حفاظت از مبادلات از طريق كد كردن

PAGE

مقدمه

راز داري هميشه مشكل بوده است و امروزه بيش از هر زمان ديگري مردم راز و رمز دارند ؛ مانند شماره كارت شناسايي ، شماره كارت اعتباري و انواع كلمات رمز كه عملا براي دسترسي به هر چيزي مورد نياز مي باشند. افراد مطلع كه با رايانه ها سوابق را نگهداري و داده ها را جمع آوري مي كنند، اطلاعات در خواستي ا به صورت دسترسي عمومي يا اختصاصي طبقه بندي مي كنند اينتر نت باز است؛ به اين معنا كه چيزهايي كه در آن نگهداري مي شوند ممكن است مورد سرقت ، رهگيري يا جعل قرار گيرند. در هر حال ، بعضي از ابزارهاي ساده براي تامين مقاصد گوناگون مي توانند ارتباطات باز در فضاي اينتر نت را حذف كرده يا دچار آسيب كنند .

پروتكلها و رمز نويسي هايي كه در اينتر نت بكار مي روند براي تسهيل قرائت نيستند؛ ولي به طور مسلم مبنايي براي دريافت و فهم موضوعات تجارت در شبكه را فراهم مي آورند.

اينتر نت به طور ساده عبارت است از اجراي پروتكلها ، قواعد يا استانداردهايي كه روش ارتباط برقرار كردن رايانه هاي متصل به شبكه را تعريف مي كند . وقتي هر يك از سيستمهاي متصل به هم از اين قواعد پيروي نمايند همگي ميتوانند با هم ارتباط برقرار كنند؛ حتي اگر هر كدام به تنهايي از سخت افزار ، نرم افزار يا سيستم عامل متفاوتي استفاده كنند، باز اين ارتباط فعال خواهد بود سيستمهاي متصل به هم حتي مي توانند به شبكه هاي مختلف وصل شوند؛ ولي تا زماني قادر خواهند بود با يكديگر ارتباط داشته باشند كه همگي آنها پروتكلهاي اينتر نت را اجرا نمايند كساني كه اينتر نت بر پايه كارهاي آنها بنا گرديده قصد داشتند ثابت كنند كه كار ميان شبكه اي ، يعني Internet Working ، نه به منظور توليد يك كالاي تجاري براي كار در اينتر نت ، شدني است. در نتيجه ، آن چيزهايي كه مصرف كنندگان به دنبال آن بودند، يعني ابزارها يا واسطه هايي كه كاربري آنها ساده و ايمن باشد، مدتهاي زيادي غايب بودند. اين ابزار ها يا واسطه ها را پروتكلهاي اينترنتي مي نامند در روزهاي اول راه اندازي اينتر نت ، بيشتر كساني كه به آن وصل بودند از قشر دانشگاهي يا پژوهشگران بودند و ترافيك آن محدود به كاربريهاي غير انتفاعي بود . در آن زمان ، همچنانكه اكنون هم رايج است ، به كاربران توصيه مي شد به هيچ گونه اطلاعات حساس از طريق اينترنت اعتماد نكنند . اغلب رايانه هايي كه به اينتر نت وصل بودند از UNIX استفاده مي كردند و بقيه ، كامپيوتر هاي بزرگ چند كاربره بودند كه براي خود پروتكلهاي امنيتي خاص داشتند. يكي از مهمترين كارهايي كه توسط گروههاي خبري اينتر نت انجام شد عبارت بود از پخش اطلاعات امنيتي و هشدارهاي مربوط به خطراتي كه در سيستم هاي عامل و پروتكلهاي مختلف كشف مي شدند.

مدير محتاط شبكه براي از صافي گذراندن داده هاي ورودي و خروجي به شبكه سازماني ، به طور وسواسي از ديواره هاي آتش اينترنتي كاملا تحت نظارت استفاده مي كرد. اين كار اكنون هم شديدا توصيه مي شود و در همين فصل مورد بحث قرار خواهد گرفت. ايمن ساختن كامپيوتر هاي شخصي يك شبكه ، بسيار مشكل تر از ايمن كردن ايستگاههاي كاري در يك UNIX و شبكه هاي قديمي بسيار بزرگ (Main Fram) است؛ چرا كه نقاط ورود به شبكه به تعداد كامپيوتر هاي شخصي است و بازارهاي امنيتي بكار رفته يامناسبند ويا اصلا وجود ندارند و كاربران اين رايانه ها خودشان مشهور به بي مبالاتي در كارهاي امنيتي ميباشند

در هر صورت ، اينتر نت يك شبكه با سيستم باز است . همين كه داده ها از شبكه داخلي يك سازمان وارد اينتر نت گردد ممكن است توسط هرتعداد مسير ياب، موسوم به Router دستكاري شود تا مطمئن شوند داده به مقصد مورد نظر تحويل خواهد شد.

