تبلیغات
کامپیوتر - پروتكل امنیت اینترنت

پروتكل امنیت اینترنت
IPSEC

قدرتهای اعمال اینترنتی بسیاری از مراحل امنیتی وپروتوكل ها را مشخص كرده است.در سالهای اخیر ،بسیاری از آنها در محدودهREVOLVED-IPSEC شده است.این پروتوكل طراحی شده است تا اتصالات وتركیبات حفاظت امنیتی متعددی برای استفاده كنندهاز اینترنت ایجاد كند.با استفاده از روشهای متفاوت عمل IPSEC برای مصرف كننده ،راههایی در باره كسب AUTH و خدمات خصوصی ارائه می كند.
در این مقاله مفاهیم امنیت اینترنتی رامعرفی كرده وآنها را توضیح می دهیم.تمركز در این مقاله برروی «پروتكل امنیت اینترنت» ( IPSEC) است.عملكردهای IPSEC توسط مثالهایی كه از روشهای انتقال ،تونل آورده می شود توضیح داده می شوند ، سپس نقوص امنیتی را امتحان می كنیم .یعنی انواع ایمنی را كه توسط اینترنت ارائه می شود را می آزمائیم واینكه چگونه بكار گرفته می شود.


مشكل ایمنی:
بسیاری از كسانی كه این پاراگراف را می خوانند ، خود قربانیان اسلحه امنیتی روی كامپیوتر شخصی یا شركتشان بوده اند .گاهی اوقات این اسلحه فقط كمی آزار دهنده است یا حتی می تواند با مزه وجالب باشد .ولی گاهی اوقات می تواند فجیع باشد كه ناشی از خرابی فایلهای اطلاعاتی ویا برنامه ها باشد .بیشتر مواقع همین امر موجب كم آمدن زمان مفید كاری می شود.
FBI برای فهمیدن حوزه اشكال آفرین ، دارای یك سازمان متخصص امنیت شبكه كامپیوتر است .این سازمان كه مقرش در سان فرانسیسكو می باشد، درسال 1998 گزارش كردكه فقط60% در FORTUNE سیستمشان اسلحه امنیتی دارند واین به مفهوم نفوذ موفق به سیستمشان است بنابراین به نظر می رسدكه در 100% آنها تلاشهایی برای نفوذ ورخنه كردن انجام شده است. بعدها FBIگزارش كرد كه هر اتفاق ناگواری حدود 8/2 میلیون برای شركت خرج دارد تا درست شود .
IBM مركز ضد ویروس را در مركز تسهیلات خود درهاوترن شهر نیویورك اداره می كند .IBM در این بخش بابیش از 20000 مهاجم امنیتی جداگانه مبارزه میكند.امروزه این قسمت 6تا 10 ویروس جدید را در روز تجزیه وتحلیل وپردازش می نماید .
تعاریف امنیت:
اولین اصطلاح Encription است.كه به معنی تغییر ساختمان جمله متن پیام است كه آنرا برای بازدید كننده ای كه توجه نداشته باشد مفهوم می كند وجملات به شكل عده ای كلمات بی مفهوم ظاهر می شود .این اطلاعات معمولا به نام متن رمزی نامیده می شوند. Decryptionمتضاد Encryption است وبه معنی تغییر متن رمزی به شكل اصلی خود است یعنی همان متن واضح.
Encryption و Decryptionتوسط جابجایی یا جایگزینی متن واضح از طریق یك الگوریتم به متن رمزی انجام می گیرد (عمل رمز شناسی).دوورودی برای این كار وجود دارد.
الف:متن واضح ب: مقدار خاصی كه مربوط به كلید می باشد.
عمل رمز شناسی ممكن است برای هر كسی آشكار باشد وكار مرموز وسری نباشد. از طرف دیگر این كلید نباید در اختیار همگان قرار گیرد ، اگر كسی این كلید را داشته باشد واین عمل شناخته شده باشد این مرحله آسانتر می شود كه ساختار متن رمزی را تغییر دهد تا به شكل متن واضح در آید.
Encryption و Decrypyion با یكی از این دو روش صورت می گیرد ومعمولا با تركیبی از از هردو رخ می دهد .اولین روش با 3 نام شناخته می شود، خصوصی یا متقارن یا متداول به هر نامی كه نامیده شود ، از یك كلید برای Encryption وDecryption استفاده می كند.
این كلید سری است ودر حقیقت سری است كه میان فرستنده وگیرنده پیام وجود دارد .فرستنده از این كلید استفاده می كند تا متن واضح را به شكل رمزی در آوردوگیرنده از همین كلید بهره می گیرد تا متن رمزی را به شكل متن واضح در آورد .
روش دوم با دو نام شناحته می شود :عمومی یا نامتقارن.این روش از دو كلید متفاوت استفاده می كند (در واقع دو گروه متفاوت كلیدها) یكی برای Encryption ودیگری برای Decryption استفاده می شوند.یكی كلید عمومی ودیگری كلید خصوصی نامیده می شوند.ما بعداً در باره این كلیدها مفصل صحبت خواهیم كرد.
عبارت دیگری كه باید معرفی نماییم امضای دیجیتالی است (Digital Signature ).این مسأله مرحله اثبات وتأیید را توضیح می دهد تا مشخص كند كه دسته ای كه پیامی را برای عده دیگری می فرستند,در حقیقت همان گروه مجاز هستند بهترین راهی كه می توان برای این عمل در نظر گرفت این است كه می تواند شبیه امضاء كسی باشد, یعنی كسی را تأییدمی كند .
بحثهای بعدی نشان خواهد داد كه چگونمه روشهای(Encryption )كلید عمومی مورد استفاده قرار می گیرند تا از امضای دیجیتالی حمایت كنند.
