ارسالی عباس
معماري اينترنت، معماري شبكهاي غالب در اوايل دههي 2000 است. اينترنت بر پروتكل اينترنت IPاستوار است، كه ميتوان آن را روي همهي انواع شبكههاي فيزيكي و تحت همهي انواع برنامههاي كاربردي به كار انداخت. استقلال پروتكل اينترنت هم از شبكههاي فيزيكي و هم از برنامههاي كاربردي، نقطهي قوت اصلي آن است. اين پروتكل حتي با فناوريهاي شبكهاي كاملاً جديد، مثل «شبكهي محلي بيسيم» (دبليولن[ يا «سرويس راديويي بستهاي عمومي» (جيپيآراِس) و شبكهي «سامانهي عمومي ارتباطات همراه» (جياِساِم) نيز كار ميكند. برنامههاي جديد و بسياري برنامههاي ديگر كه در آينده عرضه ميشوند را ميتوان به راحتي با سرويس استاندارد پروتكل اينترنت اجرا كرد. معماري اينترنت اساساً از سال 1974 ثابت مانده و همچنان قدرت خود را اثبات ميكند. بنابراين شعار قديمي «آيپي وراي همه، همه چيز برروي آيپي» امروز بيش از هر زمان ديگري صدق میکند این مدل علا رغم محبوبیتش ایراداتی داردکه عيبهاي اصلي IP، فضاي ناكافي نشاني، عدم پشتيباني از جايجايي فيزيكي، فقدان كيفيت متمايز سرويس، و فقدان امنيت آن ميباشد
كار با اينترنت به پيشرفت خود ادامه ميدهد و به عرصههاي جديد برنامههاي كاربردي گسترش مييابد. كاهش سرانهي قيمت محصولات، عملاً همهي برنامهها را به استفاده از فناوري اصلي IPسوق خواهد داد. اگر جابجاييپذيري، كيفيت خدمات، و امنيت، محور اصلي خدمات اينترنت در نسل آينده باشند، در آن صورت يك سكوي عمومي جهاني خواهيم داشت تا كار الكترونيكي را بر روي آن استوار كنيم اين سكوي فني براي كار الكترونيكي امن، در حال شكلگرفتن است و جنبههاي شبكهاي امنيت را ميتوان حل كرد. اما وقتي كه با افراد و با جريانهاي پيچيدهي اطلاعات سروكار داريم، هيچ راهحل استاندارد سادهاي براي امنيت كل سيستم وجود ندارد.کار زییادی باید انجام شود. بايد سازوكارهاي استاندارد امنيت بهكارگرفته شوند تا اطمينان حاصل شود كه سيستمهاي اطلاعاتي مورد استفاده، امنيت جريان هاي اطلاعاتي را به خطر نمياندازند.
هيچ روش شناختهشدهاي براي اثبات امنيت كل فرايندها وجود ندارد. بايد مداوماً به نظارت و به بازخورددادن به فرايندهايمان بپردازيم. همچنين بازرسي بهوسيلهي يك طرف بيروني كه مسئوليتي در استقرار يا اجراي سيستم ندارد لازم است.
OSI چیست؟
OSI (Open System Interconnection ) يك مدل مرجع براي ارتباط بين دو كامپيوتر مي باشد كه در سال 1980 طراحي گرديده است. هر چند امروزه تغييراتي درآن به وجود آمده اما هنوز هم كاربردهاي فراواني در جاهاي مختلف اينترنت و به خصوص در پايه هاي شبكه دارد.
