بخشی از مقاله
كاربردهاي شبكه هاي كامپيوتري
1. كاربردهاي تجاري –
اكثر شركتها تعداد زيادي كامپيوتر براي كارهاي مختلف ( توليد ، انبارداري ، فروش و حسابداري ) دارند . شايد در ابتدا اين كامپيوترها از يكديگر جدا باشند ، ولي در مرحله اي از كار براي يكپارچه كردن اطلاعات كل شركت ، مديريت تصميم مي گيرد تا آنها را به هم متصل كند .
به بيان كلي تر ، اشتراك منابع به ما اجازه ميدهد تا برنامه ها ، تجهيزات و به خصوص داده ها را در اختيار همه آنهايي كه به اين شبكه متصلند ، قرار دهيم . ساده ترين مثال آن ، چاپگريست كه براي تمام كاركنان يك دفتر به اشتراك گذاشته شده است . پيداست كه تك تك اين افراد به يك چاپگر اختصاصي نياز ندارند ، و علاوه بر آن يك چاپگر شبكه اغلب ارزانتر، سريعتر و كم هزينه تر از تعداد زيادي چاپگرهاي پراكنده است .
2 . كاربردهاي خانگي –
چرا مردم براي كارهاي خانگي خود كامپيوتر مي خرند ؟ نوشتن نامه ، مقاله و حتي كتاب يكي از مهمترين دلايل آن است ؛ اما اين وضعيت امروزه در حال تغيير است . شايد مهمترين دليل خريد كامپيوترهاي خانگي در سالهاي اخير اينترنت باشد . كارهايي كه اين قبيل افراد با كامپيوتر خود انجام مي دهند ، عمدتا عبادتند از :
- دسترسي به اطلاعات پراكنده در سراسر دنيا
- سرگرميهاي تعاملي
- تجارت الكترونيك
امروزه منبع بسيار عظيمي از اطلاعات در تمامي زمينه ها روي اينترنت وجود دارد ، كه مي توان به آنها دسترسي پيدا كرد . روزنامه هاي بسياري روي اينترنت منتشر ميشوند ، كه ميتوان اخبار را به دلخواه و بصورت گزينشي از آنها بدست آورد .
بعد از روزنامه ها و مجلات الكترونيكي نوبت كتابخانه هاي ديجيتالي است . بسياري از سازمانهاي علمي معتبر مانند ACM و IEEE مدتهاست كه انتشارات و كنفرانسهاي متعددي روي اينترنت برگزار ميكنند ؛ و اين روند به سرعت در حال گسترش است .
تمام كاربردهايي كه در بالا نام برديم ، متضمن ارتباط فرد با يك منبع اطلاعات روي اينترنت بود . اما روش ديگري نيز براي برقراري ارتباط از طريق اينترنت وجود دارد ، و آن ارتباط فرد به فرد است .
ارتباطات اينترنتي در زمينه تماسهاي تلفني ، ويدئويي و راديو نيز تحولات وسيعي ايجاد كرده اند . آموزش از راه دور نيز يكي از امكاناتيست كه اينترنت عرضه كرده است . بنظر ميرسد در دراز مدت اينترنت بزرگترين نقش را در بهبود ارتباطات انساني بازي كند.
يكي ديگر از كاربردهاي شبكه ، كه شايد وسيعترين آنها باشد : خريد از خانه ميباشد . امروزه ميليونها نفر در سراسر جهان هر روز مايحتاج خود را بطور مستقيم از اينترنت تهيه ميكنند ، و هرگز پا از خانه بيرون نميگذارند . هزاران شركت بزرگ و كوچك كاتالوگ محصولات خود را بصورتي جذاب روي اينترنت گذاشته اند ، و براي خريد هر يك ازآنها كافيست روي جنس مورد نظر يك كليك كنيد . كالايي را خريده ايد ، ولي نميدانيد چگونه كار ميكند ؟ نگران نباشيد باز هم اينترنت به شما كمك ميكند ، و هر اطلاعات و راهنمايي كه بخواهيد در اختيارتان قرار مي دهد .
مي خواهيد صورتحسابهاي خود را پرداخت كنيد ؟ از آخرين وضعيت حسابهاي بانكي خود مطلع شويد ؟ و يا سرمايه گذاري جديدي بكنيد ؟ باز هم اينترنت در خدمت شماست . امروزه ميليونها نفر در سراسر جهان كارهاي مالي و بانكي خود را بصورت الكترونيكي انجام ميدهند ، و با تقويت مسائل امنيتي شبكه اين روند حتي گسترش بيشتري نيز خواهد يافت .
3 . كاربران سيار –
كامپيوترهاي سيار ، مانند كامپيوترهاي كتابي و دستياران ديجيتالي ، يكي از سريعترين رشدها را در صنعت كامپيوتر تجربه ميكنند . اغلب دارندگان اين وسائل ميل دارند حتي وقتي از خانه دور و يا در سفر هستند ، با كامپيوتر خانگي يا دفتري خود ارتباط داشته باشند . در اين قبيل موارد ديگر شبكه هاي كابلي استفاده ندارند، و بايد به فكر شبكه هاي بيسيم باشيم.
جالبترين كاربرد شبكه هاي بيسيم در ايجاد دفاتر سيار است . اغلب افراد ميل دارند در سفر همان كارهايي را انجام دهند كه در دفتر كار خود انجام ميدهند ، و اصلا هم كاري به اين ندارند كه كجا هستند .
شبكه هاي بيسيم در امور حمل ونقل تحولي بزرگ ايجاد كرده اند .
شبكه هاي بيسيم از نظر نظامي نيز اهميت فوق العاده اي دارند . هيـچ ارتشي نميتواند در جنگهاي بزرگ به شبكه هاي عمومي تكيه كند، و بهتر است شبكه اي خاص خود ايجاد كند ؛
و چه چيزي بهتر از يك شبكه بيسيم .
با وجود شباهتهاي بسيار بين شبكه هاي بيسيم و كامپيوترهاي سيار ، آنها يكي نيستند . به تفاوت شبكه هاي بيسيم ثابت و شبكه هاي بيسيم سيار توجه كنيد . در بسياري از دفاتر ، كامپيوترهاي كتابي سيار بصورت ثابت به شبكه محلي متصل شده اند ؛ ا
ز طرف ديگر كامپيوتري كه با استفاده از مودم به شبكه وصل ميشود ، سيار است – ولي مسلما به آن بيسيم نميتوان گفت . از طرف ديگر ، هر شبكه بيسيمي الزاما سيار نيست . ساختمانهاي بسياري وجود دارند ، كه بدليل مشكلات كابل كشي از شبكه هاي بيسيم استفاده ميكنند . امروزه نصب شبكه هاي بيسيم بسيار ساده شده است و دردسرهاي كابل كشي را هم ندارد .
البته تركيب بيسيم با كامپيوترهاي سيار نيز عملي است ، و امروزه كاربردهاي مهمي دارد . اين كامپيوترها با اطلاعات ورودي كمي كه ميگيرند ، و با اتصال بيسيم به پايگاه داده مركزي ، كار خود را بسرعت و دقت انجام مي دهند . با رشد تكنولوژي بيسيم ، مسلما كاربردهاي آن نيز گسترش خواهد يافت .