همچنين ممكن است داده در طول شبكه هايي كه حكم ستون فقرات اينتر نت را دارند و مقادير عظيمي از داده ها را در فواصل طولاني جابجا مي كنند حركت كند . اطلاعات در نقاط زيادي آسيب پذير است ؛ ازجمله رايانه سرويس دهنده كه ممكن است در يك نقطه ديگر تحريف شود. در شبكه هاي محلي، گوش دادن به ترافيك محلي اغلب بسيار آسان است و فقط نيازمند به چيزي مختصر فراتراز اتصال به شبكه مورد نظر است و نيز در بعضي از سيستمها و يا شبكه هاي متصل به اينترنت هم ممكن است اين مسائل پيش بيايد . همين خطرات براي شبكه ها و سيستم هاي دريافت كننده اطلاعات هم وجود دارد شكل زير نوع مسيري را كه داده ممكن است ميان دو رايانه نگهدارنده سايتها ( ميزبان ) در اينتر نت طي كند نشان مي دهد .

مديران هوشمند شبكه قبل از وصل كردن هر سيستم شركتي به اينتر نت دقت فراواني به خرج مي دهند و از فيلتر ها و ديواره هاي آتش زيادي بهره مي گيرند.

مسئله ديگري كه براي بسياري از شركتها وجود دارد ، عبارت از ايجاد و اعمال يك سياست امنيتي و نيز يك سياست قابل قبول كاربري است.

قبل از آنكه كسي بخواهد اين نظرات را با بر چسب بد گماني افراطي كنار بگذارد بايد خطرهاي اطلاعاتي ديگر را مطرح نمود:

_ شماره كارتهاي تلفن راه دور و شماره شناسايي شخصي (PIN) به طور روزمره (برخي با استفاده از دوربين ) در فرودگاهها و ايستگاههاي قطار مورد چشم چراني قرار مي گيرند.

_ به طور روزمره ، متجاوزين از سيستم هاي بدون حافظ سوء استفاده مي كنند؛ نه فقط براي اينكه اطلاعات ذي قيمت يا جالبي را كاوش كنند، بلكه براي اينكه از آنها به عنوان جاي پاي محكمي براي تدارك حملات ديگري بر ضد سيستم هاي ديگر بهره ببرند .

_ در اوايل سال 2000 بيش از 65000 شماره رمز كارت اعتباري كه در رايانه يك ارائه كننده خدمات اينتر نت معروف به ISP ذخيره شده بود توسط يك متجاوز فروخته شد .

_ دزدي از طريق كارتهاي اعتباري يك كلاهبرداري بازرگاني الكترونيكي است كه در حال اوج گيري است و مي تواند وسواسي ترين و هوشيار ترين مصرف كنندگان رانيز گرفتار كند .

اگر ارائه كننده خدمات اينترنت تدابير امنيتي كافي براي پيشگيري از حمله اتخاذ نكند، حمله كننده از هيچيك از ضعفهاي ذاتي اينتر نتي سود نمي برد ؛ بلكه از ضعفهاي امنيتي كه در رايانه مورد نظر وجود دارد استفاده مي كند .نكته اين است كه دارايي، خواه از جنس اطلاعات و نرم افزاري باشد يا فيزيكي ، بايد حفظ شود؛ زيرا افرادي كه تعهد اخلاقي ندارند اگر بتوانند آن را خواهند دزديد.

آن دسته از مديران شبكه كه ظاهرا بد گماني افراطي دارند اين مطلب را درك مي كنند كه هر بخش از منابع شركت كه در معرض اينترنت واقع شود در خطر خواهد بود و راه حل مشكل عبارت است از هشياري دايم.

