https://virgool.io/feed/@sec.cehfan401 fa 2026-06-10 13:05:25 https://static.virgool.io/images/default-avatar.jpg https://virgool.io/@sec.cehfan401 https://virgool.io/@sec.cehfan401/%D9%85%D8%B9%D8%B1%D9%81%DB%8C-3-%D9%85%D8%B1%D8%AD%D9%84%D9%87-%D9%88-7-%D9%81%D8%A7%DA%A9%D8%AA%D9%88%D8%B1-%D8%AF%D8%B1-%D9%85%D8%AA%D8%AF%D9%88%D9%84%D9%88%DA%98%DB%8C-%DA%A9%D8%B4%D9%81-%D8%AC%D8%B1%D8%A7%D8%A6%D9%85-%D8%B1%D8%A7%DB%8C%D8%A7%D9%86%D9%87-%D8%A7%DB%8C-denf712tmlyx کشف جرائم رایانه ای یک متدولوژی کاملا تعریف شده و واضح برای حفظ و نگهداری ، شناسایی ، بازگردانی و مستند سازی داده های الکترونیکی و کامپیوتری است . کشف جرائم رایانه ای به تازگی بصورت حقوقی در مجامع قانونی مطرح شده است و اولین باری که علم اینگونه کشف جرم مطرح شده و بکارگیری شد در دهه 1980 میلادی بود .پیشرفت این علم کاملا منطبق و وابسته به پیشرفت صنایع الکترونیک و کامپیوتر است .کشف جرائم رایانه ایکامپیوترها یکی از مواردی هستند که بیشترین هدف برای انجام آزمایشهای کشف جرم هستند اما تجزیه و تحلیل های مربوط به کشف جرائم صرفا به کامپیوترها ختم نمی شود . گوشی های تلفن همراه ، PDA ها ، دوربین های عکاسی و پیجر ها و هر چیزی که مربوط به تجهیرات الکترونیکی باشد می تواند مورد تجزیه و تحلیل قرار بگیرد .حملات هکری انجام شده و سوء استفاده کارکنان از کامپیوترها نیز به نیاز های سازمان مبنی بر آزمایش تجهیزات الکترونیکی اضافه شده است .شیوه نامناسب اداره کردن نقاط مهم یک سازمان می تواند میلیون ها تومان برای سازمان هزینه در بر داشته باشد . شرکت ها و سازمان ها باید این تجهیزات و داده ها را به خوبی نگهداری کنند . به دلیل اینکه اطلاعات الکترونیکی به راحتی قابل تغییر هستند ، آزمون کشف جرم معمولا به سه مرحله تقسیم می شود :پیدا کردن و ذخیره سازی : معمولا در اولین مرحله از این آزمون شما بایستی تا می توانید اطلاعات جمع آوری کنید . معمولا به این فرآیند bit level copy نیز گفته می شود . Bit Level Copy به این معناست که از هر اطلاعاتی که در حال حاضر به عنوان اطلاعات اصلی موجود است یک کپی گرفته شود بطوریکه کسانی که مشغول آزمایش اطلاعات و داده های موجود جهت بررسی اسناد جرم هستند بتوانند با خیال راحت یک کپی برای انجام بررسی ها از داده ها برداشته و بر روی آن آزمایش های خود را انجام دهند. این عمل باعث می شود اطلاعات و داده های اصلی بدون تغییر و قابل استناد باقی بمانند .سندیت و تصدیق : این فرآیند به کارشناس جرم این امکان را می دهد که ثابت کند اطلاعاتی که بر روی آنها بررسی ها و کارشناسی ها انجام شده است صحیح و درست و بدون تغییر هستند و می توان به عنوان سند جرم از آنها استفاده کرد. اینکار بصورت عمده به وسیله استفاده از الگوریتم های Hash و دریافت Hash هر یک از اطلاعات موجود در قسمت اول توسط الگوریتم های Hashing مانند MD5 و یا SHA انجام می شود . الگوریتم های Hashing مانند MD5 و SHA توانایی این را دارند که صحت اطلاعات را تایید کنند و ثابت کنند که اطلاعات در بین راه دستکاری و تغییر نکرده است و به همین دلیل نیز قابل استناد هستند .تجزیه و تحلیل : کارشناس جرائم رایانه ای بایستی بسیار با دقت اطلاعات و داده های موجود را تجزیه و تحلیل و آزمایش کند و مراحل کار را بصورت کامل مستند سازی کند. معمولا یک کارشناس جرائم رایانه ای با استفاده از بازگردانی اطلاعات از فضای پرت درایو ها ، فضای پرت فایل ها ، فایل های مخفی ، اطلاعات جابجا شده ، کش اینترنت و سایر فضاهای کامپیوتر مانند سطل زباله داده ها و اطلاعات مورد نیاز خود را تامین می کند . تمامی این اطلاعات طبق مراحل ذکر شده در مرحله دوم بوسیله الگوریتم ها و روش های ذکر شده کپی برداری می شوند و اطلاعات اصلی در یک جا بدون تغییر باقی می ماند .بررسی مدارک و شواهد یا Handling Evidenceدر فرآیند کشف جرائم رایانه ای بررسی شواهد و مدارک مهمترین قسمت فرآیند محسوب می شود . این فرآیند توسط روشی به نام Chain Of Custody انجام می شود . Chain Of Custody در حقیقت خود یک فرآیند است که به وسیله آن کلیه آزمایش هایی که بر روی مستندات و مدارک و شواهد موجود انجام می شود بصورت کامل مستند سازی شده و در هر بار دسترسی به این شواهد و مدارک از این دسترسی و بررسی های log برداری می شود به گونه ای که این بررسی ها برای ارائه در دادگاه جرائم رایانه ای قابل استناد باشد. یک Chain Of Custody کامل شامل گزارشی است که در آن دقیقا به دستورالعمل ها و فعالیت هایی که بر روی مدارک و شواهد و اسناد موجود انجام شده است اشاره شده است. همیشه به خاطر داشته باشید که تغییرات و بررسی ها بر روی یک کپی از اطلاعات اصلی انجام می شود و اطلاعات اصلی بدون تغییر در مکانی امن نگهداری می شوند .آزمایش مدارک و شواهد یا Trace Evidenceیا قانون همیشگی برای انجام آزمایش مدارک و شواهد وجود دارد ، هرگاه دو شیء به همدیگر تماس داشته باشند ، قطعا انتقال صورت خواهد گرفت . نتیجه آزمایش این مدارک و شواهد و انتقال اطلاعاتی که انجام شده است برای تعیین مکان ، اشیاء و اشخاصی که در این جرم نقش داشته اند موثر است.همیشه به خاطر داشته باشید که هر اندازه هم که مجرم دانش داشته باشد در نهایت قطعا اثری از خود باقی خواهد گذاشت . هرچند که مجرمین معمولا آثاری را که از جرمشان باقی مانده است را حذف و حتی کش های موجود را پاک می کنند اما همیشه و همیشه نقطه ای برای انجام آزمایش ها باقی می ماند هر چند که این نکته بسیار ریز باشد .پاک کردن درایو یا Drive Wipingپاک کردن درایو یا Disk Wiping فرآیندی است که بر روی تمامی مکانهای قابل آدرس دهی دیسک ها اطلاعات را بازنویسی می کنیم . استاندارد پاک کردن درایو یا Drive Wiping وزارت دفاع ایالات متحده به شماره #52220-22M اینطور اعلام می کند : برای پاک کردن درایو ها بایستی کلیه مکان های قابل آدرسی دهی ابتدا یکبار با یک کاراکتر آدرس دهی شوند ، سپس مکمل آن کاراکتر بایستی مجددا در همان مکان آدرس دهی شود و در نهایت یک کاراکتر تصادفی در آن آدرس قرار گرفته و مجددا آزمایش شود .با استفاده از بازنویسی چند باره اطلاعات بر روی رسانه های اطلاعاتی یک سازمان می تواند احتمال بازگردانی اطلاعات را تا حد زیادی کاهش دهد . همیشه سازمان های مختلف در خصوص از بین بردن اطلاعات موجود بر روی رسانه های دخیره سازی دچار مشکل بوده اند و این نگرانی که ممکن است اطلاعات از روی اینگونه رسانه های بازیابی شود همیشه دغدغه اصلی سازمان ها بوده است . استفاده از روش های پاکسازی درایو با استفاده از روشی که ذکر شد یکی از روش هایی است که سازمان ها از آن استفاده می کنند اما توجه داشته باشید که همین روش نیز می تواند ابزاری برای استفاده مجرمین برای از بین بردن آثار جرمشان یا به اصطلاح Covering Tracks باشد .استاندارد سازی دستورالعمل های کشف جرائم رایانه ایدر مارچ 1998 سازمان بین المللی مدارک و شواهد رایانه ای ( IOCE ) تصمیم به ایجاد یک فرآیند و دستورالعمل استاندارد مرتبط با شواهد و مدارک دیجیتال گرفت. قبل از این زمان هر کشور برای خود روش و راهکاری متفاوت برای کشف و مستند سازی جرائم رایانه ای در اختیار داشت که شاید در دادگا های جرائم رایانه ای کشور ها و یا حتی شهر های مختلف آن کشور نیز قابل استناد نبودند. هدف این سازمان یکپارچه سازی روش ها و تمریناتی بود که ملل مختلف برای کشف و مدیریت شواهد و جرائم رایانه ای انجام می دادند ، بطوریکه این مدارک را بتوان در دادگاه های مختلف دنیا نیز ارائه و از آنها دفاع کرد . سازمان بین المللی مدارک و شواهد رایانه ای (www.ioce.org) شش اصل را برای دستیابی به این هدف و استاندارد تدوین و ارائه کرد که شرح ذیل می باشند :زمانی که با شواهد و مدارک دیجیتال روبرو هستید ، تمامی مراحل استاندارد و تایید شده در خصوص کشف جرائم رایانه ای بایستی اعمال شود .به هنگام به دست آوردن اطلاعات و شواهد دیجیتال ، عمل انجام شده به هیچ عنوان نبایستی اطلاعات دیجیتال اصلی را تحت تاثیر قرار دهد و اطلاعات اصلی بایستی دست نخورده باقی بمانند .زمانی که قرار است شخصی به اطلاعات و شواهد و مدارک دیجیتال اصلی دسترسی پیدا کند ، این شخص بایستی آموزش های لازم را دیده باشد ، ضمن اینکه به مورد دوم نیز حتما توجه کند .تمامی فعالیت های مربوط به بررسی شواهد و مدارک دیجیتال اعم از به دست آوردن ، دسترسی ، ذخیره سازی و انتقال بایستی بصورت تمام و کمال و در یک قالب استاندارد مستند سازی و نگهداری شوند به شکلی که در هر زمان که مورد نیاز بود قابل دسترس و نمایش باشند .زمانی که شخصی به عنوان مسئول نگهداری و یا بررسی شواهد و مدارک دیجیتال معرفی می شود ، این شخص مسئول تمامی اعمالی است که بر روی این شواهد و مدارک انجام می شود.هر شرکت یا آژانسی که مسئولیت بدست آوردن ، دسترسی ، ذخیره سازی و انتقال شواهد و مدارک دیجیتال را بر عهده دارد ، بایستی موارد فوق را کاملا درک و به آن عمل کند .دستگاه های قانونی اصلی یا Major Legal Systemsدستگاه های قانونی متفاوتی در دنیا وجود دارد که هر کدام بر اساس قوانین خاص خود جرائم را بررسی می کنند ، این تفاوت های می تواند در نوع حقوق متهم ، نقش قاضی ، ذات مدارک و شواهد و بسیاری دیگر از مسائل و موارد قانونی باشد . این دستگاه های قانونی مسائل را با روش های خاص خود بررسی و پیگیری می کنند، در زیر اسامی برخی از این نوع قوانین را مطرح می کنیم :قوانین غیر نظامی : این نوع قوانین به قوانین ناپلئونی نیز معروف هستند . این نوع قوانین در اروپا تدوین شده اند و مورد استفاده قرار می گیرند ، این نوع قوانین طیف وسیعی از قوانین را شامل می شوند و بصورت تدوینی نوشته شده و در دادگاه ها مورد استفاده قرار می گیرند .قوانین عمومی : این نوع از قوانین در انگلستان تدوین شد و در حال حاضر در ایالات متحده آمریکا ، کانادا ، استرالیا و نیوزیلند استفاده می شود . در این نوع قانون متهم تا زمانی که جرمش ثابت نشده است بی گناه است .قوانین مرسوم : اینگونه قوانین معمولا با یک سیستم یا دستگاه قانونی دیگر ترکیب می شوند . اینگونه قوانین بر پایه و اساس رسوم و شیوه اداره خاص یک ملت تدوین می شوند.قوانین اسلامی : اینگوه قوانین که در کشورهای اسلامی رواج دارد بر اساس آیین ها و دستورالعمل های تدوین شده است که در کتاب مقدس قرآن کریم آمده است.قوانین مدنی : در قوانین مدنی چیزی به نام زندان وجود ندارد . در اینگونه دستگاه های قانونی مجرمین معمولا با جزاهای نقدی تعیین شده بر اساس قوانین جریمه می شوند.قوانین تبهکاران : قوانین تبهکاران برای تنبیه کردن کسانی به کار برده می شود که از قوانین تبیین شده تبعیت نکرده اند . تنبیه در اینگونه قوانین می تواند جزای نقدی یا حبس و یا هر دوی این موارد باشد .قوانین مدیریتی : استانداردهای قوانین مدیریتی بر اساس اطلاعاتی که از کارایی و ارزش هایی که به وسیله آژانس های دولتی از طریق صنایع ، سازمان ها ، مراجع عالی رتبه و ماموران دریافت می شود وضع می شوند . اشخاص و سازمان هایی که از این قوانین تخلف کنند ، بر طبق قانون توسط جزای نقدی و یا حبس تنبیه خواهند شد .اینگونه قوانین معمولا به سازمان هایی همچون تامین اجتماعی ، بیمه ها و شرکت های دارو سازی اعمال می شوند .انواع شواهد و مدارک Evidence Typesبدست آوردن ، کنترل کردن ، ذخیره سازی و نگهداری شواهد و مدارک برای انجام تحقیقات قانونی بسیار مهم و حیاتی است .شواهد و مدارک می تواند بصورت کامپیوتری ، شفاهی و یا مکتوب باشند . به دلیل اینکه شواهد و مدارک کامپیوتری به راحتی قابل تغییر و دستکاری هستند ، به هنگام انجام بررسی ها و بازرسی ها بایستی تمهیدات نگهداری ویژه ای برای آنها در نظر گرفته شود . هر یک از انواع شواهد و مدارک برای ارائه شدن در دادگاه جرائم رایانه ای دارای سطح و کیفیت خاص خود هستند . شواهد و مدارکی که برای ارائه در دادگاه جرائم رایانه ای آماده می شوند بایستی از استانداردهای زیر پیروی کنند :با موضوع مطابق و مربوط باشدبصورت قانونی مجاز باشدمعتبر و قابل اعتماد باشدقابل شناسایی باشدبصورت مناسبی مستند سازی و نگهداری شده باشدبا توجه به اینکه شواهد و مدارک متوع و مختلفی در کامپیوتر وجود دارد ، روش های متنوع و مختلفی نیز برای دست آوردن شواهد و مدارک وجود دارد که همین روش ها می تواند قانونی یا غیر قانونی نیز باشند و بر طبق این کسانی که در این مرحله قانون را زیر پا بگذارند تحت تعقیب قانونی قرار خواهند گرفت ، استناد قانونی به شواهد و مدارک می تواند بر اساس معیارهایی که در زیر ذکر می شود تعیین شود :مدارک و مستندات اولیه (بهترین و معتبرترین مدرک ) : بهترین و معتبرترین مدرک در حقیقت آن سندی است که می توان به آن بیشترین اعتماد را داشت و بیشترین اتکا نیز در دادگاه بر این نوع مدرک استوار است . مستندات اصلی بدیت آمده میتواند نمونه ای از اینگونه مدارک باشند .مدارک و مستندات ثانویه : اینگونه شواهد و مدارک به قدرت مدارک و مستندات اولیه نیستند اما برای ارائه در دادگاه همچنان می توان به آنها اتکا کرد . یک کپی از مدرک به همراه محتویات به علاوه توضیحات شفاهی برای توجیح و تشریح آن می تواند نمونه ای از یک مدرک ثانویه باشد .شنیده ها و شایعات : این نوع از مستندات و مدارک به دلیل اینکه اطلاعات دست دوم و غیر قابل استناد محسوب می شوند در دادگاه قابل اثبات و ارائه نیستند . برخی از رکورد هایی که در کامپیوتر وجود دارد و همچنین یادداشت های تجاری و امثال اینها می تواند نمونه ای از شنیده ها و شایعات باشد.شواهد و مستندات مستقیم : اینگونه مدارک معمولا بر طبق اظهارات و شواهدی است که توسط حواس پنج گانه بدست می آید ، شنیداری ، بینایی .... معمولا برای اثبات در دادگاه قابل استناد نیستند اما می تواند در حل موضوع کمک کنند .بدام انداختن و تله گذاری : به دام انداختن روشی است که از طریق مجوز مراجع قانونی وضعیتی مانند طعمه گذاری انجام می شود تا بتوان فعالیت های موجود را تجزیه و تحلیل و فعالیت های مشکوک را بررسی کرد . پیاده سازی ساختار هانی پات یا ظرف عسل می تواند بسیار در بررسی و تجزیه و تحیلی حملات هکری که بر روی شبکه و سیستم های شما و مطالعه بر روی هکر ها کمک کند . تله گذاری به این روش انجام می شود که برای شخصی که مضنون است طعمه ای آماده می شود که وی را تحریک به انجام عملیات غیر قانونی خود کند و در نتیجه شخص دستگیر و مدارک بررسی می شود .محاکمه یا Trialمعمولا دو نوع محاکمه انجام می شود ، اولین محاکمه توسط قاضی دادگاه و دومین محاکمه توسط هیئت منضفه یا اعضای هیئت ژوری انجام می شود . بیشتر اعضای هیئت ژوری معمولا از اعضای مورد اعتماد و رسمی بومی همان منطقه جغرافیایی دادگاه هستند . جرائم رایانه ای برای تعقیب و پیگیری نسبت سایر جرائم بسیار سخت تر هستند.دلایل اصلی این امر پیشرفت همه روزه فناوری ها و همچنین کندی اعمال تغییرات در دستگاه های قانونی است . حتی زمانی که اینکار با موفقیت انجام شود و جرم این افراد اثبات شود ، روشی که با اینگونه افراد برخورد می شود با سایر تبهکاران متفاوت است زیرا اینگونه جرائم به نوعی جرائم به اصطلاح White Color یا سفید رنگ هستند و از اینگونه مجرمین می توان در جهت منافع سازمان ها استفاده و بهره برداری کرد .اگر می خواهید مباحث امنیت شبکه و تشخیص نفوذ را به خوبی یاد بگیرید به دوره آموزش کشف جرائم رایانه ای در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Tue, 21 Feb 2023 00:42:18 +0330 https://virgool.io/@sec.cehfan401/%D9%85%D8%B1%D8%A7%D8%AD%D9%84-%D8%A7%D9%86%D8%AC%D8%A7%D9%85-%D8%AD%D9%85%D9%84%D9%87-%D9%87%DA%A9%D8%B1%DB%8C-%DA%86%DB%8C%D8%B3%D8%AA-%D9%85%D8%B9%D8%B1%D9%81%DB%8C-6-%D9%85%D8%B1%D8%AD%D9%84%D9%87-%D9%87%DA%A9-%D9%88-%D8%A7%D9%86%DA%AF%DB%8C%D8%B2%D9%87-%D9%87%DA%A9%D8%B1%D9%87%D8%A7-capujjrl0bwy قبل از اینکه به بحث مراحل انجام حملات هکری و انگیزه هکرها بپردازیم به این پاراگراف خوب دقت کنید : این مایه تاسف است ؛ اما بایستی بگویم که بیشتر سازمان ها و شرکت هایی که در حال حاضر در دنیا مشغول به فعالیت هستند هدف حملات هکری قرار می گیرند . یک تحقیق در سال 2003 میلادی نشان داد که منبع بیش از 75 درصد حملات هکری که به سازمانها و شرکت ها انجام می شود از داخل و توسط کارکنان همان سازمان یا شرکت انجام می شود . در همان تحقیق آمار جالبی نیز بدست آمد که بر طبق آن بیش از 240 میلیارد تومان ( در سال 2003 نه با قیمت دلار امروزی ) برای بازگردانی و بازیابی از حمله و برگردادن سازمان یا شرکت به حالت عادی فعالیت هزینه شده است .این آمار ها نشان دهنده این است که ما بایستی به اهمیت امنیت محیط عملیاتی ( موثر ) و همچنین کنترل های درست امنیتی بیشتر توجه کنیم .قانون همیشگی پیشگیری بهتر از درمان است همیشه و در همه موارد صادق است ، شما به جای اینکه منتظر باشید تا فعالیت سازمان دچار مشکل شود و بعد به فکر درست کردن آن بیافتید ، بهتر است از قبل تمهیدات امنیتی خود را با هزینه ای بسیار پاینتر پیاده سازی کنید تا مشکلات بالقوه آینده کمتر بوجود بیایند . خوب بیاید در خصوص این موضوع صحبت کنیم که ما بایستی از چه افرادی بترسیم ؟ منظور من افرادی است که ممکن است باعث ایجاد اختلال در شبکه سازمان شما بشوند است نه همه افراد ، این افراد مضر و مخرب را می توان به صورت کلی به دو دسته تقسیم کرد :کارمندهای داخلی ( خودی ها ) : اینگونه افراد همان کارکنانی هستند که در حال حاضر مشغول به فعالیت در شرکت یا سازمان شما هستند و یا اینکه از آنجا اخراج شده اند . کارمند های داخلی ممکن است افراد ناراضی شرکت شما را نیز تشکیل بدهند ، افرادی که از کار و وضعیت درآمد خود ناراضی هستند .افراد خارجی یا بیگانه : اینگونه از افراد هرگز برای سازمان یا شرکت شما فعالیت نکرده اند و شاید بتوانیم بگوییم که شما خوش شانس هم بوده اید که این افراد برای شما کار نکرده اند . اما همین دسته از افراد نیز خود به یک سری گروه های دیگر تقسیم بندی می شوند که به شرح ذیل می باشند :Script Kiddiesاینگونه از افراد که بعضا نام خود را هکر هم می گذارند ( عمرا ) ، در حقیقت افرادی هستند که با استفاده کردن از ابزارها ، اسکریپت ها و روتکیت هایی که توسط افرادی با دانش بالاتر نسبت به آنها نوشته شده است فعالیت می کنند . اصلا آنها نمی دانند که این اسکریپتی که در حال اجرای آن هستند ممکن است چه نوع تخریبی انجام دهد و اصلا چگونه کار می کند . به نظر من و بسیاری دیگر از کارشناسان امنیت اینگونه افراد بیشترین صدمه را می توانند به سازمان ها و شرکت ها بزنند زیرا از عواقب کار خود اطلاعی ندارند .جاسوس های شرکتیاینگونه از افراد جاسوس هایی هستند که از طرف شرکت های رقیب برای سرقت کردن اطلاعات حساس و حیاتی شرکت شما مامور می شوند ، برای مثلا شرکت خودرو سازی X به شخصی پولی را پرداخت می کند در ازای بدست آوردن اطلاعات از سیستم ایمنی شرکت خودرو سازی Y و این اطلاعات ممکن است بسیار حیاتی و حساس باشد هکرهای ممتازاینگونه افراد معمولا هیچگونه هدف جاسوسی و یا اینکه از طرف شرکت یا کشور و یا سازمانی ماموریت داشته باشند را ندارند ، اینگونه افراد معمولا اهداف متنوعی در انجام دادن حملات خود دارند ، بسیاری از این افراد قصد دارند دانش زیاد خود را به رخ سایرین بکشند و یا اینکه از شرکت و یا سازمان مربوطه صدمه ای دیده اند و از جانب آنها برایشان ناراحتی پیش آمده که قصد تلافی کردن این حرکت را دارند. برای مثال شما به عنوان یکی از این افراد به یکی از شعب بانک ملی ایران می روید و پس از 2 ساعت معتلی به خاطر یک چک و در نهایت دریافت پاسخ به بدترین شکل و پاس نشدن چک از کارکنان و ساختار بانکی این بانک شاکی می شوید و بعد وارد سیستم بانکی این بانک شده و آنرا هم می کنید و بر روی صفحه اصلی وب سایت آنها می نویسید : به مشتریان خود احترام بگذارید .خوب به نظر شما کدام گروه می تواند بیشترین میزان تخریب را داشته باشد ؟ قطعا همه شما با من هم عقیده هستید که کارمند های داخلی یا خودی ها بیشترین مشکلات را برای ما بوجود خواهند آورد . جرم شناسان مجرمین رو با سه صفت توصیف می کنند : کسانی که اهداف ، انگیزه یا علت و فرصت های لازم برای انجام جرم را دارا هستند .به این سه ضلع ، مثلث جرم نیز گفته می شود . که در شکل الف مشاهده می کنید .کارکنان داخلی یا خودی ها همیشه هدف و فرصت مناسب را برای انجام جرم دارا هستند. تنها چیزی که آنها نیاز دارند انگیزه است . از طرفی دیگر خارجی های یا افراد بیگانه افراد مورد اعتمادی برای دسترسی به منابع داخلی سازمان نیستند ، آنها در خارج از سازمان شما قرار دارند و با داشتن کمی فرصت برای انجام دادن حملاتشان حتما شروع به کار خواهند کرد . کسانی که قصد حمله و سوء استفاده از اطلاعات را دارند بایستی از مثلث جرم ، هر سه مورد را داشته باشند . تکمیل شدن این مثلث می تواند منجر به تکمیل شدن جرم باشد .شکل الف : مثلث وقوع جرممتدولوژی های معمول حملات هکریحملات هکری معمولا یک یا چندین قسمت از مثلث امنیت اطلاعات یا بهتر بگوییم CIA امنیت اطلاعات را هدف قرار می دهند ، همانطور که می دانید مثلث امنیت اطلاعات شامل محرمانگی ، یکپارچگی و تمامیت و دسترسی پذیری اطلاعات می باشد . حملاتی که بر روی محرمانگی و صحت اطلاعات تمرکز می کنند معمولا منجر به دسترسی پیدا کردن به اطلاعات می شوند حال آنکه حملاتی که به دسترسی پذیری اطلاعات انجام می شود لزوما نبایستی باعث دسترسی پیدا کردن به اطلاعات شود . حملاتی که به دسترسی پذیری یا Availability اطلاعات می شود معمولا از نوع حملات از سرویس خارج کردن یا Denial Of Service هستند .نمونه ای از حملات خارج از سرویس کردن ( DOS ) در محیط واقعیدر فوریه سال 2000 وب سایت های شرکت های یاهو و Ebay به وسیله یک حمله DOS کاملا از سرویس خارج شدند . حمله انجام شده هیچگونه دسترسی را به مهاجمان به شبکه داخلی آنها نداده بود اما باعث شده بود که این کمپانی ها نتوانند به سرویس دهی ادامه دهند . در سال 2001 هکر به نام مستعار Mafiaboy در یک دادگاه در کانادا به دلیل انجام این حملات به 8 ماه زندان محکوم شد .هکرها اهداف متنوعی را برای هک کردن انتخاب می کنند ، اما روش و معماری که هر هکر برای انجام عملیات خود استفاده می کند تقریبا ثابت است . معمولا این متدولوژی هک و حملات هکری به شکل زیر است ، در شکل ب متدولوژی حمله به وضوح قابل مشاهده است :شکل ب : متدولوژی انجام حملات هکریعبارت Foot printing یا شناسایی : در این مرحله یک هکر تا جایی که امکان دارد در خصوص هدف مورد حمله اطلاعات بدست می آورد ، این اطلاعات می تواند از طریق وب سایت اینترنتی سازمان ، پایگاه های داده عمومی ، گروه های یاهو و گوگل و یا حتی از پرنسل سازمان بدست بیاید . به این مرحله Passive Reconnaissance یا شناسایی غیرفعالی هم گفته می شود . عبارت Scanning یا اسکن کردن : این مرحله تا حدی به مرحله قبلی مرتبط است زیرا باز هم برای بدست آوردن اطلاعات استفاده می شوند . به این مرحله که بعد از شناسایی اولیه انجام می شود Active Reconnaissance یا شناسایی فعال هم گفته می شود . در این مرحله یک هکر با استفاده از ابزارهای و تکنیک های مختلف پورت ها و سرویس های فعال بر روی هدف را تحلیل می کند و در این خصوص اطلاعات لازم را جمع آوری می کند .