Download presentation
Presentation is loading. Please wait.
1
نخستين دوره كارگاههاي آموزشي انجمن رمزايران
بسم الله الرحمن الرحيم امنيت در سيستم هاي توزيع شده (مفاهيم، فن آوري و راهكارها) نشست چهارم حفاظت از شبكه و تأمين امنيت ارتباطات در شبكه هاي كامپيوتري نخستين دوره كارگاههاي آموزشي انجمن رمزايران 30/7/1380 برنجكوب – ترك لاداني
2
سر فصل مطالب امنيت ارتباطات و حفاظت شبكه ديوارة آتش: روش حفاظت از شبكه
ايجاد امنيت در لاية IP (IPSec) ايجاد امنيت در لاية نشست (SSL) ايجاد امنيت در لاية كاربرد (Kerberos , SET) جمع بندي
3
امنيت ارتباطات و حفاظت از شبكه
حفاظت از شبكة خودي : ارتباط امن بينشبكهاي : ارتباط امن
4
امنيت ارتباطات و حفاظت شبكه
Virtual Private Network
5
امنيت ارتباطات و حفاظت شبكه
حفاظت از شبكه امنيت ارتباطات Application Presentation Session Transport Network Datalink Physical SSL,TLS IPSec Circuit Proxy Packet Filtering PPTP SET, PEM, S-HTTP Kerberos,… Application Proxy
6
ديوارة آتش : تكنيك كنترل دسترسي به شبكه
تشابهات : ديوارهاي محافظ ساختمانها گذرنامه براي ورود و خروج از كشور درب آپارتمان با دستگيرة يكطرفه و قفل منشي دفاتر اداري ... Firewall برنجكوب – تركلاداني 6 امنيت در سيستمهاي توزيع شده
7
ديوارة آتش Firewall امنيت در سيستمهاي توزيع شده Internet
برنجكوب – تركلاداني 7 امنيت در سيستمهاي توزيع شده
8
تعاريف ديوارة آتش مجموعهاي از اجزاء است كه بين دو شبكه قرار ميگيرد و مجموعاً ويژگيهاي زير را برآورده ميكند : تمامي اطلاعات، از داخل به خارج يا بالعكس ، بايستي از ديوارة آتش عبور نمايد. فقط اطلاعاتي كه مجاز بون آنها در سياست امنيتي محلي تعريف شده است، مجاز به عبور ميباِشند. ديوارة آتش، بايستي خود مصون از حملات خرابكارانه باشد. برنجكوب – تركلاداني 8 امنيت در سيستمهاي توزيع شده
9
تعاريف سياست امنيتي فايروال فيلتر بسته (Packet Filter)
بازبيني وضعيتگرا (Stateful Inspection) دروازههاي كاربرد(Application Gateways) دروازههاي سطح مدار (مثل سرويس دهندة Socks) دروازههاي سطح كاربرد (سرويس دهندههاي Proxy) برنجكوب – تركلاداني 9 امنيت در سيستمهاي توزيع شده
10
فيلتر كردن بستهها فيلتر بسته ، يكي از تجهيزات ارتباط بين شبكهاي است كه مجموعهاي از قوانين (فيلتر كردن بسته) را روي بستههاي IP ورودي اعمال ميكند تا تشخيص دهد كه بسته بايستي عبور نمايد يا حذف شود. برنجكوب – تركلاداني 10 امنيت در سيستمهاي توزيع شده
11
فيلتر كردن بستهها آدرسهاي IP مبدأ و مقصد شمارة پروتكل
فيلتر كردن بستهها معمولاً براساس اطلاعات زير صورت ميگيرد : آدرسهاي IP مبدأ و مقصد شمارة پروتكل شمارة پورت TCP يا UDP رابط شبكه (Network Interface) برنجكوب – تركلاداني 11 امنيت در سيستمهاي توزيع شده
12
مثال : جدول فيلتر (FTP) (Telnet) (SMTP) امنيت در سيستمهاي توزيع شده
برنجكوب – تركلاداني 12 امنيت در سيستمهاي توزيع شده
13
دروازه هاي سطح كاربرد امنيت در سيستمهاي توزيع شده
برنجكوب – تركلاداني 13 امنيت در سيستمهاي توزيع شده
14
دروازههاي سطح مدار امنيت در سيستمهاي توزيع شده برنجكوب – تركلاداني
14 امنيت در سيستمهاي توزيع شده
15
عملكرد دروازه هاي كاربرد
