بخش پنجاه
آموزش رایگان سکیوریتی پلاس؛ آشنایی با الگوریتم‌ها و پروتکل‌های هش در دنیای امنیت
برای آزمون باید حتما پروتکل‌های مورد استفاده برای رمزگذاری انواع مختلف ترافیک را بشناسید. به یاد داشته باشید که TLS جایگزین SSL است، SSH باید به جای Telnet استفاده شود و اگر امنیت نگران کننده است، باید از HTTPS به جای HTTP استفاده شود. علاوه بر این باید در ارتباط با الگوریتم‌های هش نیز اطلاعات کافی داشته باشید.

shabake-mag.jpg

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

مزایا و معایب رمزگذاری نامتقارن

مزیت رمزگذاری نامتقارن این است که برخلاف رمزگذاری متقارن، می‌توانید کلیدهای عمومی را به‌طور ایمن با سایر طرف‌های ارتباط مبالده کنید. در سیستم نامتقارن، شما آزاد هستید که کلید عمومی را در حالی که کلید خصوصی نزد کاربر می‌ماند، ارائه دهید.

مدیریت کلید همچنین مزیت استفاده از رمزگذاری نامتقارن است. دیدید که با رمزگذاری متقارن، با افزایش تعداد کاربران، تعداد کلیدها به‌طرز چشمگیری افزایش می‌یابد. با رمزگذاری نامتقارن، برای هر کاربر تنها به یک جفت کلید نیاز دارید تا بتوانید پیام‌ها را برای همه کاربران دیگر رمزگذاری کنید.

نقطه ضعف رمزگذاری نامتقارن این است که کندتر از رمزگذاری متقارن است. اگر عملکرد یک عامل کلیدی است، رمزگذاری متقارن ممکن است جایگزین بهتری باشد.

الگوریتم‌های رمزگذاری نامتقارن

به اندازه الگوریتم‌های رمزگذاری متقارن، الگوریتم‌های رمزگذاری نامتقارن وجود ندارد. از رایج‌ترین الگوریتم‌های نامتقارن به موارد زیر باید اشاره کرد:

  • Rivest Shamir Adleman : اولین الگوریتم نامتقارن RSA است که امضا و رمزگذاری را پیاده‌سازی می‌کند.
  • Diffie-Hellman : این الگوریتم به نام سازندگان آن نام‌گذاری شده است. دیمن-هیلمن یک پروتکل تبادل کلید است که با تبادل کلیدها به روش ایمن از داده‌ها محافظت می‌کند.
  • Elliptic curve:  یک الگوریتم نامتقارن جدیدتر است که بر اساس Diffie-Hellman برای تبادل کلید و الگوریتم امضای دیجیتال (DSA) برای امضای پیام‌ها است. به این رمز نگاری منحنی بیضوی گفته می شود.

رمزنگاری کوانتومی

محاسبات کوانتومی مبتنی بر نظریه کوانتومی هستند. نظریه کوانتومی رفتار انرژی و مواد را در سطح اتمی تعریف می‌کند، در حالی که در معماری‌های رایج این فرآیند در سطح بیتی 1 یا 0 انجام می‌شود. محاسبات کوانتومی می‌توانند با بیت‌های داده حاوی 0، 1 و همزمان کار کنند.

روش جدیدتر رمزگذاری که در سال‌های اخیر آشکار شده است، رمزنگاری کوانتومی یا دقیق‌تر ارتباطات کوانتومی است. رمزنگاری/ارتباط کوانتومی در حال حاضر با شبکه‌های فیبر نوری بین نقاط پایانی محاسبات کوانتومی استفاده می‌شود. این فناوری مبتنی بر ارسال اطلاعات رمزگذاری شده به صورت فوتون (ذرات نور) است که سپس به داده‌های باینری تبدیل می‌شوند.

مزیت رمزنگاری کوانتومی این است که اگر شخصی وارد کانال ارتباطی شود و به ارتباطات گوش دهد، وضعیت فوتون‌ها هنگام عبور از استراق سمع تغییر می‌کند. تغییر وضعیت فوتون‌ها به راحتی توسط طرفین ارتباط تشخیص داده می‌شود و به آن‌ها اجازه می‌دهد تا بدانند که باید کلید رمزنگاری خود را تغییر دهند.