عبارت بعدی معروف به hash است یا عملhash یا كد hash یا هضم پیام.این عمل محاسبه(طراحی)روی پیام هر چقدر طولانی باشد را انجام می دهد تا میزانی با طول مشخص ایجاد كند .از این روش هنگامی كه با(e)حفاظت می شود استفاده می گردد تا فرستنده پیام را دریافت كند.
انواع استقرار ممكن برای سخت افزار یا نرم افزار:
استقرار:
همانطور كه ممكن است انتظار داشته باشید استقرار خاصی IPSEC در سخت افزار ونرم افزار می تواند گوناكون باشد سه شكل ممكن (شكل 4-9) وجود دارد .اول اینكه نرم افزار مستقیماًدر كد منبع IP قرار گیرد كه برای HOST یا نرم افزار دروازه امنیتی می تواند قابل استفاده باشد به این یافته « ضربه به كد» می گویند. ( BITC ) (THE CODE BUMP-IN)
روش دیگر استقرارIPSEC تحت مقدار زیادی پروتكل IP است كه بدین معنی است كه روی خط رانندگی عمل می كنند .این روش معمولاً برای HOST ها قابل استفاده است به طریقی كهIPSEC بالای لایه شبكه ناحیه محلی (MAC ( وتحت كنترل ودسترسی عوامل باشد به این یافته « ضربه به مقدار زیاد » می گویند. (BITS) (BUMP-IN-THE-STACK)
روش سوم استفاده از وسیله مجزا واتصال آن به یكHOST یا دروازه امنیتی است به طور مثال این وسیله می تواند یك پردازشگری باشد كه توسط ارتش استفاده می شود به این یافته«ضربه به سیستم»می گویند.(BUMP-IN-THE-WIRE)
وسیلهBITV معمولاً با مخاطب قرار دادنIP در دسترس قرار می گیرد واگر از HOSTحمایت كند مانندBITS برایHOST است هنگامیكه با یك ROUTER یا FIREWALL به شكل مختصر توضیح داده شد )عمل كند به نظر می رسد كه یك دروازه امنیتی است وباید برای توضیح اعمال امنیتی FIREWALL شكل گیرد.
انواع مشكلات امنیتی:
یك سازمان در برابرچه نوع مشكلات امنیتی باید ایمن باشد؟بسیاری از مسائل امنیتی با نامهای فریبنده ومؤثری مانند ویروس ،كرم وغیره در ارتباط هستند.این بخش فصل به مرور این مشكلات می پردازد.
ویروس:
ویروس قسمتی از یك كد است كه خود را به برنامه كپی می كند وهنگامی كه برنامه اجرا می شود ،عمل می كند .سپس ممكن است خود را مضاعف نماید ودر نتیجه ،سایر برنامه ها را نیز مبتلا سازد .ممكن است خود را نشان ندهد تا توسط یك عمل خاص مورد اثبات قرارگیرد بطور مثال یك داده ،ردیابی عملی مانند حذف شخص از مجموعه DATA BASE وغیره.ویروس ممكن است خود را به سایر برنامه ها را نیز اضافه كند.
آسیب ویروس ممكن است فقط آزاردهنده باشد ، مانند اجرای كدهای غیر ضروری فراوان كه از كیفیت عمل سیستم می كاهد ولی معمولاً ویروس آسیب رسان است .در واقع ویروس را به عنوان برنامه ای توضیح می دهند كه باعث گم شدن یا آسیب به اطلاعات یاسایر منابع شود .آیا كمبود كیفیت عمل می تواند در طبقه بندی آسیب ها قرار گیرد ؟البته ولی آسیب نسبی است.
ممكن است رد یابی یا یافتن ویروس مشكل باشد .شاید گاهی اوقات خودشان ناپید شوند.
كرم:
گاهی كرم به جای ویروس به كار می رود .شباهتهایی میان این دو وجود دارد .كرم كدی است كه خودش را دوباره تولید می كند .با اینحال برنامه مستقلی است كه سایر برنامه ها را اضافه نمی كند ولی خود را بارها دوباره ایجاد می كند تا اینكه سیستم كامپیوتر یا شبكه را خاموش كند یا از سرعتش بكاهد به این جمله مشكل«انكار خدمات» گویندكه موضوع بحث در بسیاری از اجتماعات است كه بعد از خاموشی وب سایت های بزرگ در ژانویه 2000 ،می باشد دلیل اینكه هاپ ( JOHN HUPP) ،كرم را به عنوان كدی معرفی كردند كه در ماشین وجود دارد واین قطعه كرم در ماشین می تواند به محاسبات ملحق شود یا نشود .وخود می تواند به تنهایی زنده بماند.
اسب تروا:
این نیز یكی دیگر از كدهاست وویروس وكد می توانند تحت طبقه بندی «اسب تروا» قرار گیرند دلیل انتخاب این اسم این است كه خود را (درون برنامه دیگر)پنهان می سازد درست همانند داستان قدیمی سربازان یونانی به آنان داخل شكم اسب بزرگی پنهان می شدند كه توسط شهروندان تروایی به داخل شهر تروا آورده شد .سپس هنگامی كه داخل دژ تروا بودسربازان از اسب بیرون آمدند ودروازه شهر را گشودند تا راه بقیه سربازان رومی را بگشایند.
FIREWALL ها:
سیستمی است كه استفاده می شود تا سیاست كنترل دسترسی در یك سازمان یا بین سازمانها را تقویت كندFIRE WALL تنها یك ماشین نیست بلكه مجموعه ای از دستگاههاونرم افزار است كه سیاست كنترل دستیابی راINSTITUTES می كند. (همكاری امنیتی) این اصطلاح بسیار آسان ، از عبور تبادل جلوگیری می كند یا به آن كمك می كند تا از یك طرف به طرف دیگرFIRE WALL برود.
