Ehsan M
23rd April 2012, 04:21 PM
http://www.raeissi.com/images/stories/Public/tcpipandosi.jpg
هر لايه دارای مكانيزم های امنيتی ، پروتكل ها و برنامه های مختص به خود می باشد .
لايه فيزيكی : معادل لايه های اول و دوم مدل مرجع OSI
Packet Filters ، به منظور استقرار بين يك شبكه داخلی و يك شبكه خارجی طراحی می گردند. برای برخورد مناسب ( ارسال ، نپذيرفتن ، حذف ) با بسته های اطلاعاتی ورودی و يا خروجی از يك شبكه از مجموعه قوانين تعريف شده خاصی استفاده می گردد .
NAT ، مكانيزمی برای ترجمه آدرس است . اكثر كاربران اينترنت با سرعت بالا از NAT استفاده می نمايند . تكنولوژی فوق به منظور تامين امنيت كاربران ، آدرس داخلی آنان را از ديد شبكه های خارجی مخفی نگه می دارد .
CHAP ، يك پروتكل "تائيد" است كه از آن به عنوان گزينه ای جايگزين در مقابل ارسال معمولی و رمز نشده نام و رمز عبور استفاده می گردد . پروتكل فوق از الگوريتم MD5 برای رمزنگاری رمزهای عبور استفاده می نمايد .
PAP . پروتكل فوق ، به عنوان بهترين گزينه امنيتی در لايه فيزيكی مطرح نمی باشد و با ارائه امكاناتی كاربران را ملزم به درج نام و رمز عبور می نمايد . اطلاعات درج شده توسط كاربران به صورت متن معمولی ( رمز نشده ) ارسال می گردد ( مهمترين محدوديت پروتكل PAP ) .
لايه شبكه : معادل لايه سوم مدل مرجع OSI
PPTP توسط كنسرسيومی متشكل از مايكروسافت و 3com پياده سازی و هدف آن ارائه امكانات لازم به منظور كپسوله سازی داده می باشد . امنيت لازم برای PPTP توسط رمزنگاری Point-to-point مايكروسافت ارائه شده است .
L2TP : پروتكل V*PN فوق به منظور امنيت و بر اساس پروتكل های PPTP و L2F پياده سازی شده است .
IPsec : از پروتكل فوق به منظور حفاظت بسته های اطلاعاتی IP و دفاع در مقابل حملات شبكه ای استفاده می گردد . IPsec از پروتكل های امنيتی و مديريت كليد پويا استفاده نموده و دارای دو پيكربندی پايه AH و ESP می باشد .
لايه حمل : معادل لايه های چهارم و پنجم مدل مرجع OSI
SSL ، پروتكلی است كه با استفاده از آن به كابران اين اطمينان داده می شود كه به صورت ايمن اقدام به مبادله اطلاعات بر روی شبكه ( نظير اينترنت ) نمايند .
TLS ، پروتكلی مشابه پروتكل SSL است و از يك رويكرد لايه ای به منظور امنيت داده استفاده می نمايد . TLS از چندين پروتكل زير مجموعه ديگر تشكيل می گردد .
لايه كاربرد : برخی از وظايف لايه پنجم و معادل لايه های ششم و هفتم مدل مرجع OSI
RADIUS متداولترين پروتكل تائيد كاربران dialup در دنيای شبكه های كامپيوتری است . پروتكل فوق امكانات لازم برای تائيد و اعطای مجوز لازم به كابران dialup شبكه های كامپيوتری را فراهم می نمايد .
TACACS، يك پروتكل "تائيد" قديمی در شبكه های مبتنی بر سيستم عامل يونيكس است كه اين امكان را برای يك سرويس دهنده راه دور فراهم می نمايد تا رمز عبور درج شده توسط كاربران را به يك سرويس دهنده تائيد شده هدايت تا صلاحيت آنان برای استفاده از يك سيستم بررسی گردد .
Kerberos توسط MIT و به عنوان يك پروتكل تائيد قدرتمند پياده سازی شده است . پروتكل فوق برای تائيد مجوز كاربران در ارتباط با اشياء متفاوت از tickets استفاده می نمايد . Kerberos ، امكانات لازم به منظور رمزنگاری ، پيوستگی داده و محرمانگی را ارائه می نمايد .
S-MIME ، پروتكلی به منظور ايمن سازی نامه های الكترونيكی است . پروتكل فوق با بهره گيری از امكاناتی نظير رمزنگاری و امضاء ديجيتال ، امنيت نامه های الكترونيكی را تضمين می نمايد .
كارشناسان امينت اطلاعات بر اين عقيده هستند كه چون نمی توان يك شبكه و يا host را صرفا" با استفاده از امكانات امنيتی يك لايه صددرصد ايمن نمود ، می بايست از رويكرد "دفاع در عمق " و يا امنيت لايه ای ( layered security ) استفاده نمود . ايده "دفاع در عمق" می تواند بطرز قابل توجهی كاهش حملات موفقيت آميز را به دنبال داشته باشد.
