امنيت در سيستم های توزيع شده (مفاهيم، فن آوری و راهكارها)

صفحه 1:
‎a‏ 1 امنيت در سيستم هاى توزیع شده ‎TIN‏ ‎7 ‎٠0 00 2 0‏ حفاظت از شبکه و تأطین امنیتانرتباطات در شبکه های كامبيو امييوترى ‏ب - ترك زیم 9 ۰ ۳۰/۷/۱۳۸۰ الاني برنجكو ترا تور ۷ الاني ‏ 9 1 ‎ ‎ 

صفحه 2:
* امنیت ارتباطات و حفاظت شبکه جهو دیوارة آتش: روش حفاظت از شبکه ی ايجاد انیت در یذ (18۳906) ‎TP‏ (SSL) ‏ایجاد امنیت در لایهٌ نشست‎ tik (Kerberos , SET) 215 £42 au sky! جم بندی امنیت در سیستم‌های توزیع 9 برنجکوب - تركلاژاني ۰ 9 2 وتو هن 

صفحه 3:
© برنجكوب - ترك لاأزاني 3 امنیت در سيستم‌هاي ‎eis‏ 1 1 ‎aoe‏ 

صفحه 4:
© برنجكوب - ترك لاأزاني ۹9 أمنيت در سيستم هاي :أ ا ‎edu‏ 

صفحه 5:
حفاظت از شبکه امنیت ارتباطات SET, => Con << Application PEM, S-HTTP Proxy Kerberos.... ‏تست‎ ‎SSLTL = eases = Circuit Proxy ‏تما‎ ‎IPSec => = Packet Filterin: ۱ ۳۳۲۳۴ ‏جه-ده‎ ‏ی(‎ ‏لب‎ © برنجكوب - ترك لاأزاني ‎Ex.‏ امنیت در سيستم‌هاي ات | شده 

صفحه 6:
- ديوارهاي محافظ ساختمان‌ها - گذرنامه براي ورود و خروج از کشور - درب آپارتمان با دستگيرة Firewall a — ‎ce ۱‏ در تم و 9 برنجکوب - تركلاداني 6.62 ‎ea‏ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 7:
8 برنجکوب - تركلاداني 72 امنیت در سيستم‌هاي تلور |( شعده 

صفحه 8:
_ ما ديوارة آتش مجموعه‌اي از اجزاء است که بين دو شبكه قرار ميكيرد و مجموعاً ویزگي‌های زير را برآورده مي‌کند : * تمامي اطلاعات, از داخل به خارج یا بالعکس , بايستي از دیوارة انش عبور نماید. * فقط اطلاعاتي که مجاز بون آنها در سیاست امنيتي محلي تعریف شده 

صفحه 9:
(Packet Filter) aim. ,il9 ° (Stateful Inspection) ‏بازبيني وضعیت‌گرا‎ Application). 51S sleojlg,> ° (Gateways "دروازه‌هاي سطح مدار (مثل سرویس 7 حك فعا 9 برنجکوب - ترك‌لالداني 9 

صفحه 10:
فیلتر بسته , يكي از تجهیزات ارتباط بین شبکه‌اي است که مجموعه‌اي از قوانین (فیلتر کردن بسته) را روي بسته‌هاي 1۳ ورودي اعما ‎Security Perimeter J‏ متي عبور : ! ! ! = رت هرس ! | ۳:۸۵ ‎filtering ~ ------------------ 4‏ ‎router‏ ‏امنبت در سيستم‌هاي تلوزیع ‏ 9 برنجکوب - تركلااني ۰ 109 شعده ‎ ‎ 

صفحه 11:
اطلاعات زیر صورت مک ”آدرسهاي 120 مبدأ و مقصد ‎“A‏ شمارة يروتكل ۲"شمارة پورت ‎UDP L TCP‏ ON tae 5 Dae eat OE امنیت در سيستم‌هاي توزیع 

صفحه 12:
‎Dest‏ تن ‎Port Pott 2۱0۳15 21 ‏(امصام1‎ ‎25SMTP) ‎43 ‎69 ‎79 ‎ H‏ بو 2 2 بو ‎TCP ‎UDP ‎UDP ‎TCP ‏امنیت در سيستم‌هاي تلور شعده ‎Interface Source Dest ‎ow‏ 2 2 بو ‏بدا بو ‏© برنجکوب - تركلا ‎8 ‎08 ‎8 ‎58 ‎8 ‎wilt ‎1 29 ‎ ‏مما انم سم قح فقسا قم ‎ ‎ 

صفحه 13:
Application-level paleway Outside connection (Qutside host 

صفحه 14:
Cireuit-level gateway Outside 0 1 ‘Outside host (ou) Toside Inside host امنیت در سيستم‌هاي توزیع © برنجکوب - تركلالاني ۰ 149 شعده 