مرحله سوم : Enumeration یا جمع آوری اطلاعات : این مرحله به مرحله قبلی که Scanning است بسیار نزدیک است با این تفاوت که در این نوع جمع آوری اطلاعات ، اطلاعات بسیار دقیقتی از اهداف مورد حمله جمع آوری می شود ، برای مثال پوشه های به اشتراک گذاشته شده با سطح دسترسی ضعیف ، نام های کاربری موجود در شبکه ، رمز های عبور ضعیف و بسیاری موارد دیگر در این مرحله از حمله انجام می شود . عبارت Penetrate یا نفوذ : تفاوت این مرحله با مراحل قبلی این است که در این مرحله مهاجم حمله خود را انجام داده است و رسما کاری از دست شما بر نیامده است . در این مرحبه مهاجم با استفاده از اطلاعاتی که در مراجل قبلی جمع آوری کرده است ، حمله خود را برنامه ریزی کرده است و شبکه شما مورد هجوم وی قرار گرفته است . در این مرحله شما هک شده اید.عبارت Escalate یا بالا بردن دسترسی :فکر نکنید که زمانی که یک هکر وارد یک سیستم شده است قطعا دسترسی های یک مدیر سیستم را دارد . معمولا دسترسی هایی که بصورت غیر مجاز توسط هکرها انجام می شود دسترسی های سطح پایین است ، هکر ها با استفاده از تکنیک های خاص به نام Privilege Escalation یا بالا بردن سطح دسترسی از طریق همان دسترسی کم به دسترسی های بیشتر دست خواهند یافت .عبارت Covering Tracks یا پاک کردن آثار جرم : زمانی که هکر به دسترسی مورد نظر خود و اهداف تعیین شده دست پیدا کرد ، شروع به پاک کردن آثار جرم خود می کند و سعی می کند که فعالیت هایی را که انجام داده است از دید دیگران مخفی نگاه دارد . معمولا یک هکر حرفه ای بعد از اینکه حمله موفقیت آمیزی را ترتیب داد در سیستم هک شده ابزاهای خاص خود مانند روتکیت ها ( Root kit ) و Backdoor ها را برای دسترسی های بعدی ایجاد می کند .اگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش تکنیک های نفوذ در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Tue, 21 Feb 2023 00:27:11 +0330 https://virgool.io/@sec.cehfan401/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D9%81%DB%8C%D8%B2%DB%8C%DA%A9%DB%8C-%DA%86%DB%8C%D8%B3%D8%AA-%D9%85%D8%B9%D8%B1%D9%81%DB%8C-%D8%AA%D9%87%D8%AF%DB%8C%D8%AF%D8%A7%D8%AA-%D9%88-%D8%B1%DB%8C%D8%B3%DA%A9-%D9%87%D8%A7%DB%8C-physical-security-gwdp92rvepty از اینکه اتومبیل خود را در پارکینگ شرکت و یا پارکینگ شهرداری می گذارید چه هدفی دارید ؟ وقتی دستورالعمل سازمان شما به شما دستور می دهد که بایستی هر ساله یک عکس جدید از خودتان برای قرار گرفتن بر روی کارت شناسایی سازمانی بگیرید و در اختیار سازمان قرار بدهید از اینکار چه هدفی را دنبال می کند ؟وقتی برای اتاق های حاوی تجهیزات کلید هایی دارید که آنها را در بین کارمندان مسئول تقسیم می کنید ، به دنبال چه چیزی هستید ؟ وقتی برای باغ یا ویلای خود سگ نگهبان و سیم خاردار تهیه می کنید چه هدفی دارید ؟امنیت فیزیک چیزی است که شما همه روزه با آن درگیر هستید و نمی توانید بگویید که امنیت فیزیکی در دنیای امروزی اهمیت چندانی ندارد . هدف اصلی امنیت فیزیکی تشخیص ، به تاخیر انداختن ، شناسایی ، ارزیابی و پاسخگویی در مقابل تهدیداتی است که امنیت ما را هدف خود قرار داده اند.امنیت فیزیکیریسک های امنیت فیزیکیاز آن زمانی که انسان پای بر روی زمین گذاشت تهدیدات فیزیکی نیز برای آن وجود داشت . حتی در زمان های قدیم هم این موضوع در خصوص ساخته شدن قلعه ها نیز صدق می کرد ، یک قلعه هیچ وقت در همه جا ساخته نمی شد ، همیشه برای ساخته شدن یک قلعه یک طرح و ایده نیاز بود . حفاظ های خارجی مثل دیوارها ، کانال ها ، چاله ها و سنگرها برای محافظت در برابر هجوم غارتگران بایستی تعبیه می شدند . نگهبانان و دکل های دیده بانی باید به نحوی طراحی می شدند که بر دشمن مسلط بوده و دیده بانان بتوانند کلیه حرکات اطراف را زیر نظر داشته باشند .ریسک های امنیت فیزیکیزمانی که یک غریبه وارد منطقه می شد این دستورالعمل ها و خط مشی ها بودند که تعیین می کردند چگونه بایستی با این غریبه رفتار شود ، یک دستورالعمل برای تشخیص خودی یا غریبه بودن ناشناس تعریف شده است و دستورالعمل دیگری چگونگی رفتار کردن با این ناشناس را در صورت تشخیص غریبه بودن و یا آشنا یا خودی بودن تعریف می کرد . شما برای ورود به این قلعه بایستی قوانین ورود به آن و همچنین دسترسی های مجاز برای ورود به آنرا داشته باشید در غیر اینصورت با مجازات هایی سنگین مواجه می شدید. در دنیای مدرن تهدیدات زیاد و متنوعی در خصوص امنیت وجود دارد . این نوع تهدیدات به سه طبقه بندی بسیار گسترده به شرح زیر تقسیم می شوند :بلایای طبیعیتهدیدات انسانیمشکلات فنیتهدیدات طبیعیبلایای طبیعی ممکن است به انواع و اشکال مختلفی رخ بدهد . همچنین بلایای طبیعی چیزی نیست که بتوان از وقوع آن جلوگیری کرد ، شما صرفا می توانید تمهیداتی در قالب طرح های عملیاتی برای چگونگی مقابله با این نوع حوادث برای خود و سازمان خود در نظر بگیرید .این تمهیدات ممکن است برای هر سازمان با توجه به شرایط مکانی آن متغیر باشد. برای مثال سازمان هایی که در نزدیکی خلیج همیشه فارس و استان های جنوب کشور هستند بایستی تمهیداتی برای مقابله با حوادثی مانند طوفان دریایی در مواقع اضطراری را در نظر گرفته باشند .حال آنکه وجود چنین طرح شرایط اضطراری در سازمان هایی که در تهران قرار گرفته اند الزامی ندارد . بنابراین برای اینکه بتوانیم یک طرح خوب و مناسب برای مقابله با حوادث طبیعی داشته باشیم بایستی شرایط محیطی و آب و هوایی و زمین شناسی مکانی را که قرار است برای آن طرح مقابله با حوادث طبیعی را ایجاد کنیم ، کاملا درک کرده و آنرا مورد مطالعه قرار دهیم. در ادامه انواع بلایای طبیعی را که سازمان های بایستی بتوانند با آنها مواجه شوند را بررسی می کنیم :تندبادها و توفان های استوایی : اینگونه از پدیده های طبیعی ساخته دست مادر طبیعت یعنی اقیانوس و اتمسفر هستند . قدرت این پدیده ها از طریق گرمایی است که از جانب دریا می آید .اینگونه بلایا با گذر کردن از روی اقیانوس سرعت خود را افزایش می دهند و زمانی که به ساحل دریا می رسند باعث ایجاد تندباد ها و تورنادو ها می شوند.امواج جذر و مدی و تسونامی : واژه تسونامی برگرفته از فرهنگ لغت ژاپنی ها است و به معنای لنگرگاه امواج ( Harbor Wave ) است . این پدیده طبیعی شامل دنباله ای از امواج پراکنده است با ارتقاع بالا است که به هنگام برخورد با ساحل دریا خسارات زیادی را وارد می کنند.سیل و طغیان رودخانه ها : سیل ها زمانی به وقوع می پیوندند که خاک توانایی جذب آب را به خوبی نداشته باشد و یا اینکه اینقدر مقدار بارندگی زیاد می شود که زمین توانایی جذب این مقدار باران را نداشته و به ناچار رودخانه ها طغیان می کنند و منجر به سیل می شوند . سیل ها وقتی آب بیش از اندازه ظرفیت نهر ها و رودخانه ها واردشان شود نیز به وجود می آیند و مناطق اطراف رودخانه را در بر می گیرند .زلزله : زلزله یا زمین لرزه در حقیقت به حرکت لایه های زمین در امتداد هم گفته می شود که این لایه ها به گسل نیز معروف می باشند.مناطقی مثل آذربایجان و تهران بیشتر در معرض وقوع چنین پدیده هایی هستند اما بصورت کلی ایران بر روی گسل های زیادی قرار گرفته است که این کشور را به یکی از مستعد ترین کشورها برای وقوع زلزله تبدیل کرده است .گردباد ها و تورنادو : گردبادها تغییرات ناگهانی هوا هستند که با قدرت زیادی همراه هستند و معمولا از توفان های رعد و برق بیرون می آیند . ابتدای آنها از سطح زمین شروع شده و بصورت حلقه ای از باد چرخشی تا آسمان ادامه می یابند .گردبادها یک محدوده تخریب برای خود دارند که می تواند به اندازه مساحت یک زمین فوتبال تا یک مایل بزرگی داشته باشد . اگر با یکی از این نوع گردبادها مواجه شدید حتما فاصله خود را با آن حفظ کنید در غیر اینصورت از سرزمین عجایب سر در خواهید آورد .آتش سوزی : این پدیده خطرناکترین و ترسناکترین پدیده طبیعی می باشد که از لحاظ تخریب و گرفتن جان انسان ها رتبه اول را به خود در میان بالای طبیعی اختصاص داده است . برای مثال و بر طبق آمار این پدیده در آمریکای شمالی در سال 1993 بیش از 4500 نفر را به کام مرگ کشاند . این مقدار کشته در سال 1993 در مقایسه با تمام حوادث طبیعی آن زمان که شامل زلزله ، توفان و تسونامی و سیل بودند به تنهایی بیشترین مقدار کشته را به خود اختصاص داده بود .تهدیدات انسانیتهدیدات انسانی یکی دیگر از موارد مهمی است که بایستی در خصوص امنیت فیزیکی به آن اهمیت داد . در مقابل تهدیداتی مثل گردبادها ، سیل و سونامی ها شاید نتوان کار خاصی را انجام داد ، اما در برابر تهدیدات انسانی تا حد زیادی می توان از وقوع آنها جلوگیری کرد . تهدیدات انسانی به تروریسم ، ویرانگری ، سرقت و تخریب دارایی های سازمان طبقه بندی می شوند . در ادامه توضیحاتی را در خصوص اینگونه تهدیدات انسانی ارائه خواهیم کرد :تروریسم : برای بسیاری از ما به محض اینکه اسم تروریسم را می شنویم ، نوعی خشونت و بی حرمتی به افراد را در ذهن تصور می کنیم در حالی که کاملا به این شکل نیست . در واقع تروریسم استفاده عمدی از خشونت و بی حرمتی با برنامه ریزی و تعمد قبلی و برای رسیدن به اهداف یک عده سیاستمدار یا دین ستیز که قصد تخریب کشور و یا مذهب دیگری را دارند ، است .ویرانگری: ویرانگری که به نام لاتین Vandalism معرف است ، برگرفته ای از یک شخصیت ویرانگر تاریخ به نام وندال است که در سال 445 قبل از پس از میلاد مسیح در رم زندگی می کرده است . شنیدن نام این فرد ویرانگری را به یاد همه می اندازد و به همین دلیل نام وندال برابر است با ویرانگری ، هرگاه اسم ویرانگری به میان می آید یعنی دارایی های کشور یا شخص یا گروهی را تخریب و اموال آن را ویران کردن .سرقت : سرقت از داراییهای یک شرکت دارای طبقه بندی است ، یک سرقت می تواند ناراحت کننده باشد یا خسارت زننده . قطعا طبقه بندی های زیادی می توان برای این نوع تهدید بکار برد اما این طبقه بندی ها در حال حاضر کفافیت می کند . اگر در شرکت شما لپ تاپ رئیس شرکت را سرقت کنند این موضوع واقعا ناراحت کننده است ، اما این لپ تاپ به راحتی جایگزین می شود اما نکته اینجاست که اطلاعاتی که در درون لپ تاپ وجود داشته است ممکن است بسیار برای شرکت حیاتی بوده باشد و این موضوع می تواند برای شرکت خسارت بار باشد . تصور کنید که اطلاعات تمام محصولات و تولیدات شرکت در این لپ تاپ وجود داشته است و رقیبان این شرکت به این اطلاعات دست پیدا می کنند.تخریب : یکی از کارمندان شرکت که به اطلاعات حساس و حیاتی شرکت دسترسی دارد ، فایل اطلاعات تولیدات شرکت را از روی کامپیوتر یا از داخل مرکز مستندات حذف می کند !!! چقدر این موضوع می تواند برای شرکت زیانبار باشد ؟ آیا نقشه ای برای تهیه نسخه پشتیبان از اطلاعات وجود داشته است ؟فعالیت های مجرمانه : اینگونه فعالیت ها بسیار متونع و گسترده هستند . شرکت شما برای اینکه بتواند از زیر بار مالیت شانه خالی کند ، اعلام ورشکستگی می کند در حالی که اصلا چنین مشکلی وجود ندارد . مدیر شبکه شما در شبکه داخلی شرکت سیستم بازیهای آنلاین راه اندازی می کند و از آن کسب در آمد می کند . مدیر شبکه از اینترنت سازمان به عنوان مرکز دانلود اطلاعات شخصی استفاده می کند و بعد کلکسیون موسیقی دنیا را جمع کرده و آن را در یک فروشگاه اینترنتی به فروش می رساند !!! و بسیاری از مدل های دیگر جرم که در یک سازمان وجود دارد .مشکلات فنیبر خلاف بلایای طبیعی و تهدیدات انسانی ، مشکلات فنی جزء مواردی محسوب می شود که احتمال وقوع آن بسیار زیاد است مخصوصا بدون دلیل خاص و در مواقعی که اصلا فکرش را هم نمی کنید . البته معمولا اینگونه شرایط باعث صدمه دیدن و یا تهدید جانی برای انسان ها نیست . شرایط اضطراری معمولا به خسارات ارتباطات ، خسارات برق و تلفن و خراب شدن تجهیزات طبقه بندی می شوند که در ادامه به تشریح این موارد می پردازیم :خسارات ارتباطات : سیستم های ارتباطی از نوع داده و صدا امروزه نقش حیاتی را در سازمان ها ایفا می کنند . خسارات ارتباطات می تواند شامل قطعی خطوط ارتباطی صوت و یا ارتباطات شبکه اطلاعاتی باشد . فرض کنید شما یک خط اضافی T1 برای ارتباطات WAN سازمانی اجاره کرده اید ، ار کجا متوجه می شوید که این خط همیشه در حال کار و فعال است ؟ در بیشتر اوقات زمانی به فکر استفاده از این نوع خطوط می افتیم که کار از کار گذشته است و این خط نیز توسط مستخدمی که مشغول نظافت اتاق سرور بوده است قطع شده است ...خسارات به امکانات: امکانات در اینجا به معنی سیستم های ارتباطی ، آبرسانی ، گازرسانی ، برق و ... هستند . خسارت وارد شدن به این امکانات باعث بروز مشکلات زیادی برای سازمان می شود و روند کاری سازمان را دچار اختلال و وقفه می کند . وجود ژنراتور های برق و سیستم های برق اضطراری و ارتباطی جایگزین میتواند تا حد زیادی در اینگونه موارد به ما کمک کند . البته این موضوع کاملا به دیدگاه سازمان و ریسک پذیری سازمان بستگی دارد . ممکن است سازمانی با نداشتن چند روز برق هم بتواند به کار خود ادامه دهد ( چون کاری نمی کنن کارمنداش ، فقط نشستن جک می گن پس نیاز چندانی به برق ندارن ) اما در شبکه ای مانند شبکه بانک سامان حتی 5 دقیقه قطعی برق هم قابل قبول نخواهد بود زیرا ضرر بسیار زیادی را می تواند برای کسب و کار آنها در بر داشته باشد .خراب شدن تجهیزات : تجهیزات خواسته یا ناخواسته در طول زمان دچار مشکل و خسارت می شوند . به همین دلیل است که همه سازمان ها به تیم نگهداری و پشتیبانی فنی تجهیزات نیاز دارند . یک بررسی از بیش از 1000 شرکت و سازمان دولتی نشان داده است که بیش از 65 درصد تجهیزاتی که بیش از یک هفته از مدت زمان خراب شدن آنها گذشته است و همچنان خراب مانده و به حالت عملیاتی در نیامده اند ، دیگر هیچگاه به حالت عملیاتی باز نگشته اند. در اینگونه موارد وجود یک مستند به نام SLA که مخفف Service Level Agreement است بسیار ضروری است .این سند در واقع یک راهکار برای مقابله با مواقع خرابی تجهیزات است . در این مستند شرکت هایی که از آنها تجهیزات خریداری شده است به شما تضمین می دهند که طی مدت زمان معینی پس از بروز مشکل برای این تجهیزات یا سرویس ها آنها را به حالت عملیاتی بازگردانند . البته در کشور عزیزمان ایران این مستند صرفا جنبه تشریفاتی دارد و هیچگاه نمی توان به آن متکی بود .اگر می خواهید مفاهیم امنیت شبکه وامنیت اطلاعات مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سکیوریتی پلاس در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Tue, 21 Feb 2023 00:15:03 +0330 https://virgool.io/@sec.cehfan401/vpn-%DA%86%DA%AF%D9%88%D9%86%D9%87-%D8%A7%D9%85%D9%86-%D9%85%DB%8C-%D8%B4%D9%88%D8%AF-%D8%A8%D8%B1%D8%B1%D8%B3%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%AF%D8%B1-%D8%B4%D8%A8%DA%A9%D9%87-%D9%87%D8%A7%DB%8C-vpn-idbbxzpxksgg در این مقاله و در ادامه مقاله قبلیم که در خصوص معرفی شبکه های خصوص مجازی یا همون VPN هست ، میخام راجع به امنیت در این نوع شبکه های صحبت کنم ، شاید اکثر شما دوستان فکر کنید که VPN که خودش برای امنیت ساخته شده ، مگه خودش ایمن نیست ؟ جوابش رو در این مثاله بهتون می دم ، هر سیستم امنیتی برحسب نوع پارامترهای امنیتی که در داخلش استفاده شده ممکن هست که مورد هجوم و در نهایت بهش نفوذ بشه و VPN هم از این قضیه خارج نیست .VPN هم برای خودش تنظیمات ویژه امنیتی داره که میتونه توانایی های حفظ محرمانگی و امنیت اطلاعات ما رو بالا ببره و کمتر بشه بهش نفوذ کرد .باید باور کنیم که این شبکه هم مثل شبکه های دیگه قابل نقود هست و ما تنها کاری که میتونیم انجام بدیم این هست که تا جای ممکن امنیتش رو بالا ببریم . در ادامه مطلب روش هایی رو که ما میتونیم از طریق اونها این شبکه رو ایمن سازی کنیم و تا حد زیادی امنیت اطلاعاتمون رو بالا ببریم رو عنوان میکنیم ، روش های اصلی به شکل زیر هستند :VPNهمونطور که از اسمش مشخص به معنی دیواره آتش.آتشی که جنبه ی محافظت داره و مانع نفوذ غیرمجاز میشه.وقتی تعداد سیستم های متصل به شبکه خصوصی زیاد میشه،به طبع محافظت از منابع سیستم هم مشکل میشه.firewall یک دیوار امنیتی بین شبکه ی اختصاصی و اینترنت ایجاد میکنه و با محدود کردن دسترسی افراد خارجی به سیستم امکان حمله به سیستم رو کم میکنه.همچنین دسترسی از داخل به خارج شبکه رو هم میتونیم با اون محدود کنیم،مثلا بعضی پورت ها رو ببندیم.دیوار آتش هم میتونه نرم افزاری باشه هم سخت افزاری. اگر دوست داشتین تو همین وب سایت تفاوت فایروال نرم افزاری و سخت افزاری رو می تونین مطالعه کنید.این هم لینک مطلبش :تفاوت فایروال نرم افزاری و سخت افزاریااFire wa برای جلوگیری از حملاتی مثل:دسترسی غیرمجاز به منابع شبکه یا Unauthorized Access (که با نفوذ مداخله گر از طریق رایانه اتفاق می افته)عدم سرویس دهی و تقاضای بیش از حد سرویس ها یا DOS Attack(طوری که سرویس دهی به بقیه غیرممکن بشه)نقاب زدن یا Spoofing (جا زدن به جای یک فرد دیگه،مثلا تغییر آدرس فرستنده ی پست الکترونیکی)از راهکارهایی مثل:محدود کردن دسترسیجلوگیری از استفاده ی بعضی سرویس هاو ارتباط بین بعضی سیستمها، استفاده میکنهااFire waرمزنگاری (encryption)رمزنگاری رمزنگاری فرآیند حفظ امنیت داده هاست،کامپیوتر مبداء داده ها یا بسته رو رمزگذاری میکنه و به سمت مقصد میفرسته و کامپیوتری که مجاز به رمزگشایی هست وقتی بسته رو دریافت کرد اون رو رمزگشایی میکنه.دو نوع رمزنگاری داریم:رمزنگاری کلید متقارن (secret +key )رمزنگاری کلید عمومی (public +key )توی رمزنگاری متقارن هر کدوم از کامپیوترها یک کلید(کد) دارن که برای رمزگذاری بسته ی اطلاعاتی از اون استفاده میکنن.کلید رمزگذاری بین فرستنده و گیرنده مشترک،فرستنده با استفاده از کلیدی که داره متن اصلی رو با الگوریتم مشخصی رمز و ارسال میکنه و گیرنده با الگوریتم رمزگشایی که عکس عمل رمزنگاری هست،داده ی دریافتی رو رمزگشایی میکنه به شرطی که با الگوریتم رمزگشایی آشنایی داشته باشه.اگه پیام یا بسته به دست نفوذگرها بیفته به دلیل اینکه از کلید آگاهی ندارن نمی تونن اون رو رمزگشایی کنن.توی رمزنگاری کلید عمومی هر کاربر یک زوج کلید(کلیدخصوصی و کلیدعمومی) داره.کلید خصوصی برای کامپیوتر ارسال کننده قابل شناسایی و استفاده ست و کلید عمومی هر فرد به بقیه ارسال میشه یا توی یک جای عمومی ذخیره میشه تا کاربرهای دیگه بتونن از اون استفاده کنن.تو این روش هر کاربری که بخواد پیامی برای شخص دیگه ارسال کنه با کلید عمومی شخص گیرنده،پیام موردنظر رو ارسال میکنه و این پیام تنها به وسیله ی کلید خصوصی به کار رفته توی رمزنگاری،قابل رمزگشایی هست.عبارت (AAA (Authentication Authorization Accounting چیست؟این سه کار در واقع سه نوع سرویس هستند که معمولا هم بصورت نرم افزاری و هم بصورت سخت افزاری انجام میشن . به این سه تا در اصطلاح AAA یا تریپل A هم گفته میشه ، معمولا وقتی سه تا حرف کنار هم در انگلیسی میاد اینطوری خونده می شه مثلا IEEE خونده میشه آی تریپل E . بهر حال ما بحثمون چیز دیگه ای هست . این سروس ها برای حفظ امنیت در دسترسی های از راه دور استفاده می شن .وقتی به کاربری نام کاربری و رمز عبور میدین و یک Connection برای VPN به محض برقراری اتصال اول درخواستش به این سرویس منتقل می شه . بعد به شکل زیر هر کدوم از این A ها کار خودشون رو انجام میدن :شما چه کسی هستید؟(Authentication)شما مجاز به انجام چه کاری هستید؟(Authorization)چه کارهایی رو انجام داده اید؟(Accounting)با این فرآیند بعد از مشخص شدن هویت کاربر،یجورایی برای کاربر مجاز محدوده ی استفاده رو مشخص کنه.عبارت (IPSEC(Internet Protocol Security چیست؟یکی از راه های ایجاد امنیت،به وجود آوردن امنیت در سطح IP هست.پروتکل IPSEC هم یکی از امکانات موجود برای برای ایجاد امنیت و ارسال اطلاعات در سطح پروتکل IP هست . بسته ها در شبکه ی LAN به صورت معمولی منتقل میشن،یعنی هر بسته یک بدنه ی IP و یکheader یا Header IP داره.ولی وقتی اون بسته میخواد از شبکه ی LAN به یک شبکه ی دیگه منتقل بشه,بسته ها تغییر میکنن و به اونا Header IP SEC اضافه میشه.IP SEC شامل دوتا Sub protocol هست که برای امن کردن بسته ها توی شبکه ی vpn به کار میره.عبارت (ESP (Encapsulated security payload چیست؟برای محرمانگی محتوای پیام و به صورت محدود برای محرمانگی جریان ترافیک استفاده میشه، کار ESP اینه که Payload بسته ای رو که در حال انتقال هست رو به وسیله ی کلید متقارن رمزگذاری کنه.عبارت (AH (Authentication header چیست؟سرآیه ی احراز اصالت AH برای حفظ تمامیت و احراز اصالت بسته های IP استفاده میشه.برای پنهان کردن اطلاعات بسته ها مثل(هویت ارسال کننده ها) قبل از اینکه به مقصد برسن رویheader بسته به کار میره تا امنیتش رو حفظ کنه.IP SEC میتونه داده های بین دستگاه های مختلف مثل:Router به RouterFirewall به RouterDesktop به RouterDesktop به Serverرو رمز نگاری کنه. عبارت (SSL(Secure Socket Layer چیست؟لایه ی سوکت امن اجازه میده که بین کاربر و سرور یک نشست ایجاد بشه و از این طریق هر تعداد اتصال امن امکانپذیر میشه.در واقع مجموعه ای از پارامترهای امنیتی رو تعریف میکنه،که به صورت اشتراکی توی اتصالات مربوط به این جلسه استفاده میشن.از نظر تئوری بین کاربر و سرور میتونه بیشتر از یک نشست وجود داشته باشه ولی در عمل فقط یک جلسه به وجود میاد.اگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سیستم های تشخیص نفوذ در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Tue, 21 Feb 2023 00:06:58 +0330 https://virgool.io/@sec.cehfan401/%D9%85%D8%B9%D8%B1%D9%81%DB%8C-14-%D9%86%D9%88%D8%B9-%D8%AD%D9%85%D9%84%D9%87-%D9%87%DA%A9%D8%B1%DB%8C-%D8%A8%D9%87-%D8%B2%D8%A8%D8%A7%D9%86-%D8%B3%D8%A7%D8%AF%D9%87-%DA%A9%D9%87-%D8%A8%D8%A7%DB%8C%D8%AF-%D8%A8%D8%B4%D9%86%D8%A7%D8%B3%DB%8C%D8%AF-jad8acfg8oly در دنیای امنیت اطلاعات و مخصوصاً هکر ها روش های زیادی برای هک وجود دارد. در این مطلب قصد داریم با 14 نوع حمله که هکر ها برای حمله از آن ها استفاده می کنند آشنا شویم. برای یک کارشناس امنیت اطلاعات و ارتباطات این یک امر ضروری است که انواع حملاتی را که به شبکه و سیستم های موجود در آن و به ویژه به کنترل های دسترسی موجود انجام می شود را شناسایی و درک کند . اینگونه حملات بصورت خلاصه در قالب این مقاله معرفی و بررسی می شوند، در ادامه به معرفی اینگونه حملات خواهیم پرداخت : امنیت اطلاعات-حملات تکذیب سرویس یا DOS و DDOSاین نوع حملات با هدف خارج کردن منبع اطلاعاتی از سرویس به گونه ای که دیگر آن منبع قادر به ارائه سرویس به دیگران نبوده و نتواند تبادل اطلاعات درستی با کاربرانش داشته باشد ، انجام می شود . حملات DDOS یا خارج از سرویس کردن بصورت توزیع شده ، برای حمله به هدف مورد نظر از چندین کامپیوتر مختلف استفاده می کنند ، در اینگونه حملات نرم افزارهای حمله به هدف بر روی تعداد زیادی از کامپیوترهای موجود در شبکه ارتباطی نصب می شوند .DDOSاین نصب شدن حتی از دید مالک سیستم هم مخفی می ماند و صاحب سیستم از اینکه این نرم افزارها بر روی سیستم او نصب شده اند کاملا بی خبر است ، زمانی که تعداد اینگونه ماشین های طعمه زیاد شد ، مهاجم به این تعداد کثیر از کامپیوترها دستور می دهد که حملات خود را به یک هدف تعیین شده شروع کنند و سرور مورد نظر به دلیل عدم توانایی در پاسخگویی به این حجم زیاد از درخواست ها از سرویس خارج شده و به اصطلاح Overwhelm یا دستپاچه می شود . برخی از مهمترین و معروفترین نوع از این حملات DOS به شرح زیر هستند :حمله Buffer Overflow : در این نوع حمله یک فرآیند ( Process ) بیش از اندازه مورد نیاز خود اطلاعات دریافت می کند . اگر این فرآینده به گونه ای طراحی نشده باشد که در چنین مواقعی از خود پاسخ درستی ارائه دهد ، با به وجود آمدن چنین حالتی این امکان را برای یک مهاجم ایجاد می کند که از نرم افزار مربوطه سوء استفاده کند . یک نوع حمله به نام Ping Of Death وجود دارد که در این نوع حمله مهاجم بسته های اطلاعاتی ICMP ٍاز نوع ECHO را با حجمی بیش از اندازه معمول آن ، یعنی بیشتر از 65 کیلوبایت برای سرور مقصد ارسال می کند ، اینکار می تواند باعث از کار افتاده شدن سرور مقصد و به هم خوردن متغیرهای سیستم و در نهایت منجر به یک نوع حمله از نوع Buffer Overflow شود.