آبجی
24th April 2010, 06:03 PM
به گزارش سايت آشيانه، ما براي ايمن کردن شبکه هايي که بر پايه TCP/IP هستند از حفاظت لايه کاربردي ، لايه سوکت حفاظت شده يا Secure Socket Layer) ssl) و حفاظت پروتکل اينترنت (IPSec) استفاده مي کنيم .
حفاظت لايه کاربردي
TCP/IP شامل عملياتهاي حفاظتي نمي باشد و بجاي آن برنامه هايي که TCP/IP را به کار مي گيرند خودشان امنيت داده ها را به عهده مي گيرند . اگر برنامه کاربردي به اطمينان نياز داشت ، تهيه کنندگان برنامه کاربردي مجبور بودند قابليت هاي پنهان سازي را به برنامه هاي کاربردي اضافه کنند . براي شناسايي تهيه کنندگان برنامه کاربردي گاهي اوقات از امضاء ديجيتالي استفاده مي کنند تا مشخص کنند که داده از کجا مي آيد .
وقتي که برنامه کاربردي بررسي از جامعيت داده را نيازمند بود مجبور بود تا يک سرجمع کدنويسي شده قوي را شامل شود . برنامه کاربردي داده رابا استفاده از اين تکنيک ها ، قبل از فرستادن به پشته TCP/IP براي نقل و انتقال محافظت مي کند . ابزار بسياري براي حفاظت داده در لايه کاربردي توسعه يافته اند ولي فقط براي گونه هايي از برنامه هاي کاربردي مفيدند . از ابزارهايي که براي محافظت لايه برنامه کاربردي که به طور گسترده استفاده مي شوند مي توان به PGP و S/MIME و SSH اشاره کرد .
PGP براي کد گذاري و امضا کردن ديجيتالي فايل ها که مي توانند به وسيله بعضي از نرم افزارهاي به اشتراک گذاري فايل مانند سيستم فايل شبکه يا Windows File Sharing يا FTP فرستاده شوند . هر دو نسخه رايگان و تجاري PGP امروزه براي email و فرستادن فايل به طور گسترده استفاده مي شود . S/MIME يک استاندارد استفاده شونده گسترده براي حفاظت email در سطح برنامه هاي کاربردي است . اکثر کلاينت هاي مهم email امروزي مثل Microsoft Outlook ابزار S/MIME را پشتيباني مي کنند . SSH يا Secure Shell يک دسترسي از راه دور به کاربر مي دهد تا اعلاني را در طول نشست امن فرمان دهد . نسخه رايگان SSH به همراه سورس کد آن در سايت http://www.openssh.com براي دانلود موجود است و نسخه هاي تجاري SSH در سايت http://www.ssh.com قابل دسترسي اند ولي به يک نکته امنيتي درباره SSH اشاره کنم که نسخه هاي پايين SSH و OpenSSH داراي حفره هاي آسيب پذير هستند که به ما اجازه نفوذ به سرورهاي Unix و Linux و به دست گرفتن کنترل کامل سرور را از راه دور مي دهند و چون SSH و OpenSSH به روي پورت 22 سرورهاي Unix و سرورهاي مبتني بر کد باز نصب مي شوند مورد علاقه هکرها هستند و اگر قرار باشد که SSH در سيستم ما نصب شود بهتر است از آخرين نسخه آن و به همراه Patch ها و اصطلاحات امنيتي ارائه شده ار سوي شرکت SSH استفاده کنيم و راه نفوذ به پورت 22 را با اينکار ببنديم .
