انجام پایان نامه

درخواست همکاری انجام پایان نامه  بانک مقالات رایگان انجام پایان نامه

سفارش پایان نامه

|

انجام پایان نامه ارشد

 پایان نامه

پایان نامه|پایان نامه پروتکل های مسیر یابی در شبکه های حسگر بی سیم

  فهرست
عنوان                                        صفحه
مقدمه     3
افزودن به ضریب عملکرد هکرها    4
سطح 1 امنیت پیرامون    5
سطح 2 امنیت پیرامون     7
استاندارد شبکه های محلی بی سیم     9
شبکه های بی سیم و انواع WPAN,WWAN.WLAN     11
مقدار بر شبکه خصوصی مجازی (VPN)    12
دسته بندی VPN بر اساس رمزنگاری     12
دسته بندی VPN بر اساس لایه پیاده سازی     14
مقایسه تشخیص نفوذ و پیشگیری از نفوذ    14
تفاوت شکلی تشخیص با پیشگیری    14
تشخیص نفوذ    16
نتیجه ی نهایی    17
مقدمه ای بر تشخیص نفوذ    17
انواع حملات شبکه ای با توجه به طریقه حمله     18
انواع حملات شبکه ای با توجه به حمله کننده     19
پردازه تشخیص نفوذ     20
مقدمه ای بر IPSEC     20
انواع IPSEC VPN     21
کاربرد پراکسی در امنیت شبکه     23
برخی از انواع پراکسی    24
SMTP proxy     25
امنیت و پرتال     27
امنیت و پرتال CMS PARS    27
راهکارهای شبکه های سیم     28
نسب، طراحی و راه اندازی شبکه و ایرلس Multipoint Point o    29
نسب طراحی و راه اندازی شبکه های Hot spot    29
مشاوره و تامین تجهیزات برای راه اندازی شبکه های وایرلس    29
شبکه های بیسیم    35
انواع شبکه های بی سیم     36
شبکه های (MANET) Mobile ad hoc     38
کاربردهای شبکه  Mobile ad hoc     39
پروتوکل های مسیریابی Routing proto cols    39
پروتوکل TCP/IP    40
مقدمه    40
معنی پروتوکل TCP/IP    41
لایه های پروتکل TCP/IP    41
لایه Application    42
لایه Transport    43
لایه اینترنت    43
لایه Network Interface    43
مشخص نمودن برنامه ها     43
آدرس IP    44
یورت TCP/IP    44
سوکت (Socket)    44
TCP/IP    44
پروتکل:TCP لایه Transport    45
ارسال اطلاعات با استفاده از TCP    45
پروتوکل: UUP لایه Internet     46
پروتوکل: IP لایه Internet    48
مسیر یابی     49
معنای حمل    49
توزیع توپولوژی    49
آلگوریتم برداری راه دور     49
آلگوریتم حالت اینک    59
پروتوکل بردار مسیر    50
مقایسه الگوریتم مسیریابی     50
انتخاب مسیر    51
عوامل چندگانه     51
شبکه های حسگر بی سیم    52
نگاهی به شبکه های بی سیم حسگر    52
ویژگی های عمومی یک شبکه حسگر    54
ساختار ارتباطی شبکه های حسگر    54
فاکتورهای طراحی     54
تحمل خرابی    55
قابلیت گسترش    55
هزینه تولید     55
سخن پایانی    57
منابع     58

 
مقدمه
امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است.
در این سلسله مقالات رویکردی لایه بندی شده برای امن سازی شبکه به شما معرفی می گردد.  این رویکرد هم یک استراتژی تکنیکی است که ابزار و امکان مناسبی را در سطوح مختلف در زیرساختار شبکه شما قرار می دهد و هم یک استراتژی سازمانی است که مشارکت همه از هیأت مدیره تا قسمت فروش را می طلبد.
رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستمهای امنیتی و روال ها در پنج لایه مختلف در محیط فناوری اطلاعات متمرکز می گردد.
۱- پیرامون
۲- شبکه
۳- میزبان
۴- برنامه  کاربردی
۵- دیتا
در این سلسله مقالات هریک از این سطوح تعریف می شوند و یک دید کلی از ابزارها و سیستمهای امنیتی گوناگون که روی هریک عمل می کنند، ارائه می شود. هدف در اینجا ایجاد درکی در سطح پایه از امنیت شبکه و پیشنهاد یک رویکرد عملی مناسب برای محافظت از دارایی های دیجیتال است. مخاطبان این سلسله مقالات متخصصان فناوری اطلاعات، مدیران تجاری و تصمیم گیران سطح بالا هستند.
محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و عجیب و غریب نیاز ندارد. با درکی کلی از مسأله،  خلق یک طرح امنیتی استراتژیکی و تاکتیکی می تواند تمرینی آسان باشد. بعلاوه، با رویکرد عملی که در اینجا معرفی می شود، می توانید بدون هزینه کردن بودجه های کلان، موانع موثری بر سر راه اخلال گران امنیتی ایجاد کنید.
 