سازمان سرويس مخفي آمريكا (Secret Service) در حال حاضر مشغول بررسي يك طرح كلاهبرداري در زمينه كارتهاي اعتباري در سطح ملي است. اطلاعات به وسيله يك اسكنر مينياتوري از روي كارت هزينه مشتريها در حيني كه از آنها براي خريد هاي مشروع و قانوني استفاده مي شود ، كپي مي گردد . در اين طرح اصطلاحا skimming خوانده مي شود از اسكنرهايي براي كپي برداري مخفي اطلاعات از روي نوار مغناطيسي روي كارت اعتباري استفاده مي شود . سپس اطلاعات به دست آمده براي ساخت كارتهاي جعلي بكار گرفته مي شود . به گفته سرويس مخفي ، اين كار غير قانوني 11000 نفر را هدف قرار داده است . با استفاده از اطلاعات مربوط به يكي از كارتها تا كنون 20000 دلار خريد غير مجاز صورت گرفته است . اين نوع خريد هاي غير قانوني توسط كارتهاي اعتباري ديگران تاكنون در گوشه و كنار دنيا انجام گرفته است .

مظنونين در اين موارد كارمندان يك شركت محلي بودند كه معمولا مورد اعتماد و پشتيبان مال باخته ها بودند . مظنونها معمولا قبل از ترك آن شركت مدت كوتاهي آنجا كار كرده ، سپس با رضايت و گاه با دعوا آنجا را ترك ميكردند . مديريت هيچ گونه اطلاعي از اين سوء استفاده از كارتهاي اعتباري نداشت.

اسكنر هايي كه اكنون ساخته مي شوند به كوچكي يك پيجر (Pager) مي باشند. سوء استفاده كنندگان درست جلوي چشم شما مي توانند كارت شما را اسكن كنند و شما اصلا متوجه نشويد .

چرا در اين مورد بجاي FBI يا ATF كار بر عهده سرويس مخفي قرار گرفت ؟ حقيقت اين است كه علاوه بر حفظ جان رئيس جمهور ، از مسئوليتهاي اين سرويس، مبارزه با جنايات پولي همانند كلاهبرداري هاي مربوط به كارت اعتباري و جعل اسكناس است . به جز يك صد نفر، همه 11000 نفر قرباني از طريق شركتهاي صادر كننده كارت اعتباري، خودشان از هزينه هاي غير مجاز به كارتشان مطلع گرديدند بقيه ، مطلب را از طريق صورتحسابها متوجه شدند . ظاهرا اطلاعات مربوط به كارتها در نيمه اول سال 2000 سرقت شده و اكثر خريد هاي غير مجاز كه تا كنون كشف شده ميان هفته دوم آوريل و پايان ماه ژوئن انجام گرديده است . به گفته سرويس مخفي ، مسئله دزدي مربوط به كارت اعتباري مهمترين مشكل مالي است كه صنعت كارت اعتباري امروز و در آينده نزديك با آن مواجه خواهد بود . دستگاه قرائت كننده كارت را كه به يك رايانه كوچك و قابل حمل يا يك PC متصل مي شود با 200 دلار مي توان خريد و يك دستگاه قرائت كننده كارت قابل حمل را كه به اندازه كف دست مي باشد. با قيمت 900 دلار يا بيشتر مي توان خريد . دستگاههاي قرائت كننده قابل حمل مي توانند اطلاعات مربوط به حداكثر 100 كارت را در يك زمان ذخيره كنند . با استفاده از نرم افزار و تجهيزات موجود در بازار، جنايتكاران مي توانند با استفاده از دادههاي به دست آمده براي كارتهاي جعلي خود نوار مغناطيسي بسازند . يكي از شركتهايي كه در بازار ، اسكنر به مردم مي فروخت پس از مشكل كلاهبرداي ايجاد شده فروش جزيي خود رامتوقف ساخت.خطرات احتمالي كجا در كمين هستند؟

در همين آغاز بايد تاكيد شود كه بزرگترين تهديد نسبت به امنيت در هرتشكيلاتي تقريبا هميشه از درون آن سر چشمه مي گيرد .خودي ها هستند كه حق دسترسي دارند . آنان مي دانند كه چه چيزي ارزشمند است و آنها هستند كه ميدانند چه چيزي مي تواند خسارتبارترين باشد. اين موضوع در اينترنت هم صادق است؛ به عنوان مثال ، خرابكاري كه 65000 شماره كارت اعتباري را دزديد از هيچ يك از نقاط ضعف پروتكل هاي اينترنتي سوء استفاده نكرد ؛ بلكه از نقاط ضعف رايانه اي كه اين شماره ها در آن ذخيره شده بودند استفاده كرد.

