Skip to Content

آرشیو

شبکه های خصوصی مجازی VPN

شبکه های خصوصی مجازی VPN

شبکه های خصوصی مجازی VPN

شبکه های خصوصی مجازی VPN

در طی ده سال گذشته دنيا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است . اغلب سازمانها و موسسات ارائه دهنده کالا و خدمات که در گذشته بسيار محدود و منطقه ای مسائل را دنبال و در صدد ارائه راهکارهای مربوطه بودند ، امروزه بيش از گذشته نيازمند تفکر در محدوده جهانی برای ارائه خدمات و کالای توليده شده را دارند. به عبارت ديگر تفکرات منطقه ای و محلی حاکم بر فعاليت های تجاری جای خود را به تفکرات جهانی و سراسری داده اند. امروزه با سازمانهای زيادی برخورد می نمائيم که در سطح يک کشور دارای دفاتر فعال و حتی در سطح دنيا دارای دفاتر متفاوتی می باشند. تمام سازمانهای فوق قبل از هر چيز به دنبال يک اصل بسيار مهم می باشند که آن یافتن يک روش سريع ، ايمن و قابل اعتماد به منظور برقراری ارتباط با دفاتر و نمايندگی در اقصی نقاط يک کشور و يا در سطح دنيا می باشد.

اکثر سازمانها و موسسات به منظور ايجاد يک شبکه WAN از خطوط اختصاصی (Leased Line) استفاده می نمايند. خطوط فوق دارای انواع متفاوتی می باشند. ISDN ( با سرعت 128 کيلوبيت در ثانيه )، ( OC3 Optical Carrier-3) ( با سرعت 155 مگابيت در ثانيه ) دامنه وسيع خطوط اختصاصی را نشان می دهد. يک شبکه WAN دارای مزايای عمده ای نسبت به يک شبکه عمومی نظير اينترنت از بعد امنيت وکارایی است. پشتيانی و نگهداری شبکه WAN در عمل و زمانيکه از خطوط اختصاصی استفاده می گردد ، مستلزم صرف هزينه بالائی است.

همزمان با عموميت يافتن اينترنت ، اغلب سازمانها و موسسات  ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند. در ابتدا شبکه های اينترانت مطرح گرديدند. اين نوع شبکه بصورت کاملا” اختصاصی بوده و کارمندان يک سازمان با استفاده از رمز عبور تعريف شده ، قادر به ورود به شبکه و استفاده از منابع موجود می باشند. اخيرا” ، تعداد زيادی از موسسات و سازمانها با توجه به مطرح شدن خواسته های جديد ( کارمندان از راه دور ، ادارات از راه دور )، اقدام  به ايجاد شبکه های اختصاصی مجازی VPN)Virtual Private Network) نموده اند.

يک VPN ، شبکه ای اختصاصی بوده که از يک شبکه عمومی ( عموما” اينترنت ) ، برای ارتباط با سايت های از راه دور و ارتباط کاربران بايکديگر، استفاده می نمايد. اين نوع شبکه ها در عوض استفاده از خطوط واقعی نظير : خطوط Leased ، از يک ارتباط مجازی به کمک اينترنت برای شبکه اختصاصی به منظور ارتباط به سايت ها استفاده می کند.

عناصر تشکيل دهنده يک VPN

دو نوع عمده  شبکه های VPN وجود دارد :

دستيابی از راه دور (Remote-Access)

به اين نوع از شبکه ها VPDN) Virtual private dial-up network)، نيز گفته می شود.در شبکه های فوق از مدل ارتباطی User-To-Lan ( ارتباط کاربر به يک شبکه محلی ) استفاده می گردد. سازمانهائی که از مدل فوق استفاده می نمايند ، بدنبال ايجاد تسهيلات لازم برای ارتباط پرسنل ( عموما” کاربران از راه دور و در هر مکانی می توانند حضور داشته باشند )   به شبکه سازمان  می باشند. سازمانهائی که تمايل به برپاسازی يک شبکه بزرگ ” دستيابی از راه دور ” می باشند ، می بايست از امکانات يک مرکز ارائه دهنده خدمات اينترنت جهانی ESP)Enterprise service provider) استفاده نمايند. سرويس دهنده ESP ، به منظور نصب و پيکربندی VPN ، يک NAS)Network access server) را پيکربندی و نرم افزاری را در اختيار کاربران از راه دور بمنظور ارتباط با سايت قرار خواهد داد. کاربران در ادامه با برقراری ارتباط  قادر به دستيابی به NAS و استفاده از نرم افزار مربوطه به منظور دستيابی به شبکه سازمان خود خواهند بود.

 سايت به سايت (Site-to-Site)

در مدل فوق يک سازمان با توجه به سياست های موجود ، قادر به اتصال چندين سايت ثابت از طريق يک شبکه عمومی نظير اينترنت است. شبکه های VPN که از روش فوق استفاده می نمايند ، دارای گونه های خاصی در اين زمينه می باشند:

مبتنی بر اينترانت

در صورتيکه سازمانی دارای يک و يا بيش از يک محل ( راه دور) بوده و تمايل به الحاق آنها در يک شبکه اختصاصی باشد ، می توان يک اينترانت VPN را به منظور برقرای ارتباط هر  يک از شبکه های محلی با يکديگر ايجاد نمود.

مبتنی بر اکسترانت

در موارديکه سازمانی در تعامل اطلاعاتی بسيار نزديک با سازمان ديگر باشد ، می توان يک اکسترانت VPN را بمنظور ارتباط شبکه های محلی هر يک از سازمانها ايجاد کرد. در چنين حالتی سازمانهای متعدد قادر به فعاليت در يک محيط اشتراکی خواهند بود.

استفاده از VPN برای يک سازمان دارای مزايای متعددی نظير : گسترش محدوه جغرافيائی ارتباطی ، بهبود وضعيت امنيت ، کاهش هزينه های عملياتی در مقايسه با روش های سنتی WAN  ، کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ، بهبود بهره وری ، توپولوژی آسان و … است. در يک شبکه VPN به عوامل متفاوتی نظير : امنيت  ، اعتمادپذيری ، مديريت شبکه و سياست ها نياز خواهد بود.

شبکه های LAN جزاير اطلاعاتی

فرض نمائيد در جزيره ای در اقيانوسی بزرگ ، زندگی می کنيد. هزاران جزيره  در اطراف جزيره شما وجود دارد. برخی از جزاير نزديک و برخی ديگر دارای مسافت طولانی با جزيره شما می باشند. متداولترين روش به منظور مسافرت به جزيره ديگر ، استفاده از يک کشتی مسافربری است. مسافرت با کشتی مسافربری ، به منزله عدم وجود امنيت است. در اين راستا هر کاری را که شما انجام دهيد ، توسط ساير مسافرين قابل مشاهده خواهد بود. فرض کنيد هر يک از جزاير مورد نظر به مشابه يک شبکه محلی (LAN) و اقيانوس مانند اينترنت باشند. مسافرت با يک کشتی مسافربری مشابه برقراری ارتباط با يک سرويس دهنده وب و يا ساير دستگاههای موجود در اينترنت است. شما دارای هيچگونه کنترلی بر روی کابل ها و روترهای موجود در اينترنت نمی باشيد. ( مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی ساير مسافرين حاضر در کشتی ). در صورتيکه تمايل به ارتباط بين دو شبکه اختصاصی از طريق منابع عمومی وجود داشته باشد ، اولين مسئله ای که با چالش های جدی برخورد خواهد کرد ، امنيت خواهد بود. فرض کنيد ، جزيره شما قصد ايجاد يک پل ارتباطی با جزيره مورد نظر را داشته باشد. مسير ايجاد شده يک روش ايمن ، ساده و مستقيم برای مسافرت ساکنين جزيره شما به جزيره  ديگر را فراهم می آورد. همانطور که حدس زده ايد ، ايجاد و نگهداری يک پل ارتباطی بين دو جزيره مستلزم صرف هزينه های بالائی خواهد بود.( حتی اگر جزاير در مجاورت يکديگر باشند ). با توجه به ضرورت و حساسيت مربوط به داشتن يک مسير ايمن و مطمئن ، تصميم به ايجاد پل ارتباطی بين دو جزيره گرفته شده است. در صورتيکه جزيره شما قصد ايجاد يک پل ارتباطی با جزيره ديگر را داشته باشد که در مسافت بسيار طولانی نسبت به جزيره شما واقع است ، هزينه های مربوط به مراتب بيشتر خواهد بود. وضعيت فوق ، نظير استفاده از يک اختصاصی Leased است. ماهيت پل های ارتباطی ( خطوط اختصاصی ) از اقيانوس ( اينترنت ) متفاوت بوده و کماکان قادر به ارتباط جزاير( شبکه های LAN) خواهند بود. سازمانها و موسسات متعددی از رويکرد فوق ( استفاده از خطوط اختصاصی) استفاده می نمايند. مهمترين عامل در اين زمينه وجود امنيت و اطمينان برای برقراری ارتباط هر يک سازمانهای مورد نظر با يکديگر است. در صورتيکه مسافت ادارات و يا شعب يک سازمان از يکديگر بسيار دور باشد ، هزينه مربوط به برقرای ارتباط نيز افزايش خواهد يافت.

با توجه به موارد گفته شده  ، چه ضرورتی به منظور استفاده از VPN وجود داشته و VPN تامين کننده ، کداميک از اهداف و خواسته های مورد نظر است ؟ با توجه به مقايسه انجام شده در مثال فرضی ، می توان گفت که با استفاده از VPN به هريک از ساکنين جزيره يک زيردريائی داده می شود. زيردريائی فوق دارای خصايص متفاوت نظير :

  • دارای سرعت  بالا است.
  • هدايت آن ساده است.
  • قادر به استتار( مخفی نمودن)  شما از ساير زيردرياییها و کشتی ها است.
  • قابل اعتماد است.
  • پس از تامين اولين زيردريایی ، افزودن امکانات جانبی و حتی يک زيردريایی ديگرمقرون به صرفه خواهد بود.

 

در مدل فوق ، با وجود ترافيک در اقيانوس ، هر يک از ساکنين دو جزيره قادر به تردد در طول مسير در زمان دلخواه خود با رعايت مسايل ايمنی می باشند. مثال فوق دقيقا” بيانگر تحوه عملکرد VPN است. هر يک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن با استفاده از يک محيط انتقال عمومی ( نظير اينترنت ) با شبکه محلی (LAN) موجود در سازمان خود خواهند بود. توسعه يک VPN ( افزايش تعداد کاربران از راه دور و يا افزايش مکان های مورد نظر ) به مراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمايند. قابليت توسعه فراگير از مهمتزين ويژگی های يک VPN نسبت به خطوط اختصاصی است .

امنيت VPN

شبکه های VPN به منظور تامين امنيت (داده ها و ارتباطات) از روش های متعددی استفاده می نمايند :

فايروال

فايروال يک ديواره مجازی بين شبکه اختصای يک سازمان و اينترنت ايجاد می نمايد. با استفاده از فايروال می توان عمليات متفاوتی را در جهت اعمال سياست های امنيتی يک سازمان انجام داد. ايجاد محدوديت در تعداد پورت ها فعال  ، ايجاد محدوديت در رابطه به پروتکل های خاص ، ايجاد محدوديت در نوع بسته های اطلاعاتی و … نمونه هائی از عملياتی است که می توان با استفاده از يک فايروال انجام داد.

رمزنگاری

فرآيندی است که با استفاده از آن کامپيوتر مبداء اطلاعاتی رمزشده  را برای کامپيوتر ديگر ارسال می نمايد. ساير کامپيوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدين ترتيب پس از ارسال اطلاعات توسط فرستنده  ، دريافت کنندگان، قبل از استفاده از اطلاعات می بايست اقدام به رمزگشائی اطلاعات ارسال شده نمايند. سيستم های رمزنگاری در کامپيوتر به دو گروه عمده تقسيم می گردد :

  • رمزنگاری  کليد متقارن
  • رمزنگاری کليد عمومی

در رمز نگاری ” کليد متقارن ” هر يک از کامپيوترها دارای يک کليد Secret ( کد ) بوده که با استفاده از آن قادر به رمزنگاری يک بسته اطلاعاتی قبل از ارسال در شبکه برای  کامپيوتر ديگر می باشند. در روش فوق می بايست در ابتدا نسبت به کامپيوترهایی که قصد برقراری و ارسال اطلاعات برای يکديگر را دارند ، آگاهی کامل وجود داشته باشد. هر يک از کامپيوترهای شرکت کننده در مبادله اطلاعاتی می بايست دارای کليد رمز مشابه بمنظور رمزگشائی اطلاعات باشند. به منظور رمزنگاری اطلاعات ارسالی نيز از کليد فوق استفاده خواهد شد. فرض کنيد قصد ارسال يک پيام رمز شده برای يکی از دوستان خود را داشته باشيد. بدين منظور از يک الگوريتم خاص برای رمزنگاری استفاده می شود. در الگوريتم فوق هر حرف به دوحرف بعد از خود تبديل می گردد.(حرف A به حرف C  ، حرف B به حرف D ) .پس از رمزنمودن پيام و ارسال آن ، می بايست دريافت کننده پيام به اين حقيقت واقف باشد که برای رمزگشائی پيام ارسال شده ، هر حرف به دو حرق قبل از خود می باطست تبديل گردد. در چنين حالتی می باطست به دوست امين خود ، واقعيت فوق ( کليد رمز ) گفته شود. در صورتيکه پيام فوق توسط افراد ديگری دريافت گردد ، بدليل عدم آگاهی از کليد ، آنان قادر به رمزگشائی و استفاده از پيام ارسال شده نخواهند بود.