صفحه 15:
Cache گیرنده به میزبان :۳0 متصل شده, / دهندة دور تقاضاي سرویس مي‌کند 2) ميزبارن ‎Proxy‏ 4 آدرس م 3 رس سرويس كيرنده را بررسي كرده . سرويس 1 كريد ۱ مجوز وي را ‎i‏ س سیاست امتيتي شبکه بررسي ‎Ces‏ به سرویس دهنده متصل ند سروس گیرنده را با سرویس دهندة اصلي دست به دست ميكند. ‎User‏ ‏امنیت در سيستم‌هاي تلوزیع 8 برنجکوب - تركلاژاني ۰ 150 ‎oe‏ 

صفحه 16:
* براي احراز اصالت کاربر به صورت مناسب » ميزبان :213037 بايد به يك سرویس دهندة مركزي که حاوي اطلاعات احراز اصالت است دسترسي داشته باشد. Y RADIUS (Remote Authentication ‏وت‎ In Use! wv Cm hn ‏سب‎ Authentication Server ‏برنجکوب - ترك لازاني‎ exis ‏امنیت در سيستم‌هاي‎ شعده 169 

صفحه 17:
۴ 0165 (نسخم‌هاي4 و 5) يك‌دروازة س لح مدار (۷ا به لها فلست که هم ولن ‎Lol‏ برای‌کاربردهایمختلفب کار برد. ۰ كاربردي كه براي بكارگيري تبادلات ‎Socks‏ اصلاح شده است را اصطلاحاً 50011600 (... 9 Netscape. IE) ‏شده گوینده‎ 

صفحه 18:
: 5 ‏قابليت‌هاي 500166 نسخة‎ ٠ ۲"سرویس گیرنده و سرویس دهندة 5061 مي‌توانند برروي روش احراز اصالت مذاکره کنند.) روش‌هايي که پشتيباني مي‌شوند شامل کلمة عبور 9 ‎Kerberos/GSS-API‏ ‏هستند) "در صورت انتخاب روش 16۳۳۵۵۲05/655-۸۳]۲ براي احراز اصالت» مي‌توان صحت و مت داده را نیز فراهم نمود و برروي 180 ‏برنجكوب - قرك لازائي‎ © Sep his ee aan asa: ‏وا‎ sie 

صفحه 19:
۵ rouler Private nnejwork husts Information server ed host firewall system (single-homed bastion hx امنیت در سيستم‌هاي توزیع © برنجکوب - تركلالاني ۰ 199 شعده 

صفحه 20:
Packet- filtering router Private network hosts Information server ned host firewall system (dual-homed bastion ho 200 ‏برنجكوب - تركلاداني‎ © امنیت در سيستم‌هاي تلور |( شعده 

صفحه 21:
Bastion host Inside router Outside router Information server Modem Screened-subnet firewall system امنیت در سيستم‌هاي تلوزیع 8 برنجکوب - تركلااني ۰ 218 شعده 

صفحه 22:
دستيابي بدون مجوز به بیرون از شبکه از طریق بكارگيري مودم و خطوط تلفن کماکان امکان‌پذیر است. ۰ دیوارت آتش محافطتي را در مقابل حمله کنندگان داخلي به عمل نمي‌آورد. * دیوارة آتش محافظت کمي در مقابل حملات منتج از داده (مثل برنامه‌ها یا ا سمل های بای ی لو م جر و موادم 220 ج ی 8 

صفحه 23:
سس امنیت در سیستم‌های توزیع ‏ © برنجکوب - تركلاژاني ۰ 230 

صفحه 24:
Poser [er [or] IP/IPSec + سرويسهاي امنيتي از دید کاربردها , - سرویسها وابسته به کاربر نیستند - سرويسهاي وابسته به کاربرد مشکل , امتیت در سيستم هاي بأوزيع 6 برنجکوب - ترلالی ۰ 249 مک 

صفحه 25:
60 چیست * معماري امنيتي پروتکل اینترنت (1۳۷4 و ‎(IPV6‏ ‏* مجموعه استاندارد هاي 1۳1۳ براي ایجاد امنیت قابل تعامل و مبتني بررمزنگاري * پیاده سازي سرویس هاي امنيتي در لاية 1۳ * ایجاد سرویس ‎sl‏ امنيتي شفاف براي پروتکل هاي لاية بالاتر 

صفحه 26:
۲6 سرويس‌هايامنيتي‌زیر را ’ Confidentiality (encryption) Y Connectionless Integrity Y Data Origin Authentication Y Limited Traffic-Flow Confidentiality ¥ Access Control 26۵ ۰ ‏برنجکوب - ترك‌لالاني‎ 9 امنيت در سيستمهاي توزيع 1 ‎aie‏ 

