‫دانشگاه صنعتی شریف‬
‫دانشکده مهندسی کامپیوتر‬
‫آزمایشگاه امنیت داده و شبکه‬
‫‪http://dnsl.ce.sharif.edu‬‬
‫درس ‪ :1‬مفاهیم و تعاریف اولیه‬
‫محمد صادق دوستی‬
‫‪1 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫• محتوا و جایگاه درس‬
‫• ضرورت امنیت داده و شبکه‬
‫• مفاهیم اولیه‬
‫• دشواری برقراری امنیت‬
‫• انواع و ماهیت حمالت‬
‫• خدمات امنیتی‬
‫• مدلهای امنیت شبکه‬
‫‪2 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫موضوعات تحت پوشش درس ‪1 -‬‬
‫‪ ‬مقدمات‬
‫‪‬درس ‪ :1‬مفاهیم و تعاریف اولیه‬
‫‪‬درس ‪ :2‬ساز و کارهای تأمین امنیت‬
‫‪ ‬اصول رمزنگاری‬
‫‪‬درس ‪ :3‬مفاهیم رمزنگاری و رمزنگاری سنتی‬
‫‪‬درس ‪ :4‬رمزنگاری متقارن (مدرن)‬
‫‪‬درس ‪ :5‬رمزنگاری نامتقارن (کلید عمومی)‬
‫‪‬درس ‪ :6‬کدهای تصدیق هویت پیام و توابع درهمساز‬
‫‪‬درس ‪ :7‬امضای رقمی و زیرساخت کلید عمومی‬
‫‪3 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫موضوعات تحت پوشش درس ‪2 -‬‬
‫‪ ‬پروتکلهای امنیتی‬
‫‪‬درس ‪ :8‬طراحی پروتکلهای رمزنگاری‬
‫‪‬درس ‪ :9‬پروتکل کربروس‬
‫‪‬درس ‪ :10‬امنیت رایانامه‬
‫‪‬درس ‪SSL/TLS :11‬‬
‫‪‬درس ‪IPsec :12‬‬
‫‪4 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫موضوعات تحت پوشش درس ‪3 -‬‬
‫‪ ‬تجهیزات امنیتی‬
‫‪‬درس ‪ :13‬دیوار آتش‬
‫‪‬درس ‪ :14‬سیستم تشخیص نفوذ‬
‫‪ ‬درس ‪ :15‬کنترل دسترسی‬
‫‪ ‬درس ‪ :16‬ارزیابی امنیتی‬
‫‪5 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سایر دروس امنیتی دانشکده ‪1 -‬‬
‫‪ ‬امنیت شبکه پیشرفته (شماره درس‪)40-817 :‬‬
‫‪‬الگوریتمهای داخلی دیوار آتش‪ ،‬سیستم تشخیص نفوذ‪ ،‬مقابلهه بها‬
‫حمالت منع خدمت‪ ،‬تشخیص کرم و باتنت‪ ،‬تله عسهل‪ ،‬مقابلهه بها‬
‫جاسوسافزار‪ ،‬فیشینگ‪ ،‬تحلیل ترافیک‪ ،‬گمنامی‪ ،‬امنیت مسیردهی‪،‬‬
‫مقابله و کشف جرایم رایانهای‪ ،‬امنیت شبکه بیسیم و ‪VoIP‬‬
‫‪ ‬توسعه امن نرمافزار (شماره درس‪)40-874 :‬‬
‫‪‬چرخه تولید امن نرمافزار (تحلیل‪ ،‬طراحی‪ ،‬پیهادهسهازی‪ ،‬آزمهون)‪،‬‬
‫آزمون نفوذ‪ ،‬مهندسی معکوس‪ ،‬قفل شکنی‬
‫‪6 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سایر دروس امنیتی دانشکده ‪2 -‬‬
‫‪ ‬امنیت سختافزار (شماره درس‪)40-843 :‬‬
‫‪‬حمهالت فیزیکههی و مقاومههت در برابهر دسههتکاری‪ ،‬حمههالت کانههال‬
‫جانبی‪ ،‬اسب تروای سختافزاری‬
‫‪ ‬روشهای صوری در امنیت اطالعات (شماره درس‪)40-873 :‬‬
‫‪‬توصیف‪ ،‬مدلسازی‪ ،‬و وارسهی سیسهتمها و پروتکلههای امنیتهی بهر‬
‫مبنای منطق‬
‫‪7 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سایر دروس امنیتی دانشکده ‪3 -‬‬
‫‪ ‬امنیت پایگاه داده (شماره درس‪)40-734 :‬‬
‫‪‬مدلهای کنترل دسترسی (‪ )... ،RBAC ،MAC ،DAC‬طراحهی‬
‫پایگاه داده امن‪ ،‬امنیت پایگاه داده آماری‪ ،‬پرس و جو روی داده رمز‬
‫شده‬
‫‪ ‬نظریه رمزنگاری (شماره درس‪)40-675 :‬‬
‫‪‬مدلسازی‪ ،‬تعریف‪ ،‬ساخت و اثبات امنیت سهاختارها و پروتکلههای‬