در رمزنگاری عمومی از ترکيب يک کليد خصوصی و يک کليد عمومی استفاده می شود. کليد خصوصی صرفا” برای کامپيوتر شما ( ارسال کننده) قابل شناسائی و استفاده است. کليد عمومی توسط کامپيوتر شما در اختيار تمام کامپيوترهای ديگر که قصد ارتباط با آن را داشته باشند ، گذاشته می شود. به منظور رمزگشائی يک پيام رمز شده ، يک کامپيوتر می بايست با استفاده از کليد عمومی ( ارائه شده توسط کامپيوتر ارسال کننده ) ، کليد خصوصی  مربوط به خود اقدام به رمزگشائی پيام ارسالی نمايد. يکی از متداولترين ابزار “رمزنگاری کليد عمومی”  ، روشی با نام PGP)Pretty Good Privacy) است. با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.

IPSec

پروتکل IPsec)Internet protocol security protocol) ، يکی از امکانات موجود برای ايجاد امنيت در ارسال و دريافت اطلاعات می باشد. قابليت روش فوق در مقايسه با الگوريتم های رمزنگاری به مراتب بيشتر است. پروتکل فوق دارای دو روش رمزنگاری Tunnel  و Transportمی باشد. در روش tunnel ، هدر و Payload رمز شده درحاليکه در روش transport فقط payload رمز می گردد. پروتکل فوق قادر به رمزنگاری اطلاعات بين دستگاههای متفاوت است :

  • روتر به روتر
  • فايروال به روتر
  • کامپيوتر به روتر
  • کامپيوتر به سرويس دهنده
سرويس دهنده AAA

سرويس دهندگان ( AAA : Authentication ,Authorization,Accounting)  بمنظور ايجاد امنيت بالا در محيط های VPN از نوع ” دستيابی از راه دور ” استفاده می گردند. زمانيکه کاربران با استفاده از خط تلفن به سيستم متصل می گردند ، سرويس دهنده AAA درخواست آنها را اخذ و عمايات زير را انجام خواهد داد :

§       شما چه کسی هستيد؟ ( تاييد ،  Authentication )

§       شما مجاز به انجام چه کاری هستيد؟ ( مجوز ، Authorization )

§       چه کارهائی را انجام داده ايد؟ ( حسابداری  ،  Accounting )

تکنولوژی های VPN

با توجه به نوع VPN ( ” دستيابی از راه دور ” و يا ” سايت به سايت ” ) ، به منظور ايجاد شبکه از عناصر خاصی استفاده می گردد:

  • نرم افزارهای مربوط به کاربران از راه دور
  • سخت افزارهای اختصاصی نظير يک ” کانکتور VPN” و يا يک فايروال PIX
  • سرويس دهنده اختصاصی VPN به منظور سرویس های Dial-up
  • سرويس دهنده NAS که توسط مرکز ارائه خدمات اينترنت به منظور دستيابی به VPN از نوع “دستيابی از را دور” استفاده می شود.
  • شبکه VPN و مرکز مديريت سياست ها

با توجه به اينکه تاکنون يک استاندارد قابل قبول و عمومی به منظور ايجاد VPN ايجاد نشده است ، شرکت های  متعدد هر يک اقدام به توليد محصولات اختصاصی خود نموده اند.

کانکتور VPN

سخت افزار فوق توسط شرکت سيسکو طراحی و عرضه شده است.  کانکتور فوق در مدل های متفاوت و قابليت های گوناگون عرضه شده است . در برخی از نمونه های دستگاه فوق امکان فعاليت همزمان 100 کاربر از راه دور و در برخی نمونه های ديگر تا 10.000 کاربر از راه دور قادر به اتصال به شبکه خواهند بود.

روتر مختص VPN

روتر فوق توسط شرکت سيسکو ارائه شده است . اين روتر دارای قابليت های متعدد به منظور استفاده در محيط های گوناگون است . در طراحی روتر فوق شبکه های VPN نيز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه ای  بهينه سازی شده اند.

فايروال PIX

فايروال PIX(Private Internet eXchange)  قابليت هائی نظير NAT ، سرويس دهنده Proxy ، فيلتر نمودن بسته ای اطلاعاتی ، فايروال و VPN را در يک سخت افزار فراهم نموده است .

Tunneling( تونل سازی )

اکثر شبکه های VPN به منظور ايجاد يک شبکه اختصاصی با قابليت دستيابی از طريق اينترنت از امکان ” Tunneling ” استفاده می نمايند. در روش فوق تمام بسته اطلاعاتی در يک بسته ديگر قرار گرفته و از طريق شبکه ارسال خواهد شد. پروتکل مربوط به بسته اطلاعاتی خارجی  ( پوسته ) توسط شبکه  و دو نفطه (ورود  و خروج بسته اطلاعاتی ) قابل فهم می باشد. دو نقظه فوق را “اينترفيس های تونل ” می گويند. روش فوق مستلزم استفاده از سه پروتکل است :

  • پروتکل حمل کننده : از پروتکل فوق شبکه حامل اطلاعات استفاده می نمايد.
  • پروتکل کپسوله سازی : از پروتکل هائی نظير: IPSec,L2F,PPTP,L2TP,GRE استفاده می گردد.
  • پروتکل مسافر : از پروتکل هائی نظير IPX,IP,NetBeui به منظور انتقال داده های اوليه استفاده می شود.

با استفاده از روش Tunneling  می توان عمليات جالبی را انجام داد. مثلا” می توان از بسته ای اطلاعاتی که پروتکل اينترنت را حمايت نمی کند ( نظير NetBeui) درون يک بسته اطلاعاتی IP استفاده و آن را از طريق اينترنت ارسال نمود و  يا  می توان يک بسته اطلاعاتی را که از يک آدرس IP غير قابل روت ( اختصاصی ) استفاده می نمايد  ، درون يک بسته اطلاعاتی که از آدرس های معتبر IP استفاده می کند ، مستقر و از طريق اينترنت ارسال نمود.

در شبکه های VPN از نوع ” سايت به سايت ” ، GRE) generic routing encapsulation) بعنوان پروتکل کپسوله سازی استفاده می گردد. فرآيند فوق نحوه استقرار و بسته بندی ” پروتکل مسافر” از طريق پروتکل ” حمل کننده ” برای انتقال را تبين می نمايد. ( پروتکل حمل کننده ، عموما” IP است ) . فرآيند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای کپسوله نمودن و اطلاعاتی در رابطه با ارتباط بين سرويس گيرنده و سرويس دهنده است. در برخی موارد از پروتکل IPSec ( در حالت tunnel) برای کپسوله سازی استفاده می گردد. پروتکل IPSec ، قابل استفاده در دو نوع شبکه VPN ( سايت به يايت و دستيابی از راه دور ) است. اينترفيش های Tunnel می بايست دارای امکانات حمايتی از IPSec باشند.

در شبکه های VPN از نوع ” دستيابی از راه دور ”  ، Tunneling با استفاده از PPP انجام می گيرد. PPP بعنوان حمل کننده ساير پروتکل های IP در زمان برقراری ارتباط بين يک سيستم ميزبان و يک سيستم ازه دور ، مورد استفاده قرار می گيرد.

هر يک از پروتکل های زير با استفاده از ساختار اوليه PPP ايجاد و توسط شبکه های VPN از نوع ” دستيابی از راه دور ” استفاده می گردند:

L2F) Layer 2 Forwarding)

پروتکل فوق توسط سيسکو ايجاد شده است. در پروتکل فوق از مدل های  تعيين اعتبار کاربر که توسط PPP حمايت شده اند ، استفاده شد ه است.

PPTP)Point-to-Point Tunneling Protocol)

پروتکل فوق توسط کنسرسيومی متشکل از شرکت های متفاوت ايجاد شده است. اين پروتکل امکان رمزنگاری 40 بيتی و 128 بيتی  را دارا بوده و از مدل های تعيين اعتبار کاربر که توسط PPP حمايت شده اند ، استفاده می نمايد.

L2TP)Layer 2 Tunneling Protocol)

پروتکل فوق با همکاری چندين شرکت ايجاد شده است .پروتکل فوق از ويژگی های PPTP و L2F استفاده کرده است. پروتکل L2TP بصورت کامل IPSec را حمايت می کند. از پروتکل فوق به منظور ايجاد تونل بين موارد زير استفاده می گردد :

  • سرويس گيرنده و روتر
  • NAS و روتر
  • روتر و روتر

عملکرد Tunneling مشابه حمل يک کامپيوتر توسط يک کاميون است. فروشنده ، پس از بسته بندی کامپيوتر ( پروتکل مسافر ) درون يک جعبه ( پروتکل کپسوله سازی ) آن را توسط يک کاميون ( پروتکل حمل کننده ) از انبار خود ( ايترفيس ورودی تونل ) برای  متقاضی ارسال می دارد. کاميون ( پروتکل حمل کننده ) از طريق بزرگراه ( اينترنت ) مسير خود را طی ، تا به منزل شما ( اينترفيش  خروجی تونل ) برسد. شما در منزل جعبه ( پروتکل کپسول سازی ) را باز و کامپيوتر ( پروتکل مسافر) را از آن خارج می نمائيد.

 

 

ادامه مطلب

امنيت نامه های الکترونيکی

امنيت نامه های الکترونيکی

امنيت نامه های الکترونيکی

امنيت نامه های الکترونيکی

الکترونيکی با هر يک از سطوح فوق متفاوت است . اين نوع برنامه ها ، امکان اجرای کدهای موجود در فايل اينترنت چالش های جديدی را در عرصه ارتباطات ايجاد کرده است. کاربران اينترنت با استفاده از روش های متفاوت ،امکان ارتباط با يکديگر را بدست آورده اند .اينترنت زير ساخت مناسب برای ارتباطات نوين را فراهم و زمينه ای مساعد و مطلوب بمنظور بهره برداری از سرويس های ارتباطی  توسط کاربران فراهم شده است .  بدون شک ، پست الکترونيکی در اين زمينه دارای جايگاهی خاص است .

پست الکترونيکی،  يکی از قديمی ترين و پرکاربردترين سرويس موجود در اينترنت است .  شهروندان اينترنت، روزانه ميليون ها نامه الکترونيکی را برای يکديگر ارسال می دارند. ارسال و دريافت  نامه الکترونيکی، روش های سنتی ارسال اطلاعات ( نامه های دستی ) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها ،اغلب مردم تمايل به استفاده از نامه الکترونيکی در مقابل تماس تلفتی با همکاران و خويشاوندان خود دارند . در اين مقاله قصد نداريم به بررسی مزايای سيستم پست الکترونيکی اشاره نمائيم. در صورتيکه بپذيريم که سيستم پست الکترونيکی عرصه جديدی را در ارتباطات افراد ساکن در کره زمين ايجاد کرده است، می بايست بگونه ای حرکت نمائيم که از آسيب های احتمالی تکنولوژی فوق نيز در امان باشيم .

طی ساليان اخير، بدفعات شنيده ايم که شبکه های کامپيوتری از طريق يک نامه الکترونيکی آلوده و دچار مشکل و تخريب اطلاعاتی  شده اند. صرفنظر از وجود نواقص امنيتی در برخی از محصولات نرم افزاری که در جای خود توليد کنندگان اين نوع نرم افزارها بمنظور استمرار حضور موفقيت آميز خود در عرصه بازار رقابتی موجود، می بايست مشکلات و حفره های امنيتی محصولات خود را برطرف نمايند ، ما نيز بعنوان استفاده کنندگان از اين نوع نرم افزارها در سطوح متفاوت ، لازم است با ايجاد يک سيستم موثر پيشگيرانه ضريب بروز و گسترش اين نوع حوادث را به حداقل مقدار خود برسانيم . عدم وجود سيستمی مناسب جهت مقابله با اين نوع حوادث ، می تواند مسائلی بزرگ را در يک سازمان بدنبال داشته که گرچه ممکن است توليدکننده نرم افزار در اين زمينه مقصر باشد ولی سهل انگاری و عدم توجه به ايجاد يک سيستم امنيتی مناسب ، توسط استفاده کنندگان مزيد بر علت خواهد بود ( دقيقا” مشابه عدم بستن کمربند ايمنی توسط سرنشين يک خودرو با نواقص امنيتی ) . در اين مقاله ، به بررسی روش های پيشگيری از تخريب  اطلاعات در شبکه های کامپيوتری از طريق پست الکترونيکی پرداخته و با ارائه راهکارهای مناسب ، يک سيستم حفاظتی مطلوب پيشنهاد می گردد . در اين راستا ، عمدتا” بر روی برنامه سرويس گيرنده پست الکترونيکی ماکروسافت (Outlook) متمرکز خواهيم شد( بدليل نقش بارز و مشهود اين نوع از برنامه ها در جملات اينترنتی اخير) .