افزودن به ضریب عملکرد هکرها
متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد (work factor) استفاده می کنند که مفهومی مهم در پیاده سازی امنیت لایه بندی است. ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوذگر بمنظور تحت تأثیر قراردادن یک یا بیشتر از سیستمها و ابزار امنیتی تعریف می شود که باعث رخنه کردن در شبکه می شود. یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می گیرد در حالیکه یک شبکه با ضریب عملکرد پایین می تواند نسبتاً به راحتی مختل شود. اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، که فایده رویکرد لایه بندی شده نیز هست، احتمالاً شبکه شما را رها می کنند و به سراغ شبکه هایی با امنیت پایین تر می روند و این دقیقاً همان چیزیست که شما می خواهید.
تکنولوژی های بحث شده در این سری مقالات مجموعاً رویکرد عملی خوبی برای امن سازی دارایی های دیجیتالی شما را به نمایش می گذارند. در یک دنیای ایده آل، شما بودجه و منابع را برای پیاده سازی تمام ابزار و سیستم هایی که بحث می کنیم خواهید داشت. اما متأسفانه در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه تان را ارزیابی کنید – چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و غیره – و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنید.
 
مدل امنیت لایه بندی شده
در این جدول مدل امنیت لایه بندی شده و بعضی از تکنولوژی هایی که در هر سطح مورد استفاده قرار می گیرند، ارائه شده اند. این تکنولوژی ها با جزئیات بیشتر در بخش های بعدی مورد بحث قرار خواهند گرفت.
 








ردیف    سطح امنیتی    ابزار و سیستم های امنیتی قابل استفاده
۱    پیرامون    •       فایروال
•       آنتی ویروس در سطح شبکه
•       رمزنگاری شبکه خصوصی مجازی
۲    شبکه    •       سیستم  تشخیص/جلوگیری از نفوذ (IDS/IPS)
•       سیستم مدیریت آسیب پذیری
•       تبعیت امنیتی کاربر انتهایی
•       کنترل دسترسی/ تایید هویت کاربر
۳    میزبان    •       سیستم تشخیص نفوذ میزبان
•       سیستم ارزیابی آسیب پذیری میزبان
•       تبعیت امنیتی کاربر انتهایی
•       آنتی ویروس
•       کنترل دسترسی/ تایید هویت کاربر
۴    برنامه کاربردی    •       سیستم تشخیص نفوذ میزبان
•       سیستم ارزیابی آسیب پذیری میزبان
•       کنترل دسترسی/ تایید هویت کاربر
•       تعیین صحت ورودی
۵    داده    •       رمزنگاری
•       کنترل دسترسی/ تایید هویت کاربر
سطح ۱: امنیت پیرامون
منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است. «پیرامون» اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت کننده شبکه است. این ناحیه ای است که شبکه به پایان می رسد و اینترنت آغاز می شود. پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترل شده است که در بخشی از پیرامون قرار دارند که بعنوان DMZ (demilitarized zone) شناخته می شود. DMZ معمولاً وب سرورها، مدخل ایمیل ها، آنتی ویروس شبکه و سرورهای DNS  را دربرمی گیرد که باید در معرض اینترنت قرار گیرند. فایروال قوانین سفت و سختی در مورد اینکه چه چیزی می تواند وارد شبکه شود و چگونه سرورها در DMZ می توانند با اینترنت و شبکه داخلی تعامل داشته باشند، دارد.
پیرامون شبکه، به اختصار، دروازه شما به دنیای بیرون و برعکس، مدخل دنیای بیرون به شبکه شماست.
تکنولوژیهای زیر امنیت را در پیرامون شبکه ایجاد می کنند:
 •   فایروال ـ معمولاً یک فایروال روی سروری نصب می گردد که به بیرون و درون پیرامون شبکه متصل است. فایروال سه عمل اصلی انجام می دهد ۱- کنترل ترافیک ۲- تبدیل آدرس و ۳- نقطه پایانی VPN. فایروال کنترل ترافیک را با سنجیدن مبداء و مقصد تمام ترافیک واردشونده و خارج شونده انجام می دهد و تضمین می کند که تنها تقاضاهای مجاز اجازه عبور دارند. بعلاوه، فایروال ها به شبکه امن در تبدیل آدرس های IP داخلی به آدرس های قابل رویت در اینترنت کمک می کنند. این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری می کند. یک فایروال همچنین می تواند به عنوان نقطه پایانی تونل های VPN (که بعداً بیشتر توضیح داده خواهد شد) عمل کند. این سه قابلیت فایروال را تبدیل به بخشی واجب برای امنیت شبکه شما می کند.
 
•   آنتی ویروس شبکه ـ  این نرم افزار در DMZ نصب می شود و محتوای ایمیل های واردشونده و خارج شونده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه می کند.  این آنتی ویروس ها آمد و شد ایمیل های آلوده را مسدود می کنند و آنها را قرنطینه می کنند و سپس به دریافت کنندگان و مدیران شبکه اطلاع می دهند. این عمل از ورود و انتشار یک ایمیل آلوده به ویروس در شبکه جلوگیری می کند و جلوی گسترش ویروس توسط شبکه شما را می گیرد. آنتی ویروس شبکه، مکملی برای حفاظت ضدویروسی است که در سرور ایمیل شما و کامپیوترهای مجزا صورت می گیرد. بمنظور کارکرد مؤثر، دیتابیس ویروس های شناخته شده باید به روز نگه داشته شود.
 
