تبلیغات
آموزش شبکه و سرور - مجازی سازی - نصب انواع سیستم عامل - مطالب ابر احراز هویت
آموزش شبکه و سرور - مجازی سازی - نصب انواع سیستم عامل
آموزش نصب انواع سیستم عامل ، شبکه ، سرویس هاست ، مجازی سازی و غیره...

مرتبه
تاریخ : دوشنبه 23 مرداد 1391


به نام خدا

سیگنالینگSIP

با سلام

یکی از سیگنالینگ‌های مهم در زمینه انتقال صوت در شبکه اینترنت سیگنالینگ SIP است و در انتقال صوت بر رویIP و شبکه‌های مبتنی بر IP نظیر شبکه نسل آینده(IMS)، شبکه تلفن همراه نسل سه و غیره از آن استفاده می‌شود. این سیگنالینگ در سطح کنترلی شبکه‌ها و به منظور تنظیم و برقراری ارتباط کاربران با سرورهای شبکهIP و تنظیمات مربوط به کیفیت ارتباط و غیره استفاده می‌شود. این سیگنالینگ بر رویTCP و UDP قابل انتقال هست که البته به دلیل ماهیت ارتباط صوت بیشتر بر رویUDP منتقل می‌شود و انتقال آن رویTCP به دلیل افزایش تاخیر‌ها و ارسال مجدد درTCP، کاهش کیفیت صوت منتقل شده را در بر خواهد داشت.

سیگنالینگSIP دارای آسیب‌پذیری‌های متنوعی است که می‌توان دسته‌بندی زیر را برای آن‌ها در نظر گرفت:

 

1- دسته اول بر اساس شبکهIP نظیر حملات ‌replay, DOS, Spoofing, sniffing, middle man می‌باشد.

2- دسته دوم به علت طبیعت و ساختارSIP در لایه کاربرد نظیر bogus terminate, bogus register است.

3- دسته سوم شامل حملاتی ناشی از ترکیب استفاده از SIP در شبکه و آسیب‌پذیری‌های مختلف شبکهVOIP و رسانه‌های کاربردی  نظیر SQL injection, buffer overflow می‌باشد.

در ادامه بعضی از حملات در این سیگنالینگ را با توضیح مختصری تشریح می‌نماییم.

 

  •        DOS

حملات ‌DOS پهنای باند سیستم را اشغال می‌کند، زمان پردازش اضافی به سیستم تحمیل می‌نماید و باعث می ‌شود سیستم کارایی خود را از دست بدهد زیرا درگیر تعداد زیادی پیام نصفه می‌شود. در ضمن حمله‌کننده به پیام‌های ارسال شده از سرورSIPپاسخی نمی‌دهد و تنها آدرسهای منابعSIP در این پیام‌ها را شنود نموده و از آن برای DDOS بهره می‌برد.

 

  •      Voice trapping

شنود ترافیک در سیگنالینگSIP به دلیل عدم رمزنگاری پیام‌ها امکان‌پذیر است.

 

  •      Voice spam/Predicate call

مهاجم پیام‌های invite متعدد را برای مزاحمت کاربری و یا برای فروش محصول خود ارسال می‌نماید. وجود Spamدر این شبکه مزاحمت بیشتری دارد. زیرا spam  پست الکترونیکی به دلیل اینکه on-line چک نمی‌شود و هرگاه فرصت دست داد چک می‌شود، آزاردهنده نیست اما ماهیت بلادرنگ voip باعث پاسخ‌گویی به تمامinviteهای رسیده می‌شود.

 

  •     Bogus terminate

برای از کار انداختن یک نشست در SIP با ارسال پیام‌های جعلیcancel و یا bye به سرورSIP مکالمه را بدون اطلاع کاربر ارتباطی قطع می‌نمایند.

 

  •     Malformed message

داخل نمودن یکسری کدهای نامعتبر و اضافی درون پیامهای ارسالی، سرریز بافر ویا SQL injection از حملاتی است که می‌تواند انجام شود و از کد نویسی در بخش‌هایی از هدر SIP استفاده می‌نماید.

 

  •     Phishing

در این حمله از شناسه‌های شبکه سو‌استفاده می‌شود. به این مفهوم که شناسه یک کاربر مجاز را استفاده نموده و به سرور‌SIP متصل می‌شوند تا اطلاعات لازم را از ارتباط ایجاد شده دریافت نمایند. یا آدرس خود را به عنوان یک سرور پروکسی مجازSIP در وب سایت وارد ‌نموده و کاربر به سرور جعلی که آدرس آن وارد شده است، متصل می‌شود.