حمله SYN :در این نوع حمله ، مهاجم از فضای بافری که در ایجاد نشست یا Session Handshake مربوط به پروتکل TCP/IP وجود دارد استفاده می کند و از این طریق از سیستم سوء استفاده می کند . در این نوع حمله مهاجم سرور را با حجم عظیمی از درخواست های برقراری ارتباط یا SYN پر می کند ، پس از اینکه سرور به این درخواست ها پاسخ داد ، مهاجم به جای اینکه پاسخ این درخواست ها را بدهد ، به هیچکدام پاسخ نمی دهد و سرور همچنان منتظر دریافت پاسخ از مهاجم باقی می ماند . این زمانی که سرور در انتظار پاسخ مهاجم می باشد ممکن است دچار از کار افتادگی یا Crash شود و سیستم دیگر قادر به ارائه سرویس نباشد.حمله Teardrop : در این نوع حمله مهاجم Fragmentation Offset و طول بسته اطلاعاتی پروتکل IP را دتسکاری می کند . سیستم هدف پس از اینکه بسته اطلاعاتی دستکاری شده را دریافت کرد ، برای سر هم کردن و بازساری بسته اطلاعاتی به دلیل دستکاری شدن صف پروتکل مورد نظر دچار مشکل و ابهام می شود و بنا به دستوراتی که این بسته اطلاعاتی در خصوص اطلاعات موجود به سیستم هدف می دهد عمل می کند و در نهایت سیستم دچار مشکل و Crash خواهد شد .حمله Smurf : این نوع حمله با استفاده از تکنیک های IP Spoofing و پروتکل ICMP سعی در اشباع کردن سیستم هدف از ترافیک های بیهوده می کند که در نهایت منجر به انجام شدن حملات DOS خواهد شد. ساختار این نوع حمله از سه پایه و اساس ساخته شده است : سایت مبداء ، سایت پرش یا Bounce و سایت هدف . مهاجم یا سایت مبداء بسته اطلاعاتی Spoof شده ای از نوع Ping را برای آدرس Broadcast یک شبکه ( سابت پرش ) ارسال می کند . بسته اطلاعاتی دستکاری شده آدرس مبداء سایت هدف را به عنوان آدرس مبدا و مقصد در خود دارد . این بسته اطلاعاتی در کل شبکه پخش می شود و همگی سیستم ها به جای اینکه به درخواست مبدا که از طرف مهاجم ارسال شده اند پاسخ دهد همگی پاسخ ها را به سمت سرور هدف ارسال می کنند . در این هنگام سرور هدف که در مورد بسته های دریافتی خود دچار ابهام شده است قادر به پاسخگویی نبوده و در نهایت Crash می کند .2-درب های پشتی یا Backdoorحملات از نوع Backdoor معمولا از طریق مودم های Dialup و یا ADSL و یا هر وسیله ارتباطی انجام می شوند که مستقیما به داخل شبکه هدف متصل شده است . هر گونه ارتباط خارجی می تواند به نوعی در ایجاد یک Backdoor به هکر ها کمک کند . استراتژی اصلی در اینگونه حملات این است که یک مهاجم بتواند بدون درگیر شدن با مکانیزم های امنیت و کنترل های امنیت تعبیه شده در شبکه هدف وارد یک شبکه شود که معمولا اینگونه حملات از طریق همین ارتباطات شخصی درون سازمانی انجام می شوند . Backdoor در ساختار های برنامه نویسی به درگاهی اطلاق می شود که معمولا توسط برنامه نویسی اصلی سیستم برای انجام و اعمال تغییرات بعدی در سیستم ایجاد شده است و صرفا خود برنامه نویس از آنها خبر دارد.برای مطالعه ادامه مقاله در این لینک مراجعه کنید.اگر می خواهید مفاهیم امنیت شبکه وامنیت اطلاعات مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش کالی لینوکس در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 20:49:13 +0330 https://virgool.io/@sec.cehfan401/%D8%AA%D8%B3%D8%AA-%D9%86%D9%81%D9%88%D8%B0%D8%B3%D9%86%D8%AC%DB%8C-%DA%86%DB%8C%D8%B3%D8%AA-%D9%85%D8%B9%D8%B1%D9%81%DB%8C-penetration-test-%DB%8C%D8%A7-%D9%87%DA%A9-%D9%82%D8%A7%D9%86%D9%88%D9%86%D9%85%D9%86%D8%AF-ebffk7bbhtwm تست های نفود سنجی برای ارزیابی مقاومت سیستم های اطلاعاتی در برابر حملاتی که باعث به وجود آمدن دسترسی های غیر مجاز می شود انجام می شوند . در این میان قدرت سیستم های تدافعی سیستم های اطلاعاتی که در این حمله دخیل هستند نیز ارزیابی می شود. تست های نفوذسنجی یا به قولی هک های قانونمند یکی از سطح بالاترین روش های ارزیابی سیستم های تدافعی و تجزیه و تحلیل دقیق نقاط ضعف سیستم های اطلاعاتی به حساب می آیند. یک عملیات تست نفوذسنجی چگونگی پاسخگویی یا بهتر بگوییم عکس العمل سیستم هدف را در مقابل حمله انجام شده را فارق از اینکه حمله بصورت موفقیت آمیز یا ناموفق انجام شود و یا چه میزان اطلاعات از سیستم بدست می آید را بررسی و تشخیص می دهد.بصورت کلی تست های نفوذسنجی به سه گروه عمده طبقه بندی می شوند :تست با دارا بودن اطلاعات کامل یا Full Knowledge Test : در این نوع تست تیم تست نفوذسنجی تا جایی که امکان دارد در خصوص سیستم اطلاعاتی مورد حمله اطلاعات در اختیار دارد. معمولا این نوع حملات توسط پرسنل خود سازمان که دارای دانش لازم جهت انجام تست های نفوذسنجی هستند انجام می شود. به این نوع تست نفوذسنجی جعبه سفید یا White Box Penetration Test نیز گفته می شود.تست با دارا بودن اطلاعات نسبی یا Partial Knowledge Test : در این نوع تست ، تیم تست نفوذ سنجی اطلاعاتی در خصوص یک قسمت خاص از شبکه را دارا هستند که بایستی حمله به آن قسمت انجام شود. اعضای تیم تست نفوذسنجی می بایست صرفا به این قسمت از سیستم نفوذ کرده و آنرا هک کنند و سپس نقاط ضعف امنیتی آن را بررسی و تحلیل کنند . به این نوع تست ، نفوذ سنجی جعبه خاکستری یا Graybox Penetration Test نیز گفته می شود.تست بدون داشتن اطلاعات یا Zero Knowledge Test : در این نوع تست هیچگونه اطلاعاتی در خصوص سیستم هدف در اختیار تسم تست نفوذسنجی قرار نگرفته و مهاجمین بایستی خودشان تمامی این اطلاعات را بدست بیاورند. به این نوع تست نفوذسنجی جعبه سیاه یا Blackbox Penetration Test نیز گفته می شود .یکی دیگر از طبقه بندی هایی که برای تشریح انواع تست های نفوذ سنجی بکار می شود ، تست های نفوذ سنجی جعبه باز یا Open-Box و جعبه بسته یا Closed-Box می باشد. در تست های جعبه باز یا Open-Box نفوذگر به کدهای داخلی سیستم دسترسی دارد ، این نوع نفوذها معمولا بر روی سیستم عامل های همه منظوره ای مانند لینوکس و یونیکس انجام می شوند. در تست های جعبه بسته یا Closed-Box نفوذگر به کدهای داخلی سیستم دسترسی ندارد. این نوع تست ها معمولا بر روی سیستم هایی انجام می شود که کاربرهای خاصی داشته و به کاربران اجازه اجرای کد بر روی خود را نمی دهند .این امر بدیهی است که کسانی که مامور انجام تست نفوذسنجی برای یک سازمان می شوند ، بایست تابع قوانینی باشند که در آن سازمان تعریف شده است ، این بدین معنا نیست که تست نفوذ را انجام ندهند بلکه به این معناست که تست نفوذ نبایستی از حریم های تعیین شده از طریق سازمان به مجری تست خارج شود و محدودیت هایی که سازمان در انجام تست اعمال می کند بایستی رعایت شود. تست نفوذسنجی به هیچ عنوان نبایستی باعث به وجود آمدن خلل در روند کاری سازمان و یا دستکاری و خرابکاری در داده های سازمان شود. تست های نفوذ سنجی معمولا شامل مراحل زیر هستند :شناسایی یا Discovery : اطلاعات و داده های مرتبط با سازمان و سیستم ها از طریق کانال های عمومی ، پایگاه های داده ، وب سایت ها ، سرور های ایمیل و ... ارزیابی و جمع آوری می شوند.شمارش یا Enumeration : تیم نفوذگر تلاش می کند که تا می تواند اطلاعات در خصوص شبکه هدف مورد نظر بدست بیاورد ، این اطلاعات می تواند شامل نسخه های سیستم عامل های مورد استفاده در سیستم هدف ، شناسه ها ، نام های کاربری و ... باشد.تشخیص نقاط ضعف یا Vulnerability Mapping : تیم نفوذگر اطلاعات بدست آورده در مراحل قبلی را بررسی کرده و بر اساس آن نقاط ضعف امنیت مرتبط را شناسایی و با توجه به بستر مورد استفاده از آنها استفاده می کند.سوء استفاده یا Exploitation : تیم نفوذگر با استفاده از نقاط ضعف امنیتی موجود در سیستم هدف به آن حمله کرده و به منابع اطلاعاتی آن دست پیدا می کند .در خصوص متدولوژی های انجام تست های نفوذسنجی و هک های قانونمند و غیر قانونی در مقاله ای جداگانه بصورت کامل توضیحاتی ارائه شده است که می توانید از طریق مراجعه به این آدرس ( حملات هکری و روش های معمول هک ) به مطالعه در این خصوص بپردازید.وبه دوره آموزش تکنیک های نفوذ در این لینک مراجعه کنید . Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 20:33:10 +0330 https://virgool.io/@sec.cehfan401/%DA%A9%D8%A7%D9%85%D9%84%D8%AA%D8%B1%DB%8C%D9%86-%D9%85%D8%B9%D8%B1%D9%81%DB%8C-%D8%A7%D9%86%D9%88%D8%A7%D8%B9-%D8%B1%D9%88%D8%B4%D9%87%D8%A7%DB%8C-%D8%A7%D8%AD%D8%B1%D8%A7%D8%B2-%D9%87%D9%88%DB%8C%D8%AA-%D9%BE%D8%B1%D9%88%D8%AA%DA%A9%D9%84-%D9%87%D8%A7-%D9%88-%D8%AA%DA%A9%D9%86%DB%8C%DA%A9-%D9%87%D8%A7-tfqcqgiryycp شناسایی و احراز هویت دو هسته اصلی در بیشتر سیستم های کنترل دسترسی هستند. شناسایی عملی است که یک کاربر برای معرفی خود به یک سیستم اطلاعاتی استفاده می کند که معمولا در قالب یک شناسه ورود یا Login ID وجود دارد . شناسایی در حقیقت برای پاسخگویی کاربر به اعمالی است که وی بر روی سیستم انجام می دهد .Authenticationیعنی شناسایی در دنیای فناوری اطلاعات برابر با قابلیت حسابرسی به فعالیت های کاربران در سیستم های اطلاعاتی است . احراز هویت تاییدی بر این است که کاربر همان فردی است که ادعا می کند و در حقیقت بررسی می کند که شناسه کاربر معتبر است یا معتبر نیست . معمولا احراز هویت توسط رمز عبور کاربران در شبکه انجام می شود.فاکتورهای اصلی احراز هویت چه چیزهایی هستند؟چیزی که شما می دانید ( What You Know ) : مانند رمزهای عبور و شماره هایی مانند پین کد ....چیزی که شما دارید ( What You Have ) : مانند کارت های هوشمند اعتباری و بانکی و یا انواع Token ها و ...چیزی که شما هستید ( What You Are ) : فیزیک بدنی شما ، اثر انگشت ، نمونه DNA ، ساختار شبکیه و عنبیه چشم و ...روشهای احراز هویتبرخی اوقات می توان فاکتور چهارمی نیز به این موارد اضافه کرد که معمولا به آن چیزی که شما انجام می دهید نیز گفته می شود ، برای مثال مدت زمانی که طول می کشد که شما نام کاربری و رمز عبور خود را بر روی کیبورد وارد کنید در این فاکتور قرار می گیرد ، شما می توانید این فاکتور یکی از زیرمجموعه های فاکتور چیزی که شما هستید ( What You Are ) بدانید.احراز هویت دوگانه یا Two-Factor Authentication به این معناست که دو عدد از فاکتورهای احراز هویت را بصورت همزمان در فرآیند احراز هویت استفاده کنیم. برای مثال دریافت پول از دستگاه های خودپرداز بانک از سیستم احراز هویت دو دوگانه استفاده می کند ، شما ضمن اینکه بایستی کارت هوشمند بانکی ( چیزی که شما دارید ) را همراه داشته باشید ، رمز عبور آن ( چیزی که شما می دانید ) را نیز بایستی بدانید .نوع اول احراز هویت : رمزهای عبور | Password ها | OTP هارمز های عبور ممکن است افشا شوند و به همین دلیل بایستی از آنها محافظت شود . اگر بخواهیم ایده آل در مورد امنیت فکر کنیم ، هر رمز عبور فقط بایستی یکبار استفاده شود. به این نوع رمز های عبور ، رمز های عبور یکبار مصرف یا One Time Password گفته می شود .در این روش حداکثر امنیت ممکن در رمزهای عبور را می توانیم داشته باشیم به دلیل اینکه در هر باز استفاده شدن رمز عبور ، این رمز تغییر کرده و در بار بعدی نمی توان از رمز قبلی استفاده کرد.رمز عبوری که در هر بار ورود به سیستم ثابت مانده و تغییر نمی کند را رمزهای عبور ایستا یا Static می نامند و رمزهای عبوری که در هر بار ورود به سیستم تغییر می کنند را رمز های عبور پویا یا Dynamic می نامند. مقایسه تغییر رمز در بین این دو نوع رمز عبور واقعه غیر قابل مقایسه است .رمزهای عبور بسته به نوع استفاده و حساسیت مصرف آنها در نوع منابعی که از آنها محافظت می کنند ، بصورت ماهیانه ، هتگی و یا حتی روزانه تعویض می شوند . در حقیقت هر چقدر زمان استفاده از رمز های عبور طولانی تر شود ، امکان سوء استفاده و افشای آن بیشتر می شود .یک Passphrase ترتیبی از کاراکترها است که معمولا بیشتر از طول رمزهای عبور یا Password ها هستند و برای امنیت بیشتر سیستم های اطلاعاتی به رمز عبور کمک می کنند ، Passphrase در هنگام استفاده در قالب یک رمز عبور مجازی فعالیت می کند .برای مطالعه ادامه این مقاله در سایت توسینسو به این لینک مراجعه کنید و اگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سیستم های تشخیص نفوذ در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 20:11:46 +0330 https://virgool.io/@sec.cehfan401/%DA%86%D9%86%D8%AF-%D9%86%D9%88%D8%B9-%DA%A9%D9%86%D8%AA%D8%B1%D9%84-%D8%AF%D8%B3%D8%AA%D8%B1%D8%B3%DB%8C-%D9%88%D8%AC%D9%88%D8%AF-%D8%AF%D8%A7%D8%B1%D8%AF-%D8%A7%D9%86%D9%88%D8%A7%D8%B9-acl-%D9%88-%D9%85%DA%A9%D8%A7%D9%86%DB%8C%D8%B2%D9%85-%D9%BE%DB%8C%D8%A7%D8%AF%D9%87-%D8%B3%D8%A7%D8%B2%DB%8C-ixu90bmak5ap پیاده سازی کنترل های دسترسی با توجه به نیازمندی های هر سیستم به اشکال مختلفی انجام می شود . اما بصورت کلی کنترل های دسترسی به دو دامنه اصلی تقسیم بندی می شوند : کنترل های دسترسی تجمیع شده یا متمرکز شده ( Centralized ) و کنترل های دسترسی توزیع شده یا تجمیع نشده ( Distributed یا Decentralized ) .در این مقاله بصورت خلاصه به بررسی مکانیزم هایی که در این نوع از سیستم های کنترل دسترسی بکار می رود و ارائه توضیحات خواهیم پرداخت .پیاده سازی کنترل های دسترسی با توجه به نیازمندی های هر سیستم به اشکال مختلفی انجام می شود . اما بصورت کلی کنترل های دسترسی به دو دامنه اصلی تقسیم بندی می شوند : کنترل های دسترسی تجمیع شده یا متمرکز شده ( Centralized ) و کنترل های دسترسی توزیع شده یا تجمیع نشده ( Distributed یا Decentralized ) .در این مقاله بصورت خلاصه به بررسی مکانیزم هایی که در این نوع از سیستم های کنترل دسترسی بکار می رود و ارائه توضیحات خواهیم پرداخت .کنترل های دسترسی متمرکز یا تجمیع شده (Centralized Access Control )کاربرانی که از سرویس های Dial-Up استفاده می کنند از سرویس احراز هویتی به نام RADIUS استفاده می کنند که مخفف Remote Authentication and Dial-In User Service می باشد . RADIUS قابلیت احراز هویت و رمزهای عبور پویا (Dynamic Passwords ) را در یک سرور با همدیگر ترکیب کرده است . همچنین کاربران می توانند از قابلیتی به نام callback نیز استفاده کنند .در قابلیت callback کاربر پس از اینکه یه سرور احراز هویت توسط لینک های Dial-Up متصل شد و رمز عبور و نام کاربری خود را وارد کرد ، بایستی منتظر بماند ، شماره تلفن تماس گیرنده یا Caller ID مربوطه به کاربر به سرور متقل می شود و سرور احراز هویت به پایگاه داده خود نگاه می کند و بررسی می کند که آیا این شماره تلفن جزو شماره تلفن های مجاز برای اتصال به سرویس مذکور می باشد یا خیر .پس از این قسمت ، سرور احراز هویت بررسی می کند که آیا این شماره تلفن از همان مکانی که واقعا در آن قرار گرفته تماس گرفته است یا خیر . در این لحظه سرور احراز هویت با شماره تلفن مذکور تماس برقرار می کند و اگر کاربر به این شماره پاسخ دهد ، سرور به وی اجازه دسترسی به منابع را خواهد داد و در غیر اینصورت ارتباط کاربر را قطع می کند .در برخی از انواع پیاده سازی های callback کاربر بعد از اینکه از طریق سرور احراز هویت با وی تماس گرفته شد ، بایستی یک رمز دیگر را وارد کند .اشکال این سیستم در این است که کاربر برای اینکه بتواند به سرور متصل شود بایستی همیشه در یک محل ثابت که شماره تلفن آن در سرور احراز هویت وارد شده است قرار داشته داشته باشد و محل فیزیکی آن مشخص باشد . یکی از تهدیداتی که در سیستم callback وجود دارد این است که یک cracker می تواند callback سرور را به سمت شماره تلفن مورد نظر خود ارسال کند و در نهایت به سیستم دسترسی پیدا کند .یکی دیگر از شیوه های احراز هویت دسترسی از راه دور استفاده از پروتکل CHAP که مخفف Challenge Handshake Authentication Protocol می باشد ، است . CHAP از رمز عبور در برابر کسانی که استراق سمع می کنند محافظت کرده و همچنین قابلیت رمزنگاری ارتباط را نیز در خود دارا می باشد .برای نرم افزارهای کاربردی تحت شبکه می توان از پروتکل TACACS که مخفف Terminal Access Controller Access Control System می باشد استفاده کرد ، این پروتکل برای کاربر یک ID و یک رمز ایستا برای دسترسی تحت شبکه می دهد . نسخه جدیدتر این پروتکل که +TACACS نام دارد ز قابلیت های رمزنگاری قویتری استفاده می کند و در این پروتکل از قابلیت های Two-Factor یا احراز هویت چندگانه و همچنین Token و رمز های پویا استفاده می شود .کنترل های دسترسی غیر متمرکز یا توزیع شده (Distributed /Decentralized Access Control )یکی از بهترین راهکار هایی که برای کنترل دسترسی به منابع اطلاعاتی در سیستم های اطلاعاتی در محیط های توزیع شده کاربرد دارد استفاده از پایگاه های داده یا database ها می باشد. بصورت ویژه مدل رابطه ای یا Relational model توسط شخصی به نام E.F.Codd از شرکت IBM طارحی و توسعه داده شد . این مدل بیشتر برای ارائه امنیت اطلاعات ایجاد شده است . سایر مدل های پایگاه داده شامل مدل هایی مانند مدل سلسله مراتبی یا موروثی ( Hierarchical ) ، مدل شبکه ، مدل شیء گرا ( Object- Oriented ) و وابسته به شیء ( Object-relational ) هستند .مدل های پایگاه داده وابسته به شیء ( relational ( و رابطه ای از قابلیت query گرفتن پشتیبانی می کنند و این در حالی است که فایل سیستم های قدیمی و شیء گراها این قالیت را پشتیبانی نمی کنند . مدل های object-oriented و object-relational برای مدیریت داده های پیچیده بسیار بهتر از سایر مدل های هستند . به دلیل اینکه بیشتر تحقیقات و مطالعات و توسعه ها در زیمنه امنیت اطلاعات بر روی پایگاه داده های رابطه ای یا relational متمرکز شده اند ، در این قسمت بیشتر بر روی مدل رابطه ای یا relational تاکید می کنیم .امنیت پایگاه های داده رابطه ای ( relational )مدل پایگاه داده رابطه ای از سه قسمت تشکیل شده است :ساختارهای داده که به table یا relation معروف هستندقوانین تمامیت و صحت داده بر روی مقدارهای دارای مجوز و همچنین ترکیب مقادیر در table هاعملیات هایی که بر روی داده ها در table ها انجام می شودیک پایگاه داده را می توان مجموعه ای ماندگار از مقادیر داده ای به هم وابسته نامید . ماندگاری و ثبات داده ها به وسیله حفظ تمامیت و صحت اطلاعات و همچنین استفاده از رسانه های ذخیره سازی غیر فرار ( non-volatile ) ایجاد می شود . توضیحات پایگاه داده یک الگو و ساختار است و زبان توضیحات داده ها یا Data Description Language که به اختصار DDL نامیده می شود این الگو ها را تعیین می کند .یک سیستم مدیریت پایگاه داده یا Database Management System که به اختصار DBMS می نامیم ، نرم افزاری است که نگهداری و ایجاد دسترسی به پایگاه داده را مدیریت می کند . برای ایجاد امنیت بیشتر شما می توانید به DBMS بگویید که صرفا برخی از افراد بتوانند عملیات های تعیین شده و خاصی را بر روی پایگاه داده انجام دهند . برای مثال شما به عنوان مدیر DBMS به یک کاربر خاص جازه دسترسی یکی از جدول های پایگاه داده را می دهید و این در حالی است که این کاربر ختی نمی تواند داده های مربوط به جداول دیگر را مشاهده کند و در حیقیت هیچ نوع اطلاعات دیگری برای این فرد قابل دسترسی نمی باشد .یک رابطه ( relation ) پایه و اساس یک پایگاه داده رابطه ای است و به وسیله دو جدول مقدار دهی شده نمایش داده می شوند . سطرهای جدول نمایانگر رکوردها یا مقادیر چند گانه هستند و ستون های جدول نمایانگر خاصیت های داده های جدول یا attribute های جدول هستند . تعداد سطرهای جدول در این رابطه به عنوان کاردینال یا عدد اصلی و تعداد ستون های جدول به عنوان درجه جدول عنوان می شوند.محدوده این رابطه مجموعه ای از مقادیر مجازی است که یک خاصیت می تواند در خود جای بدهد .برای مثال ، یک رابطه می تواند مانند جدول 2.2 به نام PARTS وجود داشته باشد و یا ELECTRICAL ITEMS در جدول 2.3 .ELECTRICAL ITEMSجدول 2.3 : Electrical Items Relationsدر هر جدول یک کلید اصلی لازم است ، یک کلید اصلی در حقیقت یک شناسه منحصر به فرد در یک جدول است که بدون هیچ ابهامی به یک رکورد و یا مقدار چند تایی در جدول اشاره می کند. یکی کلید اصلی زیرمجموعه ای از کلیدهای کاندید موجود در جدول می باشد. یک کلید کاندید یک خاصیت یکتای شناسایی در یک جدول از داده های موجود می باشد. در جدول 2.2. برای مثال کلید اصلی می تواند PART Number باشد .اگر location در PART در جدول 2.2. یکتا باشد ، این کلید می تواند به عنوان کلید اصلی نیز مورد استفاده قرار بگیرد. پس از آن Part Numbers و Locations به عنوان کلیک کاندید و کلید اصلی نیز از یکی از این خاصیت ها گرفته می شود .حال تصور کنید که مقادیر Part Numbers در جدول 2.2 به عنوان کلید های اصلی هستند . اگر یک خاصیت در یک رابطه مقداری مشابه مقدار کلید اصلی با یک رابطه دیگر را در خود داشته باشد ، به این خاصیت کلید خارجی یا Foreign Key گفته می شود . یک کلید خارجی حتما نبایست کلید اصلی رابطه ای باشد که خودش در آن قرار دارد . برای مثال خاصیت E2C491 در Part Number در جدول 2.3 یک کلید خارجی است زیرا مقدار آن یا مقدار خاصیت کلید اصلی در جدول 2.2 مشابه است .صحت موجودیت ها و ارجاع ها ( Entity and Referential Integrity )صحت موجودیت ها و ارجاع ها را نیز با همین مثال می توان مطرح ساخت ، اگر ما Part Number را از جدول 2.2 به عنوان کلید اصلی خود در نظر بگیریم ، سپس هر سطر در این جدول بایستی یک خاصیت Part Number را داشته باشد . اگر خاصیت Part Number مقدار تهی یا NULL را داشته باشد ، در این حالت صحت موجودیت ( Entity ) دچار مشکل خواهد شد . مشابه همین حالت ، صحت ارجاع ها نیز نیازمند این است که هر خاصیت کلید خارجی ، رابطه مرجع بایستی یک مقدار چند تایی یا همان مقدار به عنوان کلید اصلی در اختیار داشته باشد . بنابراین اگر خاصیت E2C491 از جدول 2.3 یک کلید خارجی از جدول 2.2 باشد ، بنابراین E2C491 بایستی یک کلید اصلی در جدول 2.2 باشد که بتواند صحت ارجاع را نگهداری کند. همخوانی کلید خارجی با کلید اصلی بسیار مهم است زیرا نمایانگر ارجاع ها از یک رابطه به رابط ای دیگر و همچنین برقراری ارتباطات بین این رابطه ها می باشد.عملیات های رابطه ای پایگاه داده ( Relational Database Operations )چندین عملیات مختلف در یک رابطه برای ایجاد ارتباط ها و انجام عملیات بر روی داده ها استفاده می شود . 