هر تبادل مجازی كه می تواند این FIRE WALL را ازیك شبكه به شبكه دیگر یا ازیكHOST به دیگری برود باید توشط سیاست امنیت كه در طرح های كنترل دستیابی سازمان مستقر شده اند توضیح داده شود.
كمك دیگرFIRE WALL این است كه خودش باید ایمن باشد .همچنین باید Penetration ایمن داشته باشد .با این توضیحاتFIRE WALL سیستمی است كه از شبكه های مطمئن تا شبكه نا مطمئن را حفاظت می كند ، شبكه های مطمئن می توانند شبكه های داخل سازمان وشبكه های نامطمئن می توانند اینترنت باشند .با این حال ،مفهوم سیستم های مطمئن وغیر مطمئن به سازمان بستگی دارد در بعضی شرایط در یك سازمان ،شبكه های مطمئن وغیر مطمئن می توانند وجود داشته باشندكه به نیاز مربوط به دانستن وحفاظت منابع بستگی دارد در واقع مفهوم Fire Wall های داخلی (داخل شركت)وخارجی(میان شبكه داخلی وخارجی)مضمون مهمی در ساختن مكانیزم های حفاظتی است.در واقعFIRE WALL های داخلی ،بسیار مهم هستند . چون معروف هستند كهHACK كردن داخلی وسلاحهای امنیتی داخلی بسیار مشكلتر ازHack كردن خارجی یا سلاحهای امنیتی خارجی هستند.
به طور خلاصه ما می توانیمFIRE WALL راوسیله ای برای مراحل امنیتی سازمان فرض كنیم ،یعنی وسیله ای برای سیاستهای كنترل دستیابی.از این وسیله برای انجام مراحل واقعی استفاده می شود بنابر این معرف سیاست امنیتی وتصمیم تحقق در سازمان است.
اجرای FIRE WALL :
چون شبه سازمانها به كارمندان خود اجازه می دهند كه به اینترنت عمومیCONNECT شوند باید به نحوی طراحی شود كه اهداف دسترسی اینترنتی سازمان را بر آورده سازد (یا سایر شبكه های عمومی)خلاصه سازمان ممكن است به سایتهای سازمان ،اجازه دسترسی به اینترنت را ندهدولی به اینترنت اجازه دستیابی به سازمان را می دهد .به عنوان یك جایگزین دیگر ممكن است استفاده شوند كه فقط به سیستم های انتخابی اجازه دهند كه به سیستم های خصوصی درFIRE WALL وارد یا خارج شوند .
سیاستهای دسترسی ممكن است FIRE WALL رابه دوروش اصلی انجام می دهد.
الف-هر خدماتی را مجاز بداند تا اینكه آشكارا رد شود
ب-هر خدماتی را رد كند تا آشكارا مجاز شود
[NCSA96]الف-موقعیت قابل توجهی برای سلاحهای امنیتی ایجاد می كند در بیشتر مواقع (ب)خدماتی است كه درآن بیشتر طرحهای دستیابی طراحی می شوند .مشكل(الف)این است كه تبدیل به یك چتر كامل تمام در برگیرنده می شود كه می توانداز مسیر جانبی عبور كند(bypass ) . به طور مثال خدمات جدید می توانند از این دسته باشند كه در فیلترFIRE WALL توضیح داده نمی شود یا توسط طرح دست یابی سازمان توضیح داده می شود.به عنوان مثال خدمات رد شده كه در ساختار اینترنت انجام می شود ،می توانند با استفاده از پرت دی انترتی غیر استاندارد ،غلبه كننده كه در سیاست آشكار توضیح داده نشده است (و رد شده است).
آخرین نكته در این بحث اولیهFIRE WALLS این است كه دربسیاری موارد ،استفاده از انواع مختلف FIRE WALL هامنطقی است تا تجزیه تحلیل دستیابی وفیلتر كردن وابسته به طبیعت تبادل وویژگی مانند آدرسها،شماره پرت ها وغیره انجام پذیرد.
یكی از اعمال اصلی انجام شده توسط FIRE WALL فیلتر كردن بسته هاست (شكل5-9)این اصطلاح عملی را توصیه می كند كه بسته های خاصی اجازه عبور از FIRE WALL رادارند ودیگر بسته ها نمی توانند عمل فیلتر كردن بستگی به قوانینی دارد كه در نرم افزار اجرا كننده FIRE WALL بشكل رمزی در آمده است .متداول ترین نوع فیلتر كردن بسته از دیدگاه یك ROUTER مسیر یاب قدیمی در برنامه اطلاعاتیIP انجام می شود(بسته هایIP ).فیلتر كردن معمولاًروی (الف)آدرس منبع،(ب)آدرسIP مقصد ،(ج) شماره پرت منبع و(د) شماره پرت مقصد
Filtering:
انجام میشود.در حالیكه این پدیده ها برای بیشترROUTER هایHIGH-END استفاده می شود همهROUTER ها نمی توانند روی شماره های پرت فیلتر كنند.
بعلاوه سایرROUTER فیلتر را بر اساس ارتباطات شبكه فرستنده انجام می دهند برای تصمیم گیری در باره اینكه آیاDATA GRAM ازمیان ارتباط ورودی یا خروجی باید عبور كند یا خیر؟
فیلتر كردن همچنین بستگی به سیستم های عمل كننده خاصی دارد ،به طور مثال بعضی از HOST های UNLX قادرند فیلتر كنند وسایر آنها نمی توانند.
تبادل از یك شبكه غیر مطمئن به FIRE WALL انجام می گیرد .قبل از اینكه توسط FIRE WALL پردازش نشده است فیلتر نشده است.