چالش رایانه‌های کوانتومی این است که ممکن است بتوانند روش‌های رمزگذاری سنتی را بشکنند. بنابراین، موسسه ملی استاندارد و فناوری NIST  رمزنگاری پساکوانتومی را ایجاد کرده است که یک سیستم رمزنگاری است که در برابر رایانه‌های سنتی و رایانه‌های کوانتومی ایمن‌تر است.

رمزنگاری سبک و رمزگذاری هممورفیک (Lightweight Cryptography and Homomorphic Encryption)

دو شکل دیگر از رمزنگاری و رمزگذاری که باید برای آزمون گواهینامه با آن‌ها آشنا باشید، رمزنگاری سبک وزن و رمزگذاری همومورفیک هستند.

■    کریپتوگرافی سبک (Lightweight cryptography): یک روش رمزنگاری است که به توان محاسباتی کمتری نیاز دارد و برای زمان‌هایی طراحی شده که باید بار کمی به سامانه‌ها وارد شود. به بیان دیگر برای دستگاه‌ها کوچک طراحی شده است.

■   رمزگذاری هم شکل (Homomorphic encryption): نوعی رمزگذاری که بر روی داده‌های رمزگذاری‌شده موجود انجام می‌شود.

تبادل کلید درون باند در مقابل تبادل کلید خارج از باند (In-Band vs. Out-of-Band Key Exchange)

آزمون گواهینامه Security+ از شما انتظار دارد که اصطلاحات تعویض کلید درون باندی و تعویض کلید خارج از باند را بدانید. با تبادل کلید درون باند، کلید رمزگذاری بین طرفین به عنوان بخشی از ارتباط رد و بدل می‌شود. با استفاده از مبادله کلید خارج از باند، دو طرف باید کلیدها را در یک کانال ارتباطی جداگانه به غیر از کانال ارتباطی که در حال تبادل داده بین طرفین است، مبادله کنند.

درک Hashing

هش کردن یک سرویس رمزنگاری مهم است، زیرا برای اطمینان از یکپارچگی داده‌ها یا یک پیام طراحی شده است. یکپارچگی با اطمینان از این‌که اطلاعات از زمان ایجاد یا ارسال به گیرنده دستکاری نشده است، سروکار دارد.

برای استفاده از هش، فرستنده ابتدا الگوریتم هش را روی داده‌ها اجرا می‌کند تا یک مقدار هش را بر مبنای داده‌ها ایجاد شود. هنگامی‌که مقدار هش محاسبه شد، همراه پیام ذخیره یا ارسال می‌شود. هنگامی‌که پیام دریافت می‌شود، گیرنده از همان الگوریتم هش استفاده می‌کند تا مقدار هش روی پیام را محاسبه کند. سپس مقدار هش محاسبه شده با مقدار هش ارسال شده با پیام مقایسه می‌شود و اگر یکسان باشند، به این معنی است که اطلاعات تغییر نکرده است.

مقادیر هش به‌عنوان مقادیر هش یک طرفه شناخته می‌شوند، زیرا انجام عملیات معکوس گرفتن مقدار هش و محاسبه پیام (یا داده) از آن غیرممکن است. به همین دلیل است که اکثر فروشندگان پسوردها را هنگام ذخیره در یک سیستم هش می‌کنند. مقادیر هش را نمی‌توان بازیابی کرد و برای محاسبه رمزهای عبور حساب‌های کاربری استفاده کرد.

نکات کلیدی زیر را در مورد هش به خاطر بسپارید:

■   مقدار هش طول ثابتی دارد که به الگوریتم هش بستگی دارد. مهم نیست چقدر داده هش می‌شود، الگوریتم هش همیشه اندازه یکسانی را تولید می‌کند.

■   مقدار هش به عنوان خلاصه پیام نیز شناخته می‌شود.

■   هش کردن براساس داده‌ها است، نه سرآیند فایل. به عنوان مثال، اگر مقدار هش یک فایل را محاسبه کنید، سپس نام فایل را تغییر دهید و دوباره هش را محاسبه کنید، همان مقدار هش خواهد بود. این به این دلیل است که کسی نمی‌تواند با تغییر نام یک فایل را مخفی یا نادرست معرفی کند. از نظر فنی، اگر می خواهید ثابت کنید که همان فایل است، فقط باید هش را محاسبه کنید.