5 عدد از این عملیات ها اصلی هستند و سایر عملیات ها می توانن در قالب همین 5 عملیات اصلی تشریح شوند . بعدها در خصوص عملیات های بیشتری که بر روی داده ها انجام می شود بصورت مفصل صحبت خواهیم کرد . این عملیات ها به شرح زیر می باشند :Select یا انتخاب (عملیات اصلی)Project یا پروژه (عملیات اصلی)Union یا اتحاد (عملیات اصلی )Difference یا تفاوت ( عملیات اصلی)Product یا تولید ( عملیات اصلی)Join یا عضویتIntersection یا اشتراکDivide یا تقسیمViews یا چهرهبرای بهتر روشن شدن موضوع ، عملیات Select یک رابطه جدید را بر اساس یک فرمول تعیین می کند . برای مثال ، تمامی تجهیزات الکترونیکی که ارزش آنها بیش از 300 هزار تومان است در جدول 2.2 انتخاب شوند . عملیات Join مقادیر چند تایی که دارای شماره های برابری هستند را با استفاده از یک سری خاصیت های مشترک انتخاب یا Select می کند .برای مثال در جدول 2.2 و 2.3 Serial Numbers و Locations می توانند با استفاده از نقطه مشترک Part Number با یکدیگر ترکیب یا Join شوند .عملیات Union یا اتحاد یک رابطه جدید از بین سایر رابطه ها ایجاد می کند ، برای مثال برای رابطه هایی که ما X و Y می نامیم ، یک رابطه جدید متشکل از مقادیر چندگانه ای که ممکن است در X و یا Y یا هر دوی آنها باشد را شامل می شود .یکی از مهمترین عملیات ها که مربوط به کنترل دسترسی به اطلاعات پایگاه داده می باشد عملیات View می باشد . عملیات View متشکل از عملیات های Join ، Project و Select می باشد. یک View یا چهره در یک قالب فیزیکی وجود ندارد و در واقع یک جدول مجازی می باشد که از سایر جداول موجود برگرفته شده است . ( یک رابطه که در ابتدا در جدول وجود داشته است را رابطه پایه یا Base Relation می نامیم ) .سایر جدول ها ، می توانند جدول هایی باشند که یا در پایگاه داده موجود بوده اند و یا قبلا توسط View ها تعیین شده اند . تصویری که شما می توانید از View در ذهن خود ایجاد کنید در حقیقت این است که View یک روش برای ایجاد کردن یک جدول است که قرار است بصورت مداوم مورد استفاده قرار بگیرد و این جدول بصورت فیزیکی نبایستی در درون پایگاه داده موجود باشد .View ها می توانند به منظور محدود کردن دسترسی به یک سری اطلاعات خاص در پایگاه داده ، مخفی کردن خواص و همچنین پیاده سازی محدودیت های دسترسی وابسته به محتویات پایگاه داده مورد استفاده قرار بگیرند.بنابراین زمانی که فردی درخواست دسترسی به اطلاعات موجود در یک پایگاه داده را دارد ، در واقع محتویات View ای که برای دسترسی این فرد تعیین شده است به وی نمایش داده می شود . سپس View اطلاعاتی را که شخص قرار نیست مشاهده کند را از دید وی مخفی می کند. در این روش در واقع View به ما در جهت پیاده سازی ساختار Least Privilege کمک می کند.در برنامه نویسی وقتی یک query از پایگاه داده رابطه ای گرفته می شود یک فرآیند بهینه سازی نیز انجام خواهد شد . این فرآیند شامل طراحی و ایجاد query و همچنین انتخاب بهترین ( کم هزینه ترین ) طرح می باشد. یک طرح query از دستورالعمل های پیاده سازی که به یکایک عملیات های سطح پایین در آن query مرتبط است ، تشکیل شده است.انتخاب طرحی که کمترین هزینه را دارا است شامل قرار دادن هزینه برای هر یک از طرح ها می شود که در نهایت قدرت انتخاب را به افراد خواهد داد . هزینه ها در اینجا به معنای فضای دیسک و همچنین پردازشی است که بر روی پردازنده سیستم سرور پایگاه داده قرار می گیرد. در query های پایگاه داده های آماری ، یک مکانیزم حفاظتی برای محدود کردن استنتاج اطلاعات در یک query از پایگاه داده وجود دارد ، این مکانیزم ضمن اینکه از اطلاعات موجود در پایگاه داده محافظت می کند ، دریافت اطلاعات از طریق پایگاه داده از یک رکورد خاص را محدود نمی کند .این کنترل امنیتی از بدست آوردن اطلاعات آماری پایگاه داده توسط مهاجمین با استفاده از زیاد کردن یا مساوی کردن اندازه Query با سایز استاندارد جلوگیری می کند ، در این نوع حمله مهاجم اندازه query خو درا که بصورت استاندارد M فرض می شود را افزایش داده و اطلاعات آماری موجود در پایگاه داده را با استفاده از اندازه query M+1 بدست می آورد . یک bind نیز به همراه یک طرح برای ایجاد یک query استفاده می شود .یک bind طرح را ایجاد کرده و آنرا مرمت و یا رفع ایراد می کند.متغیر های bind محل مقادیر اصلی یک query در SQL یا Structured Query Language هستند که به سمت پایگاه داده مستقر در سرور ارسال می شوند. شرح وضعیت SQL برای تجزیه و تحلیل به سمت سرور ارسال می شود ، سپس مقادیر در محل های اصلی خود قرار می گیرند و بصورت تفکیک شده برای سرور ارسال می شوند . همین مرتبط کردن تفکیک شده در واقع ماهیت اصلی کار متغیر bind را نشان می دهد.عادی سازی داده ها یا Data Normalizationعادی سازی در واقع مهمترین قسمت در طراحی یک پایگاه داده است و از وابستگی خاصیت های موجود در جدول به کلید اصلی اطمینان حاصل می کند. این فرآیند نگهداری داده ها را آسان نمونده و در عین حال امکان گرفتن گزارش های مطمئن را نیز به ما می دهد . عادی سازی داده ها در پایگاه های داده شامل سه فدم اصلی است :حذف کردن گروه های تکراری به وسیله قرار دادن آنها در جدول های مختلفحذف کردن داده های اضافی ( در بیش از یک جدول انجام می شود)حذف خاصیت های یک جدول که به کلید اصلی موجود در آن جدول وابسته نیستندزبان Query ساختار یافته یا Structured Query Language) SQL )این زبان در IBM طراحی و ایجاد شد ، SQL یک زبان استاندارد برای اعمال تغییرات و ایجاد رابطه در پایگاه های داده است. DDL یا Data Definition Language در SQL در یک جدول مسئول ایجاد و یا حذف View ها و رابطه ها است . دستورات SQL شامل Select، Update، Delete،Insert ، Grant و Revoke هستند. دو دستور آخر که Grant و Revoke هستند در کنترل های دسترسی و در اختیار گذاشتن و یا گرفتن دسترسی افراد به منابع مورد استفاده قرار می گیرند.معمولا مالک یا Owner یک شیء در پایگاه داده می تواند سطوح دسترسی افراد به منبع اطلاعاتی خود را به دیگران تخصیص دهد یا به اصطلاح دیگران را Grant کند که به شیء مورد نظر دسترسی داشته باشند. اگر مالک یک شیء در پایگاه داده به دیگران قابلیت انتقال دسترسی ها یا Grant را ندهد ، مثلا اگر کاربر محمد نصیری به شیء A دسترسی مجاز را برای کاربر B ندهد ، طبیعتا کاربر B نیز قادر نخواهد بود دسترسی مناسب را در اختیار سایر کاربران قرار دهد .اما همین نیز دارای نقاظ ضعف و همچنین مشکلات خاص خود می باشد . برای مثال شما به کاربر سونیا بیگلو دسترسی فقط خواندن را می دهید ، کاربر سونیا این شیء را خوانده و در جای دیگر از آن استفاده می کند ، در این حالت سونیا مالک این شیء خواهد بود و میتواند به دیگران سطح دسترسی بدهد . مشکلات امنیتی که در زبان SQL وجود دارد این است که در این زبان برای رسیدن به یک نتیجه می توان از چندین روش یا query مختلف استفاده کرد که همین انواع query ها می تواند سیستم سطح دسترسی پایگاه داده را دچار مشکل کند .پایگاه های داده شیء گرا یا Object Oriented Databases ) OODB )مدل های پایگاه داده رابطه ای به دلیل استفاده از ساختار داده های متنی برای انتقال ها و مبادلات تجاری بسیار مناسب هستند. نرم افزارهای کاربردی پیچیده مانند چند رسانه ای ها ، طراحی های کامپیوتری ، ویدیو ها ، تصاویر و کارهای گرافیکی و سیستم های پیشرفته نمی توانند در یک پایگاه داده شیء گرا قرار بگیرند. برای مثال در پایگاه های داده شیء گرا هیچگونه محدودیتی بر روی نوع و اندازه داده های وارد شده در پایگاه داده وجود ندارد و این در حالی است که این امر مخالف اساس کار پایگاه های داده رابطه ای است .یک پایگاه داده شیء گرا یا OODB خواص خود مانند سادگی استفاده مجدد از کد ها، تجزیه تحلیل آسان کدها ، کاهش هزینه ها و سادگی نگهداری از داده ها و همچنین سادگی انتقال تجریبات حاصل از تجزیه و تحلیل مشکلات در طراحی ها و پیاده سازی پایگاه های داده جدید را دارا می باشد . بزرگترین مضرت این نوع پایگاه داده سراشیبی چرخه یادگیری آن است ، حتی برنامه نویسان حرفه ای هم گاهی با مشکلات حجم بار کاری فراوانی که این نوع پایگاه های داده بر روی نرم افزارها و سخت افزارها پیدا می کنند روبرو می شوند.پایگاه های داده وابسته به شیء یا Object Relational Databasesپایگاه های داده وابسته به شیء در واقع حاصل ازدواج پایگاه داده شیء گرا و رابطه گرا هستند ، در این نوع پایگاه داده خاصیت های این دو نوع پایگاه داده با همدیگر ترکیب شده است . این مدل در سال 1992 و با ارائه شدن محصول UniSQL/X به عنوان یک سیستم پایگاه داده رابطه ای متحد و شیء گرا معرفی شد.شرکت Hewlett Packard که ما آنرا به نام HP می شناسیم بعد ها محصولی به نام OpenODB ( بعدا به Odapter تغییر نام داد ) را معرفی کرد که سیستم مدیریت پایگاه داده این نوع پایگاه داده را بطور عظیمی متجول کرد .اگر می خواهیدمفاهیم و مباحث امنیت اطلاعات و تست نفوذ را به خوبی یاد بگیرید به دوره آموزش سکیوریتی پلاس در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 19:46:16 +0330 https://virgool.io/@sec.cehfan401/ids-%DB%8C%D8%A7-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85-%D8%AA%D8%B4%D8%AE%DB%8C%D8%B5-%D9%86%D9%81%D9%88%D8%B0-%DA%86%DB%8C%D8%B3%D8%AA-%D8%A7%D8%AC%D8%B2%D8%A7-%D8%A7%D9%86%D9%88%D8%A7%D8%B9-hids-%D9%88-nids-zbx7iqtam3bf عبارت ID چیست؟ IPS چیست؟ تفاوت سیستم تشخیص نفوذ و سیستم جلوگیری از نفوذ در چیست؟ تفاوت HIDS و NIDS در چیست؟ سیستم تشخیص نفوذ شامل چه اجزایی است؟ سیستم های تشخیص نفوذ ( Intrusion Detection System ) یا IDS ها در حال حاضر جزء اصلی ترین و کاملترین قسمت های یک سیستم پایش یا مانیتورینگ شبکه می باشند.فناورهای IDS ها تقریبا جدید هستند و این نوید را به ما می دهند که به ما در جهت شناسایی نفوذ هایی که به شبکه انجام می شود کمک خواهند کرد . تشخیص نفوذ یا Intrusion Detection در واقع فرآیندی است که در آن رویدادها و رخدادهای یک سیستم یا شبکه پایش شده و بر اساس این پایش ها وقوع نفوذ به آن شبکه یا سیستم تشخیص داده می شود.یک نفوذ در واقع فعالیت یا عملی است که توسط آن محرمانگی ، صحت و تمامیت و یا دسترسی پذیری به منابع دچار اختلال و یا تعرض می شود . همانطوری که می دانید دیواره های آتش یا فایروال ها برای جلوگیری از دسترسی مهاجمین به منابع طراحی شده اند . یک IDS این فعالیت ها را گزارش و پایش می کند.اجزای تشکیل دهنده سیستم های تشخیص نفوذ IDSدرک چندین واژه فنی برای تشریح این فناوری و همچنین آسان سازی مفاهیم در این قسمت ضروری است ، که در ادامه به تشریح این واژه ها می پردازیم :فعالیت یا Activity : فعالیت یا Activity در حقیقت یک عمل یا رویداد است که بر روی منبع داده انجام می شود ، این عمل برای انجام دهنده آن جذاب است و برای وی کارایی دارد. فعالیت می تواند هم درست باشد و هم نادرست ، بدین معنا که فعالیت های مشکوک می توانند مخرب بوده و باعث به خطر افتادن منبع داده شود ، برای مثال یک نوع درخواست ارتباط TCP که بصورت متناوب از سمت یک آدرس IP به سمت سرور برقرار می شود ، می تواند نمونه ای از فعالیت های مشکوک باشد.رئیس یا Administrator : رئیس یا Administrator در حقیقت شخصی است که مسئول تدوین بیانیه های امنیتی مربوط به سازمان است . این اشخاص مسئول تصمیم گیری در خصوص شیوه پیاده سازی و انجام تنظیمات مربوط به IDS ها هستند .مدیر بر اساس سطح هشدارها ، تاریخچه لاگ ها و قابلیت های مانیتورینگ session تصمیم گیری ها را انجام می دهد. همچنین آنها مسئول تصمیم گیری در خصوص چگونگی پاسخگویی به نفوذ نیز هستند و اطمینان از موثر بودن پاسخگویی به حملات نیز هستند.نکته : در بسیاری از سازمان ها یک چارت نردبانی یا Escalation chart وجود دارد ، بر این اساس مدیران امنیت یا مدیران شبکه در بیشتر موارد در راس این چارت سازمانی قرار ندارند ، اما همیشه در زمان پیاده سازی این نوع سیستم های امنیت وظایف به این افراد ارجاع می شود.هشدار یا Alert : یک هشدار پیامی است که از طریق سیستم آنالیزگر برای اعلام وقوع یک رویداد مشکوک صادر می شود .این هشدار ضمن اینکه اطلاعاتی در خصوص نوع فعالیت انجام شده ارائه می دهد ، دقیقا رویدادی که اتفاق افتاده است را نیز شرح می دهد. برای مثال زمانی که بسته های اطلاعاتی حجیم و زیادی از نوع پروتکل ICMP به سرور وارد می شود و یا تعداد زیادی درخواست ورود ناموفق به سیستم بوجود می آید یک هشدار از طریق سیستم آنالیزور صادر می شود . همیشه یک مقدار ترافیک معمول برای یک شبکه وجود دارد . هشدارها زمانی صادر می شوند که این ترافیک از حد مجاز تعیین شده عبور کرده و زیادتر از حد معمول شوند. شما هیچوقت نمی خواهید که زمانی که هر شخصی از هر مکانی با استفاده از دستور Ping سرور را ping کرد یک هشدار ایجاد شده و به اطلاع شما برسد !!! اما زمانی که این حجم بسته های Ping از حد مجاز تعیین شده بر روی IDS عبور کرد شما حتما به ایجاد و صدور هشدار نیاز خواهید داشت .تحلیل کننده یا Analyzer : تحلیل کننده یا Analyzer مولفه یا فرآیندی است که داده های بدست آمده از طریق حسگر یا Sensor را تجزیه و تحلیل می کند. این فرآیند داده ها را برای یافتن فعالیت های مشکوک واکاوی می کند. تحلیل کننده ها به وسیله مانیتور کردن رویداد ها و تشخیص اینکه آیا رویداد حال حاضر مشکوک است یا نه و همچنین بر اساس قوانینی که در IDS توسط فرآیند های مربوطه فعال می شود ، کار می کنند.منبع داده یا Data Source : منبع داده اطلاعات خامی است که IDS از آنها برای تشخیص فعالیت های مشکوک استفاده می کند. منابع داده می تواند شامل فایل های بازرسی یا audit file ها ، لاگ های سیستم و یا ترافیک شبکه ای باشد که IDS در آن قرار دارد.رویداد یا Event : رویداد اتفاقی است که در منبع داده روی می دهد و نمایانگر به وقوع پیوستن یک فعالیت مشکوک است . یک رویداد ممکن است باعث صدور هشدار شود . رویدادها همیشه برای ارجاع داده شدن در آینده لاگ برداری می شوند. رویدادها می توانند اخطارهایی مربوط به اتفاق های غیرمعمول در شبکه را گزارش دهند . یک IDS ممکن است زمانی که ارتباط داخلی ایمیل سرور قفل می شود شروع به ثبت رویدادها کند ، رویدادها ممکن است نمایانگر این باشند که یک نفر در حال جستجو و کشف اطلاعات از شبکه شما می باشد. رویداد می تواند در نهایت یک هشدار صادر کند مبنی بر اینکه حجم ترافیک عبوری از شبکه از حد معمولا و تعریف شده آن خارج شده است و نیازمند بررسی می باشد.مدیر یا Manager : مدیر یا Manager ابزار یا فرآیندی است که اپراتور توسط آن IDS را مدیریت می کند. کنسول مدیریتی IDS در حقیقت Manager یا مدیر آن می باشد . اعمال تغییرات در تنظیمات IDS صرفا با برقراری ارتباط با Manager امکانپذیر است.اطلاع رسانی یا Notification : اطلاع رسانی یا Notification فرآیند یا روشی است که Manager توسط آن به اپراتور اعلام هشدار می کند . اینگونه اطلاع رسانی ممکن است به روش برجسته کردن و یا تعویض رنگ یک قسمت از کنسول مدیریتی و یا ارسال ایمیل و پیامک به اپراتور انجام شود .حسگر یا Sensor : حسگر یا Sensor یکی از اجزای IDS است که داده ها را از منبع داده جمع آوری و آنها را برای انجام شدن تحلیل ها به سمت تحلیل کننده عبور می دهد . حسگر ها هم می توانند بصورت یک درایور دستگاه ، و هم بصورت یک جعبه سیاه جدا از سیستم IDS در مدار شبکه قرار بگیرند ، این دستگاه گزارش های خود را به سمت IDS هدایت می کند.نکته مهم در خصوص حسگر ها این است که حسگر نقطه اصلی جمع آوری داده ها برای IDS محسوب می شود .اپراتور : اپراتور شخصی است که مسئول کلی سیستم IDS محسوب می شود. این شخص می تواند ، رئیس و یا مدیر شبکه ، کاربر شبکه و یا هر شخصی دیگری باشد ، اما بایستی مسئولیت اینکار را بر عهده داشته باشد .همانطوری که مشاهده کردید یک IDS از اجزاء و فرآیند های مختلفی تشکیل شده است که همه اینها در کنار هم جمع شده اند تا بتوانند تصویر درستی از ترافیک منتقل شده در شبکه شما را بصورت بلادرنگ ارائه دهند . شکل الف به شما اجزای مختلف این سیستم را در کنار هم برای تشکیل شدن یک سیستم کامل IDS را نمایش می دهد .به خاطر داشته باشید که داده ها می توانند از منابع مختلفی جمع آوری شوند و تمامی این داده ها برای اینکه بتوانیم تشخیص دهیم که چه اتفاقی در شبکه در حال وقوع است بایستی کاملا تحلیل شوند . یک سیستم IDS ذاتا برای مسدود کردن ترافیک در شبکه ساخته نشده است ، اما برخی از انواع IDS هستند که این قابلیت را به آنها می دهد ، IDS ها داتا سیستم های مانیتورینگ ، بازرسی و پایش هستند .طبقه بندی IDS ها بر اساس قابلیت هافناوری IDS ها بصورت کلی و بر اساس قابلیت هایی که به اپراتورهای خود می دهند به دو نوع اصلی تقسیم بندی می شوند:سیستم های تشخیص نفوذ – تشخیص سوء استفاده ( Misuse Detection IDS ) : این نوع IDS بیشتر با استفاده از ارزیابی حملات بر اساس شناسه های حمله ( Attack – Signatures ) و اثرات آن ( Audit –Trails ) در شبکه فعالیت می کند. شناسه های حمله یا ویژگیهای حمله در واقع روشی است که مهاجم از آن برای حمله به سیستم استفاده می کند. برای مثال ، یک حمله از نوع TCP Flood با استفاده از تعداد بسیاری Session ناقص TCP کار خود را آغاز می کند . اگر MD-IDS ( مخفف Misuse IDS ) بداند که حمله TCP Flood چگونه کار می کند ، می تواند ضمن تشخیص دادن این جمله گزارش و یا عکس العمل مناسب را در برابر این حمله نشان بدهد .شکل ب به شما نقشه کامل سیوه فعالیت یک MD-IDS را نشان می دهد. به خاطر داشته باشید که اینگونه IDS ها برای مقایسه شیوه حملات ، در ساختار خود یک پایگاه داده از روشهای معمول انجام حملات یا Attack Signature Database دارا هستند . این ساختار را تا حد زیادی می توانید با ساختار آنتی ویروس ها مقایسه کنید.سیستم های تشخیص نفوذ – تشخیص رفتارهای غیرمتعارف ( Anomaly Detection IDS ) :* اینو نوع IDS که به AD-IDS هم معروف است ، به رفتارهای غیرمتعارف بر روی شبکه توجه می کند ، یعنی اینکه خارج از محدوده پایگاه داده خود عمل می کند و به نوعی تصمیم گیری هوشمند دارد . این نوع IDS در واقع یک نوع برنامه آموزشی دارد ، ابتدا رفتارهای عادی شبکه و ترافیک معمول شبکه را تحلیل کرده و هرگاه ترافیکی باعث خارج شدن سیستم ها از این وضعیت تحلیل شده شود ، شروع به تولید و ارسال هشدار به اپراتور سیستم می کند .برای دسترسی به ادامه مقاله در سایت توسینسو در این لینک مراجعه کنید واگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سیستم تشخیص نفوذ در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 04:09:59 +0330 https://virgool.io/@sec.cehfan401/%D9%88%D8%A7%DA%98%D9%87-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA-%DA%86%DB%8C%D8%B3%D8%AA%D9%88-%DA%86%D9%87-%D9%85%D9%81%D9%87%D9%88%D9%85%DB%8C-%D8%AF%D8%A7%D8%B1%D8%AF-%D8%A8%D9%87-%D8%B2%D8%A8%D8%A7%D9%86-%D8%B3%D8%A7%D8%AF%D9%87-afvrd9odbjns عبارت TEMPEST یک اسم رمز ( Codename ) است که به پروژه بررسی ها و تحقیقات مربوط به تشعشع خطرناک (CE) اشاره می کند. این تشعشع سیگنال هایی را ارسال میکند که در حین انتقال توسط پردازشگرهای اطلاعاتی قابل تفسیر و تجزیه و تحلیل شدن هستند و از اینرو میتوانند باعث افشای اطلاعات انتقال یافته توسط این امواج شوند . واژه TEMPEST مخفف هیچ کلمه ای نیست و به خودی خود یک اسم است .TEMPESTعبارت CE از انرژی الکتریکی، مکانیکی و صوتی تشکیل شده است یا اینکه به وسیله ی یک تشعشع غیرارادی بد به وسیله ی هر عضو از منابع موجود در سیستم که اطلاعات امنیت ملی را پردازش می کند صاتع میشود. این انرژی ممکن است مربوط به پیام رمز شده ی اصلی یا اطلاعات پردازش شده در چنین روشی باشد که می تواند منجر به ریکاوری پیام عادی در شکل معنادار اصلی آن شود. تست های آزمایشگاهی نشان داده اند که CE می تواند از طریق فضا و اتصال دهنده ها منتشر شود.دامنه های جلوگیری ، انتشار و تجزیه و تحلیل چنین بروندهی به وسیله ی عوامل مختلفی مانند طرح عملیاتی ابزار پردازش اطلاعات ؛ نصب ابزار ، سیستم؛ و شرایط محیطی مربوط به امنیت فیزیکی و صوت مجاور تحت تأثیر قرار می گیرند.عبارت CE بیش از تشعشع مورد استفاده قرار می گیرد، چون سیگنال های تشکیل دهنده در چندین شکل مانند تشعشع الکتریکی و مغناطیسی، خط رابط یا تشعشعات صوتی وجود دارند.عبارت TEMPEST اغلب به طور گسترده ای برای کل حوزه ی امنیت تشعشع یا امنیت بروندهی (EMSEC) مورد استفاده قرار می گیرد. عبارت TEMPEST در اواخر دهه ی 60 و اوایل دهه ی 70 به صورت یک کد اسمی برای عملیات NSA به وجود آمد تا وسایل ارتباط الکترونیکی را از استراق سمع بالقوه ایمن کنند و توانایی تفسیر چنین سیگنال هایی را از منابع دیگر فراهم کنند.TEMPESTدولت آمریکا، اظهار داشت که عبارت TEMPEST یک مخفف نیست و هیچ معنای خاصی ندارد. اگر چه اسامی پشتیبان پیشنهادی شامل پالسِ الکترو مغناطیسی انتقال یافته، استانداردهای انرژی و آزمایشی،انتقال الکترو مغناطیسی محافظ، تجهیزات، استانداردها و تکنیک ها، استانداردهای بروندهی پالس الکترومغناطیسی و مواد الکترونیکی ارتباطی حفاظت شده از انتقالات ES می باشند. به طور غیر جدی اما به طور واقعی تلاش هایی در این زمینه صورت گرفته است و عبارت ذرات اشیای تشعشع الکترو مغناطیسی کوچک پیشنهاد شده است.استانداردهای سنجش TEMPESTاستانداردهای NATO TEMPEST و ایالات متحده سه سطح از وسایل حفاظتی را تعریف می کنند.سطح NATO SDIP- 27A و سطح USNS TISSAM I : استاندارد تست آزمایشگاهی CE ، این قویترین استاندارد برای ابزارهایی است که در محیط های NATO Zone 0 عمل می کنند که در اینجا فرض می شود حمله کننده یک دسترسی فوری دارد.سطح B NATO SDIP- 27 و سطح USA NS TISSAMII : استاندارد تست آزمایشگاهی برای ابزار تسهیل حفاظت شده ، این یک استاندارد راحت جزئی برای ابزارهایی است که در محیط های NATO Zone 1 عمل می کنند، که در اینجا فرض می شود که یک حمله کننده نمی تواند از 20 متر نزدیکتر شود.سطح C NATO SDIP- 27 : استاندارد تست آزمایشگاهی برای سیستم ها/ تجهیزات موبایل ، حتی استانداردهای راحت تر برای ابزارهای عمل کننده در محیط های 2 NATO Zone که در آنجا حمله کننده ها برای تضعیف فضای آزاد به 100 متر نیاز دارند نیز کارساز نیستند.استانداردهای اضافی عبارتند از :NATO SDIP - 29 : نصب تجهیزات الکترونیکی برای پردازش اطلاعات طبقه بندی شده . این استاندارد تجهیزات نصب را در رابطه با تعیین محل نصب و فواصل کابل ها تعریف می کند.AMSG 799 Bفرایندهای NATO Zoningبه یک کاهش در فرایند سنجش، مطابق باروم های انفرادی و شخصی در داخل یک پیرامون مطمئن که می تواند به منطه ی 0، منطقه ی 1، منطقه ی 2، یا منطقه ی 3 طبقه بندی شود، گفته می شود و سپس تعیین می کند که چه تست استاندارد استحفاظی مورد نیاز است برای فرایندی که داده ها از آن در این روم ها منتشر می شوند. همه ی این اسناد به صورت طبقه بندی شده باقی می مانند و هیچ اطلاعاتی درباره ی محدودیت های انتشار واقعی و فرایندهای سنجشی مفصلی که آنها تعریف می کنند منتشر نمی شود.اگر چه بعضی از اطلاعات TEMPEST خیلی اساسی اطلاعات را در ایالات متحده تا سال 1995 طبقه بندی نکرده اند.