تبادل بر اساس سیاست امنیتی در FIRE WALL به شبكه یا شبكه های مطمئن انتقال می یابد ،تا فیلتر شود .در غیر این صورت آنهایی كه از آزمایشات FIRE WALL در نیامده اند دور ریخته می شوند. در چنین شرایطی ،تبادل باید برای تجزیه وتحلیل های بعدی ثبت شود كه جنبه مهمی در زمینه رد یابی مشكلات امنیتی ممكن می باشد.استفاده از تمام قوانین فیلتر كردن یك ROUTETR ممكن است كار بسیار پیچیده ای باشد حتی اگر قابل اجرا باشد ،ممكن است درROUTER حجم كاری كه پردازش آن كامل نشده ،ایجاد كند .كار دیگر این است كه بیش از یك FIRE WALL داشته باشیم كه بعضی از داده های فیلتر كردن به روشی كه معروف به PROXY FIRE WALL یا استفاده از دروازه است انجام می شود .مثلاً كاغذ NCSA بیان می كند كه یكROUTER ممكن است از تمام بسته هایTELNETوFTP به یكHOST خاص بگذرد كه تحت عنوان دروازه اجرای TELNET/FIP شناخته می شود،سپس این دروازه ،كارهای فیلتر كردن بعدی را انجام می دهد.
مصرف كننده ای كه می خواهد به سایت سیستم خاصی متصل شود ممكن است نیاز باشد كه اول بهAPPLICATION (دروازه اجراوصل شود وسپس بهHOST مقصد متصل گردد)مصرف كننده اول به ELENT/APPLICATIONGATE WAY می شود ونامHOST داخلی را وارد می كند.A.G سپس آدرس منبعIP مصرف كننده را برای معتبر بودن كنترل می كند .(در این ارتباط ،ممكن استUSER مجبور شود كهA.G را تأیید نماید )سپس ارتباطTELNET میان دروازه وHOST داخلی محلی برقرار می شود كه سپس تبادل میان دو دستگاه HOST عبور می كند.
بعلاوه FIRE WALL عملی بعداً می تواند طراحی شود تا انقلاب خاصی را تأیید یا تكذیب كند .آنچه به نظر می رسد این است كه استفاده بعضیUSER ها را تكذیب می كند واین گونه عمل می كند كه با تكذیب فرمانFTPPUT بهSERVER می نویسد.
خدماتFIRE WALL كنترل شده MFWS :
MFWS تقریباً سلاح جدیدی در جنگهای امنیتی است سازمانی كه این خدمات را ارائه می كند ،مسئولیت درست شدن وكنترل FIRE WALL شركت را به عهده دارد كه شامل طراحی كلی سازمان امنیتی كامل ،مجوز گرفتن برای نرم افزارINSTALL (نصب)،نگهداری وحتی اعمال اصلی كنترل است .
در تخمین وارزشیابیMFWS باید به دقت به پتانسیل شخصی كاركنان شركت بنگرد ،در واقع شاید بزرگترین شكایت در باره تأمین كنندگان FIRE WALL كمبود شعور كاركنان امنیتی آنهاست.
ولی این LAMENT ازطریق صنعت متداول است.اما افراد ماهر كافی وجود ندارد.با این وجود ،شكست درزمینه داشتن كاركنان با صلاحیت درMFWS كهFIRE WALL هایش ما را كنترل می كنند.می تواند مشكلات فراوانی بیافریندمانند سلاحهای امنیتی AKA .
تأمین كننده Fire Wall ،2راه پیش پای مشتری در باره محل Fire Wall می گذارد. (شكل6-9) الف- روی سیاستهای مشتری ب-روی سایت تأمین كننده بیشتر خدمات توسط ISPهاو انتقال دهندگان مسافت طولانی تأمین می شود بنابراین (ب)معمولاًاستقرار Fire Wall در مركز اطلاعاتی تأمین كننده در سررور را ایجاب می كند.(مثلاً محل حضور ISP یا POP ) .
برای راه الف-راحت تراست كه تلاشهای امنیتی در نقطه متمركز جمع شود. شخص از داشتن Fire Wall اختصاصی مطمئن می شودوبرای اطمینان فیلترهای خاصی ایجاد می شود.برای راه ب- شركت لازم نیست كه فضای خود را برای وسایل استفاده كند وكاركنانی را برای Fire Wall اختصاص دهند .با اینحال راه ب- ممكن است به این مفهوم باشد كه تلاشهای امنیتی در محل هایی باچند سررورتصرف شوند .همچنین راه ب-ممكن است به این معنی باشد كه Fire Wall باسایر مشتریان تقسیم شده است ولی تصرف لزوماًبد نیست. ممكن است موجب تأخیر كمتر وفاصله پرش كمتر شود.
خدمات fire wall كنترل شده:
برای راه ب- دانستن اینكه تأمین كننده چند سایت دارد،خوب است چون تبادل می تواند توسط محلهای مضاعف تقسیم شود(مثلاً در امریكا ،اروپا،آسیا وغیره)
همانطور كه این شكل نشان می دهد درواقع تنظیم غیر اختصاصی دوتنوع ایجاد می كند.
IP_Sec , Fire wall:
این مثالها برای اعمال روش تونل است كه در آنها فایرواسها تونل امنیتی میان آنها را حمایت می كند. بسته USER برای این امتحان می شود كه آیا با سیاست امنیتی Out Bound می خواند یا خیر ؟
به خاطر داشته باشید كه این هماهنگی می تواند در باره آدرسهای IP ،ID پروتكل وشماره های پرت ها نیز صورت گیرد . این بسته ها بر اساس اینكه هماهنگ می شوند یا نه –الف-به شكل واضح Forwardمی شوند (بدون جایگزین) یا-ب- Drop می شوند (بدون پردازش های بعدی)یا-ج- به راههایی Subject می شوند كه توسط سیاست امنیتی OutBound تعیین می شود.
الف- IPSEC در یك فایروال(بسته OutBound )
ب- IPSEC در یك فایروال(بسته InBound )
بسته امنیتی به فایروال میرسد جایی كه بدون تونل می شود (Decapsulate) .بسته IP سپس برای هماهنگی با سیاست SA(inBound)مقایسه می شود .اگر هماهنگ باشد عملی كه توسط سیاست امنیتی InBound تعیین شده انجام می شود در غیر این صورت Drop می شود.
