آشنایی با امن‌سازی شبکه‌های سازمانی

صفحه 1:
آشنايبى با امنسازى شبكههاى سازمانى ارائه دهنده ار 

صفحه 2:
سرویسهای اساسی ۳ دیواره آتش (۳:۲۵۱۷۵11) سر ‎aDs/IPs)‏ 3 ضد ویروس مانيتورهاى [1.06 سيستمهاى طريب 

صفحه 3:
‎ae ed‏ اساسی 0 ‏روش هاي رمزنكاري شبكه اختصاصي مجازي ‎(VPN)‏ ‎ord oe sy‏ يول ‎۷ 

صفحه 4:
روش هاي رمزنگاري رمرنگاری عبارتست از تبدیل داده ها به ظاهمری که نهایتا بدون داشتن یک کلید مخصوص قررائت آن غیس ممکن باشد.هدف آن حفظ حرریم خصوصی است ‎Pes epee wed PERE CHrni eB as tooe a ese can ied‏ ‎ere‏ 

صفحه 5:
0 OWT T tener PALO Coan 0 oa EC] pe ee eer on CLE Oe SES PTB BP yarn 1,68960 ‏نوع شبکه ها بجای استفاده از خطوط واقعی نظیر خطوط‎ 1۳ ‏ا‎ tras ee i 5 ‏اسان‎ و 

صفحه 6:
۳ (PKI) ADIN ‏ا ا ا‎ od GI ‏که عملاب !ویک یک منلمنی تمحتولیدیجیتا لو و فرلین د هاوتجارت‎ ‏اللكترونيكو همجنيزيونده ها و لسناد اكت رونيكومورد لستفاده قرار مى‎ ‏كرفتظهور كرد.ليزسيستمبه باز ركاناناجازم مودهد از سرعتلينترنت‎ ‏استفادم كردم تا اطلهاتفهم تجار وآناناز ريهكيري د<للتو دسترسوغيس‎ ere LEB ES BIC pS a gC Sent en NBS) ۱ et eras yarn SY eer eno ayersel eee] yen} ‏کنند.لین‌کار از طریق ی ککجنتک لید رمز عموموو اختصاصیکه از یک‎ Se ees SS ee seen eer Es EST CRN ey oer) 6 

صفحه 7:
امضاء ديجيتالى FOSS ‏ا‎ CP SY erie ee Te ‏عمومی فعال گردید و این امکان را به مدع می دهد که اسناد و معاملات‎ ‏را طوری امضا کنند که گیر‌نده بتواند هویت فرستنده را تأیید‎ ROB Ee Leper sete eae Cie ISON Aan errr er etcy ‎ee)‏ ل ‎peed ©) soa Vibes‏ ل 

صفحه 8:
Firewalls 

صفحه 9:
تعریف نقش فايروال ا 2 ‎e‏ ۳۹ " معماري فایروال ۱ معرفي جند محصول 

صفحه 10:
wat reso ere ‏الك‎ " معماري فایروال ‎Firewalk —‏ معرفي جند محصول 

صفحه 11:
تعریف ۳1۲6۱۷۵11 مجوعاى از سيستم يا سيستم هاسنت كه سياست كنترل دسترسي را بين شبكه ها اعمال مي ‎rib Ss‏ ل ال ال ”| قرار مى كيرد و ضمن نظارت بر دسترسی هاء در تمام سطوح ورود. و خروج اطلاعات را تحت نظر دارد. SSR PCM KO) | CORRE, Loe Role eI ree ‏هاى 102 و 12 قبل از ورود به شبکه ابتدا وارد دیوارآتش می شوند و‎ ‏منتظر مى مانند تا طبق معيارهاى حفاظتى و امنيتى يردازش شوند.‎ 

صفحه 12:
تعریف " نقش فایروال ا ۱9 الك " معماري فایروال ‎Firewalk —‏ معرفي جند محصول 

صفحه 13:
نقش فایروال ۱ Permitting traffic — Logging traffic — Content Filtering — 2/۱۳9 NAT 

صفحه 14:
اك چا( ا " معماري فایروال ‎Firewalk —‏ معرفي جند محصول 

صفحه 15:
‎Be)‏ له ‏" در محل اتصال شبکه داخلي سازمان به اینترنت قرار مي کبرد. ‏ترافیک گذرنده از داخل به خارج و بر عکس. باید از داخل فايروال عبور كند. ‏تنها اطلاعات و اشخاص مجاز با توجه به سياستهاي شبکه محليء مي توانند از فايروال عبور كنند. ‏ا د ‎ 

صفحه 16:
Slax clad irs که و ‎Ay‏ 1 " کنترل سرویس | ”اعمال كنترل بر ]ادر 112 و ورت ۱0 ا ا ل ا ا لوك ار BS Se PES eC ee ore Rca er een on ‏کنترل رفتاري‎ " ا ا 0 

صفحه 17:
" تعریف نقش فايروال ا 2 انوع فایروالها ‎aoe‏ فايروال ‎Firewalk —‏ ‎aoe‏ سس 

صفحه 18:
ره Packet Filter ~ Stateful packet inspection firewalls — Application filter — Circuit-Level — 

صفحه 19:
ره Packet Filter ~ Stateful packet inspection firewalls — Application filter — Circuit-Level — 

صفحه 20:
Packet Filter Layers HTT| SMT|FTP سطع ذا ا 3 ‎Smoke‏ انك د ‎ ‎ ‎ 

صفحه 21:
Data 9 lestination IP Address ource IP Address eader Checksum nsport Protocol (e.g., TCP ADE ragment Offset Flags cket Identification ize of Datagram ipe of Service (not used) Header Length Version (4) 80 96 128 160 64 32 48 16 An IP (V4) Packet 

صفحه 22:
Packet filter The firewall examines each packet based on the following criteria: = Source IP address = Destination IP address = Protocol (whether the packet is a TCP, UDP, or ICMP packet) = TCP/UDP source port = TCP/UDP destination port = ICMP message type = Packet size 

صفحه 23:
A Simple Packet Filter ‎bedtenallaiidnedpacket) {‏ لالد ‎PAU‏ ‏و م ری رف هفرس 00 ‎ely ‏كلد‎ eae NOS a Morris’ ute 150.209 ‎mi ‎0 ibaa 0 ete Sree source, 5 ‏اا د ل‎ + return false; // Cheaton Hall else ‏ناتسا صتتانا16‎ ‎ 

صفحه 24:
ره Packet Filter ~ Stateful packet inspection firewalls ~ Application filter — Circuit-Level ‏ا‎ 

صفحه 25:
Stateful packet inspection - Pros > Offers improved security over basic packet filters due to packet ص٩10‎ متعوط 0121 911165 1ن 1110 00 01 6ق ‎packet filters.‏ 2 ۳/۰۱۹ 

صفحه 26:
Stateful packet » Allow a direct connection between endpoints through the firewall. ۶ ۱۱ ۱۱۱۱۱ ‏هر ری‎ he} 001 < 561120 1127 519161111 2301581 272 000 is more complicated. * Only supported protocols at the dapplicdnonlayer > No user aubienvicalion), 

صفحه 27:
ره Packet Filter ~ Stateful packet inspection firewalls — Application filter ~ Circuit-Level — 

صفحه 28:
Outside host Inside host ure 

صفحه 29:
Application Filter » Analyze communication at application layer » All communication must go through a prom, that knows) dloub djplicduion » Able to detect application-level attacks > Poor scalalility, pertormnance » An application proxy is a program running on the firewallthat == ~——~both ends of a network connection. 

صفحه 30:
Application proxies - ۱2 3 » Firewall does not let end points communicate directly with one another. > Has the best content filtering, capability. > Can hide pinvate) systems, > Robust user alithicembicariony هر وا اك تمتوجه منافنا مره ‎packet filtering rules.‏ 

صفحه 31:
Application proxies - —___—Cens—— » Pcvlormance problems; much slower than the other two > Must Haye’ al roxy, 10m every, ‏هروا زو‎ ۱۱ protection fromall 9 Wedlichesses, 

صفحه 32:
ره ~ Packet Filter - Stateful packet inspection firewalls - Application filter یت۳۱۱۵۱۱۳۵ ۶ 

صفحه 33:
(c) Cireuit-level gateway 

صفحه 34:
۹ " نقش فایروال ا ۱9 ۳۹ " معماري فایروال ‎Firewalk —‏ 

صفحه 35:
OSS oe) » Definition - Single-Box Architectures - Screened Host Architectures - Screened Subnet Architectures - Architectures with Multiple Screened Subnets - Variations on Firewall Architectures - Terminal Servers and Modem Pools - Internal Firewalls 

صفحه 36:
تعاریف 6 A computer system attached to a network. lee rh iA A computer system that must be highly secured because it is vulnerable to attack, usually because it is exposed to the Internet and is a main point of contact for users of internal networks. 

صفحه 37:
تعاربف 111111111 A general-purpose computer system that has at least two network interfaces (or homes). - Perimeter network A network added between a protected network and an external network, in order to provide an additional layer of security. 

