همبستگي بين رخدادها را مي‏توانيم بر اساس تكنيكهاي زير انجام دهيم:

– علّت‏يابي بر اساس نقش      (Rule – based Roasoming)

– علّت‏يابي بر اساس مدل       (Model – based Roasoming)

– علّت‏يابي بر اساس حالت و وضع       (Case – based Roasoming)

– مدل همبستگي كتاب كد    (Code book Corre lation Model)

– مدل گراف انتقال حالت      (State Transition Graph)

– مدل ماشين حالت محدود    (Finite State Machine Model)

(305) مديريت امنيت

مديريت امنيت هم از لحاظ تكنيكي و هم از جنبه ملاحظات مديريتي و اجرائي در مديريت اطلاعات مي‏باشد. مديريت امنيت متقاضي و خواهان امنيت داشتن دسترسي به شبكه و اطلاعات در جريان شبكه، دسترسي به داده‏هاي ذخيره شده در شبكه و دستكاري داده‏هاي ذخيره شده و در گردش سرتاسر شبكه است.

نواحي مرتبط ممكن است كه داراي ارتباطات سري با محلهاي ديگر باشند كه در اين بين يك مزاحم ممكن است ميان پيامها حائل شده و به طور زيركانه تراكنش را مبادله كند و يا از آنها استفاده و فايده ببرد و يا به چيزهاي ارسال دريافت مشخص صدمه وارد كند.

ما چهار نوع تهديد امنيتي در مديريت شبكه داريم:

تغيير و تبديل اطلاعات، تغيير قيافه (masquerade)، عوض نمودن جريان پيامها، افشاء آنها در پياده‏سازي زير سيستم‏هاي امنيتي در نماينده (موتورهاي اعتبار و مقتدر) و در مدير (موتورهاي نامعتبر و نامقتدر) به كار برده مي‏شوند. زير سيستم امنيت SNMP V3 بر اساس مدل امنيت بر مبناي كاربر (كاربرگرا) است (user – based security Model = USM) كه آن داراي 2 ماژول است.

1- ماژول اعتبار        2- ماژول اختفاء (privacy)

قبلاً به اصلي بودن و بي‏نقص بودن داده توجه نمودند در حالي كه بعداً به محرمانه بودن داده، message timelines و محدود نمودن محافظت داده اهميت دادند.

در مديريت امنيت ما نيازمند چيزهايي همانند سياستها و رويه‏ها، منابعي كه براي پيشگيري از شكافهاي امنيتي مورد استفاده قرار مي‏گيرند و محافظت شبكه از حمله نرم‏افزارها هستيم و با توجه به گستردگي موضوع و استفاده مي‏توان براي دستيابي به اطلاعات بيشتر روي زير موضوعات و مراجع زير جستجو كرد.

[Cooper – Kaufman – pelman & speciner , Leinwand & conroy , wach & carnahan , RFC 2196]

(30501) وريه‏ها و سياستها

گروه كاري IETF ، RFC 2196 را توليد كرد كه يك سياست امنيتي را تعريف مي‏كند و يك سياست هم دسترسي داشتن و هم شكافهاي امنيتي را مشخص مي‏كند. دسترسي به اشخاصي كه اجازة دارا بودن اطلاعاتي از منابع شبكه را دارند، مربوط مي‏شود مديريت SNMP اين ارتباط و همبستگي را براي سياست دسترسي به اطلاعات مديريت شبكه مشخص كرده است سياست دسترسي ممكن است به كارمندان، اجازه دسترسي داشتن كامل به شبكه را بدهد در حالي كه در بيشتر موارد فردي نيست كه به اطلاعات كل شبكه دسترسي داشته باشد. پس ما بايد يك حساب (account) براي دسترسي كارمندان روي كاربردهاي ويژة روي ميزبانها ايجاد نمائيم. اين سياست كلي حاكم بر حسابها بايد نوشته شده و در اختيار تمامي كارمندان قرار گيرد.