مكانیزم های امنیتی:
عمل Hash :
این بخش از مقاله Coding و مكانیزم را برای ایجاد امنیت معرفی می نماید .اجازه بدهید با یك روال كار بسیار مهم واصلی شروع كنم كه معروف به Hash یا عمل Hashing است این عمل مدارك User را به یك Degestتبدبل می كند كه معروف به اثر انگشت دیجیتالی (عددی)یا Degest پیغام است.
به این دلیل این نام را انتخاب كرده اند كه علاوه بر جنبه Encryption عمل می تواند برای جستجو جعل شده ها و Temprory مدارك نیز استفاده شود. Hash به شكل زیر عمل می كند ودر این شكل نیز نشان داده شده است.
ابتدا،متن پیام به شماره های Binery تبدیل می شود وبه Block های هم اندازه تقسیم میگردد.این ها به الگوریتم Input ciphering ارسال می شود كه خروجی تولید می كند كه معروف به Degest یا Hash می باشد.
توجه داشته باشید كه Degest به محاسبه پیام اصلی User بستگی دارد.
جنبه جالب عمل Hash این است كه Degest همیشه به اندازه و بدون تغییر می باشد البته بدون توجه به طول پیام User . Convention متداول ایجاد كد 128 بایتی است كه معمولاً به شكل 32 String شماره ای ارائه می گردد.جنبه جالب دیگری از Hash این است كه بهبود بخشیدن پیام ازاعمال Hash تقریباً غیرممكن است این مفهوم تحت عنوان یك عمل یك طرفه شناخته می شود.الگوریتم Hash استقرار می یابد تا هیچ 2پیامی یك Hash را Yield نكند.(حداقل در هیچ Bound آماری منطقی)این بدین معنی است كه درون هیچ عددمنطقی محاسبه ممكن نیست تا پیامی پدید آورد كه همان Hash پیام متفاوت دیگر را ایجاد كندبدلیل این عمل Degest می تواند بعنوان اثر انگشت پیام خود باشد بعلاوه راز عمل Hash اینست كه میتوان برای جستجوی Temprory پیام استفاده كرد.بنابراین وسیله ای ایجاد می كند تا 2جنبه امنیتی را حمایت كند –الف-صحت -ب- Intergrity مثالهایی از Hash های اینترنت :الگوریتم Degest پیام MD5 چاپ شده در سال 1321 نوشته ران ریوست برای عمل Hash بسیار مورد استفاده قرار می گیرد.در چند سال اخیر برای جمله InRelibility مورد انتقاد قرار گرفته است ومعلوم است كه امكان این مسئله وجود دارد كه 2 Input متفاوت یافته شود كه همان Degest را ایجاد می كند .به غیر از این مشكل به مشكل دیگر تأكید می كنم . مشكل این است كه MD5 در روترهای Cisco استفاده می شوند تا از پروتكل های متفاوت چرخشی حفاظت كند مانند Rip ,OSPF , BGP .
الگوریتم MD5 برای ماشینهای 32 بایتی طراحی شده است كه Extension MD5 با Enhancment های متعددی است كه به طور خلاصه به آن اشاره می شود.پیامی باطول arbitry را می گیرد و Degest پیام 128 بایتی را ایجاد می كند.پیام ورودی در Block 512 بایتی را پردازش می كند (16كلمه 32بایتی).كه برای امضاهای دیجیتالی طراحی شده است.الگوریتم ایمن Hash (SHA) معمولاً تحت عنوان استاندارد Hash ایمن SHA-1 نامیده می شود توسط سازمان ملی استاندارد وتكنولوژی آمریكا NIST چاپ می شود.بستگی به PreDecessor MD5 دارد كه معروف به MD4 است .تفاوتهای اصلی میان (SHA-1) واین SMD كه Degest پیام 160بایتی به جای 128بایتی ایجاد می كند.این Degest را طولانی تر از SHA-1 می كند. شامل پردازش بیشتری برای ایجاد Degest طولانی تر می شود.باابن حال SHA-1 یكی از الگوریتم ها Hash است كه به دلیل محدودیت برای Colission بسیار استفاده می شود.در حالیكه Sha-1 یك Degest قوی تر پیام است ،اگر برای MD5 استفاده شود Intergrity خود را حفظ می كندوبه شكل مؤثرتری عمل می كند(محاسبه آن سریع تر است) تا SHA-1 ، سرعت محاسباتی مهم است.چون هر بسته كه از یك گروه خارج شده یا به آن وارد می شود باید روی آن محاسبات امنیتی انجام شود.
برای اطلاعلت بیشتر در باره مراجعه كنید.بدلیل Concern با MD4 وMD5 ارزشیابی Intergrity Primitive اروپایی RIPE را گسترش داد .آن نیز از SHA-1 نشأت گرفت ولی طول آن 160بایت است با این حال Ripemd مانند SHA-1 نسبت به MD4 اثركمتر دارد.
HMAC در 2104 RFC چاپ شد ونویسندگانش Ran Canetti,Mihir Bellare, Hugo Krawczyk بودند. یك عمل كلیدی Hash است IPSEC نیاز داردكه تمام پیام Authentication با استفاده از HMAC انجام شود.
RFC 2104 ،Objective های طرح شده HMAC را بیان می كند (ومن نیز مستقیماً به آن اشاره می كنم):
13/استفاده بدون مضاعف شدن اعمال HASH قابل دسترسی .مخصوصاً اعمالی كه Hash به خوبی در نرم افزار .و كد به شكل آزاد وگسترده در دسترس است .
14/برای جلوگیری از عمل اصلی HASH بدون انجام Degradati خاص.