صفحه 38:
معماري فايروال - Definition - Single-Box Architectures - Screened Host Architectures - Screened Subnet Architectures - Architectures with Multiple Screened Subnets - Variations on Firewall Architectures - Terminal Servers and Modem Pools - Internal Firewalls 

صفحه 39:
Firewalk item Bed Mile} 85.9.76.66 1 Time exceeded orcs PROTECTED WEB SERVER ‏ما‎ 0 0۱۱۰۰۱ el yyy ۷۱۱۱۱3 ‏تست‎ 

صفحه 40:
Firewalk item Bed Mile} 85.9.76.66 PROTECTED 1 8 ۲۱۷۲ تسس TCP Port 1,TTL=4 TCP Port 2,TTL=4 Bion aac wu ner! Time exceeded 

صفحه 41:
ren ae ™ Checkpoint Firewall-1 http://www.chekpoint.com ™ SecureNetPro http://www.mimestar.com = [PTables http://www.netfilter.org/ LW ca sb OK ey a http://coombs.anu.edu.au/~avalon/ip-filter 1 ™ Seattle Labs http://www.sealabs.com = Karlnet Karlbridge http://www.karlnet.com 

صفحه 42:
و 1 سخت افزارى) كه بين شبكه داخلى يكك شركت و شبكه هاى خارجى(خصوصا اينترنت) به منظور تعديل دسترسى به/از شبكه يكك شركت. * محدود کردن دسترسی یک کاربر خاص ‎ere ry ial‏ ات ‏تا ۱ ‎Foleo‏ ‏می‌کند و بسعداز آنتصمیم‌می‌گیرد که لیرد رخولس عبر بسوده یاخیر. تفاوت ۲6۷۵11 و 01061176 ۸6511760: در جهت اعتبارسنجی فایروال فقط سرايند (620615) بسته اطلاعاتى را جكك مى كند ولى 61126 12م 55111560م ‎eee,‏ ال و 

صفحه 43:
une SSL " .551 يا (1,27:67 ۱ ۱ ا ا م ا ا ل ا 51 يبروتكلي است كه يايينتر از لايه كاربرد (لايه *6 از مدل 1002/172) و بالاتر از لايه انتقال (لایه سوم از مدل 10۳/1) قرار مي‌گیرد. * مزیت استفاده از این پرونکل بهره‌گيري از موارد امنيتي تعبیه شده آن براي امن کردن پروتكل‌هاي ‎oe bce Ceres UM UI MDY UVC BS ate ep CEO tones‏ ‎hee SESS CTE Cee eT oRE sl‏ 0 ۱9 ارتباطي غیرامن مثل اینترنت عبور کنند» اعمال مي‌شود و محرمانه ماندن داده‌ها را در طول کانال انتقال تضمین مي‌کند. 

صفحه 44:
اجزاي پروتکل ,551 يريوتكل 551 داراي دو زير يريوتكل تحت عناوين زير ميباشد. ‎SSL Rocord 2101001 -0‏ كه نوع قالببندي دادههاي ارسالي را تعيين ميكند. ‎SSL Handshake Protocol -C‏ كه براساس قالب تعيين شده در يروتكل قبلي» مقدمات ارسال دادهها میان سرویس‌دهنده‌ها و سرويس‌گيرنده‌هاي مبتني بر ا ۳ 

صفحه 45:
الگوريتم‌هاي رمزنگاري پشتيباني شده ‎SSL»‏ eee Lye Ry kee Sts) Be ESS Key Exchange) uS GYske 5 ‏رمزنكاري‎ ‎DES ‘DSA -KEA « 534% (Algorithm RSA Key s MD5« RC2«:RC4: RSA 3DES s Exchange 5۳۸-1 «Skipjack ‏پشتيباني مي‌شود و بسته به اين‌که نر‌افزار هاي سمت‎ ‏سرویس‌دهنده و سرویس‌دهنده نیز از موارد مذکور. پشتيباني‎ ‏نمایید» ارتباطات 951 مي‌نواند براساس هر کدام اين از‎ ‏الگوریتم‌ها صورت پذیرد.‎ 

صفحه 46:
حملات تأثیرگذار بر ,851 ,1 نیز از حملات و نفوذهايمختلفدر ۳ از ‎eee er nae‏ و ‎ee‏ 3 يا تحليلتر لفيك حملات 0121-۳۴5 يا بلووین ‎Certification Injection “= Man in the middle ¢s-) Dua , 

صفحه 47:
چیست ‎Area Network‏ 1.0031 17111131 تكنولوولست كه در سوئيجها و تجهيزاتلاايه © و © ممكنلستديدم ‎AVA DANN fe Oo Es Cems ean‏ 

صفحه 48:
۳-۹ نفوذ Intrusion Detection Systems 

صفحه 49:
نفوذ چیست؟ یک نفوذ به مجموعه ای از فعالیتهایی گفته می شود که مى تواند موارد ذيل را از يك منبع به خطر اندازد: OSC - قابلیت اعتماد - قابليت استفاده و در دسترس بودن 

صفحه 50:
نفوذگر کیست؟ كارمند داخلى و خودى : در واقع شخصى كه با در دست ‎Ki)‏ ا ا ا ا 7 ا ا 505 - اع[ ج833 : شخصىكه با لستفادم از لينكهاىارتباطى از قبیل‌لینترنتبه شبکه داخلی‌سازمان‌نفود می‌کند. ‎oe S 5 PS:‏ قبيل ‎ESD eV EVA ‏ا‎ (exe ‏لس‎ TDN eg ORNS Spe ‏ا ا‎ eI) 

صفحه 51:
ما مج و سيستم تشخيص نفوذ جيست؟ سيستم تشخيص نفوذ يا همان 1105 در واقع سيستمى مى باشد كه قابليت شناسايى حملات را بر روى سيستم هاى کامپیوتری دارا می باشد. 

صفحه 52:
فعالیت های اساسی 1(9] ۱۱ ۱۱۵۰۱۹۱۸۱۱۱۸ ۱۱۵ ‏ی‎ wine جمع آوری اطلاعات از شبکه ۱۰۱۱۱ ¥ تصمیم گیری هر آنچه اتفاق میافتد. : Reporting b a5 4) $ تولید نتيجه و يا در غير اینصورت فعالیت بر روی نتایج ‎Analyzing 4\>‏ 

صفحه 53:
۱۳ ote Ca rea ‏ا‎ ba ۱ ED SSeS Oy TBI IA Toren ‏این نوع شبکه ها بجای استفاده از خطوط واقعی نظیس حخطوط‎ ‏از یک ارتباط مجازی به کمک اینترنت برای ایحاد‎ , 0 ‏شبکه اختصاصی استفاده می کنند.‎ 

صفحه 54:
Bye eae) اغلب كاربران كامييوترء به طور معمول از رمزهاى عبور ساده و آسان استفاده مى كنند. اما دقت داشته باشيد كه اين ‎et ED ero ne‏ ا ل 7ت دنبال خواهد داشت. رمز‌های عبور آسان و معمولی در ظرف جند ثانية ۹ مورد نظر به راحتى در معرض ديد هكرها قرار خواهند گرفت. د ر ادامه تهدیدهای ممکن در ا 00 خواهند شد : 

صفحه 55:
تهدیدهای مرتبط با کلمات عبور : Passive Online Attacks 9 در اين روش هكرها از نرمافزار يا سختافزارهاي جاسوسي يا 5111111 ها استفاده ميكنند. به اين ترتيب كه اين نرم‌افزار يا سخت‌افزار با قرار گرفتن بر روي شبکه اطلاعات در حال انتقال بر روي سيمها را 51111 كرده و براي هكر اررسال ميكنند. 

صفحه 56:
تهدیدهای مرتبط با کلمات عبور ; Active Online Attacks® این روش در واقع حدس زدن رمز کاربران است که روش تجربي و با توجه به فرهنك و ذهنيات فرد است. به طور معمول كاربران از مبتدي تا حرفهاي سعي ميكنند رمزي را براي خود در نظر بگیرند که به راحتي بتوانند آن را در خاطر نگهدارند. که همگي قابل حدس زدن مي‌باشند را به عنوان رمز خود در نظر مي‌گیرند. کاربران زرنگتر از تركيب آنها استفاده ميكنند كه يافتن و حدس زدن آن كمي مشكلتر ا ا ل ل ‎BTS ete nee‏ براي آنها داردء ابتدا اطلاعات يرسنلي افراد را يافته و با آنها به حدسرزني رمز مويردازند. 

صفحه 57:
تهدیدهای مرتبط با کلمات عبور 0۱۱۱۱۰۱۱۵ ۱۵0 در اين روش از ابزارى براي يافتن رمز استفاده ميشود. اين ابزارها معمولا بر دو نوع هستند: ا ا ا ا ا ل ا ال الات كرفتن از ذهن هكرء به يافتن رمز در كلمات لغتنامه مييردازند. ب - ۳0۲66 6ات3 : در اين روش نرم افزار ایتدا تعداد حروف رمز را با كمك هكر يا بدون كمك يافته و با استفاده از حروف و كلمات ييشنهادي هكرء به صورت منظم و يك به يك با جايكذاري آنهاء سعي در يافتن رمز ميكند در اين روش بديهي است كه انتخاب رمز مناسب و قوي مي‌تواند به شکست این نرم‌افزار بیانجامد. 

صفحه 58:
0117 : Electronic Attacks® در اين روش از راههاي غير معمول و غيركامييوتري براي يافتن رمز ديكران استفاده ميشود. برخي از اين روشها عبارتند از: 00 ‏0ك‎ 1 ier y Sitepee] ‏را‎ ج- كاغذ فسفري: با دادن يك كاغذ مخصوص فسفري به كاربر بدون اينكه او ذا ا ل 0 ل ل لك كه تايب ميكندء برجا خواهد ماند. د- مهندسي اجتماعي: هکرها اعتقاد بسياري به اين مهندسي دارند. در اين ‎Ie LENE ED)‏ ا ل ا ا 0 اطلاعات مهمي را به دست مي آورند. 

صفحه 59:
0117 0 1 ‎Orr rer‏ 0 ۱ ا ل 0 ا استفادههاي كاربر از ماوس و كيبورد را ضبط كرده و براي هكر ايميل ميكند. در اين روش حتما ميبايست نرمافزار بر روي کامپیوتر شما نصب شود پس دقت کنید هیچ نر‌افزاري را بدون شناسايي و نوع عملكرد بر روي كامييوتر خود نصب ‎ee‏ 

صفحه 60:
تهدیدهای مرتبط با کلمات عبور 7۵ در اين روش» صفحداي مشابه يكي از سايتهاي معتبر جهان ‎CeA‏ ا ا ل 2 لا ل ع 0 ثبت نام براي شركت كردن در يك قرعهكشي بزرك ميكند و شما نيز بدون توجه» تمام اطلاعات خود را وارد ميكنيد. توجه داشته باشید حتي اگر این کار را انجام مي‌دهید» از رمز ایمیل یا رمزهاي مهم خود در این صفحات استفاده نکنید و به صفحاتي كه از شما اطلاعات ميخواهند به راحتي ياسخ ندهيد. 