The Secure Socket Layer
سايتها و سرورهاي معتبر در سراسر جهان از ابزار SSL به صورت گسترده استفاده مي کنند . SSL به برنامه کاربردي اجازه اعتبار سنجي و کدگذاري کردن ارتباطات در طول شبکه را مي دهند . برنامه کاربردي که به حفاظت نياز داشته باشد بايد از SSL استفاده کند تا همه فايل ها - بسته ها و داده هايي که در طول شبکه فرستاده مي شوند را کدگذاري کند و اطلاعات را به پشته TCP/IP منتقل نمايد . SSL مي تواند يک راه اعتبارسنجي سرور به سرور را تهيه کند و هم مي تواند اعتبارسنجي هم سرور و هم کلاينت مثل کامپيوتر شما را با تأمين اينکه هر دو طرف شناسنامه ديجيتالي را شناسايي کرده اند حمايت کند . براي اينکه کار SSL را بهتر درک کنيد من يک مثال مي زنم ، بارها شده شما به سايت هاي مختلف از جمله ياهو يا آشيانه ... مراجعه کرديد بدون اينکه به قسمت پايين مرورگر وب خودتان توجه کرده باشيد ، وقتي شما سايت وب حفاظت شده اي را باز مي کنيد و عکس کليدي که در قسمت پايين و گوشه سمت راست مرورگر اينترنتتان به صورت قفل شده نشان داده مي شود ، Internet Explorer شما ارتباط SSL را با آن سايت برقرار کرده و مشخصاتش را تغيير داده است .
وقتي که از HTTPS استفاده مي کنيد شما واقعاً پروتکل HTTP روي SSL که البته توسط TCP/IP حمل شده است را اجرا مي کنيد چون SSL اغلب با مرورگر وب و HTTP در ارنباط است و به همين دليل امروزه در اکثر سايت هاي معتبر از SSL استفاده مي شود . SSL امنيت بالايي را مهيا مي کند اما براي اينکه در هر برنامه کاربردي مورد استفاده قرار گيرد ، هر برنامه سرور و کلاينت بايد دوباره تهيه شوند تا قابليت هاي SSL را شامل شوند و اگر شما حفاظت SSL را براي FTP يا Telnet مي خواهيد بايد سرور و کلاينت برنامه کاربردي که SSL را ساپورت مي کنند را پيدا يا خلق کنيد . ولي چون در دنياي هکرها هيچ چيز غير ممکن نيست مي توان با استفاده از روشهايي مثل Sniffing و برنامه هايي مثل Achilles که ابزاري است براي ويرايش کوکي ها به سرورهايي که حتي از SSL استفاده مي کنند نفوذ کرد که در درس هاي بعدي طرز کار با اين برنامه ها را برايتان توضيح مي دهم .
حفاظت پروتکل اينترنت IPSecure
IPSec نسخه ايمن پروتکل اينترنت يعني IP است و امنيت را دقيقاً در پشته TCP/IP ايجاد مي کند . بنابراين برنامه هايي که از IP استفاده مي کنند با استفاده از IPSec مي توانند ارتباط امني را بدون هيچ تغييري در برنامه شان ( کاري که SSL با تغيير در برنامه ها انجام مي داد و وقت گير بود ) ايجاد کنند . IPSec در لايه IP اعمالي از قبيل پيشنهاد اعتبار سنجي داده مبدأ ، خصوصي سازي ، جامعيت داده و حفاظت در برابر پاسخها را انجام مي دهد . هر دو سيستمي که با نسخه هاي يکساني از IPSec باشتد مي توانند به طور حفاظت شده در طول شبکه ، از جمله کامپيوتر من و سرور شما يا سرور من و ديواره آتش شما و يا فايروال شما و مسيرياب من ارتباط برقرار کنند . از آنجايي که IPSec در لايه IP عرضه شده است هر پروتکل با لايه بالاتر مانند UDP - TCP مي تواند از IPSec بهره ببرند . مهمتر از همه اينکه هر برنامه کاربردي در بالاي آن پروتکل لايه بالاتر مي تواند از قابليت هاي حفاظتي IPSec بهره ببرد . IPSec در نسخه 4 ، IP که من و شما هر روز در اينترنت استفاده مي کنيم جاسازي شده است .
IPSec همچنين در نسل بعدي آيپي به عنوان IP نسخه 6 ساخته شده است . IPSec از دو پروتکل تشکيل شده است ، هدر شناسايي AH و ESP که هر کدام قابليت هاي حفاظتي خودشان را نشان مي دهند . اين نکته را هم ذکر کنم که AH و ESP مي توانند به طور مستقل و يا با هم در يک بسته استفاده شوند . ولي متأسفانه IPSec هنوز به عنوان يک ابزار عمومي براي حفاظت از ارتباطات در سراسر اينترنت استفاده نمي شود و دلايل مختلفي هم براي اينکار وجود دارد که البته اميدواريم در آينده اي نزديک بتوانيم از IP نسخه 6 که از IPSec به صورت ايمن تر بهره مي برد در کشورمان ايران استفاده کنيم .