سيل ناگهانی حملات اينترنتی مبتنی بر کدهای مخرب،  با ظهور کرم ILOVEYOU  ، وارد عرصه جديدی شده است . سيتسم های مدرن پست الکترونيکی بمنظور مقابله با اين نوع از تهديدات ، تدابير لازم را در جهت ايجاد يک حفاظ امنيتی مناسب برای  مقابله با عرضه و توزيع کدهای مخرب آغاز نموده اند .برنامه های سرويس گيرنده پست الکترونيکی متعلق به شرکت ماکروسافت ، هدفی جذاب برای اغلب نويسندگان کدهای مخرب می باشند . شايد يکی از دلايل آن ،  گستردگی و مدل برنامه نويسی خاص  بکارگرفته شده در آنان باشد . تاکنون  کدهای مخرب فراوانی ، محصولات ماکروسافت را هدف قرار داده اند . عملکرد قدرتمند سه نوع ويروس ( و يا کرم ) در زمينه تخريب اطلاعات از طريق اينترنت ، شرکت ماکروسافت را وادار به اتخاذ  تصميمات امنيتی خاص در اينگونه موارد نمود . اين ويروس ها عبارتند از :

ويروس Melissa  ، هدف خود را بر اساس  يک فايل ضميمه Word مورد حمله ويرانگر قرار می دهد . بمحض باز نمودن فايل ضميمه ،  کد مخرب بصورت اتوماتيک فعال می گردد .

ويروس BubbleBoy ، همزمان با مشاهده ( پيش نمايش ) يک پيام ، اجراء می گردد . در اين رابطه ضرورتی به باز نمودن فايل ضميمه بمنظور فعال شدن و اجرای کدهای مخرب وجود ندارد . در  ويروس فوق ، کدهای نوشته شده  در بدنه نامه الکترونيکی قرار می گيرند . بدين ترتيب، بمحض نمايش پيام توسط برنامه مربوطه ، زمينه اجرای کدهای مخرب فراهم می گردد .

کرم ILOVEYOU  از لحاظ مفهومی شباهت زيادی با ويروس Mellisa داشته و بصورت  يک فايل ضميمه همراه يک نامه الکترونيکی جابجا می گردد . در اين مورد خاص،  فايل ضميمه خود را بشکل يک سند Word تبديل نکرده و در مقابل فايل ضميمه از نوع يک اسکريپت ويژوال بيسيک (vbs . ) بوده و بمحض فعال شدن، توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH) تفسير و اجراء می گردد .

 

 

پيشگيری ها

در اين بخش به ارائه پيشنهادات لازم در خصوص پيشگيری از حملات اطلاعاتی مبتنی بر سرويس گيرندگان پست الکترونيکی خواهيم پرداخت.رعايت موارديکه در ادامه بيان می گردد، بمنزله حذف کامل تهاجمات اطلاعاتی از اين نوع نبوده بلکه زمينه تحقق اين نوع حوادث را کاهش خواهد داد .

پيشگيری اول  : Patch های برنامه پست الکترونيکی ماکروسافت

بدنبال ظهور کرم ILOVEYOU  و ساير وقايع امنيتی در رابطه با امنيت کامپيوترها در شبکه اينترنت،  شرکت ماکروسافت يک Patch امنيتی برای برنامه های outlook 98  و outlook 2000 عرضه نموده است . Patch فوق، با ايجاد محدوديت در رابطه با  برخی از انواع فايل های ضميمه ، زمينه اجرای کدهای مخرب را حذف می نمايد . با توجه به احتمال وجود کدهای مخرب در فايل های ضميمه  و ميزان مخرب بودن آنان،  تقسيمات خاصی توسط ماکروسافت انجام گرفته است .فايل های ضميمه ای که دارای بيشترين احتمال تهديد برای سيستم های کامپيوتری می باشند ،  سطح يک و فايل هائی با احتمال تخريب اطلاعاتی کمتر  سطح دو ، ناميده شده اند. نحوه برخورد برنامه های سرويس گيرنده پست های ضميمه از نوع سطح يک را بلاک می نمايند. جدول زير انواع فايل ها ی موجود در سطح يک را نشان می دهد .

 

انشعاب شرح
ade Microsoft Access project extension
adp Microsoft Access project
bas Visual Basic class module
bat Batch file
chm Compiled HTML Help file
cmd Windows NT Command script
com MS-DOS program
cpl Control Panel extension
crt Security certificate
exe Program
hlp Help file
hta HTML
inf Setup Information
ins Internet Naming Service
isp Internet Communication settings
js JScript Script file
jse JScript Encoded Script file
lnk Shortcut
mdb Microsoft Access program
mde Microsoft Access MDE database
msc Microsoft Common Console document
msi Windows Installer package
msp Windows Installer patch
mst Visual Test source files
pcd Photo CD image
pif Shortcut to MS-DOS program
reg Registration entries
scr Screen saver
sct Windows Script Component
shs Shell Scrap Object
url Internet shortcut
vb VBScript file
vbe VBScript encoded script file

 

Patch فوق،  در رابطه با ضمائمی که با نام سطح دو( مثلا” فايل هائی از نوع zip )  ، شناخته می شوند از رويکردی ديگر استفاده می نمايد . اين نوع ضمائم بلاک نمی گردند ولی لازم است که کاربر قبل از اجراء آنان را بر روی کامپيوتر خود ذخيره نمايد . بدين ترتيب در روند اجراء يک توقف ناخواسته بوجود آمده و زمينه فعال شدن ناگهانی آنان بدليل سهل انگاری ، حذف می گردد. در رابطه با اين نوع از فايل ها ، پيامی مشابه زير ارائه می گردد .

فايل هائی بصورت پيش فرض درسطح دو ،  وجود نداشته و مديرسيستم می تواند فايل هائی با نوع خاص را اضافه نمايد (در رابطه با فايل های سطح يک نيز امکان حذف و يا افزودن فايل هائی وجود دارد ) . در زمان تغيير نوع فايل های سطح يک و دو، می بايست به دو نکته مهم توجه گردد : عمليات فوق،  صرفا” برای کاربرانی که به سرويس دهنده پست الکترونيکی Exchange متصل هستند امکان پذير بوده و کاربرانی که از فايل ها ی pst . برای ذخيره سازی پيام های الکترونيکی خود استفاده می نمايند را شامل نمی شود. قابليت تغيير تعاريف ارائه شده سطح يک و دو،  می تواند بعنوان يک رويکرد مضاعف در رابطه با سياست های امنيتی محلی، مورد استفاده قرار گيرد . مثلا” می توان با استفاده از ويژگی فوق،  فايل های با انشعاب doc . ( فايل های word) را به ليست فايل های سطح يک اضافه کرد. برای انجام تغييرات مورد نظر در نوع فايل ضميمه تعريف شده در سطح يک ، می بايست مراحل زير را دنبال نمود :

برنامه Regedit.exe را اجراء نمائيد .

کليد HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Security key را انتخاب نمائيد . ( در صورتيکه کليد فوق وجود ندارد می بايست آن را ايجاد کرد) .

از طريق منوی Edit  دستور New  و در ادامه String Value انتخاب گردد .

نام جديد را Level1AttachmentAdd  منظور نمائيد.

گزينه new Level1AttachmentAdd value را انتخاب و دکمه Enter را فعال نمائيد .

يک رشته شامل انشعاب فايل های مورد نظر را که قصد اضافه کردن آنها را داريم ، وارد نمائيد ( هر يک از انشعاب فايل ها توسط  “;” از يکديگر تفکيک می گردند )

Example:
Name: Level1AttachmentAdd
Type: REG_SZ
Data: doc;xls

در زمان بازنمودن فايل های ضميمه ای که از نوع سطح يک و يا دو نمی باشند( فايل های آفيس نظير  Word ,Powerpoint بجزء فايل های مربوط به Access  )  ، پيامی مطابق شکل زير ارائه و کاربران دارای حق انتخاب بمنظور فعال نمودن ( مشاهده ) فايل ضميمه و يا ذخيره آن بر روی کامپيوتر را دارند . پيشنهاد می گردد که در چنين مواردی فايل ذخيره و پس از اطمينان از عدم وجود کدهای مخرب ، فعال و مشاهده گردد . در اين رابطه می توان از ابزارهای موجود استفاده کرد .

 

Patch فوق، همچنين امکان دستيابی به دفترچه آدرس Outlook را از طريق مدل شی گراء Outlook و  CDO)Collaborative Data Objects)   ، توسط کدهای برنامه نويسی کنترل  می نمايد .بدين ترتيب، پيشگيری لازم در مقابل کدهای مخربی که بصورت خودکار و تکراری اقدام به تکثير نسخه هائی از خود  برای ليست افراد موجود در دفترچه آدرس می نمايند ، انجام خواهد يافت . Patch فوق، صرفا” برای نسخه  های Outlook 98 و outlook 2000 ارائه شده است ( برای نسخه های قبلی و يا Outlook Express  نسخه مشابهی ارائه نشده است ) .

 

پيشگيری دوم  : استفاده از نواحی امنيتی Internet Explorer

سرويس گيرندگان Outlook 98/2000  و Outlook Express 4.0/5.0  امکان استفاده از مزايای نواحی (Zones) امنيتی مرورگر IE را بمنظور حفاظت در مقابل کدهای مخرب ( کنترل های ActiveX ، جاوا  و يا اسکريپت ها ) موجود در بدنه پيام ها ،خواهند داشت . مرورگر IE ، امکان اعمال محدوديت در اجرای کدها را بر اساس چهار ناحيه فراهم می نمايد . قبل از پرداختن به نحوه استفاده از تنظيمات فوق توسط برنامه outlook ، لازم است که به کاربرد هر يک ازنواحی در مرورگر IE ، اشاره گردد :

 

Local Intranet zone :ناحيه فوق، شامل آدرس هائی است که قبل  از فايروال سازمان و يا سرويس دهنده Proxy قرار می گيرند . سطح امنيتی پيش فرض برای ناحيه فوق ، ” medium -low” است .

Trusted Sites zone : ناحيه فوق، شامل سايت هائی است که مورد اعتماد می باشند . ( سايت هائی که  شامل فايل هائی بمنظور تخريب اطلاعاتی نمی باشند )  . سطح امنيتی پيش فرض برای ناحيه فوق،  ” low” است .

Restricted Sites zone :  ناحيه فوق، شامل ليست سايت هائی است که مورد اعتماد و تائيد نمی باشند . ( سايت هائی که ممکن است دارای محتوياتی باشند که در صورت دريافت و اجرای آنها ، تخريب اطلاعات را بدنبال داشته باشد ) .سطح امنيتی پيش فرض برای ناحيه فوق ،” high” است .

Internet zone  : ناحيه فوق ، بصورت پيش فرض شامل هرچيزی که بر روی کامپيوتر و يا اينترانت موجود نمی باشد ، خواهد بود . سطح امنيتی پيش فرض برای ناحيه فوق، ” medium ” است .

برای هر يک از نواحی فوق، می توان يک سطح  امنيتی بالاتر را نيز تعريف نمود. ماکروسافت در اين راستا سياست هائی با نام : low , medium-low , medium  و high را تعريف کرده است . کاربران می توانند هر يک از پيش فرض های فوق را انتخاب و متناسب با نياز خود آنان را تغيير نمايند .

برنامه outlook می تواند از نواحی فوق استفاده نمايد . در اين حالت کاربر قادر به انتخاب دو ناحيه ( Internet zone و Restricted Zone ) خواهد بود .