 

  •     Replay attack

تکرار اطلاعات درست و حقیقی یک پیام ارسال شده در شبکه درون پیامی جعلی توسط حمله‌کننده را حمله تکرار می‌نامند. در این حمله ابتدا شنود انجام می‌شود و اطلاعات بدست آمده از پیام تحت فرمت جدید دوباره در شبکه ارسال می‌شود.

در این بخش به راه‌حل‌های اشاره شده می‌پردازیم. از مکانیزم‌هایی که امنیت SIP را افزایش می‌دهند می‌توان به موارد زیر اشاره نمود:

    اضافه نمودن IPsec به سیگنالینگSIP دشوار و پرزحمت است زیرا منجر به تحمیل سرباز اضافی به دلیل رمزنگاری به روشIPsec-ESP می‌شود.

    احراز هویت در لایه انتقال  (TLS) همان HTTPS,SIPSمی‌باشد. این روش سربار کمتری نسبت به IPsecایجاد می‌کند و از الگوریتمPKI بهره می‌برد. باید از TCP برای انتقال استفاده شود.

    استفاده از پروتکل که  SRTPبا رمز نگاری، محرمانگی و نیز احراز هویت که می‌تواند با گذاشتن یک nonce از حمله تکرارreplay جلوگیری ‌نماید.

    استفاده از سیستم‌های NIDS در شبکه‌هایVOIP کاربرد دارد.

جدول زیر نگاشتی از حملات و تهدیدها به همراه راه‌حل‌های ارایه شده در هر مورد را نشان می‌دهد.

سد حملات سیگنالینگ SIP با استفاده از مکانیزم‌های امنیتی مختلف


 

در مورد بهبود عملکرد امنیتی سیگنالینگSIP مقاله‌های متعددی ارایه شده است. تنوع راه‌حل‌های ارایه شده دسته‌بندی آن‌ها را مشکل می‌نماید و هر مقاله دسته‌بندی‌های خاصی را برای آن درنظر گرفته است. اما حمله‌های شایع در این سیگنالینگ را می‌توانflooding, Dos دانست. برای این سیگنالینگ استانداردها و RFC های متعددی ارایه شده است که می‌توانند راهنمای خوبی برای آشنایی بیشتر با ساختار این سیگنالینگ باشند.
 


طبقه بندی: امنیت شبکه، 
برچسب ها: سیگنالینگSIP، سیستم‌های NIDS، احراز هویت، لایه انتقال،
ارسال توسط پیمان کوره پز
مرتبه
تاریخ : یکشنبه 22 مرداد 1391
با نام خدا
 
بخش‌های امنیتی پروتکلSNMP

 
در ادامه معرفی پروتکل مدیریتی SNMP به مکانیزم‌های امنیتی آن می‌رسیم.


بخش‌های امنیتی همانند احراز هویت، محرمانگی و یکپارچگی در نسخه سومSNMP مورد توجه قرار گرفته است. در زمان انتقال پیام توسط SNMP می‌توان حالتهای دسترسیread-write, no-acces read-only, را برای پیام‌‌ها‌ تنظیم نمود. در نسخه‌ 1 و 2 این پروتکل شنود بسته‌های ارسال شده قابل انجام بود زیرا رمزنگاری داده  در ترافبک شبکه انجام نمی‌شد.


این پروتکل می‌تواند بر روی TCP پیاده‌سازی شود اما در اغلب موارد بر روی‌UDP پیاده‌سازی می‌شود که IP spoofing را در این بخش میسر می‌نماید و شنود بسته‌های داده ارسال شده در شبکه را در لایه IP قابل انجام می‌نماید.


حملات brute force (شکستن رمز با امتحان تعدادی کلید با توجه به طول کلید الگوریتم رمزنگاری) و  dictionary attack از جمله مواردی هستند که تمام نسخه‌های این پروتکل نسبت به آن ضعف دارند. این ضعف به خاطر عدم پشتیبانی  پروتکل‌ از پروتکل دستداد چالش و پاسخ(challenge- response handshake) می‌باشد.


علاوه بر حملات بالا، این پروتکل می‌بایست در مقابل حمله dos (وقفه) نیز مقابله نماید. به این منظور، مقایسه پاسخ‌های دریافت شده به ازای درخواست‌های ارسال شده به شبکه در SNMP انجام می‌پذیرد. هر پاسخی که دریافت می‌شود می‌بایست به ازای درخواستی، ارسال شده به شبکه باشد؛ در غیر این صورت احتمال وجود حمله DOS وجود دارد.


در نسخه سوم این پروتکل مدل امنیتی مبتنی بر کاربر با نام  ( User-based Security Model ( USM تعریف شده است. مدلUSM  در معماریSNMP کاربرد دارد و پروسیجرهایی تولید می‌کند تا در ایجاد سطوح امنیتی برای پیام‌های SNMP استفاده شوند. یکسری MIB مدیریتی برای مونیتورینگ و نظارت بر این مدل امنیتی(USM) تعریف شده است. نحوه انجام این تنظیمات در RFC 3414 تشریح شده است.