سرويس گيرنده به ميزبان Proxy متصل شده، از سرويس دهندة دور تقاضاي سرويس ميكند 2) ميزبان Proxy ، آدرس IP مربوط به سرويس گيرنده را بررسي كرده ، سرويس گيرنده را احراز اصالت ميكند و مجوز وي را براساس سياست امنيتي شبكه بررسي ميكند 3) ميزبان Proxy به سرويس دهنده متصل شده، دادههاي سرويس گيرنده را با سرويس دهندة اصلي دست به دست ميكند. برنجكوب – تركلاداني 15 امنيت در سيستمهاي توزيع شده
16
Authentication Server
احراز اصالت توسط دروازة كاربرد براي احراز اصالت كاربر به صورت مناسب ، ميزبان Proxy بايد به يك سرويس دهندة مركزي كه حاوي اطلاعات احراز اصالت است دسترسي داشته باشد. RADIUS (Remote Authentication Dial-In User Service) TACACS , XTACACS , TACACST+ (CISCO) Authentication Server برنجكوب – تركلاداني 16 امنيت در سيستمهاي توزيع شده
17
Socks Proxyمثال : Socks (نسخههاي 4 و 5) يك دروازة سطح مدار (لاية انتقال) است كه ميتوان آن را براي كاربردهاي مختلف بكار برد. كاربردي كه براي بكارگيري تبادلات Socks اصلاح شده است را اصطلاحاً Socksified شده گوينده (Netscape ، IE و ...) يك كاربرد Socksified شده بجاي فراخواني Socketها ، توابع Socks را فراخواني ميكند. برنجكوب – تركلاداني 17 امنيت در سيستمهاي توزيع شده
18
Socks proxyمثال : قابليتهاي Socks نسخة 5 :
سرويس گيرنده و سرويس دهندة Socks ميتوانند برروي روش احراز اصالت مذاكره كنند.) روشهايي كه پشتيباني ميشوند، شامل كلمة عبور و Kerberos/GSS-API هستند) در صورت انتخاب روش Kerberos/GSS-API براي احراز اصالت، ميتوان صحت و محرمانگي داده را نيز فراهم نمود و برروي آنها نيز مذاكره كرد. از كتابخانة توابع SOCKS V5 ميتوان براي Socksify كردن كاربردهاي مبتني بر TCP و UDP استفاده كرد. برنجكوب – تركلاداني 18 امنيت در سيستمهاي توزيع شده
19
Screened host firewall system (single-homed bastion host)
پيكر بنديهاي ديوارة آتش Screened host firewall system (single-homed bastion host) برنجكوب – تركلاداني 19 امنيت در سيستمهاي توزيع شده
20
Screened host firewall system (dual-homed bastion host)
پيكر بنديها... Screened host firewall system (dual-homed bastion host) برنجكوب – تركلاداني 20 امنيت در سيستمهاي توزيع شده
21
Screened-subnet firewall system
پيكر بنديها... Screened-subnet firewall system برنجكوب – تركلاداني 21 امنيت در سيستمهاي توزيع شده
22
محدوديتهاي ديوارههاي آتش
دستيابي بدون مجوز به بيرون از شبكه از طريق بكارگيري مودم و خطوط تلفن كماكان امكانپذير است. ديوارة آتش محافظتي را در مقابل حمله كنندگان داخلي به عمل نميآورد. ديوارة آتش محافظت كمي در مقابل حملات منتج از داده (مثل برنامهها يا فايلهاي دادهاي آلوده به ويروس ، اپلتهاي Java و كنترلهاي Activex) ايجاد ميكند. برنجكوب – تركلاداني 22 امنيت در سيستمهاي توزيع شده
23
ايجاد امنيت ارتباطات در لايه هاي مختلف شبكه
24
ايجاد امنيت در لاية شبكه
لايه شبكه + سرويسهاي امنيتي از ديد كاربردها شفاف هستند - سرويسها وابسته به كاربر نيستند - سرويسهاي وابسته به كاربرد مشكل پيادهسازي ميشود
25
امنيت IP (IPSec) IPSec چيست؟
معماري امنيتي پروتكل اينترنت (IPV4 و IPV6) مجموعه استاندارد هاي IETF براي ايجاد امنيت قابل تعامل و مبتني بررمزنگاري پياده سازي سرويس هاي امنيتي در لاية IP ايجاد سرويس هاي امنيتي شفاف براي پروتكل هاي لاية بالاتر IPSec كل شبكه را امن مي كند و امنيت تمامي كاربردهايي كه از شبكه استفاده مي كنند را تضمين مي كند.