گلچین های مختصر از تست استاندارد TEMPEST ایالات متحده یعنی NSTISSAM TEMPEST / 1-92 در حال حاضر در دسترس می باشد، اما همه ی محدودیت های بروندهی واقعی و فرایندهای تست از نسخه ی منتشر شده، تنظیم شده اند. یک نسخه ی منظم از مقدمه ی راهنمای TEMPEST یعنی NACSIM 5000 در دسامبر سال 2000 منتشر شد. به طور مساوی استاندارد ناتو SDIP- 27 ( که تا قبل از 2006 به صورت AMSG 720 B و .... شناخته می شد ) هنوز هم به صورت طبقه بندی می باشد.اگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سیستم های تشخیص نفوذ در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 03:48:40 +0330 https://virgool.io/@sec.cehfan401/%D8%A7%D9%85%D8%B6%D8%A7%DB%8C-%D8%AF%DB%8C%D8%AC%DB%8C%D8%AA%D8%A7%D9%84-%DA%86%DB%8C%D8%B3%D8%AA-%D8%A8%D8%B1%D8%B1%D8%B3%DB%8C-%D9%85%D9%81%D9%87%D9%88%D9%85-digital-signature-%D8%A8%D9%87-%D8%B2%D8%A8%D8%A7%D9%86-%D8%B3%D8%A7%D8%AF%D9%87-z4alw5g0psfo با سلام خدمت دوستان عزیز و بزرگوار ، در دنیای مجازی امروز هر مکانیزمی که بتواند سه نیاز زیر را در خصوص اسناد و مدارک دیجیتالی برآورده کند "امضای دیجیتال" نامیده می شود:الف) دریافت کننده سند یا پیام الکترونیکی بتواند هویت صاحب سند را بدرستی تشخیص بدهد و از جعلی نبودن آن اطمینان حاصل کند.ب) صاحب و امضاء کننده سند بعدا نتواند محتوای سند یا پیام ارسالی خود را به هر طریقی انکار کند.ج) یک متقلب ثالث نتواند پیامها یا اسناد جعلی تولید و آنها را به دیگران نسبت دهد.اندیشه امضای دیجیتالی به پژوهش های دیفی و هلمن در سالهای 1976 به بعد بر می گردد. این دو نفر در فکر الگوریتمی بودند که بتواند خواص امضاهای دستی را در حد متکامل و عالی داشته باشد (خواص اصلی امضاهای دستی عبارتند از آسانی تولید، سادگی تشخیص و مشکل بودن جعل آن).ولی در عین حال توسط ماشین و به صورت خودکار تولید شود. بزرگترین تفاوت امضاهای دستی با امضاهای دیجیتال در آن است که امضاهای دستی ثابت اند و شکل آنها نباید تغییر کند در حالی که امضاهای دیجیتالی ماهیتاً وابسته به پیام اند و به ازای هر پیام تغییر می کنند.ابتدا لازم است قبل از بیان روشهای امضای دیجیتال ابتدا دو مفهوم کلید عمومی (public key) و کلید خصوصی (private key) را تعریف کنیم. با کلید عمومی می توان داده ها را رمزنگاری کرد ولی داده های رمزنگاری شده را نمی توان با چنین کلیدی از رمز خارج کرد.این کلید را می توان به راحتی در اختیار عموم قرار داد و یا آن را از طریق کانال نا امن به صورت فراگیر پخش کرد. کلید خصوصی در نزد صاحب آن به صورت سری و محرمانه نگه داری می شود. بدین ترتیب فقط و فقط صاحب کلید می تواند داده های رمز شده با کلید عمومی را از رمز خارج کند. روشهای متعددی برای پیاده سازی امضای دیجیتالی معرفی شده است که مهمترین آنها عبارتند از:1-امضای دیجیتالی مبتنی بر چکیده پیامدر این مکانیزم از هر سند (پس از ایجاد و قرار گرفتن در یک قالب استاندارد و مشخص) یک چکیده کوتاه چند بایتی استخراج می شود. این چکیده کوتاه به طرز بسیار پیچیده ای از تک تک بیت ها و جایگاه آنها در متن تاثیر می پذیرد و به نحوی محاسبه و استخراج می شود که هر گونه تغییر جزیی یا کلی در متن باعث تغییرات چشمگیر در چکیده آن خواهد شد. پس از استخراج چکیده پیام، رشته ی بیتی حاصل، توسط کلید خصوصی صاحب پیام رمز نگاری و نتیجه به دست آمده به اصل پیام ضمیمه می شود.در حقیقت امضای دیجیتالی چیزی نیست جز یک رشته عددی که به روش پیچیده ای از متن یک سند استخراج و پس از رمزنگاری با کلید خصوصی صاحب سند، به اصل سند ضمیمه و ارسال می شود.برای اعتبار سنجی و تایید اصالت سند، گیرنده می تواند به راحتی چکیده ضمیمه شده سند را با کلید عمومی صاحب سند (که همه آن را می دانند) از رمز خارج کرده و همچنین یکبار دیگر خودش راساً چکیده سند را محاسبه و این دو را با هم مقایسه کند. هرگاه این دو مقدار با هم مساوی بودند، اصالت و اعتبار سند تایید می شود در غیر این صورت سند جعلی است یا توسط اخلال گران میانی تغییراتی در آن اعمال شده است. شکل 1 کلیات این روش را به تصویر کشیده است.امضای دیجیتالیشکل 1. فرآیند امضای دیجیتال مبتنی بر چکیده پیامخصوصیات چکیده پیام عبارتند از:الف) با داشتن متن مفروض P محاسبه چکیده آن بسیار ساده و سریع باشد.ب) هر گاه چکیده یک پیام در اختیار باشد هرگز نتوان از طریق آن متن اصلی پیام را پیدا کرد.ج) هر گاه یک پیام مفروض P و چکیده آن در اختیار باشد هرگز نباید در عمل بتوان پیام دیگری مثل p' یافت که آن پیام نیز چکیده ای مانند پیام p داشته باشد.به الگوریتمهایی که از درون یک پیام با طول متغییر یک چکیده با طول کوتاه و ثابت محاسبه و استخراج می کنند اصطلاحاً "توابع در هم ساز" (Hash function) و به چکیده پیام "کد در هم شده" (Hash code) نیز گفته می شود.برخی الگوریتمهای رایج و شناخته شده جهت محاسبه چکیده پیام عبارتند از:MD5 ، SHA-1(secure hash algorithm version1 و (SHA-2(secure hash algorithm version 2 که توضیح آنها از حوصله این مقاله خارج است. البته اگر دوستان درخواست داشتند حتما توضیح خواهیم داد!2-امضای دیجیتالی مبتنی بر روش های رمزنگاری کلید عمومییکی از مکانیزمهایی که نیازهای سه گانه امضای دیجیتالی را برآورده می کند "امضاء و رمزنگاری پیام به روش کلید عمومی" است. روش کار به این صورت است:فرستنده ابتدا کل پیام را با کلید خصوصی خود رمز می کند. از آنجا که همه ی افراد کلید عمومی فرستنده را می دانند این مرحله از رمزنگاری هیچ کمکی به امنیت پیام نمی کند بلکه هر گاه افراد توانستند پیام را با کلید عمومی فرستنده از رمز خارج کنند مطمئن خواهند شد که پیام از طرف فرستنده صادر شده است.سپس فرستنده حاصل مرحله قبل را با کلید عمومی گیرنده رمز کرده تا متن پیام محرمانه بماند. بدیهی است که فقط دارنده کلید خصوصی یعنی گیرنده قادر به رمز گشایی خواهد بود.روال رمز گشایی و تایید اصالت پیام برعکس است: گیرنده ابتدا پیام رمز شده را با کلید خصوصی خود از رمز خارج کرده و سپس بار دیگر آنرا با کلید عمومی فرستنده رمزگشایی می کند. هر گاه پیام معتبری رمزگشایی شود، گذشته از حفظ محرمانگی پیام در طول مسیر هویت فرستنده نیز تایید می شود. در شکل 2 این روال به تصویر کشیده شده است.شکل 2. امضاء و رمزنگاری کل پیام به روش کلید عمومیاگر می خواهید مباحث بیشتری در زمینه گواهینامه های دیجیتال وامنیت اطلاعات یاد بگیرید به دوره آموزش اسپلانک در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 03:43:24 +0330 https://virgool.io/@sec.cehfan401/%D8%A8%D8%B1%D8%B1%D8%B3%DB%8C-%D9%88-%D9%85%D8%B9%D8%B1%D9%81%DB%8C-%D8%A7%D8%B1%DA%A9%D8%A7%D9%86-%D8%A7%D8%B5%D9%84%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA-ekzspjt9pejw در بحث امنیت اطلاعات سه رکن اصلی وجود دارد که هر سه این این موارد برای برقراری امنیت یک سازمان امری حیاتی و مهم است. در این مطلب میخواهیم به بررسی این سه رکن اصلی بپردازیم. به طور خلاصه این سه رکن موارد زیر هستند:امنیت فیزیکیامنیت عملیاتیمدیریت و تدابیر امنیتیهر یک از این سه مورد برای برقراری امنیت در یک سازمان بسیار حیاتی است . فرض کنید که امنیت اطلاعات مانند یک سه پایه است که اگر یکی از این پایه ها شکسته شود شما به پایین خواهید افتاد و خودتان را زخمی می کنید . شما باید به تمامی جنبه های مربوط به امنیت اطلاعات در سازمان خود نگاه عمیق داشته باشید . بخشی از کار شما پیدا نمودن نیازهای امنیتی یک سازمان و ارائه پیشنهادات مدیریتی برای رفع آن است .شما باید کاری کنید که اطلاعات و کامپیوترها کمتر در معرض دید قرار بگیرند و نقاط ریسک پذیر را تا حد امکان به حداقل برسانید و در جهت حفظ و برقراری و به اجرا در آوردن آن در محیط کار خود تلاش کنید . این کار کوچکی نیست و شما برای اینکه بتوانید امنیت محیط کار خود را به حد معقولی برسانید باید هر کدام از این پایه های اساسی را رعایت کرده تا بتوانید مدیریت امنیت درستی بر روی سازمان خود پیاده سازی کنید ، در ادامه به بررسی این سه پایه می پردازیم امنیت فیزیکی Physical Security چیست؟منظور از امنیت فیزیکی ، حفاظت از داراییها و اطلاعات در مقابل دسترسی فیزیکی افراد یا پرسنل غیر مجاز است .به عبارت دیگر شما مسئول حفاظت از بخش هایی هستید که قابل لمس کردن ، دیده شدن و دزدیده شدن هستند. این تهدیدات اغلب توسط سرویس کارها ، دربان ها یا سرایدارها ، مشتری ها ، فروشنده ها و حتی کارمندان بوجود می آیند .اینگونه افراد می توانند ابزارها را ببینند و یا آنها را خراب کنند ، یا از دفتر کار مدارک و اسنادی را به سرقت ببرند و یا در در داخل آنها اطلاعات ناخواسته قرار دهند .انگیزه آنها در انجام این کارها می تواند انتقام گرفتن از شما باشد ، حال این انتقام می تواند به خاطر بوجود آمدن یک سوء تقاهم باشد و یا اینکه به خاطر کینه جویی آن فرد نسبت به شما باشد و به خاطر همین دلیل ، اطلاعات محرمانه شما را به سرقت برده و در اختیار رقیبان شما قرار می دهند . البته این را هم در نظر بگیرید که در کشور عزیزمان ایران اشخاصی هستند که صرفا به خاطر یک نگاه نا مناسب دشمن خونی شما خواهند شد و در صدد انتقام بر می آیند !!!!پیاده سازی امنیت فیزیکی به نسبت کار آسانی است ، شما می توانید تاسیسات خود را با استفاده از کنترل کردن دسترسی به دفتر کارتان ایمن کنید ، مدارک و اسناد غیر ضروری را حتما ریز ریز کنید ( نوعی حمله به نام dumpster diving معروف است ) سیستم های امنیتی نصب کنید و به قسمت های خاصی از فعالیتهای بازرگانی خود محدودیت دسترسی بدهید .بیشتر سازمان های اداری در ساعات غیر فعال کاری محیط اطراف ساختمان را به تحت پوشش امنیتی قرار می دهند و به این وسیله آنجا را ایمن می کنند .همین کار را می توان در ساعات اداری و فعال سازمان ها نیز اعمال کرد و چندان هم که به نظر می رسد دشوار نیست .بسیاری از سازمان ها و شرکت ها از سیستم های مختلف امنیتی از قبیل نگهبان ، قفل های کنترل ورود و خروج ، سیستم های الکترونیکی رمز ورود ، دوربین های امنیتی ، درگاه های کنترل و بازرسی بدنی و بسیاری دیگر از امکانات و تجهیزات امنیتی استفاده می کنند . در اکثر موارد مدیران قسمت ها به امنیت داخلی قسمت ها که مربوط به کامپیوترها ، اسناد و مدارک شخصی شما می باشد سرو کاری ندارند ، در واقع حفاظت از این موارد جزء وظایف شخصی شما در آن قسمت می باشد .Physical Securityاولین جزء امنیت فیزیکی این است که شما وسوسه انگیزی سیستم خود را تا حد امکان کم کنید ، یعنی اینکه تا جایی که امکان دارد کاری کنید که محیط واقعی کمتر در معرض دید باشد . فرض کنید شما یک فروشگاه جواهر آلات دارید ، این طبیعی است که در هنگامی که شما در تعطیلات به سر می برید ویترین فروشگاه خود را جمع کرده و آنها را در درون گاوصندوق قرار می دهید . سارقان با دیدن جواهر آلات انگیزه بیشتری برای سرقت پیدا می کنند .اگر آنها را نبینند و در معرض دید نباشند انگیزه سارقان نیز به مراتب کمتر خواهد شد . این کاملا طبیعی است که اگر کسی بتواند سرورهای شما را ببینید بیشتر از شخصی که آنها را نمی بیند وسوسه نفوذ به آنها را پیدا می کند . اگر شرکت یا سازمان شما بصورت تمام وقت باز است دسترسی به منابع تجاری موجود در آن نیز به مراتب بیشتر آسانتر است ، شما باید تا حد امکان سازمان خود را از معرض دید دیگران دور نگه دارید .قفل کردن درب ها ، نصب سیستم های دیدبانی و نظارتی و نصب انواع هشدار دهنده ها می تواند محیط فیزیکی را تا حد زیادی ایمن کند .قبلا هم به این موضوع اشاره کردم که همیشه در این تفکر باشید که در حال هک شدن هستید ، پس سعی کنید با ساده ترین اعمال ممکن امنیت را بالا برده تا با مشکلات ساده به دردسر نیافتید .دومین قسمت امنیت فیزیکی در برگیرنده تشخیص نفوذ یا سرقت است ، شما باید بدانید چه کسی یا چه چیزی وارد شده است و یا از بین رفته است . باید بدانید که چه چیزهایی ناپدید شده است و این تغییرات چگونه اتفاق افتاده است . دوربین های مدار بسته روش بسیار خوبی برای بدست آوردن این اطلاعات است .اکثر شرکت های کوچک برای تشخیص چگونگی رخ دادن سرقت ها و اینکه چه کسی آنرا انجام داده است از اینگونه دوربین ها استفاده می کنند . فیلم هایی که این گونه دوربین ها بدست می آید در اکثر دادگاه ها مدارک و اسناد قابل استنادی محسوب می شوند .به عنوان یک مدیر شبکه شرکت ، شما باید بلافاصله بعد از رخ دادن سرقت ، به هیچ چیز دست نزنید و و سریعا موضوع را مراجع قانونی اطلاع دهید تا به بررسی موضوع بپردازند . این نکته را به یاد داشته باشید که در چنین حالتی شما باید به هر کسی که فکر می کنید ظنین باشد .سومین قسمت امنیت فیزیکی ارزیابی اطلاعات از دست رفته است . فرض کنید که اطلاعات حیاتی یک شرکت از بین رفته است ، چکار باید کرد ؟ چطور یک سازمان بعد از بوقوع پیوستن یک سرقت یا فاجعه می تواند به حالت عادی خود بازگردد ؟ با یک مثال این موضوع را برای شما بازتر می کنم ، فرض کنید یک آدم خرابکار اتاق سرورهای شما را که تمامی اطلاعات حیاتی سازمان شما در آن وجود دارد را به آتش می کشد و یا در استان گلستان هستید و سیل بوجود آمده تمام اداره شما را می شوید و از بین می برد .یا در تهران هستید و زلزله ای رخ داده و دفتر کار شرکت بصورت کامل از بین می رود ، البته فرض را در این میگیریم که در تمامی شرایط فوق شما در امنیت کامل بسر می برید و بعد از فاجعه فرصت رسیدگی به موضوع را دارید .و یا ساده ترین مثال اینکه در هنگام کار کردن با سرورها در اتاق سرور یک پارچ آب بصورت کامل روی سرورها ریخته و تمامی اطلاعات سرور از بین می رود !!! چقدر طول می کشد تا سازمان فعالیت عادی خود را که به اطلاعات ذکر شده وابسته است را از سر گیرد ؟بازیابی اطلاعات به شدت به این سه مورد بستگی دارد :طراحی ونقشهتفکرآزمایشفرض را بر این بگیرید که فایل های اساسی و حیاتی شرکت شما که شامل حسابهای بانکی ، سفارشات خرید و اطلاعات محرمانه راجع به مشتریهای شرکت است در اثر یک آتش سوزی می سوزد و تبدیل به خاکستر می شود . نکته مه در اینجاست که شما نسخه های حساس و حیاتی در مورد ثبتیات شرکت و موجودی های آن را حتما باید در جایی خارج از محل کار خود ( سازمان) در جایی امن نگه داری کنید . این در حالی است که در اکثر سازمان ها و شرکت ها نسخه های پشتیبان در همان محل نگه داری می شوند که بسیار نگران کننده است . حتی در این مورد سفارش شده است که در صورت اهمیت بسیار زیاد اطلاعات آنها را در ناخیه های جغرافیایی دور از هم ، در چندین نسخه نگهداری کنید .امنیت عملیاتی ( Operational Security ) چیست؟امنیت عملیاتی یا اجرایی نحوه انجام شدن کارها توسط سازمان را بیان می کند . در معنای عام می توان به عنوان مدیریت اطلاعات از آن نام برد . امنیت عملیاتی پهنه وسیعی را در بر میگیرد که شما به نوبه خود بخشی از آن هستید . اصول امنیت عملیاتی شامل :کنترل دسترسی ، شناسایی و توپولوژی های امنیتی است .موارد ذکر شده شامل فعالیت های روزانه شبکه ، اتصال به شبکه های دیگر ، طراحی نحوه تهیه کردن نسخه پشتیبان و طراحی نحوه بازگردانی آن می شود که البته همه این موارد در حالتی امکان پذیرند که نصب شبکه کامل شده باشد . اگر بخواهیم امنیت عملیاتی را در یک جمله خلاصه کنیم به این صورت بیان می شود : شامل هر چیزی در شبکه شما می شود که به طراحی و امنیت فیزیکی شما بستگی ندارد .در این بخش به جای اینکه تمرکز خود را روی تجهیزات فیزیکی قرار دهیم ، بیشتر به توپولوژی ها و اتصالات توجه می کنیم . عملیاتی که شما باید در بخش فیزیکی انجام دهید در ابتدا بسیار طاقت فرسا به نظر می رسد . در بسیاری اوقات شما از نقاظ آسیب پذیر شبکه بدون اینکه بدانید در حال استفاده هستید و با بدون اطلاع خط مشی را پیاده سازی کرده اید که دارای ضعف امنیتی است یا ناقص است .برای مثال شما خط مشی را پیاده سازی کرده اید که در آن کاربران مجبور هستند که رمزهای عبور خود را هر 30 یا 60 روز تعویض کنند ، حال اگر در سیستم شما قابلیت استفاده از سیستم چرخش رمز عبور طراحی نشده باشد ( این سیستم به شما اجازه استفاده از رمزهای عبور تکراری مورد استفاده در زمان های گذشته را نمی دهد ) شما یک نقطه آسیب پذیر جدی در شبکه خود دارید که شاید نتوانید آنرا از بین ببرید ، در این حالت از نظر دیدگاه عملیاتی سیستم قابلیت رمز عبور ضعیفی دارد .در این حالت شما دو گزینه برای انتخاب دارید ، یا باید پروسه امنیتی شبکه را بطور کامل ارتقاء دهید و یا اینکه سیستم عامل را بطور کلی تعویض کنید . انجام دادن هر یک از این عملیات ها مشکلات خاص خود را از قبیل میزان بودجه ، زمان تبدیل و بی میلی سازمان برای انجام اینکار را در بر دارد . لازم به ذکر است که متاسفانه یا خوشبختانه در کشور عزیز ما ایران به علت نبود قانون کپی رایت ، مشکل تعویض سیستم عامل وجود ندارد زیرا هزینه ای برای تعویض آن و تهیه سیستم عامل جدید پرداخت نمی شود .اما فرض را بر این بگیرید که در شرکتی هستید که بطور متوسط 200 عدد سیستم عامل ویندوز ایکس پی در آن مشغول کار هستند ، حال اگر بخواهیم 200 عدد سیستم عامل حداقل 60 دلاری خریداری شود هزینه ها میتواند خیلی بالا برود ، ذهن خود را درگیر CD هایی نکنید که در بازار انقلاب و یا کنار خیالان فروخته می شوند و 8 سیستم عامل روز دنیا را با قیمیت کمتر از 1 دلار به مردم عرضه می کنند .اما مشکل اصلی بی میلی سازمان و مدیران برای انجام تغییرات در سازمان است . متاسفانه بعضی از مدیران سنتی عمل می کنند و از انجام دادن تغییرات در روند ایجاد محیطی ایمن می هراسند ، یا احساس بی میلی دارند که از نظر من و بسیاری دیگر از کارشناسان بزرگترین مشکل موجود در برقراری امنیت عملیاتی همین مورد است ، اگر مدیر نخواهد کاری انجام شود ، پس نمی شود تلاش بیهوده نکنید . اما هر مشکلی راهکاری نیز دارد که به آن خواهیم پرداخت .این وابستگی ها در یک سیستم ضعیف در واقع ناشی از این است که اکثر شرکت ها از نرم افزارهایی استفاده می کنند که بوسیله شخص ثالث نوشته شده اند ، نرم افزارها همانطور که میدانید به سه دسته تقسیم می شوند که شخص اول یا first party ، شخص دوم یا second party و شخص سوم یا third party می باشند .این بسته های نرم افزاری معمولا نیاز به یک سیستم خاص دارند .اگر سیستم عامل شما داری نقاط ضعف امنیتی زیادی باشد متقابلأ وظایف شما نیز افزایش می یابد زیرا همچنان شما مسئول برقراری امنیت در آنجا هستید ، برای مثال : اگر شبکه شما که تا حدی ایمن است به اینترنت متصل شود ، هدف نفوذ بسیاری از افراد قرار خواهد گرفت، حال شما می توانید با نصب نرم افزارها و سخت افزارهای امنیتی ، امنیت را تا حد مطلوبی افزایش دهید .در هر حال مدیران معتقد هستند که اینگونه ابزارها برای پیاده سازی پر هزینه هستند ، بنابراین شما کار زیادی نمی توانید انجام دهید . تنها راه حل با قانع کردن مدیران بوسیله نشان دادن شدت تهدیداتی است که ممکن است عملکرد شرکت یا سازمان را مختل کند و آن را دچار تهدید کند . در ذیل میتوانید مواد مرتبط با امنیت عملیاتی را مشاهده کنید :کامپیوترشبکهخط مشی هامدیریتکنترل دسترسیشناساییطرح و نقشه تهیه نسخه پشتیبان و بازگردانی آنمدیریت و خط مشی ( Management and Policy ) در امنیت چیست؟مدیریت و خط مشی ها در واقع برنامه هایی هستند که با توجه به آنها می توانیم امنیت یک محیط را پیاده سازی کنیم . خط مشی ها برای اینکه موثر باشند نیاز به پشتیبانی همه جانبه از جانب تیم مدیریتی سازمان دارند . راهنما های درست نه تنها می توانند باعث بوجود آمدن ابتکارهای امنیتی در محیط شوند بلکه باعث بوجود آمدن یک امنیت موثر نیز هستند .متخصصین امنیت اطلاعات می توانند خط مشی های امنیتی خود را ادامه دهند ، اما برای اینکه بتوانند آنها را پیاده سازی کنند نیاز به حمایت و پشتیبانی مدیران دارند ، این نکته را همیشه به یاد داشته باشید که شما هیچوقت نمی تواندی ادعا کنید که شبکه من ایمن است و این در حالی باشد که از حمایت مدیران برخوردار نیستید .تصمیماتی که باید در سطح مدیریت و خط مشی ها اتخاذ شود به طور کامل سازمان را تحت پوشش قرار می دهدو می تواند بهره وری ، روحیه کاری و فرهنگ سازمان را تحت تاثیر خود قرار بدهد. اینگونه تصمیمات و خط مشی ها می تواند تاثیر بسزایی بر روی مسائل مرتبط با امنیت نیز داشته باشد . اینگونه خط مشی ها باید طوری طراحی شوند که هدایت سازمان ، راحتی در مواقعی که سازمان در تعطیات بسر می برد یا کارمندان به مرخصی می روند و یا کار آنها به اتمام می رسد را کاملا تحت پوشش قرار دهند .اکثر افرادی که در یک سازمان فعالیت می کنند می توانند به راحتی به شما بگویند که چه مدت زمانی را در طی سال در مرخصی بسر می برند و همچنین بسیاری دیگر به شما می توانند اطلاعات دقیقی از چگونگی استفاده اطلاعات در سازمان و اینکه خط مشی ها چگونه پیاده سازی شده اند را در اختیارتان قرار دهندپس همیشه کاربران و کارمندان را می توانید در نقش یک منبع اطلاعاتی بسیار موثر در پیاده سازی فعالیت های امنیت خود در نظر بگیرید .برای بر قراری امنیت در یک شبکه چندین خط مشی کلیدی وجود دارد ، لیست زیر نشان دهنده تعدادی از این خط مشی های گسترده می باشد که هر کدام نیاز به طراحی و تفکر دارند :خط مشی های مدیریتینیازهای طراحی نرم افزارطرح و برنامه بازیابی از حادثهخط مشی های اطلاعاتیخط مشی های امنیتیخط مشی های مدیریتی کاربراناگر می خواهید مفاهیم امنیت شبکه وامنیت اطلاعات مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش هک قانونمد در این لینک مراجعه کنید Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 03:33:29 +0330 https://virgool.io/@sec.cehfan401/%D9%85%D8%B9%D8%B1%D9%81%DB%8C-%D8%A7%D9%86%D9%88%D8%A7%D8%B9-%D9%BE%D8%A7%D9%84%DB%8C%D8%B3%DB%8C-%D8%AF%D8%B1-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA-%D8%A8%D8%B1%D8%B1%D8%B3%DB%8C-7-%D9%86%D9%88%D8%B9-policy-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-edpelcdbxju6 برای بر قراری امنیت در یک شبکه چندین خط مشی کلیدی یا پالیسی وجود دارد ، لیست زیر نشان دهنده تعدادی از این خط مشی های گسترده می باشد که هر کدام نیاز به طراحی و تفکر دارند :خط مشی های مدیریتی ( Management Policies)نیازهای طراحی نرم افزار ( Software Design Needs)طرح و برنامه بازیابی از حادثه ( Disaster Recovery Plan)خط مشی های اطلاعاتی ( Information Policies)خط مشی های امنیتی ( Security Policies)خط مشی های مدیریتی کاربران ( User Management PolicesManagement Policy یا پالیسی مدیریتی چیست؟خط مشی های مدیریتی در واقع راهنمایی برای بروز رسانی ، نظارت کردن ، تهیه نسخ پشتیبان و بازرسی کردن در یک سازمان هستند .مدیران سیستم و کارکنانی که در بخش نگهداری و تعمیر فعالیت می کنند از این خط مشی ها برای هدایت تجارت استفاده می کنند . این خط مشی طوری باید باشد که به وضوح نشان بدهد که بروز رسانی ها هر چند وقت باید انجام شود و در چه زمانی باید این عمل انجام شود ، این خط مشی ها چگونگی انجام شدن پایش یا مانیتورینگ و برداشتن و نگهداری LOG ها را نیز مشخص می کند .