■   اگرچه بعید است، بسته به اندازه مقدار درهم‌سازی که الگوریتم ایجاد می‌کند، از نظر فنی ممکن است دو قطعه داده متفاوت یک مقدار هش ایجاد کنند. به‌عنوان مثال، یک مقدار هش 64 بیتی می‌تواند تنها مقادیر بسیار زیادی داشته باشد، بنابراین ممکن است هنگام انجام یک محاسبه، یک هش تکراری دریافت کنید. از طرف دیگر، یک مقدار هش 128 بیتی، مقادیر احتمالی بیشتری دارد که می‌توان آن‌ها را به عنوان هش محاسبه کرد. این بدان معنی است که فرصت‌های بیشتری برای مقادیر هش منحصر به فرد وجود دارد.

■   تصادم (Collision) اصطلاحی است برای زمانی که دو قطعه داده متفاوت مقدار هش یکسانی را محاسبه می‌کنند.

الگوریتم‌های درهم‌سازی (Hashing Algorithms)

همانطور که الگوریتم‌های رمزگذاری متقارن، ریاضیات مربوط به رمزگذاری اطلاعات را انجام می‌دهند، یک الگوریتم هش نیز ریاضیات را برای محاسبه مقادیر هش داده‌ها انجام می‌دهد.

در زیر برخی از الگوریتم‌های هش رایج که در سال‌های اخیر مورد استفاده قرار گرفته‌اند، آمده است:

■   Message Digest الگوریتم MD توسط Ron Rivest ایجاد شده است و نسخه‌های مختلفی مانند MD2، MD4 و MD5 دارد. الگوریتم MD5 امروزه یکی از رایج‌ترین الگوریتم‌های هش است که یک مقدار هش 128 بیتی تولید می‌کند.

■   الگوریتم هش ایمن (SHA) که توسط آژانس امنیت ملی ایجاد شده است، الگوریتم SHA دارای نسخه‌های مختلفی است، مانند SHA-0، SHA-1، و SHA-2. رایج‌ترین پروتکل هش در بین سه پروتکل مورد استفاده امروزی، SHA-1 است که یک مقدار هش 160 بیتی ایجاد می‌کند.

■   SHA-256 و SHA-512 نسخ جدیدتر الگوریتم SHA هستند که به ترتیب مقادیر هش 256 و 512 بیتی را تولید می‌کنند.

■   LANMAN که با نام هش LM نیز شناخته می‌شود، این الگوریتم هش توسط سیستم‌عامل های قدیمی مایکروسافت برای هش و ذخیره گذرواژه ها استفاده می‌شود. هش LM با رمزگذاری رمز عبور DES استفاده می‌شود. رویکرد فوق یک روش غیر امن برای ذخیره هش رمز عبور است.

■   NT LAN Manager هش NTLM با سیستم‌عامل Windows NT به دنیای فناوری وارد شد و روش جدید و بهبودیافته‌ای برای ذخیره گذرواژه‌ها در رجیستری است. رمزهای عبوری که با NTLM هش می‌شوند از MD4 به جای DES (استفاده شده توسط LANMAN) استفاده می‌کنند. NTLMv2 یک پروتکل احراز هویت قوی‌تر از NTLM است و از HMAC-MD5 برای هش پیام‌ها بین کلاینت و سرور استفاده می‌کند.

■   RACE Integrity Primitive Evaluation Message Digest   الگوریتم RIPEMD نسخه‌های مختلفی از سطوح هش دارد، مانند ۱۲۸ بیت، ۱۶۰ بیت، ۲۵۶ بیت، و ۳۲۰ بیت.

■   کد احراز هویت پیام مبتنی بر هش HMAC شامل استفاده از یک کلید مخفی همراه با الگوریتم هش برای محاسبه کد تأیید اعتبار پیام (MAC) است. MAC مقدار هش حاصل است.

برای آزمون، حتماً در مورد الگوریتم‌های هش فهرست شده در این بخش مطالعه زیادی انجام دهید. به یاد داشته باشید که MD5 یک مقدار هش 128 بیتی ایجاد می‌کند، در حالی که SHA-1 یک مقدار هش 160 بیتی ایجاد می‌کند.