صفحه 27:
"۳ Mode s IPSec hy [PHO Tunnel | Mode 3 |— ۲۱۷1 ههلا ۱۳ ۱ 0 Transport Mode Leger IP HDR امتیت در سستم‌هاي بأوزيع 4 برنجکوب - ترلنی ۰ 279 ‎eda‏ 

صفحه 28:
Transport Mode 200 يناؤالك ‏منيت در سيستمهاي توزیع 9 برنجكوب - تر‎ ol ‏ده‎ 

صفحه 29:
noe Y ‏اه‎ © برنجكوب - ترك لاأزاني 299 أمنيت در سيستم هاي :أ ا ‎eda‏ 

صفحه 30:
* پروتکل هاي امنيتي Authentication Header (AH)” Encapsulating Security Payload” (ESP) Security) csisiol sla, ‏تداعي‎ ٠ (Associations امنيك زرم کید روي ‎1K ky Jnternes‏ 309 

صفحه 31:
HE Clear tent ی موه كد ص۱۳ 1۳12۳۵۱ Certificate Authority, <a a= ‘1 ‎SA 1‏ ان 54 زان ‎IKE Session,‏ ‎ine ‎ ‎ ‎ ‎Internal Netweark ‎Be ‎ ‏امتیت در سيستمهاي بأوزيع ‎٩‏ برنجکوب - ترلانی ۰ 3:9 ‏مک ‎ ‎ ‎ ‎ 

صفحه 32:


صفحه 33:
851. ۱ TLS + سرويسهاي امنيتي براي كاربردهاي مور - باید در کاربردها اصلاحات مورد نیاز را ای امتیت در سيستمهاي بأوزيع 6 برنجکوب - ‎wile‏ ۰ 338 مک 

صفحه 34:
SSL (Secure Socket Layer) ‏پروتکل‎ * ‏ارائه شد.‎ Netscape aS jw lowgi * 1 به عنوان واسط بین لاية انتقال و لاية کاربرد عمل مي كند. * از ,51 مي توان براي امن كردن سرويس هاي ارتباطي ميتني ب0۳؟ و پروتیل هاي 

صفحه 35:
معماري لسك Application Application SSL Handshake SSL Handshake SSL Record SSL Record ردو ...رگ ...مرو امنیت در سبستم‌هاي تلوزیع ۵ برنجکوب - ترك‌لالاني ۰ 35۵ مک 

صفحه 36:
‎Hrres |wsines)‏ | مب | مه | یس | ‎res‏ دعب | ‎incs | mars‏ ی 526 | ضدم | 316 | 559 | ‎aca | LAP‏ | 2هدم | 909 | قه | | ‎taper‏ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎SSL__ | $$LChange | ssi wert ‏افو‎ Application ‏اسمس رساي‎ Handshake | CipherSpeo seonny ayer | Handshake | CipherSpec | protocol | Data Protocl ‎SSL Record Protocol ‎ ‎TensportLayer UDP TCP ne net Layer ۳ ‎Neo Access Layer ‎ ‎ ‎ ‏امنیت در سيستم‌هاي تور © برنجکوب - ترك‌لالاني 369 ‎edu‏ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 37:
Application Data 5 ۱ ‘Compress 7 Add MAC Encrypt Append SSL. Record Header امنبت در سیستم‌های پلوزیع 9 برنجکوب - تركلالاني ۰ 379 وتو هن 

صفحه 38:
rd Format hy Content | Major Minor Type | Version | Version Plaintext (optionally compressed ) encrypted EMAC (0, 16, or 20 bytes: امتیت در سستم‌هاي وی 6 برنجکوب - ترلنی ۰ 390 وتو هن 

صفحه 39:
ishake Protocff JSig», LoS L Server g Client ° : Handshake v روي نسخة پروتکل موافقت مي کنند. ۲ الگوريتمهاي رمزنگاري را انتخاب مي 7همدیگر را احراز اصالت مي 

صفحه 40:
Client Server امتیت در سيستمهاي بأوزيع 6 برنجکوب - ترلنی ۰ 408 ‎eda‏ 

صفحه 41:


صفحه 42:
Client Server لتك Chong LEY orep, ‏ی‎ 1 ا امنيت در سيستم هاي بإوزيع © برنجكوب - ‎il‏ 420 ‎eda‏ 

صفحه 43:


صفحه 44:
+ سرويسهاي امنيتي از دید شبکه شفا ربر- سرويسهاي امنيتي براي هر کاربر بای طراحي 3 ‎ool,‏ شوند امنيت در سيستم هاي بلوزيع 4 برنجکوب - ترلانی ۰ 440 مک 