حفاظت لايه کاربردي
TCP/IP شامل عملياتهاي حفاظتي نمي باشد و بجاي آن برنامه هايي که TCP/IP را به کار مي گيرند خودشان امنيت داده ها را به عهده مي گيرند . اگر برنامه کاربردي به اطمينان نياز داشت ، تهيه کنندگان برنامه کاربردي مجبور بودند قابليت هاي پنهان سازي را به برنامه هاي کاربردي اضافه کنند . براي شناسايي تهيه کنندگان برنامه کاربردي گاهي اوقات از امضاء ديجيتالي استفاده مي کنند تا مشخص کنند که داده از کجا مي آيد .
وقتي که برنامه کاربردي بررسي از جامعيت داده را نيازمند بود مجبور بود تا يک سرجمع کدنويسي شده قوي را شامل شود . برنامه کاربردي داده رابا استفاده از اين تکنيک ها ، قبل از فرستادن به پشته TCP/IP براي نقل و انتقال محافظت مي کند . ابزار بسياري براي حفاظت داده در لايه کاربردي توسعه يافته اند ولي فقط براي گونه هايي از برنامه هاي کاربردي مفيدند . از ابزارهايي که براي محافظت لايه برنامه کاربردي که به طور گسترده استفاده مي شوند مي توان به PGP و S/MIME و SSH اشاره کرد .
PGP براي کد گذاري و امضا کردن ديجيتالي فايل ها که مي توانند به وسيله بعضي از نرم افزارهاي به اشتراک گذاري فايل مانند سيستم فايل شبکه يا Windows File Sharing يا FTP فرستاده شوند . هر دو نسخه رايگان و تجاري PGP امروزه براي email و فرستادن فايل به طور گسترده استفاده مي شود . S/MIME يک استاندارد استفاده شونده گسترده براي حفاظت email در سطح برنامه هاي کاربردي است . اکثر کلاينت هاي مهم email امروزي مثل Microsoft Outlook ابزار S/MIME را پشتيباني مي کنند . SSH يا Secure Shell يک دسترسي از راه دور به کاربر مي دهد تا اعلاني را در طول نشست امن فرمان دهد . نسخه رايگان SSH به همراه سورس کد آن در سايت http://www.openssh.com براي دانلود موجود است و نسخه هاي تجاري SSH در سايت http://www.ssh.com قابل دسترسي اند ولي به يک نکته امنيتي درباره SSH اشاره کنم که نسخه هاي پايين SSH و OpenSSH داراي حفره هاي آسيب پذير هستند که به ما اجازه نفوذ به سرورهاي Unix و Linux و به دست گرفتن کنترل کامل سرور را از راه دور مي دهند و چون SSH و OpenSSH به روي پورت 22 سرورهاي Unix و سرورهاي مبتني بر کد باز نصب مي شوند مورد علاقه هکرها هستند و اگر قرار باشد که SSH در سيستم ما نصب شود بهتر است از آخرين نسخه آن و به همراه Patch ها و اصطلاحات امنيتي ارائه شده ار سوي شرکت SSH استفاده کنيم و راه نفوذ به پورت 22 را با اينکار ببنديم .
The Secure Socket Layer
سايتها و سرورهاي معتبر در سراسر جهان از ابزار SSL به صورت گسترده استفاده مي کنند . SSL به برنامه کاربردي اجازه اعتبار سنجي و کدگذاري کردن ارتباطات در طول شبکه را مي دهند . برنامه کاربردي که به حفاظت نياز داشته باشد بايد از SSL استفاده کند تا همه فايل ها - بسته ها و داده هايي که در طول شبکه فرستاده مي شوند را کدگذاري کند و اطلاعات را به پشته TCP/IP منتقل نمايد . SSL مي تواند يک راه اعتبارسنجي سرور به سرور را تهيه کند و هم مي تواند اعتبارسنجي هم سرور و هم کلاينت مثل کامپيوتر شما را با تأمين اينکه هر دو طرف شناسنامه ديجيتالي را شناسايي کرده اند حمايت کند . براي اينکه کار SSL را بهتر درک کنيد من يک مثال مي زنم ، بارها شده شما به سايت هاي مختلف از جمله ياهو يا آشيانه ... مراجعه کرديد بدون اينکه به قسمت پايين مرورگر وب خودتان توجه کرده باشيد ، وقتي شما سايت وب حفاظت شده اي را باز مي کنيد و عکس کليدي که در قسمت پايين و گوشه سمت راست مرورگر اينترنتتان به صورت قفل شده نشان داده مي شود ، Internet Explorer شما ارتباط SSL را با آن سايت برقرار کرده و مشخصاتش را تغيير داده است .