صفحه 61:
راهكارهاى امنيتى مرتبط با كلمات عبور | . به هيج وجه از اسامى استفاده نكنيد فرقى نمى كند كه اسم فاميلتان باشدء يا باشكاه فوتبال مورد علاقه تان. بسيارى از برنامه هاى هكرء رمزهای عبور را با کمک فرهنگ لغت هک می کنند. فقط چند ساعت طول خواهد كشيد که با کمک لغات یک فرهنگ لغت. دستیابی به رمز عبور امکان پذیر شود. ©. براى رمز عبور خود حداقل از © حرف استفاده كنيد: براى رمز عبورى كه از <6 حرف تشكيل شده است,؛ حدود 6500000" حالت وجود دارد. اما براى رمز عبورى كه از © حرف سای ره ال ‎Sippy Cy Gls a fling ky ef) gn‏ داردا 

صفحه 62:
راهكارهاى امنيتى مرتبط با كلمات عبور ‎Se SS SSeS Ee)‏ ا ل لت نكنيد! رمزهاى عبورى مانند :]1[ع07587 يا 35014 كار هكرها را براى دستيابى به رمز عبور بسيار آسان مى كندء اين مطلب در تركيب اعداد ‎ioe oe RP One ere‏ 0 ‏“6. براى رمز عبور خودء تركيبى از حروف بزرك و كوجك يا ‎ars)‏ 0 ‎010 ‏ا‎ eee ‏كاربرها بر اين امر اتفاق نظر دارند كه رمز عبورى حداقل يكي از ‏تا ا كت نرمافزارهاي ©1010 8131156 از يافتن رمز عاجز مى شوند. 

صفحه 63:
راهكارهاى امنيتى مرتبط با كلمات عبور ©. رمز عبور خود را تا حد امكان جايى ننويسيد 20 ‏ا ل‎ Cae re ‏امنى مانند كيف تان باشدء از اين كار اجتناب كنيد. عنوان كاغذى كه‎ ‏رمز عبور خود را بر روى أن نوشته ايد» به هيج عنوان زير صفحه‎ ‏كليد يا به مانيتور خود نجسبانيد!‎ ©. رمز عبور خود را همواره تغيير دهيد. هر قدرء مدت زمان استفاده از رمز عبورتان بيشتر باشد» خطر هكف شدن شما بيشتر خواهد بود. اداره فناورى اطلاعات آلمان فدرال» توصيه مى كند كه هر (0© روز يكبار رمز عبور خود را تغيير دهيد. 

صفحه 64:
راهكارهاى امنيتى مرتبط با كلمات عبور ل ا ا ل ‎dae‏ د لت ار ل رس كد تاق مجبور نباشيد هر بار آن را وارد كنيد. 0 ‏ا ل‎ BE Dio) ‏اكر از شما تلفنى يا با ايميل» رمز عبورتان را خواستند» آن‎ ‏را بازكو نكنيد! هكرها معمولاً خود را به عنوان همكارران‎ ‏شرکتهای بزرگ معرفی می کنند.‎ 

صفحه 65:
هفت روش حرفه اى براى ايجاد رمز عبور ).براى ايجاد كلمه عبورء از حروف بزرك و كوجك و به صورت يك در ميان استفاده كنيد. مثال: +61 0122111 2.حروف اول كلمات يك جمله را به عنوان رمز عبور خود انتخاب كنيد. ‎If sentence is longer password would":4ls 525%‏ 677 826 " كه رمز عبور آن به اين صورت تبديل مى شود: " Isilpwbs " 3.عدد یا تاریخی را برای خود در نظر بگیرید و آن را با دکمه ت5۳ تايب كنيد. ور اق می شود: يه 

صفحه 66:
هفت روش حرفه اى براى ايجاد رمز عبور “.لغتى را در نظر بكيريد و سپس حروف سمت راست آن را که بر روی صفحه در ات ا 5.لغت يا تركيبى را براى خود در نظر بكيريد مانند “61 24012601” و بعد آن را بهم بريزيد به اين صورت كه حروف اول آن را با حرف آخرء حرف دوم را با حرف ماقبل آخر و به همين ترتيب بقيه را بنويسيد: ‎24r4eObkot‏ ‎eure ercrN 2]‏ ا ‎Yor‏ ‏کنید و از قاعده خاصی پیروی نمی کنند. مثلاً عبارت 10621 ۲۷6 ‎whtmtwtcabge” “ :4: 254 .+ das with cabbage‏ 7.در رمز عبور از علائم ويزه استفاده كنيد. مثال: “0/01291311:815- 

صفحه 67:
نكات امنيتى مرتبط با مروركرها مرورگرهای وب اولين نقطه ارتباطى كاربران با اينترنت بوده و همين موضوع توجه جدی به آنان را مضاعف می نماید. بدیهی است وجود نقاط آسيب يذير و يا عدم ييكربندى مناسب آنان» كاربران اينترنت را در معرض تهدیدات و حملات گسترده ای قرار خواهد داد . با توجه به توسعه ي روزافزون وب و نیاز به تعاملي شدن هر چه بیشتر سایت هاي وبء استفاده از امكانات نشست ها و كوكيها در زبان 27117 بيشتر مي شود. از آنجايي كه استفاده نامحتاطانه از اين امكانات و ويركّيها مي تواند نقاط نفوذ بسيار مهمي را براي نفوذكران و مهاجمان سايت ها فراهم نمايد. يروتكل ‎MM BE)‏ 5 ا ا ا 0 | مختلف يك سايت وب و يا بين درخواست هاي متوالي» اطلاعات كاربر حفظ نمي شود و يا به عبارتي 111112 آن ها را به ياد نمي آورد. 

صفحه 68:
نكات امنيتى مرتبط با مروركّرها كوكي ها در حقيقت يكي از توسعه هاي يروتكل 1۳ 1 ۲7 به شمار می روند. در استفاده از آن ها نياز به دو سرآيند ‎1G! HTTP‏ ۳ پاسخ 2 ا در خواست 000166 60-۲ a $$$ Pesos Soke HP equ (okie Sever ت0۱[ |[ اه 

صفحه 69:
نكات امنيتى مرتبط با مروركرها با ييكربندى مناسب مروركرها » مى توان يك سطح مناسب امنيتى را ايجاد نمود. كرجه ممكن است به موازات افزايش سطح ايمنى » امكان ات او ‎Gly AMIS Ay‏ ریت اک برس رن ‎SAARI‏ 5 ولى شما در مقابل برخى از حملات محافظت شده و ييشكيرى اوليه را انجام داده ايد . برنامه هاى مروركر » اولين نقطه ارتباطى شما با اینترنت می باشند و ممکن است چندین برنامه دیگر نیز به منظور ارائه خدمات و سرویس ها در ارتباط با آنان باشند و همین موضوع پیکربندی امنیتی مرورگرها را مضاعف می نماید. 

صفحه 70:
نكات امنيتى مرتبط با مروركرها ا ا ‎TCC Wee‏ مرورگرها » خدمات و سرويس هاى خاصى را در اختيار كاربران قرار مى دهند . رويكرد فوق عليرغم وجود برخى نكات مثبت» مى تواند كاربران را مستعد انواع حملات نمايد . مطمئن ترین سیاست امنیتی » غیرفعال نمودن اکثر ویژگی های ارائه شده همراه مرورگرها می باشد . در صورتی که پس از غیرفعال نمودن برخی از ویژگی های مرورگرها در زمان استفاده از یک سایت تائید شده و مطمئن » مشکلات خاصی ایجاد گردد » می توان موقتا" آنان را فعال و يس از اتمام كار و استفاده از سايت مورد نظر » مجددا" 0 

صفحه 71:
نكات امنيتى مرتبط با مروركرها * علیرغم ارائه پتانسیل های مثبت توسط تکنولوژی هائی نظیر اکتیو ایکس و ‎ro) Pen Para Let cory on‏ ۱ يا دور زدن تنظيمات امنيتى سيستم مى باشند . ‎—7Lw ®‏ ا ل ‎gs S59» els‏ سیستم هائی را که از منابع موجود بر روی وب استفاده می نمایند ؛ تحت تاثیر قرار می دهد . ‏۴ تلفیق مرورگر 117 با سیستم عامل باعث شده است که مشکلات "11 به سیستم عامل ویندوز نیز سرایت نموده و بر نحوه عملکرد آن تاثیر منفی داشته باشد , 

صفحه 72:
نكات امنيتى مرتبط با مروركرها 0 انجام عمليات متفاوتى مى باشند : "افشاى كوكى ها #افشای فایل ها و داده های محلی ۱ #دریافت و اجرای هرگونه کد دلخواه #در اختیار گرفتن کنترل کامل سیستم آسیب پذیر و انجام هر گونه عملیات دلخواه 

صفحه 73:
نكات امنيتى مرتبط با مروركرها تنظيمات امنيتى در مروركرها اين مسئله به نوع مروركر وب بستكى داشته و هر يك از آنان امكانات خاصى را در اختيار استفاده كنندكان قرار مى دهند . مثلا" ‎GEE! 5) Ge ols « Internet Explorer S555‏ ‎Internet Options 42 Tools vse‏ | )5143 » ادامه با كليك بر روى 121 5660111117 و نهايتا" دكمه 1.671 011560126 » سطح امنيتى مورد نظر را انتخاب نمود . در لط 0 ا لك 0 ا 6 وكا 95 را انتخاب و با کلیک بر روی © 21178637 ‎٠ 01137‏ سطح امنيتى مورد نظر را تعريف نمود . 

صفحه 74:
نكات امنيتى مرتبط با مروركرها مروركرهاى وب از اصطلاحات متفاوتى در ارتباط با پیکربندی ‎gate st‏ 0 ‎Zones “‏ مرورگرهای وب گزینه های مختلفی را به منظور استقرار وب سايت ها در سكمنت ها و يا نواحى متفاوت ارائه مى نمايند . هر ‎OE‏ ار اس لكر لكر دك ار مروركر :1:30101:©1 112561261 داراى نواحى زير است : 

صفحه 75:
نكات امنيتى مرتبط با مروركرها 9 7 ناحيه فوق يك سكمنت عمومى و براى وب سايت هاى عمومى است .در زمان استفاده از اينتينت » تنظيمات تعریف شده برای اين ناحیه به صورت اتوماتیک در ارتباط ‎Sree rn UCU SQ Frc EE)‏ ا ل 000 10 ‎Vee ee taro ere yee Ur‏ ۱ بایست این ناحیه دارای بالاترین سطح امنیتی و یا حداقل سطح 11601111111 باشد. 