سخت افزار شبكه –
هيچ طبقه بندي پذيرفته شده اي كه در بر گيرنده تمام انواع شبكه هاي كامپيوتري باشد ، وجود ندارد ، ولي در اين ميان ميتوان به دو عامل مهم توجه كرد : تكنولوژي انتقال و اندازه شبكه . امروزه دو تكنولوژي انتقال بيش از همه گسترش يافته و فراگير هستند :
1 . ارتباطات پخشي
2 . ارتباطات همتا به همتا
شبكه هاي پخشي داراي يك كانال مخابراتي هستند كه بين همه كامپيوترهاي شبكه به اشتراك گذاشته شده است . هر يك از كامپيوترها ميتوانند پيامهاي خود را در بسته هاي كوچك مخابره كنند ، و تمام كامپيوترهاي ديگر اين پيامها را دريافت خواهند كرد . آدرس كامپيوتري كه اين بسته در حقيقت براي وي ارسال شده ، در بخشي از پيام نوشته مي شود . هر كامپيوتري به محض دريافت بسته ، آدرس گيرنده را چك ميكند ؛ اگر پيام براي او باشد ، آنرا پردازش ميكند ؛ ولي اگر پيام متعلق به ديگري باشد ، به سادگي آنرا ناديده ميگيرد .
در شبكه هاي پخشي با تعبيه يك كد خاص در فيلد آدرس ميتوان يك پيام را به تمام كامپيوترها ارسال كرد . چنين پيامي را همه كامپيوترها متعلق به خود تلقي كرده و آنرا ميخوانند . به اين تكنيك پخش گفته ميشود . در برخي از سيستمهاي پخشي امكان ارسال پيام به دسته اي از كامپيوترها نيز وجود دارد ، كه به آن پخش گروهي ميگويند . بدين منظور ، معمولا از يك بيت خاص در فيلد آدرس استفاده ميشود و همه آنهايي كه اين بيت در آنها وجود دارد عضو گروه محسوب شده و پيام را ميگيرند . در شبكه هاي هما به همتا بين تك تك كامپيوترها مسير ارتباطي مستقل وجود دارد . البته وقتي يك بسته بخواهد از كامپيوتري به
كامپيوتر ديگر برود ، احتمالا سر راه خود از چند ماشين بينابيني نيز عبور خواهد كرد . معمولا در اين قبيل شبكه ها مسيرهاي متعددي بين دو كامپيوتر خاص مي توان برقرار كرد ، كه از نظر طول مسير با يكديگر تفاوت دارند ، و يافتن كوتاهترين مسير يكي از مسائل مهم در اينگونه شبكه هاست . به عنوان يك قاعده كلي ، شبكه هاي كوچك ، متمركز و محلي از نوع پخشي هستند ، و شبكه هاي بزرگ وگسترده از نوع همتا به همتا. به ارتباط همتا به همتا گاهي پخش تكي نيز گفته ميشود .
روش ديگر طبقه بندي شبكه ها اندازه شبكه است ، كه عبارتند از:
- شبكه هاي شخصي
- شبكه هاي محلي ( LAN )
- شبكه هاي شهري ( MAN )
- شبكه هاي گسترده ( WAN )
و در آخر هم شبكه شبكه ها – اينترنت معروفترين نمونه آن است – مي آيد . در اين طبقه بندي فاصله كامپيوترها اهميت زيادي دارد ، چون تكنولوژي ارتباطي به شدت به آن وابسته است .
شبكه هاي محلي -
شبكه محلي شبكه ايست خصوصي واقع در يك ساختمان يا مجتمع ، كه حداكثر ابعاد آن يكي دو كيلومتر باشد . از اين نوع شبكه معمولا براي متصل كردن كامپيوترهاي يك شركت و به اشتراك گذاشتن منابع يا معادله اطلاعات استفاده مي شود .يك شبكه LAN سه مشخصه اصلي دارد ، كه آنرا از ساير انواع شبكه متمايز ميكند :
1. اندازه 2 . تكنولوژي انتقال اطلاعات 3 . توپولوژي
اندازه LAN بسيار محدود است ، بگونه ايكه زمان انتقال سيگنالها در آن بسيار كم و از قبل قابل پيش بيني است . دانستن اين محدوديت ها براي طراحي شبكه بسيار مهم و اساسي است ، و باعث ساده تر شدن مديريت شبكه نيز مي شود .
شبكه هاي شهري –
شبكه شهري شبكه ايست كه يك شهر را پوشش مي دهد . شبكه هاي تلويزيون كابلي بهترين نمونه MAN هستند . اولين شبكه هاي تلويزيون كابلي در نقاط كور شهرها راه اندازي شدند ، بدين ترتيب كه يك آنتن مركزي و بزرگ در محلي كه فرستنده اصلي را مي ديد نصب ، و از اين آنتن كابلهايي به مشتركان محروم از برنامه هاي تلويزيوني كشيده مي شد .
با شروع گرايش عمومي به اينترنت ، گردانندگان اين شبكه ها بزودي دريافتند كه با تغييري مختصر در سيستمهاي خود ميتوانند از قسمتهاي بالا استفاده پهناي باند براي ارائه سرويسهاي دوطرفه اينترنت بهره ببرند . از اين لحظه بود كه شبكه هاي تلويزيون كابلي تبديل به شبكه هاي شهري شدند .
شبكه هاي گسترده –
شبكه گسترده ، گستره جغرافيايي بزرگي (مانند يك كشور يا قاره ) دارد . در اين نوع شبكه كامپيوترهايي هستند كه برنامه هاي كاربردي روي آنها اجرا مي شود ، و معمولا به آنها ميزبان مي گويند . اين كامپيوترها توسط زير شبكه هاي مخابراتي– زير شبكه – به هم متصل ميشوند . ميزبانها متعلق به افراد هستند ، در حاليكه زير شبكه اغلب به شركتهاي مخابرات تعلق دارد . وظيفه زير شبكه انتقال پيام از يك ميزبان به ميزبان ديگر است . جدا كردن اين دو بخش طراحي شبكه هاي WAN را تا حد زيادي ساده ميكند .
در اغلب شبكه هاي گسترده ، زير شبكه از دو بخش مجزا تشكيل مي شود : خطوط انتقال و تجهيزات سوئيچينگ . خطوط انتقال وظيفه ردوبدل كردن اطلاعات را بر عهده دارند ، و ميتوان براي ايجاد آنها از سيم مسي ، فيبر نوري يا حتي امواج راديويي استفاده كرد .تجهيزات سوئيچينگ كامپيوترهاي خاصي هستند كه ارتباط بين خطوط انتقال را فراهم ميكنند . وقتي داده ها از يك خط وارد ميشود ، اين كامپيوتر بايد مسير خروجي آنرا مشخص كند . اين كامپيوترهاي سوئيچينگ به نامهاي مختلفي خوانده ميشوند ، كه ميتوان از معروفترين آنها به مسيرياب اشاره كرد .