•   VPNـ یک شبکه اختصاصی مجازی (VPN) از رمزنگاری سطح بالا برای ایجاد ارتباط امن بین ابزار دور از یکدیگر، مانند لپ تاپ ها و شبکه مقصد استفاده می کند. VPN اساساً یک تونل رمزشده تقریباً با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد می کند. این تونل VPN می تواند در یک مسیریاب برپایه VPN، فایروال یا یک سرور در ناحیه DMZ پایان پذیرد. برقراری ارتباطات VPN برای تمام بخش های دور و بی سیم شبکه یک عمل مهم است که نسبتاً آسان و ارزان پیاده سازی می شود.

 مزایا
تکنولوژی های ایجاد شده سطح پیرامون سال هاست که در دسترس هستند، و بیشتر خبرگان IT با تواناییها و نیازهای عملیاتی آنها به خوبی آشنایی دارند. بنابراین، از نظر پیاده سازی آسان و توأم با توجیه اقتصادی هستند. بعضیاز فروشندگان راه حل های سفت و سختی برای این تکنولوژیها ارائه می دهند و بیشتر آنها به این دلیل پر هزینه هستند.
معایب
از آنجا که بیشتر این سیستم ها تقریباً پایه ای هستند و مدت هاست که در دسترس بوده اند، بیشتر هکرهای پیشرفته روش هایی برای دور زدن آنها نشان داده اند. برای مثال، یک ابزار آنتی ویروس نمی تواند ویروسی را شناسایی کند مگر اینکه از قبل علامت شناسایی ویروس را در دیتابیس خود داشته باشد و این ویروس داخل یک فایل رمزشده قرار نداشته باشد. اگرچه VPN رمزنگاری مؤثری ارائه می کند، اما کار اجرایی بیشتری را برروی کارمندان IT تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری باید بصورت مداوم مدیریت شوند.
ملاحظات
پیچیدگی معماری شبکه شما می تواند تأثیر قابل ملاحظه ای روی میزان اثر این تکنولوژی ها داشته باشد. برای مثال، ارتباطات چندتایی به خارج احتمالاً نیاز به چند فایروال و آنتی ویروس خواهد داشت. معماری شبکه بطوری که تمام این ارتباطات به ناحیه مشترکی ختم شود، به هرکدام از تکنولوژی های مذکور اجازه می دهد که به تنهایی پوشش مؤثری برای شبکه ایجاد کنند.
انواع ابزاری که در DMZ شما قرار دارد نیز یک فاکتور مهم است. این ابزارها چه میزان اهمیت برای کسب و کار شما دارند؟ هرچه اهمیت بیشتر باشد، معیارها و سیاست های امنیتی سفت و سخت تری باید این ابزارها را مدیریت کنند.
سطح ۲-  امنیت شبکه
سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی شما اشاره دارد. شبکه داخلی شما ممکن است شامل چند کامپیوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید. این قضیه بخصوص برای سازمان های کوچک تا متوسط صدق می کند که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش دیگر به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند:
 
•   IDSها (سیستم های تشخیص نفوذ) و IPSها (سیستم های جلوگیری از نفوذ) ـ تکنولوژیهای IDS و IPS ترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهای IDS مسؤولین IT را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار ترافیک  آسیب رسان را مسدود می کنند. IDSها و IPSها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPSها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی ها از نام آنها استنباط می شود. محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند. پیکربندی های IDS و IPS  استاندارد در شکل نشان داده شده اند:
 
•   مدیریت آسیب پذیری – سیستم های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام می دهند: (۱) شبکه را برای آسیب پذیری ها پیمایش می کنند و (۲)روند مرمت آسیب پذیری یافته شده را مدیریت می کنند. در گذشته، این تکنولوژی VA )تخمین آسیب پذیری( نامیده می شد. اما این تکنولوژی اصلاح شده است، تا جاییکه بیشتر سیستم های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می دهند.
 سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می کنند. آنها معمولاً پایگاه داده ای از قوانینی را نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبکه را مشخص می کنند. در طول یک پیمایش، سیستم هر ابزار یا برنامه ای را با بکارگیری قوانین مناسب می آزماید.
  همچنانکه از نامش برمی آید، سیستم  مدیریت آسیب پذیری شامل ویژگیهایی است که روند بازسازی را مدیریت می کند. لازم به ذکر است که میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می کند.
 
