2694e3cf17c5b2fde574580217162302 (1)

‫امنیت داده و شبكه‬
‫مفاهیم و تعاریف اولیه‬
‫مرتضی امینی ‪ -‬نیمسال دوم ‪۱۳۹۹-۱۴۰۰‬‬

‫آزمایشگاه امنیت داده و شبكه شریف‬
‫‪http://dnsl.ce.sharif.edu‬‬
‫فهرست مطالب‬
‫‪ ‬محتوا و جایگاه درس‬

‫‪ ‬حوادث امنیتی و ضرورت امنیت‬
‫‪ ‬مفاهیم اولیه‬
‫‪ ‬دشواری برقراری امنیت‬
‫‪ ‬انواع و ماهیت حمالت‬
‫‪ ‬سرویسهای امنیتی‬
‫‪ ‬مدلهای امنیت شبكه‬
‫‪2‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫امنيت چيست؟‬
‫امنیت به (طور غیر رسمی) عبارتست از حفاظت از آنچه برای ما‬ ‫‪‬‬
‫ارزشمند است‪.‬‬
‫در برابر حمالت عمدی‬ ‫◼‬
‫در برابر نفوذ غیرعمدی‬ ‫◼‬

‫اقدامات امنيتي‬
‫پیشگیری )‪:(Prevention‬‬ ‫‪‬‬
‫جلوگیری از خسارت‬ ‫◼‬
‫تشخیص و ردیابی )‪:(Detection & Tracing‬‬ ‫‪‬‬

‫◼ تشخیص )‪(Detection‬‬
‫‪ ‬میزان خسارت‬
‫‪ ‬هویت دشمن‬
‫‪ ‬کیفیت حمله (زمان‪ ،‬مكان‪ ،‬دالیل حمله‪ ،‬نقاط ضعف‪)...‬‬
‫واکنش )‪:(Reaction‬‬ ‫‪‬‬
‫ترمیم‪ ،‬بازیابی و جبران خسارات‬ ‫◼‬
‫جلوگیری از حمالت مجدد‬ ‫◼‬
‫اقدامات امنيتي‬
‫‪1‬‬
‫پیشگیری‬
‫‪Prevention‬‬
‫‪3‬‬ ‫‪2‬‬
‫واکنش‬ ‫تشخیص‬
‫‪Reaction‬‬ ‫‪Detection‬‬

‫دو واژهای که امروزه مفهوم‬
‫متفاوتي دارند (‪)1‬‬
‫‪‬‬ ‫‪secure = se + cure‬‬

‫;‪free from‬‬ ‫‪care‬‬
‫‪without‬‬
‫‪ ‬واژه ‪ secure‬در ریشه به معنی چیزی است که «نیازی به مراقبت‬
‫ندارد»‪.‬‬
‫به عبارت دیگر‪ ،‬در گذشته وقتی چیزی ‪ secure‬میشد‪ ،‬آن قدر امن بود‬ ‫◼‬
‫که دیگر نیازی به مراقبت و توجه نداشت‪.‬‬
‫‪ ‬اما امروز میدانیم که برای امنیت‪ ،‬نیاز به توجه و مراقبت دائم است‪.‬‬
‫امنیت به صورت ‪ set and forget‬نیست‪.‬‬ ‫◼‬

‫دو واژهای که امروزه مفهوم‬
‫متفاوتي دارند (‪)2‬‬
‫‪‬‬ ‫‪cryptography = crypto + graphy‬‬

‫‪hidden‬‬ ‫‪writing‬‬
‫امروزه رمزنگاری دیگر صرفاً به‬

‫«مخفی نویسی» که معادل‬
‫محرمانگی است نمیپردازد؛‬
‫بلكه دامنه وسیعی از خدمات را‬
‫ارائه میکند که در این درس با‬
‫آنها آشنا میشویم‪.‬‬

‫امنيت اطالعات‪ :‬گذشته و حال‬
‫امنيت اطالعات در دنياي نوين‬ ‫امنيت اطالعات سنتي‬
‫نگهداری اطالعات در کامپیوترها‬ ‫◼‬ ‫نگهداری اطالعات در قفسههای قفلدار‬ ‫◼‬

‫برقراری ارتباط شبكهای بین‬ ‫◼‬ ‫نگهداری قفسهها در مكانهای امن‬ ‫◼‬
‫کامپیوترها‬ ‫استفاده از نگهبان‬ ‫◼‬
‫برقراری امنیت در کامپیوترها و‬ ‫◼‬
‫استفاده از سیستمهای الكترونیكی‬ ‫◼‬
‫شبكهها‬
‫نظارت‬
‫به طور کلی‪ :‬روشهای فیزیكی و مدیریتی‬ ‫◼‬

‫نيازهای امنيتي‬
‫بنابراین ‪:‬‬ ‫‪‬‬

‫در گذشته‪ ،‬امنیت با حضور فیزیكی و نظارتی تامین میشد‪،‬‬ ‫◼‬
‫ولی‬
‫امروزه از ابزارهای خودکار و مكانیزمهای کامپیوتری و بعضا‬ ‫◼‬

‫هوشمند برای حفاظت از دادهها استفاده میشود‪.‬‬

‫آنچه اين درس بررسي ميکند‬
‫این درس مفاهیم زیر را در بر میگیرد‪:‬‬ ‫‪‬‬

‫تهدیدهای امنیتی‬ ‫◼‬
‫نیازهای امنیتی‬ ‫◼‬
‫خدمات امنیتی‬ ‫◼‬
‫مكانیزمها و پروتكلهای امنیتی‬ ‫◼‬
‫برای دادههایی که بر روی کامپیوترها ذخیره شده و یا بر روی‬ ‫‪‬‬