‫امنیتی مبتنی بر نظریه پیچیدگی‬
‫‪8 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سایر گروههای امنیت اطالعات در دانشگاه شریف‬
‫‪ ‬دانشکده مهندسی برق – پژوهشکده الکترونیک‬
‫‪‬دکتر عارف (امنیت و نظریه اطالعات)‬
‫‪‬دکتر اقلیدس (امنیت پروتکل)‬
‫‪‬دکتر سلماسیزاده (رمزنگاری)‬
‫‪‬مهندس مهاجری (ریاضی رمز‪ ،‬امنیت پروتکل)‬
‫‪ ‬دانشکده علوم ریاضی‬
‫‪‬دکتر دانشگر (رمزنگاری مبتنی بر نظریه پیچیدگی)‬
‫‪‬دکتر خزایی (رمزنگاری)‬
‫‪9 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫• محتوا و جایگاه درس‬
‫• ضرورت امنیت داده و شبکه‬
‫• مفاهیم اولیه‬
‫• دشواری برقراری امنیت‬
‫• انواع و ماهیت حمالت‬
‫• خدمات امنیتی‬
‫• مدلهای امنیت شبکه‬
‫‪10 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫امنیت چیست؟‬
‫‪ ‬به طور غیر رسمی‪ :‬امنیت عبارت است از حفاظت از آنچهه بهرای‬
‫ما ارزشمند است‪.‬‬
‫‪‬در برابر حمالت عمدی‬
‫‪‬در برابر نفوذ غیر عمدی‬
‫‪11 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫اقدامات امنیتی‬
‫‪ ‬پیشگیری )‪(Prevention‬‬
‫‪‬جلوگیری از خسارت‬
‫‪ ‬تشخیص و ردیابی )‪(Detection & Tracing‬‬
‫‪‬میزان خسارت‬
‫‪ ‬هویت دشمن‬
‫‪‬چگونگی حمله (زمان‪ ،‬مکان‪ ،‬دالیل حمله‪ ،‬نقاط ضعف و ‪)...‬‬
‫‪ ‬واکنش )‪(Reaction‬‬
‫‪‬ترمیم‪ ،‬بازیابی و جبران خسارات‬
‫‪‬جلوگیری از حمالت مجدد‬
‫‪12 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫اقدامات امنیتی‬
‫‪1‬‬
‫پیشگیری‬
‫‪Prevention‬‬
‫‪2‬‬
‫‪3‬‬
‫تشخیص‬
‫‪Detection‬‬
‫‪13 / 66‬‬
‫واکنش‬
‫‪Reaction‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫امنیت اطالعات‪ :‬گذشته و حال‬
‫امنیت اطالعات دنیای نوین‬
‫امنیت اطالعات سنتی‬
‫‪‬‬
‫نگهداری اطالعات در قفسههای‬
‫قفلدار‬
‫‪‬‬
‫نگهداری قفسهها در مکانهای‬
‫امن‬
‫‪‬‬
‫استفاده از نگهبان‬
‫‪‬‬
‫استفاده از سیستمهای‬
‫الکترونیکی نظارت‬
‫‪‬‬
‫روشهای فیزیکی و مدیریتی‬
‫‪14 / 66‬‬
‫‪‬‬
‫‪‬‬
‫نگهداری اطالعات در کامپیوترها‬
‫برقراری ارتباط شبکهای بین‬
‫کامپیوترها‬
‫‪‬‬
‫برقراری امنیت در کامپیوترها و‬
‫شبکهها‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫آمار منتشر شده توسط ‪CERT‬‬
‫‪CERT: Computer Emergency Response Team‬‬
‫‪140,000‬‬
‫‪120,000‬‬
‫‪100,000‬‬
‫‪60,000‬‬
‫‪40,000‬‬
‫تعداد وقایع‬
‫‪80,000‬‬
‫‪20,000‬‬
‫‪0‬‬
‫‪2003‬‬
‫‪2001‬‬
‫‪1999‬‬
‫‪1997‬‬
‫‪1995‬‬
‫‪1993‬‬
‫‪1991‬‬
‫‪1989‬‬
‫سال‬
‫‪15 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫ابزار مهاجمان‬
‫ابزار مهاجمان‬
‫زیاد‬
Packet Forging, Spoofing
DDoS
Back Doors
Exploiting Known Vulnerability
Self-Replicating
Code
Internet Worms
Sniffers
Sweepers
Disabling Audits
Password Cracking
‫نیاز مهاجمان‬
‫به دانش‬
Password Guessing
‫کم‬
1980
‫محمد صادق دوستی‬
1990
‫امنیت داده و شبکه‬
2000
16 / 66
