امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد وتایید شده اند:

امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد وتایید شده اند:
1.شناسایی بخشهایی که باید تحت محافظت قرار گیرد.
2.تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
3.تصمیم گیری درباره چگونگی تهدیدات
4.پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5.مرور مجدد ومداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه می پردازیم.

1. منابع شبکه

در یک شبکه مدرن منابع بسیاری جهت محافظت وجوددارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.
1.تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
2.اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شدهاند.
3.منابع نامحسوس شبکه مانند عرض باند و سرعت
4.اطلاعات ومنابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
5.ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.
6.اطلاعات در حال تبادل بر روی شبکه در هر لحظه اززمان
7.خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق بهعنوان دارایی های یک شبکه قلمداد می شود.

2. حمله

حال به تعریف حمله می پردازیم تا بدانیم که ازشبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تایک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:
1.دسترسی غیرمجازبه منابع و اطلاعات از طریق شبکه
2.دستکاری غیرمجاز اطلاعات بر روی یک شبکه
3.حملاتی که منجربه اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.
کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما بهعبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات درحال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر وفایروال یا مکانیزم های اتصال و ارتباط دانست.
هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:
1.ثابت کردن محرمانگی داده
2.نگهداری جامعیت داده
3.نگهداری دردسترس بودن داده

3.تحلیل خطر

پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. دربهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :
1.احتمال انجام حمله
2.خسارت وارده به شبکه درصورت انجام حمله موفق

4.سیاست امنیتی

پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:
1.چه و چرا بایدمحافظت شود.
2.چه کسی بایدمسئولیت حفاظت را به عهده بگیرد.
3.زمینه ای رابه وجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
1.مجاز (Permissive) : هرآنچه بطور مشخص ممنوع نشده است ، مجاز است.
2.محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسب تر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمیتوان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شدهاند.

5.طرح امنیت شبکه

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المان های تشکیل دهنده یک طرح امنیت شبکه عبارتند از :
1.ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH
2.فایروال ها
3.مجتمع کننده هابرای دسترسی از دور
4.تشخیص نفوذ
5.سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه
6.مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه

6. نواحی امنیتی

تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی برتوپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار میگیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود.
نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف میشوند.
1.تجهیزات ودستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرارمی گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمیشود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت ومجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.
.2سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.
.3سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتراست هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرارگرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.
4.استفاده ازفایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجودیک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود

 

 

.براي ايجاد كلمه عبور، از حروف بزرگ و كوچك و به صورت يك در ميان استفاده كنيد. مثال: cOmPuTeR


1.براي ايجاد كلمه عبور، از حروف بزرگ و كوچك و به صورت يك در ميان استفاده كنيد. مثال: cOmPuTeR

2.حروف اول كلمات يك جمله را به عنوان رمز عبور خود انتخاب كنيد.

مثلاًدر جمله:"If sentence is longer password would be safer " كه رمز عبور آن به اين صورت تبديل مي شود: " Isilpwbs "

3.عدد يا تاريخي را براي خود در نظر بگيريد و آن را با دكمه Shift تايپ كنيد.

مثلاً : تاريخ: 13.06.2002 با دكمه Shift به اين كلمه تبديل

مي شود: !#>)^>@))@

4.لغتي را در نظر بگيريد و سپس حروف سمت راست آن را که بر روي صفحه كليد قرار دارد، بنويسيد:

مثال: Hardware تبديل مي شود به: Jstfestr

5.لغت يا تركيبي را براي خود در نظر بگيريد مانند “24Oktober” و بعد آن را بهم بريزيد به اين صورت كه حروف اول آن را با حرف آخر، حرف دوم را با حرف ماقبل آخر و به همين ترتيب بقيه را بنويسيد: 24r4eObkot

6.لغات يك جمله را به اختصار بنويسيد اين اختصارات را خود شما تعيين مي كنيد و از قاعده خاصي پيروي نمي كنند. مثلاً عبارت White meat with cabbage تبديل مي شود به: “whtmtwtcabge”

7.در رمز عبور از علائم ويژه استفاده كنيد. مثال: “c/Om%u §E~r

در اين مقاله سعي ميکنم به شما ياد بدم چه جوري IP خودتون را با يه IP ديگه از همون Range عوض کنيد.