شبكه هاي يسيم -
در ساده ترين صورت شبكه هاي بيسيم را ميتوان به سه دسته بزرگ تقسيم كرد :
1 . ارتباطات بين سيستمي
2 . LAN هاي بيسيم
3 . WAN هاي بيسيم
ارتباطات بين سيستمي يعني برقراري ارتباط بين قطعات داخلي يك كامپيوتر با استفاده از امواج راديويي كوتاه برد . تقريبا هر كامپيوتري يك مانيتور ، صفحه كليد يا ماوس دارد كه معمولا با كابل به آن متصل ميشوند . براي بسياري از كاربران خانگي وصل كردن اين كابلها يك كار شاق است ، و براي اين كار دست به دامان تكنسينهاي كامپيوتر ميشوند . به همين علت ، برخي از شركتهاي سازنده كامپيوتر دور هم جمع شدند ، و يك شبكه بيسيم با برد كوتاه بنام بلوتوث اختراع كردند كه اين قطعات را بدون استفاده از سيم به كامپيوتر متصل ميكند . تكنولوژي بلوتوث اجازه ميدهد تا دستگاههايي مانند چاپگر ، دوربين ديجيتال ، گوشي و اسكنر نيز به كامپيوتر متصل شوند . براي اين كار به هيچ اتصال فيزيكي يا حتي نصب درايور نياز نيست ، و فقط كافيست دستگاه را روشن كرده و در برد كامپيوتر قرار دهيد ، تا كار كند . براي بسياري از كاربران اين يك مزيت خارق العاده است .
نوع ديگر ارتباطات بيسيم ، شبكه محلي بيسيم است . در اين سيستم هر كامپيوتر يك مودم راديويي و يك آنتن دارد ، كه بوسيله آن با كامپيوترهاي ديگر ارتباط برقرار مي كند . در اغلب اين سيستمها يك آنتن مركزي روي پشت بام وجود دارد كه ارتباط بين كامپيوترها را تسهيل ميكند ، اما اگر شبكه به اندازه كافي كوچك باشد ، آنها ميتوانند مستقيما با هم حرف بزنند . اين نوع شبكه در دفاتر كوچك ، خانه ها و جاهايي كه كابل كشي مشكل است بسرعت در حال گسترش است .
نوع سوم ارتباطات بيسيم ، سيستمهاي WAN بيسيم است . شبكه راديويي بكار رفته در سيستمهاي تلفن همراه از اين نوع است . اين سيستمها اكنون نسل سوم خود را پشت سر ميگذارند . نسل اول آنالوگ بود وفقط براي صدا از آن استفاده ميشد . نسل دوم با اينكه ديجيتال شده بود ، ولي باز هم فقط از صدا پشتيباني ميكرد . نسل سوم نيز ديجيتال است ، و اينك همزمان از صدا و ديتا پشتيباني ميكند . WAN هاي بيسيم اساسا تفاوتي با LAN بيسيم ندارند و فقط برد آنها بيشتر و البته نرخ انتقال داده ها كمتر است .
شبكه شبكه ها –
شبكه هاي متعددي با نرم افزارها و سخت افزارهاي بسيار مختلف در سراسر دنيا وجود دارد و بسيار پيش مي آيد كه كاربري از يك شبكه بخواهد با كاربران شبكه هاي ديگر ارتباط برقرار كند . براي انجام اين خواسته بايستي شبكه هاي مختلف با وسائلي بنام دروازه به هم متصل شده و داده ها از فرمتي به فرمت ديگر تبديل شود . به مجموعه اي از اين شبكه هاي به هم پيوسته شبكه شبكه ها گفته ميشود .
متداولترين شكل شبكه شبكه ها عبارتست از تعدادي LAN كه با ارتباطات WAN به هم متصل شده اند .
مدلهاي مرجع –
دو تا از مهمترين معماريهاي شبكه ، مدل مرجع OSI و مدل مرجع TCP/IP ميباشد ، كه در اينجا به بررسي مدل OSI مي پردازيم .
مدل مرجع OSI -
اين مدل بر اساس نظرات پيشنهادي سازمان بين المللي استانداردها – بعنوان اولين استاندارد بين المللي شبكه هاي چند لايه – توسعه داده شد . اين مدل در سال 1995 مورد تجديد نظر قرار گرفت . اين مدل كه نام كامل آن مدل مرجع ارتباطات سيستمهاي باز است ، با ارتباطات سيستمهاي باز – سيستمهايي كه قادر به ارتباط با سيستمهاي ديگر هستند – سروكار دارد .
مدل OSI هفت لايه دارد :
1 . لايه فيزيكي – لايه فيزيكي وظيفه انتقال بيت هاي خام را از طريق كانال مخابراتي بر عهده دارد .
2 . لايه پيوند داده – مهمترين وظيفه لايه پيوند داده عبارتست از تبديل خط فيزيكي پر از خطا به يك خط ارتباطي عاري از خطا براي لايه بالاتر ، يعني لايه شبكه .
3 . لايه شبكه – لايه شبكه عملكرد زيرشبكه را كنترل ميكند .
4 . لايه انتقال – اصلي ترين وظيفه لايه انتقال گرفتن داده ها از لايه بالا تر ، تقسيم آن به قطعات كوچكتر ، ارسال آن به لايه شبكه و حصول اطمينان از دريافت صحيح آن در طرف مقابل است .
5 . لايه نشست – لايه نشست اجازه ميدهد تا بين كاربران در ماشينهاي مختلف نشست برقرار شود .
6 . لايه نمايش – برخلاف لايه هاي پايينتر ، كه عمدتا با بيت ها سروكار دارند ، لايه نمايش توجه خود را روي ساختار پيامها ومفهوم آنها متمركز ميكند .
7 . لايه كاربرد – بسياري از پروتكل هاي مورد نياز كاربران در لايه كاربرد قرار دارد ، كه از معروفترين آنها ميتوان به پروتكل HTTP اشاره كرد . وقتي مرورگر وب مي خواهد صفحه اي را بار كند ، نام آن صفحه را با استفاده از پروتكل HTTP به سرويس دهنده وب مي فرستد ؛ سرويس دهنده وب نيز با همين پروتكل صفحه را به مرور گر بر ميگرداند . پروتكل انتقال فايل ( FTP ) ، پروتكل انتقال خبر ( NNTP) و پروتكل هاي پست الكترونيك ( SMTP وPOP ) نيز جزء پروتكلهاي كاربردي هستند .
مفاهيم امنيت شبكه
سايت IRCERTـ امنيت شبكه يا Network Security پردازه اى است كه طى آن يك شبكه در مقابل انواع مختلف تهديدات داخلى وخارجى امن مى شود. مراحل ذيل براى ايجاد امنيت پيشنهاد و تأييد شده اند:
۱ـ شناسايى بخشى كه بايد تحت محافظت قرار گيرد.
۲ـ تصميم گيرى درباره مواردى كه بايد در مقابل آنها از بخش مورد نظر محافظت كرد.
۳ـ تصميم گيرى درباره چگونگى تهديدات
۴ـ پياده سازى امكاناتى كه بتوانند از دارايى هاى شما به شيوه اى محافظت كنند كه از نظر هزينه به صرفه باشد.