آنها حتی باید با استفاده از عنوان کاری افراد مشخص کنند که چه کسانی مسئول تصمیم گیری در سازمان هستند و همچنین تصمیمات اتخاذ شده چند وقت به چند وقت باید مورد بررسی و مرور قرار بگیرند . خط مشی ها باید به اندازه ای واضح و روشن باشند که بتوانند به کارکنان مدیریتی این امکان را بدهند که بتوانند تمرکز خود را بر روی سیستم عامل های در حال کار قرار بدهند و به آنها توجه کنند و در این بین سیاست باید به نحوه قابل انعطاف باشد که در آن موارد اورژانسی و پیش بینی نشده نیز گنجانده شود.Sofware Design Policy یا پالیسی طراحی نرم افزار چیست؟طراحی نیازمندی ها در واقع نشان دهنده قابلیت های یک سیستم و اینکه این قابلیت ها شامل چه چیزهایی می شوند، است . برای مثال این نیازها ممکن است طرحی ابتدایی باشند که شما را واقعا در پیدا کردن راه حل های جامع کمک می کند . بسیاری از فروشنده های نرم افزار ، نرم افزار خود را پیشنهاد می کنند و به شما اطمینان می دهند که نرم افزار آنها کاملا ایمن است ، در این حالت شما می توانید با استفاده از تعریف نیازهایی که قبلا تعریف شده اند از فروشنده در مورد آن نرم افزار سئوالات و توضیحات کامل و راهکارهای جامع بخواهید .اگر نیازهای طراحی شده شما به عنوان یک جزء جدا از ساختار پیاده سازی شما در نظر گرفته شود ، شما می توانید شرط ببندید که شبکه شما آسیب پذیر است . طراحی نیازها باید بصورت یک هدف متغیر در نظر گرفته شود زیرا دائما در حال تغییر است . نیازهایی که امروزه با آنها سروکار دارید مسلما نیازهایی نخواهند بود که در دو سال بعد با آنها روبرو خواهید شد و دائما در حال تغییر هستند .Disaster Recovery Plan یا طرح بازیابی از حادثه چیست؟طرح و نقشه بازیابی از حادثه یکی از دردسرهایی است که حرفه ای های فناوری اطلاعات با آن مواجه هستند . DRP ها هزینه های زیادی برای پیاده سازی می خواهند و برای آزمایش کردن گران هستند و باید همیشه با روز باشند . بسیاری از شرکت های بزرگ وجود دارند که در زمینه DRP سرمایه گذاری های کلانی انجام می دهند که شامل مواردی از قبیل نسخه های پشتیبانی و Hot Site می شود . Hot Site ها تسهیلاتی هستند که این قابلیت و امکان را به شبکه می دهند که بلافاصله پس از بروز مشکل ، خط مشی یا شبکه شما را به حالت فعال باز گردانند .اینگونه خط مشی های پشتیبانی هزینه های بسیاری دارند و بعضی اوقات هم تزار کردن آنها با سایت اصلی کار دشواری است . معمولا اکثر شرکت های کوچک با موضوعی به نام Hot Site بیگانه هستند و این کار را انجام نمی دهند . یک DRP خوب سعی می کند که هرگونه اتفاق یا خرابی ممکن را بصورت مجازی پیش بینی کرده و برای آن طرح و نقشه ای پیاده سازی کند . حال این موضوع می تواند به سادگی از کار افتادن یک سیستم ساده باشد یا به پیچیدگی یک سازمان چند ملیتی که چندین هزار سیستم در آن قرار دارند و می خواهد اطلاعات خود را بطور کامل بازگردانی کند .کلید موفقیت یک DRP جامع و کامل بودن آن است ، هر چه یک DRP به جزئیات بیشتر اهمیت بدهد موفقیت آن بیشتر خواهد بود . برای مثال اگر شرکتی در شهر بم قرار دارد باید این پیش بینی بشود که ممکن است دوباره در این شهر زلزله بیاید و شرکت را تخریب کند ، بنابراین از دید یک DRP موفق اطلاعات باید در ناحیه ای خارج از شهر نیز نگهداری شوند مثلا در شعبه ای دیگر از شرکت که در تهران واقع است .Information Policy یا پالیسی اطلاعات چیست؟خط مشی های اطلاعاتی مربوط به موارد مختلفی از امنیت اطلاعات شامل دسترسی ها ، دسته بندی ها ، نشانه گذاری ها و ذخیره سازی ها می شود . همچنین شامل مواردی از قبیل انتقال یا خرابی اطلاعات حساس و حیاتی و پیاده سازی خط مشی های اطلاعاتی برای امنیت اطلاعات می شود. همانند خط مشی های دیگر موفقیت این نوع خط مشی ها نیز جامع بودن و فراگیر بودن آن است . در هنگام نوشته شدن این نوع خط مشی فقط مقدار خیلی کمی از آن را می توانیم به عنوان شانس و حدس و گمان در نظر بگیریم .Security Policy یا پالیسی امنیتی چیست؟خط مشی های امنیتی در بر گیرنده تنظیمات سیستم ها و شبکه ها هستند که سامل نصب نرم افزارها و سخت افزارها و اتصالات شبکه ای می شوند . خط مشی ها امنیتی نحوه شناسایی افراد ، سطوح دسترسی کاربران ، و نحوه انجام گرفتن عملیات بازرسی را تشریح و تعریف می کنند . اینگونه خط مشی ها همچنین در برگیرنده رمزنگاری و نرم افزارهای آنتی ویروس ، روش های انتخاب رمز عبور ، نحوه از بین رفتن اعتبار حساب ها کاربری ، تعداد ورودهای نا موفق و چیزهایی مشابه آن می باشد .نکته : هر خط مشی امنیتی به منظور خاصی بکار می رود ، پس سعی کنید هر کدام را در سر جای خود بکار ببرید ، برای مثال اگر خط مشی امنیتی برای شرکتی طراحی کرده اید که امنیت برای آنها بسیار مهم است ، همان خط مشی را نمیتوانید برای شرکتی بکار ببرید که امنیت در آن چندان اهمیتی ندارد . این عمل مستقیما به سطح دانش افراد و کارکنان سازمان دارد و برای مثال اگر سطح سواد و IQ کارکنان شرکت در سطح پایینی باشد شما نمیتوانید خط مشی را پیاده سازی کنید که در آن حداقل طول رمز عبور هشت کاراکتر تعریف شده باشد . اگر آنها را اجبار به انجام اینکار کنید ظرف مدت کمتر از یک هفته شما مشاهده خواهید کرد که همه کارکنان از یک رمز عبور مشترک استفاده می کنند و یا اینکه همگی رمز عبور خود را بر روی یک کاغذ نوشته و آنرا روی مانیتور خود می چسبانند ، وقتی کاربری توانایی به خاطر سپردن رمز عبور تک کاراکتری را ندارد ، آنرا یادداشت می کند و این امر کاملا طبیعی است .Usage Policy یا پالیسی استفاده چیست؟خط مشی های استفاده در برگیرنده نحوه و چگونگی استفاده از اطلاعات و منابع سازمان را بیان می کند . شما نیاز دارید تا به کاربر خود توضیح دهید که چگونه و به چه منظور حق استفاده از منابع را دارد . این خط مشی ها در حقیقت قانون استفاده از کامپیوترها می باشد .اینگونه خط مشی ها مسائلی شامل استقلال کاربران ( Privacy) یا حریم خصوصی ، و مالکیت ( Ownership) و نتیجه اعمال نادرست کاربران را به صراحت بیان می کند .خط مشی های استفاده شما باید به وضوح نحوه استفاده کاربران از اینترنت و سرویس ایمیل را شرح دهد .آنها همچنین باید مشخص کنند که کاربران چگونه باید رویدادها را گزارش دهند ، اگر به موضوعی شک و حدس و گمان بردند باید مشخص شود که در آن حال باید با چه کسی تماس گرفته و آنها را مطلع سازند . اینگونه خط مشی ها باید طوری باشند که قدم به قدم مراحب نظارت بر کاربران و سازمان را در بر گرفته و کاربران را با این موضوع تطبیق دهند ، در اینجاست که نتایج سوء از یک حساب کاربری یا حتی چیزهای خیلی جزئی تر باید گنجانده شود .User Management Policiy یا پالیسی مدیریت کاربران چیست؟اینگونه خط مشی ها در واقع بیانگر اعمال مختلفی است که یک کاربر در حالت عادی فعالیت خود انجام می دهد . این خط مشی علاوه بر آموزش ، موقعیت سنجی و نصب و تنظیم ابزارها و وسایل ، باید طوری طراحی شود تا در آن نحوه اضافه شدن کارمندان به سیستم را نیز مشخص کند . انتقال کارمندان در یک شرکت یک امر کاملا عادی و معمول است . اگر کارمندی به پست جدیدی انتقال یابد اجازه های دسترسی و محدودیت های سابق ممکن است با پست جدید نا متناسب باشد.در این حالت ایجاد یک دسترسی جدید این امکان را به کاربر می دهد تا بلافاصله به کار خود ادامه دهد . اگر شما فراموش کنید که اجازه دسترسی های سابق را باطل ( لغو ) کنید ، کاربر جدید ممکن است بصورت کاملا اتفاقی اجازه دسترسی بیشتر از آنچه شما در اختیار او قرار می دهید را پیدا کند، بعد از مدتی نتیجه این نوع موقیعت ها حالت Privilege Creep بوجود می آید ، یعنی کاربر بطور کاملا اتفاقی دارای اجازه دسترسی هایی مشابه مدیر شبکه می شود .یکی دیگر از مسائل و مباحث مهم در مدیریت کاربران ، کارمندان اخراجی هستند که تهدید مهمی برای امنیت اطلاعات به شمار می روند . در برخی اوقات یک کارمند اخراجی مکن است در پی این باشد که به لیست مشتری ها ، حساب های بانکی و بسیاری از اطلاعات حساس دیگر دست پیدا کند .وقتی کارمندی اخراج می شود ، شما باید اطمینان پیدا کنید که حساب کاربری وی حتما غیر فعال و یا حذف شده است و آن کاربر دیگر هیچگونه اجازه دسترسی به سازمان و اطلاعات آنرا نباید داشته باشد .جالب است بدانید که بسیاری از مدیران شبکه از تغییرت کارمندان اطلاعی ندارند . خط مشی مدیریتی کاربران باید به قدری واضح و روشن باشد که در آن تمامی این مراحل به صورت کاملا دقیق و شفاف شرح داده شده باشد.اگر می خواهید مفاهیم امنیت شبکه وامنیت اطلاعات مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سکیوریتی پلاس در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 03:23:04 +0330 https://virgool.io/@sec.cehfan401/5-%D9%86%DA%A9%D8%AA%D9%87-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D9%88-%D8%AD%D8%B1%D8%A7%D8%B3%D8%AA%DB%8C-%D8%AF%D8%B1-%D9%81%DB%8C%D8%B3%D8%A8%D9%88%DA%A9-%DA%A9%D9%87-%D8%A8%D8%AF-%D9%86%DB%8C%D8%B3%D8%AA-%D8%A8%D8%AF%D8%A7%D9%86%DB%8C%D8%AF-%D9%88-%D8%B1%D8%B9%D8%A7%DB%8C%D8%AA-%DA%A9%D9%86%DB%8C%D8%AF-lh4nptysemo2 خوب همانطوری که می دانید و ما نیز در مقاله قبلی به آن اشاره کردیم فیسبوک وسیله ای جامع و فراگیر و در حقیقت بزرگترین و کارآمدترین ابزار جاسوسی در دنیا می باشد . در این مقاله به شما آموزش می دهم که چگونه با چند راهکار ساده تا حد زیادی از آسیب های اجتماعی و انواع دیگر از آسیب هایی که این شبکه می تواند بر روی شما بگذارد رهایی یابید . اگر نمی توانید به یکباره این موارد را انجام دهید به مرور زمان انجام دهید که تاثیرگذاری خود را به بهترین شکل داشته باشد :-اولین مورد این است که سعی کنید اصلا وارد این شبکه اجتماعی نشوید !!! پیشگیری همیشه بهتر از درمان است ، به جای اینکه در این شبکه عضو شده و بعدا به فکر رهایی از دامی که در آن گرفتار شده اید بیافتید ، می توانید از همان ابتدا وارد این دام نشوید . ( این بهترین راه است )2-اگر در عضویت این شبکه اجتماعی هستید ، تا حد امکان هیچگونه اطلاعات صحیحی در مورد خود و دوستانتان را در آن ثبت نکنید . یک ایمیل ساختگی ، نام و مشخصات ساختگی و جعلی به فیسبوک بدهید ، دوستانتان شما را با این نام خواهند شناخت اما فیسبوک نمی تواند این را تشخیص بدهد .3-هیچگاه عکس های خصوصی و خانوادگی خود را در این شبکه قرار ندهید ، بارها برای خیلی از افراد پیش آمده است که از عکس های آنها سوء استفاده شده است . برای مثال شخصی که دارای خصومت با یکی از شما می باشد ، عکس های شخصی شما را در فیسبوک یافته و برای شما یک صفحه ایجاد می کند و در آن صفحه عکس های شما را قرار داده و شما را به عنوان یک انسان ..... در این شبکه معرفی می کند و حتی شماره همراه شما را در کنار این تصاویر برای عموم قرار می دهد . این ساده ترین کاری است که می توان با عکس های شخصی افراد در فیسبوک انجام داد .4-در مورد مسائل سیاسی حتما موضع بگیرید ، هر جا می بینید که شخصیتی در حال تخریب است با آنها همراهی نکنید ، همراهی شما ، همراهی دیگران را در پی خواهد داشت . هدف فیسبوک همراه کردن همه در جهت اهداف خود است با مخالفت و اعلام موضع آنرا ناکام بگذارید . فیسبوک یا استفاده از دایره تاثیرگذاری افراد در میان آشنایان و دوستان در بین شما رخنه میکند ، همیشه در مسائلی که به سرنوشت کشورتان مربوط می شود موضع خود را صریحا اعلام کنید.5-تا می توانید مطالب قرآنی و مذهبی و به خصوص در زمینه مسئله آخرالزمان و امام زمان (عج) در صفحات خود ایجاد کنید ، اصل بنیادی فیسبوک برای همراه کردن افکار عمومی جهت به سخره گرفتن ادیان الهی و اثبات اینکه وجود ناجی آخر الزمان خرافه ای بیش نیست گذاشته شده است ، مالکان اصلی فیسبوک یهودیان صهیونیسمی هستند که بنیاد کار خود را بر این مسائل پایگذاری کرده اند . یکی از مسائلی که به شدت برای فیسبوک تهدید محسوب می شود مسئله هولوکاست است ، در این مورد مطالبی را در صفحه خود قرار دهید و بعد از مدتی عکس العملی فیسبوکی که ادعای آزادی بیان دارد را مشاهده کنید .اگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سیستم های تشخیص نفوذ در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 03:15:11 +0330 https://virgool.io/@sec.cehfan401/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%AD%D8%B0%D9%81-managed-agent-%D8%A2%D9%86%D8%AA%DB%8C-%D9%88%DB%8C%D8%B1%D9%88%D8%B3-mcafee-%D8%A8%D9%87-%D8%B2%D8%A8%D8%A7%D9%86-%D8%A8%D8%B3%DB%8C%D8%A7%D8%B1-%D8%B3%D8%A7%D8%AF%D9%87-n02xxu7ymzuw سلام دوستان ، اگر از آنتی ویروس تحت شبکه و یا از کنسول مدیریتی McAfee Epolicy Orchestrator استفاده میکنید ، حتما با این مشکل مواجه شده اید که کامپیوتری که در حالت Managed یا مدیریت شده قرار میگیره توسط آنتی ویروس قابلیت حذف این Agent رو بهتون نمیده و وقتی بخاین این Agent را حذف کنید با پیغامی شبیه You can not uninstall McAfee Agent when it is in a managed mode مواجه میشید ، خوب برای اینکه بتونیم حذفش کنیم چند راه داره ، اولین راه استفاده از کنسول Epolicy و اجبار کردن سیستم برای حذف Agent مورد نظر هست که میدونم دنبال این مورد نیستید ، و مورد دوم استفاده از یک ابزار داخلی خود Agent هست که در درون پوشه McAfee قرار داده و به شما کمک میکنه که براحتی بتونین این Agent رو حذف کنید ، اسم این ابزار frminst.exe است که باید به روش زیر عمل کنید :به منوی استارت برید و این دستور رو بزنید :c:\Program Files\McAfee\Common Framework\frminst.exe&quot /forceuninstallبه منوی استارت برید و این دستور رو بزنید :c:\Program Files\Network Associates\Common Framework\frminst.exe&quot /forceuninstallهر دوی اینها کارتون رو راه میاندازه اما هر کدوم کار کرد کفایت میکنه.اگر می خواهید مباحث امنیت اطلاعات و تست نفوذ را به خوبی یاد بگیرید به دوره آموزش سکیوریتی پلاس در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 03:06:57 +0330 https://virgool.io/@sec.cehfan401/%D9%85%D8%B9%D8%B1%D9%81%DB%8C-%D9%88-%D8%A8%D8%B1%D8%B1%D8%B3%DB%8C-%D8%A7%D9%86%D9%88%D8%A7%D8%B9-%D9%88%DB%8C%D8%B1%D9%88%D8%B3-%D9%87%D8%A7%DB%8C-%DA%A9%D8%A7%D9%85%D9%BE%DB%8C%D9%88%D8%AA%D8%B1%DB%8C-computer-virus-slyg41kgttql شما به عنوان یک کارشناس امنیت باید انواع ویروس های کامپیوتری (Computer Virus) را بشناسید . یکی از موارد مهمی که در حوزه امنیت اطلاعات و به ویژه حوزه بدافزارها یا Malware ها وجود دارد این است که یک کارشناس امنیت خبره باید انواع و اقسام ویروس های کامپیوتری و روش کارکرد و حمله آنها را بشناسد ، درست است که قرار نیست خودش به تنهایی جلوی ویروس ها ایستادگی کند اما به هر حال برای گزارش دادن کد مخرب یا جلوگیری از انتشار آن می تواند راهکارهایی را ارائه دهد ، در این مقاله در انجمن تخصصی فناوری اطلاعات ایران شما با انواع و اقسام ویروس های کامپیوتری آشنا می شوید و از این به بعد هرگاه نام ویروسی را شنیدید قطعا بلافاصله روش کارکرد آن را نیز به خاطر خواهید آورد ، ویروس ها بصورت کلی در دسته های زیر طبقه بندی میشوند :1. ویروس های پلی مورفیک یا چند ریختی ( Polymorphic Virus )این نوع ویروس ها بصورت رمزنگاری شده ( Encrypted) وجود دارند و برای مقابله در مقابل شناخته شدن توسط آنتی ویروس ها کد های خود را مرتبا رمز نگاری و مخفی میکنند و پس از گذشتن آنتی ویروس از روی آنها مجددا کد خود را رمز گشایی کرده و شروع به توسعه و رشد خود در سیستم هدف می کنند و به این روش خود را از دیده شدن توسط آنتی ویروس حفط می کنند. نکته جالب در مودی اینگونه ویروسها این است که به محض اینکه توسط آنتی ویروسی شناخته شوند یا فایلی را آلوده کنند که آنتی ویروس متوجه شود بلافاصله الگوریتم رمز نگاری خود را تغییر می دهند و این به این معناست که با هر بار شناسایی این نوع ویروس نوع جدیدی الگوریتم بوجود می آید و شناسایی ویروس را برای نرم افزار آنتی ویروس فوق العاده دشوار می کند .2. ویروس های استیلث یا مخفی ( Stealth Virus )این نوع ویروس ها برای اینکه از دیده شدن توسط آنتی ویروس جلوگیری کنند به محض رسیدن آنتی ویروس به فایل مورد نظر ، با پاک کردن تغییرات خود بر روی فایل های سیستمی و نرم افزاری ، طوری القا می کنند که این فایل ، فایل اصلی نرم افزار است و بدین ترتیب آنتی ویروس از پاکسازی آن خودداری می کند و پس از اسکن مجددا فایل را آلوده می کنند. نرم افزار های آنتی ویروس حرفه ای از این طریق به وجود اینگونه ویروس ها پی میبرند که هنگامی که یک نرم افزار آنتی ویروس فراخوانی میشود اینگونه ویروس ها سعی میکنند خود را در داخل حافظه سیستم ( RAM ) مخفی کنند .3. ویروس های اسلو یا کند ( Slow Virus)از آنجایی که اینگونه ویروس ها صرفا هنگامی فایل ها را آلوده می کنند که در حال کپی شدن یا Move شدن و یا در حال اعمال شدن تغییرات هستند ، شناسایی آنها برای آنتی ویروس دشوار است . بنابراین فایل اصلی آلوده نخواهد شد . بهترین روش برای شناسایی و عدم آلودگی توسط اینگونه ویروسها استفاده از نرم افزار های چگ گردن صحت فایل یا SIV : System Integrity Checker ها می باشد.4. ویروس های رترو یا پس رو ( Retro Virus)این نوع از ویروس ها به آنتی ویروسی که قرار است آنها را حذف کند حمله می کنند . اینگونه ویروسها با حمله به دیتابیس آنتی ویروس که شامل اطلاعات شناسایی ویروسها است حمله کرده و با از بین بردن یا دستکاری آنها باعث از بین رفتن قابلیت شناسایی ویروس ها توسط آنتی ویروس می شوند و عملا کار آنتی ویرس را مختل می کنند . در سایر موارد نیز سعی بر دستکاری آنتی ویروس و ایجاد مزاحمت برای شناسایی ویروس ها می کند .5. ویروس های مالتی پارتی یا چند وجهی ( Multiparty Virus )اینگونه ویروس های بصورت همزمان بوت سکتور ( Boot Sector ) و فایل های اجرایی را مورد حمله و آلودگی قرار می دهند .6. ویروس ها آرمورد یا مسلح ( Armored Virus )اینگونه ویروس ها برای اینکه خود را از دید آنتی ویروس مخفی نگه دارند به آنتی ویروس اینطور القا می کنند که در جایی دیگر از حافظه قرار دارند .بنابر این اینگونه ویروس ها برای شناسایی و Disassemble کردن بسیار دشوار هستند .7. ویروس های کامپانیون یا همنشین ( Companion Virus)اینگونه ویروسهای فایلی همنام یا نزدیک به نام فایل اصلی تولید کرده و به هنگام فرخوانی فایل اصلی ویروس نیز فرخوانی می شود ، مثلا فایل Scandisk.exe در سیستم وجود دارد و توسط یکی از این نوع ویروس ها آلوده شده است و در کنار آن فایل Scandisk.com و Scandisk.bat ایجاد شده است که با فراخوانی Scandisk.exe هر دو فایل آلوده فرخوانی خواهند شد .8.ویروس های فیج یا خورنده ( Phage Virus)این نوع ویروس یکی از خطرناکترین انواع ویروس می باشد به دلیل اینکه ضمن اینکه فایل را آلوده میکند و خود را به آن متصل میکند ، کد مخرب خود را جایگزین کدهای موجود در روی فایل اجرایی سیستم می کند و بنابراین هرگاه این نوع ویروس فایلی از یک برنامه را آلوده کند بطور حتم قصد تخریب کامل نرم افزارش را دارد .9. ویروس های ریویزیت یا بازدید کننده ( Revisiting Virus)این نوع ویروس در حقیقت ماهیتی شبیه کرم ( Worm) دارد و به وسیله استفاده از پرتکل TCP//IP و قرار دادن خود در حافظه سیستم ها ترویج پیدا می کند .اگر می خواهید مباحث امنیت شبکه و تشخیص نفوذ را به خوبی یاد بگیرید به دوره آموزش اسپلانک در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 02:55:45 +0330 https://virgool.io/@sec.cehfan401/%D9%85%D8%B9%D8%B1%D9%81%DB%8C-10-%D9%86%D9%88%D8%B9-%DA%A9%D9%86%D8%AA%D8%B1%D9%84-%D8%AF%D8%B3%D8%AA%D8%B1%D8%B3%DB%8C-access-control-%D9%85%D9%87%D9%85-%D8%AF%D8%B1-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA-hjkg7iv8tffj یکی از اصلی ترین وظایف امنیت ، کنترل دسترسی به منابع است .کنترل دسترسی خیلی بیشتر از این است که تعیین کنیم که یک کاربر بتواند از یک فایل یا سرویس استفاده کند یا نه . کنترل دسترسی در حقیقت در مورد رابطه بین اشیاء یا Object ها و موضوع ها یا Subjectها صحبت می کند . انتقال اطلاعات از یک شیء به یک موضوع را دسترسی می نامند . دسترسی صرفأ یک موضوع منطقی و یا فنی نیست ، هرگز قسمت فیزیکی قضیه را فراموش نکنید که براحتی می تواند باعث افشاء اطلاعات و یا ایجاد مشکلات خاص خود را کند . قانون اصلی کنترل دسترسی این است که دسترسی به منابع همیشه و بصورت پیشفرض باید در حالت deny یا منع شده باشد مگر اینکه به موضوع خاصی اجازه دسترسی داده شده باشد .یک موضوع یا subject یک موجودیت غیرفعال محسوب می شود ، این موجودیت غیرفعال از طریق فرآیندی به نام دسترسی به دنبال بدست آوردن داده از قسمت های فعال یا همان اشیاء ( object) هستند . یک موضوع می تواند شامل یک کاربر،یک برنامه،یک پایگاه داده ، یک پروسس ، یک فایل و ... باشد .یک شیء می تواند یک کاربر ، فایل ، کامپیوتر ، پایگاه داده ، پرینتر ، دستگاه ذخیره سازی و از این قبیل باشد . موضوع یا subject همیشه موجودیتی است که اطلاعات یا داده ها را از ، یا درباره اشیاء یا Object ها بدست می آورد ، همچنین این موجودیت اطلاعات یا داده های ذخیره شده در اشیاء را می تواند تغییر یا اصلاح کند . اشیاء همیشه موجودیت هایی هستند که اطلاعات یا داده ها را ارائه می دهند و یا میزبان اطلاعات هستند. نقش بین اشیاء و موضوع ها را میتوان ارتباط بین نرم افزار و پایگاه داده و یا یک فایل و پروسس آن تصور کرد که برای انجام یک عملیا ت یا وظیفه در کنار هم جمع شده اند .انواع کنترل دسترسی ( Access Control)وجود کنترل های دسترسی برای حفظ محرمانگی ، صحت یا تمامیت و دسترسی پذیری اشیاء ( اطلاعات و داده ها ) ضروری است . واژه کنترل دسترسی محدوده وسیعی از کنترل ها را در بر می گیرد که می تواند از مجبور کردن یک کاربر به استفاده از نام کاربری و رمز عبور معتبر برای ورود به سیستم باشد تا جلوگیری از دسترسی کاربران به منابع خارج از محدوده دسترسی اعمال شده برای آنان .کنترل های دسترسی از نظر نوع فعالیت و همچنین هدفی که برای آن طراحی شده اند به هفت گروه اصلی طبقه بندی می شود . همیشه در نظر داشته باشید که برخی از مکانیزم های امنیتی هستند که از چندین نوع از این گروه ها تشکیل شده اند و ترکیبی از این هفت گروه هستند:کنترل های دسترسی پیشگیری کننده ( Preventative Access Control)کنترل های دسترسی پیشگیری کننده از بوقوع پیوستن فعالیت های ناخواسته یا غیرمجاز جلوگیری می کنند . برای مثال فنس کشی ها ، قفل ها ، تجهیزات تشخیص هویت و شناسایی افراد ، Mantrap ، سیستم های روشنایی ، سیستم های هشدار دهنده یا آلارم ، تقسیم وظایف ، تغییر چرخشی فعالیت ها ( job rotation) ، طبقه بندی اطلاعات ، تست نفوذسنجی ، رمز نگاری اطلاعات ، پایش و مانیتورینگ ، دوربین های مداربسته ، کارت های هوشمند ، سیستم های callback ، خط مشی های امنیتی ، برگزاری دوره های آموزشی امنیتی کارمندان و نرم افزار های آنتی ویروس جزئی از کنترل های دسترسی پیشگیری کننده محسوب می شوند .