هر موقع که به اينترنت وصل ميشيد، پروتکل DHCP به شما يه IP تخصيص ميده. عوض کردن اين IP کار چندان سختي نيست و البته ميتونه مفيد هم باشه!


موقعي که شما تحت حمله DDoS هستين يا وقتي که ميخواين تمامي درخواستها به يه وب سرور رو به طرف خودتون Redirect کنين يا فرضاً وقتي که IP شما بسته شده و ميخواين به جاي اون از يه IP ديگه در Range خودتون استفاده کنين و يا ... به تغيير دادن IP احتياج پيدا ميکنين.


چگونه آي پي خود را عوض كنيم؟


در اين مقاله سعي ميکنم بتون ياد بدم چه جوري IP خودتون را با يه IP ديگه از همون Range عوض کنين. هر موقع که به اينترنت وصل ميشين، پروتکل DHCP به شما يه IP تخصيص ميده. عوض کردن اين IP کار چندان سختي نيست و البته ميتونه مفيد هم باشه! موقعي که شما تحت حمله DDoS هستين يا وقتي که ميخواين تمامي درخواستها به يه وب سرور رو به طرف خودتون Redirect کنين يا فرضاً وقتي که IP شما بسته شده و ميخواين به جاي اون از يه IP ديگه در Range خودتون استفاده کنين و يا ... به تغيير دادن IP احتياج پيدا ميکنين.

) اطلاعات مورد نياز

قبل از اينکه شما بتونين IP خودتون رو عوض کنين، بايد يه سري اطلاعات جمع کنين. اين اطلاعات عبارتند از: محدوده IP شما، Subnet Mask، مدخل (Gateway) پيش گزيده، سرور DHCP و سرورهاي DNS


1. به دست اوردن محدوده IP: بدست اوردن IP Range اصلاً سخت نيست! فرض کنيد IP شما 24.193.110.255 باشه. شما ميتونين به طور مشخص از محدوده زير براي IP جديد خودتون انتخاب کنين:



24.193.110.1 < [آي پي جديد] < 24.193.110.255


اميدوارميم بلد باشين IP خودتونو بدست بيارين!!


2. به دست اوردن Subnet Mask، مدخل، سرور DHCP و DNS: به دست اوردن اينها هم ساده‌س! يه خط فرمان DOS باز کنين و توش تايپ کنين ipconfig /all شما حالا بايد بتونين يه چيزي شبيه به اين ببينين:



Host Name . . . . . . . . . . . . : My Computer Name Here

Primary Dns Suffix . . . . . . . :

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No



Ethernet adapter Local Area Connection:



Connection-specific DNS Suffix . : xxxx.xx.x

Description . . . . . . . . . . . : NETGEAR FA310TX Fast Ethernet Adapter (NGRPCI)

Physical Address. . . . . . . . . : XX-XX-XX-XX-XX-XX

Dhcp Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : Yes

IP Address. . . . . . . . . . . . : 24.xxx.xxx.xx

Subnet Mask . . . . . . . . . . . : 255.255.240.0

Default Gateway . . . . . . . . . : 24.xxx.xxx.x

DHCP Server . . . . . . . . . . . : 24.xx.xxx.xx

DNS Servers . . . . . . . . . . . : 24.xx.xxx.xxx

24.xx.xxx.xx

24.xx.xxx.xxx

Lease Obtained. . . . . . . . . . : Monday, January 20, 2003 4:44:08 PM

Lease Expires . . . . . . . . . . : Tuesday, January 21, 2003 3:43:16 AM



خوب! اين تموم اطلاعاتي بود که نياز داشتين. بهتره اون خط فرمان DOS رو باز نگه دارين يا اينکه اطلاعاتش رو کپي کنين. (براي کپي کردن، متن رو انتخاب کنين و يکبار روش کليک کنين)