 

 

تنظيمات تعريف شده برای ناحيه انتخاب شده در رابطه با تمام پيام های outlook اعمال خواهد شد . پيشنهاد می گردد ناحيه restricted انتخاب گردد . بدين منظور گزينه Tools/Options  و در ادامه گزينه Security را انتخاب نموده و از ليست مربوطه ناحيه Restricted sites را انتخاب نمائيد.  در ادامه و بمنظور انجام تنظيمات مورد نظر ، دکمه Zone Settings را فعال و گزينه Custom Level  را انتخاب نمائيد . تغييرات اعمال شده در زمان استفاده  از برنامه مرورگر برای دستيابی به وب سايت ها  نيز مورد توجه قرار خواهند گرفت . پيشنهادات ارائه شده مختص برنامه IE 5.5 بوده و در نسخه های 5 و 4 نيز از امکانات مشابه با اندکی تغييرات استفاده می گردد. در اين رابطه تتظيمات زير پيشنهاد می گردد :

گزينه وضعيت
Download signed ActiveX controls DISABLE
Download unsigned ActiveX controls DISABLE
Initialize and script ActiveX controls not marked as safe DISABLE
Run ActiveX controls and plug-ins DISABLE
Script ActiveX controls marked safe for scripting DISABLE
Allow per-session cookies (not stored) DISABLE
File download DISABLE
Font download DISABLE
Java permissions DISABLE  JAVA
Access data sources across domains DISABLE
Don�t prompt for client certificate selection when no certificates or only one certificate exists DISABLE
Drag and drop or copy and paste files DISABLE
Installation of desktop items DISABLE
Launching programs within an IFRAME DISABLE
Navigate sub-frames across different domains DISABLE
Software channel permissions HIGH SAFETY
Submit nonencrypted form data DISABLE
Userdata persistence DISABLE
Active scripting DISABLE
Allow paste operations via script DISABLE
Scripting of Java Applets DISABLE
Logon Anonymous logon

 

با غير فعال نمودن گزينه های فوق، امکانات پيشرفته ای از کاربر سلب می گردد. امکانات فوق برای تعداد زيادی از کاربران پست الکترونيکی ،  دارای کاربردی  خاص نخواهند بود . اکثر نامه های الکترونيکی ، پيام های ساده متنی بهمراه ضمائم مربوطه می باشند. گزينه های فوق، عموما” به غير فعال نمودن اسکريپت ها و کنترل های موجود در بدنه يک پيام الکترونيکی اشاره داشته و برای کاربران معمولی سيستم پست الکترونيکی دارای کاربردی خاص نمی باشند. تنظيمات فوق، بصورت مشترک توسط مرورگر IE نيز استفاده خواهند شد (صفحات وبی که از برخی از ويژگی های فوق استفاده می نمايند) . در اين رابطه لازم است مجددا” به اين موضوع اشاره گردد که  ناحيه Restricted  صرفا” شامل سايت هائی است که مورد اعتماد نبوده و مشکلی ( عدم فعال بودن برخی از پتانسيل های مرورگر ) را در رابطه با  مشاهده صفحات وب از سايت های تائيد شده ،نخواهيم داشت.مهمترين دستاورد تنظيمات فوق،پيشگيری از حملاتی است که سياست تخريبی خود را بر اساس درج  محتويات فعال در بدنه نامه های  الکترونيکی،  تبين نموده اند . ( نظير ويروس BubbleBoy  ) .

 

پيشگيری سوم :  تغيير فايل مرتبط و يا غير فعال نمودن WSH

patch امنيتی ارائه شده در پيشگيری اول، باعث حفاظت سيستم در مقابل ويروس هائی نظير ILOVEYOU ،  در outlook 98 و outlook 2000 می گردد . متاسفانه روش مشابهی بمنظور استفاده در outlook Express ، وجود ندارد. بمنظور حفاظت سيستم در مقابل نامه های الکترونيکی که دارای عملکردی نظير ILOVEYOU  می باشند ، می توان از روشی ديگر در outlook express استفاده کرد. بدين منظورمی توان تغييراتی را در سطح  برنامه هائی که مسئول فعال نمودن فايل مورد نظر( File Associations ) می باشند ، اعمال نمود.  کرم ILOVEYOU ، از طريق يک فايل اسکريپت ويژوال بيسيک ( vbs .) ، که توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH ) تفسير می گردد ، فعال خواهد شد. در حقيقت WSH محيط ( شرايط)  لازم برای ILOVEYOU  را فراهم می نمايد. اعمال محدوديت در رابطه با WSH و يا تغيير در فايل پيش فرض مربوطه ای که مسئول برخورد( نمايش ، ايجاد شرايط اجراء)  با فايل مورد نظر می باشد ، می تواند يک سطح مناسب امنيتی را در رابطه با ضمائم نامه های الکترونيکی که حاوی کدهای مخرب می باشند ، فراهم می نمايد.  در اين رابطه از راهکارهای متفاوتی می توان استفاده کرد .

روش اول : يکی از روش های پيشگيری موثر در مقابل اين نوع  از حملات ، تغيير واکنش پيش فرض در زمانی است که کاربر باعث فعال شدن اينچنين فايل های می گردد ( double click بر روی فايلی با انشعاب vbs . )  .در ويندوز NT ، اين عمليات از طريق  Windows Explorer  و بصورت زير انجام می شود.

 

View | Folder Options  ==>
Select VBScript Script File ==> Click Edit ==> Highlight Edit ==> Click Set Default

پس از اعمال تغييرات فوق ، در صورتيکه کاربری  فايلی ضميمه با انشعاب vbs . را فعال نمايد ، فايل مورد نظر توسط WSH اجراء نخواهد شد ، در مقابل ، فايل فوق ، بدون نگرانی توسط اديتور پيش فرض ( معمولا” notepad ) ، فعال و نمايش داده خواهد شد. فرآيند فوق را می توان به فايل های ديگر نيز تعميم داد. فايل هائی  که دارای يکی از انشعابات زير باشند ، توسط WSH فعال خواهند شد . بنابراين می توان تغييرات لازم را مطابق آنچه اشاره گرديد ، در رابطه با آنها نيز اعمال نمود.

WSC , WSH ,WS ,WSF,VBS,VBE,JS,JSE

روش ارائه شده در رابطه با  outlook Express  بخوبی کار خواهد کرد . در اين راستا ، لازم است به اين مسئله مهم اشاره گردد که تضمينی وجود ندارد که سرويس گيرندگان پست الکترونيکی از تنظيمات پيش فرض، زمانيکه کاربر يک فايل ضميمه را فعال می نمايد،  استفاده نمايند . مثلا” زمانيکه يک فايل ضميمه vbs. ، توسط Netscape messenger فعال می گردد ، کاربر دارای گزينه های open  و يا Save خواهد بود. در صورتيکه کاربر گزينه open را انتخاب نمايد ،  کد مورد نظر صرفنظر از تنظيمات پيش فرض فعال خواهد شد.( ناديده گرفتن تنظيمات پيش فرض )

روش دوم : راهکار ديگری که می توان بکمک آن باعث پيشگيری از بروز چنين مسائلی گرديد ، غير فعال نمودن WSH است .  برای انجام عمليات فوق ( غير فعال نمودن WSH ) می بايست برنامه های ويندوز را که باعث حمايت و پشتيبانی از اجراء اسکريپت ها می گردند ( برنامه های wscript.exe و csscript ) را تغيير نام داد .در سيستم هائی شامل ويندوزNT ، اين فايل ها  در مسير %System%\System32 ، قرار دارند( معمولا” C:\Winnt\System32 ) .  بمنظور تغيير نام فايل های  فوق ، بهتر است از طريق خط دستور ( command prompt) اين کار انجام شود. در برخی از نسخه های سيستم عامل، بموازات تغيير نام فايل مرتبط با يک نوع حاص از فايل ها ،  بصورت اتوماتيک برنامه مرتبط با  آنان  به نام جديد تغيير داده خواهد شد. بدين ترتيب تغيير اعمال شده هيچگونه تاثير مثبتی را از لحاظ امنيتی بدنبال نخواهد داشت .

روش سوم : گزينه سوم در خصوص غير فعال نمودن WSH ، تغيير مجوز فايل ( File Permission ) در رابطه با فايل های Wscript.exe  و CSscript.exe است . روش فوق ، نسبت به دو روش اشاره شده ، ترجيح داده می شود. در چنين مواردی امکان استفاده از پتانسيل های WSH برای مديران سيستم  وجود داشته در حاليکه  امکان استفاده از پتانسيل فوق از کاربران  معمولی سلب می گردد .

لازم است به اين نکته مهم اشاره گردد که با اينکه پيشگيری فوق ، در رابطه با کرم هائی نظير ILOVEYOU و موارد مشابه موثرخواهد بود ، ولی نمی تواند تمام ريسک های مربوط در اين خصوص و در رابطه با ساير  فايل ها ئی که ممکن است شامل کدهای اسکريپت باشند را  حذف نمايد. در اين رابطه می توان به فايل های با انشعاب exe .  ،  اشاره نمود. اين نوع فايل ها دارای نقشی حياتی در رابطه با انجام عمليات بر روی يک کامپيوتر بوده  و نمی توان آنها را غير فعال نمود . بدين ترتيب متجاوزان اطلاعاتی می توانند از اين نوع فايل ها ، بعنوان مکانيزمی جهت توزيع کدهای مخرب ، استفاده  نمايند .

 

پيشگيری چهارم : حفاظت ماکروهای آفيس و آموزش کاربران

ماکروسافت در رابطه با حفاظت در مقابل فايل های ضميمه حاوی کدهای مخرب از طريق ساير برنامه های جانبی، نيز تدابيری انديشيده است . مثلا” با اينکه  patch امنيتی ارائه شده در پيشگيری اول ، بصورت پيش فرض در رابطه با ماکروهای word موثر واقع نمی شود ، ولی در بطن اين نوع نرم افزارها امکانات خاصی قرار گرفته شده است که می توان بکمک آنان ، يک سطح امنيتی اوليه در رابطه با فعال شدن ماکروها را اعمال نمود. مثلا” آفيس 97 ، گزينه اختياری  حفاظت ماکرو را ارائه  که می توان بکمک آن يک لايه حفاظتی را در رابطه با عملکرد ماکروها ، ايجاد نمود. در چنين مواردی به کاربران پيامی ارائه و کاربران می توانند قبل از فعال شدن ماکرو در رابطه با آن تصميم گيری نمايند ( ارائه پاسخ مناسب توسط کاربران ) . لازم است در اين خصوص به کاربران آموزش های ضروری و مستمر  در رابطه با خطرات احتمالی عدم رعايت اصول اوليه امنيتی خصوصا” در رابطه با دريافت نامه های الکترونيکی از منابع غيرمطمئن داده شود . گزينه فوق را می توان از طريق Tools|options|General| Enable macro virus protection ، فعال نمود. آفيس 2000 و XP وضعيت فوق را بهبود و می توان تنظيمات لازم در خصوص اجرای ماکروهای دريافتی از يک منبع موثق و همراه با امضاء ديجيتالی  را انجام داد . در word , Powerpoint .Excel  می توان ، گزينه فوق را از طريق Tools|macro|Security ، استفاده و تنظيمات لازم را انجام داد. با انتخاب گزينه High ،  حداکثر ميزان حفاظت ، در نظر گرفته خواهد شد.

 

پيشگيری پنجم : نمايش و انشعاب فايل 

يکی از روش متداول بمنظور ايجاد مصونيت در مقابل فايل های حاوی کدهای مخرب ، تبديل فايل فوق به فايلی بی خاصيت ( عدم امکان اجراء) است . بدين منظور می توان از يک انشعاب فايل اضافه استفاده نمود .(مثلا” فايل :  ILOVYOU.TXT.VBS) .  در صورتيکه ويندوز برای  نمايش اين نوع فايل ها ( با در نظر گرفتن انشعاب فايل ها ) ، پيکربندی نشده باشد ، فايل فوق بصورت يک فايل متن تفسير خواهد شد. ( ILOVEYOU.TXT )  . بمنظور پياده سازی روش فوق می بايست دو فاز عملياتی را دنبال نمود : در اولين مرحله می بايست به ويندوز اعلام گردد که انشعاب فايل ها را از طريق   Windows Explorer ، نمايش دهد . ( انتخاب  Options|View  و غير فعال نمودن Hide file extensions for known file types ) . متاسفانه برای برخی فايل های خاص  که می توانند شامل عناصر اجرائی و يا اشاره گری به آنان باشند ، تنظيم فوق ، تاثيری را بدنبال نداشته و در اين رابطه لازم است کليد های ريجستری زير ، بمنظور پيکربندی ويندوز برای نمايش انشعاب اين نوع از فايل ها ، حذف گردد ( مرحله دوم.)