صفحه 45:
Secure payment Secure Systems Electronic : ۱ ۱ 1 ‏أ‎ 1 Transactio امنبت در سيستم‌هاي توزیع © برتجكوب - ‎NI‏ ‎eda‏ 

صفحه 46:
‎SET‏ مشترکاً توسط ۷۲۹۸ و ‏0 ارلئمه شد و برایمحافظت کاوتهایاعتباریدر حین‌لنجام ترلکنش‌هاي مالیاستفاده ميشود: ”ايجاد كانال هاي امن براي عوامل دخیل ‏در يك تراكنش ‏أمنيت راهم کدی اعتهات_عررا سین ,گواههر 7 ‎BNO elm cow ‎ ‎ ‎ 

صفحه 47:
کارت اعتباري "محرمانگي اطلاعات سفارشات و پرداختها "حفظ صحت اطلاعات ارسالي "احراز اصالت صاحب کارت روي حساب کارت اعتباري سیم - ترك‌لاذاني ‏ 47۵ 1! ‏سيدونتم هام زورب 9 حعاجلجی ای‎ penal 

صفحه 48:
لسك ” صاحب كارت : خريدار (230© ‎(holder‏ ‏"بازرگان: فروشنده (+0هطم۳۲۵) "صادرکنندة کارت : بانك (125۲67) ۲"موسسة سرويس دهي مالي ‎(Acquirer)‏ امت :3 معلنة مر وي ‎(Paymewt-Gateward‏ 

صفحه 49:
Merchant Cardholder Certificate Internet Authority Issuer Payment. Network Nequirer امنيت در ‎S 1 sla‏ برنجکوب - ترك‌لالداني 499 mas 

صفحه 50:
امنیت در سیستم‌های توزیع ‏ © برنجکوب - تركلاژاني ۰ 500 1- مشتري يك حساب کارت ِ اعتباري باز مي کند. / be ‏مشتري يك گواهي (امضاء‎ - so Issuer بانك ) روي فكو ,۱۳0 ۳ Acquirer’ 

صفحه 51:
Merchant Cardholder 3- بازرگان سه گواهي براي امضاءء تبادل کلید و ارتباط با انة برداخت ‎Payment‏ ‏جار مزر ۲۰:۵ Internet Acquirer’ Payment Gateway Issuer امنيت در سيستمهاي يم برنجكوب - ترك لاإزاني 519 mas 

صفحه 52:
Merchant Cardholder 4- متتنتري از مار ی 58۳۳۱۳۰۱۱ كالابي را تفار شس افر ‎ao‏ بازركان در جواب ليست قيمت ها یه هرا کر ار واه رز را مشت 99و سال ‎ARs ee‏ ‘Acquirer Payment Gateway امتیت در سيستمهاي بأوزيع 6 برنجکوب - ترلای ۰ 538 eda 

صفحه 53:
Merchant Cardholder Internet Issuer ۳ © وي ‎Astle Payment‏ کند. امتیت در سیستم‌هاي وی برنجکوب - ‎wiles‏ ۰ 538 ‎edu‏ 

صفحه 54:
‎JA‏ انجام يك ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎Merchant ‎Cardholder ‎net ‎Issuer ‏باز‎ ‏شدود.‎ ‎Payment ‎Network. ‎‘Acquirer Payment ‎Gateway ‏امنیت در سیستم‌های تأوزيع © برنجكوب - تركلا ‏مک ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 55:
Merchant Internet Cardholder Internet Issuer ِ 3 Payment” Network Acquirer’ Payment Gateway © برنجكوب - ترك لال ‎awl‏ 550 امنيت در سيستمهاي توزيع ‎edu‏ 

صفحه 56:
Merchant Cardholder ‏مس‎ ‎internet‏ 8- بازرگان پس از اطمینان از معتبر ۱ بودن اطلاعات ‎=o‏ ‏پرداخت» رسید باس دريافت سفارش را براي مشتري ‎Kcquier Payment‏ 9 ‎vis aa, Gateway‏ ‎ ‎Iss ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 57:
Merchant Internet Cardholder Internet Issuer ‏يكنم‎ ‎Payment ‎Network Acquirer’ © برنجكوب - ترك لاأزاني 570 أمنيت در سيستم هاي :أ ا ‎eda‏ 

صفحه 58:
هدف : مرتبط ساختن دو پیام که بای دريافت کنندگان مجزا ارسال می شود. (بانك نيازي به دانستن اطلاعات سفارش نداری)- بازرگان اطلاعات سفارش (بازرگان نبايستي اطلاعات پرداخت را بداند) بانك ‎el‏ پرداخت, لازم است اين اطلاعات با ‎SiS‏ مرتبط شود بد نحوي كه بعداً مشترى بتواند اثبات كند که پررداخت وی بسراى يك سفارش خاص بوده است. امنيت در سيستمهاي بأوزيع | ‎wile = wake‏ 538 eda 

