بخشی از پاورپوینت
اسلاید 1 :
مبانی شبکه های بی سیم
فصل ششم: امنیت شبکه های بی سیم
اسلاید 2 :
فهرست مطالب
نگاهی به ابعاد امنیت شبکه های کامپیوتری
مدل امنیت شبکه بر پایه X.805
مدل امنیت شبکه بر پایه RFC 4778
جمع بندی
اسلاید 4 :
امنیت چیست؟
حفاظت از یک سیستم اطلاعاتی خودکار دستیابی به اهداف حفظ یکپارچگی ، در دسترس بودن و محرمانه بودن منابع سیستم اطلاعات (شامل سخت افزار ، نرم افزار ، سیستم عامل ، اطلاعات / داده ها و ارتباطات از راه دور) میباشد
هوشیاری + حفاظت = امنیت
اسلاید 5 :
معماری امنیت چیست؟
معماری امنیت به طور منطقی یک مجموعه پیچیدهای از ویژگیهای مرتبط به امنیت شبکه را به تعدادی مولفه مجزا تقسیم میکند. این تجزیه باعث میشود تا یک روش سیستماتیک برای امنیت انتها به انتها داشته باشیم که بتواند برای طراحی راه حل های امنیتی جدید مورد استفاده قرار گیرد.
معماری امنیت به سه سؤال اصلی پاسخ می دهد:
چه نوع حفاظتی برای مقابله با چه نوع حمله هایی لازم است؟
انواع مختلف تجهیزات شبکه که باید محافظت شوند کدامند؟
انواع مختلف فعالیتهای شبکه که نیاز به حفاظت دارند کدامند؟
اسلاید 6 :
چالش های سر راه تامین امنیت
ساده نیست – به آسانی اشتباه گرفته میشود
باید حملات احتمالی را در نظر گرفته شوند
از رویه های ضد شهودی (غیر قابل تشخیص) استفاده می شود
شامل الگوریتم ها و اطلاعات مخفی است
باید تصمیم بگیرد که مکانیزم در کجای فرایندها اعمال شود
نبرد اطلاعاتی بین مهاجم / مدیر شبکه
منافع آن تا زمانی که با مشکل روبر و نشدیم درک نمیشود
نیاز به نظارت منظم دارد
یک روند است و نه یک رویداد
اغلب فراتر از تصور است
به عنوان مانعی برای استفاده از سیستم می شود
"امنیت غیر قابل استفاده امن نیست"
اسلاید 7 :
National Institute of Standards & Technology (NIST)
Internet Society (ISOC)
International Telecommunication Union Telecommunication Standardization Sector (ITU-T)
International Organization for Standardization (ISO)
RSA Labs (de facto)
سازمان های استاندارد در حوزه امنیت
اسلاید 8 :
سطح بندی ریسک ناشی از حملات امنیتی
می توان برای حملات 3 سطح از نقض امنیت را تعریف کرد
کم (Low)
در حد متوسط (Moderate)
بالا (High)
اسلاید 9 :
تاثیر کم (Low Impact)
انتظار می رود که این حمله تأثیر نامطلوب محدودی روی عملیات سازمانی ، دارایی های سازمانی یا افراد بگذارد.
اثر نامطلوب محدود، به عنوان مثال، از بین رفتن محرمانگی، یکپارچگی یا در دسترس بودن باشد:
1- باعث تخریب در توانایی ها به میزان و مدت زمانی که سازمان قادر به انجام وظایف اصلی خود است، می شود، اما اثر بخشی عملکردها به طور محسوسی کاهش می یابد.
2- منجر به خسارت جزئی به دارایی های سازمانی شود.
3- منجر به خسارت مالی جزئی شود.
4- منجر به آسیب جزئی به افراد شود.
اسلاید 10 :
تاثیر در حد متوسط (Moderate Impact)
انتظار می رود که این خسارت تأثیر مخرب جدی بر عملکردهای سازمانی ، دارایی های سازمانی یا افراد بگذارد.
یک اثر مخرب جدی به عنوان مثال ، از دست رفت اطلاعات میباشد:
1- باعث تخریب قابل توجهی در توانایی مأموریت به میزان و مدت زمانی می شود که سازمان قادر به انجام وظایف اصلی خود است، اما اثر بخشی عملکردها به طور قابل توجهی کاهش می یابد.
2- منجر به خسارت قابل توجهی به دارایی های سازمانی شود.
3- منجر به ضرر مالی قابل توجهی شود.
4- منجر به آسیب قابل توجهی به افراد می شود که منجر به از دست دادن زندگی یا جراحات جدی و تهدید کننده زندگی نمی شود.
اسلاید 11 :
تاثیر در حد بالا (High Impact)
انتظار می رود که این خسارت تأثیر مخرب شدید بر عملکردهای سازمانی ، دارایی های سازمانی یا افراد بگذارد.
یک اثر مخرب شدید یا فاجعه بار به عنوان مثال ، از بین رفتن اطلاعات و تجهیزات
1- باعث تخریب شدید یا از دست دادن توانایی مأموریت به میزان و مدت زمانی شود که سازمان قادر به انجام یک یا چند وظیفه اصلی خود نیست.