 

انشعاب فايل کليد ريجستری توضيحات
.lnk HKEY_CLASSES_ROOT\lnkfile\NeverShowExt Shortcut
.pif HKEY_CLASSES_ROOT\piffile\NeverShowExt Program information file
(shortcut to a DOS program)
.scf HKEY_CLASSES_ROOT\SHCmdFile\NeverShowExt Windows Explorer
Command file
.shb HKEY_CLASSES_ROOT\DocShortcut\NeverShowExt Shortcut into a document
.shs HKEY_CLASSES_ROOT\ShellScrap Shell Scrap Object
.xnk HKEY_CLASSES_ROOT\xnkfile\NeverShowExt Shortcut to an Exchange
folder
.url HKEY_CLASSES_ROOT\InternetShortcut\NeverShowExt Internet shortcut
.maw HKEY_CLASSES_ROOT\Access.Shortcut.DataAccessPage.1\NeverShowExt Shortcuts to elements of an MS Access database.
Most components of an Access database can containan executable component.
.mag HKEY_CLASSES_ROOT\Access.Shortcut.Diagram.1\NeverShowExt
.maf HKEY_CLASSES_ROOT\Access.Shortcut.Form.1\NeverShowExt
.mam HKEY_CLASSES_ROOT\Access.Shortcut.Macro.1\NeverShowExt
.mad HKEY_CLASSES_ROOT\Access.Shortcut.Module.1\NeverShowExt
.maq HKEY_CLASSES_ROOT\Access.Shortcut.Query.1\NeverShowExt
.mar HKEY_CLASSES_ROOT\Access.Shortcut.Report.1\NeverShowExt
.mas HKEY_CLASSES_ROOT\Access.Shortcut.StoredProcedure.1\NeverShowExt
.mat HKEY_CLASSES_ROOT\Access.Shortcut.Table.1\NeverShowExt
.mav HKEY_CLASSES_ROOT\Access.Shortcut.View.1\NeverShowExt

پيشگيری ششم : از Patch های بهنگام شده، استفاده گردد

اغلب حملات  مبتنی بر اينترنت  از  نقاط آسيب پذير يکسانی بمنظور نيل به اهداف خود استفاده می نمايند . ويروس Bubbleboy ، نمونه ای مناسب در اين زمينه بوده که تهيه کننده آن از نفاط آسيب پذير شناخته شده در مرورگر اينترنت ( IE  ) ، استفاده کرده است . ماکروسافت بمنظور حل مشکل اين نوع از نقاط آسيب پذير در محصولات خود خصوصا” برنامه مرورگر اينترنت ، patch های امنيتی خاصی را ارائه نموده است . با توجه به امکان بروز حوادث مشابه و بهره برداری از نقاط آسيب پذير در محصولات نرم افزاری استفاده شده ، خصوصا” نرم افزارهائی که بعنوان ابزار ارتباطی در اينترنت محسوب می گردند ، پيشنهاد می گردد که patch های ارائه شده را بر روی سيستم خود نصب تا حداقل از بروز حوادث مشابه قبلی بر روی سيستم خود جلوگيری نمائيم .

پيشگيری هفتم : محصولات آنتی ويروس

اغلب محصولات تشخيص ويروس های کامپيوتری، عمليات تشخيص خود را بر اساس  ويروس های شناخته شده  ، انجام خواهند داد . بنابراين  اينگونه محصولات همواره در مقابل حملات جديد و نامشخص ، غيرموثر خواهند بود. محصولات فوق ، قادر به برخورد و پيشگيری از تکرار مجدد ، حملات مشابه تهاجمات سابق می باشند. برخی از محصولات آنتی ويروس ، امکان بلاک نمودن ضمائم نامه های الکترونيکی را در سطح سرويس دهنده پست الکترونيکی فراهم می نمايند. پتانسيل فوق می تواند عاملی مهم بمنظور بلاک نمودن ضمائم نامه های الکترونيکی حاوی کدهای مخرب قبل از اشاعه آنان باشد .

پيشگيری هشتم : رعايت و پايبندی به اصل ” کمترين امتياز

” کمترين امتياز ” ، يک رويکرد پايه در رابطه با اعمال امنيت در کامپيوتر است . بر اين اساس توصيه می شود  که  به کاربران صرفا” امتيازاتی واگذار گردد که  قادر به انجام عمليات  خود باشند . کدهای مخرب بمنظور تحقق اهداف خود به يک محيط ، نياز خواهند داشت . محيط فوق ، می تواند از طريق اجرای يک برنامه توسط يک کاربر خاص بصورت ناآگاهانه ايجاد گردد. در اين رابطه پيشنهاد می گردد ، پس از آناليز نوع فعاليت هائی که هر کاربر می بايست انجام دهد ، مجوزها ی لازم برای وی تعريف و از بذل و بخشش مجوز در اين رابطه می بايست جدا” اجتناب ورزيد.

 

پيشگيری نهم : امنيت سيستم عامل

حفاظت در مقابل کدهای مخرب می تواند به ميزان قابل محسوسی از طريق کليدهای اساسی سيستم ، کنترل و بهبود يابد. در اين راستا از سه  رويکرد خاص استفاده می گردد : حفاظت عناصر کليدی در ريجستری سيستم ،  ايمن سازی اشياء پايه  و محدوديت در دستيابی به دايرکتوری سيستم ويندوز NT . در ادامه به بررسی هر يک از رويکردهای فوق ، خواهيم پرداخت .

 

پيشگيری نهم – رويکرد  اول : ايمن سازی ريجستری سيستم

کرم ILOVEYOU از مجوزهای ضعيف نسبت داده شده  به کليدهای ريجستری  RUN و RUNSERVICES ، استفاده  و اهداف خود را تامين نموده است . مجوزهای دستيابی پيش فرض در رابطه با کليدهای فوق ،  امکان تغيير محتويات و يا حتی ايجاد محتويات جديد را در اختيار کاربران قرار می دهد.مثلا” می توان با  اعمال تغييراتی خاص در رابطه با کليدهای فوق ، زمينه اجرای اسکريپت های خاصی را پس از ورود کاربران به شبکه و اتصال به سرويس دهنده بصورت  تکراری فراهم نمود . ( پس  از ورود کاربران به شبکه ، اسکريپت ها بصورت اتوماتيک اجراء خواهند شد ) . بدين منظور پيشنهاد می گردد که مجوزهای مربوط به کليدهای فوق بصورت جدول زير تنظيم گردد : ( پيشنهادات ارائه شده شامل کليدهای اساسی و مشخصی است که توسط ILOVEYOU  استفاده و علاوه بر آن کليدهای اضافه ديگر را نيز شامل می شود) :

 

مجوزهای پيشنهادی User / Groups کليد ريجستری
Full Control
Read, Write, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
MACHINE\SOFTWARE\Microsoft\Windows

کليدها و زير کليدها
پارامترهای استفاده شده توسط زير سيستم های win32

Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Runکليدها و زير کليدها
شامل اسامی امورد نظر که در هر مرتبه راه اندازی سيستم ، اجراء خواهند شد.
Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceکليدها و زير کليدها
شامل نام برنامه ای که در اولين مرتبه ورود به شبکه کاربر ، اجراء می گردد.
Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceExکليدها و زير کليدها
شامل اطلاعات پيکربندی برای برخی از عناصر سيستم و مرورگر. عملکرد آنان مشابه کليد RunOnce است.
Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Shell Extensionsکليدها و زير کليدها
شامل تمام تنظيمات Shell Extebsion که از آنان بمنظور توسعه اينترفيس ويندوز NT استفاده می گردد.

 

بمنظور اعمال محدوديت در دستيابی به ريجستری ويندوز از راه دور ، پيشنهاد می گردد  يک کليد ريجستری ايجاد و مقدار آن مطابق زير تنظيم گردد :

 

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\SecurePipeServers\winreg
Name: RestrictGuestAccess
Type: REG_DWORD
Value: 1

 

 

پيشگيری نهم – رويکرد دوم : ايمن سازی اشياء پايه

ايمن سازی اشياء پايه باعث ممانعت کدهای مخرب در ابطه با اخذ مجوزها و امتيازات مديريتی توسط يک ( DLL(Dynamic lonk Library می گردد . بدون پياده سازی سياست امنيتی فوق ، کدها ی مخرب قادر به استقرار در حافظه و لود نمودن فايلی با نام مشابه بعنوان يک DLL سيستم و هدايت برنامه به آن خواهند بود. در اين راستا لازم است ، با استفاده از برنامه ويرايشگر ريجستری ، يک کليد ريجستری ايجاد و مقدار آن مطابق زير  تنظيم گردد :

 

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\Session Manager
Name: AdditionalBaseNamedObjectsProtectionMode
Type: REG_DWORD
Value: 1

 

پيشگيری نهم – رويکرد سوم : ايمن سازی دايرکتوری های سيستم 

کاربران دارای مجوز لازم در خصوص نوشتن در دايرکتوری های سيستم  ( winnt/system32 و winnt/system )  می باشند . کرم ILOVEYOU از وضعيت فوق ، استفاده و اهداف خود را دنبال نموده است . پيشنهاد می گردد ، کاربران تائيد شده  صرفا” دارای  مجوز Read دررابطه با دايرکتوری های و فايل ها ی مربوطه بوده  و امکان ايجاد و يا نوشتن در دايرکتوری های  سيستم، از آنها سلب گردد. در اين رابطه ، تنظيمات زير پيشنهاد می گردد :

مجوزهای پيشنهادی User / Groups فايل / فولدر
Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT%

فايل ها ، فولدرها
شامل تعداد زيادی از فايل های اجرائی سيستم عامل

Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT/SYSTEM%

فايل ها ، فولدرها
شامل تعداد زيادی از فايل های DLL ، درايور و برنامه های اجرائی

Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT/SYSTEM32%

فايل ها ، فولدرها
شامل تعداد زيادی از فايل های DLL ، درايور و برنامه های اجرائی  ( برنامه های سی و دو بيتی )

 

 

رمزنگاری

 

۱معرفی و اصطلاحات

رمزنگاری علم کدها و رمزهاست. یک هنر قدیمی است و برای قرنها بمنظور محافظت از پیغامهایی که بین فرماندهان، جاسوسان،‌ عشاق و دیگران ردوبدل می‌شده، استفاده شده است تا پیغامهای آنها محرمانه بماند.

هنگامی که با امنیت دیتا سروکار داریم، نیاز به اثبات هویت فرستنده و گیرنده پیغام داریم و در ضمن باید از عدم تغییر محتوای پیغام مطمئن شویم. این سه موضوع یعنی محرمانگی، تصدیق هویت و جامعیت در قلب امنیت ارتباطات دیتای مدرن قرار دارند و می‌توانند از رمزنگاری استفاده کنند.

اغلب این مساله باید تضمین شود که یک پیغام فقط میتواند توسط کسانی خوانده شود که پیغام برای آنها ارسال شده است و دیگران این اجازه را ندارند. روشی که تامین کننده این مساله باشد “رمزنگاری” نام دارد. رمزنگاری هنر نوشتن بصورت رمز است بطوریکه هیچکس بغیر از دریافت کننده موردنظر نتواند محتوای پیغام را بخواند.

رمزنگاری مخفف‌ها و اصطلاحات مخصوص به خود را دارد. برای درک عمیق‌تر به مقداری از دانش ریاضیات نیاز است. برای محافظت از دیتای اصلی ( که بعنوان plaintext شناخته می‌شود)، آنرا با استفاده از یک کلید (رشته‌ای محدود از بیتها) بصورت رمز در می‌آوریم تا کسی که دیتای حاصله را می‌خواند قادر به درک آن نباشد. دیتای رمزشده (که بعنوان ciphertext شناخته می‌شود) بصورت یک سری بی‌معنی از بیتها بدون داشتن رابطه مشخصی با دیتای اصلی بنظر می‌رسد. برای حصول متن اولیه دریافت‌کننده آنرا رمزگشایی می‌کند. یک شخص ثالت (مثلا یک هکر) می‌تواند برای اینکه بدون دانستن کلید به دیتای اصلی دست یابد، کشف رمز‌نوشته (cryptanalysis) کند. بخاطرداشتن وجود این شخص ثالث بسیار مهم است.

رمزنگاری دو جزء اصلی دارد، یک الگوریتم و یک کلید. الگوریتم یک مبدل یا فرمول ریاضی است. تعداد کمی الگوریتم قدرتمند وجود دارد که بیشتر آنها بعنوان استانداردها یا مقالات ریاضی منتشر شده‌اند. کلید، یک رشته از ارقام دودویی (صفر و یک) است که بخودی‌خود بی‌معنی است. رمزنگاری مدرن فرض می‌کند که الگوریتم شناخته شده است یا می‌تواند کشف شود. کلید است که باید مخفی نگاه داشته شود و کلید است که در هر مرحله پیاده‌سازی تغییر می‌کند. رمزگشایی ممکن است از همان جفت الگوریتم و کلید یا جفت متفاوتی استفاده کند.