صفحه 76:
نكات امنيتى مرتبط با مروركرها ; Local Intranet? ‏در صورتى كه سازمان شما داراى يك اينترانت است » مى‎ ‏توان از اين ناحيه استفاده نمود . ناحيه فوق شامل تنظيمات‎ Pe CO pe RC Om ‏ا‎ SCO TT به اين که محتویات وب توسط یک سرویس دهنده وب داخلی مدیریت می گردد » می توان محدویت های به مراتب كمترى را در ارتباط با اينكونه از صفحات اعمال نمود . 

صفحه 77:
نكات امنيتى مرتبط با مروركرها ات 1 11 ۰۱ در صورتى كه برخى از سايت ها با رعایت مسائل امنیتی پیاده سازی شده باشند و تهدیدی از جانب آنان متوجه شما نمی باشد ۰ می توان آنان را در ناحيه فوق قرار داد . مثلا" مى توان سايت هائى را كه با استفاده از تكنولوزى .551 يياده سازى شده اند را در اين ناحيه قرار داد » جراكه همواره امكان شناسائى هويت سايت مورد نظر وجود خواهد داشت . سطح امنيتى اين ناحيه » مى بايست بكونه اى تعریف شود که اگر سایت های مستقر در اين ناحیه مورد تهاجم قرار گرفتند » تهدیدی متوجه شما نباشد ( پیشگیری از اختصاص 0 

صفحه 78:
نكات امنيتى مرتبط با مروركرها : Restricted Sites در صورتی که وب سایت های خاصی وجود دارد که نسبت ‎Tee)‏ ا ‎eee ear eer ctr‏ | آنان را در اين ناحیه قرار داد و برای آن بالاترین سطح امنيتى را تعريف نمود . با توجه به اين كه تنظيمات امنيتى براى حفاظت ثما در مقابل اينكونه سايت ها به اندازه كافى مناسب نمى باشند » بهترين كزينه عدم استفاده از سايت هاى غيرايمن است . 

صفحه 79:
نكات امنيتى مرتبط با مروركرها 2 3 ا برخى وب سايت ها از زبان هاى اسكرييت نويسى نظير جاوا اسكرييت ‎Coa e)‏ ا ا اش ل ا ‎PE ON‏ الا هاى فوق ممكن است به منظور انجام حملات متفاوتى استفاده كردد . ” كنترل هاى اكتيوايكس و جاوا از برنامه هاى فوق به منظور اجراى محتويات فعال و ارائه برخى قابليت ها در وب سايت ها استفاده مى كردد . از اين نوع برنامه ها همانند كدهاى جاوااسكرييت» ممكن است به منظور انجام حملات 0 

صفحه 80:
نكات امنيتى مرتبط با مروركرها Plug-ins ” در برخی موارد مرورگرها به منظور ارائه خدمات » نیازمند نصب نرم افزاررهای اضافه ای با نام ۳110-105 می باشند . از اين نوع برنامه ها همانند کدهای جاوااسکریپت » کنترل های اکتیوایکس و جاوا »ء ممكن است به منظور انجام حملات متفاوتى استفاده ككردد. بنابراين لازم است در زمان نصب اينكونه نرم افزارها از صحت عملكرد و ايمن بودن آنان اطمينان حاصل كردد . در صورتى كه برنامه هاى فوق مى بايست از طريق اينترنت دريافت و نصب گردند » بررسی هویت سایت ارانه دهنده » امری ضروری است . 

صفحه 81:
۳ Causa Cashel (ylaitd به طور كلي پست الكترونيكي ناامن است. در این مرحله, بسیارمهم است ‎Is WED ELS‏ ا ا ‎V(-oyeT-v i‏ ا ال باشد در این صورت همه اطلاعات شامل کلمه عبور و نام كاربري به صورت رمز نشده بين سرویس دهنده ۷۷۵101611 و کامپیوتر کاربر ۰۳ ۳ ‏3 511:5 : 51/12 ييام هارا رمز نمي كند (مكر اين كه از سرویس دهندگان درخواست شود تا از ۲15 يشتيبانى كنند.) ارتباطات بين سرویس دهندگان 5[۷1۳ به صورت متن آشکار 6 است که ممکن ‎ete ONE be Se ee DN errr‏ 0 ‎ 

صفحه 82:
۳ Causa Cashel (ylaitd Dt AalS Cus! 583 IMAP 5 POP 4S 3) 56 52 IMAP-POP:® 0 ‏ا ل ا‎ Ce Cn] ‏اعتبارنامه ها و پیام ها ممکن است توسط استراق سمع کنندگان در جریان‎ ‏ارسال اطلاعات بين كامييوتركاربر و كامبيوتر فراهم كننده سرويس يست‎ eee renee "انسخه هاي يشتيبان: ييام ها در سرويس دهند كان 512/172 به صورت متن آشکار و رمز نشده ذخیره مي شوند. بر روي این سرویس دهند گان» نسخه ‎kane Ty‏ ا ‎PSR ee Conn DA prec ener io OO‏ اي توسط مدير قابل خواندن است. ييام هاي الكترونيكي كه ارسال مي شوند ممكن است به صورت ناخواسته يا نامحدود ذخيره شده و يا توسط افراد ناشناس خوانده شوند. 

صفحه 83:
تهديدات امنيتي در ارتباطات يست الكترونيكي در اينجا بسياري از مشكلات امنيتي معمول در رابطه با ارتباطات و يست الكترونيكي اشاره ميشود: لا استراق سمع لا سرقت هويت لا نقض حريم خصوصى دا تغيير و تبديل در ييام ها ۶ ارسل یام هاي جعلي ل تكرار ييام ها ا نسخه هاي يشتيبان محافظت نشده Be) 

صفحه 84:
امن سازي پست الكترونيكي توسط ,991 و 115 اك اك 2 ‎er)‏ ا 0 دارد این است كه از يك سرويس دهنده يست الكترونيكي استفاده شود كه از 551 براي سرويس دهندكان 51/12 و ‎‘Webmail‏ ا 11۷1۸۳ پشتيباني مي کند. ‎is ei Wc)‏ از .551 استكه ميتولند در طييكنشست يستالقترونيكيرلم لندازي‌شود. بر خاهب][95 ۰ 11,5 باید قبل ‎EES PSP Cp pce Wan nv‏ ‎ROD EOD ‏ا ل‎ 

صفحه 85:
نکات امنیتی مربوط با پست الکترونیکی در نهايت جند توصيه را نيز همواره در ايميل مى بايست رعايت نمود: هيجكاه ايميل كسى را كه نميشناسيد اصلا باز نكنيد. مخصوصا ايميلهابى را كه جذاب به نظر ميرسند. جون ممكن است دجار حملات 7255 شويد. ا ا ۱9 نكنيد. جون ممكن است 110[311' روى سيستم شما نصب شده و تمام ۳۱۱۳ Sle UL) 9 Boece) We Cte Te ee Serna) ‏صورتی که مطمئن هستید فرد آشنا و مطمئنی آن را برای شما فرستاده است‎ 00 ‏ا ا ا م‎ ‏شما نصب شود.‎ 

صفحه 86:
نکات امنیتی مربوط با پست الکترونیکی ال پر ار ار و از 1 ۱ ۳1510 کاربران سازمانی را تهدید به سرقت رمزهای عبور آنها می کند تا بتوانند به شبکه های سازمانی دسترسی یابند؛ سایر حملات؛ سرور ميل را مستقيماً هدف قرار مى دهند و تلاش خود را بر دستيابى به نام های کاربری یا آدرس های ایمیل معتبر يا دسترسی به سرور میل متمرکز می نمایند. این امکان وجود دارد که سازمان ها از جانب اشخاص حقيقى كه ايميل هاى مهاجم را از سوى كاربران شركت دريافت می کنند یا حتی از جانب کارمندان خودشان که محتویات مهاجم را از دا ۱ 

صفحه 87:
نکات امنیتی مربوط با پست الکترونیکی شرکت ها همچنین با تهدید سرقت اسرار سازمانی یا دارایی های فكرى- معنوى از طريق ايميل مواجه مى باشند. ابزارهاى امنيت ايميل ‎IronPort C-Series «‘Mirapoint Message «J: 5!‏ ‎nS Bee Merete ee estes] oy mio) AY EOL =9 8 (ots)‏ اسيم ها موجب صرفه جويى در وقت كاربران شوندء بلكه مى توانند همه مسایل امنیتی دیگر را نیز مدنظر قرار دهند. این ابزارها در نسخه های متعدد قابل دستیابی هستند و برای سازمان های متوسط تا بزرگ با ۵۰۰ تا ۵۰۰۰ کاربر طراحی شده اند. 