MD5 و SHA-1 در حال حاضر محبوب‌ترین الگوریتم‌های هش هستند که برای اطمینان از یکپارچگی پیام و داده‌ها استفاده می‌شوند. هنگام دانلود نرم‌افزار از اینترنت می‌توانید با استفاده از این پروتکل‌ها اطمینان حاصل کنید که فایل‌ها دستکاری نشده‌اند.

برای آن‌که دانش خود در ارتباط با مبحث هش را افزایش دهید، پیشنهاد می‌کنیم از ابزار CrypTool برای تولید هش استفاده کنید تا نحوه یکپارچگی داده‌ها را بررسی کنید.

درک محدودیت‌ها

آزمون سکیوریتی پلاس از شما انتظار دارد که پروتکل‌های رمزگذاری مختلف و مخاطرات پیرامون هر یک از پروتکل‌ها را درک کنید. برای مثال، اگر برنامه‌ای از DES یا 3DES استفاده می‌کند، خطر امنیتی این است که روش‌های رمزگذاری ضعیفی هستند، زیرا استانداردهای قدیمی هستند که کرک شده‌اند. در زیر برخی از محدودیت‌های پیرامون استانداردهای رمزگذاری که باید در مورد آن‌ها اطلاع داشته باشید فهرست شده‌اند.

■   سرعت: باید بدانید که رمزگذاری متقارن سریع‌تر از رمزگذاری نامتقارن است، به همین دلیل است که بسیاری از فناوری‌ها از هر دو روش استفاده می‌کنند. متقارن برای سرعت و نامتقارن برای مدیریت کلید.

■   اندازه: باید بدانید که هرچه اندازه کلید بزرگ‌تر باشد، رمزگذاری قوی‌تر است. به عنوان مثال، رمزگذاری AES 256 بیتی قوی‌تر از رمزگذاری AES 128 بیتی است.

■   کلیدهای ضعیف: استفاده از کلیدهای رمزگذاری ضعیف می‌تواند رمزگذاری را در برابر حمله آسیب‌پذیر کند. استفاده از یک استاندارد رمزگذاری با بزرگ‌ترین اندازه کلید ممکن، خطر شکسته شدن کلید را کاهش می‌دهد.

■   زمان: باید بدانید که انواع مختلف رمزگذاری برای رمزگذاری و رمزگشایی مقادیر بزرگ‌تر داده‌ها به زمان بیشتری نیاز دارند. به‌عنوان مثال، استفاده از رمزگذاری متقارن برای رمزگذاری یک فایل بزرگ، زمان کمتری نسبت به رمزگذاری نامتقارن دارد.

■   طول عمر: دانستن طول عمر پروتکل یا برنامه رمزگذاری موضوع مهم دیگری است که باید از آن آگاه باشید. شما نمی‌خواهید روی فناوری سرمایه‌گذاری کنید که شاید منسوخ شده یا به پایان عمر خود نزدیک شده است.

■   قابلیت پیش‌بینی: از فناوری‌هایی استفاده کنید که امکان پیش‌بینی مقادیر تصادفی آن‌ها سخت است. به‌عنوان مثال، استفاده از IVهایی که قابل پیش‌بینی هستند، می‌تواند خطری جدی برای نقض حریم خصوصی داده‌های رمزگذاری شده ایجاد کند.

■   استفاده مجدد از کلیدها: می‌تواند خطرات امنیتی برای محیط شما ایجاد کند، زیرا به مهاجم کمک می‌کند کلید رمزگذاری را بشکند.

■   Entropy : اطلاعات تصادفی درباره سیستمی است که یک برنامه رمزگذاری از آن برای رمزگذاری داده‌ها استفاده می‌کند. برنامه‌ای که آنتروپی خوبی ایجاد نمی‌کند، می‌تواند در برابر رمزگشایی داده‌ها توسط مهاجم آسیب‌پذیر باشد.

■   سربارهای محاسباتی: هرچه الگوریتم رمزگذاری پیشرفته‌تر باشد، سیستم به قدرت پردازش بیشتری نیاز دارد. می‌توانید از یک GPU برای مدیریت هزینه‌های محاسباتی برنامه‌های رمزگذاری قوی استفاده کنید.

■   منابع در مقابل محدودیت‌های امنیتی مربوط به سربار محاسبات: هرچه الگوریتم رمزگذاری و اندازه کلید قوی‌تر باشد، منابع بیشتری (رم و پردازنده) استفاده می‌شود. یافتن تعادل بین امنیت خوب و بارگذاری بیش از حد سیستم مهم است.