۵ـ مرور مجدد و مداوم پردازه و تقويت آن در صورت يافتن نقطه ضعف
مفاهيم امنيت شبكه
براى درك بهتر مباحث مطرح شده در اين بخش ابتدا به طرح بعضى مفاهيم در امنيت شبكه مى پردازيم.
۱ـ منابع شبكه
در يك شبكه مدرن منابع بسيارى جهت محافظت وجود دارند. ليست ذيل مجموعه اى از منابع شبكه را معرفى مى كند كه بايد در مقابل انواع حمله ها مورد حفاظت قرار گيرند.
۱ـ تجهيزات شبكه مانند روترها، سوئيچ ها و فايروالها
۲ـ اطلاعات عمليات شبكه مانند جداول مسير يابى و پيكربندى ليست دسترسى كه بر روى روتر ذخيره شده اند.
۳ـ منابع نامحسوس شبكه مانند عرض باند و سرعت
۴ـ اطلاعات و منابع اطلاعاتى متصل به شبكه مانند پايگاه هاى داده و سرورهاى اطلاعاتى
۵ـ ترمينالهايى كه براى استفاده از منابع مختلف به شبكه متصل مى شوند.
۶ـ اطلاعات در حال تبادل بر روى شبكه در هر لحظه از زمان
۷ـ خصوصى نگهداشتن عمليات كاربران و استفاده آنها از منابع شبكه جهت جلوگيرى از شناسايى كاربران. مجموعه فوق به عنوان دارايى هاى يك شبكه قلمداد مى شود.
۲ـ حمله
حال به تعريف حمله مى پردازيم تا بدانيم كه از شبكه در مقابل چه چيزى بايد محافظت كنيم. حمله تلاشى خطرناك يا غير خطرناك است تا يك منبع قابل دسترسى از طريق شبكه، به گونه اى مورد تغيير يا استفاده قرار گيرد كه مورد نظر نبوده است. براى فهم بهتر بدنيست حملات شبكه را به سه دسته عمومى تقسيم كنيم:
۱ـ دسترسى غير مجاز به منابع و اطلاعات از طريق شبكه
۲ـ دستكارى غير مجاز اطلاعات برروى يك شبكه
۳ـ حملاتى كه منجر به اختلال در ارائه سرويس مى شوند و اصطلاحاً Denial of service نام دارند.
كلمه كليدى در دو دسته اول انجام اعمال به صورت غير مجاز است. تعريف يك عمل مجاز يا غير مجاز به عهده سياست امنيتى شبكه است، اما به عبارت كلى مى توان دسترسى غير مجاز را تلاش يك كاربر جهت ديدن يا تغيير اطلاعاتى كه براى وى در نظر گرفته نشده است، تعريف نمود اطلاعات روى يك شبكه نيز شامل اطلاعات موجود بر روى رايانه هاى متصل به شبكه مانند سرورهاى پايگاه داده و وب، اطلاعات در حال تبادل بر روى شبكه و اطلاعات مختص اجزاى شبكه جهت انجام كارها مانند جداول مسير يابى روتر است. منابع شبكه را نيز مى توان تجهيزات انتهايى مانند روترو و فايروال يا مكانيزم هاى اتصال و ارتباط دانست.
هدف از ايجاد امنيت شبكه، حفاظت از شبكه در مقابل حملات فوق است، لذا مى توان اهداف را نيز در سه دسته ارائه كرد:
۱ـ ثابت كردن محرمانگى داده
۲ـ نگهدارى جامعيت داده
۳ـ نگهدارى در دسترس بودن داده.
۳ـ تحليل خطر
پس از تعيين دارايى هاى شبكه و عوامل تهديدكننده آنها، بايد خطرات مختلف را ارزيابى كرد. در بهترين حالت بايد بتوان از شبكه در مقابل تمامى انواع خطا محافظت كرد، اما امنيت ارزان به دست نمى آيد. بنابراين بايد ارزيابى مناسبى را برروى انواع خطرات انجام داد تا مهمترين آنها را تشخيص دهيم و از طرف ديگر منابعى كه بايد در مقابل اين خطرات محافظت شوند نيز شناسايى شوند. دو فاكتور اصلى در تحليل خطر عبارتند از:
۱ـ احتمال انجام حمله
۲ـ خسارت وارده به شبكه در صورت انجام حمله موفق
۴ـ سياست امنيتى
پس از تحليل خطر بايد سياست امنيتى شبكه را به گونه اى تعريف كرد كه احتمال خطرات و ميزان خسارت را به حداقل برساند. سياست امنيتى بايد عمومى و در حوزه ديد كلى باشد و به جزئيات نپردازد. جزئيات مى توانند طى مدت كوتاهى تغيير پيدا كنند اما اصول كلى امنيت يك شبكه كه سياست هاى آن را تشكيل مى دهند ثابت باقى مى مانند. در واقع سياست امنيتى سه نقش اصلى را به عهده دارد:
۱ـ چه و چرا بايد محافظت شود.
۲ـ چه كسى بايد مسؤوليت حفاظت را به عهده بگيرد.
۳ـ زمينه اى را به وجود آورد كه هرگونه تضاد احتمالى را حل و فصل كند.
سياست هاى امنيتى را مى توان به طور كلى به دو دسته تقسيم كرد:
۱ـ مجاز (Permissive): هرآنچه به طور مشخص ممنوع نشده است، مجاز است.
۲ـ محدود كننده (Restrictive): هرآنچه به طور مشخص مجاز نشده است، ممنوع است.
معمولاً ايده استفاده از سياست هاى امنيتى محدودكننده بهتر و مناسبتر است چون سياست هاى مجاز داراى مشكلات امنيتى هستند و نمى توان تمامى موارد غيرمجاز را برشمرد. المان هاى دخيل در سياست امنيتى در RFC 2196 ليست و ارائه شده اند.
۵ـ طرح امنيت شبكه
با تعريف سياست امنيتى به پياده سازى آن در قالب يك طرح امنيت شبكه مى رسيم. المان هاى تشكيل دهنده يك طرح امنيت شبكه عبارتند از:
۱ـ ويژگى هاى امنيتى هر دستگاه مانند كلمه عبور مديريتى و يا به كارگيرى SSH
۲ـ فايروال ها
۳ـ مجتمع كننده هاى VPN براى دسترسى از دور
۴ـ تشخيص نفوذ
۵ـ سرورهاى امنيتى (Authentication, Authorization and Accounting AAA) و ساير خدمات AAA براى شبكه
۶ـ مكانيزم هاى كنترل دسترسى و محدودكننده دسترسى براى دستگاه هاى مختلف شبكه
۶ـ نواحى امنيتى
تعريف نواحى امنيتى نقش مهمى را در ايجاد يك شبكه امن ايفا مى كند. در واقع يكى از بهترين شيوه هاى دفاع در مقابل حملات شبكه، طراحى امنيت شبكه به صورت منطقه اى و مبتنى بر توپولوژى است و يكى از مهمترين ايده هاى مورد استفاده در شبكه هاى امن مدرن، تعريف نواحى و تفكيك مناطق مختلف شبكه از يكديگر است. تجهيزاتى كه در هر ناحيه قرار مى گيرند نيازهاى متفاوتى دارند و لذا هر ناحيه حفاظت را بسته به نيازهاى امنيتى تجهيزات نصب شده در آن، تأمين مى كند. همچنين منطقه بندى يك شبكه باعث ايجاد ثبات بيشتر در آن شبكه نيز مى شود.