خطرات كدامند؟

در هر حال ، وقتي داده ها را از طريق اينترنت ارسال مي كنيد هنوز يك سري خطرات جدي وجود دارد:

_ رهگيري توسط شخص ثالث؛ يعني فردي ( غير از كسي كه مورد نظر شماست) نامه اي را كه ارسال كرده ايد بخواند.

_ جعل ؛ يعني كسي نامه اي را با امضاي شما بفرستد.

_ دستكاري؛ يعني كسي نامه شما را رهگيري و تعويض كرده و آن را به مقصد نهايي ارسال نمايد.

رهگيري ترافيك شبكه اي شما تنها زماني مشكل به حساب مي آيد كه اطلاعات حساس، مثل شماره كارت اعتباري يا پول الكترونيكي ارسال مي كنيد . در حالي كه بيشترين حجم ترافيك عمدتا كسل كننده يا بي ربط است ؛ البته غير از افرادي كه در جريان موضوع باشند. يكي از راههاي مطمئن براي ناكام كردن استراق سمع اين است كه مطالب خصوصي را در ميان عموم بيان نكنيد . اين قاعده همان طور كه در رستوران كارآئي دارد در اينترنت هم كاربرددارد . جعل مي تواند خطري بسيار جدي تر باشد . طبيعت پروتكل هاي پست الكترونيكي باعث مي شود كه فرستادن پيام به نام ديگران امري نسبتا سهل باشد. امكانات شيطنت كردن بي نهايت است؛ از فرستادن نامه هاي ناسزا براي رئيس خود گرفته تا سفارش الكترونيكي ده ، بيست عدد پيتزا به نام يك نفر ديگر .

از آنجا كه شواهد و قرائن فيزيكي جرم در جعل پست الكترونيكي وجود ندارد ، انجام اين كار براي افرادي كه تعهد اخلاقي نداشته ولي همين موضوع به جا ماندن شواهد مي توانست آنان را از ارتكاب آن منصرف كند ، نسبتا آسان خواهد بود . تهديد موذيانه ديگر عبارت است از اينكه داده هاي ارسالي را رهگيري كند، آنها را تغيير دهد و به سوي مقصد روانه سازد؛ براي مثال ، كسي مي تواند پيامي را كه ازيك فروشنده مي آيد ره گيري كرده و دستور العمل پرداخت وجه را عوض كند و مبلغ را به سوي حساب خودش روانه كند. همين طور اگر يك ذهن شيطاني آزادشود انواع و اقسام شيطنت ها را مي توان انجام دهد.

رخنه هاي امنيتي اينترنت

پس از آنكه سيستم رايانه خودتان را امن كرديد و با استفاده از كدهاي دسترسي يا كلمه عبور، دسترسي فيزيكي به آن را محدود كرديد و مطمئن شديد كه وقتي به هر گونه سرويس دور دست وصل مي شود بدون ناظر و مواظبت نيست ، تازه مي توانيد نگران خطرات اتصال به اينتر نت باشيد. داده اي كه رايانه شما را ترك ميكند اولين جايي كه مي رود يك روتر است كه به اينتر نت متصل است.

اگر از طريق يك اتصال اينترنتي سازماني وصل باشيد، سيستم شما مي تواند در واقع براي هر كسي كه به اينترنت متصل است قابل رويت باشد . در اين شرايط، براي ايجاد امنيت ، اتصال اينترنتي سازماني شما آن سوي يك سيستم فيلتر يا ديوار آتش خواهد بود.

