Presentation is loading. Please wait.

Presentation is loading. Please wait.

امنیت شبکه علی فانیان a.fanian@cc.iut.ac.ir.

Published byGervase Garrett Modified over 5 years ago

Similar presentations

Presentation on theme: "امنیت شبکه علی فانیان a.fanian@cc.iut.ac.ir."— Presentation transcript:

1 امنیت شبکه علی فانیان

2 فهرست مطالب کتاب مرجع ارزیابی مفهوم امنيت تعاريف استاندارد X.800
مدلها و معماري امنيت شبكه

3 کتاب مرجع Text Book: 1-INFORMATION SECURITY Principles and Practice, Second Edition by Mark Stamp, 2011. 2- CRYPTOGRAPHY AND NETWORK SECURITY PRINCIPLES AND PRACTICE FIFTH EDITION by William Stallings, 2011.

4 ارزیابی میان ترم %30 پایان ترم %45 پروژه 1 %10 پروژه 2 %20
میان ترم %30 پایان ترم %45 پروژه %10 پروژه 2 %20 داوری مقاله %5 جمع حداکثر 110% ؟؟؟!!!

5 ارزیابی پروژه 1 %10 تمرکز مباحث فنی در امنیت سیستم و شبکه
پروژه 1 %10 تمرکز مباحث فنی در امنیت سیستم و شبکه تاریخ تحویل 20 فروردین ماه پروژه 2 %20 تمرکز بر یک موضوع تحقیقاتی تاریخ برگزاری سمینارها هفته اول و دوم خرداد تاریخ تحویل گزارش 31 خرداد (بدون تمدید، حتی برای یک روز) 15سمینار ، هر سمینار یک ساعت کامل

6 ارزیابی داوری %5 داوری حداقل 4 مقاله کنفرانس رمز
داوری %5 داوری حداقل 4 مقاله کنفرانس رمز تاریخ شروع داوری 10 تیر تاریخ اتمام داوری 20 تیر

7 حوزة مسايل اجتماعي، سياسي، اقتصادي و...
تغييرات اساسي حاصل از توسعه فناوري اطلاعات سريع‎تر شدن كامپيوترها رشد سريع شبكه دسترسي‎هاي راه دور تجارت الكترونيك و كلاً گرايش به سوي كنترل الكترونيكي هرچيز مهم و با ارزش حوزة مسايل اجتماعي، سياسي، اقتصادي و... Digital World

8 نفوذ فناوري اطلاعات در كليه عرصه‌ها
فناوري اطلاعات و ارتباطات بخشهاي دفاعي- استراتژيك بخشهاي زيربنايي بخشهاي توليدي بخشهاي اقتصادي و خدمات بازرگاني بخشهاي خدمات فرهنگي- اجتماعي بخشهاي قضايي و حقوقي بخشهاي ستادي و حكومتي

9 تنوع تهديدات و روند رشد آنها
حمله اينترنتي، ساده و كم خطر است و به سختي قابل ردگيري است. يافتن آسيب پذيري در برنامه ها و كاربردها الزاماً نيازي به دراختيار داشتن سورس كد ندارد. زير ساختهاي حياتي به طور فزاينده اي به اينترنت متكي شده اند. نفوذگران از طريق پهناي باند وسيع و اتصالات پرحجم به تدارك حمله مي پردازند (از طريق بيگاري گرفتن از حجم وسيعي از كامپيوترهاي خانگي)

10 ماهيت جديد حملات پيچيدگي فراوان مکانيزه انجام عمليات از راه دور
كانالهاي ارتباطي متنوع انتشار روشهاي موفق حمله

11 انگيزه‎هاي ايجاد نا امني در فضاي سايبر متنوع است
انگيزه‎هاي سياسي،‌ نظامي (برتري استراتژيك) انگيزه‎هاي مالي و اقتصادي (سود بيشتر) انگيزه‎هاي علمي (پيشرفت علم) انگيزه‎هاي رواني (شهرت طلبي) انگيزه‎هاي حقوقي (بي اعتبار كردن سيستم)

12 تنوع دشمنان جاسوس ها (تجاري، سياسي، نظامي) تروريست‎ها
تنوع انگيزه‎ها جاسوس ها (تجاري، سياسي، نظامي) تروريست‎ها مجرمين (عادي، سازمان يافته) هكرها نفوذي‎ها افراد نه چندان مطمئن