صفحه 59:
POMD OIMD = Payment Information O1 = Order Information ‎Hash function (SHA-1)‏ = لز ‎Concatenation‏ = ‎ ‎POMD = Payment Onder message digest E = Encryption (RSA) KR, = Customer's private signature key ‏امنبت در سبستم‌هاي توزیع © برتجكوب - ترلاژانب ۰ 590 ‏مک ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 60:
LA 3 اما a = Temporary Uy = Banks public Key-exchange key امنیت در سيستم‌هاي تأوزيع ۵ برنجکوب - ترك‌لالاني ۰ 60۵ ‎edu‏ 

صفحه 61:
Ol message digest message digest Pomp 11 دید >| تسس | < رصم KU. امنیت در سيستم‌هاي پات ‎edu‏ © برنجكوب - تر كلا داني 610 

صفحه 62:
5 پچیسب؟ *يك روش قوي براي انجام احراز اصالت توزیع شده ‎yw‏ کاربردهاي سرویس دهنده/سرویس كير است. * از روش رمزنگاري متقارن استفاده مي كند. 3 زیع © برنجکوب - ترك لااني 620 ‎Ee‏ = = لا wslapinue 52 cuiel ‏لأزوث ات‎ ١ ‏بثتديه‎ © 

صفحه 63:
5 ‏اجزاء‎ hi لسك Authentication Server (AS) ¢Ticket-Granting Server (TGS) *Destination Server امنیت در سيستم‌هاي لوزیع 8 برنحکوب - ترثلاانب ۰ 639 ‎eda‏ 

صفحه 64:


صفحه 65:


صفحه 66:
- قابليت انعطاف كم پیچیدگی بیش - محدودیت زمانی‌بیشتر - محدوديت سرويسهاى قابل ارائه + عموميت بيشت سرويسها + شفافيت بيشت سرويسها ۳۳۹ تست 2 منیت در 2 وتو هن + قابليت انعطاف بيش + پیچیدگی کم + وسعت زمانى بيشد. + مسرويسهاى قابل ارائه بيش - خاص شدن سسرویسها - شنافيت كم سرویس 