‫نیازهای امنیتی‪ :‬گذشته و حال‬
‫‪ ‬از دو نمودار قبلی بخوبی پیداست‪:‬‬
‫‪ ‬تعداد حمالت علیهه امنیهت اطالعهات بهه طهور قابهل مالحظههای‬
‫افزایش یافته است‪.‬‬
‫‪‬امروزه تدارک حمله با در اختیار بودن ابزارهای فراوان در دسترس‬
‫به دانش زیادی احتیاج ندارد (بر خالف گذشته)‪.‬‬
‫‪17 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫نگاهی به گزارش ‪ BIS‬انگلیس (‪)1‬‬
‫میزان نفوذ به سازمانهای شرکت کننده در آمار‬
‫‪2013‬‬
‫‪2014‬‬
‫سازمان بزرگ‬
‫‪%86‬‬
‫‪%81‬‬
‫سازمان کوچک‬
‫‪%64‬‬
‫‪%60‬‬
‫میزان نفوذ اندکی کاهش یافته است‪.‬‬
‫مخارج ناشی از بدترین نفوذ به سازمانهای‬
‫شرکت کننده در آمار (هزار پوند)‬
‫‪2013‬‬
‫‪2014‬‬
‫سازمان بزرگ‬
‫‪ 450‬تا ‪850‬‬
‫‪ 600‬تا ‪1150‬‬
‫سازمان کوچک‬
‫‪ 35‬تا ‪65‬‬
‫‪ 65‬تا ‪115‬‬
‫‪18 / 66‬‬
‫امنیت داده و شبکه‬
‫مخارج نفوذ تقریباً ‪ 2‬برابر شده است‪.‬‬
‫محمد صادق دوستی‬
‫نگاهی به گزارش ‪ BIS‬انگلیس (‪)2‬‬
‫‪80‬‬
‫‪70‬‬
‫‪60‬‬
‫‪50‬‬
‫‪40‬‬
‫‪30‬‬
‫‪20‬‬
‫‪10‬‬
‫‪0‬‬
‫‪2013‬‬
‫‪2014‬‬
‫مهاجم خارجی‬
‫عوامل داخلی‬
‫کالهبرداری‬
‫سازمانهای بزرگ‬
‫بدافزار‬
‫‪80‬‬
‫‪70‬‬
‫‪60‬‬
‫‪50‬‬
‫سازمانهای کوچک‬
‫‪40‬‬
‫‪2013‬‬
‫‪30‬‬
‫‪2014‬‬
‫‪20‬‬
‫‪10‬‬
‫‪0‬‬
‫مهاجم خارجی‬
‫‪19 / 66‬‬
‫عوامل داخلی‬
‫امنیت داده و شبکه‬
‫کالهبرداری‬
‫بدافزار‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫• محتوا و جایگاه درس‬
‫• ضرورت امنیت داده و شبکه‬
‫• مفاهیم اولیه‬
‫• دشواری برقراری امنیت‬
‫• انواع و ماهیت حمالت‬
‫• خدمات امنیتی‬
‫• مدلهای امنیت شبکه‬
‫‪20 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫مبانی امنیت دادهها‬
‫‪ ‬سه ویژگی اساسی‪ :‬محرمانگی‪ ،‬صحت و دسترسپذیری‪.‬‬
‫‪ ‬محرمانگی )‪(Confidentiality‬‬
‫‪‬عدم افشای غیرمجاز دادهها‬
‫‪ ‬صحت )‪(Integrity‬‬
‫محرمانگی (‪)C‬‬
‫مثلث ‪CIA‬‬
‫صحت (‪)I‬‬
‫دسترسپذیری (‪)A‬‬
‫‪«‬عدم امکان دستکاری» و‪/‬یا «امکان کشف دستکاری» دادهها توسط‬
‫افراد یا نرمافزارهای غیرمجاز‬
‫‪ ‬دسترسپذیری )‪(Availability‬‬
‫‪‬دسترسی به دادهها توسط افراد مجاز در «مکان و زمان» مجاز‬
‫‪21 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫محرمانگی‬
‫‪ ‬محرمانگی داده (‪)Data Confidentiality‬‬
‫‪‬اطمینان از اینکه دادههای محرمانه و خصوصی برای افراد غیرمجاز‬
‫فاش نمیشوند‪.‬‬
‫‪ ‬حفظ حریم خصوصی (‪)Privacy‬‬
‫‪‬اطمینان از اینکه افراد میتواننهد روی امکهان و نحهوه جمهعآوری‪،‬‬
‫ذخیرهسازی و انتشار یها افشهای دادهههای خصوصهی خهود توسهط‬
‫دیگران کنترل و تاثیر داشته باشند‪.‬‬
‫‪22 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫محرمانگی‬
‫‪ ‬ساز و کارهای متداول‪:‬‬
‫‪‬رمزنگاری‬
‫‪‬کنترل دسترسی‬
‫‪My Credit‬‬
‫‪Card PIN #:‬‬
‫‪1234‬‬
‫‪23 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫صحت‬
‫‪ ‬صحت داده (‪)Data Integrity‬‬