صفحه 88:


آشنایی با امن‌سازی شبکه‌های سازمانی ارائه دهنده بهادر نظری فرد سرويسهاي اساسي حفاظت از شبكة خودي ديواره آتش()Firewall سيستم هاي تشخيص و مقابله با نفوذ ()IDS/IPS ضد ويروس مانيتورهای Log سيستمهای فريب ... سرويسهاي اساسي ارتباط امن بين‌شبكه‌اي روش هاي رمزنگاري شبكه اختصاصي مجازي ()VPN زير ساخت كليد عمومي ()PKI امضاء ديجيتالي ... روش هاي رمزنگاري رمزنگاري عبارتست از تبديل داده ها به ظاهري که نهايتا بدون داشتن يک کليد مخصوص قرائت آن غير ممکن باشد.هدف آن حفظ حريم خصوصي است با پنهان نگاه داشتن اطالعات از افرادي که نبايد به آنها دسترسي داشته باشند. شبكه اختصاصي مجازي ()VPN یک ، VPNشبکه ای اختصEاصی بوده کEه از اینترنEت برای ارتباط بEا سEایت های از راه دور و ارتباط کاربران بEا یکدیگEر اسEتفاده مEی نماید .این نوع شبکه هEا بجای اسEتفاده از خطوط واقعEی نظیر خطوط Leased ،از یک ارتباط مجازی بEEه کمEEک اینترنEEت برای ایجاد شبکه اختصEEاصی اسEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEتفاده مEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEی کنند. زير ساخت كليد عمومي ()PKI ) Public Key Infrastructure) PKIب EEه عEنواEناEسEتانداردEي کEEEEEه عمالب EEراEييEEکيک EEردEناEمEنيEEEتمEحتواEيدEيEجيتاEEEل EEيو فEEراEيEنEEEد هايتEEجارEت اEEEلکتروEنEيEکو هEمچنيEنپ EEروEنده Eها و اEسEناد اEEEلکتروEنEيکيمورد اEسEتفEادEه EقEرار مEEي گ EEرفتظEهEور ک EEرد.اEيEنسEEيستم ب EEه ب EEازرEگاناناEجازEه EمEيدEهEد از سEEرعتاEيEنترنEت اEسEتفEادEه Eک EEردEه EتEEEا اEطEالعاتمEهEم تEEجارEيآناناز رEهگيري ،دEخاEEEلتو دEسEترسEيغEير مEجاز در اEمانبEEماند.يEEک PKIک EEارEبراEنرا قEادر مEيسEEازد از يEEکشEEبکه عEمومEي عاتEسEEتفEادEهE ‏EالتEطEال ا نEEااEمEEنمانEنEد اEيEنترنEEتبEEEه صEEEورEتEياEمEEنو خصEوصEيب EEراEيتEEباد ا کEEنند.اEيEEنک EEار از طEريEEقيEEEکجفEتکEEليEد رEمEز عEمومEEيو اEخEتصEاصEيکEEEه از يEEEک مEنبEEع مEسEؤلو مورد اEعتماد صEEEادر شEEده Eو بEEEEه اEشEتراEکگ EEذاردEه EمEEيشEEود اEنEجام گEEيرد . امضاء ديجيتالي امضاء هاي ديجيتالEي ،فEن آوري ديگري اسEت کEه توسEط رمزنگاري کليEد عمومEي فعال گرديEد و ايEن امکان را بEه مردم مEي دهEد کEه اسEناد و معامالت را طوري امضEEEا کننEEEد کEEEه گيرنده بتوانEEEد هويEEEت فرسEEEتنده را تأييEEEد کند.امضاء ديجيتالEي شامEل يEک اثEر انگشEت رياضEي منحصEر بEه فرد از پيام فعلي است که به آن One-Way-Hashنيز گفته مي شود. Firewalls فهرست مطالب تعريف نقش فايروال ويژگيهاي فايروال انواع فايروالها معماري فايروال ‏Firewalk  معرفي چند محصول فهرست مطالب تعريف نقش فايروال ويژگيهاي فايروال انواع فايروالها معماري فايروال ‏Firewalk  معرفي چند محصول تعريف FireWall مجوعاي از سيستم يا سيستم هاست که سياست کنترل دسترسي را بين شبکه ها اعمال مي کند. دیوارآتش سیستمی است که در بین کاربران یک شبکه محلی و شبکه بیرونی قرار می گیرد و ضمن نظارت بر دسترسی ها ،در تمام سطوح ورود و خروج اطالعات را تحت نظر دارد. ‏ عموماً براي محافظت از شبکه هاي مبتني بر TCP/IPبکار مي رود .بسته های TCPو IPقبل از ورود به شبکه ابتدا وارد دیوارآتش می شوند و منتظر می مانند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند. فهرست مطالب تعريف نقش فايروال ويژگيهاي فايروال انواع فايروالها معماري فايروال ‏Firewalk  معرفي چند محصول نقش فايروال Blocking traffic  Permitting traffic  Logging traffic  Content Filtering  VPN  NAT  فهرست مطالب تعريف نقش فايروال ويژگيهاي فايروال انواع فايروالها معماري فايروال ‏Firewalk  معرفي چند محصول ويژگيهاي فايروال در محل اتصال شبکه داخلي سازمان به اينترنت قرار مي گيرد. ترافيک گذرنده از داخل به خارج و بر عکس ،بايد از داخل فايروال عبور کند. تنها اطالعات و اشخاص مجاز ،با توجه به سياستهاي شبکه محلي ،مي توانند از فايروال عبور کنند. فايروال خود نسبت به نفوذ ايمن مي باشد. ويژگيهاي فايروال مکانيسمهاي کنترلي ‏ کنترل سرويس ‏ ‏ ‏ ‏ کنترل جهت دار ‏ ‏ سرويسهاي اينترنتي قابل دسترسي اعمال کنترل بر آدرس IPو پورت TCP استفاده از Proxyبراي سرويسهاي استاندارد (FTP، Telnetو ).. اينکه يک سرويس از کدام سمت مي تواند راه اندازي و پاسخ داده شود. کنترل رفتاري ‏ کنترل نحوه استفاده از سرويسها فهرست مطالب تعريف نقش فايروال ويژگيهاي فايروال انواع فايروالها معماري فايروال ‏Firewalk  معرفي چند محصول انواع فايروالها Packet Filter  Stateful packet inspection firewalls  Application filter  Circuit-Level  انواع فايروالها Packet Filter  Stateful packet inspection firewalls  Application filter  Circuit-Level  Packet Filter Layers Application Presentatio n Session Transport ... RealPlaye r UDP Physical SMT FTP P TCP IP Network Data Link HTT P Other Smoke Signals CDMA FDDI Ethernet An IP (V4) Packet 128 160 96 80 64 48 32 16 0 Data Options Destination IP Address Source IP Address Header Checksum Transport Protocol (e.g., TCP TTL Fragment Offset Flags Packet Identification Size of Datagram Type of Service (not used) IP Header Length IP Version (4) Packet filter The firewall examines each packet based on the following criteria:        Source IP address Destination IP address Protocol (whether the packet is a TCP, UDP, or ICMP packet) TCP/UDP source port TCP/UDP destination port ICMP message type Packet size A Simple Packet Filter boolean allow (packet) { boolean allow (packet) { if (match (packet.source, if (match (packet.source, “18.26.4.*”)) “18.26.4.*”)) return false; //return No packets from Robert Morris’ machines. false; else (match (packet.source, // ifNo packets from Robert Morris’ “149.150.209.*”)) machines. return false; // Cheaton Hall else if (match (packet.source, else return true;“149.150.209.*”)) } return false; // Cheaton Hall else return true; انواع فايروالها Packet Filter  Stateful packet inspection firewalls  Application filter  Circuit-Level  Stateful packet inspection - Pros Offers improved security over basic packet filters due to packet examination.  Better logging of activities over basic packet filters.  Good performance.  Stateful packet inspection - Cons  Allow a direct connection between endpoints through the firewall.  No hiding of your private systems.  Setting up stateful packet examination rules is more complicated.  Only supported protocols at the application layer.  No user authentication. انواع فايروالها Packet Filter  Stateful packet inspection firewalls  Application filter  Circuit-Level  Application Filter Application Filter Analyze communication at application layer  All communication must go through a proxy that knows about application  Able to detect application-level attacks  Poor scalability, performance   An application proxy is a program running on the firewall that emulates both ends of a network connection. Application proxies Pros Firewall does not let end points communicate directly with one another.  Has the best content filtering capability.  Can hide private systems.  Robust user authentication.  Offers the best logging of activities.  Policy rules are usually easier than packet filtering rules.  Application proxies Cons Performance problems; much slower than the other two  Must have a proxy for every protocol.  No protection from all protocol weaknesses.  انواع فايروالها Packet Filter  Stateful packet inspection firewalls  Application filter  Circuit-Level  Circuit-Level Gateway فهرست مطالب تعريف نقش فايروال ويژگيهاي فايروال انواع فايروالها معماري فايروال ‏Firewalk  معرفي چند محصول معماري فايروال Definition  Single-Box Architectures  Screened Host Architectures  Screened Subnet Architectures  Architectures with Multiple Screened Subnets  Variations on Firewall Architectures  Terminal Servers and Modem Pools  Internal Firewalls  تعاريف Host A computer system attached to a network.  