دیتای اولیه اغلب قبل از رمزشدن بازچینی می‌شود؛  این عمل عموما بعنوان scrambling شناخته می‌شود. بصورت مشخص‌تر، hash functionها بلوکی از دیتا را (که می‌تواند هر اندازه‌ای داشته باشد) به طول از پیش مشخص‌شده کاهش می‌دهد. البته دیتای اولیه نمی‌تواند از hashed value بازسازی شود. Hash functionها اغلب بعنوان بخشی از یک سیستم تایید هویت مورد نیاز هستند؛ خلاصه‌ای از پیام (شامل مهم‌ترین قسمتها مانند شماره پیام، تاریخ و ساعت، و نواحی مهم دیتا) قبل از رمزنگاری خود پیام، ساخته ‌و hash می‌شود.

یک چک تایید پیام (Message Authentication Check) یا MAC یک الگوریتم ثابت با تولید یک امضاء برروی پیام با استفاده از یک کلید متقارن است. هدف آن نشان دادن این مطلب است که پیام بین ارسال و دریافت تغییر نکرده است. هنگامی که رمزنگاری توسط کلید عمومی برای تایید هویت فرستنده پیام استفاده می‌شود، منجر به ایجاد امضای دیجیتال (digital signature) می‌شود.

۲الگوریتم‌ها

طراحی الگوریتمهای رمزنگاری مقوله‌ای برای متخصصان ریاضی است. طراحان سیستمهایی که در آنها از رمزنگاری استفاده می‌شود، باید از نقاط قوت و ضعف الگوریتمهای موجود مطلع باشند و برای تعیین الگوریتم مناسب قدرت تصمیم‌گیری داشته باشند. اگرچه رمزنگاری از اولین کارهای شانون (Shannon) در اواخر دهه ۴۰ و اوایل دهه ۵۰ بشدت پیشرفت کرده است، اما کشف رمز نیز پابه‌پای رمزنگاری به پیش آمده است و الگوریتمهای کمی هنوز با گذشت زمان ارزش خود را حفظ کرده‌اند. بنابراین تعداد الگوریتمهای استفاده شده در سیستمهای کامپیوتری عملی و در سیستمهای برپایه کارت هوشمند بسیار کم است.

 

 

۱-۲ سیستمهای کلید متقارن

یک الگوریتم متقارن از یک کلید برای رمزنگاری و رمزگشایی استفاده می‌کند. بیشترین شکل استفاده از رمزنگاری که در کارتهای هوشمند و البته در بیشتر سیستمهای امنیت اطلاعات وجود دارد data encryption algorithm یا DEA  است که بیشتر بعنوان DES‌ شناخته می‌شود. DES یک محصول دولت ایالات متحده است که امروزه بطور وسیعی بعنوان یک استاندارد بین‌المللی شناخته ‌می‌شود. بلوکهای ۶۴بیتی دیتا توسط یک کلید تنها که معمولا ۵۶بیت طول دارد، رمزنگاری و رمزگشایی می‌شوند. DES‌ از نظر محاسباتی ساده است و براحتی می‌تواند توسط پردازنده‌های کند (بخصوص آنهایی که در کارتهای هوشمند وجود دارند) انجام گیرد.

 

این روش بستگی به مخفی‌بودن کلید دارد. بنابراین برای استفاده در دو موقعیت مناسب است: هنگامی که کلیدها می‌توانند به یک روش قابل اعتماد و امن توزیع و ذخیره شوند یا جایی که کلید بین دو سیستم مبادله می‌شوند که قبلا هویت یکدیگر را تایید کرده‌اند عمر کلیدها بیشتر از مدت تراکنش طول نمی‌کشد. رمزنگاری DES عموما برای حفاظت دیتا از شنود در طول انتقال استفاده می‌شود.

کلیدهای DES ۴۰بیتی امروزه در عرض چندین ساعت توسط کامپیوترهای معمولی شکسته می‌شوند و بنابراین نباید برای محافظت از اطلاعات مهم و با مدت طولانی اعتبار استفاده شود. کلید ۵۶بیتی عموما توسط سخت‌افزار یا شبکه‌های بخصوصی شکسته می‌شوند. رمزنگاری DES سه‌تایی عبارتست از کدکردن دیتای اصلی با استفاده از الگوریتم DES‌ که در سه مرتبه انجام می‌گیرد. (دو مرتبه با استفاده از یک کلید به سمت جلو (رمزنگاری)  و یک مرتبه به سمت عقب (رمزگشایی) با یک کلید دیگر) مطابق شکل زیر:

این عمل تاثیر دوبرابر کردن طول مؤثر کلید را دارد؛ بعدا خواهیم دید که این یک عامل مهم در قدرت رمزکنندگی است.

الگوریتمهای استاندارد جدیدتر مختلفی پیشنهاد شده‌اند. الگوریتمهایی مانند Blowfish و IDEA برای زمانی مورد استفاده قرار گرفته‌اند اما هیچکدام پیاده‌سازی سخت‌افزاری نشدند بنابراین بعنوان رقیبی برای DES  برای استفاده در کاربردهای میکروکنترلی مطرح نبوده‌اند. پروژه استاندارد رمزنگاری پیشرفته دولتی ایالات متحده (AES) الگوریتم Rijndael را برای جایگزیتی DES بعنوان الگوریتم رمزنگاری اولیه انتخاب کرده است. الگوریتم Twofish مشخصا برای پیاده‌سازی در پردازنده‌های توان‌ـ‌پایین مثلا در کارتهای هوشمند طراحی شد.

در ۱۹۹۸ وزارت دفاع ایالات متحده تصمیم گرفت که الگوریتمها Skipjack و مبادله کلید را که در کارتهای Fortezza استفاده شده بود، از محرمانگی خارج سازد. یکی از دلایل این امر تشویق برای پیاده‌سازی بیشتر کارتهای هوشمند برپایه این الگوریتمها بود.

برای رمزنگاری جریانی (streaming encryption) (که رمزنگاری دیتا در حین ارسال صورت می‌گیرد بجای اینکه دیتای کدشده در یک فایل مجزا قرار گیرد) الگوریتم RC4‌ سرعت بالا و دامنه‌ای از طول کلیدها از ۴۰ تا ۲۵۶ بیت فراهم می‌کند. RC4 که متعلق به امنیت دیتای RSA‌ است، بصورت عادی برای رمزنگاری ارتباطات دوطرفه امن در اینترنت استفاده می‌شود.

 

۲-۲ سیستمهای کلید نامتقارن

سیستمهای کلید نامتقارن از کلید مختلفی برای رمزنگاری و رمزگشایی استفاده می‌کنند. بسیاری از سیستمها اجازه می‌دهند که یک جزء (کلید عمومی یا public key) منتشر شود در حالیکه دیگری (کلید اختصاصی یا private key) توسط صاحبش حفظ شود. فرستنده پیام، متن را با کلید عمومی گیرنده کد می‌کند و گیرنده آن را با کلید اختصاصی خودش رمزنگاری میکند. بعبارتی تنها با کلید اختصاصی گیرنده می‌توان متن کد شده را به متن اولیه صحیح تبدیل کرد. یعنی حتی فرستنده نیز اگرچه از محتوای اصلی پیام مطلع است اما نمی‌تواند از متن کدشده به متن اصلی دست یابد، بنابراین پیام کدشده برای هرگیرنده‌ای بجز گیرنده مورد نظر فرستنده بی‌معنی خواهد بود. معمولترین سیستم نامتقارن بعنوان RSA‌ شناخته می‌شود (حروف اول پدیدآورندگان آن یعنی Rivest ، Shamir و Adlemen است). اگرچه چندین طرح دیگر وجود دارند. می‌توان از یک سیستم نامتقارن برای نشاندادن اینکه فرستنده پیام همان شخصی است که ادعا می‌کند استفاده کرد که این عمل اصطلاحا امضاء نام دارد.  RSA شامل دو تبدیل است که هرکدام احتیاج به بتوان‌رسانی ماجولار با توانهای خیلی طولانی دارد:

امضاء، متن اصلی را با استفاده از کلید اختصاصی رمز می‌کند؛

  • رمزگشایی عملیات مشابه‌ای روی متن رمزشده اما با استفاده از کلید عمومی است. برای تایید امضاء بررسی می‌کنیم که آیا این نتیجه با دیتای اولیه یکسان است؛ اگر اینگونه است، امضاء توسط کلید اختصاصی متناظر رمزشده است.

به بیان ساده‌تر چنانچه متنی از شخصی برای دیگران منتشر شود، این متن شامل متن اصلی و همان متن اما رمز شده توسط کلید اختصاصی همان شخص است. حال اگر متن رمزشده توسط کلید عمومی آن شخص که شما از آن مطلعید رمزگشایی شود، مطابقت متن حاصل و متن اصلی نشاندهنده صحت فرد فرستنده آن است، به این ترتیب امضای فرد تصدیق می‌شود. افرادی که از کلید اختصاصی این فرد اطلاع ندارند قادر به ایجاد متن رمز‌شده‌ نیستند بطوریکه با رمزگشایی توسط کلید عمومی این فرد به متن اولیه تبدیل شود.

 

اساس سیستم RSA  این فرمول است: X = Yk (mod r)

که X متن کد شده، Y متن اصلی، k کلید اختصاصی و r حاصلضرب دو عدد اولیه بزرگ است که با دقت انتخاب شده‌اند. برای اطلاع از جزئیات بیشتر می‌توان به مراجعی که در این زمینه وجود دارد رجوع کرد. این شکل محاسبات روی پردازنده‌های بایتی بخصوص روی ۸ بیتی‌ها که در کارتهای هوشمند استفاده می‌شود بسیار کند است. بنابراین، اگرچه RSA هم تصدیق هویت و هم رمزنگاری را ممکن می‌سازد، در اصل برای تایید هویت منبع پیام از این الگوریتم در کارتهای هوشمند استفاده می‌شود و برای نشاندادن عدم تغییر پیام در طول ارسال و رمزنگاری کلیدهای آتی استفاده می‌شود.

سایر سیستمهای کلید نامتقارن شامل سیستمهای لگاریتم گسسته می‌شوند مانند Diffie-Hellman، ElGamal و سایر طرحهای چندجمله‌ای و منحنی‌های بیضوی. بسیاری از این طرحها عملکردهای یک‌ـ‌طرفه‌ای دارند که اجازه تاییدهویت را می‌دهند اما رمزنگاری ندارند. یک رقیب جدیدتر الگوریتم RPK‌ است که از یک تولیدکننده مرکب برای تنظیم ترکیبی از کلیدها با مشخصات مورد نیاز استفاده می‌کند. RPK یک پروسه دو مرحله‌ای است: بعد از فاز آماده‌سازی در رمزنگاری و رمزگشایی (برای یک طرح کلید عمومی) رشته‌هایی از دیتا بطور استثنایی کاراست و می‌تواند براحتی در سخت‌افزارهای رایج پیاده‌سازی شود. بنابراین بخوبی با رمزنگاری و تصدیق‌هویت در ارتباطات سازگار است.

طولهای کلیدها برای این طرحهای جایگزین بسیار کوتاهتر از کلیدهای مورد استفاده در RSA‌ است که آنها برای استفاده در چیپ‌کارتها مناسب‌تر است. اما ‌RSA‌ محکی برای ارزیابی سایر الگوریتمها باقی مانده است؛ حضور و بقای نزدیک به سه‌دهه از این الگوریتم، تضمینی در برابر ضعفهای عمده بشمار می‌رود.

 

 

 

 

ادامه مطلب

حملات Back door

حملات Back door

حملات Back door

حملات Back door

حملات Back door: حملات Back door برنامه ای است که امکان دستيابی به يک سيستم را بدون بررسی و کنترل امنيتی ، فراهم می نمايد . برنامه نويسان معمولا” چنين پتانسيل هائی  را در برنامه ها پيش بينی تا امکان اشکال زدائی و ويرايش کدهای نوشته شده در زمان تست بکارگيری نرم افزار ، فراهم گردد. با توجه به اين که تعداد زيادی از امکانات فوق ، مستند نمی گردند ، پس از اتمام مرحله تست به همان وضعيت باقی مانده و تهديدات امنيتی متعددی را به دنبال خواهند داشت .
برخی از متداولترين نرم افزارها ئی که از آنان به عنوان back door استفاده می گردد ، عبارتند از :

  • Back Orifice : برنامه فوق يک ابزار مديريت از راه دور می باشد که به مديران سيستم امکان کنترل يک کامپيوتر را از راه دور ( مثلا” از  طريق اينترنت ) ، خواهد داد. نرم افزار فوق ، ابزاری  خطرناک است که  توسط گروهی با نام Cult of the Dead Cow Communications ، ايجاد شده است . اين نرم افزار دارای دو بخش مجزا می باشد : يک بخش سرويس گيرنده و يک بخش سرويس دهنده . بخش سرويس گيرنده بر روی يک ماشين اجراء و زمينه مانيتور نمودن و کنترل يک ماشين ديگر که بر روی آن بخش سرويس دهنده اجراء شده است را فراهم می نمايد .
  • NetBus : اين برنامه نيز نظير Back Orifice ، امکان دستيابی و کنترل از راه دور يک ماشين از طريق اينترنت را فراهم می نمايد.. برنامه فوق تحت سيستم عامل ويندوز ( نسخه های متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشکيل شده است :  بخش  سرويس دهنده ( بخشی که بر روی کامپيوتر قربانی مستقر خواهد شد ) و  بخش سرويس گيرنده ( برنامه ای که مسوليت يافتن و کنترل سرويس دهنده را برعهده دارد ) . برنامه فوق ، به حريم خصوصی کاربران در زمان اتصال به اينترنت ، تجاوز و تهديدات امنيتی متعددی را به دنبال خواهد داشت .
  • Sub7) SubSeven) ،  اين برنامه برنامه نيز تحت ويندوز اجراء شده  و دارای عملکردی مشابه Back Orifice و NetBus می باشد . پس از فعال شدن برنامه فوق بر روی سيستم هدف و اتصال به اينترنت ،هر شخصی که دارای نرم افزار سرويس گيرنده باشد ، قادر به دستيابی نامحدود به سيستم خواهد بود .