‫شبكه انتقال داده میشوند‪.‬‬

‫موضوعات تحت پوشش درس ‪1 -‬‬
‫درس ‪ :1‬مفاهیم و تعاریف اولیه‬ ‫◼‬
‫درس ‪ :2‬مكانیزمهای تأمین امنیت‬ ‫◼‬
‫درس ‪ :3‬مفاهیم رمزنگاری و رمزنگاری سنتی‬ ‫◼‬
‫درس ‪ :4‬رمزنگاری متقارن (مدرن)‬ ‫◼‬
‫درس ‪ :5‬رمزنگاری نامتقارن (کلید عمومی)‬ ‫◼‬
‫درس ‪ :6‬کدهای تصدیق اصالت پیام و توابع چكیدهساز‬ ‫◼‬
‫درس ‪ :7‬امضای رقمی و زیرساخت کلید عمومی‬ ‫◼‬
‫درس ‪ :8‬طراحی پروتكلهای رمزنگاری‬ ‫◼‬

‫موضوعات تحت پوشش درس ‪2 -‬‬
‫درس ‪ :9‬پروتكل کربروس‬ ‫◼‬
‫درس ‪ :10‬امنیت رایانامه (‪)PGP‬‬ ‫◼‬
‫درس ‪ :11‬امنیت وب (‪)SSL/TLS‬‬ ‫◼‬
‫درس ‪ :12‬امنیت الیه ‪)IPSec( IP‬‬ ‫◼‬
‫درس ‪ :13‬دیوار آتش‬ ‫◼‬
‫درس ‪ :14‬سیستم تشخیص نفوذ‬ ‫◼‬
‫درس ‪ :15‬کنترل دسترسی‬ ‫◼‬
‫درس ‪ :16‬امنیت برنامههای کاربردی‬ ‫◼‬

‫ساير دروس امنيتي دانشکده ‪1 -‬‬
‫‪ ‬امنیت شبكه پیشرفته (شماره درس‪)40-817 :‬‬

‫الگوریتمهای داخلی دیوار آتش‪ ،‬سیستم تشخیص نفوذ‪ ،‬مقابله با‬ ‫◼‬
‫حمالت منع خدمت‪ ،‬تشخیص کرم و باتنت‪ ،‬تله عسل‪ ،‬مقابله با‬
‫جاسوسافزار‪ ،‬فیشینگ‪ ،‬تحلیل ترافیک‪ ،‬گمنامی‪ ،‬امنیت مسیردهی‪،‬‬
‫مقابله و کشف جرایم رایانهای‪ ،‬امنیت شبكه بیسیم و ‪VoIP‬‬
‫‪ ‬توسعه امن نرمافزار (شماره درس‪)40-874 :‬‬

‫چرخه تولید امن نرمافزار (تحلیل‪ ،‬طراحی‪ ،‬پیادهسازی‪ ،‬آزمون)‪ ،‬آزمون‬ ‫◼‬
‫نفوذ‪ ،‬مهندسی معكوس‪ ،‬قفل شكنی‬

‫‪ ‬امنیت و اعتماد سختافزاری (شماره درس‪)40-843 :‬‬

‫حمالت فیزیكی و مقاومت در برابر دستكاری‪ ،‬حمالت کانال جانبی‪،‬‬ ‫◼‬
‫اسب تروای سختافزاری‬
‫‪ ‬روشهای صوری در امنیت اطالعات (شماره درس‪)40-873 :‬‬

‫معرفی و توصیف صوری انواع مدلهای امنیتی (کنترل دسترسی‪،‬‬ ‫◼‬
‫کنترل جریان اطالعات و کنترل استنتاج)‪ ،‬استفاده از منطق در امنیت‬

‫‪ ‬امنیت پایگاه داده (شماره درس‪)40-734 :‬‬

‫مدلهای کنترل دسترسی (‪ )... ،RBAC ،MAC ،DAC‬طراحی پایگاه‬ ‫◼‬
‫داده امن‪ ،‬امنیت پایگاه داده آماری‪ ،‬پرس و جو روی داده رمز شده‬
‫‪ ‬نظریه رمزنگاری (شماره درس‪)40-675 :‬‬

‫مدلسازی‪ ،‬تعریف‪ ،‬ساخت و اثبات امنیت ساختارها و پروتكلهای‬ ‫◼‬
‫امنیتی مبتنی بر نظریه پیچیدگی‬

‫شيوه ارزيابي‬
‫میانترم (‪ ۶/۵‬نمره)‬ ‫‪‬‬
‫پایانترم (‪ ۶/۵‬نمره)‬ ‫‪‬‬
‫تمرینها (‪ ۵‬نمره)‬ ‫‪‬‬
‫پروژه عملی (‪ ۳‬نمره)‬ ‫‪‬‬
‫کوییز و فعالیت کالسی (تا ‪ ۱‬نمره اضافه)‬ ‫‪‬‬
‫مجموع= ‪ 22‬نمره !‬

‫‪ ‬سرویس های امنیتی‬

‫آمار منتشر شده توسط ‪CERT‬‬
‫)‪CERT (Computer Emergency Response Team‬‬

‫‪140,000‬‬ ‫‪137,529‬‬
‫‪120,000‬‬
‫‪100,000‬‬
‫تعدادوقايع‬
‫‪82,094‬‬
‫‪80,000‬‬
‫‪60,000‬‬ ‫‪52,658‬‬
‫‪40,000‬‬
‫‪21,756‬‬
‫‪20,000‬‬ ‫‪9,859‬‬
‫‪132‬‬ ‫‪1,334‬‬ ‫‪3,734‬‬
‫‪0‬‬
‫‪89‬‬ ‫‪90‬‬ ‫‪91‬‬ ‫‪92‬‬ ‫‪93‬‬ ‫‪94‬‬ ‫‪95‬‬ ‫‪96‬‬ ‫‪97‬‬ ‫‪98‬‬ ‫‪99 '00 '01 '02 '03‬‬
‫سال‬
‫ابزار مهاجمان‬
‫ابزارها‬ ‫ابزار مهاجمان‬

Packet Forging Spoofing Internet Worms
DDoS Sniffers
Back Doors Sweepers

Exploiting Known
Disabling Audits
Vulnerability
Self Replicating
Password Cracking
Code
Password Guessing ‫دانش مهاجمان‬
‫زمان‬
19 ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬
‫نيازهای امنيتي‪ :‬گذشته و حال‬
‫از دو نمودار قبلی بخوبی پیداست‪:‬‬ ‫‪‬‬
‫تعداد حمالت علیه امنیت اطالعات به طور قابل مالحظهای افزایش‬ ‫◼‬
‫یافته است‪.‬‬
‫امروزه تدارک حمله با در اختیار بودن ابزارهای فراوان در دسترس به‬ ‫◼‬
‫دانش زیادی احتیاج ندارد (بر خالف گذشته)‪.‬‬