صفحه 67:
سازي در لاية كاريربسته‌بندي اجناس 

بسم اهلل الرحمن الرحيم ن امنيت در سيستم هاي توزيع شده خ س ت ين (مفاهيم ،فن آوري و راهكارها) د و ر ه ا ك ن ا ج ر چهارم نشست گ م ا ن ه تأمين امنيته حفاظت از شبكه و ر ارتباطات در شبكه هاي ا م كامپيوتري ي ز ا آ ي م ر ا و ز ن ش ي برنجكوب – تركم‌هاي توزيع سيست امنيت در الداني شده ‌30/7/1380الداني برنجكوب – ترك 1 سر فصل مطالب امنيت ارتباطات و حفاظت شبكه ديوارة آتش :روش حفاظت از شبكه ايجاد امنيت در الية )IP (IPSec ايجاد امنيت در الية نشست ()SSL ايجاد امنيت در الية كاربرد ()Kerberos , SET جمع بندي امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 2 امنيت ارتباطات و حفاظ6ت از شب :حفاظت از شبكة خودي ارتباط امن بين‌شبكه‌اي : ارتباط امن امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 3 امنيت ارتباطات و حفاظ6ت شبكه ‏Virtual ‏Private ‏Network امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 4 ت شبكه6امنيت ارتباطات و حفاظ حفاظت از شبكه امنيت ارتباطات SET, PEM, S-HTTP Kerberos,… SSL,TLS Application Presentation Session Application Proxy Circuit Proxy Transport IPSec PPTP Network Packet Filtering Datalink Physical 5 برنجكوب – ترك‌الداني امنيت در سيستم‌هاي توزيع شده ديوارة آتش :تكنيك كنترل دسترسي ب • تشابهات : ديوار‌هاي محافظساختمان‌ها گذرنامه براي ورود وخروج از كشور درب آپارتمان با دستگيرةيكطرفه و قفل -منشي دفاتر اداري امنيت در سيستم‌هاي توزيع شده ‏Firewall برنجكوب – ترك‌الداني 6 ديوارة آتش6 ‏Internet ‏Firewall امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 7 تعاريف ديوارة آتش مجموعه‌اي از اجزاء است كه بين دو شبكه قرار مي‌گيرد و مجموعا ً ويژگي‌هاي زير را برآورده مي‌كند : • تمامي اطالعات ،از داخل به خارج يا بالعكس ،بايستي از ديوارة آتش عبور نمايد. • فقط اطالعاتي كه مجاز بون آنها در سياست امنيتي محلي تعريف شده است ،مجاز به عبور مي‌باِشند. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 8 تعاريف • سياست امنيتي فايروال • فيلتر بسته ()Packet Filter • بازبيني وضعيت‌گرا ()Stateful Inspection • دروازه‌هاي كاربرد(Application )Gateways ‏دروازه‌هاي سطح مدار (مثل سرويس توزيع سيستم‌هاي امنيت در )Socks دهندة شده برنجكوب – ترك‌الداني 9 فيلتر كردن بستهها فيلتر بسته ،يكي از تجهيزات ارتباط بين شبكه‌اي است كه مجموعه‌اي از قوانين (فيلتر كردن بسته) را روي بسته‌هاي IPورودي اعمال مي‌كند تا تشخيص دهد كه بسته بايستي عبور نمايد يا حذف شود. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 10 فيلتر كردن بستهها فيلتر كردن بسته‌ها معموال ً براساس اطالعات زير صورت مي‌گيرد : ‏آدرس‌هاي IPمبدأ و مقصد شمارة پروتكل ‏شمارة پورت TCPيا UDP ‏رابط شبكه ()Network Interface امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 11 مثال : جدول فيلتر ()FTP ()Telnet ()SMTP امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 12 دروازه هاي سطح كاربرد امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 13 دروازههاي سطح مدار امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 14 عملكرد دروازه هاي كاربرد سرويس گيرنده به ميزبان Proxyمتصل شده، سرويس دهندة دور تقاضاي سرويس مي‌كند )2ميزبان ، Proxyآدرس IPمربوط به س سرويس گيرنده را بررسي كرده ،سروي ‌ گيرنده را احراز اصالت مي‌كند و مجوز وي را براساس سياست امنيتي شبكه بررسي ميزبان Proxyبه سرويس دهنده متصل )3 ي‌كند م شده ،داده‌هاي سرويس گيرنده را با سرويس دهندة اصلي دست به دست مي‌كند. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 15 احراز اصالت توسط دروازة كاربر • براي احراز اصالت كاربر به صورت مناسب ، ميزبان Proxyبايد به يك سرويس دهندة مركزي كه حاوي اطالعات احراز اصالت است دسترسي داشته باشد. ‏RADIUS (Remote Authentication Dial-In User )Service ) TACACS , XTACACS , TACACST+ (CISCO ‏Authentication ‏Server امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 16 Socks Proxy :م6ثا66ل • ( Socksن66سخه‌6هاي 4و )5ي66كدروازة ‌ت66وا6ن 6لا6س6تك6ه 6م6ي س66طح م6دار (ال66ية ا6ن6تقا)6 آ6نرا ب66را6يك6ار6برد6هايم6ختلفب666كار ب66رد. • كاربردي كه براي بكارگيري تبادالت Socks اصالح شده است را اصطالحا ً Socksified شده گوينده ( Netscape ، IEو )... بجاي Socksifiedشده • يك كاربرد ‌الداني برنجكوب – ترك امنيت در سيستم‌هاي توزيع شده 17 Socks proxy :م6ثا66ل • قابليت‌هاي Socksنسخة : 5 سرويس گيرنده و سرويس دهندة Socks مي‌توانند برروي روش احراز اصالت مذاكره كنند ).