‫‪‬اطمینان از اینکه دادهها و یا برنامهها توسط افراد غیرمجهاز تیییهر‬
‫نمییابند‪ ،‬و در صورت تیییر ما متوجه خواهیم شد‪.‬‬
‫‪ ‬صحت منبع (‪)Origin Integrity‬‬
‫‪‬اطمینان از درستی و صحت منبع (فرستنده) اطالعات‪.‬‬
‫‪24 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫صحت‬
‫‪ ‬ساز و کارهای متداول‪:‬‬
‫‪‬امضای دیجیتال‬
‫‪‬کد تصدیق هویت پیام‬
‫‪‬کنترل دسترسی‬
‫انتقال پول از‬
‫علی به حسین‬
‫انتقال پول از‬
‫علی به محمود‬
‫‪25 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫دسترسپذیری‬
‫‪ ‬تعریف‪ :‬دسترسی به دادهها و خدمتدهی به افراد مجاز در زمان و‬
‫مکان مجاز‪.‬‬
‫‪ ‬ساز و کارهای متداول‪:‬‬
‫‪‬وجود پشتیبان‬
‫‪‬تکرار داده و خدمت‬
‫‪‬سیستمهای پایش و توزیع بار‬
‫‪26 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫تعاریف و مفاهیم اولیه امنیت‬
‫‪ ‬انواع تعاریف امنیتی در مستندات و استانداردهای مختلف‪:‬‬
‫‪ :RFC 4949‬واژگان امنیتی اینترنت‪ ،‬نسخه ‪2‬‬
‫تعاریف مورد‬
‫استفاده ما‬
‫‪ ISO/IEC‬سری ‪( 27000‬مشهور به ‪)ISMS‬‬
‫‪( NIST IR 7298‬واژهنامه اصطالحات اساسی امنیت اطالعات)‬
‫‪‬واژگان ‪ENISA‬‬
‫‪‬واژگان ‪ISACA‬‬
‫‪...‬‬
‫‪27 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سطوح مختلف امنیت‬
‫چه خدمات امنیتی‬
‫باید فراهم شود‬
‫سیاست )‪ (Policy‬امنیتی‬
‫مدل )‪ (Model‬امنیتی‬
‫معماری )‪ (Architecture‬امنیتی‬
‫ساز و کار )‪ (Mechanism‬امنیتی‬
‫چگونه خدمات امنیتی‬
‫باید پیادهسازی شود‬
‫‪28 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫خدمات امنیتی‬
‫‪ ‬خدمت امنیتی‪:‬‬
‫‪‬یک خدمت پردازشی یا ارتباطی از سیستم؛‬
‫‪‬جهت فراهم آوردن نوع مشخصی از محافظت برای منابع سیستم‪.‬‬
‫‪ ‬مثال‪:‬‬
‫‪‬خدمت کنترل دسترسی‬
‫‪‬خدمت محرمانگی داده‬
‫‪‬خدمت تصدیق هویت موجودیت‬
‫‪29 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫ساز و کار امنیتی‬
‫‪ ‬یک روش‪ ،‬فرآیند یا ابزار؛‬
‫‪ ‬جهت پیادهسازی یک خدمت امنیتی؛‬
‫‪ ‬که توسط یک سیستم یا درون آن فراهم میشود‪.‬‬
‫‪ ‬مثال‪:‬‬
‫‪‬رمزنگاری‬
‫‪‬دیوار آتش‬
‫‪30 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫معماری امنیتی‬
‫‪ ‬طرح و مجموعهای از اصول که موارد زیر را توصیف میکند‪:‬‬
‫‪‬خدمات امنیتی که یک سیستم باید در جهت رفع نیهاز کهاربرانش‬
‫فراهم آورد؛‬
‫‪‬اجزایی الزم جهت پیادهسازی خدمات امنیتی؛‬
‫‪‬سطوح کارایی مورد نیاز اجزا جهت تعامل با محیط تهدید‪.‬‬
‫‪ ‬مثال‪:‬‬
‫‪‬معماری امنیتی مدل مرجع ‪)ISO 7499-2( OSI‬‬
‫‪31 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫مدل امنیتی‬
‫‪ ‬توصیف ترسیمی؛‬
‫‪ ‬از مجموعه موجودیتها و روابط آنها؛‬
‫‪ ‬که به واسطه آنها خدمات امنیتی توسط یها درون سیسهتم فهراهم‬
‫میشود‪.‬‬
‫‪ ‬مثال‪:‬‬
‫‪‬مدل کنترل دسترسی نقش‪-‬مبنا (‪)RBAC‬‬
‫‪‬مدل مهاجم (فعال ‪ /‬منفعل)‬
‫‪32 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سیاست (خط مشی) امنیتی‬