15/برای استفاده وكنترل كلیدها به روش آسان.
16/تجزیه قابل درك Cryptographic از قدرت مكانیزم Authentication وابسته به منطقی در مورد اعمال Undelivery HASH
17/اجازه برای Reptceabitiy آسان اعمال Undelivery Hash در مواردی كه اعمال Hash سریع تر وایمن تر یافته یا مورد نیاز می باشند.
كلیدهای عمومی:
سالهاست كه كلیدهای عمومی در شبكه های عمومی وخصوصی برای Encrypt كردن اطلاعات مورد استفاده قرار می گیرند.مفهوم كلید عمومی در محاسبه دو كلید با یك عمل نهفته است یك كلید معروف به عمومی ودیگری كلید خصوصی است.این نام ها به این منظور گذاشته شده كه كلید عمومی می تواند به بزرگ» Disseminate شود.در حالیكه كلید خصوصی این طور نیست.پدیدآورنده كلید خصوصی این كلید را به شكل سری نگهداشته است.اگر این كلید Disse شود توسط Encrypt اولیه آن برای انتقال از میان تونل امنیتی انجام شده است. Not With Standing مفهوم كلید عمومی این است كه كلید خصوصی رابه Vest نزدیك كند ومحتوای آن را به هیچ كس به غیر از پدید آورنده بروز ندهد.
كلیدهای عمومی برای Encrypt كردن استفاده می شوند . فرستنده از كلید عمومی گیرنده استفاده می كند تا متن واضح پیام را نموده به شكل پیام نامفهوم در آورد .پردازش در گیرنده Revers میشود یعنی در جایی كه دریافت كننده از كلید خصوصی برای Decrypt نمودن پیام نامفهوم به پیام واضح استفاده می كند.
بعلاوه استفاده از كلیدهای عمومی برای Encrypt كردن برای مراحل authentication نیز به طور گسترده ای استفاده می شوند .همچنین برای كنترل Intergerity واثبات حمل نیز مورد استفاده قرار می گیرند كه بعداًبه آن بحث می پردازیم.
در این مثال فرستنده از از كلید خصوصی فرستنده استفاده می كند تا میزان شناخته شده ای را به امضای دیجیتالی Encrypt كند. هدف این امضای دیجیتالی این است كه authenticity فرستنده را ارزشیابی كند.فرستنده Conscoenty از طریق سایر مقادیر كه به كلید عمومی گیرنده فرستاده است .این كلید به الگوریتم برای امضای دیجیتالی ورودی استفاده می شود.اگر اعمال Decrypt كردن ناشی شده ،محاسبه مقدار شناخته شده را منجر می گردد كه قبلاًتوشط فرستنده Instantiut شده بود فرستنده همان فرستنده مجاز تلقی می شود(یعنی فرستنده authentic است)
به طور خلاصه اگر مقدار محاسبه شده معروف دردریافت كننده برابر با مقدارقابل انتظار باسد پس فرستنده شده است.اگر محاسبه برابر نباشد پس فرستنده صحیح نیست.یا اشتباهی در پردازش صورت گرفته است.هر چه باشد فرستنده اچازه ندارد هیچ سود بعدی در سیستم دریافت كننده ببرد.ما آموخته ایم كه دو عمل اصلی در انتقال وحمایت از داده های ایمن وجود دارد .اولین عمل Encryption (درفرستنده)پیام فرستنده Decryption, Complimentation پیام در گیرنده است.عمل دوم اطمینان از این مطلب است كه فرستنده مناسب ،پیام را فرستاده و Imposter این كاررا نكرده است.یعنی فرستنده پیام صحیح است.
از تكنیكهای بسیار استفاده می شود وما به تازه در باره اعمال كلیدی عمومی اطلاعات بدست آورده ایم روش دیگر در شكل 8-9 نشان داده شده است.این روش ازcryptographer عمومی كه الان توضیح دادیم وعمل hash كه قبلاًتوضیح داده شد استفاده می كند.
notection چعبه های سیاه سمبلINPUT به OUTPUعمل است . در رویداد 1 :پیام اصلی (نوشته واضح)بهCRYPTOGRAPH كردن عمل یك طرفهSUBJECT HASHمی شود نتایج آن عمل DIGپیام است .در رویداد 2 :DIG عمل وكلید خصوصی فرستنده به عمل شكل 10-9 SUB,ENCRIPTION می شود كه منجر به امضای دیجیتالی می گردد.امضای دیجیتالی ،به پیام اصلی اضافه می شود(نوشته واضح) وتمام این بخش اطلاعات در رویداد 3 با كلید عمومی گیرنده می شود.نتیجه یك پیام نامفهوم است.
اكنون پردازش در دریافت كننده برای شده است.در رویداد 4 پیام نامفهوم با كلید خصوصی دریافت كننده SERVERS می شودكه در الف/ پیام اصلی (پیام واضح)و ب/ امضای دیجیتالی اینگونه است.رویداد 4جنبهCRYPTOGRAPHY ,CRITICAL با كلید عمومی است چون فقط آنهایی كه از كلید خصوصی گیرنده عبور می كنند ،می توانند پیام ناهفهوم را نمایند.
سپس،امضای دیجیتالی توسط كلید عمومی فرستنده (در رویداد 5) DECRYPT می شودوپیام واضح (در رویداد 6)به عمل HASH یك طرفهCRYPTOGRAPHY مشخص SUBJECT می شودكه در فرستنده انجام شده است .سپس گیرنده اعمال ناشی از از رویداد5و6 را مقایسه می كند واگر مقادیر ناشی شده همانند بودند،گیرنده می تواند مطمئن باشد كه فرستنده واقعی وصحیح است .اگر نتایج متفاوت بودند ،چیزی AMISS شده یا فرستندهPHONY است یا INTRERLOPERتبادل فرستنده راINTERSEPT كرده وآنرا جایگزین نموده یا تبادل در انتقال آسیب دیده است.