13 راه‎ حل سادة امن‎سازي حذف بسياري از دستاوردهاي شبكه‎ها
حذف تمامي اتصالات و ارتباطات شبكه با سايرين قراردادن سيستمها در اتاقهاي محافظت شده قراردادن يك محافظ در درب هر اتاق حذف بسياري از دستاوردهاي شبكه‎ها

14 تعاريف

15 به صورت سيستماتيك در يك سازمان انجام مي‏‎شود.
تعاريف مهندسي امنيت: مجموعه فعاليت‏هايي است كه براي حصول و نگهداري سطوح مناسبي از محرمانگي (Confidentiality) صحت (Integrity) قابليت دسترسي (Availability) جوابگويي (Accountability) اصالت (Authenticity) و قابليت اطمينان (Reliability) به صورت سيستماتيك در يك سازمان انجام مي‏‎شود.

16 تعاريف محرمانگي: اطلاعات براي افراد، موجوديت‌ها يا فرآيندهاي غيرمجاز در دسترس قرار نگيرد يا افشا نشود. صحت : صحت سيستم و صحت داده صحت داده: داده ها به صورت غير مجاز تغيير پيدا نكنند يا از بين نروند. صحت سيستم: فعاليت‌هاي مورد انتظار از سيستم بدون عيب و خالي از دستكاري هاي غير مجاز ( تعمدي يا تصادفي) در سيستم انجام شود.

17 تعاريف اصالت: هويت واقعي يك موجوديت با هويت مورد ادعا يكسان باشد. قابليت دسترسي: در دسترس و قابل استفاده بودن منابع براي يك موجوديت احراز اصالت شده در هنگام نياز. جوابگويي (حساب پذيري): فعاليت‌هاي موجوديت‌ها در سيستم اطلاعاتي قابل رديابي و بررسي باشد. قابليت اعتماد: سازگار بودن رفتارها و نتايج مورد انتظار، استمرار فعاليتها و سرويسهاي مورد انتظار در طول زمان و در شرايط بحراني.

18 تعاريف امنيت IT : حفاظت از سيستم هاي اطلاعاتي به منظور دستيابي به اهداف قابل اجرا در حفظ محرمانگي، صحت، قابليت دسترسي، حساب پذيري، اصالت و قابليت اعتماد. دارايي(asset): آنچه براي سازمان داراي ارزش است. تهديد(threat): پتانسيل وقوع يك رويداد نا‌خواسته كه ممكن است به سيستم يا سازمان خسارت وارد كند. رخنه(flaw): نقاط ضعف يك دارايي يا گروهي از دارايي‌ها كه ممكن است توسط يك تهديد فعال شود. صدمه: نتيجة يك رويداد ناخواسته

19 تعاريف حمله(Attack): تلاش عمدي براي رخنه در يك سيستم يا سوء استفاده از آن. Breach : نقض سياست امنيتي يك سيستم نفوذ(Intrusion) : فرايند حمله و رخنه ناشي از آن آسيب‌پذيري(Vulnerability) : نقطه‌اي از سيستم كه احتمال رخنه از آنجا وجود داشته باشد.

20 تعاريف مخاطره(risk): پتانسيل فعال شدن رخنه‌هاي يك دارايي يا گروهي از دارايي‌ها روش دفاعي(safeguard): تجربه، روال، يا مكانيزم مورد استفاده جهت كاهش مخاطرات. كنترل‌هاي پايه(baseline control): مجموعة حداقلي از روشهاي دفاعي براي تأمين امنيت سازمان ماندة مخاطره(residual risk): مخاطرات باقي‌مانده پس از پياده سازي روش هاي دفاعي

21 تعاريف مديريت ريسك(risk management): فرآيند كامل شناسايي، كنترل و حذف يا كاهش رويدادهاي نامطمئني كه ممكن است به منابع سيستم IT خسارت وارد كند. خط مشي امنيتي (security policy): قوانين، دستورالعمل‌ها و تجربياتي كه بيان كنندة چگونگي مديريت، حفاظت و توزيع دارايي‌ها ( شامل اطلاعات حساس) در داخل سازمان است.