به هر حال بايد از ورودي‏هاي غيرقانوني و غيرمجاز به سيستم و دسترسي به شبكه بايد محافظت انجام گيرد و سياستها و رويه‏هاي پوشش مديريت امنيت به صورت توزيعي انجام مي‏گيرند (RFC 2196) كه مركز امنيت كامپيوترهاي بين‏المللي (NCSC) طراحي براي كامپيوترها و تعيين چهارچوب ليست كردن سياستها را بيان نموده است كه بروي شاخصهاي طراحي امنيت براي انواع كامپيوترها بنا نهاده شده است.

راههاي اساسي در ليست آپ (نصب) رويه‏ها و سياستها به شرح زير است:

  • شناسايي آنچه كه مي‏خواهيم از آن محافظت كنيم.
  • تعريف نمودن چيزهايي كه مي‏خواهيد در مقابل (از) آنها محافظت را انجام دهيد.
  • تعريف نمودن چگونگي تهديد
  • پياده‏سازي نمودن اندازه‏گيري‏هايي كه از ادعا و خواسته‏هاي مورد نظر به طور مؤثر از نظر هزينه محافظت مي‏كند.
  • بازنگري پردازشها به طور مستمر و بهبود بخشيدن در صورت پديدار شدن عيب و نقص

دارائي و سرمايه‏هايي كه نيازمند محافظت هستند را ليست مي‏كنيم كه شامل سخت‏افزار – نرم‏افزار – داده – مستندات، منابع (Supplies) و مردمي كه توانائي پاسخگوئي به آنها را دارند، را مي‏شود.

تهديدهاي معمول عبارتند از: دسترسي غيرمجاز به منابع و يا اطلاعات، قصد غيرمجاز فاش كردن اطلاعات تكذيب و انكار سرويس.

تكذيب و عدم پذيرش يك سرويس از سريهاي حمله به شبكه است زيرا شبكه حالتي را به خود مي‏گيرد كه نمي‏تواند داده‏هاي شروع كاربران را به طور مناسب حمل كند. سرويس‏ها مي‏توانند يا با حمله به مسيريابها يا به وسيله درگير نمودن شبكه با ترافيك غيراصلي و خارجي عمل تكذيب و انكار را انجام دهند.

(30502) شكافهاي امنيتي و منابع نيازمند امنيت

در اين قسمت در مورد شكافهاي امنيتي كه به وسيله كوشش براي دسترسي به داده، سيستم و منابع نيازمند محافظت از آنهاست ايجاد مي‏شود، سخن خواهيم گفت.

شكل 307 يك شبكه ارتباطاتي سيري را نشان مي‏دهد كه در حقيقت يك اسم بي‏مسما است آن يك سيستم سري كامل در جهان واقعي نيست و فقط سيستم‏هايي هستند كه سخت و با صرف زمان درون آنها شكسته مي‏شود كه توضيح خواهيم داد. در شكل 307 دو شبكه با هم ارتباط برقرار مي‏كنند كه از طريق يك WAN كه يك مسيرياب دارد صورت مي‏گيرد خادم A و مخدوم A، نشان داده شده است كه با همديگر ارتباط دارند. مخدوم B در شبكه B با خادم A در شبكه A ارتباط برقرار مي‏كند.

حال نقاط شكست و شكاف امنيتي كه به حالت بالقوه وجود دارند را بررسي مي‏كنيم ميزبان در شبكه B ممكن است اجازه دسترسي به شبكه A را نداشته باشد يك درگاه ديوارة آتش براي غربال كردن ترافيك ورودي و يا خروجي از شبكه سري A استفاده مي‏شود اگر شبكه B به شبكه A دسترسي داشته باشد بعضي مزاحمها بمانند اشخاصي كه به مسيرياب در اين مسير دسترسي دارند جلوي پيامها را مي‏گيرند و محتواي پيامها مانند شناسه‏هاي مبدأ و مقصد را درستكاري و مانيتور مي‏كنند كه يك شكاف امنيتي است.

شكافهاي امنيتي در محيطهاي اينترانت و اينترنت به روشهاي گوناگوني مي‏تواند اتفاق بيافتد در بيشتر موارد مجوزها محدود به شناسه كاربر و كلمه عبور مي‏شود و مجوزها به يك حساب محدود مي‏شوند (همانند ثبت يك كاربرد روي ميزبان توسط شخص). كنار شكافهاي نرمال، حالتهاي مخصوصي است همانند زماني كه يك كارمند بدخلق و ناراحت يك برنامه ويرويس را در يك برنامه يا محصول قرار مي‏دهد كه اين گونه موارد نيز بايد محافظت شود.

(30503) ديواره‏هاي آتش

هدف اصلي از يك ديوارة آتش محافظت يك شبكه از حمله‏هاي خارجي است و آن ترافيك را براي درون و برون يك شبكه سري كنترل مي‏كند و مي‏تواند در يك مسيرياب، درگاه يا ميزبان ويژه‏‏اي پياده‏سازي شود. يك ديوارة آتش به طور طبيعي در موقعيت درگاه در شبكه قرار مي‏گيرد امّآ ممكن است همچنين در نقطه دسترسي به ميزبان واقع شود.

سالهاست كه پياده‏سازي ديوارة آتش انجام مي‏گيرد و خطرات ناشي از دسترسي به ميزبانها از طريق يك شبكه خارجي را كاهش مي‏دهد كه به وسيله فيلتر كردن سرويسهاي درون سيري است و مي‏تواند كنترلهايي را روي دسترسي به شبكه تهيه كند همانند اينكه بعضي از هاست‏ها (ميزبانها) يا قطعات شبكه اجازه دسترسي به بعضي از ميزبانها را دارند. امّآ محافظت از تهديدهاي خارجي به صورت متمركز و شفاف صورت مي‏گيرد كه آن اذيت كاربران دروني را كاهش مي‏دهد و اين تا زماني ادامه مي‏يابد كه كاربران خارجي كنترل شوند. براي محافظت از اختفاء نمودن در يك ديوارة آتش استفاده مي‏شود براي مثال سرويسي همانند يك يوتيلتي finger كه مي‏تواند اطلاعاتي را در مورد كارمندان به بيگانه‏ها و خارجي‏ها تهيه نمايد كه از دسترسي آنها به شبكه پيشگيري مي‏كنيم.

موقعي كه سياستهاي امنيتي در يك ديوارة آتش پياده‏سازي مي‏شود آن يك تسلسل از يك سطح بالاتر سياست سرويس دسترسي است كه به وسيله يك سرويس سرجمع (Concatenation) به بيرون فيلتر مي‏شود. براي مثال سرويسهاي did – in به طور كلي در سطح سياست سرويس رد و انكار مي‏شوند و ديوارة آتش سرويس‏هاي انتخاب شده همانند يوتيلتي finger را فيلتر مي‏كند. ديوارة آتش يا از فيلتر كردن بسته‏ها استفاده مي‏كند يا از درگاههاي سطح كاربرد همانند دو تكنيك اصلي كنترل ترافيك توصيف شده، استفاده مي‏نمايد.

فيلترهاي بسته

بسته‏ها بر اساس معيارهايي از مشخصات قرارداد عمل فيلتر كردن خود را انجام مي‏دهد. و در لايه‏هاي انتقال، شبكه و data link ، QSI انجام مي‏گيرد. فيلترهاي بسته در روي بعضي از مسيريابها پياده‏سازي مي‏شوند كه Screening routu يا packet filtering router ناميده مي‏شوند كه در اينجا از packet filtering router استفاده خواهيم كرد همانطور كه لايه انتقال در مسيريابها ديده نمي‏شود امّآ بعضي از فروشندگان آن را در مسيريابهاي ديوارة آتش اضافه مي‏كنند. فيلتر كردن در روي پارامترهاي پائين انجام مي‏گيرد.

Destination Ip Addres , Source Ip address ، Source TCP/UDP port و destination TCP/IP port. فيلتر كردن براي هر پورت پياده‏سازي شده و براي هر كدام به طور مستقل قابل برنامه‏نويسي است.

مسيريابهاي فيلتركننده بسته هم مي‏توانند بسته‏ها را از بين ببرند و يا مسير آنها را به سوي يك ميزبان مشخص عوض مي‏كنند تا در آينده اطلاعاتي را نمايش دهند كه در شكل 308 نشان داده شده است. بعضي از بسته‏ها هرگز به شبكه‏هاي محلي نمي‏رسند زيرا آنها به صورت اشغال و زائد درمي‏آيند. براي مثال تمام بسته‏ها از قطعه شبكه a.b.c.o كه برنامه‏ريزي شده است بسته‏هايي را همانند FTP از d.e.f.o : 21 (عدد 21 نشان پورت 21 است كه استاندارد پورت FTP است) برگشت مي‏دهند. بسته‏هاي (e – mail) SMTP , FTP به سوي يك درگاه مشخص براي نشان دادن هشدارهاي آينده تغيير جهت داده مي‏شوند. ديواره آتش ناهمگون (asymmetric) است چرا كه تمام بسته‏هاي FTP و SMTP را تجزيه مي‏كند و مشخص مي‏كند كه آيا بايد از بين ببرد يا بايد ارسال نمايد. به هر حال بسته‏هاي SMTP , FTP خارج شده (بيرون انداخته شده)، به وسيله درگاه آماده نمايش دادن هستند و ديگر به وسيله مسيرياب فيلتركنندة بسته چك نمي‏شود.

يك ديوارة آتش فيلتركننده بسته در زماني كه قوانين پياده‏سازي شده در آن ساده باشد به خوبي كار مي‏كند. قوانين زيادي موجود است كه بسياري براي پياده‏سازي مشكل است. قوانين يا با يك ترتيب درست و سالم پياده‏سازي مي‏شوند يا نتايج مخرب را به بار مي‏آورند در هر صورت تستس كردن و اشكال‏زدائي در فيلتر كردن بسته‏ها مشكل است.

درگاه سطح كاربرد

درگاه سطح كاربرد براي فائق آمد بر بعضي از مشكلات فيلتر كردن بسته‏ها مورد استفاده قرار گيرد. شكل 308 يك معماري درگاه كاربرد را نشان مي‏دهد ديوارة آتش 1 و 2 داده‏ها را زماني خواهند فرستاد كه به درگاه كاربر وارد يا خارج شوند بنابراين يك LAN ايمن شده يك LAN درگاه است هر درگاه كاربرد، براي هر كاربرد به طور متفاوت رفتار مي‏كند و فيلتر كردن به وسيله سرويس‏هاي proxy در درگاه به كار برده و اداره مي‏شوند. براي مثال، براي سرويس FTP، فايل ابتدا در درگاه كاربرد ذخيره مي‏شود و سپس ارسال مي‏گردد براي سرويس TELNET درگاه كاربرد به ميزبانهاي خارجي اعتبار و رسميت مي‏دهد (ارتباط با ميزبان محلي را قانوني مي‏كند legitimacy) و سپس درگاه به ميزبان محلي وصل مي‏شود و يك log از تمام تراكنشها نگه مي‏دارد.

ديوارة آشت ايمن كردن يك سايت را به وسيله چك كردن آدرس‏ها (آدرس IP)، پارامترهاي انتقال (NNTP , FTP) و كاربردها انجام مي‏دهد در هر صورت سؤالي كه مطرح است اين است كه چگونه مي‏توانيم منبع خارجي را از دسترس كاربري كه از شناسه غلط استفاده مي‏كند محافظت نمائيم در بيشتر موارد چگونگي انجام محافظت در مقابل مزاحمهايي كه داده را درستكار مي‏كنند، انجام مي‏گيرد تا در شبكه داده از مبدأ به مقصد رفته و محافظت در مسير داشته باشيم كه به ارتباطات مطمئن مربوط مي‏شوند.

(30504) رمزنگاري

براي اينكه ارتباطات خود را مطمئن نمائيم ما نيازمند اطمينان از جامعيت و تماميت امر محافظت و اعتبار مجوز هستيم. اين عمل همچنين از فضولي و دخالت كردن در ارتباط ميان مبدأ و مقصد جلوگيري مي‏كند و شناسه اصلي را معين مي‏كند.

بهترين تكنولوژي در ارتباطات مطمئن بر اساس نرم‏افزار است كه آن نيز روي رمزنگاري بنا نهاده شده است Hashing يا خلاصه پيام و امضاء رقمي «digital signatune» مباحث‏ روي رمزنگاري مي‏باشند.