‫‪ ‬یک هدف‪ ،‬مسیر یا روش اقدام مشخص؛‬
‫‪ ‬برای تعیین و جهتدهی به تصمیمات حال و آینده؛‬
‫‪ ‬در رابطه با امنیت در یک سیستم‪.‬‬
‫‪ ‬مثال‪:‬‬
‫‪‬سیاست امنیتی نصب نرمافزار‬
‫‪‬سیاست امنیتی ساخت گذرواژه‬
‫‪‬سیاست امنیتی دسترسی راه دور‬
‫‪33 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫آسیبپذیری‪ ،‬تهدید‪ ،‬حمله و مهاجم‬
‫یک منبع یا سیستم‬
‫)هدف حمله(‬
‫ساز و کار‬
‫امنیتی‬
‫حمله‬
‫)تهدید بالفعل(‬
‫مهاجم‬
‫)عامل حمله(‬
‫آسیبپذیری‬
‫‪34 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫آسیبپذیری (‪)Vulnerability‬‬
‫‪ ‬نقصان یا ضعف؛‬
‫‪ ‬در طراحی‪ ،‬پیادهسازی‪ ،‬یا عملیات و مدیریت سیستم؛‬
‫‪ ‬که با سوء استفاده از آن میتوان سیاست امنیتی سیستم را نقه‬
‫کرد‪.‬‬
‫‪ ‬مثال‪:‬‬
‫‪CVE: Common Vulnerabilities and Exposures‬‬
‫‪‬آسیبپذیری خونریزی قلبی (‪ )HeartBleed‬در ‪OpenSSL‬‬
‫‪‬آسیبپذیری سر ریز بافر (‪)Buffer Overflow‬‬
‫‪35 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫تهدید (‪)Threat‬‬
‫‪ ‬امکان بالقوه برای نق‬
‫امنیت‪.‬‬
‫‪ ‬متناظر با هر آسیبپذیری‪( ،‬حداقل) یک تهدید وجود دارد‪.‬‬
‫‪ ‬میتواند عمدی یا غیر عمدی باشد‪.‬‬
‫‪‬عمدی‪ :‬امکان نق‬
‫امنیت توسط یک موجودیت هوشمند (فرد یها‬
‫سازمان)‬
‫‪‬غیر عمدی‪ :‬امکان خطای انسانی‪ ،‬عملکرد ناصهحی ابهزار‪ ،‬وقهایع‬
‫طبیعی (زلزله‪ ،‬سیل‪ ،‬آتش سوزی‪ ،‬و ‪)...‬‬
‫‪36 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫حمله و مهاجم‬
‫‪ ‬حمله‪ ،‬بالفعل شدن یک تهدیهد توسهط یهک موجودیهت هوشهمند‬
‫(مهاجم) است‪.‬‬
‫‪ ‬هر تهدیدی منجر به حمله نمیشود‪.‬‬
‫‪ ‬هر حملهای الزاماً موفق نیست‪.‬‬
‫‪37 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫مهاجم و رخنهگر‬
‫‪ ‬رخنه (‪ )Hack‬در واقع به معنی کنکاش به منظور کشف حقایق و‬
‫نحوه کار یک سیستم است‪.‬‬
‫‪ ‬حمله (‪ )Attack‬تالش برای نفهوذ بهه سیسهتمهای دیگهران و در‬
‫واقع رخنه خصمانه یا بدخواهانه است‪.‬‬
‫‪Malicious Hacker = Attacker‬‬
‫‪38 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫• محتوا و جایگاه درس‬
‫• ضرورت امنیت داده و شبکه‬
‫• مفاهیم اولیه‬
‫• دشواری برقراری امنیت‬
‫• انواع و ماهیت حمالت‬
‫• خدمات امنیتی‬
‫• مدلهای امنیت شبکه‬
‫‪39 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫دشواری برقراری امنیت‬
‫‪ ‬امنیت معموالً قربانی افزایش کارایی و مقیاسپذیری میشود‪.‬‬
‫‪ ‬امنیت باال هزینهبر است‪.‬‬
‫‪ ‬کاربران عادی امنیت را به عنوان مانع در برابر انجهام شهدن کارهها‬
‫تلقی میکنند و از سیاستهای امنیتی پیروی نمیکنند‪.‬‬
‫‪40 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫دشواری برقراری امنیت‬
‫‪ ‬اطالعات و نرمافزارهای دور زدن امنیت به طور گسترده در اختیهار‬
‫هستند‪.‬‬
‫‪ ‬برخی دور زدن امنیت را به عنوان یک مبارزه در نظر میگیرند و از‬
‫انجام آن لذت میبرند‪.‬‬