اين مدل بر اساس لايه بندي قراردادهاي برقراري ارتباط كه همزمان روي دو سيستم مرتبط اجرا شده اند پايه ريزي شده است كه اين امر بسيار سرعت و دقت ارتباط را افزايش مي دهد و اين قراردادها بصورت طبقه طبقه در هفت لايه تنظيم شده اند كه در زير بررسي خواهند شد. (شكل 1)
لايه كاربرد | Application |
لايه ارائه | Presentation |
لايه جلسه | Session |
لايه انتقال | Transport |
لايه شبكه | Network |
لايه پيوند داده ها | Data link |
لايه فيزيكي | Physical |
شكل 1: لايه هاي مدل OSI
بررسي هفت لايه OSI :
لايه فيزيكي :
اين لايه كه تنها تشكيل شده از سخت افزار مي باشد و قراردادهاي سخت افزاري در آن اجرا مي شود وظيفه انتقال نهايي اطلاعات را دارد كه اين انتقال يصورت سيگنال و به صورت صفرو يك مي باشد
لايه پيوند داده ها :
در اين لايه اطلاعات ، كشف خطا و اصلاح مي شوند و بدون خطا و به صورت مطمئن به سوي مقصد ارسال مي شوند .وظيفه ديگر اين لايه مطمئن شدن از رسيدن اطلاعات به مقصد است كه اين كار توسط
بيتهاي (Parity check , checksum ,crc ) انجام مي پذيرد .كه در صورت بروز خطا مجددا اطلاعات ارسال خواهند شد .
لايه شبكه :
و اما پيچيده ترين لايه يعني لايه شبكه كه در آن قراردادهاي شبكه بندي تعريف شده است . وظيفه اين لايه انتقال تكنولوژي برقراري ارتباط براي ديگر شبكه هاي مستقل است كه اين امر اين امكان را به osi مي دهد كه بتواند در زير شبكه هاي مختلف فعاليت كند .
لايه انتقال :
در اين لايه قبل از ارسال اطلاعات يك بسته به سمت مقصد فرستاده مي شود تا مقصد را براي دريافت اطلاعات آماده كند . همچنين اين لايه وظيفه تكه تكه كردن بسته ها ، شماره گذاري آنها و ترتيب و نظم دهي آنها را بر عهده دارد. كه البته بسته ها در طرف گيرنده دوباره در همين لايه نظم دهي و قابل استفاده براي لايه هاي بالاتر خواهند شد.
لايه جلسه :
در اين لايه بر كارهايي از قبيل زمان ارسال و دريافت بسته ها مقدار رسيده و مقدار مانده از بسته ها نظارت مي شود كه به مديرت بسته ها بسيار كمك مي كند .
لايه ارائه :
در اين لايه استانداردهاي رمز نگاري و فشرده سازي اطلاعات تعريف شده است كه اين لايه در امنيت بسيار مهم مي باشد .
لايه كاربرد :استانداردهاي ارتباط بين نرم افزارهاي شبكه در اين لايه قرار دارد كه مي توان از :
FTAM CMIP MHS VT نام برد.
مدل شبکه ای TCP/IP(Internet protocol /Transmission Control Protocol )
رايج ترين مدل شبکه هاي کامپيوتري، مدل چهار لايه TCP/IP است که با بهره گيري از پشته پروتکل TCP/IP به تبادل داده و نظارت بر مبادلات داده مي پردازد در شبکه کامپيوتري براي کاهش پيچيدگي هاي پياده سازي، آن را مدل سازي ميکنند که از جمله ميتوان به مدل هفت لايه OSI و مدل چهار لايه TCP/IP اشاره نمود. در اين مدلها، شبکه لايه بندي شده و هر لايه با استفاده از پروتکلهاي خاصي به ارائه خدمات مشخصي ميپردازد. مدل چهار لايه TCP/IP نسبت به OSI محبوبيت بيشتري پيدا کرده است ولي عليرغم اين محبوبيت داراي نقاط ضعف و اشکالات امنيتي است که بايد راهکارهاي مناسبي براي آنها ارائه شود تا نفوذگران نتوانند به منابع شبکه دسترسي پيدا کرده و يا اينکه اطلاعات را بربايند.
شناسائي لايه هاي مدل TCP/IP، وظايف، پروتکلها و نقاط ضعف و راهکارهاي امنيتي لايه ها در تعيين سياست امنيتي مفيد است ، TCP/IP مجموعه قراردادهايي هستند كه در جهت اتصال كامپيوتر ها در شبكه مورد استفاده قرار مي گيرند. وبه تعريف ديگر قرارداد كنترل انتقال اطلاعات مي باشد .