•   تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می کنند که تضمین می کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند، رعایت کرده اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای VPN و RAS می گیرد.
  روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آنها از این تست ها معمولاً برای بررسی  (۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی ویروس های به روز شده و غیره و (۲) کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.
•   کنترل دسترسی\تأیید هویت – کنترل دسترسی نیازمند تأیید هویت کاربرانی است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.
نکته: در این سلسله مباحث،  به کنترل دسترسی و تأییدهویت در سطوح شبکه، میزبان، نرم افزار و دیتا در چارچوب امنیتی لایه بندی شده می پردازیم. میان طرح های کنترل دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد. معمولاً تراکنش های تأیید هویت در مقابل دید کاربر اتفاق می افتد

استاندارد شبکه های محلی بی سیم
در ماه ژوئن سال 1997 انجمن مهندسان برق و الكترونيك (IEEE) استاندارد IEEE 802.11-1997 را به عنوان اولين استانداردِ شبكه‌های محلی بی‌سيم منتشر ساخت. اين استاندارد در سال 1999 مجدداً بازنگری شد و نگارش روز آمد شده آن تحت عنوان IEEE 802.11-1999 منتشر شد. استاندارد جاری شبكه‌های محلی بی‌سيم يا همانIEEE 802.11 تحت عنوان ISO/IEC 8802-11:1999، توسط سازمان استاندارد سازی بين‌المللی (ISO) و مؤسسه استانداردهای ملی آمريكا (ANSI) پذيرفته شده است. تكميل اين استاندارد در سال 1997، شكل گيری و پيدايش شبكه سازی محلی بی‌سيم و مبتنی بر استاندارد را به دنبال داشت. استاندارد 1997، پهنای باند 2Mbps را تعريف می‌كند با اين ويژگی كه در شرايط نامساعد و محيط‌های دارای اغتشاش (نويز) اين پهنای باند می‌تواند به مقدار 1Mbps كاهش يابد. روش تلفيق يا مدولاسيون در اين پهنای باند روش DSSS است. بر اساس اين استاندارد پهنای باند 1 Mbps با استفاده از روش مدولاسيون FHSS نيز قابل دستيابی است و در محيط‌های عاری از اغتشاش (نويز) پهنای باند 2 Mbpsنيز قابل استفاده است. هر دو روش مدولاسيون در محدوده باند راديويی 2.4 GHz عمل می‌كنند. يكی از نكات جالب توجه در خصوص اين استاندارد استفاده از رسانه مادون قرمز علاوه بر مدولاسيون‌های راديويی DSSS و FHSS به عنوان رسانهانتقال است. ولی كاربرد اين رسانه با توجه به محدوديت حوزه عملياتی آن نسبتاً محدود و نادر است. گروه كاری 802.11 به زير گروه‌های متعددی تقسيم می‌شود. شكل‌های 1-1 و 1-2 گروه‌های كاری فعال در فرآيند استاندارد سازی را نشان می‌دهد. برخی از مهم‌ترين زير گروه‌ها به قرار زير است:
 
 
كميته 802.11e كميته‌ای است كه سعی دارد قابليت QoS اِتـِرنت را در محيط شبكه‌های بی‌سيم ارائه كند. توجه داشته باشيد كه فعاليت‌های اين گروه تمام گونه‌های 802.11 شامل a، b، و g را در بر دارد. اين كميته در نظر دارد كه ارتباط كيفيت سرويس سيمی يا Ethernet QoS را به دنيای بی‌سيم بياورد.
كميته 802.11g كميته‌ای است كه با عنوان 802.11 توسعه يافته نيز شناخته می‌شود. اين كميته در نظر دارد نرخ ارسال داده‌ها در باند فركانسی ISM را افزايش دهد. باند فركانسی ISM يا باند فركانسی صنعتی، پژوهشی، و پزشكی، يك باند فركانسی بدون مجوز است. استفاده از اين باند فركانسی كه در محدوده 2400 مگاهرتز تا 2483.5 مگاهرتز قرار دارد، بر اساس مقررات FCC در كاربردهای تشعشع راديويی نيازی به مجوز ندارد. استاندارد 802.11g تا كنون نهايی نشده است و مهم‌ترين علت آن رقابت شديد ميان تكنيك‌های مدولاسيون است. اعضاء اين كميته و سازندگان تراشه توافق كرده‌اند كه از تكنيك تسهيم OFDM استفاده نمايند ولی با اين وجود روش PBCC نيز می‌تواند به عنوان يك روش جايگزين و رقيب مطرح باشد.
كميته 802.11h مسئول تهيه استانداردهای يكنواخت و يكپارچه برای توان مصرفی و نيز توان امواج ارسالی توسط فرستنده‌های مبتنی بر 802.11 است.
فعاليت دو كميته 802.11i و 802.11x در ابتدا برروی سيستم‌های مبتنی بر 802.11b تمركز داشت. اين دو كميته مسئول تهيه پروتكل‌های جديد امنيت هستند. استاندارد اوليه از الگوريتمی موسوم به WEP استفاده می‌كند كه در آن دو ساختار كليد رمز نگاری به طول 40 و 128 بيت وجود دارد. WEP مشخصاً يك روش رمزنگاری است كه از الگوريتم RC4 برای رمزنگاری فريم‌ها استفاده می‌كند. فعاليت اين كميته در راستای بهبود مسائل امنيتی شبكه‌های محلی بی‌سيم است.
اين استاندارد لايه‌های كنترل دسترسی به رسانه (MAC) و لايه فيزيكی (PHY) در يك شبكه محلی با اتصال بی‌سيم را دربردارد. شكل 1-1 جايگاه استاندارد 802.11 را در مقايسه با مدل مرجع نشان می‌دهد.
 