نرم افزارهای Back Orifice ، NetBus,  Sub7 دارای دو بخش ضروری سرويس دهنده و سرويس گيرنده، می باشند . سرويس دهنده بر روی ماشين آلوده مستقر شده و از بخش سرويس گيرنده به منظور کنترل از راه دور سرويس دهنده ، استفاده می گردد.به نرم افزارهای فوق ، ” سرويس دهندگان غيرقانونی ”  گفته می شود .

برخی از نرم افزارها از اعتبار بالائی برخوردار بوده ولی ممکن است توسط کاربرانی که اهداف مخربی دارند ، مورد استفاده قرار گيرند :

  • Virtual Network Computing)VNC) : نرم افزار فوق توسط آزمايشگاه AT&T و با هدف کنترل از راه دور يک سيستم ، ارائه شده است . با استفاده از برنامه فوق ، امکان مشاهده محيط Desktop از هر مکانی نظير اينترنت ، فراهم می گردد . يکی از ويژگی های جالب اين نرم افزار ، حمايت گسترده از معماری های متفاوت است .
  • PCAnywhere : نرم افزار فوق توسط شرکت Symantec ، با هدف کنترل از راه دور يک سيستم با لحاظ نمودن فن آوری رمزنگاری و تائيد اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شرکت ها و موسسات فراوانی در حال حاضر از آن و به منظور دستيابی به يک سيستم از راه دور استفاده می نمايند .
  • Terminal Services : نرم افزار فوق توسط شرکت مايکروسافت و به همراه سيستم عامل ويندوز و به منظور کنترل از راه دور يک سيستم ، ارائه شده است .

همانند ساير نرم افزارهای کاربردی ، نرم افزارهای فوق را می توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بکارگرفت.
بهترين روش به منظور پيشگيری از حملات  Back doors ، آموزش کاربران و مانيتورينگ عملکرد هر يک از نرم افزارهای موجود می باشد. به کاربران می بايست آموزش داده شود که صرفا” از منابع و سايت های مطمئن اقدام به دريافت و نصب نرم افزار بر روی سيستم خود نمايند . نصب و استفاده از برنامه های آنتی ويروس می تواند کمک قابل توجهی در بلاک نمودن عملکرد اينچنين نرم افزارهائی ( نظير : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه های آنتی ويروس می بايست به صورت مستمر بهنگام شده تا امکان شناسائی نرم افزارهای جديد ، فراهم گردد .

 

 

 

ادامه مطلب

پنج نکته برای استفاده ایمن از شبکه بی سیم

پنج نکته برای استفاده ایمن از شبکه بی سیم

پنج نکته برای استفاده ایمن از شبکه بی سیم

پنج نکته برای استفاده ایمن از شبکه بی سیم

شبکه های محلی بی سیم و به اصطلاح WLAN ها دسترسی آسان به اینترنت را برای کاربران فراهم می سازند. اما در صورتی که این شبکه ها به صورت ایمن مورد استفاده قرار نگیرند می توانند آسیب ها و تهدیدات زیادی را بهمراه داشته باشند. در ادامه پنج نکته امنیتی بیان می شود که اعمال آن ها می تواند حفاظت قدرتمندی از شبکه های بی سیم ایجاد کند و امنیت را در استفاده از این شبکه ها افزایش دهد.

استفاده از رمزنگاری WPA2

در هنگام انجام تنظیمات برای شبکه بی سیم از رمزنگاری WPA2 استفاده کنید که در حال حاضر قدرتمندترین الگوریتم امنیتی است. مهاجمان قابلیت شکستن رمزنگاری هایی که از طریق تکنیک های قدیمی تر نظیر WEP صورت می گیرد را پیدا کرده اند.

استفاده از پسوردهای طولانی با کاراکترهای ویژه

هرگز شبکه های خود را با پسوردهای ضعیف در معرض دید دیگران قرار ندهید. باید اطمینان حاصل کنید که طول پسوردهای شما بیش از 10 کاراکتر و ترکیبی از کاراکترهای خاص، اعداد و حروف بزرگ و کوچک است.با استفاده از نرم افزارهای کرک کننده کد، کشف رمز ضعیف یک شبکه در طی چند ثانیه امکان پذیر می شود.

تغییر نام SSID ها

بسیاری از کاربران زحمت تغییر نام شبکه های بی سیم و یا به اصطلاح SSID را به خود نمی دهند و ترجیح می دهند از همان نام پیش فرض استفاده کنند. از آنجاییکه رمزنگاری WPA2 این نام را بعنوان بخشی از پسورد در خود دارد هکرها از SSID ها برای شکستن پسوردها استفاده می کنند.

عدم قرار دادن اطلاعات شخصی به عنوان نام SSID ها

هیچکس نمی خواهد که خود راهی برای دسترسی مهاجمان به سیستمش از طریق فهماندن این مسئله که شبکه اش ارزش نفوذ و به خطر انداختن را دارد ایجاد کند. استفاده از نام هایی نظیر “delta net” بعنوان SSID راهی برای شناسایی شبکه توسط هکرها فراهم می سازد. از اسم های مبهم برای SSID استفاده کنید که در این صورت راهی برای شناسایی هویت، مکان و موقعیت توسط هکرها فراهم نمی سازد.

رنج رادیویی را تنظیم کنید

Access point های مدرن و پیشرفته بصورت چند آنتنه می باشند و قابلیت پوشش مناطق دورتری را خواهند داشت. اما امکان کنترل توان ارسالی و رنج رادیویی و کاهش آن وجود دارد. با این کار می توان محدوده و فاصله ای که امکان دسترسی به سیگنال وجود دارد را تعیین کرد. در این صورت به خطر انداختن شبکه برای هکرها دشوار می شود.

 

 

ادامه مطلب

دلیل امنیت بالای پروتکل HTTPS چیست ؟

دلیل امنیت بالای پروتکل HTTPS چیست ؟

دلیل امنیت بالای پروتکل HTTPS چیست ؟

دلیل امنیت بالای پروتکل HTTPS چیست ؟

آیا شما هم جزو آن دسته از افراد هستید که می خواهید بدانید پروتکل HTTPS چیست و یا اینکه چه تفاوتی بین HTTPS با HTTP وجود دارد ؟ اگر هنگامی که ایمیل خود را باز می کنید به قسمت آدرس بار توجه کنید متوجه وجود یک آیکون قفل مانند خواهید شد. از آن جایی که برای باز کردن ایمیل خود از یک ارتباط رمز شده استفاده کرده اید این علامت در آن قسمت قرار گرفته است. در واقع پروتکل HTTPS یک ارتباط امن و محافظت شده است که برای ارتباط با سایت های مهم و حساس مثل سایت های بانک ها و یا سایت های مشابه استفاده می شود

پروتکل HTTPS  که خلاصه شده ی Hypertext Transfer Protocol Secure به معنای پروتکل امن انتقال ابر متن است در واقع یک پروتکل برای برقراری ارتباط های ایمن است .اما این نکته برای همه جای سوال دارد که ایراد HTTP چیست که برای برقراری ارتباط های امن باید از پروتکل HTTPS استفاده کرد ؟ ما به شما می گوییم. زمانی که شما از طریق پروتکل HTTPS به یک سایت متصل می شوید ، جستجوگر  شما به دنبال آی پی آن سایت گشته و هنگامی که آی پی آن را پیدا کند به آن متصل می شود. اما ایراد آن در این قسمت است که هم ممکن است آن آی پی مربوط به لینک مشابه آن سایت باشد وهم اینکه اطلاعات شما از قبیل اطلاعاتی که وارد می کنید یا رمز عبورهایتان برای ارائه دهندگان سرویس اینترنت قابل مشاهده هستند.

دلیل امنیت بالای پروتکل HTTPS چیست ؟

اگر مطلب قبلی ما که در مورد استفاده از Wi-Fi های رایگان منتشر کرده بودیم را هم به یاد داشته باشید ، در آن مطلب هم توضیح دادیم که اگر تصمیم گرفتید از اینترنت جایی که با آنجا آشنایی کافی ندارید استفاده کنید بهتر است حتی المقدور از ارتباط های امن استفاده کنید.

اکثر این مشکلات به این دلیل پیش می آیند که این نوع از ارتباط ها رمز گذاری نشده اند و اکثر هکر ها هم از این ویژگی آن سوء استفاده کرده و به حریم افراد تجاوز می کنند. بعد از آن برای رفع این مشکلات پروتکل HTTPS طراحی شد که تا حدی بتواند این مشکلات را برطرف کند. این پروتکل به طور کامل رمز گذاری شده است .

دلیل امنیت بالای پروتکل HTTPS چیست ؟

اما منظور از رمز گذاری یا encryption چیست ؟ در علم مهندسی اینترنت عمل رمز گذاری به عمیات رمز گذاشتن بین بسته های ارسالی و دریافتی در شبکه گفته می شود. در واقع هنگامی که کاربر یک بسته را برای یک سرور خاص می فرستد آن بسته رمز گذاری شده تا در حین ارسال مشکلی برای آن پیش نیاید و این رمز فقط توسط دریافت کننده قابل فهم است و متقابلا آن سایت هم هنگامی که بخواهد جواب این بسته را ارسال کند آن را رمز گذاری می کند. در این نوع ارتباط ها تمام ارسال و دریافت ها رمز گذاری شده هستد و همین باعث افزایش ضریب ایمنی آن شده است.

دلیل امنیت بالای پروتکل HTTPS چیست ؟

اما باز هم با تمام اینها نمی توان به طور قاطع گفت که پروتکل HTTPS  ایمن ترین راه است ولی به طور حتم بهتر و امن تر از HTTP است و تا حدی هم توانسته مشکلات آن را از میان بردارد . در این پروتکل هنگامی که شما بخواهید یک سایت خاص را باز کنید ، HTTPS اول کنترل می کند که آیا سایت درست است و همچنین امنیت آن را هم بررسی می کند و بعد شما را به آنجا لینک می کند .

 

ادامه مطلب

کدام استاندارد رمزنگاری در شبکه WiFi ایمن‌تر و سریع‌تر است؟

با افزایش محبوبیت استفاده از ارتباطات وای‌فای در اغلب گجت‌های امروزی، لزوم توجه به رعایت نکات امنیتی نیز بیش از پیش نمود پیدا می‌کند. اما اگر با روش‌های متداول برای احراز هویت و رمزگذاری این ارتباطات وای‌فای و مزایا و معایب آنها آشنایی ندارید با ما همراه شوید تا به بررسی جامع این استانداردها بپردازیم.اگر شما هم تاکنون گذرتان به پنل تنظیمات روتر بی‌سیم منزل یا محل‌کارتان افتاده باشد، گزینه‌های مربوط به استانداردهای امنیتی وای‌فای نیز به چشمتان خورده است. در روترهای وای‌فای، به هنگام تنظیم رمز عبور برای شبکه‌ی بی‌سیم، دو بخش دیگر نیز می‌بایست با گزینه‌های صحیح تنظیم شوند؛ بخش‌ Authentication Type یا شیوه‌ی احراز هویت که معمولاً شامل گزینه‌هایی از این قرارند:

  • Disabled (یا Open)
  • WEP 64 Bits
  • WEP 128 Bits
  • WPA – PSK
  • WPA2 – PSK

و بخش Encryption یا رمزنگاری که متدهای مربوط به کدگذاری داده‌ها را در دسترس شما می‌گذارد:

  • AES
  • TKIP

البته ممکن است در روترهای مختلف متناسب با نوع محصول، کمپانی سازنده و سال ساخت، این گزینه‌ها کمتر یا بیشتر باشند. ولی مهمترین موارد که بین اغلب آنها مشترک هستند، گزینه‌هایی بود که در بالا به آنها اشاره شد.

wifi-security1

اما این که این گزینه‌ها و استانداردها به چه معنا هستند و انتخاب هر یک چه مزایا و معایبی دارد، موضوعی است که اغلب کاربران هیچ آشنایی با آن نداشته و از همین رو، گاه با انتخاب تنظیمات ناصحیح، ضمن کاهش امنیت ارتباطات وای‌فای خود، سرعت آن را نیز با افتی محسوس مواجه می‌سازند.

wifi-security2

اما اگر مایلید تا در این رابطه اطلاعات کاملی بدست آورید و زین پس تنظیمات روتر وای‌فای خود را به شکلی صحیح انجام دهید، با ادامه‌ی این مقاله همراه شوید.