روش‌هايي كه پشتيباني مي‌شوند، شامل كلمة عبور و Kerberos/GSS-API هستند) در صورت انتخاب روش Kerberos/GSS-API براي احراز اصالت ،مي‌توان صحت و محرمانگي داده را نيز فراهم نمود و برروي كرد. مذاكره آنها نيز توزيع سيستم‌هاي امنيت در شده برنجكوب – ترك‌الداني 18 پيكر بنديهاي ديوارة آتش ‏ned host firewall system (single-homed bastion ho امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 19 ...پيكر بنديها ‏ned host firewall system (dual-homed bastion hos امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 20 ...پيكر بنديها ‏Screened-subnet firewall system امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 21 محدوديتهاي ديوارههاي آتش • دستيابي بدون مجوز به بيرون از شبكه از طريق بكارگيري مودم و خطوط تلفن كماكان امكان‌پذير است. • ديوارة آتش محافظتي را در مقابل حمله كنند‌گان داخلي به عمل نمي‌آورد. • ديوارة آتش محافظت كمي در مقابل حمالت منتج از داده (مثل برنامه‌ها يا ‌الداني برنجكوب – ترك ويروس ، توزيعآلوده به ‌هايه‌اي سيستمداد ل‌هاي فايدر امنيت شده 22 ايجاد امنيت ارتباطات در اليه هاي مختلف امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 23 ايجاد امنيت در الية شبكه +سرويسهاي امنيتي از ديد كاربردها ش اليه شبكه -سرويسها وابسته به كاربر نيستند سرويسهاي وابسته به كاربرد مشكل پامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 24 امنيت )IP (IPSec IPSecچيست؟ • معماري امنيتي پروتكل اينترنت ( IPV4و )IPV6 • مجموعه استاندارد هاي IETFبراي ايجاد امنيت قابل تعامل و مبتني بررمزنگاري • پياده سازي سرويس هاي امنيتي در الية IP • ايجاد سرويس هاي امنيتي شفاف براي پروتكل هاي الية باالتر ‌الداني ك –6تر برنجكوب 6نيت 25 ت666مام6ي 6ندكو ا6م توزيعرا ا6م6نم6ي 6بكه6 6لمش6 IPSecك6 ‌هاي سيست •امنيت در شده IPSec سرويس هاي امنيتي ير را6نيتيز6م6سهايا6 سرويIPSec : ند66يك6هم م6فرا Confidentiality (encryption)  Connectionless Integrity Data Origin Authentication Limited Traffic-Flow Confidentiality Access Control 26 برنجكوب – ترك‌الداني امنيت در سيستم‌هاي توزيع شده Modes IPSec ‏Tunnel ‏Mode ‏Transport Mode امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 27 بكارگيري مدهاي IPSec امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 28 يك سناريوي IPSec امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 29 IPSec اجزاء • پروتكل هاي امنيتي Authentication Header (AH) Encapsulating Security Payload (ESP) Security( • تداعي گرهاي امنيتي )Associations 30 • IKE (Internet Key مديريت ك‌الداني برنجكوب – تر كليدتوزيع سيستم‌هاي امنيت در شده  IPSecدر عمل امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 31 تركيب SAها امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 32 ايجاد امنيت در الية انتقال +سرويسهاي امنيتي براي كاربردهاي مورد اليه انتقال بايد در كاربردها اصالحات مورد نياز را اعمامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 33 پروتكل SSL • پروتكل (SSL )Secure Socket Layer توسط شركت Netscapeارائه شد. • SSLبه عنوان واسط بين الية انتقال و الية كاربرد عمل مي كند. • از SSLمي توان براي امن كردن سرويس هاي ارتباطي مبتني بر TCPو پروتكل هاي برنجكوب – ترك‌الداني امنيت در سيستم‌هاي توزيع FTPو )HTTPاستفاده الية كاربرد (مثل شده 34 SSL معماري Application Application SSL Handshake SSL Handshake SSL Record SSL Record TCP/IP TCP/IP 35 برنجكوب – ترك‌الداني امنيت در سيستم‌هاي توزيع شده معماري SSL امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 36 عملكرد پروتكل Record امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 37 SSL Record Format امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 38 SSL Handshake Protocol • Clientو Serverبا كمك پروتكل : Handshake ‏روي نسخة پروتكل موافقت مي كنند. الگوريتمهاي رمزنگاري را انتخاب مي كنند. ‏همديگر را احراز اصالت مي كنند(انتخابي). ‏ كنند. مي توليد را مخفي هاي كليد برنجكوب – ترك‌الداني امنيت در سيستم‌هاي توزيع شده 39 مراحل انجام پروتكل andshake امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 40 مراحل انجام پروتكل andshake امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 41 مراحل انجام پروتكل andshake امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 42 مراحل انجام پروتكل andshake امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 43 ايجاد امنيت در الية كاربرد +سرويسهاي امنيتي از ديد شبكه شفا كاربرد سرويسهاي امنيتي براي هر كاربر بايس اليه طراحي و پياده شوند امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 44 سيستمهاي پرداخت الكترونيكي ‏Secure payment ‏Secure systems ‏SET