‫رشد تهديدها و حمالت‬
‫افزایش ابزارهای‬
‫افزایش دسترسی‬
‫حمله‬
‫رشد قابل توجه‬

‫تهدیدها و حمالت‬

‫اهداف حمالت‬
‫اهداف سیاسی‬ ‫‪‬‬

‫تضعیف دولتها (با حمله سایبری به زیرساختهای حساس و حیاتی)‬ ‫◼‬
‫‪ ‬اهداف اقتصادی‬
‫ضربه زدن به رقبا‬ ‫◼‬
‫کسب اطالعات رقبا‬ ‫◼‬
‫کسب درآمد از طرق نامشروع‬ ‫◼‬
‫‪ ‬اهداف شخصی‬
‫انتقامجویی (خصومتهای شخصی یا نارضایتی کاری)‬ ‫◼‬
‫اثبات و بروز توانمندیها‬ ‫◼‬

‫(‪)1‬‬ ‫نگاهي به گزارش رخنههای امنيتي انگليس‬
‫حوادث امنیتی بدخواهانه در سازمانها‬

‫سازمانهای بزرگ‬
‫سازمانهای متوسط‬
‫سازمانهای کوچک‬ ‫‪72%‬‬
‫سال ‪2018‬‬ ‫‪64%‬‬
‫‪47%‬‬
‫‪68%‬‬
‫سال ‪2017‬‬ ‫‪66%‬‬
‫‪52%‬‬
‫‪65%‬‬
‫سال ‪2016‬‬ ‫‪51%‬‬
‫‪33%‬‬
‫‪0%‬‬ ‫‪20%‬‬ ‫‪40%‬‬ ‫‪60%‬‬ ‫‪80%‬‬

‫انواع حوادث رخ داده در سازمانها (سال ‪)2018‬‬
‫دیگر انواع نفوذها و حمالت‬
‫دسترسی غیرمجاز توسط کارکنان داخلی‬
‫هک حسابهای مالی برخط‬
‫حمالت منع سرویس‬
‫دسترسی غیرمجاز به سیستمها‪ ،‬شبكه یا سرورها از بیرون‬
‫باجافزار‬
‫ویروس‪ ،‬جاسوسافزار و نرمافزارهای مخرب‬
‫جعل سازمان توسط دیگران از طریق ایمیل یا وبسایت‬
‫ایمیلهای کالهبرداری یا هدایت به سایتهای کالهبرداری‬
‫‪0%‬‬ ‫‪20%‬‬ ‫‪40%‬‬ ‫‪60%‬‬ ‫‪80%‬‬

‫متوسط هزینههای مرتبط با یک حادثه سنگین امنیتی – ‪ 2016‬تا ‪2018‬‬
‫سازمانهای بزرگ‬ ‫سازمانهای متوسط‬ ‫سازمانهای کوچک‬

‫(پوند)‬ ‫(پوند)‬ ‫(پوند)‬
‫‪36500‬‬ ‫‪1860‬‬ ‫‪3100‬‬ ‫سال ‪2016‬‬
‫‪19600‬‬ ‫‪3070‬‬ ‫‪1380‬‬ ‫سال ‪2017‬‬
‫‪9260‬‬ ‫‪8180‬‬ ‫‪894‬‬ ‫سال ‪2018‬‬

‫رشد حمالت منعِ سرويس‬
‫رشد حمالت منع سرویس بر اساس گزارش ‪NETSCOUT‬یا‪ Arbor Networks‬سابق‬
‫‪1800‬‬ ‫(‪)NETSCOUT UT‬‬ ‫‪1700‬‬
‫‪1600‬‬
‫‪1400‬‬
‫‪1200‬‬ ‫‪1100‬‬
‫‪1000‬‬
‫‪Gbps‬‬
‫‪800‬‬
‫‪620‬‬ ‫‪600‬‬
‫‪600‬‬
‫‪400‬‬
‫‪400‬‬ ‫‪325‬‬
‫‪200‬‬
‫‪10 16‬‬ ‫‪25‬‬ ‫‪40‬‬ ‫‪49 100 60‬‬ ‫‪60‬‬
‫‪0‬‬
‫‪2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018‬‬

‫(‪)1‬‬ ‫توزيع سايتهای فيشينگ‬
‫توزیع سایتهای فیشینگ در دنیا در ‪ 3‬ماه چهارم ‪( 2011‬گزارش ‪)SIR‬‬

‫(‪)2‬‬ ‫توزيع سايتهای فيشينگ‬
‫توزیع سایتهای فیشینگ در دنیا در نیمه دوم ‪( 2017‬گزارش ‪)SIR‬‬

‫(‪)1‬‬ ‫توزيع سيستمهای آلوده‬
‫توزیع سیستمهای آلوده به بدافزار در دنیا در ‪ 3‬ماه چهارم ‪( 2011‬گزارش ‪)SIR‬‬

‫(‪)2‬‬ ‫توزيع سيستمهای آلوده‬
‫توزیع سیستمهای آلوده به بدافزار در دنیا در نیمه دوم ‪( 2017‬گزارش ‪)SIR‬‬

‫(‪)1‬‬ ‫توزيع سايتهای آلودهساز‬
‫توزیع سایتهای آلودهساز در دنیا در ‪ 3‬ماهه چهارم ‪( 2011‬گزارش ‪)SIR‬‬

‫(‪)2‬‬ ‫توزيع سايتهای آلودهساز‬
‫توزیع سایتهای آلودهساز در دنیا در نیمه دوم ‪( 2017‬گزارش ‪)SIR‬‬