AES و TKIP چه هستند و چه تفاوت‌هایی دارند؟

TKIP و AES دو شیوه‌ی متفاوت برای رمزنگاری هستند که می‌توان از آنها برای ایمن‌سازی شبکه‌های وای‌فای بهره گرفت. TKIP مخفف Temporal Key Integrity Protocol به معنی «پروتکل جامع کلید موقت» است. TKIP یک پروتکل رمزنگاری در قالب چاره‌ای موقت برای شیوه‌ی رمزنگاری نه چندان ایمن WEP بود که به همراه WPA در آن زمان معرفی شد. در واقع TKIP ساختار بسیار مشابهی با شیوه‌ی رمزنگاری WEP دارد. نکته‌ی مهم اینست که TKIP در حال حاضر ایمن نیست و این شیوه‌ی رمزنگاری عملاً منسوخ شده است. به عبارتی شما نباید از آن استفاده کنید.

AES نیز مخفف عبارت Advanced Encryption Standard به معنای «استاندارد رمزنگاری پیشرفته» است. AES پروتکل رمزنگاری با ضریب امنیت بسیار بالاتر است که با WPA2 یعنی جایگزین WPA، معرفی شد. AES یک شیوه‌ی رمزنگاری منحصر به استفاده برای ایمن‌سازی ارتباطات وای‌فای نبوده و تنها بدین منظور توسعه نیافته است؛ بلکه یک استاندارد رمزنگاری جهانی و جدی است که استفاده از آن حتی توسط دولت ایالات متحده آمریکا نیز به تصویب رسیده است. برای مثال، وقتی شما هارددرایو خود را با استفاده از برنامه‌ی رایگان و محبوب TrueCrypt رمزنگاری می‌کنید، این برنامه قابلیت استفاده از استاندارد AES را نیز دارد. به طور کلی در استاندارد AES، امنیت بسیار بالایی در نظر گرفته شده است و تنها نقاط ضعفی که می‌توان برای آن قائل شد مربوط به ضعف در حملات Brute-Force یا نقطه ضعف‌های امنیتی پیرامون WPA2 است. البته در مورد حملات Brute-Force (حملاتی که در آن هکر با بکارگیری حجم انبوهی از رمزعبورهای تصادفی، سعی در کشف رمزعبور اصلی دارد)، در صورتی که از کلمه‌ی عبوری قوی استفاده کنید، ضریب موفقیت این حملات بسیار کم می‌شود.

عبارت PSK در WPA-PSK و WPA-PSK2 نیز محفف Pre-Shared Key به معنای «رمز عبور اصلی» مورد استفاده برای رمزنگاری است. این عبارت، روش‌های فوق را از متد WPA-Enterprise که از سرور Radius برای مدیریت کلید منحصر به فرد در شبکه‌های شرکت‌های بزرگ یا دولت‌ها استفاده می‌کند، متمایز می‌کند.

WPA از رمزنگاری TKIP و WPA2 از رمزنگاری AES استفاده می‌کنند، ولی…

به طور خلاصه، TKIP یک استاندارد قدیمی به منظور رمزنگاری است که برای استاندارد قدیمی‌تری به نام WPA استفاده می‌شده. AES نیز راهکار رمزنگاری جدیدتری است که توسط استاندارد نو و ایمن‌تر WPA2 استفاده می‌شود. در روی کاغذ همه چیز همین است که گفته شد؛ ولی در عمل و متناسب با نوع روتر شما، ممکن است WPA2 به اندازه‌ی کافی خوب نباشد.

در حالی که قرار است WPA2 از AES برای امنیت بیشتر بهره بگیرد، ولی کماکان گزینه‌ای برای استفاده از TKIP بر روی دستگاه‌های قدیمی یا ناسازگار نیز پیش‌بینی شده است. به عبارتی WPA2 همیشه به معنای WPA2-AES نخواهد بود؛ ولی در دستگاه‌هایی که گزینه‌ی مستقلی برای انتخاب نوع رمزنگاری از میان AES و TKIP ندارند، به طور کلی WPA2 مترادف با WPA2-AES فرض می‌شود.

حالت‌های متداول برای امنیت وای‌فای

کمی سردرگم شده‌اید؟! جای تعجب ندارد. تنها کاری که لازم دارید این است که گزینه‌ی ترکیبی صحیح را متناسب با نوع روتر و استفاده‌ی خود برگزینید.

Disabled یا Open: این حالت بدترین انتخاب ممکن است؛ چرا که شبکه‌ی وای‌فای شما بدون هیچ رمزعبور خاصی در دسترس خواهد بود. اکیداً توصیه می‌شود از انتخاب این گزینه پرهیز کنید؛ چرا که مانند این است که درب منزل خود را باز بگذارید و به امید تامین امنیت خانه توسط پلیس باشید!

 WEP 64: استاندارد رمزنگاری WEP یا Wired Equivalent Privacy بسیار قدیمی و آسیب‌پذیر بوده و نباید از آن استفاده شود. WEP در سال ۱۹۹۷ متولد شد و در سال ۲۰۰۳ عملاً جای خود را به WPA داد و منقرض شد. هدف از این پروتکل همان‌گونه که از نام آن نیز مشخص است محرمانه نگه داشتن اطلاعات در سطحی معادل با شبکه های مبتنی بر سیم است. این پروتکل مبتنی بر الگوریتم رمزنگاری RC4 با کلید سری ۴۰ بیتی است که با یک IV به طول ۲۴ بیت ترکیب شده و برای رمزنگاری استفاده می‌شود.

WEP 128: این استاندارد حتی با بکارگیری کلید رمزنگاری قوی‌تر ۱۲۸ بیتی (ترکیب کلید سری ۱۰۴ بیتی با یک IV به طول ۲۴ بیت)، باز هم قابل اتکا نبوده و استفاده از آن ریسک زیادی دارد.

(WPA-PSK (TKIP: این، حالت پایه برای استاندارد رمزنگاری WPA یا WPA1 است که عملاً منسوخ شده و از امنیت کافی برخوردار نیست.

(WPA-PSK (AES: انتخاب پروتکل وایرلس قدیمی WPA در کنار شیوه‌ی رمزنگاری مدرن AES. سخت‌افزاری که از رمزنگاری AES پشتیبانی کند، در اغلب موارد از پروتکل وایرلس جدیدتر یعنی WPA2 نیز پشتیبانی می‌کند. همچنین سخت‌افزاری که تنها از پروتکل WPA1 استفاده می‌کند نیز اغلب از رمزنگاری AES پشتیبانی نمی‌کند. بنابر‌این انتخاب این گزینه اساساً غیر منطقی و اشتباه خواهد بود.

(WPA2-PSK (AES: می‌توان گفت این امن‌ترین گزینه‌ برای انتخاب است. استفاده از آخرین استاندارد رمزنگاری وای‌فای در کنار آخرین متود رمزنگاری مدرن یعنی AES. توصیه ما استفاده از این گزینه است. در روترهایی که رابط گرافیکی آنها کمی گیج‌کننده است، احتمالاً این حالت با عناوینی مثل WPA2 یا WPA2-PSK ذکر شده که به احتمال زیاد از رمزنگاری AES نیز استفاده می‌کنند (چرا که این منطقی‌ترین حالت است).

(WPAWPA2-PSK (TKIP/AES: در برخی از روترها این گزینه نیز در دسترس خواهد بود که سازگاری هر نوع دستگاهی را برای شما به ارمغان خواهد آورد. ترکیبی از نسل اول و دوم استاندارد وایرلس یعنی WPA1 و WPA2 در کنار دو شیوه‌ی رمزنگاری ضعیف و قوی TKIP و AES. هر چند استفاده از متدهای قدیمی و ضعیف‌تر، کور سوی امیدی را برای مهاجمان به منظور نفوذ به شبکه‌ی شما باز خواهد گذاشت.

wifi-security3

پشتیبانی اغلب دستگاه‌های تولید شده از سال ۲۰۰۶ به بعد از AES

گواهی WPA2 از سال ۲۰۰۴ در دسترس قرار گرفت؛ یعنی در حدود ۱۱سال قبل. از سال ۲۰۰۶، استفاده از گواهی WPA2 اجباری شد. به عبارتی هر دستگاهی که از سال ۲۰۰۶ به بعد تولید شده و آرم Wi-Fi بر روی آن درج گردیده، می‌بایست از رمزنگاری WPA2 پشتیبانی کند؛ یعنی از حدود ۹ سال قبل!

wifi-logo

قاعدتاً اغلب دستگاه‌های اطراف شما که لوگوی Wi-Fi روی آنها نقش بسته است، خیلی جدیدتر از ۹ یا ۱۱ سال قبل هستند؛ بنابراین شما باید گزینه‌ی (WPA2-PSK (AES را انتخاب کنید. حتی اگر این گزینه را انتخاب کردید و به هر دلیل دستگاه شما متوقف شد، به راحتی می‌توانید این تنظیمات را تغییر دهید. اگر هم دستگاه شما قدیمی است، شاید وقت آن رسیده باشد که دستگاهی با عمر کمتر از ۹ یا ۱۱ سال تهیه کنید و ریسک استفاده از یک دستگاه با استانداردهای امنیتی ضعیف را کاهش دهید.

WPA و TKIP عاملی برای کاهش سرعت وای‌فای شما

شاید جالب باشد بدانید که گزینه‌های سازگار با WPA و TKIP می‌توانند سرعت شبکه‌ی وای‌فای شما را به شکل محسوسی کاهش دهند. بسیاری از روترهای جدید که از استانداردهای ارتباطی ۸۰۲٫۱۱n و استاندارهای سریع‌تر و جدیدتر پشتیبانی می‌کنند، سرعتشان با فعال‌سازی WPA یا TKIP در گزینه‌های خود، به ۵۴ مگابیت بر ثانیه کاهش خواهد یافت. این کاهش سرعت به منظور اطمینان از سازگاری با دستگاه‌های قدیمی است.

اگر روتر دارای استاندارد ۸۰۲٫۱۱n از WPA2 در کنار AES استفاده کند، سرعتی تا ۳۰۰ مگابیت بر ثانیه را پشتیبانی خواهد کرد. در مورد استانداردی نظیر ۸۰۲٫۱۱ ac این تفاوت سرعت بسیار فاحش‌تر خواهد بود؛ چرا که این استاندارد از نظر تئوری و در شرایط ایده‌آل، از سرعت حداکثری ۳٫۴۶ گیگابیت بر ثانیه پشتیبانی می‌کند.

به بیان دیگر، صرف‌نظر از مبحث امنیتی، از لحاظ سرعت ارتباطات شبکه‌ی وای‌فای نیز استفاده از استانداردهای قدیمی WPA و TKIP به هیچ‌وجه منطقی نیست.

اما آنچه مسلم است در اغلب روترهای موجود در بازار ایران و خصوصاً روترهای تی‌پی لینک و دی‌لینک که بیش از دیگر برندها در میان کاربران ایرانی متداولند، دسترسی به گزینه‌ی ایده‌آل یعنی (WPA2-PSK (AES پیش‌بینی شده است.

wifi-security5

اگر روتر شما WPA2 را به شما پیشنهاد داده و مانند روتر من به شما حق انتخاب برای استفاده از TKIP یا AES را می‌دهد، حتما AES را انتخاب کنید. مطمئن باشید اغلب دستگاه‌های شما با آن سازگار بوده و خیال‌تان نیز از بابت امنیت و سرعت آسوده خواهد بود. پس همیشه به خاطر داشته باشید که انتخاب استاندارد رمزنگاری AES چه برای کدگذاری ارتباطات وای‌فای و چه برای کدگذاری هر نوع اطلاعات دیگری مثل هارددرایو شما، امنیت و سرعت بیشتری را به ارمغان خواهد آورد.

 

ادامه مطلب