Bastion host  A computer system that must be highly secured because it is vulnerable to attack, usually because it is exposed to the Internet and is a main point of contact for users of internal networks. تعاريف Dual-homed host A general-purpose computer system that has at least two network interfaces (or homes).  Perimeter network A network added between a protected network and an external network, in order to provide an additional layer of security.  معماري فايروال Definition  Single-Box Architectures  Screened Host Architectures  Screened Subnet Architectures  Architectures with Multiple Screened Subnets  Variations on Firewall Architectures  Terminal Servers and Modem Pools  Internal Firewalls  Firewalk 85.9.76.65 85.9.76.66 ATTACKER Packet Filter Firewall Router TTL=1 Time exceeded Router TTL=2 Time exceeded TTL=3 Time exceeded PROTECTED WEB SERVER Firewalk 85.9.76.65 85.9.76.66 ATTACKER Packet Filter Firewall Router Router TCP Port 1,TTL=4 TCP Port 2,TTL=4 TCP Port 3,TTL=4 Time exceeded PROTECTED WEB SERVER معرفي چند محصول       Checkpoint Firewall-1 http://www.chekpoint.com SecureNetPro http://www.mimestar.com IPTables http://www.netfilter.org/ IP Filter http://coombs.anu.edu.au/~avalon/ip-filter .html Seattle Labs http://www.sealabs.com Karlnet Karlbridge http://www.karlnet.com  حفاظ( :)Firewallروش دیگری برای تأمی ن امنی ت س ازمان ه ا ،ابزاری(نرم یا ت و شبک ه های خارجی(خصوصا سخت افزاری) که بین شبکه داخلی یک شرک شرکت اینترنت) به منظور تعدیل دسترسی به/از شبکه یک شرکت. ‏ ‏ ‏ ‏ محدود کردن دسترسی یک کاربر خاص ارایه سطوح مختلف دسترسی به کاربران مختلف :Assured pipelineی کد ستگاه ام نیتیک ه همه درخواستهایداد ه را ام تحان درخواست عتبر ب ود ه ی ا خ یر. م م یک ند و ب عد از آنت صمیمم یگ یرد ک ه این تفاوت firewallو :Assured pipelineدر جهت اعتبارسنجی ،فایروال فقط سرایند ( )headerبسته اطالعاتی را چک می کند ولی Assured pipeline همه درخواست را بررسی می کند.  SSLچیست؟ ‏ ‏ ‏ SSLيا ( )Secure Socket Layerراه‌حلي جهت برقراري ارتباطات ايمن ميان يك سرويس‌دهنده و يك سرويس‌گيرنده است كه توسط شركت Netscapeارايه شده است .در واقع SSLپروتكلي است كه پايين‌تر از اليه كاربرد (اليه 4از مدل )TCP/IPو باالتر از اليه انتقال (اليه سوم از مدل )TCP/IPقرار مي‌گيرد. مزيت استفاده از اين پروتكل بهره‌گيري از موارد امنيتي تعبيه شده آن براي امن كردن پروتكل‌هاي غيرامن اليه كاربردي نظير HTTP ،LDAP ،IMAPو ...مي‌باشد كه براساس آن الگوريتم‌هاي رمزنگاري بر روي داده‌هاي خام ( )plain textكه قرار است از يك كانال ارتباطي غيرامن مثل اينترنت عبور كنند ،اعمال مي‌شود و محرمانه ماندن داده‌ها را در طول كانال انتقال تضمين مي‌كند. اجزاي پروتكل SSL پر=وتكل SSLدار=اي دو زير= پر=وتكل تحت عناوين زير مي‌باشد. SSLكه نوع قالب‌بندي ‌SSL Rocord Protocol -1 داده‌هاي ارسالي را تعيين مي‌كند. SSL Handshake Protocol -2كه براساس قالب تعيين شده در= پر=وتكل قبلي ،مقدمات ارسال داده‌ها ميان سرويس‌دهنده‌ها و سرويس‌گيرنده‌هاي مبتني بر SSLر=ا تهيه مي‌كند. الگوريتم‌هاي رمزنگاري پشتيباني شده درSSL در= استاندارد ، SSLاز اغلب الگورتيم‌هاي عمومي رمز=نگاري و مبادالت كليد (Key Exchange )Algorithmنظير DES ،DSA ،KEA ، MD5، RC2،RC4، RSAو RSA Key Exchange ،SHA-1 ،Skipjackو 3DES پشتيباني مي‌شود و بسته به اين‌كه نر=م‌افزارهاي سمت سرويس‌دهنده و سرويس‌دهنده نيز از موارد مذكور= پشتيباني نماييد ،ارتباطات SSLمي‌تواند بر=اساس هر كدام اين از الگوريتم‌ها صورت‌پذيرد. حمالت تأثیرگذار بر SSL =يست ب===عضي SSLن==يز از حمال‌ت و ن==فوذهايمختلفدر= ا=مانن= . ‌ش==ود عبارتنداز از حمال‌ت متداوليك=ه= ب===ر=ا=ينپ===ر=وتكلوا=قع= مي : Traffic Analysisيا ت===حليلت===را=فيك، حمال‌ت Cut-Pasteیا بلووین حمال‌ت Certification Injection و حمال‌ت از= نوع Man in the middle  VLANچیست؟ Virtual Local Area Networkت===کنولوژ=یا=ست ک===ه= در= س==وئیچه=ا و ت===جهیزا=تال=یه= 2و 3ممکنا=ستدیده= ب===اشید .در= ش==بکه= هایمحلیVLAN سیستم تشخیص نفوذ Intrusion Detection Systems نفوذ چیست؟ یک نفوذ به مجموعه ای از فعالیتهایی گفته می شود که می تواند موارد ذیل را از یک منبع به خطر= اندازد: یکپارچگی قابلیت اعتماد -قابلیت استفاده و در دسترس بودن نفوذگر کیست؟ - - - کارمند داخلی و خودی :در= واقع شخصی که با در دست داشتن مجوز دسترسی ار اختیار= خود سوء استفاده می نماید : Hackerش==خصیک===ه= ب===ا ا=ستفاده= از ل==ینکه=ایارتباطی از ق==بیلا=ینترنتب===ه= ش==بکه= دا=خلیس==ازمانن==فوذ میک===ند. نر=م افز=ارهای بداندیش :نرم افزارهایی از= قبیل ‘ ’MalWare’ ، ‘Trojan Horseو ویروسها که با اجرا شدن این نرم افزارها بر روی سیستم گونه ای از حمله و نفوذ علیه سیستم تلقی می گر=دد. سیستم تشخیص نفوذ چیست؟ سیستم تشخیص نفوذ یا همان IDSدر= واقع سیستمی می باشد که قابلیت شناسایی حمالت را بر روی سیستم های کامپیوتری دارا می باشد. فعالیت های اساسی IDS استراق سمع کر=دن یا : Monitoring جمع آور=ی اطالعات از شبکه تحلیل نمودن یا :Analyzing تصمیم گیری هر آنچه اتفاق میافتد. گزارش دهی با : Reporting تولید نتیجه و یا در غیر اینصورت فعالیت بر روی نتایج مر=حله Analyzing شبكه اختصاصي مجازي ()VPN یک ، VPNشبکه ای اختصاصی بوده که از اینترنت برای ارتباط با سایت های از راه دور و ارتباط کاربران با یکدیگر استفاده می نماید. این نوع شبکه ها بجای استفاده از خطوط واقعی نظیر خطوط ، Leasedاز یک ارتباط مجازی به کمک اینترنت برای ایجاد شبکه اختصاصی استفاده می کنند. نکات مرتبط با کلمات عبور اغلب کاربران کامپیوتر ،به طور معمول از رمزهای عبور ساده و آسان استفاده می کنند .اما دقت داشته باشید که این سهل انگاری در انتخاب رمز عبور ،عواقب خطرناکی به دنبال خواهد داشت .رمز=های عبور= آسان و معمولی در ظرف چند ثانیه لو خواهند رفت و اطالعات شخصی شما در= سیستم مورد نظر به راحتی در= معر=ض دید هکرها قرار خواهند گرفت .د ر ادامه تهدیدهای ممکن در= این رابطه برر=سی خواهند شد : تهدیدهای مرتبط با کلمات عبور : Passive Online Attacks  در اين روش هكرها از نرم‌افزار= يا سخت‌افزار=هاي جاسوسي يا Snifferها استفاده مي‌كنند .به اين تر=تيب كه اين نرم‌افزار يا سخت‌افزار با قر=ار گرفتن بر روي شبكه، اطالعات در حال انتقال بر روي سيم‌ها ر=ا Sniffكرده و بر=اي هكر= ار=سال مي‌كنند. تهدیدهای مرتبط با کلمات عبور : Active Online Attacks اين روش در واقع حدس زدن رمز كاربران است كه روش تجربي و با توجه به فرهنگ و ذهنيات فرد است .به طور معمول كاربران از مبتدي تا حرفه‌اي سعي مي‌كنند رمزي را براي خود در نظر بگيرند كه به راحتي بتوانند آن را در خاطر نگهدارند .كه همگي قابل حدس زدن مي‌باشند را به عنوان رمز خود در نظر مي‌گيرند .كاربران زرنگ‌تر از تركيب آنها استفاده مي‌كنند كه يافتن و حدس زدن آن كمي مشكل‌تر خواهد بود .هكرها نيز با توجه به اين اصل كه كارايي بسياري نيز براي آنها دارد ،ابتدا اطالعات پرسنلي افراد را يافته و با آنها به حدس‌زني رمز مي‌پردازند. تهدیدهای مرتبط با کلمات عبور : Offline Attacks در اين روش از ابزاری براي يافتن رمز استفاده مي‌شود .اين ابزارها معموال بر دو نوع هستند: الف : Dictionary Attack -ابزارهاي اين روش ،با كمك گرفتن از ذهن هكر ،به يافتن رمز در كلمات لغت‌نامه مي‌پردازند. ب : Brute Force -در اين روش نرم ا‌فزار ابتدا تعداد حروف رمز را با كمك هكر يا بدون كمك يافته و با استفاده از حروف و كلمات پيشنهادي هكر ،به صورت منظم و يك به يك با جايگذاري آنها، سعي در يافتن رمز مي‌كند در اين روش بديهي است كه انتخاب رمز مناسب و قوي مي‌تواند به شكست اين نرم‌افزار بيانجامد. تهدیدهای مرتبط با کلمات عبور : Electronic Attacks در اين روش از راه‌هاي غير معمول و غيركامپيوتري براي يافتن رمز ديگران استفاده مي‌شود .