امنیت در سیستم های توزیع شده (مفاهیم، فن آوری و راهکارها)

امنیت در سیستم های توزیع شده (مفاهیم، فن آوری و راهکارها)

اسلاید 1: نخستين دوره كارگاههاي آموزشي انجمن رمزايرانامنيت در سيستم هاي توزيع شده (مفاهيم، فن آوري و راهكارها) نشست چهارم حفاظت از شبكه و تأمين امنيت ارتباطات در شبكه هاي كامپيوتريبسم الله الرحمن الرحيمبرنجكوب – ترك لاداني 30/7/1380

اسلاید 2: امنيت ارتباطات و حفاظت شبكهديوارة آتش: روش حفاظت از شبكهايجاد امنيت در لاية IP (IPSec)ايجاد امنيت در لاية نشست (SSL)ايجاد امنيت در لاية كاربرد (Kerberos , SET)جمع بنديسر فصل مطالب

اسلاید 3: ارتباط امن بين‌شبكه‌اي : ارتباط امنامنيت ارتباطات و حفاظت از شبكهحفاظت از شبكة خودي :

اسلاید 4: VirtualPrivateNetworkامنيت ارتباطات و حفاظت شبكه

اسلاید 5: امنيت ارتباطاتApplicationPresentationSessionTransportNetworkDatalinkPhysicalSSL,TLSIPSecCircuit Proxy Packet FilteringPPTPSET, PEM, S-HTTPKerberos,…Application Proxyحفاظت از شبكهامنيت ارتباطات و حفاظت شبكه

اسلاید 6: ديوار‌هاي محافظ ساختمان‌هاگذرنامه براي ورود و خروج از كشوردرب آپارتمان با دستگيرة يكطرفه و قفلمنشي دفاتر اداري ...Firewallديوارة آتش : تكنيك كنترل دسترسي به شبكهامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 6 تشابهات :

اسلاید 7: FirewallInternetديوارة آتش امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 7

اسلاید 8: تمامي اطلاعات، از داخل به خارج يا بالعكس ، بايستي از ديوارة آتش عبور نمايد. فقط اطلاعاتي كه مجاز بون آنها در سياست امنيتي محلي تعريف شده است، مجاز به عبور مي‌باِشند. ديوارة آتش، بايستي خود مصون از حملات خرابكارانه باشد. تعاريفامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 8ديوارة آتش مجموعه‌اي از اجزاء است كه بين دو شبكه قرار مي‌گيرد و مجموعاً ويژگي‌هاي زير را برآورده مي‌كند :

اسلاید 9: دروازه‌هاي كاربرد(Application Gateways) دروازه‌هاي سطح مدار (مثل سرويس دهندة Socks) دروازه‌هاي سطح كاربرد (سرويس دهنده‌هاي Proxy) تعاريفامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 9 سياست امنيتي فايروال فيلتر بسته (Packet Filter) بازبيني وضعيت‌گرا (Stateful Inspection)

اسلاید 10: فيلتر بسته ، يكي از تجهيزات ارتباط بين شبكه‌اي است كه مجموعه‌اي از قوانين (فيلتر كردن بسته) را روي بسته‌هاي IP ورودي اعمال مي‌كند تا تشخيص دهد كه بسته بايستي عبور نمايد يا حذف شود.امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 10 فيلتر كردن بسته‏ها

اسلاید 11: فيلتر كردن بسته‌ها معمولاً براساس اطلاعات زير صورت مي‌گيرد : آدرس‌هاي IP مبدأ و مقصد شمارة پروتكل شمارة پورت TCP يا UDP رابط شبكه (Network Interface) فيلتر كردن بسته‏هاامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 11

اسلاید 12: مثال : جدول فيلتر (FTP)(Telnet)(SMTP)امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 12

اسلاید 13: دروازه هاي سطح كاربردامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 13

اسلاید 14: دروازه‏هاي سطح مدارامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 14