وقتي که از HTTPS استفاده مي کنيد شما واقعاً پروتکل HTTP روي SSL که البته توسط TCP/IP حمل شده است را اجرا مي کنيد چون SSL اغلب با مرورگر وب و HTTP در ارنباط است و به همين دليل امروزه در اکثر سايت هاي معتبر از SSL استفاده مي شود . SSL امنيت بالايي را مهيا مي کند اما براي اينکه در هر برنامه کاربردي مورد استفاده قرار گيرد ، هر برنامه سرور و کلاينت بايد دوباره تهيه شوند تا قابليت هاي SSL را شامل شوند و اگر شما حفاظت SSL را براي FTP يا Telnet مي خواهيد بايد سرور و کلاينت برنامه کاربردي که SSL را ساپورت مي کنند را پيدا يا خلق کنيد . ولي چون در دنياي هکرها هيچ چيز غير ممکن نيست مي توان با استفاده از روشهايي مثل Sniffing و برنامه هايي مثل Achilles که ابزاري است براي ويرايش کوکي ها به سرورهايي که حتي از SSL استفاده مي کنند نفوذ کرد که در درس هاي بعدي طرز کار با اين برنامه ها را برايتان توضيح مي دهم .
حفاظت پروتکل اينترنت IPSecure
IPSec نسخه ايمن پروتکل اينترنت يعني IP است و امنيت را دقيقاً در پشته TCP/IP ايجاد مي کند . بنابراين برنامه هايي که از IP استفاده مي کنند با استفاده از IPSec مي توانند ارتباط امني را بدون هيچ تغييري در برنامه شان ( کاري که SSL با تغيير در برنامه ها انجام مي داد و وقت گير بود ) ايجاد کنند . IPSec در لايه IP اعمالي از قبيل پيشنهاد اعتبار سنجي داده مبدأ ، خصوصي سازي ، جامعيت داده و حفاظت در برابر پاسخها را انجام مي دهد . هر دو سيستمي که با نسخه هاي يکساني از IPSec باشتد مي توانند به طور حفاظت شده در طول شبکه ، از جمله کامپيوتر من و سرور شما يا سرور من و ديواره آتش شما و يا فايروال شما و مسيرياب من ارتباط برقرار کنند . از آنجايي که IPSec در لايه IP عرضه شده است هر پروتکل با لايه بالاتر مانند UDP - TCP مي تواند از IPSec بهره ببرند . مهمتر از همه اينکه هر برنامه کاربردي در بالاي آن پروتکل لايه بالاتر مي تواند از قابليت هاي حفاظتي IPSec بهره ببرد . IPSec در نسخه 4 ، IP که من و شما هر روز در اينترنت استفاده مي کنيم جاسازي شده است .
IPSec همچنين در نسل بعدي آيپي به عنوان IP نسخه 6 ساخته شده است . IPSec از دو پروتکل تشکيل شده است ، هدر شناسايي AH و ESP که هر کدام قابليت هاي حفاظتي خودشان را نشان مي دهند . اين نکته را هم ذکر کنم که AH و ESP مي توانند به طور مستقل و يا با هم در يک بسته استفاده شوند . ولي متأسفانه IPSec هنوز به عنوان يک ابزار عمومي براي حفاظت از ارتباطات در سراسر اينترنت استفاده نمي شود و دلايل مختلفي هم براي اينکار وجود دارد که البته اميدواريم در آينده اي نزديک بتوانيم از IP نسخه 6 که از IPSec به صورت ايمن تر بهره مي برد در کشورمان ايران استفاده کنيم .