‫سايبری (‪)1‬‬ ‫جنگ‬
‫جنگ عراق و آمریكا در کویت – جنگ اول خلیج فارس (‪)1991‬‬ ‫‪‬‬
‫ایجاد اختالل در سیستم ضدهوایی عراق‬ ‫◼‬
‫توسط نیروی هوایی آمریكا با استفاده از ویروسی با نام ‪AF/91‬‬ ‫◼‬
‫انتقال از طریق چیپ پرینتر آلوده به ویروس از مسیر عمان و سوریه‬ ‫◼‬
‫هر چند بعدها درستی موضوع تایید نشد! ولیكن ‪...‬‬ ‫◼‬
‫حمله سایبری روسیه به استونی (‪)2007‬‬ ‫‪‬‬

‫حمله به وزارتخانهها‪ ،‬بانکها‪ ،‬و رسانهها‬ ‫◼‬
‫حمله از طریق سِروِرهای اداری تحت کنترل روسیه‬ ‫◼‬

‫حمله اسرائیل به تاسیسات هستهای ایران (‪)2010‬‬ ‫‪‬‬

‫از طریق ویروس ‪Stuxnet‬‬ ‫◼‬
‫آلودهسازی سیستمهای کنترل صنعتی و ‪PLC‬ها‬ ‫◼‬
‫هدف‪ :‬آلودهسازی سانتریفیوژهای نطنز‬ ‫◼‬

‫حمله به وزارت خارجه ایران (‪)2011‬‬ ‫‪‬‬

‫توسط گروهی موسوم به گروه ‪Anonymous‬‬ ‫◼‬
‫نفوذ به کارگزارهای پست الكترونیكی یكی از ادارات مرتبط با وزارتخانه‬ ‫◼‬
‫افشای محتوای بیش از ‪ ۱۰,۰۰۰‬پست الكترونیكی‬ ‫◼‬
‫‪ ‬جمعآوری اطالعات محرمانه توسط تروجان ‪)2011( Duqu‬‬

‫‪ Duqu‬به عنوان نسخه دوم ‪Stuxnet‬‬ ‫◼‬
‫هدف اولیه‪ :‬جمعآوری اطالعات‬ ‫◼‬
‫هدف اصلی‪ :‬نامعلوم؟!‬ ‫◼‬
‫بیشترین آلودگیها‪ :‬ایران و سودان‬ ‫◼‬

‫جاسوسی با بدافزار شعله – ‪)2012( Flame‬‬ ‫‪‬‬

‫جهت جاسوسی در مجموعه نفتی ایران‬ ‫◼‬
‫منبع حمله‪ :‬نامعلوم! اسراییل یا آمریكا!‬ ‫◼‬
‫پویش و جمعآوری اطالعات شبكه‬ ‫◼‬
‫ضبط صوت‪ ،‬تصویر صفحه نمایش و کلیدهای فشرده شده‬ ‫◼‬
‫جمعآوری اطالعات فایلهای خاص و گذرواژهها‬ ‫◼‬
‫ارسال اطالعات جمعآوری شده به یک سیستم فرماندهی و کنترل‬ ‫◼‬

‫سايبری (‪)۵‬‬ ‫جنگ‬
‫نفوذ به برخی سیستمها در انتخابات ریاست جمهوری آمریكا (‪)2016‬‬ ‫‪‬‬
‫هدف‪ :‬تاثیرگذاری بر نتایج انتخابات ریاست جمهوری آمریكا‬ ‫◼‬
‫حمله کنندگان‪ :‬دو تیم ‪ APT28‬و ‪ APT29‬روسی‬ ‫◼‬
‫سیستمهای مورد نفوذ‪:‬‬ ‫◼‬
‫سیستمهای کمیته ملی دموکراتها‬ ‫‪‬‬
‫سیستمهای ستاد انتخاباتی کنگره دموکراتها‬ ‫‪‬‬
‫پست الكترونیكی آقای پودستا رییس ستاد انتخاباتی خانم کلینتون‬ ‫‪‬‬

‫سايبری (‪)۶‬‬ ‫جنگ‬
‫‪ ‬حمله به سازمانها و آژانسهای دولتی آمریكایی‪)2020( Sunburst -‬‬
‫هدف‪ :‬جمعآوری اطالعات و نه اقدامات خرابكارانه‬ ‫◼‬
‫◼ شیوه حمله‪ :‬تزریق ‪ dll‬مخرب به بسته بروزرسانی نرمافزار ‪SolarWinds‬‬

‫حملهکننده‪ :‬ظاهرا روسیه (به نقل از سرویسهای اطالعاتی و جاسوسی‬ ‫◼‬
‫آمریكا)‬
‫سازمانهای مورد حمله‪:‬‬ ‫◼‬
‫‪۱۸‬هزار سازمان و آژانس آمریكایی‬ ‫‪‬‬
‫وزارتخانههای خزانهداری‪ ،‬دادگستری‪ ،‬بازرگانی‪ ،‬خارجه‪ ،‬دفاع‪ ،‬امنیت داخله آمریكا‬ ‫‪‬‬
‫رییس شرکت مایكروسافت (برد اسمیت) آن را بزرگترین و پیچیدهترین حمله‬ ‫‪‬‬

‫سایبری عنوان کرده‪.‬‬
‫سايبری (‪)۷‬‬ ‫جنگ‬
‫تهدید یا حمله مانای پیشرفته (‪)APT‬‬ ‫‪‬‬

‫هدف‪ :‬حمله سازمانیافته و هدفمند توسط مهاجمین با سطح مهارت باال‬ ‫◼‬
‫علیه کشورها و سازمانها‬

‫سايبری (‪)۷‬‬ ‫جنگ‬
‫تهدید یا حمله مانای پیشرفته (‪)APT‬‬ ‫‪‬‬



‫مباني امنيت دادهها‬
‫امنیت دادهها‪ :‬مبتنی است بر تحقق سه ویژگی محرمانگی‪ ،‬صحت و دسترسپذیری‪.‬‬

‫‪C‬‬ ‫‪I‬‬
‫)‪(Confidentiality‬‬ ‫✓ محرمانگی‬
‫عدم افشای غیرمجاز دادهها‬ ‫•‬
‫‪A‬‬
‫)‪(Integrity‬‬ ‫صحت‬ ‫✓‬
‫عدم دستكاری دادهها توسط افراد یا نرمافزارهای غیرمجاز‬ ‫•‬
‫)‪(Availability‬‬ ‫دسترسپذیری‬ ‫✓‬