رمزگذاری داده‌ها

اگر می‌خواهید اطمینان حاصل کنید که اطلاعات شرکت شما برای افراد غیرمجاز قابل مشاهده نیست، باید داده‌ها را رمزگذاری کنید. هنگامی که روی بحث رمزگذاری داده‌ها متمرکز هستید به نکات زیر دقت کنید:

■   داده‌های در حال انتقال: داده‌ها را هنگام عبور از شبکه از مبدا به مقصد رمزگذاری کنید تا اگر شخصی به ارتباط نفوذ کرد، نتواند داده‌ها را بخواند.

■   داده‌های در حالت سکون: هنگام ذخیره اطلاعات روی دیسک یا در پایگاه داده، داده‌ها را رمزگذاری کنید تا اگر شخصی به درایو یا پایگاه داده دسترسی پیدا کرد، نتواند داده‌های حساس را مشاهده کند.

■   داده‌های در حال استفاده: وقتی داده‌ها در RAM، حافظه کش CPU یا حتی ثبت‌های CPU ذخیره می‌شوند باید رمزگذاری شوند. هدف این است که اطمینان حاصل شود که کسی نمی‌تواند با نوشتن کدی که داده‌ها را از این مناطق بازیابی می‌کند به داده‌های حساس دسترسی پیدا کند.

■   دیسک کامل: اکثر سیستم عامل‌های امروزی از رمزگذاری تمام دیسک (FDE) پشتیبانی می‌کنند. به عنوان مثال، ویندوز دارای BitLocker است که به شما امکان می‌دهد محتویات کل درایو از جمله سیستم عامل را رمزگذاری کنید یا پارتیشن‌های خاصی را رمزگذاری کنید. برای راه‌اندازی کامل سیستم، یک فرد باید کلید را بداند تا بتواند محتوای رمزگذاری شده را رمزگشایی کند.

■   پایگاه داده: هنگام ذخیره اطلاعات در پایگاه داده، رمزگذاری اطلاعات حساس مهم است. به عنوان مثال، اگر شرکت شما برنامه‌ای دارد که شماره کارت اعتباری مشتری یا حتی رمز عبور مشتری را ذخیره می‌کند، باید آن داده‌ها را در پایگاه داده رمزگذاری کنید، زیرا یک هکر می‌تواند به پایگاه داده دسترسی پیدا کند و این اطلاعات را کشف کند. بسیاری از محصولات پایگاه داده این امکان را می‌دهند که کل پایگاه داده را رمزگذاری کنید، بنابراین اگر مهاجم فایل‌های پایگاه داده را بدزدد، قادر به خواندن داده‌ها نیست، زیرا کلید رمزگشایی را ندارد.

■   فایل‌های منفرد: اگر محتوای کل درایو را رمزگذاری نمی‌کنید، می‌توانید محتوای اسناد حساس انتخاب‌شده را رمزگذاری کنید. به عنوان مثال، می‌توانید از سیستم رمزگذاری فایل (EFS) در ویندوز برای رمزگذاری فایل‌ها و پوشه‌ها استفاده کنید.

■   رسانه قابل جابجایی: اگر داده‌ها را روی یک درایو قابل جابجایی ذخیره می‌کنید، مانند درایو فلش، حتماً همه داده‌های شرکت را در این درایو رمزگذاری کنید. گم کردن یا فراموش کردن فلش مموری در جایی بسیار آسان است و اگر اطلاعات رمزگذاری نشده باشد، هر کسی می‌تواند آن‌را بخواند!

■   دستگاه‌های تلفن همراه: اکثر دستگاه‌های تلفن همراه به شما امکان می‌دهند محتویات دستگاه تلفن همراه را رمزگذاری کنید تا در صورت گم شدن یا دزدیده شدن دستگاه، هیچ‌کس نتواند داده‌های دستگاه را بازیابی کند.

رمزگذاری ارتباطات

اگر در حال ارسال یا دریافت اطلاعات محرمانه از طریق شبکه یا اینترنت، یا هنگام برقراری ارتباط روی یک دستگاه تلفن همراه هستید، باید مطمئن شوید که از طریق یک کانال امن ارتباط برقرار می‌کنید. یک کانال امن تمامی ترافیک ارسال شده بین سیستم‌ها را رمزگذاری می‌کند.