امنيت در سيستم‌هاي توزيع شده ‏Electronic ‏Transactio ‏ns برنجكوب – ترك‌الداني 45 سيستمهاي پرداخت الكترونيكي SETم6شتركا ً ت66وس6ط VISAو MasterCardارا6ئ6ه 6ش66د و ب66را6يم6حاف6ظت ك6ار6تهايا6عتبار6يدر حينا6ن6جام ت66را6كنشهاي م6ا66ليا6س6تفاد6ه 6م6يش66ود: ‏ايجاد كانال هاي امن براي عوامل دخيل در يك تراكنش گواهي اساس توزيعاعتماد بر كردن فراهم ‌الداني برنجكوب – ترك 46 امنيت در سيستم‌هاي ‏ شده سيستم هاي پرداخت نيازمنديهاي يك سيستم پرداخت با كارت اعتباري ‏محرمانگي اطالعات سفارشات و پرداختها ‏حفظ صحت اطالعات ارسالي ‏احراز اصالت صاحب كارت روي حساب كارت اعتباري برنجكوب – ترك‌الداني امنيت در سيستم‌هاي توزيع شده احراز اصالت طرف معامله براي 47 عوامل SET صاحب كارت :خريدار (Card )holder ‏بازرگان :فروشنده ()Merchant ‏صادركنندة كارت :بانك ()Issuer ‏مؤسسة سرويس دهي مالي ()Acquirer امنيت ‏Gatewayك‌الداني پرداخت ( برنجكوب – تر )48 ‏Payment دروازة‌هاي توزيع در سيستم شده عوامل SET امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 49 مراحل انجام يك تراكنش مالي -1مشتري يك حساب كارت اعتباري باز مي كند. -2مشتري يك گواهي (امضاء شده توسط بانك ) روي كليد عمومي خود دريافت مي كند. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 50 مراحل انجام يك تراكنش مالي -3بازرگان سه گواهي براي امضاء، تبادل كليد و ارتباط با دروازة پرداخت در اختيار دارد. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 51 مراحل انجام يك تراكنش مالي -4مشتري از طريق سايت بازرگان كااليي را سفارش مي دهد. بازرگان در جواب ليست قيمت ها را به همراه فرم سفارش و گواهي معتبر خود ( از بانك) براي مشتري ارسال مي كند. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 52 مراحل انجام يك تراكنش مالي -5مشتري هويت بازرگان را از طريق بررسي گواهي وي چك مي كند. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 53 مراحل انجام يك تراكنش مالي امضاء دوگانه -6گواهي مشتري، اطالعات سفارش و اطالعات پرداخت براي بازرگان ا6رسال مي شود. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 54 مراحل انجام يك تراكنش مالي -7بازرگان از دروازة پرداخت مي خواهد كه اعتبار اطالعات پرداخت راچك كند. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 55 مراحل انجام يك تراكنش مالي -8بازرگان پس از اطمينان از معتبر بودن اطالعات پرداخت ،رسيد دريافت سفارش را براي مشتري مي فرستد و سپس كاال يا امنيت در سيستم‌هاي توزيع سرويس مورد‌الداني برنجكوب – ترك نظر را فراهم مي شده 56 مراحل انجام يك تراكنش مالي -9بازرگان از دروازة پرداخت تقاضاي پرداخت ميكند. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 57 امضاء دوگانه هدف :مرتبط ساختن دو پيام كه براي دريافت كنندگان مجزا ارسال مي شود. (بانك نيازي به دانستن اطالعات سفارش ندارد) بازرگان اطالعات سفارش (بازرگان نبايستي اطالعات پرداخت را بداند) بانك اطالعات پرداخت الزم است اين اطالعات با يكديگر مرتبط شوند به نحوي كه بعداً مشتري بتواند اثبات كند كه پرداخت وي براي يك سفارش خاص بوده است. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 58 امضاء دوگانه امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 59 تقاضاي خريد (rchase Request امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 60 بررسي تقاضاي خريد توسط بازر امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 61 سيستم احراز اصالت Kerberos چيست ؟ ‏Kerberos •يك روش قوي براي انجام احراز اصالت توزيع شده بين كاربردهاي سرويس دهنده/سرويس گير است. • از روش رمزنگاري متقارن استفاده مي كند. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 62 Kerberos اجزاء •Authentication Server (AS) •Ticket-Granting Server (TGS) •Destination Server 63 برنجكوب – ترك‌الداني امنيت در سيستم‌هاي توزيع شده عملكرد Kerberos امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 64 جمع بندي امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 65 تفاوت امن سازي در اليه هاي مخ -قابليت انعطاف كمتر +قابليت انعطاف بيشتر -پيچيدگي بيشتر +پيچيدگي كمتر ‏Application Layer -محدوديت زماني‌بيشتر +وسعت زماني بيشتر ‏Transport Layer -محدوديت سرويسهاي قابل ارائه +سرويسهاي قابل ارائه بيشتر ‏Internet Layer -خاص شدن سرويسها +عموميت بيشتر سرويسها ‏Network Access Layer +شفافيت بيشتر سرويسها امنيت در سيستم‌هاي توزيع شده شفافيت كمتر سرويسبرنجكوب – ترك‌الداني 66 تشبيه بسته‌بندي اجناس امن‌سازي در الية كاربرد امن‌سازي در الية حملبسته‌بندي پستي چينش در اتاقكهاي امن‌سازي در الية اينترنت مخصوص ترابري امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌الداني 67