انجام پایان نامه

درخواست همکاری انجام پایان نامه  بانک مقالات رایگان انجام پایان نامه

سفارش پایان نامه

|

انجام پایان نامه ارشد

 پایان نامه 

سفارش پایان نامه|شبكه هاي كامپيوتري
          


به غير از آدرسهاي نمادين همانند مثلهاي فوق (شبكه هاي خود مختار ) مي توانند در درون شبكه ، براي ماشينهاي خود از روشهاي نامگذاري اختصاصي استفاده كنند . در اين گونه شبكه ها يك ماشين مي تواند داراي دو نام متفاوت باشد ، يك نام با توصيف كامل مشهور به FQDN     مثل kiti.cs.ucsb.edu  و يك نام كوتاه شده مثل HPSS_KITI_510 (مشهور به UQDN ). آدرس نمادين اول در شبكه اينترنت معتبر است ولي نام دو نقطه درون شبكه اي قابل شناسايي است كه آن ماشين متعلق به آن است و كاربرد بيروني ندارد.
راه حل بسيار ساده اي براي ترجمه نامهاي نمادين به آدرس IP  وجود داشت و ان تعريف تمام نامها و آدرسهاي IP معادل، در يك فايل به نام hosts  بود .
بديهي است كه داشتن يك فايل متمركز و قرار دادن تمام نامها و آدرسها ومعادل آدرس IP در آن امروزه با حجم چند صد ميليوني آدرسها در اينترنت امكان پذير نيست و سالهاست از روشي براي تبديل آدرسهاي نمادين به آدرسهاي IP  استفاده مي شود كه DNS  نام دارد.
DNS  يا سيستم نامگذاري حوزه روشي سلسلسه مراتبي است كه بانك اطلاعاتي مربوط به نامهاي نمادين و معادل IP  انها را روي كل شبكه اينترنت توزيع كرده است و هر ايستگاه مي تواند در يك روال منظم و سلسله مراتبي آدرس IP معادل با ايستگاه مورد نظرش را در هر نقطه از شبكه پيدا كند ؛ اين سيستم در سال 1984 معرفي شد.
براي تحليل يك نام حوزه ، سطح از سمت راست به چپ تفكيك و در يك روند سلسله مراتبي ، سرويس دهنده متناظر با آن سطح (مدير سطح ) پيدا مي شود . فعلا" از بالاترين سطح كه در سمت راست نام حوزه قرار مي گيرد مثل ( .COM، EDU، .NETو ...) شروع مي كنيم . نامهاي حوزه به چندين منطقه عمومي و فرا جغرافيايي و حدود صد و اندي منطقه كشوري تقسيم بندي شده است . حوزه بدين معناست كه شما با يك نگاه ساده به انتهاي آدرس نمادين ، مي توانيد ماهيت آن نام و سرويس دهنده متناظر با ان را حدس بزنيد . يعني اگر انتهاي نامهاي حوزه متفاوت باشد منطقه جستجو براي يافتن آدرس IP معادل نيز متفاوت خواهد بود . مهمترين حوزه هاي عمومي كه بيشتر آنها سه حرفي و مشهور به TLD هستند عبارتند از :
.COM، صاحب اين نام جزو مؤسسات اقتصادي و تجاريبه شمار مي آيد.(commercial)
.edu صاحب اين نام جزو مؤسسات علمي يا دانشگاهي به شمار مي آيد .( educational)
.gov اين مجموعه ازنامها براي آژانسهاي وابسته به دولت (عموما" آمريكا ) اختصاص داده شده است.(government)
.int صاحب اين نام يكي از سازمانهاي بين المللي (مثل يونسكو، يونيسف ، فائو و ...) محسوب مي شود.(international) مثل www.unicef.int
.mil صاحب اين نام يكي از سازمانهاي نظامي دنيا به شمار مي آيد . ( military)
.net صاحب نام جزو يكي از (ارائه دهندگان خدمات شبكه ) به شمار مي آيد .
.org صاحب نام جزو يكي از سازمانهاي عان المنفعه و غير انتفاهي محسوب مي شوند.




امنيت شبكه    
امنيت يك موضوع گسترده است و موارد متعدي را در برمي گيرد . شكل ساده اش اين است كه افراد فضول نتوانند پيام هاي ارسالي به ديگران را بخوانند يا ان را تغيير دهند . عدم دستيابي مردم به خدمات راه دوري كه به ديگران ارسال مي شود، از موضوعات امنيتي است. اغلب مسائل امنيتي ، توسط افراد مغرضي به وجود مي آيد كه سعي مي كنند سود ببرند بعضي از افرادي كه به امنيت آسيب مي رسانند در شكل.................. آمده اند. از اين شكل مشخص مي شود كه امنيت شبكه فراتر از نوشتن برنامه هاي عاري از خطا است .
مهاجم    هدف
دانشجو    بر روي پست الكترونيكي مردم مخفيانه اثر مي گذارد.
سارق داده ها    به سيستم امنيتي مردم دست مي يابد؛ داده ها مي دزدد.
فروشنده    ادعا مي كند كه نه تنها نمايندگي اروپا بلكه آن دو را نيز دارد.
تاجر    استراژي بازاريابي رقيب را به دست مي آورد.
كارمند اخراجي    چون اخراج شد ، سعي مي كند انتقام بگيرد.
حسابدار    پولي را از شركتي اختلاس مي كند
كارگزار بورس    قولي كه با پست الكترونيكي به مشتري داده است تكذيب مي كند.
جاسوس    قدرت نظامي ارتش را كشف مي كند.
تروريست    رازهاي آغاز جنگ هسته اي را مي دزدد.

مشكلات امنيتي شبكه به چهار ناحيه تقسيم مي شود : پنهان كاري ، تأييد ، پذيرش و كنترل صحت.
اكنون جايي را كه امنيت شبكه بايد در سلسله مراتب قراردادهاي شبكه قرار گيرد مورد بررسي قرار مي دهيم. احتمالاً امنيت در يك محل برقرار نمي شود . هر لايه چيزهايي براي توزيع دارد. در لايه فيزيكي ، استراغ سمع را مي توان با محصور كردن خطوط انتقال در لوله هاي مهموري كه حاوي گاز آرگون با فشار زياد است . برطرف كرد. سوراخ كردن لوله منجر به آزاد شدن گاز مي شود و موجب كاهش فشار شده بعضي از سيستم هاي نظامي از اين تكنيك استفاده مي كنند.
در لايه پيوند داده ها ، سيستم را مي توان در خط نقطه به نقطه در منبع رمزگذاري كرد و در مقصد از حالت رمز خارج كرد . تمام اين جزئيات را طوري مي توان در لايه پيوند داده ها انجام داد كه لايه هاي بالاتر از آن بي خبر باشند. وقتي بسته ها مجبوراند از چندين مسيرياب عبور كنند، اين راه حل با شكست مواجه مي شود، زيرا بسته ها در هر مسيرياب بايد از حالت رمز خارج شوند ، همچنين اجازه نمي دهد بعضي از تماس ها حفاظت شده باشد با اين وجود رمز گذاري پيوند را مي توان به هر شبكه ي اضافه كرد و معمولاً مفيد واقع مي شود.
در لايه شبكه مي توان حفاظ را نصب كرد تا بسته هاي خوب نگهداري و بسته هاي بد حذف شود . امنيت IP نيز به همين صورت عمل مي كند.
در لايه انتقال كل اتصال ها را مي توان از انتها به انتها ، يعني فرآيند به فرآيند رمز نگاري كرد. براي بيشترين امنيت ، نياز به امنيت انتها به انتها  است.
به جز امنيت در لايه فيزيكي ، تقريباً تمام امنيت ها بر اساس قواعد رمز نگاري اند .
رمز نگاري
رمز نگاري از واژه هاي يوناني به معناي «نوشتن رمزي» گرفته شده است . متخصيصين ، بين رمزها و كدها تفاوت قائل اند . رمز تبديل كاراكتر براي كاراكتر يا بيت براي بيت است كه مورد استفاده قرار نمي گيرد.
دو اصل اساسي رمز نگاري
اصل افزونگي
اصل اول اين است كه تمام پيام هاي رمز شده بايد حاوي افزونگي باشند، يعني حاوي اطلاعاتي باشند كه براي درك پيام ضروري نباشد. در نگاه اول ، اين كار ممكن است سري به نظر برسد، زيرا مهاجمين غير فعال نمي توانند اين پيام را كشف كنند . اين روش عيب هايي نيز دارد كه ان را بلااستفاده مي نمايد . بنابراين ، اصل اول رمز نگاري اين است كه هر پيام بايد حاوي اضافاتي باشد تا مهاجمين ، پيام نادرستي به گيرنده نفرستند . اين اضافات موجب مي شود كه مهاجمين غير فعال به راحتي نتوانند رمز را كشف كنند ، لذا كشمكش هايي در اين جا وجود دارد . علاوه بر اين اضافات نبايد به صورت N عدد صفر در ابتدا يا انتهاي پيام باشد، زيرا اجراي اين پيام ها از طريق الگوريتم هاي رمز نگاري منجر به نتايج قابل پيش بيني مي شود و كار كشف رمز را ساده مي كند.
اصل تازگي
فصل دوم رمزنگاري اين است كه معيارهايي انتخاب كرد كه مهاجمين فعال نتوانند پيام هاي قديمي را ارسال كنند. و در واقع روشي براي خنثي كردن حملات پاسخ وجود داشته باشد. يكي از اين معيارها اين است كه هر پيام داراي مهر زمان باشد و مثلاً به مدت 10ثانيه معتبر باشد. سپس گيرنده مي تواند پيام ها را به مدت 10ثانيه نگهداري كند تا پيام هايي را كه اخيراً رسيدند با پيام هاي قبلي مقايسه نمايند و تكراري ها را مشخص كند . پيام هاي قديمي تر از 10ثانيه را مي توان ناديده گرفت . زيرا هر پاسخي كه بعد از 10ثانيه ارسال شود، ناديده گرفته خواهد شد.

امضاهاي ديجيتال
صحت بسياري از اسناد حقوقي ، مالي و اسناد ديگر ، با وجود امضاي دست نويس مشخص مي شود . فتوكپي مورد قبول نيست . براي سيستم هاي پيام كامپيوتري كه بايد جايگزين انتقال فيزيكي اسناد كاغذي يا جوهري شود . بايد راه حلي براي اين مشكل پيدا كرد.
يافتن جايگزين براي امضاي دست نويس ، مشكل است . نياز به سيستمي است كه در آن ،يك طرف بتواند پيام امضا شده اي را به طرف ديگر بفرستد، به طوري كه :
1.    گيرنده بتواند هويت فرستنده را كنترل كند.
2.    فرستنده بعداً نتواند متن پيام را تكذيب كند.
3.    گيرنده نتواند خودش پيام را سرهم كند و ادعا كند كس ديگري آن را ارسال كرد.
خواسته اول در سيستم هاي مالي لازم است وقتي كامپيوتر مشتري به كامپيوتر بانك سفارش خريد يك تن طلا را مي دهد، كامپيوتر بانك بايد بتواند مطمئن شود كامپيوتري كه سفارش مي دهد ، متعلق به شركتي است كه بايد به حسابش گداشته شود.
خواسته دوم  ضرورت دارد تا بانك را در مقابل كلاهبرداري محافظت كند . فرض كنيد بانك يك تن طلا مي خرد و فوراً قيمت طلا كاهش مي يابد . وقتي بانك پيام را به دادگاه مي برد ، مشتري مي گويد چنين پيامي را ارسال نكرده است . اين خاصيت كه هيچ ازدو طرف معامله نتواند پيام خود را تكذيب كند ، عدم تكذيب نام دارد.
خواسته سوم نيز براي حفاظت مشتري در بعضي از رويدادها لازم است.فرض كنيد بانك يك تن طلا مي خرد و قيمت طلا بسيار افزايش مي يابد . بانك مي تواند پيامي را جعل كند كه در ان مشتري به جاي سفارش يك تن طلا، يك قطعه طلا را سفارش داده باشد.

امنيت IP
IETF سال ها مي دانست كه امنيت در اينترنت وجود ندارد. ايجاد امنيت ساده نيست ، زيرا محل ايجاد امنيت مورد بحث است. اغلب خبرنگاران امنيت اعتقاد دارند كه امنيت بايد برقرار شود و رمزنگاري كنترل صحت بايد صورت گيرد(در لايه كاربرد). يعني فرآيند منبع داده ها را رمزنگاري و حفاظت مي كند و به فرآيند مقصد مي فرستد. داده ها در فرآيند مقصد رمزگشايي و وارسي مي شوند. هرگونه تغييردر داده ها ، از جمله در سيستم عامل ، قابل كشف شدن است . مشكل اين روش اين است كه رمز نگاري در لايه انتقال يا در لايه جديدي بين لايه انتقال و لايه كاربرد انجام مي شود. اين كار مستلزم تغيير در برنامه هاي كاربردي نيست.
ديدگاه مقابل اين است كه كاربران امنيت را نمي فهمند و قادر به استفاده درست از آن نيستند و هيچ كس حاضر نيست برنامه هاي موجود را تغيير دهد . لذا لايه شبكه جاي مناسبي است و بايد بسته ها را رمزنگاري كند و كاربر دخالتي نداشته باشد. اين ديدگاه پس از سالها برنده شد و استانداردهاي امنيتي تعريف شدند . با انجام رمزنگاري در لايه شبكه ، براي كاربراني كه از امنيت اگاهي دارند مشكلي به وجود نمي آيد و به كاربراني كه از امنيت آگاهي ندارد كمك مي كند.
طراحي كامل امنيت IP چهارچوبي براي چندين خدمات ، الگوريتم ها و گرانوليته ها است وعلت خدمات چندگانه اين است كه هيچ كس نمي خواهد هزينه تمام خدمات در تمام زمان ها را بپردازد . اصلي ترين خدمان عبارت اند از : امنيت ، صحت داده ها و حفاظت از حملات (مهاجمين مي توانند محاوره را دريافت و با تغييراتي ارسال كنند ). تمام اين ها بر اساس رمزنگاري كليد متقارن مي باشند ، زيرا كارايي اهميت ويژه اي دارد . علت وجود چندين الگوريتم اين است كه الگوريتمي كه فعلاً امن است ، ممكن است در آينده شكسته شود. اگر الگوريتم هاي امنيت IP مستقل باشند ، حتي اگر الگوريتمي بعداً شكسته شود ، چارچوب زنده مي ماند .
امنيت IP در دو حالت مي تواند به كار رود. در حالت انتقال ، سرآيند امنيت IP بلافاصله پس از سرآيند IP قرار مي گيرد. فيلد قرارداد در سرآيند IP تغيير كرد تا نشان دهد كه يك سرآيند امنيت IP پس از سرآيند IP عادي قرار گرفته است ( قبل از سرآيند TCP) . سرآيند امنيت IP حاوي اطلاعات امنيتي ، شناسه SA شماره ترتيب جديد و احتمالاً كنترل صحت بار مفيد است.
در حالت تونل ، كل بسته IP سرآيند و بقيه در بدنه بسته IP جديدي بسته بندي مي شوند كه سرآيند IP آن كاملاً جديد است . حالت تونل وقتي مفيد است كه تونل در جايي غير از مقصد نهايي خاتمه مي يابد: در بعضي موارد ، انتهاي تونل يك ماشين دروازه امنيتي ، مثل حفاظ يك شركت است . در اين حالت ، حفاظ بسته ها را بسته بندي يا آن ها را از بسته بندي خارج مي كند . با خاتمه تونل در اين ماشين امن ، با ماشين هاي موجود در LAN شركت نبايد از امنيت IP باخبر باشند . فقط حفاظ بايد از آن اطلاع داشته باشد.
وقتي مجموعه اي از اتصال ها TCP مجتمع مي شوند و به صورت يك جريان رمزنگاري شده اداره مي شوند، حالت تونل مفيد واقع مي شود .زيرا مانع از اين مي شود كه مهاجم بتواند تشخيص دهد چه كسي چند بسته را به چه كسي مي فرستد گاهي اطلاع از ميزان ترافيك نيز مهم است.
اولين سرآيند جديد ، AH(سرآيند تائيد) است . اين سرآيند كنترل صحت و امنيت استراق سمع را ايجاد مي كند ولي سري سازي (رمزنگاري داده ها) را تدارك نمي بيند . استفاده ازAH در حالت انتقال در شكل نمايش داده شده است.
بررسي فرآيند AH
فيلد سرآيند بعدي ، براي ذخيره كردن مقدار قبلي فيلد قرارداد IP به كار مي رود(قبل از اينكه با 51جايگزين شود تا نشان دهد كه سرآيند AH وجود دارد). در بسياري از موارد كد مربوط به TCP يعني 6 در اين جا قرار مي گيرد. فيلد طول بار مفيد ، 2واحد كمتر از تعداد كلمات 32 بيتي در سرآيند AH است . انديس هاي پارامترهاي امنيتي ، شناسه اتصال است. فرستنده آن را درج مي كند تا ركورد خاصي را در بانك اطلاعاتي گيرنده نشان دهد. اين ركورد حاوي كليد مشتركي است كه در اين اتصال استفاده شد و حاوي اطلاعات ديگري راجع به اتصال است. اگر اين قرارداد را به جاي IETF توسط ITU كشف مي شد اين فيلد به نام شماره مدار مجازي خوانده مي شود.
فيلد شماره ترتيب براي شماره گذاري بسته هايي به كار مي رود كه در SA ارسال شدند. هربسته شماره منحصر به فرد مي گيرد حتي در انتقال مجدد بسته نيز شماره منحصر به فرد به آن نسبت داده مي شود به عبارت ديگر شماره انتقال مجدد يك بسته با شماره بسته اصلي متفاوت خواهد بود حتي اگر شماره ترتيب TCP آن يكسان باشد . هدف ازاين فيلد تشخيص استراغ سمع است اين شماره ها به ترتيب ممكن است چرخشي نباشند اگر تمام شماره استفاده شود SA جديدي بايد برقرار شود تا به ارتباط ادامه دهد.
داده هاي تائيد يك فيلد طول متغير است كه حاوي امضاي ديجيتال بار مفيد است وقتي SA  برقرار شد دو طرف بر سر الگوريتم امضا با هم مذاكره مي كنند. معمولاً در اينجا از رمز نگاري كليد عمومي استفاده نمي شود زيرا بسته ها بايد با سرعت زيادي منتقل شوند و الگوريتم هاي كليد عمومي بسيار كند هستند .چون امنيت IP براساس رمزنگاري كليد متقارن است و فرستنده و گيرنده قبل از برقراري Sa برسر كليد مشترك مذاكره كردند. در محاسبات امضا از كليد مشترك استفاده مي شود يك راه ساده محاسبه درهم سازي برروي بسته و كليد مشترك است البته كليد مشترك منتقل نمي شود  اين الگو HMAC كد تائيد پيام درهم سازي شده نام دارد و محاسبه خيلي سريعتر از اجراي SHA-1 و سپس اجراي RSA بر روي نتيجه حاصل است .
سرآيند AH رمز نگاري داده ها را اجازه نمي دهد لذا وقتي نياز به كنترل صحت باشد ولي نياز به سري بودن نباشد مفيد واقع مي شود يك خاصيت مهم AH اين است كه كنترل صحت بعضي از فيلدهاي سرآيند IP را تحت پوشش قرار مي دهد اين فيلد ها آن هاي هستند كه هنگام انتقال بسته ها از مسيريابي به مسيرياب ديگر تغيير نمي كند به عنوان مثال چون طول عمر در هر جهش تغيير مي كند نمي تواند در كنترل صحت گنجانده شود اما آدرس منبع IP در كنترل صحت گنجانده مي شود  تا مهاجم نتواند منبع بسته را مختوش كند.
سرآيند ديگر امنيت IP به نام ESP (بسته بندي بار مفيد امنيتي) خوانده مي شود .سرآيند ESP از دو كلمه 32بيتي تشكيل شده است اين ها فيلدهاي انديس پارامترهاي امنيتي و شماره ترتيب هستند كه در AH ديديد كلمه سوم كه بعد از ان ها مي آيد (ولي از نظر تكنيكي بخشي از سرآيند نيست) بردار ارزش دهي اوليه است كه براي رمز نگاري داده ها به كار مي رود اگر از رمز نگاري تهي استفاده شود اين فيلد حذف خواهد شد .
ESP براي كنترل هاي صحتHMAC نيز در نظر گرفته شد اما به جاي اينكه در سرآيند درج شود پس از فيلد بار مفيد قراردارد. امتياز قراردادن HMAC د رانتها سهولت پياده سازي سخت افزاري آن است وقتي بيت ها از واسط شبكه عبور مي كنند مي توان HMAC را محاسبه كرد و در انتها قرار داد به همين دليل LANهاي اترنت CRC هاي خود را در انتها قرار مي دهند . در AH بسته بايد در  بافر ذخيره شود و امضا قبل از ارسال بسته محاسبه شود به اين ترتيب تعداد بسته هايي كه در هر ثانيه ارسال مي شوند كاهش مي يابد.
با توجه به اينكه ESP تمام كارهاي AH را نمايش مي دهد و كارآمدتر از آن است اين پرسش مطرح مي شود چرا از AH استفاده شود؟ پاسخ به سابقه برمي گردد. ابتدا AH فقط صحت و ESP فقط امنيت را ارائه كرد بعداً صحت به ESP اضافه شد ولي افرادي كه AH را طراحي كردند نخواستند شاهد مرگ AH باشند تنها بحث آنها اين است كه AH بخشي از سرآيند IP را بررسي مي كند كه ESP بررسي نمي كند اما اين بحث ضعيف است بحث ضعيف ديگر اين است كه محصولي از AH پشتيباني مي كند ولي از ESP پشتيباني نمي كند در اخذ مجوز صادرات مشكل كمتري دارد زيرا فاقد رمز نگاري است AH ممكن است در آينده از بين برود .




ديوار آتش
ديوار آتش سيستمي است كه در بين كاربران يك شبكه محلي و شبكه بيروني (مثلا" اينترنت ) قرار مي گيرد و ضمن نظارت بر دسترسيها ، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد در اين سيستم هر سازمان يا نهادي كه بخواهد ورود و خروج اطلاعات شبكه اش را كنترل كند موظف است تمام ارتباطات مستقيم شبكه داخلي خود را با دنياي خارج قطع كرده  هر گونه ارتباط با دنياي خارج صرفا" از طريق يك دروازه انجام گيرد.
معايب استفاده از يك ديوار :
بسته هاي IP قبل از مسيريابي روي شبكه اينترنت ابتدا وارد ديوار آتش مي شوند و منتظر مي مانند تا طبق معيارهاي حفاظتي و امنيتي پردازش شوند.  از پردازش و تحليل بسته سه حالت ممكن است اتفاق بيفتد :
الف) اجازه عبور بسته صادر شود .
ب) بسته حذف گردد.
ج) بسته حذف شده و پاسخ مناسب به مبدأ آن بسته داده شود .
در حقيقت ديوار آتش محلي است براي ايست و بازرسي بسته هاي اطلاعاتي به گونه اي كه بسته ها بر اساس تابعي از قواعد امنيتي و حفاظتي ، پردازش شده و براي  آنها مجوز عبور يا عدم عبور صادر شود .
همانطور كه همه جا عمليات ايست و بازرسي وقتگير است ديوار آتش هم به عنوان يك گلوگاه (BOTLLENECK) مي تواند منجر به بالا رفتن ترافيك ، تأخير ، ازدحام و نهايتا" بن بست در شبكه شود.(بن بست زماتي است كه بسته ها آنقدر در حافظه ديوار آتش معطل مي شوند تا طول عمرشان تمام شده و فرستنده اقدام به ارسال مجدد آنها كرده اند و اين كار به طور متنناوب تكرار شود) . به همين دليل ديوار آتش نياز به طراحي صحيحي و دقيق دارد تا از حالت گلوگاهي خارج شود .(تأخير در ديوار آتش مجموعا" اجتناب پذير است فقط بايستي به گونه اي باشد كه بحران ايجاد نكند ).
مباني طراحي ديوار آتش
از آنجايي كه معماري شبكه به صورت لايه به لايه است ، در مدل TCP/IP براي انتقال يك واحد اطلاعات از لايه چهارم بر روي شبكه ، داده بايد تمام لايه ها را بگذرانند و هر لايه براي انجام وظيفه خود تعدادي از فيلد مشخص به ابتداي بسته اطلاعاتي اضافه كرده و آن را تحويل لايه زيرين مي دهد. قسمت اعظم كار يك ديوار آتش تحليل فيلدهاي اضافه شده در هر لايه وسرآيند هر بسته است . در بسته اي كه وارد ديوار آتش مي شود به تعداد لايه ها (4لايه ) سرآيند متفاوت وجود خواهد داشت . مجموعه اين سرآيندها شناسه ها و هويت داده را تعيين مي كنند . معمولا" سرآيند لايه اول (لايه فيزيكي يا NET WORK) درشبكه اينترنت اهميت چنداني ندارد چرا كه محتواي اين فيلدها فقط روي كانال فيزيكي از شبكه محلي معنا دارند و در گذر از هر شبكه يا مسيرياب اين فيلدها عوض خواهند شد بيشترين اهميت در سرآيند لايه هاي دوم ، سوم و چهارم و نهايتا" محتواي داده ها است :
در لايه شبكه ديوار آتش فيلدهاي بسته IP  را پردازش و تحليل ميكند.
در لايه انتقال ديوار آتش فيلدهاي بسته TCP يا UDP را پردازش و تحليل مي كند.
    در لايه كاربرد ديوار آتش فيلدهاي سرآيند و همچنين محتواي خود داده ها را بررسي مي كند .(مثلا" سرآيند ومحتواي يك نامه الكترونيكي يا يك صفحه وب مي تواند مورد بررسي قرار گيرد.)
با توجه به لايه لايه بودن معماري شبكه ناگزير يك ديوار آتش نيز لايه به لايه طراحي مي شود.
اگر يك بسته در يكي از لاهه هاي ديوار آتش شرايط عبور را احراز نكند همانجا حذف شده و به لايه هاي بالاتر ارجاع داده نمي شود بلكه اين امكان وجود دارد كه آن بسته جهت پيگيري هاي امنيتي نظير ثبت و عمل و رد گيري ، به سيستمي جانبي تحويل داده شود.
سياست امنيتي يك شبكه مجموعه اي متناهي از قواعد امنيتي است كه بنابر ماهيتشان در يكي از سه لايه ديوار آتش تعريف مي شوند .
قواعد تعيين آدرسهاي ممنوع در اولين لايه از ديوار آتش (لايه بررسيهاي IP و پروتوكل هاي جانبي مثل ICMP، ARPو نظاير آن)
قواعد بستن برخي از سرويسها مثل TELNET يا FTP و پروتوكل هاي جانبي)
قواعد تحليل سرآيند و متن پيام هاي لايه كاربرد مثل يك نامه الكترونيكي يا صفحه وب در لايه سوم از ديوار آتش
لايه اولي ديوار آتش : لايه اول در ديوار آتش بر اساس بسته IP و فيلدهاي سرايند اين بسته كار مي كند ، در هر بسته IP فيلدهاي زير قابل نظارت و بررسي هستند :
آدرس مبدأ : برخي از ماشينهاي داخل يا خارج شبكه با آدرس IP  خاص (حق دريافت) بسته نداشته باشند و بسته هاي آنها به محض ورود به ديوار آتش حذف شود.
آدرس مقصد : برخي از ماشينهاي داخل يا خارج شبكه با آدرس IP  خاص (حق دريافت ) بسته نداشته باشند و بسته هاي انها به محض ورود به ديوار آتش حذف شود.
شماره شناسايي يك ديتاگرام: بسته هايي كه متعلق به يك ديتا گرام خاص هستند يا قطعه قطعه شده اند .
شماره پروتوكل : بسته هايي كه متعلق به پروتوكل خاصي در لايه بالاتر هستند مي تواند حذف شود.
زمان حيات بسته :
بسته هايي كه بيش از تعداد مشخصي مسيرياب (Hop) را طي كرده اند مشكوك هستند و مسئول ديوار آتش قابل بررسي هستند .

لايه دوم ديوار آتش
در اين لايه براي تحليل بسته ها از فيلدهاي سرآيند لايه انتقال استفاده مي شود .
عمومي ترين فيلدهاي بسته هاي لايه انتقال جهت بازرسي در ديوار آتش ، عبارتند از :
شماره پورت پروسه مبدأ و شماره پورت پروسه مقصد : با توجه به آنكه پورتهاي استاندارد ، شناخته شده و جهاني هستند ممكن است مسئول امنيت شبكه بخواهد سرويس ftp(انتقال فايل) فقط در محيط شبكه محلي در اختيار باشد و براي تمام ماشينهاي خارجي اين سرويس مسدود شود ديوار آتش مي تواند بسته هاي tcp با شماره پورت 20و 21 (مربوط به ftp) كه قصد ورود يا خروج از شبكه را دارند . حذف كند . يكي ديگر از سرويس هاي خطرناك كه ممكن است مورد سوء استفاده قرار گيرد telnet است كه مي توان براحتي پورت 23 را مسدود كرد
لايه سوم ديوار آتش:
در اين لايه حفاظت بر اساس نوع سرويس و برنامه كاربردي انجام مي شود . يعني با در نظر گرفتن پروتوكل لايه در لايه چهارم به تحليل داده ها مي پردازد .تعداد سرآيندها در اين لايه ، بسته به نوع سرويس الكترونيكي ، سرويس ftp ، سرويس وب و....) بايد يك سلسه پردازش و قواعد امنيتي مجزا تعريف شود و به همين دليل حجم و پيچيدگي پردازش در لايه سوم زياد است .

اجزاي جانبي يك ديوار آتش:
ديوار آتش يك سيستم امنيتي است كه سياستهاي مسئول شبكه را پياده و اعمال مي كند. بنابراين ديوار آتش بايستي از طريق يك ورودي سهل و راحت قواعد را از مسئول شبكه دريافت نمايد و همواره فعاليتهاي موجود روي شبكه را به مسئول بكه گزارش بدهد . به همين دليل معمولا" يك سيستم ديوار آتش داراي اجزاء ذيل است:
واسط محاوره اي ساده ورودي /خروجي: براي تبادل اطلاعات و سهولت در تنظيم قواعد امنيتي و ارائه گزارش ، از سيستم ديوار آتش است تا جم پردازش اضافي روي سيستم تحميل نكند يعني معمولا" ديوار آتش داراي دستگاهي به عنوان صفحه نمايش نيست بلكه از طريق وصل يك ابزار جانبي مثل يك ترمينال ساده يا يك كامپيوتر شخصي ، فرمان مي گيرد گزارش مي دهد.
سيستم ثبت : براي بالاتر بردن ضريب امنيت و اطمينان درشبكه ، ديوار آتش بايد بتواند حتي در هرگونه حمله يا نفوذ بتوان مسئله را پيگيري كرد. در يك ديوار آتش ، كاري كه سيستم ثبت مي تواند انجام بدهد آن است كه مبدأ و مقصد بسته هاي خروجي و ورودي ، شماره پورتهاي مبدأ و مقصد ، سرآيند يا حتي محتواي پيام در لايه كاربرد ر ( براي تمام مبادلات خارج از شبكه محلي ) ذخيره كند و لحظه به لحظه مبادله اطلاعات تمام كاربران و حتي مسئول شبكه را در فايلي درج نمايد . اين اطلاعات مي تواند به عنوان سندي بر عليه فرد خاطي استفاده شود يا به يافتن كسي كه در خارج از شبكه مشغول اخلال گري است كمك كند.
سيستم هشدار دهنده
در صورت بروز هرگونه مشكل يا انتقال مشكوك ، ديوار آتش مي تواند مسئول شبكه را مطلع و در صورت لزوم كسب تكليف كند . عمليات مشكوك در هر سه لايه تعريف مي شود: مثل تقاضاي ارتباط با آدرسهاي IP مسدود ، آدرسهاي پورت مسدود ، اطلاعات مشكوك در لايه كاربرد (صفحات وب يا نامه هاي حاوي كلمات و عبارات مشكوك).
راه حل نهايي
با تمامي نظارتي كه بر تردد بسته هاي اطلاعاتي حين ورود يا خروج از شبكه ميشود باز هم مي توان زيركانه از مرز ديوار آتش عبور كرد و بهترين حفاظت براي جلوگيري از فاش شدن اطلاعات محرمانه به دنياي خارج ، نابود كردن خط ارتباطي به شبكه دنياي خارج است ، چرا كه مي توان اطلاعات سري را رمز و فشرده كرد و آن را به عنوان بيت كم ارزش از نقاط تصوير يك گل رز به عنوان كارت پستال تبريك سال نو ارسال نمود.در حقيقت سيستم ديوار آتش فقط يك ابزار محدود كننده است و اطمينان صد در صد ندارد .
 
منابع و ماخذ:

كتاب شبكه هاي كامپيوتري و اصول مهندسي اينترنت

.

 .

انجام پایان نامه

برای دیدن ادامه مطلب از لینک زیر استفاده نمایید

انجام پایان نامه | دانلود مقاله

سفارش پایان نامه