پروتکل TCP
لايه كاربرد | لايه كاربرد |
لايه ارائه | لايه كاربرد |
لايه جلسه | لايه انتقال |
لايه انتقال | لايه انتقال |
لايه شبكه | لايه شبكه |
لايه پيوند داده ها | لايه واسطه شبكه |
لايه فيزيكي | لايه واسطه شبكه |
مقايسه با osi : (شكل2)
همانطور كه از شكل پيداست TCP/IP از چهار لايه تشكيل شده كه در زير به صحبت در مورد چهار لايه TCP/IP مي پردازيم .
لايه واسط شبكه :
در اين لايه تمام استانداردهاي سخت افزاري و انواع پروتكل شبكه تعريف شده كه خاصيت بزرگ اين لايه اين موضوع مي باشد كه در آن مي توان بين نرم افزار و سخت افزار شبكه ارتباط برقرار كرد.
لايه شبكه :
در اين لايه پروتكل IP آدرس دهي و تنظيم مي شود .(توضيحات در قسمت IP ) و همچنين ديگر پروتكل ها مانند ARP,ICMP,BOOTP كه در اين ميان نقش هيچكدام به اندازه IP , ICMP مهم نيست در كل وظيفه اين لايه دادن اطلاعات در مورد شبكه و آدرس دهي در آن مي باشد كه مسير يابها از آن بسيار استفاده ميكنند .
لايه انتقال :
ابتدايي ترين وظيف اين لايه آگاهي از وضعيت بسته ها مي باشد كه بسيار مهم نيز هست .
و در مرحله بعد وظيفه اين لايه انتقال اطلاعاتي مي باشد كه نياز به امنيت ندارند و سرعت براي آنها مهم تر است
لايه كاربرد :
اين لايه داراي امكانات زيادي براي هنر نمايي متخصصان مي باشد.
در اين لايه برنامه هاي كاربردي قرار دارند و در كل اين لايه لايه ي نرم افزارهاي شبكه مي باشد و همچنين لايه پروتكل هاي نرم افزاري نيز مي باشد .
از مهم ترين نكات در خصوص اين لايه قرارداشتن : انتقال فايل (FTP) و مديريت پست (SMTP) و بقيه برنامه هاي كاربردي مي باشد .
پروتكل اينترنت IP
IP يكي از مهمترين قسمتهاي TCP/IP و شايد بتوان گفت مهمترين قسمت آن زيرا تقريبا شما براي هر كاري نياز به آن خواهيد داشت .IP يك آدرس عددي است كه براي ارتباط با شبكه به هر ماشيني در شبكه اختصاص داده مي شود (چون IP براي وسايلي از قبيل ROUTER و MODEM و LAN و … استفاده مي شود ما اصطلاحا به جاي نام بردن تك تك آنها همه را ماشين مي ناميم )
«IP شما نسبت به نوع اتصال شما متغيير و يا ثابت مي باشد. »
وظيفه IP چيست ؟
وظيفه پروتكل IP حمل و تردد بسته هاي حاوي اطلاعات و همچنين مسير يابي آنها از مبدا تا مقصد است
اساس كار پروتكل IP چيست ؟
IP پس از دريافت اطلاعات از TCP شروع به قطعه قطعه كردن آن به قطعه هاي كوچك به اسم FRAGMENT مي نمايد، پس از اين مرحله براي هر FRAGMENT يك بسته IP مي سازد كه حاوي اطلاعات مورد نياز بسته براي حركت در طول شبكه مي باشد و بسته IP را به بسته TCP اضافه مي كند
و شروع به ارسال بسته هاي تيكه تيكه شده(FRAGMENT) مي نمايد حال مسير يابها بر اساس تنظيمات قسمت IP بسته ها را به مقصد خود هدايت مي كنند و آن را داخل زير شبكه ها هدايت مي كنند
خصوصيات IP :
بسته IP حد اكثر 64 كيلوبايت فضا را اشغال خواهد كرد و بيشتر از آن نمي تواند باشد ولي موضوع جالب اينجاست كه در حالت عادي حجم بسته حدود 1600 بايت بيشتر نمي شود
IP در تمامي سيستم هاي عامل با ساختار استانداردي كه دارد به درستي كار مي كنند و نياز به هيچ نوع سخت افزار ندارد .