نقش دروازه هاي آتش يا فيلتر، پنهان كردن سيستم هاي سازماني از ديد ديگران در اينترنت است . ضمن آنكه براي كاربريهاي مصوب، براي ارسال و دريافت داده ، دسترسي فراهم مي كنند سازمانهايي كه از دروازه هاي آتش استفاده مي كنند معمولا سيستمهاي عمومي خود ، مثل سرورهاي www را خارج از كنترل دروازهاي آتش گذاشته و موارد حساس را از اين سرورها دور نگه مي دارند اما اگر يك ارتباط شبكه سازماني نداشته باشيد، بلكه به جاي آن از ارتباط شماره گيري براي اتصال به يك ISP از طريق خط تلفن استفاده مي كنيد ، آن وقت چه ؟

به لحاظ نظري ، هر زماني كه به اينتر نت متصل شويد رايانه شما در برابر حملات آسيب پذير خواهد بود .در اين مواقع سيستم شما مي تواند به عنوان يك سرور عمل كند؛ البته اين فقط در صورتي است كه شما در حال اجراي يك برنامه سرور باشيد .

مسئله بزرگتر اين است كه وقتي داده هاي ارسالي شما رايانه شما را ترك مي كنند( يا قبل از آنكه وارد رايانه شما شوند) چه بر سرشان مي آيد. هر كسي كه به روتري كه شما از طريق آن ، ترافيك اينترنتي خود را دريافت مي كنيد يا شبكه اي كه اين روتر به آن متصل است دسترسي داشته باشد، توانايي استراق سمع بين رايانه هاي شما را خواهد داشت. امنيت به يك سري عملكرد هاي شبكه مربوطه و مديران سيستم ، همچنين توانايي آنها در دور نگه داشتن مزاحمها بستگي دارد.

اين خطر اينترتي در هر اتصال دور طرفه اي (Interconnection) وجود دارد . بنابر اين اگر شما سرويس اينترنتي خود را از يك فروشنده دست دوم بخريد ، احتمال آنكه داده داده هاي ارسالي شما از شركت محلي به يك شركت منطقه اي رد شود كه او ، خود آنها را به ستونهاي فقرات اينترنتي ارسال كند وجود خواهد داشت. ميان رايانه شما و رايانه هايي كه با آنها تماس برقرار مي كنيد مي توانيد چندين شبكه و رايانه واسط باشد كه هر كدام از آنها داراي كاركنان پشتيباني خاص خودشان مي باشند و در زمينه اداره يك شبكه ايمن (بيرون نگه داشتن مزاحمهاي بيروني) و نيز يك شبكه اخلاقي ( محفوظ نگه داشتن داخلي ها از فروش اطلاعات ) بايد به اين كاركنان اطمينان كرد .

يك خطر بزگتر

به طور كلي براي همه مقاصد عملي مي توان روشهاي امنيتي كه از امضاهاي ديجيتالي و كد گذاري استفاده مي كنند، در نظرگرفت .

هزينه يك حمله زورمدارانه عليه مكانيزمي از اين قبيل ، نجومي خواهد بود ؛ يعني مبالغي بسيار زياد كه جاي تصور هيچ گونه منفعتي را براي مهاجم باقي نمي گذارد در هر حال هر زماني كه كاربر نياز به وارد كردن كلمه عبور خود باشد ، احتمال حمله به حسابهاي شخصي وجود دارد ؛ درست مثل هر سيستمي كه براي دسترسي ، به كلمه عبور نياز داشته باشد ؛ يعني مشتريان بايد همان دقتي را كه در حفظ كيف دستي خود بكار مي برند در مورد حفظ كلمه هاي عبور خدمات تجاري هم دقت داشته باشند.

_ حدس كلمه رمز نبايد آسان باشد؛ ماننده نام يا تاريخ تولد .

_ ياد داشت كلمه رمز نيابد نزديك رايانه اي كه از آن استفاده مي شود نگهداري شود

_ كاربر نبايد كلمه رمز رابه كس ديگر بدهد .

_ كاربر نبايد هيچ فعاليتي را روي سيستمي كه حمايت شده نيست يا مسئول آن حاضر نيست رها كند.

هر از گاه ، كلمه رمز بايد عوض شود.

تا زماني كه احتياط لازم اعمال شود و كلمه رمز به درستي حفظ شود سيستم ايمن خواهد ماند . اگر كلمه هاي رمز محافظت نشوند تنها فايده انها ايجاد يك حس امنيت كاذب خواهد بود . چنانچه كاربران براي هر سايت بازرگاني كه وصل مي شوند يك نام و كلمه رمز جداگانه داشته باشند ، فقط باعث مي شود كه پيروي از اصول اساسي امنيتي براي آنها مشكل تر شده و در نتيجه به احتمال قوي به كلي آنها را رعايت نكنند.