شبکه‌های بی‌سیم و انواع WWAN , WLAN , WPAN
تکنولوژی شبکه‌های بی‌سیم، با استفاده از انتقال داده‌ها توسط اموج رادیویی، در ساده‌ترین صورت، به تجهیزات سخت‌افزاری امکان می‌دهد تا بدون‌استفاده از بسترهای فیزیکی همچون سیم و کابل، با یکدیگر ارتباط برقرار کنند. شبکه‌های بی‌سیم بازه‌ی وسیعی از کاربردها، از ساختارهای پیچیده‌یی چون شبکه‌های بی‌سیم سلولی -که اغلب برای تلفن‌های همراه استفاده می‌شود- و شبکه‌های محلی بی‌سیم (WLAN – Wireless LAN) گرفته تا انوع ساده‌یی چون هدفون‌های بی‌سیم، را شامل می‌شوند. از سوی دیگر با احتساب امواجی همچون مادون قرمز، تمامی تجهیزاتی که از امواج مادون قرمز نیز استفاده می‌کنند، مانند صفحه کلید‌ها، ماوس‌ها و برخی از گوشی‌های همراه، در این دسته‌بندی جای می‌گیرند. طبیعی‌ترین مزیت استفاده از این شبکه‌ها عدم نیاز به ساختار فیزیکی و امکان نقل و انتقال تجهیزات متصل به این‌گونه شبکه‌ها و هم‌چنین امکان ایجاد تغییر در ساختار مجازی آن‌هاست. از نظر ابعاد ساختاری، شبکه‌های بی‌سیم به سه دسته تقسیم می‌گردند : WWAN، WLAN و WPAN.

مقصود از WWAN، که مخفف Wireless WAN است، شبکه‌هایی با پوشش بی‌سیم بالاست. نمونه‌یی از این شبکه‌ها، ساختار بی‌سیم سلولی مورد استفاده در شبکه‌های تلفن همراه است. WLAN پوششی محدودتر، در حد یک ساختمان یا سازمان، و در ابعاد کوچک یک سالن یا تعدادی اتاق، را فراهم می‌کند. کاربرد شبکه‌های WPAN یا Wireless Personal Area Network برای موارد خانه‌گی است. ارتباطاتی چون Bluetooth و مادون قرمز در این دسته قرار می‌گیرند.
شبکه‌های WPAN از سوی دیگر در دسته‌ی شبکه‌های Ad Hoc نیز قرار می‌گیرند. در شبکه‌های Ad hoc، یک سخت‌افزار، به‌محض ورود به فضای تحت پوشش آن، به‌صورت پویا به شبکه اضافه می‌شود. مثالی از این نوع شبکه‌ها، Bluetooth است. در این نوع، تجهیزات مختلفی از جمله صفحه کلید، ماوس، چاپگر، کامپیوتر کیفی یا جیبی و حتی گوشی تلفن همراه، در صورت قرارگرفتن در محیط تحت پوشش، وارد شبکه شده و امکان رد و بدل داده‌ها با دیگر تجهیزات متصل به شبکه را می‌یابند. تفاوت میان شبکه‌های Ad hoc با شبکه‌های محلی بی‌سیم (WLAN) در ساختار مجازی آن‌هاست. به‌عبارت دیگر، ساختار مجازی شبکه‌های محلی بی‌سیم بر پایه‌ی طرحی ایستاست درحالی‌که شبکه‌های Ad hoc از هر نظر پویا هستند. طبیعی‌ست که در کنار مزایایی که این پویایی برای استفاده کننده‌گان فراهم می‌کند، حفظ امنیت چنین شبکه‌هایی نیز با مشکلات بسیاری همراه است. با این وجود، عملاً یکی از راه حل‌های موجود برای افزایش امنیت در این شبکه‌ها، خصوصاً در انواعی همچون Bluetooth، کاستن از شعاع پوشش سیگنال‌های شبکه است. در واقع مستقل از این حقیقت که عمل‌کرد Bluetooth بر اساس فرستنده و گیرنده‌های کم‌توان استوار است و این مزیت در کامپیوترهای جیبی برتری قابل‌توجه‌یی محسوب می‌گردد، همین کمی توان سخت‌افزار مربوطه، موجب وجود منطقه‌ی محدود تحت پوشش است که در بررسی امنیتی نیز مزیت محسوب می‌گردد. به‌عبارت دیگر این مزیت به‌همراه استفاده از کدهای رمز نه‌چندان پیچیده، تنها حربه‌های امنیتی این دسته از شبکه‌ها به‌حساب می‌آیند

مقدمه اي بر شبكه خصوصي مجازي (VPN)
شبكه خصوصي مجازي يا Virtual Private Network كه به اختصار VPN ناميده مي شود، امكاني است براي انتقال ترافيك خصوصي بر روي شبكه عمومي. معمولا  از VPN براي اتصال دو شبكه خصوصي از طريق يك شبكه عمومي مانند اينترنت استفاده مي شود.منظور از يك شبكه خصوصي شبكه اي است كه بطور آزاد در اختيار و دسترس عموم نيست. VPN به اين دليل مجازي ناميده مي شود كه از نظر دو شبكه خصوصي ، ارتباط از طريق يك ارتباط و شبكه خصوصي بين آنها برقرار است اما در واقع شبكه عمومي اين كار را انجام مي دهد. پياده سازي VPN معمولا اتصال دو يا چند شبكه خصوصي از طريق يك تونل رمزشده انجام مي شود. در واقع به اين وسيله اطلاعات در حال تبادل بر روي شبكه عمومي از ديد ساير كاربران محفوظ مي ماند. VPN را مي توان بسته به شيوه پياده سازي و اهداف پياده سازي آن به انواع مختلفي تقسيم كرد.