نكاتي جالب در مورد IP
آدرس هاي ويژه :
اين آدرسها نمونه هاي از آدرس هاي IP خاص هستند كه از قبل براي مقاصد خاصي در نظر گرفته شده اند و در تعريف شبكه نمي توان از آنها به عنوان IP براي ماشينها استفاده كرد .
0.0.0.0
از اين آدرس در مواردي استفاده مي شود كه ماشين ميزبان از IP خود بي اطلاع است .البته اگر از اين آدرس به عنوان آدرس فرستنده استفاده شود هيچ جوابي براي فرستنده پس فرستاده نمي شود .
HostId.0
اين آدرس براي زماني است كه از آدرس خود در زيرشبكه بي اطلاع باشيم
255.255.255.255
از اين آدرس براي ارسال پيامهاي به صورت عمومي و فراگير در شبكه استفاده مي شود البته با استفاده از اين آدرس مي توان در زير شبكه خود پيام فراگير ارسال كرد .
NetId.255
از اين آدرس براي ارسال پيامهاي فراگير در ديگر شبكه ها از خارج از آنها استفاده مي شود .البته اين سرويس تقريبا در بيشتر اوقات از سوي مديران شبكه غير فعال مي شود.
مقایسه دو پروتکل در بخش های مختلف امنیتی
در ادامه، حملات، سرويس ها و مکانيزم ها و تجهيزات امنيتي در لايه هاي مختلف در قالب جداول 1-2-3-4 با يکديگر مقايسه مي شوند و همانطور که در جداول مذکور نشان داده شده است مي توان نتيجه گرفت که بيشترين حملات به ترتيب در لايه IP,TCP ، کاربرد و ميزبان به شبکه است و سرويس ها و مکانيزم ها بيشتر در لايه IP به چشم مي خورد و تجهيزات امنيتي با بهره گيري از مکانيزم هاي مختلف بيشتر در لايه IP , TCP و کاربرد ، کاربري دارند .
در جدول 5تجهيزات امنيتي از نظر پارامترهاي مختلف با يکديگر مقايسه مي شوند و مورد ارزيابي قرار مي گيرند، استفاده از تجهيزات سخت افزاري نظير فايروال، سوئيچ ها و مسيريابهاي مديريت پذير، گران است و هزينه پشتيباني آنها نيز بالاست و از پيچيدگي نسبتا بالايي برخوردارند. در تجهيزات نرم افزاري نيز هزينه پشتيباني بدليل لزوم Update مرتب ، بالا است ولي هزينه استقرار و پيچيدگي پائين است.
جدول 1. مقايسه تهديدات امنيتي در لايه هاي چهارگانه TCP/IP
تهديد/ لايه | Host to Network | IP | TCP | Application |
Trojan,Virus,Worm | * | |||
SQL-Injection | * | |||
TCP/IP Spoofing | * | * | ||
Session Hijacking | * | * | ||
Port Scan | * | * | ||
Physical Attacks | * | |||
Phishing | * | * | ||
Password Attacks | * | |||
Packet Sniffing | * | * | ||
Dos/DDos Attacks | * | * | * | |
Network Layer Attacks | * | |||
Application Layer Attacks | * | |||
Buffer Over Flow Attacks | * | * | * | |
Replay | * | * | * | * |
Traffic Analysis | * | * | * | |
Message Modification | * | * | * |
جدول 2. اهراف امنيتي در منابع شبكه
منابع
اهداف |
شبكه | كاربران شبكه | |||
سخت افزارها | نرم افزارها | اطلاعات | ارتباطات | ||
محرمانگي | * | * | |||
صحت | * | * | * | * | |
قابليت دسترسي | * | * | * | * | |
محافظت فيزيكي | * | * | * | ||
تشخيص هويت | * | ||||
صدور اختيارات | * | ||||
حريم خصوصي | * | ||||
آگاهي رساني امنيتي |
جدول 3. سرويس هاي امنيتي در لايه هاي مختلف TCP/IP
سرويس/لايه | Host to Network | IP | TCP | Application |
محرمانگي | * | * | * | * |
تاييد هويت | * | * | * | * |
رد انكار | * | |||
كنترل جامعيت و صحت | * | * |