پروتکل‌های ارتباطی امن / رمزگذاری انتقال

از ترافیک‌های مختلفی که باید رمزنگاری شوند باید به ترافیک وب، ایمیل، Telnet و FTP اشاره کرد. هنگام طراحی یا ارزیابی امنیت، باید مطمئن شوید که از امن‌ترین پروتکل‌های ارتباطی استفاده می‌کنید. آزمون سکیوریتی پلاس از شما انتظار دارد که بدانید با توجه به یک سناریو، چه پروتکل‌های ایمنی را باید پیاده‌سازی کنید. موارد زیر پروتکل‌های امنیتی رایجی هستند که توسط فناوری‌ها یا برنامه‌های کاربردی اثبات شده برای رمزگذاری ارتباطات در شبکه‌های ارتباطی استفاده می‌شوند:

■  HTTPS: به جای استفاده از HTTP که پروتکلی برای ترافیک وب ناامن است، باید از HTTPS استفاده کنید که به عنوان HTTP امن (SHTTP) نیز شناخته می‌شود. HTTPS از SSL برای رمزگذاری ارتباط بین کلاینت و وب سرور استفاده می‌کند. یک سناریو در این زمینه، وب‌سایتی است که به مشتریان اجازه می‌دهد اطلاعات نمایه‌شان را به‌روزرسانی کنند و به آن‌ها اجازه می‌دهد از یک مکانیزم ایمن و رمزگذاری شده برای این منظور استفاده کنند.

■   Secure Sockets Layer /Transport Layer Security  : چندین سال است که پروتکل‌های محبوب برای رمزگذاری ترافیک، مانند ترافیک وب و ایمیل هستند. TLS یک پروتکل امن‌تر است که برای جایگزینی SSL طراحی شده است. SSL یا پروتکل جدیدتر TLS می‌تواند برای رمزگذاری ارتباطات بین سرورهای درون سازمانی استفاده شوند. همچنین، می‌توانید برای ایمن‌سازی ارتباط بین دو سرور ایمیل، در داخل سازمان یا با یک شرکت شریک استفاده کنید.

■   Secure MIME (S/MIME) S/MIME: پروتکلی است که برای رمزگذاری پیام‌های ایمیل در شبکه استفاده می‌شود. به عنوان مثال، S/MIME می‌تواند برای رمزگذاری پیام‌های ایمیل از کلاینت‌ها استفاده شود.

■   پروتکل انتقال بی‌درنگ امن (SRTP): برای برنامه‌های کنفرانس صوتی و ویدیویی که از RTP استفاده می‌کنند، اگر نگران این هستید که شخصی بتواند ترافیک صوتی و ویدیویی شما را ضبط کند و سپس آن‌را پخش کند، می‌توانید SRTP را به عنوان پروتکل جایگزین پیاده‌سازی کنید. پروتکل مذکور خدمات رمزگذاری و احراز هویت را برای ارتباطات صوتی و تصویری ارائه می‌دهد.

■   پروتکل دسترسی به دایرکتوری سبک وزن از طریق SSL  LDAPS: یک پروتکل دسترسی به سرویس دایرکتوری ایمن است که در صورت نگرانی باید به جای LDAP استفاده شود، زیرا تمام ارتباطات با سرور دایرکتوری را رمزگذاری می‌کند.

■   Domain Name System Security Extensions: یک پروتکل امنیتی مهم برای DNS است. DNSSEC ارتباط با سرور DNS را رمزگذاری نمی‌کند، اما یکپارچگی را به رکوردهای DNS اضافه می‌کند تا کلاینت‌ها بدانند که آیا داده‌های DNS توسط شخص غیرمجاز اصلاح شده است یا خیر. DNSSEC این‌کار را با اضافه کردن یک امضای دیجیتال به هر رکورد انجام می‌دهد که حاوی مقدار هش داده‌های قابل تأیید است.

■    Internet Protocol Security: یک پروتکل امنیتی محبوب است که برای رمزگذاری تمام ترافیک IP، صرف‌نظر از برنامه، طراحی شده است. IPSec دو حالت دارد: حالت انتقال و حالت تونل. با حالت انتقال، تنها بخش داده رمزگذاری می‌شود. با حالت تونل، سرآیند بسته و داده‌ها رمزگذاری می‌شوند. IPSec از پروتکل‌های مختلفی برای سرویس‌های رمزنگاری استفاده می‌کند:

■   Authentication Header (AH): مسئول یکپارچگی داده‌ها و احراز هویت فرستنده در IPSec است.