دفاع

با وجود توصيف تهديد آميزي كه ازاينترت و ديواره هاي اتش مي شود ، اما اينها كارهايي است كه شما مي توانيد براي ايجاد آرامش فكر، در اتصال به اينتر نت از طريق شبكه محلي خودتان انجام دهيد از نرم افزار ديواره هاي آتش به صورت روزانه روبه تكامل است . در اين حوزه رقابت بسيار شديدي وجود دارد كه نتيجه آن به سود كاربران نهايي است . يكي از محصولات بسيار خوب در اين بازار شبكه خصوصي مجازي يا VPN است كه به ايجاد تونل (Tunneling) معروف شده است.

اساس مطلب اين است كه VPN براي مديران شبكه يا ديوار آتش كه مديريت دو ديوار آتش يا فيلتر را بر عهده دارند ، توانايي خلق يك مسير كد گذاري شده مجازي ميان دو ديوار آتش را فراهم مي كند با فرض اينكه هر ديوار آتشي مجهز به ويژگي VPN باشد ، هر دو مدير شبكه ، آدرس IP ديوار آتش ديگري رابه ديواره هاي آتش خود وارد مي كنند . دو ديوار آتش پيامهايي رامبادله كرده و يك كد يا الگوريتم كد گذاري مخصوص را ايجاد ميكنند هنگامي كه داده از يك ديوار آتش به سوي ديوار آتش ديگر فرستاده مي شود ، فيلتر مبدا كنترل مي كند كه داده ( بسته ها) به سوي فيلتر شريك حركت كرده و براي كد گذاري داده ، از الگوريتم از پيش تنظيم شده استفاده نمود ه يا خير . به محض ورود داده به ديوار آتش مقصد ، داده شناسايي شده و وقتي داخل فيلتر قرار گرفت ، براي رمز گشايي آن از الگوريتم مشترك استفاده مي گردد .البته داده در جريان عبور در اينتر نت به صورت كد شده است و تنها وسيله اي كه بتواند سريعا آن را از حالت كد شده خارج كند همان نرم افزار ديوار آتش فعال در مقصد است . در ابتداي نصب VPN هاي اوليه،نرم افزار هاي ديوار آتش به نرم افزار هاي ساخت يك شركت منحصر بود؛ اما براي ارتقاء قابليت كار با همه ، استاندارد امنيت IP مانند (IPSEC) ايجاد شد كه هم اكنون فروشندگان بزرگ ديوار اتش آن را بكار مي گيرند.

VPN فقط براي مبادلات بازرگان با بازرگان معروف به B2B مانند مبادلات ميان يك سازنده اتومبيل و يك سازنده خط آهن عملي است. هرچند كه كاركرد آن با فعاليت تعداد بيشتري رايانه سرويس دهنده (Server) كه كار آنها مديريت مبادلات تجاري الكترونيكي است و به صورت خود كار بابانكها و سايتهاي داراي امنيت بسيار بالا ارتباط برقرار مي كنند، عملي تر هم خواهد شد VPN همچنين براي شركتهاي متوسط و بزرگ هم كه در پي ايجاد شبكه هاي وسيع منطقه اي و ايمن در اينتر نتي باشند فرصتهايي يجاد مي كند . براي اطلاع بيشتر موضوع VPN همگاني را كه در باره آخرين راه حل امنيتي VPN بحث مي كند مطالعه كنيد .

VPN ها و ديواره هاي آتش، خطوط اول دفاعي خوبي به حساب مي آيند؛ ولي شما براي دفاع در مقابل خطرات امنيتي يا تهديد هاي اينترنتي به صورتي موثر چه مي كنيد ؟

دفاع موثر در مقابل خطرات

FBI ، وزارت دادگستري شوراي فدرال CIO ، دفتر تضمين زير ساختهاي مهم (CIAO) يامركز واكنش هماهنگ اضطراري رايانه (CERT/CC) و تعدادي ديگراز موسسات براي كمك در مطالعه اي كه بمنظور شناسايي 10 نقطه آسيب پذير امنيتي در اينترنت توسط موسسه SANS انجام مي گيرد به اين موسسه پيوسته اند.

اين موسسات در يك عمليات جهاني براي ترميم اين نفوذ ها شركت كرده اند ؛ زيرا در صد عظيمي از خرابكاريهاي اينترنتي از اين نفوذها صورت گرفته است .