 دسته بندي VPN براساس رمزنگاري
 VPN را مي توان با توجه به استفاده يا عدم استفاده از رمزنگاري به دو گروه اصلي تقسيم كرد:
1- VPNرمزشده : VPN هاي رمز شده از انواع مكانيزمهاي رمزنگاري براي انتقال امن اطلاعات بر روي شبكه عمومي استفاده مي كنند. يك نمونه خوب از اين VPN ها ، شبكه هاي خصوصي مجازي اجرا شده به كمك IPSec  هستند.
2-  VPN رمزنشده : اين نوع از VPN براي اتصال دو يا چند شبكه خصوصي با هدف استفاده از منابع شبكه يكديگر ايجاد مي شود. اما امنيت اطلاعات در حال تبادل حائز اهميت نيست يا اين كه اين امنيت با روش ديگري غير از رمزنگاري تامين مي شود. يكي از اين روشها تفكيك مسيريابي است. منظور از تفكيك مسيريابي آن است كه تنها اطلاعات در حال تبادل بين دو شبكه خصوصي به هر يك از آنها مسير دهي مي شوند. (MPLS VPN) در اين مواقع مي توان در لايه هاي بالاتر از رمزنگاري مانند SSL استفاده كرد.
هر دو روش ذكر شده مي توانند با توجه به سياست امنيتي مورد نظر ، امنيت مناسبي را براي مجموعه به ارمغان بياورند، اما معمولا VPN هاي رمز شده براي ايجاد VPN امن به كار    مي روند. ساير انواع VPN مانند MPLS VPN بستگي به امنيت و جامعيت عمليات مسيريابي دارند.
 
 دسته بندي VPN براساس لايه پياده سازي
VPN بر اساس لايه مدل OSI كه در آن پياده سازي شده اند نيز قابل دسته بندي هستند. اين موضوع از اهميت خاصي برخوردار است. براي مثال در VPN هاي رمز شده ، لايه اي كه در آن رمزنگاري انجام مي شود در حجم ترافيك رمز شده تاثير دارد. همچنين سطح شفافيت VPN براي كاربران آن نيز با توجه به لايه پياده سازي مطرح مي شود.
1-  VP لايه پيوند داده : با استفاده از VPN هاي لايه پيوند داده مي توان دو شبكه خصوصي را در لايه 2 مدل OSI با استفاده از پروتكلهايي مانند ATM يا Frame Relay به هم متصل كرد.با وجودي كه اين مكانيزم راه حل مناسبي به نظر مي رسد اما معمولا روش ارزني نيست چون نياز به يك مسير اختصاصي لايه 2 دارد. پروتكلهاي Frame Relay و ATM مكانيزمهاي رمزنگاري را تامين نمي كنند. آنها فقط به ترافيك اجازه مي دهند تا بسته به آن كه به كدام اتصال لايه 2 تعلق دارد ، تفكيك شود. بنابراين اگر به امنيت بيشتري نياز داريد بايد مكانيزمهاي رمزنگاري مناسبي را به كار بگيريد.
2-  VPN لايه شبكه : اين سري از VPN ها با استفاده از tunneling لايه 3 و/يا تكنيكهاي رمزنگاري استفاده مي كنند. براي مثال مي توان به IPSec Tunneling و پروتكل رمزنگاري براي ايجاد VPN اشاره كرد.مثالهاي ديگر پروتكلهاي GRE و L2TP هستند. جالب است اشاره كنيم كه L2TP در ترافيك لايه 2 تونل مي زند اما از لايه 3 براي اين كار استفاده مي كند. بنابراين در VPN هاي لايه شبكه قرار مي گيرد. اين لايه براي انجام رمزنگاري نيز بسيار مناسب است. در بخشهاي بعدي اين گزارش به اين سري از VPN ها به طور مشروح خواهيم پرداخت.
3-  VPN لايه كاربرد : اين VPN ها براي كار با برنامه هاي كاربردي خاص ايجاد شده اند. VPN هاي مبتني بر SSL از مثالهاي خوب براي اين نوع از VPN هستند. SSL رمزنگاري را بين مرورگر وب و سروري كه SSL را اجرا مي كند، تامين          مي كند.SSH  مثال ديگري براي اين نوع از VPN ها است.SSH به عنوان يك مكانيزم امن و رمز شده براي login به اجزاي مختلف شبكه شناخته مي شود. مشكل VPNها در اين لايه آن است كه هرچه خدمات و برنامه هاي جديدي اضافه مي شوند ، پشتيباني آنها در VPN نيز بايد اضافه شود.