‫دسترسی به دادهها توسط افراد مجاز در هر مكان و در هرزمان‬ ‫•‬

‫محرمانگي‬
‫محرمانگی خود مشتمل بر دو نوع است‪:‬‬

‫‪ ‬محرمانگی داده (‪)Data Confidentiality‬‬
‫اطمینان از اینكه دادههای محرمانه و خصوصی به افراد غیرمجاز‬ ‫◼‬
‫افشاء نمیشوند‪.‬‬
‫‪ ‬حفظ حریم خصوصی (‪)Privacy‬‬
‫اطمینان از اینكه افراد میتوانند بر روی امكان و نحوه جمعآوری‪،‬‬ ‫◼‬
‫ذخیرهسازی و انتشار یا افشای دادههای خصوصی خود توسط‬
‫دیگران کنترل و تاثیر داشته باشند‪.‬‬
‫محرمانگي‬
‫مكانیزمهای متداول‪:‬‬ ‫‪‬‬
‫رمزنگاری‬ ‫◼‬
‫کنترل دسترسی‬ ‫◼‬
‫‪My Credit‬‬
‫‪Card PIN #:‬‬
‫‪1234‬‬

‫صحت‬
‫صحت خود مشتمل بر دو نوع است‪:‬‬

‫‪ ‬صحت داده (‪)Data Integrity‬‬
‫اطمینان از اینكه دادهها و یا برنامهها توسط افراد غیرمجاز دستكاری‬ ‫◼‬
‫و یا تغییر نمییابند‪.‬‬
‫‪ ‬صحت منبع (‪)Origin Integrity‬‬
‫اطمینان از درستی و صحت منبع (فرستنده) اطالعات‪.‬‬ ‫◼‬

‫صحت‬
‫مكانیزمهای متداول‪:‬‬ ‫‪‬‬
‫امضای دیجیتال‬ ‫◼‬
‫کد احراز اصالت پیام‬ ‫◼‬
‫انتقال پول از‬

‫علی به حسین‬ ‫انتقال پول از‬
‫علی به محمود‬

‫دسترسپذيری‬
‫تعریف‪ :‬دسترسی به دادهها و سرویسدهی به افراد مجاز در هر مكان‬ ‫‪‬‬

‫و در هر زمان‪.‬‬
‫مكانیزم متداول‪ :‬وجود پشتیبان‪ ،‬تكرار داده و سرویس‪ ،‬به همراه‬ ‫‪‬‬
‫سیستمهای پایش و توزیع بار‬

‫داليل ناامني شبکهها‬
‫ضعف فناوری‬ ‫‪‬‬

‫پروتكل‪ ،‬سیستم عامل‪ ،‬تجهیزات‬ ‫•‬
‫ضعف تنظیمات‬ ‫‪‬‬

‫رهاکردن تنظیمات پیشفرض‪ ،‬گذرواژههای نامناسب‪ ،‬عدم استفاده از رمزنگاری‪ ،‬راهاندازی‬ ‫•‬
‫سرویسهای اینترنت بدون اعمال تنظیمات الزم‪... ،‬‬
‫ضعف سیاستگذاری‬ ‫‪‬‬

‫عدم وجود سیاست امنیتی‬ ‫•‬
‫عدم وجود طرحی برای مقابله و بازیابی مخاطرات‬ ‫•‬
‫نداشتن نظارت امنیتی مناسب (مدیریتی و فنی)‬ ‫•‬

‫داليل ناامني شبکهها‬
‫ضعف فناوری‬ ‫‪‬‬

‫پروتكل‪ ،‬سیستم عامل‪ ،‬تجهیزات‬ ‫•‬
‫ضعف تنظیمات‬ ‫‪‬‬

‫رهاکردن تنظیمات پیشفرض‪ ،‬گذرواژههای نامناسب‪ ،‬عدم استفاده از رمزنگاری‪ ،‬راهاندازی‬ ‫•‬
‫سرویسهای اینترنت بدون اعمال تنظیمات الزم‪... ،‬‬
‫ضعف سیاستگذاری‬ ‫‪‬‬

‫عدم وجود سیاست امنیتی‬ ‫•‬
‫عدم وجود طرحی برای مقابله و بازیابی مخاطرات‬ ‫•‬
‫نداشتن نظارت امنیتی مناسب (مدیریتی و فنی)‬ ‫•‬

‫امنسازی‬
‫نگرش مدیریتی به مسئلة امنیت الزم است و نه صرفا نگرش‬ ‫‪‬‬
‫فنی‪.‬‬
‫امنسازی یک فرآیند است نه یک وظیفه خاص و مقطعی‪.‬‬ ‫‪‬‬
‫مادام که انسانها امن فكر نكنند نمیتوان تراکنش امن داشت‪.‬‬ ‫‪‬‬

‫چرخه ايجاد امنيت‬
‫احراز اصالت‪ ،‬فایروال‪،‬‬
‫رمزنگاری‪. . . ،‬‬
‫امنسازی‬
‫عملیات شبكه و امنیت‬

‫مدیریت‬ ‫خطمشی‬
‫پایش‬
‫و بهبود‬ ‫امنیتی‬ ‫سیستمهای تشخیص‬
‫نفوذ‪ ،‬تله عسل‪. . . ،‬‬
‫تست و‬
‫آزمون‬
‫آزمون نفوذ و‬
‫آسیبپذیری‬
‫استراتژی امنيت سازماني‬
‫‪ ‬مصالحه بین امنیت‪ ،‬کارآیی (‪ )Performance‬و عملكرد (‪.)Functionality‬‬

‫‪ ‬مصالحه بین امنیت و هزینه‪.‬‬
‫کارآیی‬ ‫‪ ‬میزان امنیت مورد انتظار کاربران؟‬
‫‪ ‬میزان ناامنی قابل تحمل سازمان؟‬
‫عملكرد‬
‫امنیت‬