هر لايه دارای مكانيزم های امنيتی ، پروتكل ها و برنامه های مختص به خود می باشد .
لايه فيزيكی : معادل لايه های اول و دوم مدل مرجع OSI
Packet Filters ، به منظور استقرار بين يك شبكه داخلی و يك شبكه خارجی طراحی می گردند. برای برخورد مناسب ( ارسال ، نپذيرفتن ، حذف ) با بسته های اطلاعاتی ورودی و يا خروجی از يك شبكه از مجموعه قوانين تعريف شده خاصی استفاده می گردد .
NAT ، مكانيزمی برای ترجمه آدرس است . اكثر كاربران اينترنت با سرعت بالا از NAT استفاده می نمايند . تكنولوژی فوق به منظور تامين امنيت كاربران ، آدرس داخلی آنان را از ديد شبكه های خارجی مخفی نگه می دارد .
CHAP ، يك پروتكل "تائيد" است كه از آن به عنوان گزينه ای جايگزين در مقابل ارسال معمولی و رمز نشده نام و رمز عبور استفاده می گردد . پروتكل فوق از الگوريتم MD5 برای رمزنگاری رمزهای عبور استفاده می نمايد .
PAP . پروتكل فوق ، به عنوان بهترين گزينه امنيتی در لايه فيزيكی مطرح نمی باشد و با ارائه امكاناتی كاربران را ملزم به درج نام و رمز عبور می نمايد . اطلاعات درج شده توسط كاربران به صورت متن معمولی ( رمز نشده ) ارسال می گردد ( مهمترين محدوديت پروتكل PAP ) .
لايه شبكه : معادل لايه سوم مدل مرجع OSI
PPTP توسط كنسرسيومی متشكل از مايكروسافت و 3com پياده سازی و هدف آن ارائه امكانات لازم به منظور كپسوله سازی داده می باشد . امنيت لازم برای PPTP توسط رمزنگاری Point-to-point مايكروسافت ارائه شده است .
L2TP : پروتكل V*PN فوق به منظور امنيت و بر اساس پروتكل های PPTP و L2F پياده سازی شده است .
IPsec : از پروتكل فوق به منظور حفاظت بسته های اطلاعاتی IP و دفاع در مقابل حملات شبكه ای استفاده می گردد . IPsec از پروتكل های امنيتی و مديريت كليد پويا استفاده نموده و دارای دو پيكربندی پايه AH و ESP می باشد .
لايه حمل : معادل لايه های چهارم و پنجم مدل مرجع OSI
SSL ، پروتكلی است كه با استفاده از آن به كابران اين اطمينان داده می شود كه به صورت ايمن اقدام به مبادله اطلاعات بر روی شبكه ( نظير اينترنت ) نمايند .
TLS ، پروتكلی مشابه پروتكل SSL است و از يك رويكرد لايه ای به منظور امنيت داده استفاده می نمايد . TLS از چندين پروتكل زير مجموعه ديگر تشكيل می گردد .
لايه كاربرد : برخی از وظايف لايه پنجم و معادل لايه های ششم و هفتم مدل مرجع OSI
RADIUS متداولترين پروتكل تائيد كاربران dialup در دنيای شبكه های كامپيوتری است . پروتكل فوق امكانات لازم برای تائيد و اعطای مجوز لازم به كابران dialup شبكه های كامپيوتری را فراهم می نمايد .
TACACS، يك پروتكل "تائيد" قديمی در شبكه های مبتنی بر سيستم عامل يونيكس است كه اين امكان را برای يك سرويس دهنده راه دور فراهم می نمايد تا رمز عبور درج شده توسط كاربران را به يك سرويس دهنده تائيد شده هدايت تا صلاحيت آنان برای استفاده از يك سيستم بررسی گردد .
Kerberos توسط MIT و به عنوان يك پروتكل تائيد قدرتمند پياده سازی شده است . پروتكل فوق برای تائيد مجوز كاربران در ارتباط با اشياء متفاوت از tickets استفاده می نمايد . Kerberos ، امكانات لازم به منظور رمزنگاری ، پيوستگی داده و محرمانگی را ارائه می نمايد .
S-MIME ، پروتكلی به منظور ايمن سازی نامه های الكترونيكی است . پروتكل فوق با بهره گيری از امكاناتی نظير رمزنگاری و امضاء ديجيتال ، امنيت نامه های الكترونيكی را تضمين می نمايد .
كارشناسان امينت اطلاعات بر اين عقيده هستند كه چون نمی توان يك شبكه و يا host را صرفا" با استفاده از امكانات امنيتی يك لايه صددرصد ايمن نمود ، می بايست از رويكرد "دفاع در عمق " و يا امنيت لايه ای ( layered security ) استفاده نمود . ايده "دفاع در عمق" می تواند بطرز قابل توجهی كاهش حملات موفقيت آميز را به دنبال داشته باشد.