اسلاید 15: عملكرد دروازه هاي كاربردسرويس گيرنده به ميزبان Proxy متصل شده، از سرويس دهندة دور تقاضاي سرويس مي‌كند 2) ميزبان Proxy ، آدرس IP مربوط به سرويس گيرنده را بررسي كرده ، سرويس‌ گيرنده را احراز اصالت مي‌كند و مجوز وي را براساس سياست امنيتي شبكه بررسي مي‌كند3) ميزبان Proxy به سرويس دهنده متصل شده، داده‌هاي سرويس گيرنده را با سرويس دهندة اصلي دست به دست مي‌كند. امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 15

اسلاید 16: براي احراز اصالت كاربر به صورت مناسب ، ميزبان Proxy بايد به يك سرويس دهندة مركزي كه حاوي اطلاعات احراز اصالت است دسترسي داشته باشد. RADIUS (Remote Authentication Dial-In User Service) TACACS , XTACACS , TACACST+ (CISCO) احراز اصالت توسط دروازة كاربردامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 16Authentication Server

اسلاید 17: Socks (نسخه‌هاي 4 و 5) يك دروازة سطح مدار (لاية انتقال) است كه مي‌توان آن را براي كاربردهاي مختلف بكار برد. كاربردي كه براي بكارگيري تبادلات Socks اصلاح شده است را اصطلاحاً Socksified شده گوينده (Netscape ، IE و ...) يك كاربرد Socksified شده بجاي فراخواني Socketها ، توابع Socks را فراخواني مي‌كند. Socks Proxyمثال : امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 17

اسلاید 18: قابليت‌هاي Socks نسخة 5 :سرويس گيرنده و سرويس دهندة Socks مي‌توانند برروي روش احراز اصالت مذاكره كنند.) روش‌هايي كه پشتيباني مي‌شوند، شامل كلمة عبور و Kerberos/GSS-API هستند) در صورت انتخاب روش Kerberos/GSS-API براي احراز اصالت، مي‌توان صحت و محرمانگي داده را نيز فراهم نمود و برروي آنها نيز مذاكره كرد. از كتابخانة توابع SOCKS V5 مي‌توان براي Socksify كردن كاربردهاي مبتني بر TCP و UDP استفاده كرد. Socks proxyمثال : امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 18

اسلاید 19: Screened host firewall system (single-homed bastion host)پيكر بندي‏هاي ديوارة آتشامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 19

اسلاید 20: Screened host firewall system (dual-homed bastion host)پيكر بندي‏ها...امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 20

اسلاید 21: Screened-subnet firewall systemپيكر بندي‏ها...امنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 21

اسلاید 22: دستيابي بدون مجوز به بيرون از شبكه از طريق بكارگيري مودم و خطوط تلفن كماكان امكان‌پذير است. ديوارة آتش محافظتي را در مقابل حمله كنند‌گان داخلي به عمل نمي‌آورد. ديوارة آتش محافظت كمي در مقابل حملات منتج از داده (مثل برنامه‌ها يا فايل‌هاي داده‌اي آلوده به ويروس ، اپلت‌هاي Java و كنترل‌هاي Activex) ايجاد مي‌كند. محدوديت‏هاي ديواره‏هاي آتشامنيت در سيستم‌هاي توزيع شده برنجكوب – ترك‌لاداني 22

اسلاید 23: ايجاد امنيت ارتباطات در لايه هاي مختلف شبكه

اسلاید 24: لايه شبكه+ سرويسهاي امنيتي از ديد كاربردها شفاف هستند- سرويسها وابسته به كاربر نيستند- سرويسهاي وابسته به كاربرد مشكل پياده‌سازي مي‌شودايجاد امنيت در لاية شبكه

اسلاید 25: معماري امنيتي پروتكل اينترنت (IPV4 و IPV6)مجموعه استاندارد هاي IETF براي ايجاد امنيت قابل تعامل و مبتني بررمزنگاريپياده سازي سرويس هاي امنيتي در لاية IP ايجاد سرويس هاي امنيتي شفاف براي پروتكل هاي لاية بالاترIPSec كل شبكه را امن مي كند و امنيت تمامي كاربردهايي كه از شبكه استفاده مي كنند را تضمين مي كند.امنيت IP (IPSec)IPSec چيست؟