22 اجزاء يك سيستم اطلاعاتي
محيط قرارگيري سيستم

23 به دنبال راه ‌حل قابل قبول
محرمانگي صحت قابليت دسترسي مؤلفه‎هاي ‎امنيت : صحت محرمانگي قابليت دسترسي

24 مؤلفه‏هاي امنيت محرمانگي (Confidentiality) عدم افشا محتوا
عدم امكان تحليل ترافيك عدم نشت اطلاعات عدم افشاي نامها (Anonymity)

25 مؤلفه‏هاي امنيت صحت(Integrity) اصالت داده‏ها (عدم حذف, اضافه و تكرار)
اصالت مبدأ داده‏ها (Data Origin Authentication) اصالت و حضور موجوديتها (On-line Entity Authentication) انكارناپذيري (Non-Repudiation)

26 مؤلفه‏هاي امنيت قابليت دسترسي(Availability)
سهولت دسترسيهاي مجاز : حل تقابل ذاتي امنيت و تسهيل ارتباطات مقابله با حملات جلوگيري از ارائه سرويس (Denial of Service)

27 X.800 استاندارد

28 استاندارد X.800 فراهم کننده يک چارچوب ستماتيک براي توصيف حملات امنيتي
مکانيزم هاي امنيتي سرويس هاي امنيتي

29 تعاريف در X.800 حمله امنيتي(Security Attack) :
عملي كه امنيت اطلاعات سازمان را نقض مي كند مكانيزم امنيتي(Security Mechanism) : روش درنظرگرفته شده براي تشخيص, جلوگيري و بازيابي از حملات -رمز نگاري، امضاي ديجيتال ، پروتکل هاي احراز اصالت و... سرويس امنيتي(Security Service) سرويس هاي تضمين كننده امنيت با استفاده از مکانيزمهاي بالا - محرمانگي، انکار ناپذيري، صحت و..

30 انواع و ماهيت حملات وقفه(Interruption) : اختلال در شبكه و سرويس Alice
Bob data, control messages کانال داده فرستنده گيرنده Trudy

31 انواع و ماهيت حملات شنود (Interception): استراق سمع ارتباطات شخصي يا مخفي سايرين گيرنده data, control messages داده Alice Bob Trudy کانال فرستنده

32 انواع و ماهيت حملات دستكاري داده‌ها : تغيير غيرمجاز داده‌هاي سيستم يا شبكه فرستنده گيرنده کانال data, control messages داده داده متفاوت Alice Bob Trudy

33 انواع و ماهيت حملات جعل هویت (Fabrication): ارسال داده توسط کاربران غيرمجاز با نام کاربران مجاز فرستنده داده Alice Trudy گيرنده Bob

34 دسته بندي کلي حملات حملات غيرفعال (Passive attack)
شنود افشاء پيام تحليل ترافيک حملات فعال (Active attack) جعل هويت (Masquerade) ارسال دوباره پيغام (Replay) تغيير (Modification) عدم ارائه سرويس (Denial of Service)

35 مكانيزمها حمله امنيتي(Security Attack) :
عملي كه امنيت اطلاعات سازمان را نقض مي كند مكانيزم امنيتي(Security Mechanism) : روش درنظرگرفته شده براي تشخيص, جلوگيري و بازيابي از حملات سرويس امنيتي(Security Service) سرويس هاي تضمين كننده امنيت با استفاده از مکانيزمهاي بالا

36 دو نوع حفاظت در سطح لايه شبكه(packet filtering)
تنها روي سرآيند پكتها كنترل دارد روي محتواي دادة پكتها هم كنترل دارد در سطح لايه كاربرد(proxy server)

37 ارتباط امن بين‌شبكه‌اي
توافق كليد رمزگذاري رمزگشايي ارتباط امن

38 امن‌سازي در لاية دسترسي به شبكه
لايه اتصال به شبكه + جلوگيري كامل از تحليلهاي ترافيكي - عدم دستيابي به سرويس انتها به انتها - تغييرات مورد نياز بايد در همة node هاي شبكه اعمال شود پروتكل PPTP ( نوعي VPN ايجاد ميكند )

39 امن‌سازي در لاية اينترنت
لايه شبکه + سرويسهاي امنيتي از ديد كاربردها شفاف هستند - سرويسها وابسته به كاربر نيستند - سرويسهاي انكارناپذيري مشكل پياده‌سازي مي‌شود IP-sec Tunneling mode Transport mode