برخي از اين روش‌ها عبارتند از: الف -نگاه كردن به كي‌بورد هنگام تايپ كاربر ب -از پشت سر فرد نگاه كردن ج -كاغذ فسفري :با دادن يك كاغذ مخصوص فسفري به كاربر بدون اينكه او متوجه شود ،دستانش به فسفر آغشته شده ،سپس بر روي كي‌بورد اثر كلماتي كه تايپ مي‌كند ،برجا خواهد ماند. د -مهندسي اجتماعي :هكرها اعتقاد بسياري به اين مهندسي دارند .در اين روش با استفاده از فرهنگ ،ذهنيات ،كمبودهاي روحي و ...افراد مختلف، اطالعات مهمي را به دست مي‌آورند. تهدیدهای مرتبط با کلمات عبور : Key Loggers اين نوع نر=م‌افزارها با قرارگيري بر روي يك سيستم ،كليه استفاده‌هاي كاربر از ماوس و كي‌بورد را ضبط كرده و براي هكر ايميل مي‌كند .در اين روش حتما مي‌بايست نر=م‌افزار بر روي كامپيوتر شما نصب شود پس دقت كنيد هيچ نرم‌افزاري را بدون شناسايي و نوع عملكرد بر روي كامپيوتر خود نصب نكنيد. تهدیدهای مرتبط با کلمات عبور : Fishing در اين روش ،صفحه‌اي مشابه يكي از سايت‌هاي معتبر جهان ساخته و براي شما ارسال مي‌شود يا اينكه شما را تشويق به ثبت نام براي شركت كردن در يك قرعه‌كشي بزرگ مي‌كند و شما نيز بدون توجه ،تمام اطالعات خود را وارد مي‌كنيد .توجه داشته باشيد حتي اگر اين كار را انجام مي‌دهيد ،از رمز ايميل يا رمزهاي مهم خود در اين صفحات استفاده نكنيد و به صفحاتي كه از شما اطالعات مي‌خواهند به راحتي پاسخ ندهيد. راهکارهای امنیتی مرتبط با کلمات عبور . 1به هیچ وجه از اسامی استفاده نکنید فرقی نمی کند که اسم فامیلتان باشد ،یا باشگاه فوتبال مورد عالقه تان .بسیاری از برنامه های هکر، رمزهای عبور را با کمک فرهنگ لغت هک می کنند .فقط چند ساعت طول خواهد کشید که با کمک لغات یک فرهنگ لغت ،دستیابی به رمز عبور امکان پذیر شود. .2برای رمز عبور خود حداقل از 8حرف استفاده کنید: برای رمز عبوری که از 4حرف تشکیل شده است ،حدود 45000حالت وجود دارد .اما برای رمز عبوری که از 8حرف و عالمتهای ویژه تشکیل شده است ،یک میلیارد حالت مختلف وجود دارد! راهکارهای امنیتی مرتبط با کلمات عبور .3برای رمز عبور ،از حروفی که در کنار هم قرار گرفته اند استفاده نکنید! رمزهای عبوری مانند qwertیا asdfکار هکرها را برای دستیابی به رمز عبور بسیار آسان می کند ،این مطلب در ترکیب اعداد نیز به همین صورت است؛ مثل " ." 12345678 .4برای رمز عبور خود ،ترکیبی از حروف بزرگ و کوچک یا اعداد و عالمتهای ویژه را انتخاب کنید. استفاده از عالمتهای ویژه به تنهایی کافی نیست .پنج درصد همه کاربرها بر این امر اتفاق نظر دارند که رمز عبوری حداقل يكي از كاراكترهاي خاص (@ %=$-و )...را دارا باشند .در این صورت نرم‌افزارهاي Brute Forceاز يافتن رمز عاجز می شوند. راهکارهای امنیتی مرتبط با کلمات عبور .5رمز عبور خود را تا حد امکان جایی ننویسید حتی اگر کاغذی که رمز عبور خود را بر روی آن نوشته اید ،در جای امنی مانند کیف تان باشد ،از این کار اجتناب کنید .عنوان کاغذی که رمز عبور خود را بر روی آن نوشته اید ،به هیچ عنوان زیر صفحه کلید یا به مانیتور خود نچسبانید! .6رمز عبور خود را همواره تغییر دهید. هر قدر ،مدت زمان استفاده از رمز عبورتان بیشتر باشد ،خطر هک شدن شما بیشتر خواهد بود .اداره فناوری اطالعات آلمان فدرال، توصیه می کند که هر 90روز یکبار رمز عبور خود را تغییر دهید. راهکارهای امنیتی مرتبط با کلمات عبور .7رمز= عبور= خود را در= کامپیوتر ذخیره نکنید! کامپیوتر قادر است رمز عبور= شما را ذخیره کند تا شما مجبور= نباشید هر بار آن را وارد کنید. .8رمز عبور خود را به شخص دیگری ندهید! اگر از شما تلفنی یا با ایمیل ،رمز عبورتان را خواستند ،آن را بازگو نکنید! هکرها معموالً خود را به عنوان همکار=ان شر=کتهای بز=رگ معرفی می کنند. هفت روش حرفه ای برای ایجاد رمز عبور . 1برای ایجاد کلمه عبور ،از حروف بزرگ و کوچک و به صورت یک در میان استفاده کنید .مثالcOmPuTeR : . 2حروف اول کلمات یک جمله را به عنوان رمز عبور خود انتخاب کنید. مثالًدر جملهIf sentence is longer password would": " be saferکه رمز عبور آن به این صورت تبدیل می شود" : " Isilpwbs . 3عدد یا تاریخی را برای خود در نظر بگیرید و آن را با دکمه Shift تایپ کنید. مثالً :تاریخ 13.06.2002 :با دکمه Shiftبه این کلمه تبدیل می شود@))@>^)>#! : هفت روش حرفه ای برای ایجاد رمز عبور . 4لغتی را در نظر بگیرید و سپس حروف سمت راست آن را که بر روی صفحه کلید قرار دارد ،بنویسید: مثال Hardware :تبدیل می شود بهJstfestr : .5لغت یا ترکیبی را برای خود در نظر بگیرید مانند “ ”24Oktoberو بعد آن را بهم بریزید به این صورت که حروف اول آن را با حرف آخر ،حرف دوم را با حرف ماقبل آخر و به همین ترتیب بقیه را بنویسید: 24r4eObkot .6لغات یک جمله را به اختصار بنویسید این اختصارات را خود شما تعیین می کنید و از قاعده خاصی پیروی نمی کنند .مثالً عبارت White meat with cabbageتبدیل می شود بهwhtmtwtcabge” “ : .7در رمز عبور از عالئم ویژه استفاده کنید .مثال~c/Om%u\t§E“ : نکات امنیتی مرتبط با مرورگرها مرورگرهای وب ،اولين نقطه ارتباطی کاربران با اينترنت بوده و همين موضوع توجه جدی به آنان را مضاعف می نمايد .بديهی است وجود نقاط آسيب پذير و يا عدم پيکربندی مناسب آنان ،کاربران اينترنت را در معرض تهديدات و حمالت گسترده ای قرار خواهد داد . با توجه به توسعه ي روزافزون وب و نياز به تعاملي شدن هر چه بيشتر سايت هاي وب ،استفاده از امكانات نشست ها و كوكيها در زبان PHPبيشتر مي شود .از آنجايي كه استفاده نامحتاطانه از اين امكانات و ويژگيها مي تواند نقاط نفوذ بسيار مهمي را براي نفوذگران و مهاجمان سايت ها فراهم نماید .پروتکل HTTPپروتكلي فاقد حالت است ،بدين معنا كه در حركت كاربر بين صفحات مختلف يك سايت وب و يا بين درخواست هاي متوالي ،اطالعات كاربر حفظ نمي شود و يا به عبارتي HTTPآن ها را به ياد نمي آورد. نکات امنیتی مرتبط با مرورگرها كوكي ها در حقيقت يكي از توسعه هاي پروتكل HTTPبه شمار می روند .در استفاده از آن ها نياز به دو سرآيند HTTPاست : -1سرآيند پاسخ -Set-Cookie 2سرآیند درخواست Cookie نکات امنیتی مرتبط با مرورگرها با پيکربندی مناسب مرورگرها ،می توان يک سطح مناسب امنيتی را ايجاد نمود .گرچه ممکن است به موازات افزايش سطح ايمنی ،امکان استفاده از برخی قابليت های يک سايت بخصوص وجود نداشته باشد ، ولی شما در مقابل برخی از حمالت محافظت شده و پيشگيری اوليه را انجام داده ايد .برنامه های مرورگر ،اولين نقطه ارتباطی شما با اينترنت می باشند و ممکن است چندين برنامه ديگر نيز به منظور ارائه خدمات و سرويس ها در ارتباط با آنان باشند و همين موضوع پيکربندی امنيتی مرورگرها را مضاعف می نمايد. نکات امنیتی مرتبط با مرورگرها تعداد زيادی از برنامه های وب با بکارگيری برخی از قابليت های مرورگرها ،خدمات و سرويس های خاصی را در اختيار کاربران قرار می دهند .رويکرد فوق عليرغم وجود برخی نکات مثبت ،می تواند کاربران را مستعد انواع حمالت نمايد . مطمئن ترين سياست امنيتی ،غيرفعال نمودن اکثر ويژگی های ارائه شده همراه مرورگرها می باشد .در صورتی که پس از غيرفعال نمودن برخی از ويژگی های مرورگرها در زمان استفاده از يک سايت تائيد شده و مطمئن ،مشکالت خاصی ايجاد گردد ،می توان موقتا" آنان را فعال و پس از اتمام کار و استفاده از سايت مورد نظر ،مجددا" آنان را غيرفعال نمود . نکات امنیتی مرتبط با مرورگرها ‏ ‏ ‏ علیرغم ارائه پتانسیل های مثبت توسط تکنولوژی هائی نظیر اکتیو ایکس و یا اسکریپت های فعال ،مهاجمان با استفاده از آنان قادر به نادیده گرفتن و یا دور زدن تنظیمات امنیتی سیستم می باشند . نقاط آسیب پذیر Spyware/Adwareکه تمامی مرورگر ها و سیستم هائی را که از منابع موجود بر روی وب استفاده می نمایند ،تحت تاثیر قرار می دهد . تلفیق مرورگر IEبا سیستم عامل باعث شده است که مشکالت IEبه سیستم عامل ویندوز نیز سرایت نموده و بر نحوه عملکرد آن تاثیر منفی داشته باشد . نکات امنیتی مرتبط با مرورگرها مهاجمان با استفاده از نقاط آسیب پذیر مر=ورگرها قادر به انجام عملیات متفاوتی می باشند : ‏افشای کوکی ها ‏افشای فایل ها و داده های محلی ‏اجرای برنامه های محلی ‏دریافت و اجرای هرگونه کد دلخواه ‏در اختیار گرفتن کنترل کامل سیستم آسیب پذیر و انجام هر گونه عملیات دلخواه نکات امنیتی مرتبط با مرورگرها تنظيمات امنيتی در مرورگرها این مسئله به نوع مرورگر وب بستگی داشته و هر يک از آنان امکانات خاصی را در اختيار استفاده کنندگان قرار می دهند .