‫خطمشي (سياستهای) امنيتي‬
‫‪ ‬خطمشی (سیاستهای) امنیتی)‪ :(Security Policy‬نیازمندیهای‬

‫امنیتی یک سازمان و یا یک سیستم اطالعاتی‪ /‬ارتباطی را بیان‬
‫مینماید‪.‬‬
‫در تعریف سیاستهای امنیتی‪:‬‬ ‫‪‬‬
‫باید مشخص شود که چه نوع اطالعاتی در سازمان وجود دارد و هر یک تا چه حد‬ ‫◼‬
‫قابل دسترسی برای هر یک از افراد سازمان است‪.‬‬
‫باید بدانید چه افرادی‪ ،‬چه مسؤولیتهایی در اجرای اقدامات محافظتی سازمان‬ ‫◼‬
‫دارند‪.‬‬
‫باید بدانید تا چه اندازه و در چه نقاطی نیاز به اقدامات محافظتی دارید‪.‬‬ ‫◼‬

‫تعاريف و مفاهيم اوليه‬
‫مهاجم و هكر (‪)Attacker and Hacker‬‬ ‫‪‬‬
‫هک (‪ )Hack‬در واقع به معنی کنكاش به منظور کشف حقایق و نحوة‬ ‫◼‬
‫کار یک سیستم است‪.‬‬
‫حمله (‪ )Attack‬تالش برای نفوذ به سیستمهای دیگران و در واقع‬ ‫◼‬
‫هک خصمانه یا بدخواهانه است‪.‬‬
‫‪Malicious Hacker = Attacker‬‬

‫تعاريف و مفاهيم اوليه (در اين درس‪)...‬‬
‫‪ ‬آسیبپذیری )‪ :(Vulnerability‬درز یا مشكل شناختهشده و یا‬

‫مشكوک در طراحی‪ ،‬پیادهسازی‪ ،‬پیكربندی یا عملكرد سختافزار یا نرمافزار‬
‫یک سیستم که موجب نفوذ در آن سیستم میگردد‪.‬‬
‫‪ ‬رخنه (‪ :)Breach‬نقض سیاست امنیتی یک سیستم‬
‫)‪ :(Intrusion‬هر مجموعه از اعمال که نتیجه آن نقض محرمانگی‪،‬‬ ‫‪ ‬نفوذ‬

‫صحت و یا دسترسپذیری یک منبع باشد‪.‬‬

‫تعاريف و مفاهيم اوليه (در اين درس‪)...‬‬
‫‪ ‬حمله )‪ :(Attack‬به یک نفوذ عمدی در یک سیستم اطالعاتی‪ /‬ارتباطی‪ ،‬حمله‬

‫گفته میشود (معموالً با بهرهگیری از آسیبپذیریهای موجود)‪.‬‬
‫‪ ‬مكانیزم امنیتی )‪ :(Security Mechanism‬به هر روش‪ ،‬ابزار و یا‬

‫رویهای که برای اعمال یک سیاست امنیتی به کار میرود‪ ،‬یک مكانیزم امنیتی‬
‫گویند‪.‬‬
‫‪ ‬سرویس امنیتی )‪ :(Security Service‬به سرویسهای تضمینکنندة‬

‫امنیت در یک سیستم و یا شبكه گفته میشود‪.‬‬



‫دشواری برقراری امنيت‬
‫امنیت معموالً قربانی افزایش کارآیی و مقیاس پذیری میشود‪.‬‬ ‫‪‬‬
‫امنیت باال هزینهبر است‪.‬‬ ‫‪‬‬
‫کاربران عادی امنیت را به عنوان مانع در برابر انجام شدن کارها‬ ‫‪‬‬
‫تلقی میکنند و از سیاستهای امنیتی پیروی نمیکنند‪.‬‬

‫دشواری برقراری امنيت‬
‫‪ ‬اطالعات و نرمافزارهای دور زدن امنیت به طور گسترده در‬

‫اختیار هستند‪.‬‬
‫‪ ‬برخی دور زدن امنیت را به عنوان یک مبارزه در نظر میگیرند و‬

‫از انجام آن لذت میبرند‪.‬‬
‫‪ ‬مالحظات امنیتی در هنگام طراحیهای اولیه سیستمها و‬

‫شبكهها در نظر گرفته نمیشود‪.‬‬
‫‪ ‬محتوا وجایگاه درس‬


‫سرويسهای امنيتي‬
‫حفظ صحت دادهها )‪(Integrity‬‬ ‫‪‬‬
‫حفظ محرمانگی دادهها )‪(Confidentiality‬‬ ‫‪‬‬
‫احراز اصالت )‪(Authentication‬‬ ‫‪‬‬
‫کنترل دسترسی )‪(Access Control‬‬ ‫‪‬‬
‫عدمانكار )‪(Non-repudiation‬‬ ‫‪‬‬
‫دسترس پذیری )‪(Availability‬‬ ‫‪‬‬

‫سرويسهای امنيتي‬
‫حفظ صحت دادهها‪ :‬اطمینان از اینكه آنچه رسیده همان است‬ ‫‪‬‬
‫که فرستاده شده‪.‬‬
‫کد احراز هویت پیام )‪(MAC‬‬ ‫◼‬
‫امضاء‬ ‫◼‬
‫حفظ محرمانگی دادهها‪ :‬اطمینان از اینكه تنها کاربران مورد‬ ‫‪‬‬

‫نظر قادر به درک پیامها است‪.‬‬
‫رمزنگاری‬ ‫◼‬
‫سرويس های امنيتي‬
‫احراز اصالت‪ :‬اطمینان از این که کاربر همانی است که ادعا‬ ‫‪‬‬

‫میکند‪.‬‬
‫کنترل و احراز هویت‬ ‫◼‬
‫کنترل دسترسی‪ :‬کاربر تنها به منابع مقرر شده حق دسترسی‬ ‫‪‬‬

‫دارد‪.‬‬
‫مجازشماری هم نامیده میشود‪.‬‬ ‫◼‬

‫سرويس های امنيتي‬
‫عدمانكار‪ :‬عدم امكان انكار دریافت‪/‬ارسال توسط گیرنده‪/‬فرستنده‬ ‫‪‬‬