کنترل های دسترسی منع کننده (Deterrent Access Control)کنترل های دسترسی منع کننده باعث دلسرد شدن از تخطی و دور زدن خط مشی های امنیتی می شوند . این کنترل ها زمانی کاربرد دارند که کنترل های دسترسی پیشگیری کننده نتوانسته اند به خوبی عمل کنند . یک کنترل دسترسی منع کننده هیچ فعالیتی را متوقف نمی کند و یا از وقوع آن جلوگیری نمی کند در عوض نتایج تخطی را تحت تاثیر قرار می دهد ، برای مثال در صورتیکه تلاش یا هرگونه تخطی صورت بگیرد اینگونه کنترل ها وارد کار می شوند . برای مثال قفل ها ، فنس ها ، گارد حفاظتی ، دوربین های امنیتی ، تجهیزات اعلام هشدار ، تقسیم وظایف ، دستورالعمل های انجام کار ، دوره های آموزشی آگاه سازی امنیتی کارکنان ، رمزنگاری ، پایش و مانیتورینگ و دیواره های آتش یا فایروال ها هر کدام نوعی از کنترل های دسترسی منع کننده محسوب می شوند .کنترل های دسترسی شناسایی ( Detective Access Control)کنترل های دسترسی شناسای زمانی به فعالیت می کنند که بخواهیم فعالیت های ناخواسته یا غیر مجاز را شناسایی کنیم . اینگونه کنترل ها همیشه در زمانی فعال می شوند که عمل ناخواسته یا غیر مجاز انجام شده است و کنترلی نیستند که بصورت بلادرنگ فعالیت کنند . مواردی مثل نگهبانان امنیتی ، سگ های نگهبان ، سیستم های تشخیص حرکت ، دوربین های مداربسته ، تغییرات شغلی مرحله ای ( job Rotation) ، فرستادن کارمندان به تعطیلات اجباری ، پایش و مانیتورینگ مداوم ، سیستم های تشخیص نفوذ ، گزارش های تخلف ، هانی پات ها ، سرپرستی و نظارت درست بر عملکرد کارمندان و شناسایی بحران ها جزئی از کنترل های امنیتی شناسایی یا ( Detective Access Control) هستند .کنترل های دسترسی اصلاح کننده ( Corrective Access Control)کنترل های دسترسی اصلاح کننده زمانی شروع به فعالیت می کنند که عمل ناخواسته یا دسترسی غیرمجاز ایجاد شده و سیستم دچار مشکل شده است و می بایست اصلاحات لازم جهت بازگردانی فعالیت به حالت معمول انجام گیرد . ذاتأ اینگونه کنترل های دسترسی ساده هستند و می توانند شامل پایان دادن به یک پروسس و یا دسترسی به فایل و یا راه اندازی مجدد یک سیستم باشند . کنترل های دسترسی اصلاح کننده معمولا خیلی کم می توانند بر روی دسترسی های غیرمجاز و سوء استفاده از دسترسی ها تاثیر گذار باشند . کنترل های دسترسی اصلاح کننده می توانند شامل سیستم های تشخیص نفوذ ، راهکارهای آنتی ویروس ، هشدار دهنده ها یا آلارم ها ، طرح های تداوم کسب و کار و خط مشی های امنیت شوند .کنترل های دسترسی ترمیمی یا بازیافتی ( Recovery Access Control)از کنترل های دسترسی ترمیمی یا بازیافتی زمانی استفاده می شود که بخواهیم پس از وقوع تخطی از خط مشی امنیت ، منابع ، فعالیت های عملیاتی و قابلیت ها را تعمیر یا بازیابی کنیم . کنترل های دسترسی ترمیمی نسبت به کنترل های دسترسی اصلاح کننده در زمان بروز تخطی از دسترسی ها، برای پاسخگویی قابلیت های پیشرفته تر و همچنین امکانات بیشتری دارند. برای مثال کنترل های دسترسی ترمیمی می توانند ضمن اینکه خرابی های بوجود آمده را ترمیم کنند ، روند تخریبی آن را نیز متوقف کنند . برای مثال نسخه های پشتیبان و بازگردانی ( Backup & Restore) ، درایو های سیستم با قابلیت خطاپذیری یا redundancy ، کلاسترینگ سرورها ، نرم افزار آنتی ویروس و همچنین database shadowing یا mirroring از نمونه های کنترل های دسترسی ترمیمی یا بازیافتی هستند .کنترل های دسترسی جبران کننده ( Compensation Access Control)کنترل های دسترسی جبران کننده یا جبرانی امکانات متنوعی را به سایر کنترل های دسترسی جهت کمک کردن به پشتیبانی و اجبار خط مشی امنیت برای اعمال شدن را در اختیار می گذارند . برای مثال خط مشی امنیت ، نظارت و سرپرستی کارکنان ، مانیتورینگ یا پایش و دستورالعمل های انجام وظایف کاری از انواع کنترل های دسترسی جبرانی یا جبران کننده می باشند . از کنترل های دسترسی جبران کننده می توان به عنوان جایگزین به جای برخی دیگر از کنترل ها که دارای خطرات احتمالی هستند نیز استفاده کرد . برای مثال اگر میخواهید از محلی محافظت کنید که در آنجا مکان مسکونی وجود دارد بنابراین استفاده از سگ ها نگهبان می تواند خطرناک باشد ، در اینجا شما می توانید به جای سگ نگهبان از سیستم های تشخیص حرکت با قابلیت پخش صدای پارس سگ استفاده کنید که بسیار موثرتر و کم خطرتر از خود سگ است .کنترل های دسترسی دستوری ( Directive Access Control)کنترل های دسترسی دستوری زمانی بکار می روند که بخواهیم با دستور و محبوس کردن و کنترل کردن فعالیت های یک موضوع آنرا مجبور به پذیرفتن خط مشی های امنیتی کنیم . از انواع کنترل های دسترسی دستوری می توان به گاردهای امنیتی ، سگ ها نگهبان ، خط مشی امنیتی ، اخطاریه های ارسالی ، مانیتورینگ و پایش ، آموزش های امنیتی کارکنان و تقسیم وظایف کاری اشاره کرد .کنترل های دسترسی همچنین می توانند بر اساس روش پیاده سازی نیز طبقه بندی شوند . در این حالت به سه طبقه بندی مدیریتی ، منطقی یا فنی و فیزیکی نقسیم بندی می شوند :کنترل های دسترسی مدیریتی ( Administrative Access Controls)کنترل های دسترسی مدیریتی خط مشی ها و دستورالعمل هایی هستند که توسط خط مشی امنیتی سازمان برای اجبار به پیاده سازی سراسری کنترل های دسترسی تعریف شده اند.کنترل های دسترسی مدیریتی بیشتر بر روی دو موضوع کارکنان و فعالیت های تجاری ( مردم و خط مشی ها ) تمرکز می کنند . برای مثال خط مشی ها ، دستورالعمل ها ، بررسی کردن عدم سوء پیشینه ، طبقه بندی داده ها ، آموزش های امنیتی ، نظارت بر انجام کارها ، کنترل کردن کارکنان و انجام تست های محتلف از انواع کنترل های دسترسی مدیریتی می باشند .کنترل های دسترسی منظقی یا فنی ( Technical\Logical Access Controls)کنترل های دسترسی منطقی و کنترل های دسترسی فنی مکانیزم های سخت افزاری و نرم افزاری هستند که بوسیله محافظت از منابع و سیستم ها دسترسی به آنها را کنترل و مدیریت می کنند . برای مثال رمزنگاری ، کارت های هوشمند ، رمزهای عبور،سیستم های تشخیص هویت biometric ، لیست کنترل های دسترسی یا ( ACL) ، پروتکل ها ، فایروال ها ، مسیریاب ها و سیستم های تشخیص نفوذ برخی از انواع کنترل های دسترسی منظقی یا فنی هستند ، در این موضوع کنترل دسترسی فنی و منطقی را می توان در کنار هم استفاده کرد .کنترل های دسترسی فیزیکی ( Physical Access Controls)کنترل های دسترسی فیزیکی حصارها و موانع فیزیکی هستند که از دسترسی مستقیم و غیر مجاز به سیستم ها و منابع جلوگیری می کنند .برای مثال گاردهای امنیتی ، فنس ها ، سیستم های تشخیص حرکت ، درب های قفل شده ، پنجره های مهر و موم شده ، سیستم های روشنایی ، سیستم های محافظت از کابل کشی ، قفل های لپ تاپ ، سگ های نگهبان ، دوربین های امنیتی و سیستم های هشدار دهنده یا آلارم از انواع کنترل های دسترسی فیزیکی هستند .شما هیچوقت جایی را پیدا نخواهید کرد که صرفا از یک نوع مکانیزم کنترل دسترسی استفاده کرده باشد .در حقیقت تنها راهی که می توان به وسیله آن محیطی ایمن داشت ، محلی است که از چندین کنترل دسترسی بصورت ترکیبی استفاده کرده است .اگر می خواهید مباحث امنیت شبکه و تشخیص نفوذ را به خوبی یاد بگیرید به دوره آموزش کالی لینوکس در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 02:44:40 +0330 https://virgool.io/@sec.cehfan401/%D8%AC%D8%A7%D9%85%D8%B9%D8%AA%D8%B1%DB%8C%D9%86-%D8%A2%D9%85%D9%88%D8%B2%D8%B4-31-%D8%B1%D9%88%D8%B4-%D8%A7%D9%85%D9%86-%DA%A9%D8%B1%D8%AF%D9%86-%D8%A7%D9%86%D9%88%D8%A7%D8%B9-%D9%88%DB%8C%D9%86%D8%AF%D9%88%D8%B2-sf32ji7mrcq2 چگونه ویندوز را امن کنیم؟ چگونه امنیت ویندوز را برقرار کنیم؟ چه تنظیمات امنیتی مهمی در ویندوز وجود دارد ؟ برای اینکه هک نشویم چه کنیم؟ آیا امن کردن ویندوز XP با امن کردن ویندوز 10 تفاوت دارد؟ شاید با خود بگویید که چرا در مورد تنظیمات امنیتی ویندوز XP توضیح می دهم وقتی که ویندوز جدیدتری با نام ویندوز 7 بر روی سیستم ها نصب شده است !!باید توجه کنید که دیدگاه ما دیدگاه یک سازمان است نه دیدگاه یک فرد یا افرادی که در خانه از کامپیوتر شخصی استفاده می کنند ، همیشه چیزهایی که جدید هستند بهترین نیستند و در سازمان ها و شرکت های بزرگ کشور هنوز این سیستم عامل ویندوز XP است که حرف اول را می زند ، ما نیز به همین دلیل ویندوز XP را برای ایمن سازی ارجح دیدیم .کرنل یا هسته ویندوز XP بر اساس کرنل یا هسته ویندوز 2000 نوشته شده است و تا حد زیادی با هم شباهت دارند اما در مقوله امنیت تفاوت های بسیاری بین این دو وجود دارد . در این چک لیست شما با تنظیمات امنیتی ویندوز XP پروفشنال و نسخه خانگی آن آشنا خواهید شد .برخی از تنظیماتی که در ادامه ذکر می شود ممکن است در نسخه خانگی قابل اعمال نباشد و همچنین همیشه کارایی را مد نظر داشته باشید ، همیشه نیاز نیست که شما تمامی تنظیمات امنیتی را اعمال کنید و کارایی سیستم خود را به خطر بیاندازید ، فرض کنید تمام امکانات امنیتی ویندوز را پیاده سازی کنید و این طبیعتا باعث خواهد شد نتوانید از آن بهره کافی را ببرید ، همیشه در دوره های امنیتی در مورد این مسئله یک مثال می زنمشما فرض کنید که در یک مرکز داده فعالیت میکند که برای ورود به اتاق سرور ابتدا باید رمز عبور و کارت هوشمند داشته باشید ، بعد از آن چشمتان اسکن خواهد شد و بعد از آن اثر انگشتتان و بعد از آن DNA خونتان و .... اگر یکبار اینکار را بکنید بار دیگر به جای اینکه مجددا اینکار را بکنید به قول خودمان یک آجر پشت درب اتاق می گذاریم که بسته نشود !!!!! بله ما کارایی را فدای امنیت نباید بکنیم.برای راحتی کار شما ما این تنظیمات را که در ادامه خواهیم آورد در قالب 3 سطح مقدماتی ، متوسط و پیشرفته تقسیم بندی می کنیم ، شما بر اساس طبقه بندی داده هایی که دارید و اهمیت آنها می بایست تصمیم بگیرید که از کدام پارامتر های امنیتی استفاده کنید.روش 1 : امنیت فیزیکی را جدی بگیریدشاید به نظرتون این یک مسئله پیش پا افتاده باشد اما باید همیشه در نظر داشته باشید که بیش از 80 درصد حملات و صدماتی که به اطلاعات وارد می شود از داخل سازمان است . شما باید مطمئن شوید که کیس کامپیوتر حتما پلمب شده باشد و در محلی باشد که دسک تاپ مستقیما مقابل چهره مراجعه کنندگان نباشد و نتوانند محتویات مانیتور شما را مشاهده کنند .روش 2 : بوت شدن از روی CD-ROM و Flash Memory را غیرفعال کنیدبا استفاده از تنظیمات بایوس سیستم وارد تنظیمات شده و بوت سیستم را از روی CD-ROM و حافظه های جانبی برداشته و گزینه اول بوت را هارد دیسک سیستم قرار دهید و سایر دستگاه ها را تا جای امکان غیر قابل بوت کنید .روش 3 : بر روی بایوس سیستم حتما پسورد قرار بدهیدحتما برای بایوس خود رمز عبور بگذارید در غیر اینصورت تمامی تنظیمات امنیتی شما بلا استفاده خواهد شد ، سعی کنید تا جای ممکن رمز عبوری انتخاب کنید که قابل حدس نباشد و همچنین برای هر یک از سیستم ها رمز عبور مختص به خودش ایجاد کنید .روش 4 : از NTFS بر روی همه پارتیشن های خود استفاده کنیددر سیستم عامل های قدیمی مانند ویندوز 98 و ملینیوم فایل سیستم ها از نوع FAT 16/32 بودند که یک فایل سیستم تقریبا بدون ایمنی است ، این طبیعی است که در آن زمان مسئله امنیت تا به این اندازه مهم نبوده است . در حال حاضر استفاده از فایل سیستم FAT بر روی درایو ها یک ریسک امنیت محسوب می شودشما می بایست مطمئن شوید که همه درایو های سیستم از فایل سیستم NTFS که دارای امکانات امنیتی در حد مطلوب است استفاده می کنید ، NTFS می تواند سطوح دسترسی در سطح فایل و پوشه ها را در سطح کاربر تعریف کند و این چیزی است که شما به آن نیاز خواهید داشت .برای اینکه بدانید یک درایو سیستم عامل از کدام فایل سیستم استفاده می کند کافیست که بر روی درایو مورد نظر راست کلیک کرده و قسمت File System را مشاهده کنید ، در صورتیکه مشاهده کردید که فایل سیستم دستگاه از نوع FAT است با استفاده از دستور convert c:\fs:ntfs می توانید آنرا از طریق CMD تبدیل به فایل سیستم NTFS کنید .در این حالت هیچگونه اطلاعاتی از سیستم شما حذف نخواهد شد و فقط امکان دارد که سیستم عامل به شما اعلام کند که برای اعمال دستور می بایست سیستم restart شود . توجه داشته باشید که فرآیند تبدیل یک طرفه است و شما می توانید از FAT به NTFS تبدیل داشته باشد و نه بر عکس .روش 5 : قابلیت Simple File Sharing در ویندوزهای قدیمی را غیرفعال کنیدویندوز هایی که به domain متصل نشده اند برای اینکه سایر کاربران شبکه بتوانند از پوشه های به اشتراک گذاشته شده آنها استفاده کنند از قابلیتی با عنوان simple file sharing استفاده می کنند که از کاربر Guest برای متصل شدن به منابع به اشتراک گذاشته شده استفاده می کند . این کار در حقیقت باعث می شود که زمانی که به اینترنت متصل هستید سایرین بدون مزاجمت فایروال به پوشه های به اشتراک گذاشته شده دسترسی پیدا کنند ، برای اینکه بتوانید Simple File Sharing را غیر فعال کنید به روش زیر عمل کنید :به مسیر Start-My Computer-Tools-Folder Options بروید .تب View را انتخاب کنید .به قسمت Advanced Settings بروید.تیک Simple File Sharing را بردارید .دکمه Apply را بزنید.روش 6 : برای همه کاربران ویندوز پسورد بگذاریدویندوز XP به شما اجازه می دهد که بدون داشتن رمز عبور و داشتن رمز عبور Blank یا خالی بصورت Local به سیستم وارد شود اما به شما اجازه دسترسی به سیستم را بصورت ریموت نخواهد داد . وجود رمزهای عبور خالی واقعا مشکل امنیتی بزرگی است که اگر به آن توجه نشود حتما در شبکه ایجاد مشکل خواهد کرد محصولا برای حسابهای کاربری که دارای دسترسی مدیریتی به سیستم هستند این مسئله بسیار مهمتر است .برای قرار دادن رمز عبور برای تمامی کاربران به مسیر زیر می تواندی بروید :بر روی آیکن My Computer راست کلیک کنید و گزینه Manage را انتخاب کنید.به قسمت Local Users and Groups بروید .به قسمت Users بروید و بر روی نام کاربری مورد نظرتان راست کلیک کنید .گزینه Set Password را بزنید و رمز عبور جدید را 2 بار وارد کنید و OK را بزنید.روش 7 : عضویت در گروه Administrators را حتما بررسی کنیدیکی از عادت های نادرست مدیران شبکه این است که برای راحتی کار خود کاربران عادی را در گروه Local Administrators قرار می دهند و این یه معنی این است که کاربر هر کاری می تواند بر روی سیستم خود انجام دهد ، حتی اگر کاربر هم نخواهد کاری انجام دهد یک هکر با استفاده از هک کردن تنها یکی از این رموز عبور می تواند به شبکه داخلی نفوذ کند ، شما باید همیشه از عضو نبودن کاربران عادی در گروه Administrators اطمینان حاصل کنید. برای اینکار کافیست به مسیر زیر بروید و وجود گروه Administrators را برای کاربر بررسی کنید :بر روی آیکن My Computer راست کلیک کنید و گزینه Manage را انتخاب کنید.به قسمت Local Users and Groups بروید .به قسمت Users بروید و بر روی نام کاربری مورد نظرتان راست کلیک کنید .به قسمت Properties بروید و به تب Member Of بروید.در صورتیکه گروه Administrators را می بینید آنرا انتخاب کرده دکمه Remove را بزنید .بر روی OK کلیک کنید .روش 8 : کاربر Guest را حتما غیرفعال کنیدهمیشه این کاربر یکی از بزرگترین حفره های امنیتی برای هکرها بوده است که از طریق آن به شبکه حمله کنند . شما باید به محض اینکه سیستم عامل خود را نصب کردید این کاربر را غیر فعال کنید . این کاربر را از طریق مسیر زیر می توانید غیر فعال کنید :بر روی آیکن My Computer راست کلیک کنید و گزینه Manage را انتخاب کنید.به قسمت Local Users and Groups بروید .به قسمت Users بروید و بر روی نام کاربری مورد نظرتان راست کلیک کنید .به قسمت Properties بروید و گزینه Account is disabled را انتخاب کنید.بر روی OK کلیک کنید .روش 9 : حتما فایروال | دیواره آتش ویندوز را فعال کنیدهمانطور که اتصال دائمی به اینترنت بسیار مفید است در عین حال می تواند بسیار اطلاعات شما را تهدید کند و برای شما ریسک داشته باشد . ویندوز XP دارای یک فایروال با عنوان Windows Firewall است که شما می بایست در صورتیکه دائما به اینترنت متصب هستید آنرا فعال کنید .براي فعال سازي فایروال در ويندوز XP بايد در ابتدا به قسمت Control Panel رفته و گزينه Network Connection را انتخاب کنيد بعد از آن بر روي Connection اينترنتي خود راست کلیک کرده و گزينه Properties را انتخاب کنيد سپس در قسمت Advance گزينه Internet connection firewall را تيک بزنيد شما مي توانيد اين کار را براي کانکشن هاي شبکه محلي خود نيز انجام دهيد .روش 10 : به جای ICS از روتر برای اشتراک اینترنت استفاده کنیدعبارت ICS که مخفف کلمه Internet Connection Firewall است سرویسی ایت که از طریق آن می توان برای سایر کاربران شبکه اینترنت را به اشتراک گذاشت . اما به یاد داشته باشید که کلیه اطلاعاتی که از طریق شبکه به اینترنت ارسال یا دریافت می شود از طریق سیستمی خواهد بود که ICS در آن فعال شده است ، استفاده از یک روتر یا مودم DSL برای به اشتراک گذاشتن اینترنت ، ضمن اینکه سرعت بالاتری را در اختیار ما قرار خواهد داد امنیت را نیز به نسبت بالاتر خواهد برد.روش 11 : از یک آنتی ویروس قوی استفاده کنیدویروس ها و کدهای مخرب سالهاست که در اینترنت وجود دارند و کامپیوتر ها را تهدید می کنند . تا وقتی که یک آنتی ویروس مطمئن برای سیستم خود پیدا نکرده اید هرگز کامپیوتر خود را به شبکه یا اینترنت متصل نکنید . *ملاک های انتخاب یک آنتی ویروس مطمئن را از این لینک مشاهده کنید.*روش 12 : حتما ویندوز خود را به روز نگه داریدویندوز XP و محصولات شرکت مایکروسافت بیش از 80 درصد بازار نرم افزاری دنیا را در اختیار خود گرفته اند و این طبیعی است که بیشترین میزان حملات به این سیستم عامل باشد . هر روز یا بهتر بگوییم هر لحظه نقاظ ضعف امنیتی بسیاری برای این سیستم عامل پیدا می شود .بیش از 99 درصد حملات هکری از حفره های امنیتی انجام می شود که بسیار شناخته شده هستند و شما براحتی می توانید با استفاده از فعال کردن سرویس بروز رسانی سیستم عامل ویندوز XP یا همان Windows Update بسته های امنیتی مورد نظر را به محض اتصال به اینترنت دریافت و بر روی سیستم عامل شما نصب خواهد کرد .برای فعال کردن این سرویس کافی است به Control Panel و قسمت Performance and Maintenance رفته و در قسمت System و انتخاب تب Automatic Update نوع بروزرسانی خود را تعیین کنید .روش 13 : حتما بر روی Screen Saver پسورد بگذاریدیکی از مواردی که براحتی می توان از سیستم سوء استفاده کرد زمانی است که کاربر پشت سیستم خود قرار نداشته و سیستم عامل خود را نیز قفل نکرده است . برای جلوگیری از سوء استفاده می توانید بر روی Screen Saver خود رمز عبور قرار داده یا به کاربر خود آموزش دهید که بلافاصله بعد از اینکه از پشت سیستم بلند شد سیستم عامل را قفل کند . برای اینکار کافی است بر روی دسکتاپ سیستم عامل راست کلیک کرده و Properties را زده و در تب Screen Saver گزینه Password Protect را بزنید و رمز عبور مورد نظر خود را وارد کنید.روش 14 : از Security Configuration Manager در Group Policy استفاده کنیدSecurity Configuration Manager ای همان SCM در حقیقت مجموعه ای از ابزاهای هستند که به شما این امکان را می دهند که تنظیمات امنیتی از پیش تعریف شده ای را از طریق Group Policy بر روی سیستم دلخواه خود اعمال کنید . قالب های امنیتی یا همان Security Template هایی که از این طریق اعمال می شوند می توانند شامل Password Policy ، Account Lockout Policy ، Kerberos Policy ، Audit Policy ، Event Log Settings ، مقادیر Registry ، مد های Start-up سیستم ، سطح دسترسی به سرویس ها ، قابلیت های کاربران ، محدودیت عضویت در گروه ها و مجوز های دسترسی به فایل سیستم باشند .مایکروسافت برای راحتی کار شما قالب های امنیتی از پیش طراحی شده ای در نظر گرفته است که شما را براحتی قادر می سازد که از طریق GPO آنها را اعمال کنید . این قالب ها در سه سطح امنیتی پایین ، متوسط و بالا طراحی شده اند که شما میتوانید هر کدام را بصورت مجزا تغییر داده و برای خود بومی سازی کنید . برای استفاده از این Template ها ابتدا باید از طریق منوی Start و باز کردن Run و وارد کردن دستور MMC و از منوی File می توانید Add New Snap-In را زده و Security Configuration Templates رو انتخاب کنید .روش 15 : از یک Password Policy قوی استفاده کنیدیک Password Policy یا خط مشی رمز عبور یک مبحث امنیتی مهم در شبکه محسوب می شود اما معمولا از این مورد در شبکه چشم پوشی می شود . معمولا در شبکه هایی که مدیران شبکه تنبلی دارند اکثر رمز های عبور همان نام کاربری و یا نام سیستم یا خود شخص هستند .اکثر مدیران شبکه ای که کاربر شبکه ای تعریف میکنند نیز به جای رمز عبور از یک سری قالب ساده مثل 123456 یا 654321 به عنوان رمز عبور استفاده می کنند که معمولا بعد از اولین باری که کاربر وارد سیستم می شود همین رمز تا آخر به عنوان رمز عبور آنها قرار خواهد گرفت .همیشه از رمز های عبور قوی استفاده کنید که حدس زدن یا کرک کردن آنها دشوار باشد و در وحله های زمانی بین 30 تا 90 روز حتما رمزتان را عوض کنید . از Group Policy برای تعیین طول رمز عبور ، سن رمز عبور و تکراری نبودن انتخاب آن استفاده کنید . از طریق مسیر12345678Start > Run > Gpedit.msc > Computer Configuration > Windows Settings > Security Settings > Local Policy > Security Optionsو تنظیمات مربوط به Password Policy میتوانید این موارد را انجام دهید . رمز های عبور شما حداقل می بایست 8 کاراکتر یا 9 کاراکتر باشند ، به یاد داشته باشید که به گزارش سازمان های امنیتی هکرها بصورت پیشفرض تعداد کاراکتر ها را 8 کاراکتر قرار می دهند که نقظه شروع کرک کردن رمز عبور باشد . همیشه به یاد داشته باشید که رمز عبور قوی قابل حدس زدن و حفظ کردن برای دیگران نبایست باشد . برای ایجاد یک رمز عبور قوی می توایند از این مقاله کوچک استفاده کنید .روش 16 : از Software Restriction Policy استفاده کنیدبا استفاده از این امکانی که Group Policy در اختیار ما قرار می دهد می توانیم نرم افزار هایی که از نظر ما مجاز برای اجرا برای سیستم نمی باشد را به سیستم معرفی کرده و از اجرای آنها جلوگیری کنیم ، این جلوگیری می تواند در مقابل ویروس ها و کد ها مخرب نیز به همین روش انجام شود .این قابلیت هم می تواند هم بصورت local و هم بصورت هماهنگ شده با ساختار اکتیودایرکتوری اعمال شود که در مبحث امنیت بسیار می تواند مفید باشد .شما از طریق مسیر زیر می توانید تنظیمات مربوطه به Software Restriction را انجام دهید :1234567Start > Run > GPEDIT.MSC > Computer Configuration > Windows Settings > Security Settings > Software Restriction Policiesدر مقاله ای جداگانه به آموزش این قسمت خواهیم پرداخت.روش 17 : حسابهای کاربری بدون استفاده را غیرفعال کنیدهمیشه مراقب تعداد حساب های کاربری موجود بر روی سیستم و شبکه خود باشید . معمولا هکر ها از حسابهای کاربری بلااستفاده ای که رد شبکه موجود است برای هک کردن و نقوذ در شبکه استفاده می کنند . در یک تحقیق به عمل آمده در چندین شرکت نشان داده شد که از بیش از 15 هزار حساب کاربری موجود در شبکه بیش از 3 هزار کاربر بلا استفاده بودند که یا افرادی بودند که اخراج شده بودند و با منتقل شده بودند .این را همیشه به خاطری بسپارید که هکر ها برای کرک کردن و هک کردن شبکه بهترین راه را استفاده از حساب های کاربری بلا استفاده می دانند ، شما می بایست حتما تعداد کاربران و فعالیتی را که بر روی سیستم دارند را شناسایی و همیشه مراقب بوجود آمدن چنین مشکلاتی باشید.