كلید جلسه (ارتباط میان وكامپیوتر راه دور)( ESSION KEY )
بعضی SIMPGEM ENTATION عمل دیگر را به اعمالی كه بحث شد EMFED می كنند كه تحت عنوان نامهای متفاوتی در صنعت شناخته شده هستند. بعضی ها به این عمل (كلید جلسه)گویند ،بعضی ها به آن كلید یك زمانی وبعضی هاآنرا با نام كلید متقارن یك زمانه می نامند.
كلید جلسه یا یك زمانه استفاده می شود تا امضای دیجیتالی ومتن واضح را در رویداد 3 ENCRYPT كند ویك عمل COMPLEM ENTARY در گیرنده در رویداد6 انجام دهد.به كلید ،كلید متقارن گویند چون از همین كلید برای ENCRYPT وDECRYPT اطلاعات استفاده می شود.یكی از مزایای این تكنیك این است كه می تواندIMPLEMENT شود تا اعمالی بسیار سریع وواضح انجام دهدكه لایه امنیتی دیگری به پردازش OVERALL اضافه می كند.اعمال كلید عمومی بسیار طولانی هستند وپردازش CPUبسیاری را می طلبند.بنا براین در شكل 11-9 كلید عمومی گیرنده ،فقط استفاده می شود تا كلید جلسه راENCRYPT نماید.
CRIFICATION كلید:
پس تا اینجا ما فهمیدیم كه گیرنده به فرستنده اطمینان دارد وگیرنده باور دارد كه كلید عمومی فرستنده (كه ذخیره شده)صحیح است.ممكن است این شرایط واقعیت نداشته باشدCRYPTOGRAPHY كلید عمومی برایCOMPROMISE یا به اصطلاح حمله «مرد میانه»VULNER ABLE است (همچنین بدانPIGGY در وسط یا مرددر وسط گویند)كه در شكل 12-9 مشان داده شده است.
مرد میانه یا مالوری ، كارل وتد را با فرستادن كلیدهای عمومی غلط، به اشتباه افكنده است تد،كلید عمومی مالوری را (MPUB1) در رویداد 1 دریافت می كند .مالوری همچنین كلید عمومی دیگر ایجاد می كند وآنرا در رویدا 2به آلیس می فرستد (MPUB2) كلیدهای غلط به رنگ خاكستری تیره در شكل نمایش داده شده اند.درزمان دیگری (رویداد3)،كارل وتد LEGITITNATEكلیدهای خصوصی تولید كردند،كه این كلیدها به رنگ سفید در شكل برای كارل (CPRI) وتد (TPRI) نشان داده شده است.ما گمان می كنیم كه این كلیدها ،كلیدهای جلسه هستند(كلید متقارن یك طرفه)وبرای DECRYPT,ENCRYPT تبادل،استفاده می شود.
حمله مرد میانی:
در رویداد4 ،كارل وتد آنچه را كه فكر می كنند كلید عمومی یكدیگر است استفاده می كنند كلید خصوصی جلسه را ENCRYPT كننددر واقع ،آنها از كلیدهای عمومی غلط مالوری استفاده می كنند.
رویداد5 ،كلیدهای ENCRYPT شده جلسه توسط كارل وتد فرستاده می شوند ولی توسط مالوریINTERCEPTمی شوند كه در رویداد 6 از 2كلید عمومی او استفاده می كند تا كلیدهای خصوصی ENCRYPT نماید(MPUB2,MPUB1)
پس در رویداد 7،مالوری كلیدهای خصوصی جلسه كارل وتد را بدست می آورد ومی تواند به ایفای نقش مرد میانی بپردازد وتبادل را TERCEPT كند.
برای اینكه با حمله مرد میانی بسازیم،سیستم های امنیتی بالایی،مفهوم CERITIFICATE دیجیتالی را IMPLEMENT می كند وما به شدت توصیه می كنیم كه هر سیستم CRYPTOGRAPHY كلید عمومی ازCERTI دیجیتالی استفاده كند.ازاین عمل استفاده می شود تا گیرنده را مطمئن سازد كه كلید عمومی فرستنده ،معتبر است .برای حمایت از این عمل ،كارل كه فرستنده است با CERTICALL دیجیتال از دسته سوم قابل اطمینان دریافت كند كه به آن CERTIFICATION AUTHARY گویند.كارل در رویداد 1كلید عمومی خود را به همراه اطلاعات IDENTIFICATION خاص وسایر اطلاعات بهGERAUY می فرستد.
CERAU از این اطلاعات استفاده می كند تا كارل وكلید عمومی او را شناسایی كند كه در شكل به شكل رویداد 2 نشان داده شده است.
اگر كنترل كارل رضایت بخش باشدCERAU به كارل یك CER دیجیتالی می دهد كه معتبر بودن كلید خصوصی كارل را تأیید می كند .این عمل در رویداد3 نشان داده شده است .در رویداد4 وقتی كارل تبادل را به گیرنده می فرستد (دراین مثال تد)كارل تمامی اعمالی كه در مثالهای قبلی مان بحث كردیم را انجام می دهد.(یعنی،عمل HASH ،امضای دیجیتالی وغیره)واین اطلاعات را به همراه CER دیجیتالی به تد می فرستد.
در اعمال قبلی ،كلید عمومیCERAUT به گروههای دیگر من جمله تد DISSEMINATE می شد در رویداد 5تد از كلید عمومیCERAUT استفاده می كند تا امضای دیجیتالی CERAUT را كه قسمتی ازCER كامل است بسنجد ،اگر همه چیز كنترل شد ،تد مطمئن است كه كلید عمومی (بخش دیگری ازCER) در واقع به كارل تعلق دارد بدین گونه ،در رویداد6 توسط CERAUT مطلع می شود كه رویداد 7نتیجه می شود جایی كه تد می تواند از كلید عمومی كارل استفاده كند تا پیام نامفهوم راDECRYPT نماید.