40 امن‌سازي در لاية حمل لايه حمل + سرويسهاي امنيتي براي كاربردهاي مورد نظر قابل اعمالند - بايد در كاربردها اصلاحات مورد نياز را اعمال نمود -SSH (Secure Shell ) -SSL (Secure Sockets Layer)

41 امن‌سازي در لاية كاربرد
لايه كاربرد + سرويسهاي امنيتي از ديد شبكه شفاف هستند - سرويسهاي امنيتي براي هر كاربرد بايستي بطور مجزا طراحي و پياده شوند سيستمهاي احراز اصالت و توزيع كليد(NetSP/SPX/SESAME و...) سيستمهاي پرداخت الكترونيكي (كارت اعتبار/پول ديجيتال/چك الكترونيكي) WWW امن (Secure HTTP ) پست امن(SMIME/PGP/PEM) دسترسي از دور امن در بسياري از اوقات امن‌سازي در چندين لايه ضرورت دارد

42 سرويسها حمله امنيتي(Security Attack) :
عملي كه امنيت اطلاعات سازمان را نقض مي كند مكانيزم امنيتي(Security Mechanism) : روش درنظرگرفته شده براي تشخيص, جلوگيري و بازيابي از حملات سرويس امنيتي(Security Service) سرويس هاي تضمين كننده امنيت با استفاده از مکانيزمهاي بالا

43 سرويس‌هاي امنيتي سرویس امنیتی : فرایندی ارائه شده توسط یک سیستم برای محافظت از منابع X.800 سرویس های امنیتی را به 5 دسته و 14 سرویس تقسیم بندی می کند احراز اصالت کنترل دسترسی محرمانگی صحت داده انکار ناپذیری

44 سرويس‌هاي امنيتي احراز اصالت : اطمینان از ماهیت طرفین ارتباط
Peer Entity Authentication منظور از Peer دو سیستم متفاوت که یک پروتکل مشابه را پیاده سازی کرده اند هویت طرفین را در شروع ارتباط و در طول آن تضمین می کند Data-Origin Authentication تایید هویت منبع ارسال داده در مقابل حمله تکرار آسیب پذیر است

45 سرويس‌هاي امنيتي کنترل دسترسی (Access Control): اعمال محدودیت در دسترسی به سیستم ها و منابع از طریق شبکه محرمانگی : اطمینان از افشای غیر مجاز Connection Confidentiality : محافظت از تمامی اطلاعات کاربر در ارتباط Connectionless Confidentiality : محافظت از تمامی اطلاعات کاربر در یک بلوک داده Selective-Field Confidentiality : محافظت از برخی فیلدهای اطلاعاتی در طول یک ارتباط یا یک بلوک داده Traffic-Flow Confidentiality : محافظت از اطلاعاتی که با مشاهده جریان اطلاعات بدست می آید

46 سرويس‌هاي امنيتي صحت داده : اطمینان از عدم تغییر غیر مجاز داده
Connection Integrity with Recovery : سرویس صحت بر روی تمامی اطلاعات کاربر و تشخیص تمامی عوامل برهم زننده صحت با تلاش برای بازیابی Connection Integrity without Recovery : مشابه قبلی بدون عملیات بازیابی Selective-Field Connection Integrity Connectionless Integrity Selective-Field Connectionless Integrity

47 سرويس‌هاي امنيتي انکار ناپذیری Nonrepudiation, Origin
Nonrepudiation, Destination

48 لغت نامه احراز اصالت Authentication آسيب‌پذيري Vulnerability
جعل اطلاعات Fabrication جامعيت Integrity جعل هويت(ايفاي نقش) Masquerade دسترس‌پذيري Availability دستكاري Tampering دستكاري داده‌ها Modification دستيابي مجاز Authorization دور زدن Circumvent ثبت رويداد Audit رخنه امنيتي Flaw, Breach رمزگذاري Encryption شنود Interception صحت Integrity عدم ارائه سرويس Dos: Denial Of Service عدم‌انكار Non Repudiation محرمانگي Confidentiality نفوذ Intrusion هم ساز Interoperable وقفه Interruption کد احراز هويت پيام MAC: Message authentication code جوابگويي Accountability کنترل دسترسي Access Control

Download ppt "امنیت شبکه علی فانیان a.fanian@cc.iut.ac.ir."