■   Encapsulating Security Payload (ESP): یکپارچگی داده‌ها، احراز هویت و محرمانه بودن داده‌ها را با رمزگذاری داده‌ها، که به عنوان payload نیز شناخته می‌شود، در بسته فراهم می‌کند.سناریویی که می‌توان از IPSec استفاده کرد این است که شما نیاز به رمزگذاری تمام ترافیک شبکه یا شاید تمام ترافیک شبکه بین گروهی از سیستم‌ها دارید.

برای آزمون، به یاد داشته باشید که AH یکپارچگی داده‌ها و احراز هویت را ارائه می‌دهد، اما محرمانگی داده‌ها (رمزگذاری) را تضمین نمی‌کند. ESP یکپارچگی داده‌ها، احراز هویت و محرمانگی داده‌ها در IPSec را فراهم می‌کند.

■   Secure Shell: پروتکل SSH جایگزینی امن برای Telnet است و خدمات احراز هویت و رمزگذاری را ارائه می‌کند. SSH می‌تواند برای ایجاد یک کانال رمزگذاری شده استفاده شود تا ارتباط از طریق کانال رمزگذاری شود. یک سناریوی رایج که در آن از SSH استفاده می‌شود، دسترسی از راه دور به سوئیچ‌ها و روترها است.

■    FTP Secure: که با نام FTP-SSL و FTPS نیز شناخته می‌شود، باید به عنوان جایگزینی امن برای FTP استفاده شود، زیرا ارتباطات FTP را با استفاده از پروتکل امنیتی SSL یا TLS رمزگذاری می‌کند.

■   SSH FTP: که با نام SFTP نیز شناخته می‌شود، توسعه‌ای برای SSH است که امکان انتقال و مدیریت امن فایل‌ها را از طریق کانال SSH فراهم می‌کند. توجه داشته باشید که مورد مذکور FTPS نیست که از SSL یا TLS برای ایمن‌سازی ترافیک FTP استفاده کند.

■   پروتکل مدیریت شبکه ساده نسخه 3 : (SNMPv3) این نسخه باید جایگزین نسخه‌های قبلی SNMP استفاده شود، زیرا ویژگی‌های احراز هویت و رمزگذاری ارتباطی را ارائه می‌کند. SNMP برای نظارت و مدیریت دستگاه‌های موجود در شبکه مانند روترها و سوئیچ‌ها استفاده می‌شود.

■   پروتکل ایمن اداره پست/پروتکل دسترسی به پیام اینترنتی (Secure POP/IMAP): هنگامی‌که یک سرویس‌گیرنده ایمیل در اینترنت دارید که با استفاده از POP یا IMAP به سرور ایمیل شرکت شما متصل می‌شود که داده‌ها را در قالبی رمزگذاری نشده ارسال می‌کند ( از جمله نام کاربری و رمز عبور)، باید به دنبال استفاده از Secure POP یا Secure IMAP برای رمزگذاری ارتباطات باشید. هم Secure POP و هم Secure IMAP از TLS یا SSL برای ایمن‌سازی ارتباطات ایمیل استفاده می‌کنند.

■   پروتکل کپی امن (SCP): مانند SFTP، پروتکل فوق در بالای یک کانال SSH اجرا می‌شود تا ارتباطات مورد استفاده برای انتقال فایل را رمزگذاری کند.

■   Wireless: باید ارتباطات بی‌سیم را با WPA2 یا WPA3 رمزگذاری کنید.

به‌کارگیری VPN برای ایمن‌سازی ارتباطات موضوع مهم دیگری است که باید در مورد آن اطلاع داشته باشید. موضوع مهم دیگری که باید در مورد آن اطلاع داشته باشید، Steganography است. برای اطلاعات بیشتر در این زمینه به ابن آدرس مراجعه کنید.

 

برای مطالعه بخش بعد اینجا کلیک کنید. 

برای مطالعه تمام قسمت‌های آموزش سکیوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

تهران: آموزشگاه عصر رایان شبکه

مهندس اطلاعات 

تلفن: 02188549150           کانال: Asrehshabakeh@


تبلیغات لینکی: 

سایت استخدام

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