نواحى امنيتى بنابر استراتژى هاى اصلى ذيل تعريف مى شوند.
۱ـ تجهيزات و دستگاه هايى كه بيشترين نياز امنيتى را دارند (شبكه خصوصى) در امن ترين منطقه قرار مى گيرند. معمولاً اجازه دسترسى عمومى يا از شبكه هاى ديگر به اين منطقه داده نمى شود. دسترسى با كمك فايروال و يا ساير امكانات امنيتى مانند دسترسى از دور امن (SRA) كنترل مى شود. كنترل شناسايى و احراز هويت و مجاز يا غير مجاز بودن در اين منطقه به شدت انجام مى شود.
۲ـ سرورهايى كه فقط بايد از سوى كاربران داخلى در دسترس باشند در منطقه اى امن، خصوصى و مجزا قرار مى گيرند. كنترل دسترسى به اين تجهيزات با كمك فايروال انجام مى شود و دسترسى ها كاملاً نظارت و ثبت مى شوند.
۳ـ سرورهايى كه بايد از شبكه عمومى مورد دسترسى قرار گيرند در منطقه اى جدا و بدون امكان دسترسى به مناطق امن تر شبكه قرار مى گيرند. در صورت امكان بهتر است هر يك از اين سرورها را در منطقه اى مجزا قرار داد تا در صورت مورد حمله قرار گرفتن يكى، سايرين مورد تهديد قرار نگيرند. به اين مناطق DMZ يا Demilitarized Zone مى گويند.
۴ـ استفاده از فايروال ها به شكل لايه اى و به كارگيرى فايروال هاى مختلف سبب مى شود تا در صورت وجود يك اشكال امنيتى در يك فايروال، كل شبكه به مخاطره نيفتد و امكان استفاده از Backdoor نيز كم شود.
امنيت شبكه هاي كامپيوتري –
چرا امنيت شبكه مهم است –
مسئله امنيت رايانه اي يك موضوع پيچيده و يك نوع تناقض گويي است بويژه اگر اينترنت را به آن بيفزائيم . از يك سو ميخواهيم به راحتي به اطلاعات دسترسي پيدا كنيم و از طرف ديگر نمي خواهيم هر كسي قادر به اين كار باشد اما با وجود مشكلات بسيار لازم است بهترين راه حل را پيدا كرد .
امنيت شبكه وقتي اهميت پيدا ميكند كه سرقت اطلاعات را با سرقت اشياء مقايسه منيم . در صورتي كه اموال شخصي يا عمومي به سرقت رود مي توان سارق را پيدا كرد و اموال مسروقه را باز پس گرفت ، اما در صورت به سرقت رفتن اطلاعات چه شخصي و چه عمومي حتي با پس گرفتن اطلاعات سرقت شده نميتوان از ضرر گسترش يك كپي و يا بيشتر ، از اين اطلاعات جلوگيري به عمل آورد . مسئله ديگر از بين رفتن اطلاعات ذخيره شده ميباشد .
خطراتي كه يك شبكه كامپيوتري را تهديد ميكند -
ابتدا فهرست عوامل خطر آفرين را مرور ميكنيم تا با عناوين آنها آشنا شويم آنگاه برخي از آنها را مورد بررسي قرار ميدهيم :
• شبكه هاي بدون حفاظ متصل به اينترنت
• سهولت تكثير داده هاي كامپيوتري
• شبكه هاي مميزي نشده
• ويروسها
• حملات مختلف TCP/IP
• كاربران ناآگاه
• رايانه هاي ناامن
• داده هاي ناامن
شبكه هاي بدون حفاظ متصل به اينترنت –
اگر شبكه با يك خط تلفن به اينترنت متصل باشد ، اختيارات زير در دست ميباشد :
بدون ملاحظات امنيتي ارتباط برقرار ميشود و بايد اميدوار بود كه كسي از اين ارتباط خبر ندارد .
تنها بخش محدودي از شبكه با اينترنت مرتبط ميشود .
با اعمال تدابير امنيتي به شبكه ميتوان با اينترنت مرتبط شد .
با كمال تعجب خيلي از شركتها كه با اينترنت مرتبط هستند گزينه هاي يك يا دو ر انتخاب ميكنند و به اين ترتيب شبكه خود را در معرض خطرات جدي قرار ميدهند .
ديواره آتش حفاظي است بين شبكه و اينترنت . ديواره آتش در واقع رايانه ايست كه شبكه داخلي را به اينترنت وصل ميكند و بسته هاي داده اي قبل از ورود به شبكه در آنجا شناسايي ميشوند و اجازه عبور ميگيرند .
كلمه هاي رمز يكي از اين ابزارهاي شناسايي است . مدت زيادي است كه كلمه هاي رمز كاربرد دارند و براي محفوظ نگه داشتن حسابهاي كاربردي استفاده شده اند .
ويروسها –
خطر ديگر براي شبكه ويروسها هستند ، در حقيقت ويروسها براي كامپيوترها هم خطرناكند . ويروس تكه اي از كد كامپيوتري است كه خود را به يك فايل ميرساند و بدون توجه به داده ها و سيستم شروع به تكثير ميكند .
ويروسها انواع مختلف دارند ، معمولترين آنها ويروس بخش راه اندازي است كه به بخش راه اندازي درايو سخت يا ديسكت فلاپي نفوذ ميكند . قبل از ظهور شبكه اين نوع ويروس شايع بود چون ديسكهاي فلاپي وسيله تبادل اطلاعات بودند . ويروس exe كه فايل هاي برنامه اي و ويروس ماكرو كه نرم افزارهاي داراي زبان ماكرو را هدف قرار ميدهند ، هنوز در محيط رايانه اي قابل مشاهده اند .
تاثير ويروسها ممكن است به اندازه يك مزاحمت معمولي ، كوچك باشد ، يا در حد تحريف شدن داده ها متوسط باشد و يا به اندازه منهدم شدن همه داده ها بزرگ باشد . ويروسها ميتوانند به چندين روش وارد سيستم شوند . در گذشته بيشترين روش حمله از طريق فلاپي ديسكها بود و در حال حاضر علاوه بر اين مشكل با دريافت فايل از طريق اينترنت نيز كامپيوترها به ويروس آلوده ميشوند .
هنگاميكه فايل آلوده به ويروس باز ميشود ويروس فعاليت خود را آغاز ميكند . ويروسهاي ماكرو داستان ديگري دارند ، با بار گذاري سند آلوده به اين نوع ويروس، ويروس خود را به فايل اصلي برنامه ميرساند و از آن پس تمام اسناد ايجاد شده آلوده خواهند شد . راه مقابله با ويروسها اولا باز نكردن فايلها و نامه هاي الكترونيكي مشكوك ميباشد ، ثانيا استفاده از بهترين و به روزترين ويروس كش موجود ميباشد .