Similar presentations

Cryptography and Network Security 2 nd Edition by William Stallings Note: Lecture slides by Lawrie Brown and Henric Johnson, Modified by Andrew Yang.

Cryptography and Network Security 2 nd Edition by William Stallings Note: Lecture slides by Lawrie Brown and Henric Johnson, Modified by Andrew Yang.
Cryptography and Network Security

Cryptography and Network Security
Internet Security CS457 Seminar Zhao Cheng. Security attacks interruption, interception, modification, fabrication passive attack, active attack.

Internet Security CS457 Seminar Zhao Cheng. Security attacks interruption, interception, modification, fabrication passive attack, active attack.
IPSec: Authentication Header, Encapsulating Security Payload Protocols CSCI 5931 Web Security Edward Murphy.

IPSec: Authentication Header, Encapsulating Security Payload Protocols CSCI 5931 Web Security Edward Murphy.
1 Computer Security Instructor: Dr. Bo Sun. 2 Course Objectives Understand basic issues, concepts, principles, and mechanisms in computer network security.

1 Computer Security Instructor: Dr. Bo Sun. 2 Course Objectives Understand basic issues, concepts, principles, and mechanisms in computer network security.
Information Security 1 Information Security: Security Tools Jeffy Mwakalinga.

Information Security 1 Information Security: Security Tools Jeffy Mwakalinga.
Cryptography and Network Security Chapter 1

Cryptography and Network Security Chapter 1
IT 221: Introduction to Information Security Principles Lecture 1: Introduction to IT Security For Educational Purposes Only Revised: August 28, 2002.

IT 221: Introduction to Information Security Principles Lecture 1: Introduction to IT Security For Educational Purposes Only Revised: August 28, 2002.
Security+ Guide to Network Security Fundamentals, Third Edition Chapter 12 Applying Cryptography.

Security+ Guide to Network Security Fundamentals, Third Edition Chapter 12 Applying Cryptography.
1 Cryptography and Network Security Third Edition by William Stallings Lecturer: Dr. Saleem Al_Zoubi.

1 Cryptography and Network Security Third Edition by William Stallings Lecturer: Dr. Saleem Al_Zoubi.
Security Overview Hofstra University University College for Continuing Education - Advanced Java Programming Lecturer: Engin Yalt May 24, 2006.

Security Overview Hofstra University University College for Continuing Education - Advanced Java Programming Lecturer: Engin Yalt May 24, 2006.
Lecture III : Communication Security, Services & Mechanisms Internet Security: Principles & Practices John K. Zao, PhD SMIEEE National Chiao-Tung University.

Lecture III : Communication Security, Services & Mechanisms Internet Security: Principles & Practices John K. Zao, PhD SMIEEE National Chiao-Tung University.
Network Security. Contents Security Requirements and Attacks Confidentiality with Conventional Encryption Message Authentication and Hash Functions Public-Key.

Network Security. Contents Security Requirements and Attacks Confidentiality with Conventional Encryption Message Authentication and Hash Functions Public-Key.
1 Lecture 20: Firewalls motivation ingredients –packet filters –application gateways –bastion hosts and DMZ example firewall design using firewalls – virtual.

1 Lecture 20: Firewalls motivation ingredients –packet filters –application gateways –bastion hosts and DMZ example firewall design using firewalls – virtual.
1 CSE 651: Introduction to Network Security Steve Lai Spring 2010.

1 CSE 651: Introduction to Network Security Steve Lai Spring 2010.
Computer Security Tran, Van Hoai Department of Systems & Networking Faculty of Computer Science & Engineering HCMC University of Technology.

Computer Security Tran, Van Hoai Department of Systems & Networking Faculty of Computer Science & Engineering HCMC University of Technology.
SYSTEM ADMINISTRATION Chapter 13 Security Protocols.

SYSTEM ADMINISTRATION Chapter 13 Security Protocols.
Cryptography and Network Security Chapter 1

Cryptography and Network Security Chapter 1
Cryptography and Network Security

Cryptography and Network Security
Information Security Principles (ESGD4222)

Information Security Principles (ESGD4222)

Similar presentations

Ads by Google