3. عوض کردن IP : براي عوض کردن IP خودتون، اول بايد يه IP انتخاب کنين (يادتون نره که تو محدوده باشه!) به نظر من بهتره اول مطمئن بشين که اين IP جديد مُرده! (همون Dead) بلدين که چطوري؟ اين IP رو پينگ کنين و اگه Time Out داد مطمئن باشين که ميشه ازش استفاده کرد. حالا در Control Panel بريد به Network Connections و روي Connection فعال دابل کليک کنين. دکمه Properties رو بزنين و بريد به برگه Networking. حالا (Internet Protocol (TCP/IP رو انتخاب کنين و دکمه Properties رو بزنين. در پنجره جديدي که باز شده، قسمتهاي Use the following IP address و Use the following DNS server addresses رو با توجه به اطلاعاتي که در قسمت 2 به دست اوردين پر کنين. در قسمت اول، IP اي رو که انتخاب کرديد (IP جديد) و در قسمت دوم، آدرس DNS Server رو وارد کنين. حالا تغييرات رو ثبت و تأييد کنين. فقط يه تست کوچيک مونده! در مرورگر خودتون، آدرس يه سايت رو وارد کنين. اگه صفحه سايت اومد، بدونين که با IP جديد دارين کار ميکنين. براي اينکه مطمئن بشين که تغييرات اعمال شدن، دوباره در خط فرمان DOS تايپ کنين ip config /all اگه پس از اجراي اين دستور، IP و DNS جديد رو ديديد، بدونين که درست عمل کرديد.


حملات DDoS و DoS

اگه فايروال شما نشون بده که شما تحت يه حمله DDoS هستين، اين معمولاً موقعيه که شما داريد از طرف يک يا چند تا IP از طريق UDP مورد حمله قرار ميگيرين. در اين حالت شما ميتونين با استفاده از روش "عوض کردن IP" که در بالا توضيح داده شد، از خودتون محافظت کنين.


وب سرورها و سرويس هاي ديگه

اگه شما ميدونين که در محدوده IP شما يه وب سرور قرار داره، ميتونين IP اون رو بدزدين و خودتون يه وب سرور بشين! به اين ترتيب هر درخواست DNS اي که براي اون IP ارسال بشه، به شما Redirect ميشه و به جاي اون سايت، صفحه شما نشون داده ميشه!
البته دزديدن IP معمولاً کار درستي نيست! چون ممکنه به بستن حساب شما منجر بشه.