در بخش احراز هویت از الگوریتم‌های رمزنگاری HMAC-MD5-96 و HMAC-SHA-96 استفاده می‌شود و CBC-DES برای محرمانگی در پروتکلSNMP کاربرد دارد. به منظور حفظ محرمانگی، احراز هویت پیام بایستی الزامی باشد. مدلUSM پروتکلSNMP امکان استفاده از این الگوربتم‌ها را در کنارSNMP  مهیا نموده است.


هر کدام از الگوریتم‌ها به روشی پیاده‌سازی می‌شوند و توضیح نحوه پیاده سازی روش‌ها و الگوریتم‌های ذکرشده در بالا  جزو معرفی SNMP نمی‌باشد. برای آشنایی با هر کدام از این الگوریتم‌ها می‌توانید از شبکه اینترنت استفاده نموده و شرح پیاده‌سازی آن‌ها را مطالعه نمایید. روش و مدلUSM این الگوریتم‌ها را به منظور افزایش کارایی و امنیت پروتکل SNMP در کنار هم وبه کمک واحدهایMIB پیاده سازی نموده است. نحوه پیاده‌سازی آن‌ها در جلسه آینده مورد بحث قرار می‌گیرد.

 

موفق باشین..........

 


طبقه بندی: امنیت شبکه، 
برچسب ها: احراز هویت، محرمانگی و یکپارچگی، نسخه سومSNMP، شنود بسته‌های داده، حملات brute force، معماریSNMP، پروتکلSNMP،
ارسال توسط پیمان کوره پز
مرتبه
تاریخ : جمعه 13 مرداد 1391
پروتکل‌IPSec در لایه سه اعمال شده و مکانیزم‌های امنیتی را بر روی پروتکلIP اعمال می‌کند. ایجاد این مکانیزم‌ها بر روی IP باعث می‌شود تا حدودی امنیت در شبکه‌ اینترنت بر روی داده‌ها اعمال شود. این پروتکل در لایه سه و به همراه IPv6 به صورت اجباری اعمال می‌شود و باعث ایمن نمودن ارتباط ایجاد شده در شبکه داخلی و در کل شبکه می‌گردد.

اعمال این پروتکل امنیتی در لایه سه، نیازی به تغییر در برنامه‌های کاربردی نصب شده در شبکه ندارد و پس از پیاده‌سازی آن، همان برنامه ها و پروتکل‌های قبل از اعمالIPSec به کار خود ادامه می‌دهند.

این پروتکل مسیریابی مطمینی در شبکه موجب می‌گردد و از بسیاری از حملاتی که ناشی از مسیریابی جعلی است ممانعت می‌نماید.

این پروتکل در دو م‍د transport و tunnel مورد بهره‌برداری قرار می‌گیرد. در مد انتقال، از payload یا همان داده و قسمتی از سرآیند IP که این پروتکل به آن اضافه شده است، محافظت می‌شود و سرآیندهای مربوط به IP محافظت نمی‌شوند.

 مد تونل‌زنی‌IPSec بر روی دروازه‌ها و یا گره‌هایی که توسط آنها اطلاعات از زیرشبکه خارج می‌گردد، اعمال می‌گردد و در زمان خروج بسته‌ها ایمنی بر روی آن‌ها اضافه می‌شود و از payload محافظت می‌گردد.

کل داده به همراه بخش‌های ایمنی، به عنوان داده جدید برای datagram جدید درنظر گرفته شده و سرآیند مربوط به datagram نیز محافظت می‌شود.  به این معنی که یک سرآیند خارجی امنیتی به کل بسته ‌IP شامل داده و سرآیند آن اضافه می‌گردد.

 
پروتکلIPsec از حملاتی نظیرIPSpoofing ممانعت می‌کند و به علت تعریف شماره‌های توالی در خود از حمله تکرار نیز جلوگیری می‌کند. در حمله تکرار مهاجم بسته فرستاده شده در شبکه را دریافت نموده و دوباره آن را ارسال می‌کند. در صورت داشتن شماره توالی و   یا sequence Number در یک بسته وقتی دوباره بسته‌ای فرستاده باشد، این شماره توالی در شبکه تکراری خواهد بود و گیرنده با دریافت این موضوع بسته را drop می‌کند. در صورتی که بسته‌ای نیز از شبکه حذف شود، شماره توالی مربوط به آن حذف شده است و شبکه متوجه مفقود شدن یک بسته خواهد شد.

نوشتن شماره توالی و time stamp و یا مهر زمانی‌ برای جلوگیری از حمله تکرار می‌باشد.