كاربران ناآگاه -
از لحاظ نرم افزاري ميتوان بهترين زيربناي امنيتي را براي شبكه ايجاد كرد . اما اگر كاربران آگاهانه و يا ناآگاهانه با مدير شبكه همكاري نداشته باشند ، مانند اينست كه هيچ سيستم امنيتي در شبكه وجود ندارد . اگر يك كاربر نام كاربري و كلمه عبور خود را روي تكه كاغذي يادداشت كند و هنگام ترك محل كار خود ، فراموش كند كه آنرا از بين ببرد يا با خود ببرد ، هر كسي كه اين يادداشت را پيدا كند ميتواند به شبكه نفوذ كند ، در واقع اين يكي از ساده ترين مواردي است كه يك كاربر بي اطلاع ميتواند شبكه را در معرض خطر قرار دهد .
داده هاي ناامن -
اگر از داده هاي يك شبكه بطور صحيح و با برنامه ، نسخه هاي پشتيبان تهيه شده باشد و در جاي امني نگهداري شود ، ميتوان در مورد از بين نرفتن اطاعات مطمئن بود . اما يك خطر بزرگ آنها را تهديد ميكند . اگر اين پشتيبانها به درستي حفاظت نشوند هدف بزرگي براي مهاجمان خواهد بود . بنابراين تهيه و نگهداري اطلاعات پشتيبان از روي داده هاي اصلي و مهمتر حفظ و نگهداري آنها نيز به پايداري يك شبكه كمك ميكند .
مواردي براي ايمن سازی شبکه–
در پايان با در نظر گرفتن همه خطرات ذكر شده ، مواردي براي ايمن سازي يك شبكه ذكر ميگردد :
• افزودن بهترين و به روزترين نرم افزار ويروس ياب به كامپيوترهاي شبكه.
• طرح كردن يك خط مشي كلمه عبور و تقويت آن . با استفاده از سيستمهاي مدرن ايستگاه كاري ميتوان مطمئن شد كه كاربران بعد از چند روز كاري كلمه عبور خود را تغيير ميدهند ، كه اين تعداد روز كاري قابل تغيير است .
• نگهداري كلمات عبور به طور محرمانه و اجرا كردن اين قانون در بين كاربران و مسئولين شبكه .
• كلمات عبور بايد فرم واحدي داشته باشند ، رشته هاي الفبايي – رقمي هم با حروف بزرگ و هم با حروف كوچك .
• تهيه نسخه هاي پشتيبان از منابع شبكه و به روز رساني اطلاعات و همچنين نگهداري اين داده هاي پشتيبان در يك جاي امن .
• حصول اطمينان از اين موضوع كه كاربران هنگام ترك محل كار خود در انتهاي روز و يا هر زمان ديگري ارتباط خود را با شبكه قطع كنند و يادداشتي نيز در محل كار خود باقي نگذارند .
ویروسهای کامپیوتری
ويروس های کامپیوتری مانند ويروسهای بیولوژیکی می توانند از کامپیوتری به کامپیوتر دیگر منتقل شوند . یک ویروس بیولوژیکی قطعه ای از DNA با یک غشای محافظ بوده و برخلاف سلول نمی تواند به تنهایی چیزی تولید و يا کاری انجام دهد.بلکه یک ویروس باید DNA خودش را به داخل یک سلول فرستاده و سپس این DNA ویروسی از سوخت و ساز سلول استفاده نموده و خود را تکثیر نماید . گاهی اوقات سلول از بخش های ویروسی انباشته میشود ، به گونه ای که از هم پاشیده شده و ویروس را آزاد می کند . والبته گاهی اوقات نیز ذرات جدی ویروسی در داخل سلول جوانه زده و به این ترتیب سلول نیز زنده میماند . یک ویروس کامپیوتری ممکن است ، هرکدام از ویژگیهای فوق راداشته باشد . ويروس رایانه ای در بار اول بايد توسط یک فایل یا برنامه اجرا گردد و بعد از آن ، خود ویروس میتواند دیگر پرونده ها و برنامه ها را آلوده نماید .
بطور کلی ویروسهای رايانه ای به چهار گروه تقسیم شده و هر ویروس جدیدی نیز که تولید میشود ، جزو یکی از این گروهها قرار می گيرد .
1) File Virus
2)Boot Virus
3) Macro Virus
4) Multi-Partte
FileVirus
اين نوع ويروسها معمولاً به فايلهايExe , Com حمله نموده و يا اينكه خود را جايگزين اين نوع فايلها ميكنند. بعلاوه اين ويروس قابليت آلوده ساختن فايلهاي با پسوندهاي BIN, DRV, SYS OVY, OVL را دارند. اين ويروسها به دو صورت مقيم در حافظه (Resident) و غير مقيم در حافظه هستند . از معروفترين ويروسهاي فايل مقيم درحافظه ميتوان به(TSR) اشاره كرد. بسياري از ويروسهاي غير مقيم درحافظه با اجرا شدن يك فايل آلوده يك يا چند فايل ديگر را آلوده ميكنند.
BootSector Virus
تا اواسط دهه 1990 این ویروس شایعترین نوع ویروس در دنیای سیستم عاملهای Dos بود که از طریق فلاپی منتشر میشد. اين ويروس خود را در اولین سکتور قرار داده و در زمان خواندن و بار کردن برنامه خود را به حافظه منتقل ميكندتا از اين طريق كنترل قسمتهاي اصلي كامپيوتر را بدست آورد. اين ويروس ميتواند خود را از حافظه اصلي به ساير درايوها (فلاپي يا شبكه يا ….) تكثير كند.
MacroVirus
درحال حاضر 80 درصد ویروسها از نوع ویروسهای ماکرو میباشد که علت آن نیز سرعت انتشار بالا این ویروسها و نیز مساله امنیت سیستم عاملهاست. این نوع ویروسها مختص سیستم عامل خاصی نیستند و از طریق پست الکترونيکی یا فلاپی یا انتقال فایل و ... منتقل میشود. ويروس ماكرو با استفاده از زبانهاي برنامه نويسي ماكرو نوشته شده وبه فايلهاي مستند
( Document File) از قبیل (Word,Excel) حمله ميكند. هنگاميكه يك Document يا Template كه شامل ويروس ماكرو است دربرنامه مقصد باز ميشود ، ويروس فعال شده وخود را به مستندات ديگر منتقل ميكند.استفاده پيدرپي از برنامه منجر به گسترش ويروس ميگردد.
Multi-partite
این ویروسها دارای خواص ویروسهای فایل و ویروسهای بوت می باشند.
ComputerWorm
یک Worm یک برنامه رایانه ای بوده که میتواند خود را از یک ماشین به ماشین دیگر کپی نماید . آنها معمولا در شبکه های رایانه ای به دنبال آلوده کردن دیگر رایانه ها هستند . در هنگام استفاده از یک شبکه رایانه ای یک Worm می تواند به آسانی یک کپی کردن منتقل شده و گسترش یابد . برای مثال " کد قرمز " یا red code یک Worm بود که 19 جولای سال 2001 در مدت زمانی حدود 9 ساعت خود را 250 هزاربار تکثیر نموده بود . معمولا یک Worm بدنبال یکی از حفره های امنیتی در یک نرم افزار یا یک سیستم عامل می باشد . برای مثال slammer یک Worm بود که در ژانویه 2003 با استفاده از یک حفره در Microsoft SQL server توانسته بود خودرا پخش نماید .