‫‪ ‬مالحظات امنیتی در هنگام طراحیهای اولیه سیستمها و شبکههها‬
‫در نظر گرفته نمیشود‪.‬‬
‫‪41 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫دالیل ناامنی شبکهها‬
‫‪ ‬ضعف فناوری (تحلیل‪ ،‬طراحی‪ ،‬پیادهسازی)‬
‫‪ ‬پروتکل‪ ،‬سیستم عامل‪ ،‬تجهیزات‬
‫‪ ‬ضعف تنظیمات‬
‫‪‬رهاکردن تنظیمات پیش فرض‪ ،‬گذرواژه های نامناسب‪ ،‬عهدم اسهتفاده از‬
‫رمزنگاری‪ ،‬راهاندازی خدمات اینترنت بدون اعمال تنظیمات الزم‪... ،‬‬
‫‪ ‬ضعف سیاستگذاری‬
‫‪‬عدم وجود سیاست امنیتی‬
‫‪‬عدم وجود طرحی برای مقابله و بازیابی مخاطرات‬
‫‪‬نداشتن نظارت امنیتی مناسب (مدیریتی و فنی)‬
‫‪42 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫امنسازی‬
‫‪ ‬گستره امنیت تمامی منابع سازمان است و نه تنها کارگزار اصلی‪.‬‬
‫‪ ‬مسئله امنیت نیازمند نگرش مدیریتی است‪ ،‬نه صرفاً نگرش فنی‪.‬‬
‫‪ ‬مهاجمین داخلی خطر بالقوه بیشتری دارند‪.‬‬
‫‪ ‬مادام که انسانها امن فکر نکنند نمیتوان تراکنش امن داشت‪.‬‬
‫‪ ‬امن سازی یک فرآیند است نه یک وظیفه خاص و مقطعی‪.‬‬
‫‪43 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫چرخه ایجاد امنیت‬
‫‪1‬‬
‫تصدیق هویت‪ ،‬دیوار‬
‫آتش‪ ،‬رمزنگاری‪. . . ،‬‬
‫امنسازی‬
‫‪2‬‬
‫سیاست‬
‫امنیتی‬
‫پایش‬
‫سیستمهای تشخیص‬
‫نفوذ‪ ،‬تله عسل‪. . . ،‬‬
‫تست و‬
‫آزمون‬
‫‪3‬‬
‫‪44 / 66‬‬
‫امنیت داده و شبکه‬
‫عملیات شبکه و امنیت‬
‫مدیریت‬
‫و بهبود‬
‫‪4‬‬
‫آزمون نفوذ و‬
‫آسیبپذیری‬
‫محمد صادق دوستی‬
‫راهبرد امنیت سازمانی‬
‫‪ ‬مصالحه بین امنیت‪ ،‬عملکرد‪ ،‬و سهولت کاربرد‪.‬‬
‫‪ ‬مصالحه بین امنیت و هزینه‪.‬‬
‫‪ ‬میزان امنیت مورد انتظار کاربران‬
‫‪ ‬میزان ناامنی قابل تحمل سازمان‬
‫امنیت‬
‫نقطه‬
‫آرمانی‬
‫کجاست؟؟؟‬
‫سهولت کاربرد‬
‫‪45 / 66‬‬
‫امنیت داده و شبکه‬
‫عملکرد‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫• محتوا و جایگاه درس‬
‫• ضرورت امنیت داده و شبکه‬
‫• مفاهیم اولیه‬
‫• دشواری برقراری امنیت‬
‫• انواع و ماهیت حمالت‬
‫• خدمات امنیتی‬
‫• مدلهای امنیت شبکه‬
‫‪46 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫انواع حمالت از نظر تاثیر‬
‫حمالت فعال (‪)Active‬‬
‫‪‬‬
‫جعل هویت (‪)Masquerade‬‬
‫‪‬‬
‫ارسال دوباره پییام (‪)Replay‬‬
‫‪‬‬
‫تیییر (‪)Modification‬‬
‫‪‬‬
‫منع خدمت‬
‫حمالت منفعل (‪)Passive‬‬
‫‪‬‬
‫تحلیل ترافیک‬
‫)‪(Traffic Analysis‬‬
‫‪‬‬
‫انتشار محتوای پییام‬
‫)‪(Release of Message Contents‬‬
‫)‪(Denial of Service‬‬
‫‪47 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫حمالت منفعل‬
‫شبکه‬
‫‪48 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫حمالت فعال‬
‫‪1‬‬
‫‪2‬‬
‫‪3‬‬
‫شبکه‬
‫‪49 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫حمله شنود یا استراق سمع ‪1 -‬‬
‫‪ ‬هدف‪ :‬نق‬
‫محرمانگی‬
‫‪ ‬نتیجه‪ :‬دسترسی غیرمجاز به دادههای طبقهبندی شده‬
‫‪ ‬راههای تحقق حمله‪:‬‬