2- منجر به خسارت عمده به دارایی های سازمانی شود.
3- منجر به ضرر عمده مالی شود.
4- منجر به صدمه شدید یا فاجعه بار برای افراد شود که منجر به از دست دادن زندگی یا جراحات جدی برای زندگی شود.
اسلاید 12 :
ابعاد امنیت اطلاعات
امنیت رایانه
امنیت میزبان ها و سرورها
امنیت شبکه
امنیت زیرساخت های ارتباطی و انتقال داده ها
امنیت سازمانی
کنترل سیاست های امنیتی ، حسابرسی کاربران ، ارزیابی عملکرد کاربران ، کنترل دسترسی
اسلاید 13 :
ابعاد امنیت شبکه
حمله امنیتی (Security Attack): هر اقدامی که امنیت اطلاعات را به خطر بیندازد.
ساز و کار امنیتی (Security Mechanism): مکانیزمی است که برای شناسایی ، جلوگیری یا بازیابی از حمله امنیتی طراحی شده است.
سرویس امنیتی (Security Service): سرویسی که امنیت سیستم های پردازش داده و انتقال اطلاعات را افزایش می دهد. یک سرویس امنیتی از یک یا چند مکانیزم امنیتی استفاده می کند.
اسلاید 14 :
انواع سرویسهای امنیتی
محرمانگی (Confidentiality) (حریم خصوصی)
احراز هویت (Authentication) (چه کسی داده ها را ایجاد یا ارسال کرده است)
یکپارچگی و اصالت(Integrity ) (تغییری نکرده است)
عدم انکار (Non-repudiation) (سفارش نهایی است)
کنترل دسترسی (Access control) (جلوگیری از سو استفاده از منابع)
مجوز
در دسترس بودن (Availability) (ماندگاری ، پاک نشدن)
حمله های خارج نمودن از سرویس (Denial of Service Attacks)
ویروسی که پرونده ها را پاک می کند (Virus that deletes files)
اسلاید 15 :
سرویس امنیتی (Security Service)
امنیت سیستم های پردازش داده و انتقال اطلاعات یک سازمان را افزایش دهد
برای مقابله با حملات امنیتی، در نظر گرفته شده
با استفاده از یک یا چند مکانیزم امنیتی میباشد
اغلب عملکردهایی را که با اسناد فیزیکی مرتبط هستند، تکرار می کند
به عنوان مثال، امضا، تاریخ دارند.
به محافظت در برابر افشای اطلاعات، دستکاری یا تخریب نیاز دارد.
اسلاید 16 :
Security Services
X.800:
“a service provided by a protocol layer of communicating open systems, which ensures adequate security of the systems or of data transfers”
لایه پروتکل ارتباطی سیستم های باز ، که امنیت کافی سیستم ها یا انتقال داده ها را تضمین می کند
RFC 2828:
“a processing or communication service provided by a system to give a specific kind of protection to system resources”
یک سرویس پردازش یا ارتباطات،برای حفاظت از نوع خاصی از منابع سیستم"
اسلاید 17 :
Security Services (X.800)
احراز هویت (Authentication) - اطمینان از اینکه نهاد ارتباطی همان چیزی است که ادعا می شود
احراز هویت فرد و هویت داده ها
کنترل دسترسی (Access Control ) - جلوگیری از استفاده غیر مجاز از یک منبع
محرمانه بودن داده ها (Data Confidentiality ) - حفاظت از داده ها از افشای غیر مجاز
یکپارچگی داده ها (Data Integrity ) - اطمینان از این که داده های دریافت شده توسط نهادی مجاز ارسال می شود
عدم انکار (Non-Repudiation) - محافظت در برابر انکار توسط یکی از طرفین در یک ارتباط
در دسترس بودن (Availability) - منابع قابل دسترسی / قابل استفاده
Authentication - assurance that communicating entity is the one claimed
have both peer-entity & data origin authentication
Access Control - prevention of the unauthorized use of a resource
Data Confidentiality –protection of data from unauthorized disclosure
Data Integrity - assurance that data received is as sent by an authorized entity
Non-Repudiation - protection against denial by one of the parties in a communication
Availability – resource accessible/usable
اسلاید 18 :
انواع حملات فعال و غیرفعال
حملات فعال
یک حمله فعال (Active) به حملهای گفته میشود که ممکن است، موجب آسیب جدی به منابع فردی یا سازمان شود. زیرا تلاش میکند تا منابع یا چگونگی کار کردن آن را، تغییر دهد. مثال خوبی که برای این نوع حمله میتوان داشت حمله با استفاده از ویروس یا نرم افزارهای مخرب است.
حملات غیرفعال
یک حمله غیرفعال (passive) حملهای است که در آن، به اطلاعات فرد یا سازمان دست مییابند ولی اثری از خود به جا نمیگذارند. مثال روشن آن استراق سمع کردن است
اسلاید 19 :
روشهای انجام حملات
وقفه
شنود
تغییر
جعل
اسلاید 20 :
Passive Attack - Interception
شنود