‫امضاء‬ ‫◼‬
‫دسترسپذیری‪ :‬در دسترس بودن به موقع خدمات برای کاربران‬ ‫‪‬‬

‫مجاز‬



‫حمالت (ادامه)‬ ‫انواع‬
‫انواع حمالت از نظر تاثير‪:‬‬

‫حمالت فعال )‪:(Active‬‬
‫)‪(Masquerade‬‬ ‫جعل هویت‬
‫ارسال دوباره پیغام )‪(Replay‬‬
‫تغییر )‪(Modification‬‬
‫منع سرویس )‪(Denial of Service‬‬
‫حمالت غیرفعال )‪:(Passive‬‬

‫تحلیل ترافیک‬
‫)‪(Traffic Analysis‬‬
‫انتشار پیغام )‪(Release of message‬‬
‫‪Sniffer‬‬
‫حمله شنود يا استراق سمع‬
‫‪ ‬هدف‪ :‬نقض محرمانگی‬

‫‪ ‬نتیجه‪ :‬دسترسی غیرمجاز به دادههای طبقهبندی شده‬
‫‪ ‬راههای تحقق حمله‪:‬‬
‫اتصال فیزیكی به شبكه و دریافت بستهها‬ ‫◼‬
‫دسترسی غیرمجاز به پایگاهدادهها‬ ‫◼‬
‫وجود ضعف و آسیبپذیری در سیستم کنترل دسترسی‬ ‫◼‬

‫حمله شنود يا استراق سمع (ادامه)‬
‫مهاجم‬
‫رمز يا ‪PIN‬‬
‫مشتری‬
‫شنود ترافيك‬
‫كارگزار‬
‫مشتري‬

‫حمله منع سرويس يا وقفه‬
‫هدف‪ :‬نقض دسترسپذیری‬ ‫‪‬‬

‫نتیجه حمله‪ :‬کاهش کارایی و یا عدم امكان دسترسی کاربران به‬ ‫‪‬‬
‫شبكه و یا سرویسهای فراهم شده‬
‫راههای تحقق حمله‪:‬‬ ‫‪‬‬
‫راهاندازی سیل ترافیكی‬ ‫◼‬
‫استفاده از ضعفها و آسیبپذیریهای نرمافزاری شبكه ویا سرویسها‬ ‫◼‬

‫حمله منع سرويس يا وقفه (ادامه)‬
‫مهاجم‬
‫مشتري‬
‫مشتري‬ ‫مهاجم‬

‫حمله تغيير يا دستکاری دادهها‬
‫‪ ‬هدف‪ :‬نقض صحت‬

‫‪ ‬نتیجه‪ :‬تغییر غیرمجاز دادههای سیستم یا شبكه‬
‫‪ ‬راههای تحقق حمله‪:‬‬
‫قرار گرفتن در مسیر شبكه و دستكاری و ارسال به گیرنده‬ ‫◼‬
‫دسترسی غیرمجاز به پایگاهدادهها و تغییر غیرمجاز در آن‬ ‫◼‬
‫وجود ضعف و آسیبپذیری در سیستم کنترل دسترسی و صحت‬ ‫◼‬

‫حمله تغيير يا دستکاری دادهها (ادامه)‬
‫‪ ‬حمله مرد میانی (‪)Man in the Middle‬‬

‫کارگزار‪ 2 :‬ميليون به‬ ‫مهاجم‬
‫ميليون‪.‬به‬ ‫انتقال ‪2‬‬
‫منتقل شد‬ ‫حساب علي‬ ‫مشتری‪ :‬انتقال ‪2‬‬
‫حساب علي‬ ‫ميليونباببهک‬
‫کارگزار‪:‬به‪2‬حساب‬
‫ميليون‬
‫حساب بابک منتقل شد‪.‬‬
‫مشتري‬

‫حمله جعل هويت‬
‫هدف‪ :‬نقض صحت‬ ‫‪‬‬
‫نتیجه‪ :‬جعل (یا اضافه کردن) پیامها و دادههایی که میتوانند‬ ‫‪‬‬

‫مخرب یا منشأ سوءاستفاده باشند‪.‬‬
‫راههای تحقق حمله‪:‬‬ ‫‪‬‬
‫اتصال فیزیكی به شبكه و دریافت بستهها‬ ‫◼‬
‫بازارسال بستههای شنود شده پس از اِعمال تغییرات موردنیاز (ارسال‬ ‫◼‬

‫بستههای جعلی)‬
‫وجود ضعف در مكانیزم احراز هویت و کنترل صحت‬ ‫◼‬
‫حمله جعل هويت (ادامه)‬
‫حمله جعل مشتری یا کاربر (به طور مشابه جعل کارگزار)‬ ‫‪‬‬
‫مهاجم‬
‫مشتري‬ ‫ارسال دادههاي جعلي‬

‫به جاي مشتري‬



‫مدل کلي در يک ارتباط امن‬
‫سناریوی کلی در هر ارتباط امن‪:‬‬ ‫‪‬‬

‫نیاز انتقال یک پیغام بین طرفین با استفاده از یک کانال ناامن (مثل‬ ‫◼‬
‫شبكه اینترنت)‬
‫نیاز به تامین سرویسهای محرمانگی‪ ،‬صحت و احراز اصالت در انتقال‬ ‫◼‬
‫پیام‬
‫تكنیكهای مورد استفاده عموما از دو مولفه زیر استفاده میکنند‪:‬‬ ‫‪‬‬
‫تبدیل امنیتی‪ :‬جهت فراهم آوردن سرویسهای امنیتی موردنیاز‬ ‫◼‬
‫اطالعات مخفی‪ :‬که در تبدیل فوق مورداستفاده قرار میگیرند و به‬ ‫◼‬
‫نحوی بین طرفین ارتباط به اشتراک گذاشته شدهاند‪.‬‬