دسته بندي VPN براساس كاركرد تجاري
مقايسه تشخيص نفوذ و پيش گيري از نفوذ
ايده پيش گيري از نفوذ (Intrusion Prevention) اين است كه تمام حملات عليه هر بخش از محيط محافظت شده توسط روش هاي به كار گرفته شده ناكام بماند. اين روش ها مي توانند تمام بسته هاي شبكه را بگيرند و نيت آنها را مشخص كنند ـ آيا هركدام يك حمله هستند يا يك استفاده قانوني ـ سپس عمل مناسب را انجام دهند.

تفاوت شكلي تشخيص با پيش گيري
در ظاهر، روش هاي تشخيص نفوذ و پيش گيري از نفوذ رقيب هستند. به هرحال، آنها ليست بلندبالايي از عملكردهاي مشابه، مانند بررسي بسته داده، تحليل با توجه به حفظ وضعيت، گردآوري بخش هاي TCP، ارزيابي پروتكل و تطبيق امضاء دارند. اما اين قابليت ها به عنوان ابزاري براي رسيدن به اهداف متفاوت در اين دو روش به كار گرفته مي شوند. يك IPS  (Intrusion Prevention System) يا سيستم پيش گيري مانند يك محافظ امنيتي در مدخل يك اجتماع اختصاصي عمل مي كند كه بر پايه بعضي گواهي ها و قوانين يا سياست هاي از پيش تعيين شده اجازه عبور مي دهد. يك IDS (Intrusion Detection System) يا سيستم تشخيص مانند يك اتومبيل گشت زني در ميان اجتماع عمل مي كند كه فعاليت ها را به نمايش مي گذارد و دنبال موقعيت هاي غيرعادي مي گردد. بدون توجه به قدرت امنيت در مدخل، گشت زن ها به كار خود در سيستم ادامه مي دهند و بررسي هاي خود را انجام  مي دهند.
تشخيص نفوذ
هدف از تشخيص نفوذ نمايش، بررسي و ارائه گزارش از فعاليت شبكه است. اين سيستم روي بسته هاي داده كه از ابزار كنترل دسترسي عبور كرده اند، عمل مي كند. به دليل وجود محدوديت هاي اطمينان پذيري، تهديدهاي داخلي و وجود شك و ترديد مورد نياز،  پيش گيري از نفوذ بايد به بعضي از موارد مشكوك به حمله اجازه عبور دهد تا احتمال تشخيص هاي  غلط (false positive) كاهش يابد. از طرف ديگر،  روش هاي IDS با هوشمندي همراه هستند و از تكنيك هاي مختلفي براي تشخيص حملات بالقوه، نفوذها و سوء استفاده ها بهره مي گيرند. يك IDS معمولاً به گونه اي از پهناي باند استفاده مي كند كه مي تواند بدون تأثير گذاشتن روي معماري هاي محاسباتي و شبكه اي به كار خود ادامه دهد.
طبيعت منفعل IDS آن چيزي است كه قدرت هدايت تحليل هوشمند جريان بسته ها را ايجاد مي كند. همين امر IDS را در جايگاه خوبي براي تشخيص موارد زير قرار مي دهد:
 حملات شناخته شده از طريق امضاءها و قوانين
 تغييرات در حجم و جهت ترافيك با استفاده از قوانين پيچيده و تحليل آماري
تغييرات الگوي ترافيك ارتباطي با استفاده از تحليل جريان
تشخيص فعاليت غيرعادي با استفاده از تحليل انحراف معيار
تشخيص فعاليت مشكوك با استفاده از تكنيك هاي آماري، تحليل جريان و تشخيص خلاف قاعده
 بعضي حملات تا درجه اي از يقين بسختي قابل تشخيص هستند، و بيشتر آنها فقط مي توانند توسط روش هايي كه داراي طبيعت غيرقطعي هستند تشخيص داده شوند. يعني اين روش ها براي تصميم گيري مسدودسازي براساس سياست مناسب نيستند.
 
 
 