شعاع RADIUS :
اعمال امنیتی در یك سازمان بزرگ كار مهمی است یكی از نگرانیهای موجودCOMPROMISE ممكن منابع سازمان به دلیل DISPERSAL میزان امنیت در سیستم است كهRESULT IN یافتهFRUGMENTED می شود.برای مسائل مركب،كارمندانCONTRACTORS ومشتریان نیاز به دسترسی به اطلاعات دارد واین افراد كامپیوتر سازمان را عملاًاز هر جایی شماره گیری می كنند .AUTENTICATION این منابعDIVERS باید در ارتباط با سیاست امنیت سازمان ACCOMPLISH شود.ولی چگونه؟آیا باید در آنجا یك سیستمAUTHENTICATION (یك سرور)در هر سایت سزمان وجود داشته باشد ؟اگر اینچنین است،چگونه این سرورها كتنرل می شود،چگونه فعالیت هایشان هماهنگ می شود؟در عوض آیا یك سازمان ،سرور مركزی را DEPLOY می كند تا تلاشهایCOORDINATION را كاهش دهد؟
برای كمك به یك سازمان برای استقرار یك یافته INTEGRATED برای كتنرل ومدیریت ایمن ،گروه كاركنان شبكه اینترنت RFC2138 یعنی شماره گیری AUTHE ا زراه دور در سرویس استفاده كننده را چاپ كردند RADIUS این خصوصیات مراحل IMPLEMENT سرورAUTH رامشخص می كند كه شاملDATA BASE مركزی است كه استفاده كنندگانی را كه شماره گیری می كنند واطلاعات مربوطه را استفاده نكنندAUTHENTICATE را نشان می دهند.
RADIUS همچنین به سرور اجازه می دهد كه با سایر سرورهامشورت كند ،بعضی ممكن است براساس RADIUS باشند وبعضی اینگونه نباشد.با این یافته ،سرور RADIUS بعنوان برای سرور دیگر عمل می كند.
این خصوصیات همچنین به جزئیات این مسئله می پردازد كه چگونه اعمال خاص استفاده كنند ،می تواند مورد حمایت قرار گیرد،مانند TELNET,RLOGIN,PPP وغیره.
RADIUS CONFIGURATION به روش CLIENT یا سرور ساخته شده است مصرف كننده نهایی با سروری كه به شبكه دسترسی داردNAS از طریق اتصال تلفنی،مرتبط می شود .در عوضCLIENT NAS سرورRADIUS است.NASوسرورRADIUS با هم از طریق یك شبكه یا یك اتصال نقطه به نقطه ارتباط پیدا می كنند.همانطور كه قبلاً اشاره شد،سرورRADIUS ممكن است با سایر سرور ها نیز ارتباط برقراركند ،بعصی ممكن است پروتوكل RADIUS را فعال كند وبعضی نكندمقصود این است كه یكREPOSITORY مركزی برای اطلاعات AUT وجودداشته باشد كه در شكل به عنوان شمایل DATA BASE(ICON) نشان داده شده است.
ساختارRADIUS :
استفاده كننده باید اطلاعات AUT را بهNAS ارائه كند (معروف به CLIENT HERE AFTER ) مانند USER NAME وكلمه عبور یا بستهPPP(OUT) سپسCLIENT ممكن است بهRADIUS دستیابی پیدا كند.
اگر چنین شود CLIENT یك پیام« درخواست دسترسی » ایجاد می كند وبه گره هایRADIUS می فرستد (معروف بهSERVER HERE AFTER )این پیام شامل اطلاعات در مورد مصرف كننده ای است كهATTRIBUTEخطاب می شود .اینها توسط مدیر سیستمRADIUS مشخص می شوند،بنابراین می توانند تغییر كنند.مثالهایی ازATTRI شامل كلمه عبور استفاده كننده ID پرت مقصدCLIENT ID وغیره است.اگر اطلاعات SENSITIVE در بخش ATL باشد باید توسط الگوریتم GISEST پیام MD5 محافظت شود.
مشكلات RADIUS :
RADIUS بدلیل فرمان خود وساختار فضای آدرس ATL ومحدودیت ناشی شده در مورد معرفی سرویسهای جدید تقریباًمحدود است. RADIUS روی UDP عمل می كندوUDP زمان ومكانیزم ارسال مجدد ندارد.بنابراین خریداران راههای خود را برای این مراحل می كنند.بعلاوهASSUME-RADIUS می كند كه هیچ پیامUNSOLICI TATED از سرور به وجود ندارد كه بعداً انعطاف پذیری آنرا محدود كند . SUCCESSOR آن DIAMETER این مشكلات را حل می كند.
DIAMETER قطر:
DIAMETER تقریباً یك پروتوكل جدید برای EMERGE استاندارد های امنیتی اینترنت است.این DIAMETER محدودشد ،چون تعداد حدمات اینترنت جدید،رشد كرده اند وردترها وسرورهای شبكه(NAS) باید عوض شوند تا ازآنها حمایت می كردند.خریداران وگروههای كار ،پروتوكل سیاست خود را برای این اعمال ADD-ON مشخص كرده اندDIAMETER استانداردی برای مفهومHEADER هاومیزان امنیت پیام آن ایجاد می كند .مقصود این است كه سرویس جدیدی به جای مراحل مختلف كه قدیم بود از DIAMETER استفاده كند.
DIAMETER یك SUCCENOR برایRADIUS به شمار می رود وبه نظر می رسد كهFRAME WORK ی برای هر سروری كه نیاز به حمایت امنیتی دارد ،ارائه می كند.به نظر می رسد كه بالاخره جایگزین RADIUSE می شود.

منبع : articles.ir