتن پیامهای متفاوتی كه به یک رشته یکسان نگاشته شوند دشوار باشد‪.‬‬
‫• به این رشته‪ ،‬عصاره یا چکیده پیام (‪ )Message Digest‬گفته میشود‪.‬‬
‫• توابع چکیدهساز مهم‪HMAC ،SHA3 ،SHA2 ،SHA1 ،MD5 :‬‬
‫• ‪ MD5‬و ‪ SHA1‬امروزه امن محسوب نمیشوند‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪32/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫نیازمندی‌های‌توابع‌چکیده‌ساز‬

‫• توابع چکیدهساز باید یک طرفه (‪ )One-Way‬باشند‪.‬‬

‫• برای یک ‪ h‬داده شده‪ ،‬باید یافتن ‪ x‬به گونهای كه )‪ h = H(x‬از لحاظ‬
‫محاسباتی ناممکن باشد‪.‬‬

‫• مقاومت در برابر تصادم ضعیف (‪)Weak Collision‬‬

‫• برای یک ‪ x‬داده شده‪ ،‬باید یافتن ‪ y‬به گونهای كه )‪ H(y) = H(x‬باشد‪ ،‬از‬
‫لحاظ محاسباتی ناممکن باشد‪.‬‬

‫• مقاومت در برابر تصادم قوی (‪)Strong Collision‬‬

‫• یافتن ‪ x‬و ‪ y‬به گونهای كه )‪ H(y) = H(x‬باشد‪ ،‬از لحاظ محاسباتی ناممکن‬
‫باشد‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪33/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫امنیت‌توابع‌چکیده‌ساز‬

‫• توابع چکیدهساز باید یک طرفه باشند‪)Preimage resistant( .‬‬

‫• پیچیدگی جستجوی كامل (آزمون جامع) برای یافتن یک‬
‫پیشنگاره (یعنی یک مقدار ‪ x‬كه ‪ H(x)=h‬باشد) ‪ 2n‬است‪ ،‬كه ‪n‬‬
‫طول خروجی تابع است‪.‬‬
‫• مقاومت در برابر تصادم ضعیف (‪)Second preimage resistant‬‬
‫• پیچیدگی جستجوی كامل (آزمون جامع) ‪ 2n‬است‪.‬‬
‫با كمک حمله‬
‫روز تولد‬ ‫• مقاومت در برابر تصادم قوی (‪)Collision resistant‬‬
‫• پیچیدگی جستجوی كامل (آزمون جامع) ‪ 2n/2‬است‪.‬‬
‫• باید توجه داشت كه آزمون جامع بیانگر حداكثر امنیت ممکن برای تابع‬
‫است‪ ،‬زیرا ممکن است به دلیل ضعف طراحی‪ ،‬حمالت موثرتری نیز‬
‫امکان پذیر باشد‪.‬‬
‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪34/42‬‬
 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫معرفی‌‪IPSec‬‬

‫• ‪ IPSec‬یک پروتکل تنها نیست بلکه مجموعهای از الگوریتمهای امنیتی‬

‫است كه چارچوبی كلی را برای برقراری یک ارتباط امن فراهم می نماید‪.‬‬
‫• سرویسهای امنیتی فراهم شده توسط ‪IPSec‬‬
‫• احراز اصالت (به همراه كنترل صحت دادهها)‬
‫• محرمانگی بستهها‬
‫• مدیریت كلید (تبادل امن كلید)‬
‫• نمونه كاربردهای ‪IPSec‬‬
‫• ایجاد شبکه خصوصی مجازی (‪ )VPN‬برای شعبههای مختلف یک سازمان از‬
‫طریق اینترنت‬
‫• دسترسی امن كارمندان شركت به منابع شبکه از طریق اینترنت‬
‫• امکان ارتباط امن بین چند سازمان‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪35/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫ویژگی‌های‌‌‪IPSec‬‬

‫• دارای توصیف نسبتا مشکل‬

‫• پیادهسازی آن در ‪ IPv6‬الزامی و در ‪ IPv4‬اختیاری است‪.‬‬
‫• پروتکل ‪ IPSec‬در سرآیندهای توسعه یافته و بعد از سرآیند اصلی ‪ IP‬پیادهسازی‬
‫میشود‪.‬‬
‫• مستندات ‪ IPSec‬بسیار حجیم بوده و به صورت زیر دستهبندی شده است‪:‬‬
‫• معماری (‪)Architecture‬‬
‫• ‪ :(ESP) Encapsulating Security Payload‬رمزنگاری بستهها (احراز‬
‫اصالت به صورت اختیاری)‬
‫• ‪ :(AH) Authentication Header‬احراز اصالت بستهها‬
‫• مدیریت كلید‪ :‬تبادل امن كلیدها‬
‫• الگوریتمهای رمزنگاری و احراز اصالت‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪36/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫سرآیندهای‌‪IPSec‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪37/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫ُمدهای انتقال‌بسته‌در‌‪IPSec‬‬