پيش گيري از نفوذ
چنانچه قبلاً هم ذكر شد، روش هاي پيش گيري از نفوذ به منظور محافظت از دارايي ها، منابع، داده و شبكه ها استفاده مي شوند. انتظار اصلي از آنها اين است كه خطر حمله را با حذف ترافيك مضر شبكه كاهش دهند در حاليكه به فعاليت صحيح اجازه ادامه كار مي دهند. هدف نهايي يك سيستم كامل است- يعني نه تشخيص غلط حمله (false positive) كه از بازدهي شبكه مي كاهد و نه عدم تشخيص حمله (false negative) كه باعث ريسك بي مورد در محيط شبكه شود. شايد يك نقش اساسي تر نياز به مطمئن بودن است؛ يعني فعاليت به روش مورد انتظار تحت هر شرايطي. بمنظور حصول اين منظور، روش هاي IPS بايد طبيعت قطعي (deterministic) داشته باشند.
قابليت هاي قطعي، اطمينان مورد نياز براي تصميم گيري هاي سخت را ايجاد مي كند. به اين معني كه روش هاي پيش گيري از نفوذ براي سروكار داشتن با موارد زير ايده آل هستند:
  برنامه هاي ناخواسته و حملات اسب ترواي فعال عليه شبكه ها و برنامه هاي اختصاصي، با استفاده از قوانين قطعي و ليست هاي كنترل دسترسي
  بسته هاي ديتاي متعلق به حمله با استفاده از فيلترهاي بسته داده اي سرعت بالا
  سوءاستفاده از پروتكل و دستكاري پروتكل شبكه با استفاده از بازسازي هوشمند
 حملات DoS/DDoS مانند طغيان SYN و ICMP با استفاده از الگوريتم هاي فيلترينگ برپايه حد آستانه
  سوءاستفاده از برنامه ها و دستكاري هاي پروتكل ـ حملات شناخته شده و شناخته نشده عليه HTTP، FTP، DNS، SMTP و غيره با استفاده از قوانين پروتكل برنامه ها و امضاءها
 باراضافي برنامه ها با استفاده از ايجاد محدوديت هاي مصرف منابع
 تمام اين حملات و وضعيت آسيب پذيري كه به آنها اجازه وقوع مي دهد به خوبي مستندسازي شده اند. بعلاوه، انحرافات از پروتكل هاي ارتباطي از لايه شبكه تا لايه برنامه جايگاهي در هيچ گونه ترافيك صحيح ندارند.
 
نتيجه نهايي
تفاوت بين IDS و IPS به فلسفه جبرگرايي مي انجامد. يعني IDS مي تواند (و بايد) از روش هاي غيرقطعي براي استنباط هرنوع تهديد يا تهديد بالقوه از ترافيك موجود استفاده كند. اين شامل انجام تحليل آماري از حجم ترافيك، الگوهاي ترافيك و فعاليت هاي غيرعادي مي شود. IDS به درد افرادي مي خورد كه واقعاً مي خواهند بدانند چه چيزي در شبكه شان در حال رخ دادن است.
از طرف ديگر، IPS بايد در تمام تصميماتش براي انجام وظيفه اش در پالايش ترافيك قطعيت داشته باشد. از يك ابزار IPS انتظار مي رود كه در تمام مدت كار كند و در مورد كنترل دسترسي تصميم گيري كند. فايروال ها اولين رويكرد قطعي را براي كنترل دسترسي در شبكه ها با ايجاد قابليت اوليه IPS فراهم كردند. ابزارهاي IPS قابليت نسل بعد را به اين فايروال ها اضافه  كردند و هنوز در اين فعاليت هاي قطعي در تصميم گيري براي كنترل دسترسي ها مشاركت دارند.

مقدمه اي بر تشخيص نفوذ (Intrusion Detection)
 تشخيص نفوذ عبارت است از پردازه تشخيص تلاشهايي كه جهت دسترسي غيرمجاز به يك شبكه يا كاهش كارايي آن انجام مي شوند.در تشخيص نفوذ بايد ابتدا درك صحيحي از چگونگي انجام حملات پيدا كرد. سپس بنابر درك بدست آمده، روشي دو مرحله اي را براي متوقف كردن حملات برگزيد. اول اين كه مطمئن شويد كه الگوي عمومي فعاليتهاي خطرناك تشخيص داده شده است. دوم اين كه اطمينان حاصل كنيد كه با حوادث مشخصي كه درطبقه بندي مشترك حملات نمي گنجند، به سرعت رفتار مي شود.به همين دليل است كه بيشتر سيستم هاي تشخيص نفوذ (IDS) بر مكانيزمهايي جهت بروزرساني نرم افزارشان متكي هستند كه جهت جلوگيري از تهديدات شبكه به اندازه كافي سريع هستند. البته تشخيص نفوذ به تنهايي كافي نيست و بايد مسير حمله را تا هكر دنبال كرد تا بتوان به شيوه مناسبي با وي نيز برخورد كرد.
 
انواع حملات شبكه اي با توجه به طريقه حمله
يك نفوذ به شبكه معمولا يك حمله قلمداد مي شود. حملات شبكه اي را مي توان بسته به چگونگي انجام آن به دو گروه اصلي تقسيم كرد. يك حمله شبكه اي را مي توان با هدف نفوذگر از حمله توصيف و مشخص كرد. اين اهداف معمولا از كار انداختن سرويس (DOS يا Denial of Service) يا دسترسي غيرمجاز به منابع شبكه است.
1-  حملات از كار انداختن سرويس
 در اين نوع حملات ، هكر استفاده از سرويس ارائه شده توسط ارائه كننده خدمات براي كاربرانش را مختل مي كند. در اين حملات حجم بالايي از درخواست ارائه خدمات به سرور فرستاده مي شود تا امكان خدمات رساني را از آن بگيرد. در واقع سرور به پاسخگويي به درخواستهاي بي شمار هكر مشغول مي شود و از پاسخگويي به كاربران واقعي باز مي ماند.

انجام پایان نامه 

پایان نامه

برای دیدن ادامه مطلب از لینک زیر استفاده نمایید

سفارش پایان نامه