اسلاید 26: IPSec سرويس هاي امنيتي زير را فراهم مي‏كند :Confidentiality (encryption) Connectionless IntegrityData Origin AuthenticationLimited Traffic-Flow ConfidentialityAccess Controlسرويس هاي امنيتي IPSec

اسلاید 27: Modes IPSecTransport ModeTunnel Mode

اسلاید 28: بكارگيري مدهاي IPSec

اسلاید 29: يك سناريوي IPSec

اسلاید 30: پروتكل هاي امنيتيAuthentication Header (AH)Encapsulating Security Payload (ESP)تداعي گرهاي امنيتي (Security Associations)مديريت كليدIKE (Internet Key Exchange) الگوريتمهايي براي رمزنگاري و احراز اصالت.اجزاء IPSec

اسلاید 31: IPSec در عمل

اسلاید 32: تركيب SA ها

اسلاید 33: لايه انتقال+ سرويسهاي امنيتي براي كاربردهاي مورد نظر قابل اعمالند- بايد در كاربردها اصلاحات مورد نياز را اعمال نمودايجاد امنيت در لاية انتقال

اسلاید 34: پروتكل (Secure Socket Layer) SSL توسط شركت Netscape ارائه شد. SSL به عنوان واسط بين لاية انتقال و لاية كاربرد عمل مي كند. از SSL مي توان براي امن كردن سرويس هاي ارتباطي مبتني برTCP و پروتكل هاي لاية كاربرد (مثل FTP وHTTP) استفاده كرد.پروتكل SSL

اسلاید 35: معماري SSLTCP/IPSSL HandshakeApplicationApplicationSSL RecordSSL HandshakeSSL RecordTCP/IP

اسلاید 36: معماري SSL

اسلاید 37: عملكرد پروتكل Record

اسلاید 38: SSL Record Format

اسلاید 39: Client و Server با كمك پروتكل Handshake :روي نسخة پروتكل موافقت مي كنند. الگوريتمهاي رمزنگاري را انتخاب مي كنند.همديگر را احراز اصالت مي كنند(انتخابي).كليد هاي مخفي را توليد مي كنند. اگر يك نشست SSL قبلاً ايجاد شده باشد مي توان باتوافق طرفين از همان نشست استفاده كرد.SSL Handshake Protocol

اسلاید 40: مراحل انجام پروتكل Handshake

اسلاید 41: مراحل انجام پروتكل Handshake

اسلاید 42: مراحل انجام پروتكل Handshake

اسلاید 43: مراحل انجام پروتكل Handshake

اسلاید 44: لايه كاربرد+ سرويسهاي امنيتي از ديد شبكه شفاف هستند- سرويسهاي امنيتي براي هر كاربر بايستي بطور مجزا طراحي و پياده شوندايجاد امنيت در لاية كاربرد

اسلاید 45: سيستم‏هاي پرداخت الكترونيكيSETSecure Electronic TransactionsSecure payment systems

اسلاید 46: SET مشتركاً توسط VISA و MasterCard ارائه شد و براي محافظت كارت هاي اعتباري در حين انجام تراكنش هاي مالي استفاده مي شود:ايجاد كانال هاي امن براي عوامل دخيل در يك تراكنشفراهم كردن اعتماد بر اساس گواهي هاي X.509 ايجاد محرمانگي اطلاعات در طي تراكنشسيستم‏هاي پرداخت الكترونيكي

اسلاید 47: نيازمندي‏هاي يك سيستم پرداخت با كارت اعتباري محرمانگي اطلاعات سفارشات و پرداخت‏هاحفظ صحت اطلاعات ارسالياحراز اصالت صاحب كارت روي حساب كارت اعتباري احراز اصالت طرف معامله براي صاحب كارت سيستم هاي پرداخت

اسلاید 48: صاحب كارت : خريدار (Card holder)بازرگان: فروشنده (Merchant) صادركنندة كارت : بانك (Issuer)مؤسسة سرويس دهي مالي (Acquirer) دروازة پرداخت (Payment Gateway) مرجع گواهي (Certificate Authority)عوامل SET

اسلاید 49: عوامل SET

اسلاید 50: مراحل انجام يك تراكنش مالي1- مشتري يك حساب كارت اعتباري باز مي كند.2- مشتري يك گواهي (امضاء شده توسط بانك ) روي كليد عمومي خود دريافت مي كند.