‫‪‬اتصال فیزیکی به شبکه و دریافت بستهها‬
‫‪‬دسترسی غیرمجاز به پایگاهدادهها‬
‫‪‬وجود ضعف و آسیبپذیری در سیستم کنترل دسترسی‬
‫‪50 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫حمله شنود یا استراق سمع ‪2 -‬‬
‫مهاجم‬
‫رمز یا ‪ PIN‬مشتری‬
‫‪51 / 66‬‬
‫شنود ترافیک‬
‫کارگزار‬
‫امنیت داده و شبکه‬
‫مشتری‬
‫محمد صادق دوستی‬
‫حمله منع خدمت یا وقفه ‪1 -‬‬
‫‪ ‬هدف‪ :‬نق‬
‫دسترسپذیری‬
‫‪ ‬نتیجه حمله‪ :‬کاهش کارایی و یا عدم امکان دسترسی کاربران بهه‬
‫شبکه و یا خدمات فراهم شده‬
‫‪ ‬راههای تحقق حمله‪:‬‬
‫‪‬ارسال بسته و درخواستهای مشکلدار‬
‫‪‬راهاندازی سیل ترافیکی‬
‫‪‬استفاده از ضعفها و آسیبپذیریهای نرمافزاری شبکه ویا خدمات‬
‫‪52 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫حمله منع خدمت یا وقفه ‪2 -‬‬
‫مهاجم‬
‫کارگزار‬
‫مشتری‬
‫کارگزار‬
‫‪53 / 66‬‬
‫مهاجم‬
‫امنیت داده و شبکه‬
‫مشتری‬
‫محمد صادق دوستی‬
‫حمله تغییر یا دستکاری دادهها ‪1 -‬‬
‫‪ ‬هدف‪ :‬نق‬
‫صحت‬
‫‪ ‬نتیجه‪ :‬تیییر غیرمجاز دادههای سیستم یا شبکه‬
‫‪ ‬راههای تحقق حمله‪:‬‬
‫‪‬قرار گرفتن در مسیر شبکه و دستکاری و ارسال به گیرنده‬
‫‪‬دسترسی غیرمجاز به پایگاهدادهها و تیییر غیرمجاز در آن‬
‫‪‬وجود ضعف و آسیبپذیری در سیستم کنترل دسترسی و صحت‬
‫‪54 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫حمله تغییر یا دستکاری دادهها ‪2 -‬‬
‫‪ ‬حمله مرد میانی (‪)Man in the Middle‬‬
‫(‪ )2‬مشتری‪ :‬انتقال ‪ 2‬میلیون‬
‫تومان به حساب بابک‬
‫(‪ )1‬انتقال ‪ 2‬میلیون‬
‫تومان به حساب علی‬
‫مهاجم‬
‫(‪ )4‬کارگزار‪ 2 :‬میلیون تومان‬
‫به حساب علی منتقل شد‪.‬‬
‫(‪ )3‬کارگزار‪ 2 :‬میلیون تومان‬
‫به حساب بابک منتقل شد‪.‬‬
‫کارگزار‬
‫مشتری‬
‫‪55 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫حمله جعل هویت ‪1 -‬‬
‫‪ ‬هدف‪ :‬نق‬
‫صحت‬
‫‪ ‬نتیجه‪ :‬جعل (یا اضافه کردن) پیامها و دادهههایی کهه مهیتواننهد‬
‫مخرب یا منشأ سوءاستفاده باشند‪.‬‬
‫‪ ‬راههای تحقق حمله‪:‬‬
‫‪‬اتصال فیزیکی به شبکه و دریافت بستهها‬
‫‪‬بازارسال بستههای شنود شهده پها از اِعمهال تیییهرات موردنیهاز‬
‫(ارسال بستههای جعلی)‬
‫‪‬وجود ضعف در ساز و کار تصدیق هویت و کنترل صحت‬
‫‪56 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫حمله جعل هویت ‪2 -‬‬
‫‪ ‬حمله جعل مشتری یا کاربر (به طور مشابه جعل کارگزار)‬
‫کارگزار‬
‫مهاجم‬
‫ارسال دادههای جعلی‬
‫به جای مشتری‬
‫‪57 / 66‬‬
‫امنیت داده و شبکه‬
‫مشتری‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫• محتوا و جایگاه درس‬
‫• ضرورت امنیت داده و شبکه‬
‫• مفاهیم اولیه‬
‫• دشواری برقراری امنیت‬
‫• انواع و ماهیت حمالت‬
‫• خدمات امنیتی‬
‫• مدلهای امنیت شبکه‬
‫‪58 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫خدمات امنیتی ‪1 -‬‬
‫‪ ‬محرمانگی دادهها (‪)Data Confidentiality‬‬
‫‪ ‬صحت دادهها (‪)Data Integrity‬‬
‫پیشتر آشنا‬
‫شدیم‬
‫‪ ‬دسترس پذیری (‪)Availability‬‬
‫‪ ‬تصدیق هویت (‪)Authentication‬‬
‫‪ ‬کنترل دسترسی (‪)Access Control‬‬
‫‪ ‬انکار ناپذیری (‪)Non Repudiation‬‬
‫‪59 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫خدمات امنیتی ‪2 -‬‬
‫‪ ‬تصدیق هویت‬
‫‪‬تصدیق هویت همتا (‪ :)Peer‬کاربر همانی است که ادعا میکند‪.‬‬
‫‪‬تصدیق هویت مبدأ (‪ )Origin‬داده‪ :‬منبهع داده همهانی اسهت‬
‫که ادعا میکند‪.‬‬
‫‪ ‬کنترل دسترسی‪ :‬ممانعت از دسترسی غیر مجاز به منابع‪.‬‬
‫‪ ‬انکار ناپذیری‪ :‬عدم امکان انکار شرکت در یک ارتباط توسط ههر‬
‫یک از فرستنده یا گیرنده‪.‬‬
‫‪60 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫رابطه خدمات با ساز و کارهای امنیتی (استاندارد ‪)X.800‬‬
‫نگاشت بر گرفته از کتاب‬
‫درسی (‪)Stallings‬‬
‫نگاشت درست‬
‫به نظر نمیرسد!‬
‫‪61 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫• محتوا و جایگاه درس‬
‫• ضرورت امنیت داده و شبکه‬
‫• مفاهیم اولیه‬
‫• دشواری برقراری امنیت‬
‫• انواع و ماهیت حمالت‬
‫• خدمات امنیتی‬
‫• مدلهای امنیت شبکه‬
‫‪62 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫مدل کلی در یک ارتباط امن‬
‫‪ ‬سناریوی کلی در هر ارتباط امن‪:‬‬
‫‪‬نیاز‪ :‬انتقال یک پییام بین طرفین با استفاده از یهک کانهال نهاامن‬
‫(مثل شبکه اینترنت)‬
‫‪‬نیاز به تأمین خدمات محرمانگی‪ ،‬صحت‪ ،‬تصدیق هویت‪ ،‬و ‪...‬‬
‫‪ ‬روشهای مورد استفاده عموما از دو مؤلفه زیر استفاده میکنند‪:‬‬
‫‪‬تبدیل امنیتی‪ :‬جهت فراهم آوردن خدمات امنیتی مورد نیاز‬
‫‪‬اطالعات مخفی‪ :‬در تبدیل امنیتی مورد استفاده قرار میگیرنهد و‬
‫به نحوی بین طرفین ارتباط به اشتراک گذاشته شدهاند‪.‬‬
‫‪63 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫یک مدل نمونه برای ارتباط امن‬
‫شخص ثالث مورد اعتماد‬
‫(مثالً توزیع کننده اطالعات مخفی)‬
‫پیام امن‬
‫اطالعات مخفی‬
‫تبدیل امنیتی‬
‫پیام‬
‫تبدیل امنیتی‬
‫کانال اطالعات‬
‫پیام امن‬
‫پیام‬
‫گیرنده‬
‫فرستنده‬
‫اطالعات مخفی‬
‫دشمن‬
‫‪64 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫تضمین خدمت امنیتی‬
‫‪ ‬مدل فوق نشان میدهد که برای فراهم آمدن یک خدمت امنیتهی‬
‫خاص مجبوریم نیازهای زیر را فراهم کنیم‪:‬‬
‫‪‬طراحی الگوریتم مناسب برای انجام تبدیل امنیتی مورد نظر‬
‫‪‬تولید اطالعات مخفی موردنیاز طرفین‬
‫‪‬استفاده از روش مناسب برای توزیع و توافق درباره اطالعات مخفی‬
‫‪‬طراحی یک پروتکل مناسب برای ارتباط طرفین و تضمین خهدمت‬
‫امنیتی‬
‫‪65 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫پایان‬
‫صفحه درس‪:‬‬
‫‪http://ce.sharif.edu/courses/94-95/2/ce442-1‬‬
‫مراجعه حضوری جهت رفع اشکال‪ :‬یکشنبهها ‪ 17‬الی ‪18‬‬
‫(طبقه پنجم دانشکده‪ ،‬درب شیشهای جنب آسانسور)‬
‫یا در زمانهای دیگر با قرار قبلی‬
‫یا به وسیله رایانامه‪dousti@ce :‬‬
‫‪66 / 66‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