برای پیدا کردن کاربران بلا استفاده در شبکه از این مقاله استفاده کنید .روش 18 : نام کاربر Administrator را تغییر بدهیدوقتی یک هکر می خواهد به شما حمله کند همیشه از SID یا Security Identifier حساب کاربری شما برای کرک کردن و بدست آوردن دسترسی استفاده می کند . هکر های مبتدی از نام کاربری برای هک کردن استفاده میکنند و شما می توانید براحتی با تغییر نام حساب کاربری Administrator به یک نام دیگر از حمله هکر های مبتدی در امان بمانید .همیشه به یاد داشته باشید که برای ورود به یک سیستم اول نام کاربری و بعد رمز عبور مورد نیاز است و هر کدام از ایندو 50 درصد ورود به سیستم است ، حال اگر 5- درصد اولیه که دانستن نام کاربری است را از یک هکر بگیریم سختی کار آن چندین برابر خواهد شد . فقط این نکته را خواهشأ به یاد داشته باشید که نام کاربری Administrator را به Admin تغییر ندهید که مایه آبروریزی است .روش 19 : یک کاربر به نام Adminsitrator با دسترسی محدود ایجاد کنیدیکی از راهکارهای جالب و موثر در امنیت حسابهای کاربری ، ایجاد کاربری با نام Administrator و گرفتن هرگونه دسترسی به سرویس و فایلهای سیستم و قرار دادن یک رمز 20 کاراکتری ترکیبی برای این حساب است . این کار می تواند هکرهای مبتدی را حسابی سر کار بگذارد. برای اینکه از این امر آگاهی پیدا کنید کافیست قابلیت Auditing را برای حسابهای کاربری از طریق Group Policy فعال کنید .روش 20 : گروه Authenticated User را با گروه Everyone جایگزین کنیدگروه Everyone در ویندوز XP به معنای این است که هر کاربری که به شبکه دسترسی پیدا کرد عضو این گروه خواهد بود . همیشه به جای استفاده از گروه Everyone برای پوشه ها و پرینتر های به اشتراک گذاشته شده از گروه Authenticated Users استفاده کنید . با اینکار کاربران حتما می بایست از طریق سیستم شناسایی و احراز هویت شوند تا اجازه دسترسی به آنها داده شود .روش 21 : نام آخرین کاربر Login شده را نمایش ندهیدوقتی می خواهید وارد سیستم شوید ، کلید های ترکیبی Ctrl+Alt+Del را با هم فشار می دهید که باعث نمایش کادر ورودی خواهد شد که نام کاربری آخرین کاربری را که بصورت موفقیت آمیز وارد سیستم شده است را نمایش خواهد داد ، همین امر می تواند کار را برای هکر در مرحله Password-Guessing بسیار راحت کرده و بتواند با توجه به نام کاربری موجود بر روی سیستم حملات خود را برنامه ریزی کند . این نمایش نام کاربری می تواند از طریق Group Policy غیر فعال شود که از طریق مسیر زیر امکانپذیر است :123456789Start > Run > GPEDIT.MSC > Computer Configuration > Windows Settings > Security Settings > Local Policy > Security Options > Do not display last user-nameروش 22 : ریموت دسکتاپ را غیرفعال کنیدقابلیت Remote Desktop به شما اجازه می دهد که بدون اینکه بصورت فیزیکی به سیستم وارد شوید از طریق شبکه و از راه دور به سیستم وارد شده و دسکتاپ آنرا مشاهده و تنظیمات مورد نظرتان را اعمال کنید . همانطوری که اینکار میتواند برای شما مفید باشد از جهت اینکه دیگر نیازی به حضور فیزیکی به پشت سیستم فرد مورد نظر نخواهید داشت ، در عین حال می تواند روشی برای هک شدن توسط هکری باشد که از راه دور قصد نفوذ به سیستم را دارد . این قابلیت را میتوانید از دو روش غیر فعال کنید که به ترتیب در ادامه توضیح داده می شود :الف : غیر فعال کردن از طریق Group Policyمنوی استارت را باز کنید ، Run را انتخاب کنید و در آن GPEDIT.MSC را وارد کنیدبه قسمت Computer Configuration سپس Administrative Templates بروید .قسمت Windows Settings را باز کرده و به قسمت Terminal Services وارد شوید .بر روی قسمت Do not allow new client connections policy دابل کلیک کنید .بر روی گزینه Enabled کلیک کرده و OK را بزنید .ب) غیر فعال کردن از طریق My Computer :بر روی My Computer راست کلیک کرده و Properties را بزنیدوارد تب Remote شوید و تیک قسمت Allow users to connect remotely to this computer را بردارید .روش 23 : سرویس های غیرضروری را غیرفعال کنیدیک سرویس بلااستفاده یا غیر ضروری یک حفره امنیتی برای یک هکر محسوب می شود که برایش به نوعی منبع سیستمی محسوب می شود . برای اینکه سرویس های غیر ضروری سیستم را غیرفعال کنیم به مسیر Control Panel و Administrative tools و Services می رویم و سرویس های مورد نظرمان را غیرفعال یا Disable می کنیم . بصورت پیشفرض پیشنهاد می شود که سرویس های زیر را disable کنید :سرویس IIS یا Internet Information Service ( برای اطلاع از چیستی IIS به این آدرس مراجعه کنید )سرویس Net meeting Remote Desktop Sharingسرویس Remote Desktop Help Session Managerسرویس Remote Registryسرویس Routing & Remote Accessسرویس SSDP Discovery Serviceسرویس Universal Plug and Play Device Hostروش 24 : قابلیت EFS یا BitLocker را فعال کنیداین سرویس به ویندوز XP یک قابلیت رمزنگاری نسبتا خوب برای فایل ها ،پوشه ها و درایو ها ایجاد کرده است . این قابلیت اجازه اینکه یک هکر درایو سیستم شما را بر روی سیستم خود Mount کرده و مالکیت فایل ها را بدست آورد می گیرد . همیشه رمزنگاری را بر روی پوشه قرار دهید تا فایلهای موجود در آن نیز رمزنگاری شوند . برای اینکار کافیست بر روی پوشه مورد نظر راست کلیک کرده و Properties بگیریم و در قسمت Advanced گزینه Encrypt content to secure data را تیک بزنید . سعی کنید همیشه پوشه temp را رمز نگاری کنید .روش 25 : محتویات Page File در هنگام Shutdown را حذف کنیدحافظه Page File ویندوز XP می تواند حاوی اطلاعاتی همچون رمز عبور و نام کاربری و اطلاعات محرمانه باشد . شما می توانید با استفاده از Group Policy یا از طریق My Computer آنرا مجبور کنید که هنگام shutdown اطلاعات Page File را تخلیه کند.روش 26 : Auditing را فعال کنیداین قابلیت را معمولا بر روی سرور ها فعال می کنند ( هر چند که فقط فعال می کنند و هیچگونه نظارتی نمی کنند ) ، اما در مواقعی خاص نیز شما مجبور هستید که این قابلیت را بر روی Workstation ها نیز فعال کنید ، مخصوصا زمانی که دزدی اطلاعات رخ می دهد .فلسفه انجام عملیات بازرسی یا Audit خیلی ساده است ، شما تا زمانی که سقف منزلتان تخریب نشده است نخواهید فهمید که نم داشته است یا دچار مشکل بوده است ، اما اگر بازدید های مرتب و ماهیانه از ساختمان داشته باشید نقاط ضعف و سست آنرا بخوبی شناسایی می کند و راهکار مقابله با آنرا نیز اجرا خواهید کرد .در شبکه هم همینوطر است شما با مرور و بازرسی لاگ های سیستمی می توانید از وجود فعالیت های غیر عادی در شبکه مطلع شده و در صدد مقابله با آن بر آیید . برای فعال کردن این قابلیت پیشنهاد می شود که موارد زیر را به ترتیب فعال کنید :1234567Account logon events >>>>> Success, failure Account management >>>>> Success, failure Logon events >>>>>>>>>> Success, failure Object access >>>>>>>>>> Success Policy change >>>>>>>>>> Success, failure Privilege use >>>>>>>>>> Success, failure System events >>>>>>>>>> Success, failureمنظور از Success و Failure این است که چه نوع فعالیتی می بایست لاگ برداری شود و در حقیقت سطح لاگ برداری را تعیین می کند ، در قسمت اول نیز رویدادی را که می خواهیم لاگ برداری شود را انتخاب کرده ایم .روش 27 : Share های پیشفرض ویندوز را غیرفعال کنیددر ویندوز XP و 2003 مایکروسافت کلیه درایو ها را بصورت مخفی برای انجام تنظیمات مدیریتی تحت شبکه به اشتراک گذاشته است ، این قابلیت هم می تواند مفیر باشد و هم مضر باشد . اینگونه اشتراک ها را می توان با استفاده از کنسول Computer Management غیر فعال کرد ، اما به محض restart شدن به حالت اولیه باز خواهند گشت . اشتراک های پیشفرض سیستم ویندوز به شرح زیر هستند :C$ و D$ و E$و ... :ریشه هر پارتیشن هستند . در ویندوز XP کاربران عضو گروه Administrators و Backup Operators می توانند به اینها دسترسی داشته باشند.$ADMIN یا %SYSTEMROOT:در حقیقت پارتیشنی است که در آن ویندوز شما نصب شده است ، مدیران هنگامی که بصورت ریموت به سیستم ها متصل می شوند از این اشتراک استفاده می کنند .$IPC :این پوشه به هنگام مدیریت از راه دور کامپیوتر استفاده می شود و اصلی ترین پوشه پیشفرض اشتراکی می باشد .NetLogon :این اشتراک توسط سرویس NetLogon برای پردازش درخواست های کاربران شبکه برای ورود به سیستم مورد استفاده قرار می گیرد .$PRINT :برای مدیریت از راه دور پرینتر های استفاده می شود برای غیر فعال کردن این اشتراک های پیشفرض شما باید از طریق زیر عمل کنید :از طریق منوی استارت Run را انتخاب کرده و در آن Regedit را وارد کرده و اینتر را بزنید.به مسیر مقابل بروید : HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parametersیک مقدار DWORD با نام AutoShareWks ایجاد کرده و پارامتر آن را مقدار 0 قرار دهید.نکته : اینکار اشتراک IPC$ را غیر فعال نمی کند. پس از انجام اینکار حتما فعالیت های نرم افزار های خود را تست کنید که مشکلی بوجود نیامده باشد . برخی از سرویس های ویندوز به این اشتراک ها وابسته هستند و همچنین برخی از نرم افزارهای third party به وجود این اشتراک ها نیاز دارند . شما میتوانید بصورت دستی اشتراک ها را به حالت قبلی خود در بیاورید .روش 28 : ایجاد Dump File را غیرفعال کنیدفایل دامپ یا Dump File در حقیقا فایلی است که از فرآیند های سیستم لاگ برداری می کند و در برطرف سازی مشکلات سیستمی که معرفترین آنها مشکل صفحه آبی یا Blue Screen هستند استفاده می شود . اما همین فایل می تواند اطلاعات ارزشمندی مانند رمز عبور سیست مرا در اختیار یک هکر قرار دهد . شما با رفتن به مسیر Control Panel > System > Advanced > Startup and Recovery و غیر فعال کردن گزینه Write debugging Information به حالت None میتوانید از این ریسک هم عبور کنید .روش 30 : Autorun در CD و DVD را غیرفعال کنیدیکی از آسانترین روش هایی که یک هکر می تواند یک کد مخرب را در شیکه یا یک سیستم پخش کند ، رایت کد مخرب بر روی سی دی و پخش کردن آن در مجموعه بوسیله Auto run سیستم است . هکر براحتی با استفاده از این قابلیت کد مخرب خود را طوری برنامه ریزی خواهد کرد که به محض ورود و اجرا توسط کاربر اطلاعاتی که در مورد سیستم نیاز دارد را ذخیره و برای هکر ارسال کند و حتی دیگر لازم نیست که به سیستم کاربر نزدیک شود . سی ارسالی ممکن است حاوی موسیقی یا نرم افزارهای بازی جذاب باشد که ضمن وجود کد مخرب بازی را نیز در اختیار کاربر قرار می دهد تا ا سادگی کاربر سوء استفاده کند . شما از طریق سیر زیر می توانید این قابلیت سیستم را غیر فعال کنید :1234567Start > Run > GPEDIT.MSC > Computer Configuration > Administrative Templates > System > Turn autoplay offروش 30 : از احراز هویت چند مرحله ای استفاده کنیدهر چقدر هم که Password Policy قویتری داشته باشید باز هم مشاهده خواهید کرد که کاربران رمزهای عبورشان را بر روی مانیتور و کیبورد و در و دیوار یاد داشت می کنند تا آنرا فراموش نکنند . برای پیشگیری و یا ارائه راهکار بهتر است از تجهزیات کارت هوشمند با بایومتریک استفاده کنید که کاربر به جای رمز عبور از آنها استفاده کند . همیشه در نظر داشته باشید که کاربر ممکن است که کارت هوشمند خود را رمز عبور خود را فراموش کرده یا آنرا گم کند اما حتما دست و انگشت و چشم خود را همراه خود به محل کار می آورد !!!!روش 31 : از IPSec استفاده کنیدپروتکل امنیتی IPSec یک پروتکل امنیتی است که اطلاعاتی که تحت شبکه منتقل می شوند ار رمزنگاری کرده و از شنود اطلاعات در حین انتقال جلوگیری می کند . در مقاله ای جداگانه به آموزش راه اندازی IPSec در شبکه خواهیم پرداخت.اگر می خواهید مباحث امنیت شبکه و تشخیص نفوذ را به خوبی یاد بگیرید به دوره آموزش کالی لینوکس در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 02:28:04 +0330 https://virgool.io/@sec.cehfan401/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%B3%D8%A7%D8%AE%D8%AA-%D8%B1%D9%85%D8%B2-%D8%B9%D8%A8%D9%88%D8%B1-password-%D9%82%D9%88%DB%8C-%D8%A8%D9%87-%D8%B2%D8%A8%D8%A7%D9%86-%D8%B3%D8%A7%D8%AF%D9%87-ox5usnwentsr ساخت رمز عبور (Password) قوی یکی از مهمترین کارهایی است که یک کاربر مخصوصاً در محیط اینترنت باید با آن آشنا باشد. پسورد ها یا رمز عبور اولین نقطه دفاعی در برابر مهاجمان و نرم افزارهای مخرب بر روی سیستم ها هستند . شما باید همیشه باید یک پسورد قوی برای خود انتخاب کنید،اگر در شبکه محل کار خود از سیستم استفاده می کنید ، این وظیفه مدیر شبکه است که به شما آموزش دهد که چگونه یک رمز عبور قوی برای خود انتخاب کنید.متاسفانه در بیشتر اوقات رمز های عبوری انتخابی برای کاربران از کلمات معنی دار و اعداد مشخص استفاده می کنند که امکان حدس زدن و هک کردن آنها را زیاد می کند ، در این مقاله قصد نداریم به شما ضرورت داشتن یک رمز عبور را متذکر شویم بلکه میخواهیم به شما راهکاری عملی برای ساختن یک رمز عبور بسیار قوی را آموزش دهیم ، خوب اول چند نکته : چه جیزی باعث می شود که رمز عبور قوی باشد ؟رمز عبور بایستی حداقل 8 کاراکتر باشد .شامل نام کاربری و نام واقعی و یا اسم شرکت و نامزد و زن و بچه شما نشود.شامل یک کلمه قابل حدس کامل نباشد مثلا هر چیزی که در دیکشنری موجود است.با رمز هایی که در گذشته داشته اید بایستی تفاوت داشته باشد.شامل کاراکترهای محتلف عددی ، حرفی و علامتی باشدتا اینجاش رو همتون 100 بار تا حالا شنیده اید اما کجاست گوش شنوا ، و هیچکدام این اصول را رعایت نمی کنید ، به شما حق می دهم چون کسی به شما آموزش ایجاد یک رمز عبور قوی را نداده است ، رمز شما شناسنامه شما در شبکه است از آن خوب مراقبت کنید ، خوب چطور رمز عبوری قوی بسازیم ؟ مراحل زیر را پشت سر هم انجام دهید :یک جمله که خودتان آنرا دوست دارید را انتخاب کنید مثلا : بابا نان داد ، آن مرد گشنه استخوب همین جمله را بصورت فینگلیش یا پینگلیش بنویسید : baba nan dad an mard goshne astخوب حالا اول هر کدوم از کلمات رو جدا کنید و کنار هم بنویسید : bndamgaخوب حالا یک علامت یا عدد رو در بین این رمز قرار بدید مثلا اول و آخرش 1 و 2 بزارید : 1bndamga2می تونید علامت هم بهش اضافه کنید مثلا من علامت @ رو آخرش اصافه می کنم : @1bndamga2خوب رمز عبور شما شده @1bndamga2 به نظر شما این رمز قوی نیست ؟ فقط خود شما می تونین حدس بزنید چطور بخونیدششما براحتی می توانید با استفاده از این لینک و وارد کردن پسوردی که ساخته اید ، درجه امنیتی پسورد خود را متوجه شوید :برای دسترسی به لینک مورد نظر به ادامه مقاله در سایت توسینسو مراجعه کنید واگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش تست نفوذ در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 01:12:28 +0330 https://virgool.io/@sec.cehfan401/%D8%B1%D9%85%D8%B2%D9%86%DA%AF%D8%A7%D8%B1%DB%8C-%DA%86%DB%8C%D8%B3%D8%AA-%D9%85%D8%B9%D8%B1%D9%81%DB%8C-cryptography-%D9%88-%D8%A7%D9%86%D9%88%D8%A7%D8%B9-%D8%A2%D9%86-lpghzdt0ysyg رمزنگاری یا هنر پنهان کردن اطلاعات موضوعی است که مورد علاقه دولتها شرکتها و افراد می باشد. معمولا افراد می خواهند اطلاعات شخصی و حساسشان محرمانه و دور از دسترس دیگران باشد. شرکتها و سازمانها تمایل به حفظ اطلاعات کارمندان لیست مشتریها و اطلاعات تجاری خود دارند. دولتها نیز از رمزنگاری برای کمک به حفظ امنیت کشورشان استفاده می کنند.به افرادی که در زمینه توسعه و ایجاد کدهای رمز تخصص دارند رمز نگار یا Cryptographer می گویند.همچنین به افرادی که در زمینه شکستن ( باز کردن ) این کدها تخصص دارند تحلیلگر رمز یا Cryptanalyst می گویند.افرادی که در این بخش فعالیت می کنند از دانش قوی در زمینه ریاضی و کامپیوتر برخوردارند. آنها در دنیای خودشان زندگی می کنند و تمایلی به صحبت کردن راجع به کاری که میکنند ندارند. داده ها باید حفظ شوند . اطلاعات شخصی شما می بایست از دسترسی های غیرمجاز و تخریبها حفاظت گردند.اولین روش حفاظت از داده ها رمزنگاری یا Cryptography است. رمز نگاری قدمتی به طول تاریخ بشر دارد. اولین سند رمز شده ای که کشف گردیده به 4000 سال پیش برمیگردد. این سند شامل ترجمه یک پیام از یک زبان به زبان دیگر با کاراکترهای جایگزین می باشد.انواع رمز نگاری :سه نوع رمز نگاری وجود دارد : فیزیکی – ریاضیاتی – کوانتومی1 -رمزنگاری فیزیکی Physical Cryptographyروش های مختلفی دارد . عمومی ترین این روش عبارتیست از جابجایی یا جایگزینی حروف ( کاراکترها ) یا کلمات میباشد. این روش شامل یک حالت دیگری است که به آن Stenography گفته می شود. این روش علمی است که شامل پنهان سازی اطلاعات داخل اطلاعات دیگر است مانند یک تصویر.به طور کلی در رمز نگاری فیزیکی پردازش ریاضی روی متن صورت نمی گیرد.Cipher روشی است که برای کد کردن حروف ( کاراکترها ) برای پنهان کردن ارزش خود استفاده می شود. به فرآیند کد کردن یک پیام Ciphering گفته می شود.2 – رمزنگاری ریاضی (Cryptography Mathematical )از فرآیندها و پردازشهای ریاضی روی متن یا کاراکترها استفاده می کند. معروفترین این روش ادغام سازی یا همان Hashing است. در این روش یک محاسبه روی پیام انجام می شود و آنرا به یک مقدار عددی تبدیل می کند که به آن Hash Value گفته می شود. مثال :هر کاراکتر را در 2 ضرب کنمقادیر بدست آمده را با هم جمع کنحاصل جمع را بر 10 تقسیم کنMessage : this ASCII Value : 116 104 105 115 Calculated Values : 232 208 210 230 Hash value Calculation : ( 232+208+210+230)/10 Hash value : 88این الگوریتم یک طرفه است و نمی توان از مقدار Hash به متن رسید.3 – رمزنگاری کوانتومی (Cryptography Quantum )روشی جدید در رمز نگاری می باشد.تا قبل از 2002 کاربرد آن در آزمایشگاهها و برخی مراکز امنیتی دولتی بود. در این روش پیام با استفاده از یکسری فوتون ارسال می گردد. اگر دریافت کننده ترتیب ( توالی ) و حال مثبت و منفی ( قطب مغناطیسی ) فوتون ها را بفهمد میتواند پیام را decode کند . در غیر اینصورت فوتون ها تغییر یافتده اند. این به گیرنده مفهماند که فرد یا افرادی پیام را شنیده اند. فرستنده پس از اطلاع از این موضوع Pattern ( قالب ) پیام را عوض کرده و شروع به ارسال مجدد پیام با یک سری جدیدی از فوتون ها می نماید. رمزنگاری کوانتومی بسیار پرهزینه است و کاربرد محمدودی دارد.حملات به رمزنگاریبرخی از معروفترین روشهای شکستن کد ها عبارتند از :Frequency AnalysisAlgorithm ErrorsBrute Force AttacksHuman ErrorSocial Engineeringالگوریتمهای رمز نگاری3 روش اصلی برای کد کردن عبارتند از : Hashing – Symmetric – Asymmetricالگوریتم های Hashing دو نوع اصلی دارد : SHA و MD1 – الگوریتم SHA ( Secure Hash Algoritm )یک طرفه استیک کد 160 بیتی تولید می کند.2 – الگوریتم( MD ( Message Digest :یک الگوریتم یکطرفه است.چندین نسخه دارد که مهمترین آنهاعبارتند از : MD2 ,MD4,MD5یک کد 128 بیتی تولید می کند.از hashing برای اطمینان از صحت اطلاعات استفاده می شود.الگوریتمهای متقارن ( Symmetric )یک کلید امنیتی تولید می کند. یک کلید اختصاصی دارد که برای بقیه افراد غیر مجاز قابل استفاده نیست. اگر این کلید ذر اختیار دیگران قرار گیرد و یا دزدیده شود کل فرآیند با شکست مواجه می شود.کلید بین فرستنده و گیرنده یکسان است.انواع الگوریتمهای متقارن1 – ( DES ( Data Encryption Standardاز سال 1970 ایجاد شده است.استاندارد اصلی که در مراکز دولتی و صنعتی بکار میرود.یک کلید 128 بیتی ایجاد می کند.یک مطالعه اخیرا نشان داده است که یک سیستم فوق العاده قوی توانسیته است این الگوریتم را در حدود 2 سال بشکند.2 –( AES ( Advanced Encryption Standardجایگزین DES می باشد.کلیدهای 128 و 192 و 256 بیتی تولید می کند.توسط 2 نفر بنامهای Vincent Rijmen و Joan Damon طراحی شده است.3 – 3DESنسخه ارتقا یافته DES می باشد.از DES امن تر می باشد و شکستن قفل آن بسیار مشکل است.4 – CASTتوسط Carlisle Adams and Stafford Tavares طراحی شده است.شرکتهای مایکروسافت و IBM از این الگوریتم استفاده میکنند.کلیدهای 40 و 128 بیتی استفاده میکند.5 – RCتوسط آزمایشگاههای RSA استفاده می شود.طراح آن Ron Rivest می باشد.انواع نسخه ها : RC5 , RC6کلید 2048 بیتی تولید می کند.6 – Blowfishتوسط سیستمهای Counterpane ایجاد گردیده است.نویسنده اصلی آن Bruce Schneier می باشد.نسخه بعدی آن Twoofish می باشد.از کلیدهای 448 بیتی استفاده میکند.7 –( IDEA ( International Data Encryption Algorithmاز کلید 128 بیتی استفاده میکندبه لحاظ سرعت و قبلیت شبیه الگوریتم DES می باشد ولی امن تر از آن است.در( PGP ( Pretty Good Privacy ( امنیت در پست الکترونیک ) استفاده می شود.الگوریتمهای نا متقارن ( Asymmetric Algorithm)از 2 کلید برای code و decode کردن داده ها استفاده می کند. این کلیدها را Public key و Private key می گویند. Public برای کد کردن پیام توسط فرستنده و Private key برای رمزگشایی توسط گیرنده استفاده می شود.انواع الگوریتمهای نامتقارن :1 – RSAطراحان آن Ron Rivest , Adi Shamir , Leonard Adleman می باشد.هم برای امضای دیجیتال و هم برای SSL استفاده می شود.2 – الگوریتم Diffie Helmanتوسط 2 نفر بنامهای دکتر W.Diffie و دکتر M.E.Hellman توسعه یافته است.3 –( ECC ( The Elliptic Curve Cryptosystemشبیه الگوریتم RSA است.در شبکه های وایرلس کاربرد دارد.4 – EL Gamalنام دیگر آن DSA است.برای انتقال امضای دیجیتال و تبادل کلیدها استفاده می شود.در سال 1985 ایجاد شده است.حملات در رمزنگاری1 – Attacking the key2 - Attacking the Algorithm3 – Intercepting the Transmission4 – Birthday Attack5 – Weak key Attack6 – Mathematical AttackVPN یک ارتباط امن بین 2 دستگاه یا شبکه است. این ارتباط می تواند از طریق اینترنت ، WAN و یا MAN و یا بصورت Point to Point باشد.3 نوع VPN وجود دارد :1 – Intranet : ارتباط 2 نقطه ( از یک شزکت ) را با هم برقرار می کند. مثل ارتباط بین یک شعبه و دفتر مرکزی . این ارتباط را Site to Site یا LAN to LAN می گویند.2 – Extra net : ارتباط بین یک سازمان با یک سازمان دیگر3 – Remote Access : ارتباط کاربران یا دفاتر کوچک با یک شرکت.یک ارتباط VPN میبایست 6 مورد زیر را برای امنیت داده ها رعایت کند :( Confidentiality ( Packet/data integrity & data Authentication Origin (Identity Validation (Authentication (Encapsulation method (Control of Traffic using the VPN Anto reply Protectionپیاده سازی VPNروشهای پیاده سازی VPN و مقایسه بین آنها در ذیل آمده است :1 –( GRE ( Generic Route encapsulation2 –( PPTP ( Point to Point Tunneling Protocol3 –( L2TP ( Layer 2 Tunneling Protocol4 –( IPSEC ( IP Security5 –( SSL ( Secure Socket Layer-CISCO’s solution is called WEBVPNاگر می خواهید مباحث امنیت شبکه و تشخیص نفوذ را به خوبی یاد بگیرید به دوره آموزش تکنیک های نفوذ در این لینک مراجعه کنید. Security Plus CEH Security Plus CEH Mon, 20 Feb 2023 01:05:16 +0330