توجه : موسسه SANS در سال 1989 تاسيس گرديد و يك سازمان پژوهشي و آموزشي تعاوني است كه بيش از 9600 نفر از ميدان سيستم ، حرفه اي هاي امنيتي و مديران شبكه ها در آنجا تجارب خود را با هم مبادله كرده و براي مشكلات موجود راه حل پيدا مي كنند.

در مبحث بعد ، ده فاكتور نفوذهاي امنيتي اينترنت كه از همه بيشتر مورد سوء استفاده واقع شده به همراه كاري كه براي خلاص كردن سيستم از اين آسيب پذيريها بايد انجام داد ارائه مي گردد . در اينجا ، هم آسيب پذيريها و هم راه حلها مورد بررسي قرا رگرفته است . به اين ترتيب ، هنگامي كه روساي شما از شما مي پرسند كه درباره 10 آسيب پذيري چه ميدانيد شما مي توانيد به آنها بگوييد كه راه حلهاي آنها را با جزئيات مي دانيد و مشغول طرح ريزي نحوه بررسي رايانه ها براي يافتن آنهايي كه نيازمند ترميم باشند هستيد.

VPN همگاني

نكات بسيار جالب درباره خدمات TrueSpan متعلق به شركت OpenReac عبارتند از:

_ ايجاد تونل بين چند شبكه : فرقي نمي كند كه از چه نوع دسترسي شبكه اي استفاده مي كنيد (DSL ، كابل ، يا هر چيز ديگري) اين خدمات مي توانند ين شبكه هاي چند ارائه كننده خدمات اينترنتي تونل بزنند.

تنها تجيزاتي كه در هر سايت براي ايجاد يك VPN لازم داريم يك IntelPC مي باشد.

_ براي ايجاد شبكه ، در سايت اينترنتي Opern Reach ثبت نام كرده ، يك سري نرم افزا مجاني را روي يك فلاپي ديسكت دريافت كرده سپس آنها را در يك PC اجرا كنيد . آن PC به عنوان يك سرويس دهنده شبكه فعال شده، به خدمات OperReach متثل مي گردد و جدولهاي Routing را دريافت مي كند . در اين مرحله سيستم آماده است كه به طور خودكار به جاهايي كه مشخص مي كنيد وصل شود.

_ اين خدمات به طور خودكار رمز نگاري Triple _DES ، تونلهاي IPSec وگواهي نامه هاي ديجيتالي براي امنيت را فرا ميخواند . شركت OpenReach به عنوان مسئول گواهي نامه عمل مي كند . براي اين كار از يك فرآيند Patent _Pending كه حتي به همين شركت هم اجازه نمي دهد ترافيك متقابل را ببيند استفاده مي كند .

با همه اين حرفها بايد تاكيد كرد كه Frame Realy به اين زوديها از ميدان خارج نميشود . از دلايل آن مي توان به موارد زير اشاره نمود:

_ هنوز Frame براي شبكه هايي كه بويژه پيكر بندي آنها زياد تغيير نمي كندگزينه اي خوب ، ارزان ،امن و قابل اعتماد است.

_ اگر نياز داريد كه پروتكلهاي لايه 3 به غير از IP را پشتيباني نمايد واضح است كه IP VPN به اين درد اين كار نمي خورند.

_ اگر اشكالي ندارد چرا آن را تغيير دهيم ؟

چگونه ده مورد بدترين تهديد هاي امنيتي اينترنت را برطرف كنيم .

رد پاي اكثر حملات موفق به سيستمهاي رايانه اي از طريق اينترنت رامي توان با تعداد كمي از رخنه هاي غير امنيتي گرفت . اكثريت سيستمهايي كه درحادثه خرابكاري اينترنتي موسوم به Solar Surise Pentagon مورد حمله قرار گرفتند از طريق فقط يك آسيب پذيري بوده است . براي نفوذ به بسياري از رايانه هايي كه يك سري حملات از كار اندازي روي آنها انجام شد ، از رخنه اي شبيه به رخنه قبلي سوء استفاده شده بود . حملات اخيري كه به وب سرورهاي مبتني بر ويندوز NT صورت گرفته از طريق يك آسيب پذيري معروف بوده است . آسيب پذيري ديگري كه به احتمال زياد در حمله به 40000 سيستم Linux مورد استفاده قرار گرفت، مشترك بوده و در همه 40000 مورد يكي بوده است . چند مورد آسيب پذيري نرم افزاري وجود دارد كه در بيشتر حملات موفق مورد سوء استفاده واقع ميشوند؛ زيرا حمله كنندگان فرصت طلبند؛ يعني ساده ترين و راحت ترين مسير را برمي گزينند. آنها از معروفترين رخنه ها با موثر ترين و سهل الوصول ترين ابزارها براي حمله استفاده مي كنند . سازمانهايي كه اين مشكلات را مرتفع نكرده باشند مورد حمله آنها قرار مي گيرند و اكثرا بدون استثنا با اسكن كردن اينترنت براي يافتن سيستمهايي كه آسيب پذير مي باشند به همه حمله مي كنند .