26
IPSec سرويس هاي امنيتي زير را فراهم ميكند :
Confidentiality (encryption) Connectionless Integrity Data Origin Authentication Limited Traffic-Flow Confidentiality Access Control
27
Modes IPSec Tunnel Mode Transport Mode
28
بكارگيري مدهاي IPSec
29
يك سناريوي IPSec
30
اجزاء IPSec پروتكل هاي امنيتي Authentication Header (AH)
Encapsulating Security Payload (ESP) تداعي گرهاي امنيتي (Security Associations) مديريت كليدIKE (Internet Key Exchange) الگوريتمهايي براي رمزنگاري و احراز اصالت.
31
IPSec در عمل
32
تركيب SA ها
33
ايجاد امنيت در لاية انتقال
لايه انتقال + سرويسهاي امنيتي براي كاربردهاي مورد نظر قابل اعمالند - بايد در كاربردها اصلاحات مورد نياز را اعمال نمود
34
پروتكل SSL پروتكل (Secure Socket Layer) SSL توسط شركت Netscape ارائه شد. SSL به عنوان واسط بين لاية انتقال و لاية كاربرد عمل مي كند. از SSL مي توان براي امن كردن سرويس هاي ارتباطي مبتني برTCP و پروتكل هاي لاية كاربرد (مثل FTP وHTTP) استفاده كرد.
35
معماري SSL TCP/IP SSL Handshake Application SSL Record
36
معماري SSL
37
عملكرد پروتكل Record
38
SSL Record Format
39
SSL Handshake Protocol
Client و Server با كمك پروتكل Handshake : روي نسخة پروتكل موافقت مي كنند. الگوريتمهاي رمزنگاري را انتخاب مي كنند. همديگر را احراز اصالت مي كنند(انتخابي). كليد هاي مخفي را توليد مي كنند. اگر يك نشست SSL قبلاً ايجاد شده باشد مي توان باتوافق طرفين از همان نشست استفاده كرد.
40
مراحل انجام پروتكل Handshake
41
مراحل انجام پروتكل Handshake
42
مراحل انجام پروتكل Handshake
43
مراحل انجام پروتكل Handshake
44
ايجاد امنيت در لاية كاربرد
لايه كاربرد + سرويسهاي امنيتي از ديد شبكه شفاف هستند - سرويسهاي امنيتي براي هر كاربر بايستي بطور مجزا طراحي و پياده شوند
45
Secure payment systems
سيستمهاي پرداخت الكترونيكي Secure payment systems SET Secure Electronic Transactions
46
سيستمهاي پرداخت الكترونيكي
SET مشتركاً توسط VISA و MasterCard ارائه شد و براي محافظت كارت هاي اعتباري در حين انجام تراكنش هاي مالي استفاده مي شود: ايجاد كانال هاي امن براي عوامل دخيل در يك تراكنش فراهم كردن اعتماد بر اساس گواهي هاي X.509 ايجاد محرمانگي اطلاعات در طي تراكنش
47
نيازمنديهاي يك سيستم پرداخت با كارت اعتباري
سيستم هاي پرداخت نيازمنديهاي يك سيستم پرداخت با كارت اعتباري محرمانگي اطلاعات سفارشات و پرداختها حفظ صحت اطلاعات ارسالي احراز اصالت صاحب كارت روي حساب كارت اعتباري احراز اصالت طرف معامله براي صاحب كارت
48
عوامل SET صاحب كارت : خريدار (Card holder) بازرگان: فروشنده (Merchant)
صادركنندة كارت : بانك (Issuer) مؤسسة سرويس دهي مالي (Acquirer) دروازة پرداخت (Payment Gateway) مرجع گواهي (Certificate Authority)
49
عوامل SET
50
مراحل انجام يك تراكنش مالي
1- مشتري يك حساب كارت اعتباري باز مي كند. 2- مشتري يك گواهي (امضاء شده توسط بانك ) روي كليد عمومي خود دريافت مي كند.