هر کدام از این دو مد کاری پروتکلIPSec، می‌توانند در دو نوع حالت پیاده‌سازی شوند. پیاده‌سازی این پروتکل با دو روش AH,ESP مورد اجرا قرار می‌گیرد.  سرویس‌های پروتکل AH شامل احراز هویت، یکپارچگی داده و کنترل دسترسی است.

روش ESP با رمزنگاری، شامل سرویس‌های محرمانگی داده، کنترل دسترسی و محرمانگی جریان داده می‌باشد.

هر دو روش از ایجاد حمله تکرار بسته‌ها با استفاده از یک مقدار شماره توالی سی و دو بیتی، ممانعت می‌کنند. 

زمان انتقال ترافیک، وقتی که بسته‌IP، به هر گره‌ای که بر روی آن IPSec نصب شده است، برخورد کند، بر اساس آدرس مقصد می‌تواند تشخیص دهد که این گره، کاربر نهایی، مسیریاب و یا یک دیواره آْتش است.

ادامه مطالب در مقاله های بعدی می‌آید. 



طبقه بندی: امنیت شبکه، 
برچسب ها: پروتکلIPsec، امنیت شبکه، حملات IPSpoofing، جلوگیری از IPSpoofing، پروتکل AH، احراز هویت، یکپارچگی داده،
ارسال توسط پیمان کوره پز
مرتبه
تاریخ : یکشنبه 1 مرداد 1391
بُعد احراز هویت، در مورد تشخیص درست بودن هویت فردی است که می­خواهد از امکانات شبکه استفاده نماید.
احراز هویت  این اطمینان را می ­دهد که موجودیتی که در ارتباط شبکه­ ای شرکت کرده است،  مجاز می باشد. این موجودیت می­ تواند شخص، ابزار، سرویس و یا کاربرد نصب شده در شبکه باشد.
 
یکی بودن هویت کاربر با چیزی که ادعا می­کند, به معنی مجاز شناخته شدن آن کاربر است. تنها از این طریق است که کاربر میتواند سرویس­ها را از شبکه دریافت نماید.
در حمله ­هایی که در شبکه رخ می­دهد حمله­ کننده، با استفاده از مشخصه­ های عناصر مجاز همانند آدرس IP، آدرس MAC ، مشخصه­ های شناسه کاربری و کلمه عبور و غیره، خود را عنصر مجاز معرفی نموده و به شبکه وارد می­شود.
 
محافظت از این بخش­ها و جلوگیری از افشای این مشخصه­ ها باعث در امان ماندن شبکه از حمله­ های افراد غیرمجاز می­گردد.
 
بُعد کنترل دسترسی و احراز هویت با یکدیگر ارتباط نزدیک دارند و ما می­توانیم با دادن شناسه کاربری متفاوت به افراد و تعیین سطح دسترسی هر شناسه،  باعث شویم تا افراد بتوانند به سرویس­های شبکه دسترسی یابند و امکاناتی همانند اصلاح و تغییر داده­ ها، حذف و یا تغییر مکان و مسیر ذخیره دادها را داشته باشند.
 
بالاترین سطح دسترسی، با دسترسی به شناسه­ ها و کلمه عبور admin به دست می­ آید و بالاترین امکان تغییر داده را داراست. در این مورد فرد غیر مجاز، با بالاترین سطح دسترسی به امکانات و دارایی­ های شبکه، آسیب رسانی را انجام می­دهد.
 
همان طور که می­دانید، محافظت از شناسه­ های عبور, از اولویت­های مهم امنیتی است و افشای هر شناسه باعث افشای اطلاعات با سطح دسترسی مربوطه برای عموم خواهد بود.
 
فرد غیر مجاز می­تواند با شناسه سرقت شده وارد شبکه گشته، اطلاعات لازم را کپی و یا اطلاعات انحرافی را وارد شبکه نموده و بدون جاگذاشتن اثری خارج شده و به اهداف خود برسد. اطلاعات تقلبیِ وارد شده به جای اطلاعات اصلی پردازش شده و بر اساس آنها تصمیم­ گیری انجام گردد.
 
راه دیگری که امنیت اطلاعات را بالا می برد، رمز نمودن آنهاست تا در صورتی که شناسه­ های عبور افشا شدند، اطلاعات رمز شده قابل سواستفاده نباشد. رمزنگاری داده­ ها با اهداف مختلف انجام می­گردد و در جلسه بعدی به آن می­پردازیم.
 



طبقه بندی: امنیت شبکه، 
برچسب ها: احراز هویت، Authentication چیسن، Authentication در شبکه، آدرس IP، آدرس MAC، کنترل دسترسی، امنیت در شبکه،
ارسال توسط پیمان کوره پز
آخرین مطالب