‫• در هر دوی ‪ AH‬و ‪ ESP‬دو مُد ارسال بسته وجود دارد‪:‬‬

‫• مُد انتقال )‪(Transport Mode‬‬
‫• تغییرات تنها روی محتوای بسته صورت می گیرد‪ ،‬بدون تغییر سرآیند ‪IP‬‬
‫• در كاربردهای انتها به انتها (‪ )end-to-end‬یا میزبان به میزبان (‪)H2H‬‬
‫مثل كارگزار‪/‬كارفرما استفاده میشود‪.‬‬
‫• مُد تونل )‪(Tunnel Mode‬‬
‫• اعمال تغییرات روی كل بسته ‪( IP‬سرآیند‪ )Payload+‬و فرستادن نتیجه به‬
‫عنوان یک بسته جدید‬
‫• مورد استفاده در ارتباط ‪ Gateway‬به ‪ Gateway‬یا شبکه به شبکه‬
‫(‪ )N2N‬و همچنین میزبان به شبکه (‪.)H2N‬‬
‫• هیچ مسیریاب (‪ )router‬میانی قادر به تشخیص سرآیند داخلی نیست‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪38/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫حفاظ‌(‪)Firewall‬‬

‫• یک سیستم امنیتی مبتنی بر مکانیزم كنترل دسترسی‬

‫• موظف به كنترل دسترسی كاربران خارجی به سیستمهای داخلی‬
‫• تعیین مجوز دسترسی توسط مدیر امنیتی در قالب قواعد امنیتی‬
‫• ابزاری است برای كنترل و نظارت بر بستههای ارسالی و دریافتی‬
‫• بر اساس قواعدی كه برایش تعریف میشود به بستهها اجازه عبور یا عدم‬
‫عبور میدهد‪.‬‬
‫قاعده امنیتی‪ :‬فقط اتصال وروردی به‬
‫اينترنت‬ ‫پورت ‪ ۲۰۰۲‬مجاز است‪.‬‬
‫این بسته مشكلي ندارد!‬

‫شبکه محلی‬
‫‪Firewall‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪39/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫سامانه‌تشخیص‌نفوذ‬

‫• تشخيص نفوذ )‪(Intrusion Detection‬‬

‫• فرآیند نظارت بر وقایع رخداده در یک شبکه و یا سیستم كامپیوتری در جهت‬
‫كشف موارد انحراف از سیاستهای امنیتی‬

‫• سامانه تشخيص نفوذ )‪(IDS‬‬

‫• یک نرمافزار با قابلیت تشخیص‪ ،‬آشکارسازی و پاسخ به فعالیتهای غیرمجاز یا‬
‫غیرنرمال در رابطه با سامانه‬

‫• انواع روشهاي تشخيص‬

‫• تشخیص سوء استفاده‬
‫• تشخیص ناهنجاری‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪40/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫سامانه‌تله‌عسل‌)‪(Honeypot‬‬

‫• اغفال و فریب مهاجم جهت جمعآوری اطالعات بیشتر از نحوة عملکرد‬

‫آن‬
‫• شبیهسازی یک یا چند سرویس شبکه كه بر روی كارگزار مورد حفاظت‬
‫در حال اجرا میباشند‪.‬‬
‫• معمو ًال حاوی اطالعات و منابع با ارزشی هستند كه مورد توجه‬
‫مهاجمین قرار میگیرند و آنها را به سمت خود جذب میكنند‪.‬‬
‫• سیستم تله عسل ریسک امنیتی دارد‪ .‬اگر مهاجم بر آن تسلط یابد‪،‬‬
‫میتواند برای شبکه مشکلساز باشد‪.‬‬

‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪41/42‬‬

 ‫مقدمه‌ای‌بر‌امنیت‌شبکه‬

‫پایان‌‬

‫• منبع‪:‬‬
‫• اسالیدهای دكتر مرتضی امینی – درس امنیت داده و شبکه (منبع اصلی)‬
‫‪• Cryptography And Network Security, 7th Edition, by William Stallings.‬‬

‫آزمایشگاه امنیت داده و شبکه شریف‬

‫‪dnsl.ce.sharif.edu‬‬

‫رایانامه‪:‬‬
‫‪jalili@sharif.edu‬‬
‫‪m.zolfaghari@sharif.edu‬‬
‫نیم‌سال‌دوم‌‪۹۹-۰۰‬‬ ‫رسول‌جلیلی‌و‌مجید‌ذوالفقاری‬ ‫امنیت‌شبکه‌پیشرفته‬ ‫‪42/42‬‬