51
مراحل انجام يك تراكنش مالي
3- بازرگان سه گواهي براي امضاء، تبادل كليد و ارتباط با دروازة پرداخت در اختيار دارد.
52
مراحل انجام يك تراكنش مالي
4- مشتري از طريق سايت بازرگان كالايي را سفارش مي دهد. بازرگان در جواب ليست قيمت ها را به همراه فرم سفارش و گواهي معتبر خود ( از بانك) براي مشتري ارسال مي كند.
53
5- مشتري هويت بازرگان را از طريق بررسي گواهي وي چك مي كند.
مراحل انجام يك تراكنش مالي 5- مشتري هويت بازرگان را از طريق بررسي گواهي وي چك مي كند.
54
مراحل انجام يك تراكنش مالي
امضاء دوگانه 6-گواهي مشتري، اطلاعات سفارش و اطلاعات پرداخت براي بازرگان ارسال مي شود.
55
7-بازرگان از دروازة پرداخت مي خواهد كه اعتبار اطلاعات پرداخت راچك كند.
مراحل انجام يك تراكنش مالي 7-بازرگان از دروازة پرداخت مي خواهد كه اعتبار اطلاعات پرداخت راچك كند.
56
مراحل انجام يك تراكنش مالي
8- بازرگان پس از اطمينان از معتبر بودن اطلاعات پرداخت، رسيد دريافت سفارش را براي مشتري مي فرستد و سپس كالا يا سرويس مورد نظر را فراهم مي كند.
57
9- بازرگان از دروازة پرداخت تقاضاي پرداخت ميكند.
مراحل انجام يك تراكنش مالي 9- بازرگان از دروازة پرداخت تقاضاي پرداخت ميكند.
58
هدف : مرتبط ساختن دو پيام كه براي دريافت كنندگان مجزا ارسال مي شود.
امضاء دوگانه هدف : مرتبط ساختن دو پيام كه براي دريافت كنندگان مجزا ارسال مي شود. (بانك نيازي به دانستن اطلاعات سفارش ندارد) بازرگان اطلاعات سفارش (بازرگان نبايستي اطلاعات پرداخت را بداند) بانك اطلاعات پرداخت لازم است اين اطلاعات با يكديگر مرتبط شوند به نحوي كه بعداً مشتري بتواند اثبات كند كه پرداخت وي براي يك سفارش خاص بوده است.
59
امضاء دوگانه
60
تقاضاي خريد (Purchase Request)
61
بررسي تقاضاي خريد توسط بازرگان
62
سيستم احراز اصالت Kerberos
يك روش قوي براي انجام احراز اصالت توزيع شده بين كاربردهاي سرويس دهنده/سرويس گير است. از روش رمزنگاري متقارن استفاده مي كند. در دانشگاه MIT طراحي شده است.
63
اجزاء Kerberos Authentication Server (AS) Ticket-Granting Server (TGS)
Destination Server
64
عملكرد Kerberos
65
جمع بندي
66
تفاوت امن سازي در لايه هاي مختلف
قابليت انعطاف كمتر پيچيدگي بيشتر محدوديت زمانيبيشتر محدوديت سرويسهاي قابل ارائه + عموميت بيشتر سرويسها + شفافيت بيشتر سرويسها + قابليت انعطاف بيشتر + پيچيدگي كمتر + وسعت زماني بيشتر + سرويسهاي قابل ارائه بيشتر - خاص شدن سرويسها - شفافيت كمتر سرويس Application Layer Transport Layer Internet Layer Network Access Layer
67
امنسازي در لاية كاربرد امنسازي در لاية اينترنت
تشبيه امنسازي در لاية كاربرد بستهبندي اجناس امنسازي در لاية حمل بستهبندي پستي امنسازي در لاية اينترنت چينش در اتاقكهاي مخصوص ترابري
Similar presentations