اسلاید 51: مراحل انجام يك تراكنش مالي3- بازرگان سه گواهي براي امضاء، تبادل كليد و ارتباط با دروازة پرداخت در اختيار دارد.

اسلاید 52: مراحل انجام يك تراكنش مالي4- مشتري از طريق سايت بازرگان كالايي را سفارش مي دهد. بازرگان در جواب ليست قيمت ها را به همراه فرم سفارش و گواهي معتبر خود ( از بانك) براي مشتري ارسال مي كند.

اسلاید 53: مراحل انجام يك تراكنش مالي5- مشتري هويت بازرگان را از طريق بررسي گواهي وي چك مي كند.

اسلاید 54: مراحل انجام يك تراكنش مالي6-گواهي مشتري، اطلاعات سفارش و اطلاعات پرداخت براي بازرگان ارسال مي شود.امضاء دوگانه

اسلاید 55: مراحل انجام يك تراكنش مالي7-بازرگان از دروازة پرداخت مي خواهد كه اعتبار اطلاعات پرداخت راچك كند.

اسلاید 56: مراحل انجام يك تراكنش مالي8- بازرگان پس از اطمينان از معتبر بودن اطلاعات پرداخت، رسيد دريافت سفارش را براي مشتري مي فرستد و سپس كالا يا سرويس مورد نظر را فراهم مي كند.

اسلاید 57: مراحل انجام يك تراكنش مالي9- بازرگان از دروازة پرداخت تقاضاي پرداخت مي‏كند.

اسلاید 58: هدف : مرتبط ساختن دو پيام كه براي دريافت كنندگان مجزا ارسال مي شود.(بانك نيازي به دانستن اطلاعات سفارش ندارد) بازرگان اطلاعات سفارش(بازرگان نبايستي اطلاعات پرداخت را بداند) بانك اطلاعات پرداختلازم است اين اطلاعات با يكديگر مرتبط شوند به نحوي كه بعداً مشتري بتواند اثبات كند كه پرداخت وي براي يك سفارش خاص بوده است.امضاء دوگانه

اسلاید 59: امضاء دوگانه

اسلاید 60: تقاضاي خريد (Purchase Request)

اسلاید 61: بررسي تقاضاي خريد توسط بازرگان

اسلاید 62: يك روش قوي براي انجام احراز اصالت توزيع شده بين كاربردهاي سرويس دهنده/سرويس گير است. از روش رمزنگاري متقارن استفاده مي كند. در دانشگاه MIT طراحي شده است.سيستم احراز اصالت KerberosKerberos چيست؟

اسلاید 63: Authentication Server (AS)Ticket-Granting Server (TGS) Destination Serverاجزاء Kerberos

اسلاید 64: عملكرد Kerberos

اسلاید 65: جمع بندي

اسلاید 66: قابليت انعطاف كمتر پيچيدگي بيشتر محدوديت زماني‌بيشتر محدوديت سرويسهاي قابل ارائه+ عموميت بيشتر سرويسها+ شفافيت بيشتر سرويسها+ قابليت انعطاف بيشتر+ پيچيدگي كمتر+ وسعت زماني بيشتر+ سرويسهاي قابل ارائه بيشتر- خاص شدن سرويسها- شفافيت كمتر سرويسApplication LayerTransport LayerInternet LayerNetwork Access Layerتفاوت امن سازي در لايه هاي مختلف

اسلاید 67: امن‌سازي در لاية كاربردبسته‌بندي اجناسامن‌سازي در لاية حملبسته‌بندي پستيامن‌سازي در لاية اينترنتچينش در اتاقكهايمخصوص ترابريتشبيه