مثال" در مرورگر ، Internet Explorerمی توان پس از انتخاب منوی Toolsگزينه Internet Optionsرا انتخاب و در ادامه با کليک بر روی Security tabو نهايتا" دکمه ، Custome Levelسطح امنيتی مورد نظر را انتخاب نمود .در مرورگر ، Mozilaپس از انتخاب منوی Editمی توان گزينه Preferencesرا انتخاب و با کليک بر روی & Privacy ، Securityسطح امنيتی مورد نظر را تعريف نمود . نکات امنیتی مرتبط با مرورگرها مرورگرهای وب از اصطالحات متفاوتی در ارتباط با پيکربندی امنينی استفاده می نمايند : ‏Zones  مرورگرهای وب ،گزينه های مختلفی را به منظور استقرار وب سايت ها در سگمنت ها و يا نواحی متفاوت ارائه می نمايند .هر ناحيه می تواند دارای تنظيمات امنيتی مختص به خود باشد .مثال" مرورگر Internet Explorerدارای نواحی زير است : نکات امنیتی مرتبط با مرورگرها : Internet  ناحيه فوق يک سگمنت عمومی و برای وب سايت های عمومی است .در زمان استفاده از اينتر=نت ،تنظيمات تعريف شده بر=ای اين ناحيه به صورت اتوماتيک در ارتباط با سايت هائی که مشاهده می گردد ،اعمال خواهد شد .به منظور تامين بهترين سطح حفاظتی و امنيتی مرورگر ،می بايست اين ناحيه دارای باالترين سطح امنيتی و يا حداقل سطح mediumباشد. نکات امنیتی مرتبط با مرورگرها : Local Intranet  در صورتی که سازمان شما دارای يک اينترانت است ،می توان از اين ناحيه استفاده نمود .ناحيه فوق شامل تنظيمات امنيتی به منظور= استفاده از صفحات داخلی است .با توجه به اين که محتويات وب توسط يک سرويس دهنده وب داخلی مدير=يت می گر=دد ،می توان محدويت های به مراتب کمتر=ی را در= ار=تباط با اينگونه از صفحات اعمال نمود . نکات امنیتی مرتبط با مرورگرها : Trusted Sites  در صورتی که برخی از سايت ها با رعايت مسائل امنيتی پياده سازی شده باشند و تهديدی از جانب آنان متوجه شما نمی باشد ،می توان آنان را در ناحيه فوق قرار داد .مثال" می توان سايت هائی را که با استفاده از تکنولوژی SSLپياده سازی شده اند را در اين ناحيه قرار داد ،چراکه همواره امکان شناسائی هويت سايت مورد نظر وجود خواهد داشت .سطح امنيتی اين ناحيه ،می بايست بگونه ای تعريف شود که اگر سايت های مستقر در اين ناحيه مورد تهاجم قرار گرفتند ،تهديدی متوجه شما نباشد ( پيشگيری از اختصاص يک سطح امنيتی پائين ) . نکات امنیتی مرتبط با مرورگرها : Restricted Sites  در صورتی که وب سايت های خاصی وجود دارد که نسبت به غيرايمن بودن آنان اطمينان حاصل شده است ،می توان آنان را در اين ناحيه قرار داد و برای آن باالترين سطح امنيتی را تعريف نمود .با توجه به اين که تنظيمات امنيتی برای حفاظت شما در مقابل اينگونه سايت ها به اندازه کافی مناسب نمی باشند ،بهترين گزينه عدم استفاده از سايت های غير=ايمن است . نکات امنیتی مرتبط با مرورگرها جاوا اسکريپت برخی وب سايت ها از زبان های اسکريپت نويسی نظير جاوا اسکريپت به منظور ارائه قابليت های خاصی استفاده می نمايند .از اسکريپت های فوق ممکن است به منظور انجام حمالت متفاوتی استفاده گردد . ‏ کنترل های اکتيوايکس و جاوا از برنامه های فوق به منظور اجرای محتويات فعال و ارائه برخی قابليت ها در وب سايت ها استفاده می گردد .از اين نوع برنامه ها همانند کدهای جاوااسکريپت ،ممکن است به منظور انجام حمالت متفاوتی استفاده گردد. نکات امنیتی مرتبط با مرورگرها ‏Plug-ins  در برخی موارد مرورگرها به منظور ارائه خدمات ،نيازمند نصب نرم افزارهای اضافه ای با نام Plug-insمی باشند .از اين نوع برنامه ها همانند کدهای جاوااسکريپت ،کنترل های اکتيوايکس و جاوا ،ممکن است به منظور انجام حمالت متفاوتی استفاده گردد. بنابراين الزم است در زمان نصب اينگونه نرم افزارها از صحت عملکرد و ايمن بودن آنان اطمينان حاصل گردد .در صورتی که برنامه های فوق می بايست از طريق اينترنت دريافت و نصب گردند ،بررسی هويت سايت ارائه دهنده ،امری ضروری است . فقدان امنيت در پست الكترونيكي به طور كلي پست الكترو=نيكي ناامن است .در اين مرحله ،بسيارمهم است كه ناامني در مسير تحويل پيام آشكار شده و بررسي شود: : Webmail اگر اتصال به سرویس دهنده Webmailناامن باشد در اين صورت همه اطالعات شامل كلمه عبور و نام كاربري به صورت رمز نشده بين سرويس دهنده Webmailو كامپيوتر كاربر ارسال مي شود. SMTP : SMTP پيام ها را رمز نمي كند (مگر اين كه از سرويس دهندگان درخواست شود تا از TTSپشتیبانی کنند ).ارتباطات بين سرويس دهندگان SMTPبه صورت متن آشكار 2است كه ممكن است پيام ها را براي هر استراق سمع كننده اي قابل رويت سازد. فقدان امنيت در پست الكترونيكي IMAP-POP:در صورتی که POPو IMAPدرخواست كلمه عبور و نام كاربري براي ورود كند؛ اين اعتبار نامه ها رمز شده نيستند .بنابراين، اعتبارنامه ها و پيام ها ممكن است توسط استراق سمع كنندگان در جريان ارسال اطالعات بين كامپيوترکاربر و کامپيوتر فراهم كننده سرويس پست الكترونيكي شنود شوند. ‏نسخه هاي پشتيبان :پيام ها در سرويس دهند گان SMTPبه صورت متن آشكار و رمز نشده ذخيره مي شوند .بر روي اين سرويس دهند گان ،نسخه هاي پشتيبان در هر زماني ممكن است ساخته شوند و با اين مكانيزم هر داده اي توسط مدير قابل خواندن است .پيام هاي الكترونيكي كه ارسال مي شوند ممكن است به صورت ناخواسته يا نامحدود ذخيره شده و يا توسط افراد ناشناس خوانده شوند. تهديدات امنيتي در ارتباطات پست الكترونيكي در اینجا بسياري از مشكالت امنيتي معمول در رابطه با ارتباطات و پست الكترونيكي اشاره میشود=: استراق سمع سرقت هویت نقض حریم خصوصی تغيير و تبديل در پيام ها ارسال پيام هاي جعلي تكرار پيام ها نسخه هاي پشتيبان محافظت نشده انكار امن سازي پست الكترونيكي توسط SSLو TLS ساده ترين راهي كه براي امن سازي پست الكترونيكي وجود دارد اين است كه از يك سرويس دهنده پست الكترونيكي استفاده شود كه از SSLبراي سرويس دهندگان SMTPو IMAP ،POP ،Webmailپشتيباني مي كند. ی==ک==وع از SSLا=ستك=ه= ميت===وا=ند در طييك ن==شست ن TLSن==یز پ===ستا==لكترونيكيرا=ه= ا=ندازيش==ود .ب===ر خالف TLS ، SSLب===ايد ق==بل از ارسا==لپ===ستا==لكترونيكيرا=ه= ا=ندازيش==ود. =ست SSLت===ركيبياز مكانيز مه=ايرمزگذاريمتقارنو ن==امتقارنا . نکات امنیتی م=ربوط با پست الکترونیکی در نهایت چند توصیه را نیز همواره در ایمیل می بایست رعایت نمود: هیچگاه ایمیل کسی را که نمی­شناسید اصال باز نکنید .مخصوصا ایمیل­هایی را که جذاب به نظر می­رسند .چون ممکن است دچار حمالت XSSشوید. هیچگاه هیچ برنامه­ای را که از ایمیل یا چت دریافت کرده­اید نصب یا اجرا نکنید .چون ممکن است Trojanروی سیستم شما نصب شده و تمام اطالعات شما را بدزدد. فایل­های عکس و صوتی و تصویری و متنی (مانند pdfو ) docرا تنها در صورتی که مطمئن هستید فرد آشنا و مطمئنی آن را برای شما فرستاده است باز و استفاده کنید .چون ممکن است توسط این فایل­ها Trojanروی سیستم شما نصب شود. نکات امنیتی م=ربوط با پست الکترونیکی امنیت ایمیل این روزها یک نیاز حیاتی محسوب شده و چیزی بیش از فیلترینگ ضداسپم یا ضدویروس را شامل می شود .کالهبرداری های ،Phishingکاربران سازمانی را تهدید به سرقت رمزهای عبور آنها می کند تا بتوانند به شبکه های سازمانی دسترسی یابند؛ سایر حمالت، سرور میل را مستقیما ً هدف قرار می دهند و تالش خود را بر دستیابی به نام های کاربری یا آدرس های ایمیل معتبر یا دسترسی به سرور میل متمرکز می نمایند .این امکان وجود دارد که سازمان ها از جانب اشخاص حقیقی که ایمیل های مهاجم را از سوی کاربران شرکت دریافت می کنند یا حتی از جانب کارمندان خودشان که محتویات مهاجم را از سایر کارمندان یا منابع خارجی دریافت می کنند ،تحت پیگرد قرار گیرند. نکات امنیتی م=ربوط با پست الکترونیکی شرکت ها همچنین با تهدید سرقت اسرار سازمانی یا دارایی های فکری -معنوی از طریق ایمیل مواجه می باشند .ابزارهای امنیت ایمیل از قبیلIronPort C-Series ،Mirapoint Message ، Server Mنه تنها می توانند با کوتاه کردن دستSeries اسپم ها موجب صرفه جویی در وقت کاربران شوند ،بلکه می توانند همه مسایل امنیتی دیگر را نیز مدنظر قرار دهند .این ابزارها در نسخه های متعدد قابل دستیابی هستند و برای سازمان های متوسط تا بزرگ با ۵۰۰تا ۵۰۰۰کاربر طراحی شده اند. ؟