کد قرمز (Code Red):
یک Worm از زمان رایانه ها و شبکه های رایانه ای برای تکثیر خود استفاده میکند و معمولا تمامی آنها دارای مقاصد یکسانی می باشند . این Worm که در سال 2001 بسیاری از تیترهای خبرگزاری ها را بخود اختصاص داده بود ، به پیش بینی متخصصان باید به کلی شبکه اینترنت را می خواباند . این Worm با افزایش ترافیک شبکه در هنگام تکثیر خود منجر به کندی کار شبکه شده و زودتر از آنجه که متخصصان پیش بینی می کردند اثرات خود را نشان داد.
هرکدام از کپی های کد قرمز در شبکه به دنبال سرورهایی می گشت که سیستم عامل win NT یا win 2000 که بدون سرویس پک میکروسافت بر روی آنها نصب شده باشد . هر زمان که یک سرور ناامن یافت میشد ، کد قرمز خود را درآن کپی می کرد و کپی جدید بدنبال سرورهایی با خصوصیات ذکر شده می گشت که آنها را آلوده کند . بر حسب تعداد سرورهای ناامن این Worm می توانست خود را صدها یا هزاران بار تکثیر نماید .
این Worm برای سه هدف زیر طراحی شده بود :
1 - خود را در 20 روز اول هر ماه تکثیر نماید .
2 - صفحات وب آلوده در سرورها را با صفحه ای دیگر که پیامی با عنوان " هک شده توسط چینی ها " را داشت جایگزین کند .
3 - یک حمله حساب شده به سرور کاخ سفید داشته وسعی کند آنرا ازپای درآورد .
Trojan Horse
اسب تروا يك برنامه حیله گر ميباشد كه به ظاهر وانمود ميكند كه برنامه بيخطري است. اما كارهايي را انجام ميدهد كه كاربر انتظار آنرا ندارد. اسب تروا ويروس نيست چراكه خود را تكثير نميكند. اما بهرحال برنامه مخربي است مثلاً يكي از بدترين نوع اسبهاي تروا برنامه ای است كه ادعا ميكند كه كامپيوتر شما را از ويروسها پاك ميكند در حاليكه خود ، ويروسها را به كامپيوتر شما ميآورد.
امنيت در شبکه هاي NT
» تنظيمات پيش فرض NT
پس از نصب ويندوز NT يكسري تنظيمات پيش فرض انجام مي گيرد كه مي تواند در صورت عدم تغيير مشكل ساز باشند ، زيرا اين تنظيمات پيش فرض در اختيار همه قرار داشته و از آن آگاهي دارند.
• گروهها و كارهايي كه بصورت پيش فرض مي توانند انجام دهند
ServerOperators:Shutdown,reset the system time,perform backups and restores
BackupOperators: Shutdown,perform backups and restores
AccountOperators:Shutdown
PrintOperators:Shutdown
• شاخه ها و دسترسيهاي پيش فرض:
\(root), \SYSTEM32, \WIN32APP
everyone امکان خواندن و اجرا کردن فايلها را دارد.
\SYSTEM32\CONFIG
everyone مي تواند ليست فايلهاي موجود در اين شاخه را ببيند.
\SYSTEM32\DRIVERS, \SYSTEM\REPL
everyone امکان خواندن فايلهاي اين شاخه را دارد.
\SYSTEM32\SPOOL
everyone دسترسي خواندن دارد.
\USERS
Everyone مي تواند ليست فايلهاي موجود در اين شاخه را ببيند.
\USERS\DEFAULT
everyone در اين شاخه داراي دسترسي هاي خواندن،نوشتن و اجرا مي باشد.
• جازه دسترسي به برنامه ها
Disk Administrator
كاربر بايد عضو گروه Administrators باشد.
Event Log
هر كاربري مي تواند Event Viewer را اجرا كند ولي فقط كاربران گروه Administrators مي توانند لوگها را حذف كنند و Security log ها ببينند.
Backup
هر كاربري مي تواند از يك فايل كه به آن دسترسي دارد backup بگيرد
User Manager
كاربران مي توانند گروههاي محلي را ويرايش كنند.
User Manager for Domains
كاربران مي توانند گروههاي محلي را ويرايش كنند اگر به كنسول سرور logon كنند.در غير اينصورت تنها كاربران گروههاي Administrators و Account Operators مي توانند.
Server Manager
فقط كاربران گروههاي Administrators,Domain Admins,Server Operators
• Password هاي پيش فرض در NT
دو كاربر Administrator و Guest بدون كلمه عبور مي باشند.
حذف Guest كار درستي نيست زيرا بعضي از برنامه ها به آن نياز دارند(مثلا دسترسي به Microsoft Internet Studio از طريق remote)
» کلمات عبور
• طريقه دسترسي به فايل Password ها در NT
مسير بانك اطلاعاتي امنيتي NT عبارتست از \\winnt\system32\config\sam. اين مسير به صورت پيش فرض قابل خواندن بوسيله همه مي باشد ولي تا زماني كه بوسيله اجزاي سيستم مورد استفاده قرار مي گيرد قفل شده است.در صورتيكه فايلهاي sam.sav كه قابل خواندن باشند وجود داشته باشد مي توان كلمات عبور را بدست آورد.هنگام نصب ويندوز NT يك كپي از فايل بانك اطلاعاتي password ها در شاخه \\winnt\repair گذاشته مي شود(sam._).البته اين فايل احتمالا فقط حاوي Guest,Administrator خواهد بود و اگر كلمه عبور Administrator بعد از نصب تغيير نكند مي تواند مورد استفاده قرار بگيرد.البته در صورتيكه فايلهاي repair بروز شده باشند امكان بدست آوردن كلمات عبور جديد فراهم خواهد شد.شاخه \\winnt\repair داراي دسترسيهاي Execute,read,delete براي everyone مي باشد.
بطور كلي فايل Password هاي NT در سه محل قرار دارد:
1- %systemroot%system32config
2- %systemroot% repair(در صورتيكه rdisk اجرا شده باشد)
3- در registry از مسيرHKEY_LOCAL_MACHINESAM
چهار روش براي بدست آوردن فايل Password ها وجود دارد:
1- ساده ترين راه بوت كردن سيستم مورد نظر از طريق يك سيستم عامل ديگر مثل NTFSDOS و كپي كردن فايل sam از مسير اصلي آن يعني %systemroot%system32config مي باشد.NTFSDOS از سايت http://www.sysinternals.com/ قابل download كردن مي باشد
2- بدست آوردن فايل از مسير %systemroot%repair
3- استفاده از pwdump كه فايل password را با استفاده از registry مي سازد.