اصولاً کامپيوترها فقط با عددها کار مي‌کنند و حروف و‎ ‎نويسه‌هاي ديگر را با تخصيص عددي به هر يک از آنها ذخيره مي‌کنند. ‏تا قبل‎ ‎از اختراع يوني‌کد، صدها سيستم کُدگذاري مختلف براي تخصيص اين اعداد وجود‎ ‎داشت. نويسه‌هاي هيچ کُدگذاري‌اي ‏به‌تنهايي کافي نبود: مثلاً اتحاديهٔ‎ ‎اروپا به چندين کُدگذاري مختلف براي در بر گرفته شدن همهٔ زبان‌هايش نياز‎ ‎داشت. حتي ‏براي زباني مثل انگليسي نيز هيچ کُدگذاري‌اي به‌تنهايي براي همهٔ‎ ‎حروف، علايم نقطه‌گذاري، و نمادهاي فني متداول کافي ‏نبود‎.
اين‎ ‎سيستم‌هاي کدگذاري با هم تعارض نيز داشتند. يعني دو کُدگذاري مختلف ممکن‎ ‎بود از اعداد يکساني براي دو نويسهٔ ‏مختلف، يا از اعداد مختلفي براي‎ ‎نويسه‌هاي يکسان استفاده کنند. با وجود اين که هر کامپيوتري (بالاخص‎ ‎کارگزارهاي شبکه) ‏لازم است از کُدگذاري‌هاي مختلف و متعددي پشتيباني کند،‎ ‎هرگاه داده‌ها از کُدگذاري‌ها يا محيط‌هاي مختلف عبور کنند، در ‏معرض خطر‎ ‎تحريف قرار مي‌گيرند‎.‎
يوني‌کد دارد اين وضع را تغيير مي‌دهد‎!‎
يوني‌کد‎ ‎به هر نويسه يک عدد يکتا اختصاص مي‌دهد، مستقل از محيط، مستقل از برنامه، و‎ ‎مستقل از زبان. استاندارد يوني‌کد را ‏پيشتازان صنعت کامپيوتر، از قبيل‎ ‎شرکت‌هايي چون آي‌بي‌ام، اَپل، اچ‌پي، اورکل، جاست‌سيستم، سان، ساي‌بيْس،‎ ‎مايکروسافت، ‏يوني‌سيس، ‏SAP ‎و بسياري شرکت‌هاي ديگر پذيرفته‌اند‎. ‎استانداردهايي چونXML‎، جاوا، اکمااسکريپت (جاوااسکريپت‎(‎، ‏LDAP،‏ Corba 3.0‎،‏ ‏WML، و غيره، يوني‌کد را ملزم مي‌دانند و روش رسمي پياده‌سازي‎ ‎استاندارد‎ ISO/IEC ‎‎10646 ‎نيز يوني‌کد است. يوني‌کد در بسياري از‎ ‎سيستم‌عامل‌ها، همهٔ مرورگرهاي امروزي، و بسياري از محصولات ديگر ‏پشتيباني‎ ‎مي‌شود. پيدايش استاندارد يوني‌کد، و در دسترس بودن ابزارهايي که از آن‎ ‎پشتيباني مي‌کنند، از چشمگيرترين ‏روندهاي جديد در صحنهٔ جهاني فناوري‌هاي‎ ‎نرم‌افزاري بوده است‎.
گنجاندن يوني‌کد در وب‌گاه‌ها و برنامه‌هاي‎ ‎کاربردي کارخواه‐کارساز يا چندلايه‌اي، در مقايسه با استفاده از‎ ‎مجموعه‌نويسه‌هاي ‏قديمي، مي‌تواند باعث کاهش قابل ملاحظهٔ هزينه‌ها شود‎. ‎يوني‌کد اين امکان را فراهم مي‌کند که يک محصول نرم‌افزاري واحد ‏يا يا يک‎ ‎وب‌گاه واحد بتواند بدون نياز به طراحي و مهندسي مجدد، در محيط‌ها،‎ ‎زبان‌ها، و کشورهاي متعددي کار کند. يوني‌کد ‏به داده‌ها نيز امکان مي‌دهد‎ ‎که بدون تحريف از سيستم‌هاي مختلف عبور داده شوند‎.‎
دربارهٔ کنسرسيوم يوني‌کد
کنسرسيوم‎ ‎يوني‌کد سازمان غيرانتفاعي‌اي است که براي بهبود، گسترش، و ترويج استفاده‎ ‎از استاندارد يوني‌کد تأسيس شده ‏است، استانداردي که شيوهٔ بازنمايي متون را‏‎ ‎در محصولات نرم‌افزاري و استانداردهاي امروزي مشخص مي‌کند. اعضاي اين‎ ‎کنسرسيوم طيف گسترده‌اي را از شرکت‌ها و سازمان‌هاي فعال در صنعت پردازش‎ ‎اطلاعات، در بر مي‌گيرند. پشتيباني مالي اين ‏کنسرسيوم صرفاً از طريق حق‎ ‎عضويت اعضا است. عضويت در کنسرسيوم يوني‌کد براي سازمان‌ها و افراد هر جاي‎ ‎دنيا که ‏استاندارد يوني‌کد را پشتيباني کنند و بخواهند در گسترش و‎ ‎پياده‌سازي آن کمک کنند، آزاد است‎.

یه تمرین با switch

- برنامه ای بنویسید که یک عدد بین 1 تا 7 از ورودی گرفته و روز هفته مربوط به آن را در خروجی چاپ کند.

- برنامه ای بنویسید که با استفاده از حلقه های تو در تو، خروجی زیر را تولید کند:

این برنامه ابتدا مقادیر دو آرایه ی یک بعدی با 3 عنصر را از ورودی گرفته و حاصل ضرب عناصر آرایه را با استفاده از تابعی در یک آرایه ی دیگر ریخته و در خروجی نمایش میدهد.

تابع جمع عناصر دو آرایه یک بعدی که از نظر تعداد عناصر با هم برابرند. در این تابع len طول آرایه ها و out آرایه ای است که جمع آرایه ها در آن ریخته میشود.

یه مثال ساده از آرایه یک بعدی:

- برنامه ای بنویسید که با استفاده از آرایه های یک بعدی، 10 عدد از ورودی خوانده و با فرمت مناسب در خروجی چاپ کند.

تابعی که عددی به عنوان آرگومان ورودی گرفته و مقدار ارقام زوج آن را بازگشت میدهد. به عنوان مثال اگر آرگومان ورودی 1234 باشد، مقدار 42 را به خود میگیرد.