‫يک مدل نمونه برای ارتباط امن‬
‫شخص ثالث مورد‬

‫اعتماد‬
‫فرستنده‬ ‫کانال‬ ‫گیرنده تبدیل امنیتی‬

‫تبدیل امنیتی‬
‫(الگوریتم رمز)‬ ‫اطالعات‬ ‫(الگوریتم رمز)‬
‫اطالعات مخفی‬ ‫اطالعات مخفی‬

‫(کلید)‬ ‫(کلید)‬
‫دشمن‬
‫تضمين سرويس امنيتي‬
‫مدل فوق نشان میدهد که برای فراهم آمدن یک سرویس امنیتی‬ ‫‪‬‬
‫خاص مجبوریم نیازهای زیر را فراهم کنیم‪:‬‬
‫طراحی الگوریتم مناسب برای انجام تبدیل امنیتی موردنظر‬ ‫◼‬
‫تولید اطالعات مخفی (کلید) موردنیاز طرفین‬ ‫◼‬
‫استفاده از روش مناسب برای توزیع و توافق درباره اطالعات مخفی (کلید)‬ ‫◼‬
‫طراحی یک پروتكل مناسب برای ارتباط طرفین و تضمین سرویس امنیتی‬ ‫◼‬

‫پايان‬
‫آزمایشگاه امنیت داده و شبكه شریف‬

‫‪http://dnsl.ce.sharif.edu‬‬
‫پست الكترونیكی‬
‫‪amini@sharif.edu‬‬

2694e3cf17c5b2fde574580217162302 (1)

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

2694e3cf17c5b2fde574580217162302 (1)

Uploaded by

Copyright:

Available Formats

‫امنیت داده و شبكه‬

‫مفاهیم و تعاریف اولیه‬

‫مرتضی امینی ‪ -‬نیمسال دوم ‪۱۳۹۹-۱۴۰۰‬‬

‫‪ ‬محتوا و جایگاه درس‬

‫‪2‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫‪3‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫تشخیص و ردیابی )‪:(Detection & Tracing‬‬ ‫‪‬‬

‫‪5‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫‪‬‬ ‫‪secure = se + cure‬‬

‫‪6‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫‪‬‬ ‫‪cryptography = crypto + graphy‬‬

‫امروزه رمزنگاری دیگر صرفاً به‬

‫‪7‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫امنيت اطالعات در دنياي نوين‬ ‫امنيت اطالعات سنتي‬

‫نگهداری اطالعات در کامپیوترها‬ ‫◼‬ ‫نگهداری اطالعات در قفسههای قفلدار‬ ‫◼‬

‫‪8‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫بنابراین ‪:‬‬ ‫‪‬‬

‫امروزه از ابزارهای خودکار و مكانیزمهای کامپیوتری و بعضا‬ ‫◼‬

‫‪9‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫این درس مفاهیم زیر را در بر میگیرد‪:‬‬ ‫‪‬‬

‫برای دادههایی که بر روی کامپیوترها ذخیره شده و یا بر روی‬ ‫‪‬‬

‫‪10‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫درس ‪ :2‬مكانیزمهای تأمین امنیت‬ ‫◼‬

‫درس ‪ :3‬مفاهیم رمزنگاری و رمزنگاری سنتی‬ ‫◼‬

‫درس ‪ :4‬رمزنگاری متقارن (مدرن)‬ ‫◼‬

‫درس ‪ :5‬رمزنگاری نامتقارن (کلید عمومی)‬ ‫◼‬

‫درس ‪ :6‬کدهای تصدیق اصالت پیام و توابع چكیدهساز‬ ‫◼‬

‫درس ‪ :7‬امضای رقمی و زیرساخت کلید عمومی‬ ‫◼‬

‫درس ‪ :8‬طراحی پروتكلهای رمزنگاری‬ ‫◼‬

‫‪11‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫درس ‪ :9‬پروتكل کربروس‬ ‫◼‬

‫درس ‪ :10‬امنیت رایانامه (‪)PGP‬‬ ‫◼‬

‫درس ‪ :11‬امنیت وب (‪)SSL/TLS‬‬ ‫◼‬

‫درس ‪ :12‬امنیت الیه ‪)IPSec( IP‬‬ ‫◼‬

‫درس ‪ :13‬دیوار آتش‬ ‫◼‬

‫درس ‪ :14‬سیستم تشخیص نفوذ‬ ‫◼‬

‫درس ‪ :15‬کنترل دسترسی‬ ‫◼‬

‫درس ‪ :16‬امنیت برنامههای کاربردی‬ ‫◼‬

‫‪12‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫‪ ‬امنیت شبكه پیشرفته (شماره درس‪)40-817 :‬‬

‫‪ ‬توسعه امن نرمافزار (شماره درس‪)40-874 :‬‬

‫‪13‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫‪ ‬امنیت و اعتماد سختافزاری (شماره درس‪)40-843 :‬‬

‫‪ ‬روشهای صوری در امنیت اطالعات (شماره درس‪)40-873 :‬‬

‫‪14‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫‪ ‬امنیت پایگاه داده (شماره درس‪)40-734 :‬‬

‫‪ ‬نظریه رمزنگاری (شماره درس‪)40-675 :‬‬

‫‪15‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫میانترم (‪ ۶/۵‬نمره)‬ ‫‪‬‬

‫پایانترم (‪ ۶/۵‬نمره)‬ ‫‪‬‬

‫تمرینها (‪ ۵‬نمره)‬ ‫‪‬‬

‫پروژه عملی (‪ ۳‬نمره)‬ ‫‪‬‬

‫کوییز و فعالیت کالسی (تا ‪ ۱‬نمره اضافه)‬ ‫‪‬‬

‫‪ ‬محتوا و جایگاه درس‬

‫‪17‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫)‪CERT (Computer Emergency Response Team‬‬

‫ابزارها‬ ‫ابزار مهاجمان‬

Back Doors Sweepers

Password Guessing ‫دانش مهاجمان‬

‫از دو نمودار قبلی بخوبی پیداست‪:‬‬ ‫‪‬‬

‫‪20‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫رشد قابل توجه‬

‫‪21‬‬ ‫امنیت داده و شبكه‬ ‫مرتضی امینی‬

‫اهداف سیاسی‬ ‫‪‬‬