4- گرفتن ترافيك شبكه و بدست آوردن hash ها (Password هاي كد شده( با استفاده از نرم افزارهايي از قبيل l0phtcrack.(اين نرم افزار از مسير http://online.securityfocus.com/tools/1005 قابل download كردن مي باشد)
» رجيستري
رجيستري شامل 4 گروه مهم به نامهاي HKEY_LOCAL_MACHINE,HKEY_CURRENT_USER,
HKEY_USERS,HKEY_CLASSES_ROOT.
اولين و مهمترين مورد ارزشمند براي هكرها HKEY_LOCAL_MACHINE مي باشد.اين زير درخت شامل 5 كليد به صورت زير مي باشد:
- كليدهاي SAM,Security : اين كليدها حاوي اطلاعاتي از قبيل دسترسيهاي كاربران،مشخصات گروهها و كاربران و كلمات عبور مي باشد.دادها بصورت دودويي مي باشند و بطور معمول تنها در صورتي در دسترس مي باشد كه كاربر جزء گروه Administrators باشد.اين اطلاعات را در صورت offline بودن مي توان بدست آورد.
- HARDWARE: شامل اطلاعاتي در خصوص سخت افزارها و داريورهاي آنها مي باشد.
- SYSTEM : اين كليد شامل اجزاي اصلي سيستم عامل از قبيل چه اتفاقاتي در هنگام بالا آمدن سيستم رخ مي دهد؟ چه درايورهايي لود مي شوند؟ چه سرويسهايي در حال كار هستند؟ وغيره.
- SOFTWARE : اين كليد شامل اطلاعاتي در زمينه نرم افزارهايي است كه بر روي سيستم وجود دارند.
دومين كليد مهم HKEY_USERS مي باشد.براي هر كاربر محلي يك زير كليد در آن وجود دارد.اين كاربر مي تواند از طريق local يا remote وصل شده باشد.
HKEY_CLASSES_ROOT,HKEY_CURRENT_USER كپي هايي از دو كليد HKEY_USERS و HKEY_LOCAL_MACHINE دارند.
» تقسيم بندي كلي انواع حمله ها
1- Remote Penetration : برنامه هايي كه از طريق شبكه يا اينترنت دسترسي و كنترل غير مجاز در كامپيوتر مقصد را بدست مي آورند
2- Local Penetration : برنامه هايي كه كنترل غير مجاز كامپيوتري كه در آن اجرا مي شوند را بدست مي آورند.
3- Remote Denial Of Service : برنامه هايي كه از طريق اينترنت يا شبكه ، كامپيوتر را يا يكي از سرويسهاي انرا از كار مي اندازند.(shutdown)
4- Local Denial Of Service : برنامه هايي كه در كامپيوتر مورد نظر اجرا مي شوند و كامپيوتر را يا يكي از سرويسهاي آنرا از كار مي اندازند.(shutdown)
5- Remote Scanners : برنامه هايي كه يك شبكه را بررسي مي كنند تا از كامپيوتر ها و سرويسهاي موجود كه قابل استفاده مي باشند ، مطلع شوند.
6- Vulnerability Scanners : برنامه هايي كه اينترنت را جستجو مي كنند براي يافتن كامپيوتري كه براي يك حمله خاص آسيب پذير باشد.
7- Password Crackers : برنامه هايي كه كلمات عبور را از فايلهاي كد شده كلمات عبور استخراج مي كنند.
8- Sniffers : برنامه هايي كه به ترافيك شبكه گوش مي دهند.اين برنامه ها اغلب داراي توانايي استخراج نام كاربري ،كلمه عبور و اطلاعات مربوط به كارت اعتباري مي باشند.
» DOS
مبناي كار اين حملات بر غير قابل دسترس كردن يك سرويس بوسيله ايجاد اختلال در كارش يا خراب كردن آنها مي باشد.
چند مورد از موارد حمله dos در زير ليست شده است:
1- telnet كردن به پورت 53 ، 135 يا 1031 و سپس تايپ كردن حدود 10 كاراكتر يا بيشتر و فشردن كليد Enter .اين كار ممكن است مشكلاتي را بوجود آورد.اگر DNS(پورت 53) در حال اجرا باشد متوقف مي شود.اگر پورت 135 جواب دهد مصرف cpu تا 100 درصد افزايش مي يابد و از كارايي آن مي كاهد.و اگر پورت 1031 هدف است ، IIS از كار خواهد افتاد.اگر آخرين sp نصب شده باشد اين حمله موفق نخواهد بود.
2- telnet كردن به پورت 80 و تايپ get ../.. ، IIS را خراب خواهد كرد. اگر آخرين sp نصب شده باشد اين حمله موفق نخواهد بود.
3- مانند دو مورد فوق اگر به كامپيوتر مقصد وصل شده و DIR ..\ را برايش بفرستيد، در صورتيكه آخرين sp بر روي آن نصب نشده باشد باعث خرابي آن خواهد شد.به اين حمله حمله samba گفته مي شود.
4- Rollback.exe چكار مي كند؟ در صورتيكه اين فايل اجرا شود ، ممكن است رجيستري را پاك كند.
5- حمله OOB جيست؟(Out Of Band) يك حمله نسبتا ساده و قديمي است كه Message هايي را عمدتا از پورت 139 به سمت سيستم عامل مي فرستد.اين مشكل با sp3 ويندوز nt رفع شده است ولي ظاهرا با كمي شيطنت بر روي كد اين برنامه مي توان خطراتي را بوجود آورد.همچنبن مي توان در اين حمله از پورت 53(dns)نيز استفده نمود و كامپيوتر مقصد را مورد حمله قرار داد.به اين حمله ، حمله winnuke نيز گفته مي شود.اين حمله window 95/nt/3.1 را تحت تاثير قرار مي دهد.كد اين برنامه را مي توان از مسير زير download كرد:
http://www.fandelem.com/security/code/code.html
» Trojan
برنامه هاي Trojan بر روي كامپيوتر اجرا شده و براي بدست آوردن دسترسيهاي نامحدود بكار مي روند.كارهايي كه يك برنامه trojan مي تواند انجام دهد عبارتند از:
1- download كردن،ويرايش كردن و حذف كردن داده ها.كه شامل اطلاعات محرمانه مي شود
2- لوگ كردن تمام كليدهاي فشار داده شده ، كه به منظور بدست آوردن نام كاربري و كلمه عبور بكار مي رود.
3- مونيتور كردن كامپيوتر با برداشتن عكسهايي در فاصله زماني مشخص
4- بدست گرفتن كنترل موس و صفحه كليد كه اجازه انجام تمام كارها را به حمله كننده مي دهد.
5- فرستادن DOS به ديگر كامپيوترهاي شبكه از كامپيوتري كه مورد حمله قرار گرفته است
برنامه trojanhunter از مسير http://www.misec.net/trojanhunter.jsp قابل download كردن مي باشد.اين برنامه داراي يك بانك اطلاعاتي از trojan هاي موجود مي باشد كه اين بانك اطلاعاتي از طريق سايت مربوط به نرم افزار قابل update كردن مي باشد.برنامه با استفاده از اين بانك اطلاعاتي سيستم را براي پيدا نمودن trojan هاي احتمالي ، جستجو مي كند و در صورت وجود آنها را حذف مي كند.