مديران سيستمها مي گويند دليل اينكه آنها اين رخنه ها را ترميم نكرده اند اين است كه آنان نمي دانند كدام يك از بيش از 600 مسئله بالقوه ، خطرناكترين آنها به حساب مي آيند و آنان آنقدر گرفتاري دارند كه فرصت ترميم همه آنها را ندارند . جامعه امنيتي اطلاع رساني با شناسايي نواحي مشكل زاي بسيار مهم در اينترنت (يعني آن دسته از آسيب پذيريهايي كه مديران سيستمهاي بايد فورا آنها را مرتفع سازند) به جنگ با اين مشكل برخاسته اند . اين ليست كه مورد توافق همه مي باشد نمونه بي سابقه اي از همكاري فعال ميان صنعت ، دولت و محافل علمي دانشگاهي است شركت كنندگان براي رفع اين معضل از موسسات دولتي آمريكا كه موضوع امنيت براي آنها فوق العاده مهم است، از فروشندگان و شركتهاي مشاوره اي درجه اول نرم افزارهاي امنيت ، از برنامه هاي مهم امنيتي كه اساس فعالي آنها در دانشگاههاست و از موسسات CERT/CC و SANS براي همكاري گرد آمده اند تا به اين موارد بپردازند:

1_ ضعفهايBind

2_ برنامه هاي CGI و پسوندهاي كاربري آسيب پذير كه در وب سرورها نصب شده اند.

3_ ضعفهاي RPC كه امكان از دست رفتن سريع Root را فراهم مي آورند .

4_ رخنه هاي امنيتي RDS در سرور اطلاعات اينترنتي ميكروسافت.

5_ ضعفهاي سر ريز شدن بافرSendmail حملات MiMEbo, Pipe كه باعث از دست رفتن سريع Root مي شوند.

6_ Mountd , Sadmind

7_ اشتراك جهاني پرونده ها و اشتراك نامناسب اطلاعات

8_ شناسه كاربر (User ID)

9_ آسيب پذيريهاي مربوط به سرريز شدن بافر IMAP , POP يا پيكر بندي نادرست

10_ تنظيم اختصاصي و عمومي Defualt SNMP Community String

ضعفهاي Bind

رايج ترين اجراي DNS كه مهمترين وسيله اي است كه همه ما توسط آن، سيستمهاي حضار در اينترنت را با نام آنها ، بدون اينكه مجبور باشيم آدرس هاي IP را بدانيم، تعيين موقعيت مي كنيم . متاسفانه، همين ابزار بسيار مفيد، آن را به يك طعمه مطلوب براي حمله تبديل ساخته است.

باز هم متاسفانه بر اساس آمار گيري كه در اواسط 1999 انجام شد حدود 50 درصد از همه سرورهاي DNS كه به اينترنت متصل بودند، از ويرايشهاي آسيب پذير BIND استفاده مي كردند در نمونه اي از يك حمله BIND متجاوزين پرونده هاي Log سيستم را پاك كرده و بازارهايي در آنجا نصب كردند كه براي آنها دسترسي مديريتي تعريف كرد . سپس ابزارهاي IRC و اسكن شبكه را تدوين و نصب كردند كه با كمك آنها بيش از ده تا پانزده شبكه Class-B را در جستجوي سيستمهايي كه ويرايشهاي آسيب پذير BIND را اجرا مي كردند مورد كاوش قرار دادند . آنان ظرف چند دقيقه با بكارگيري اولين سيستم كشف شده توانست به صدها سيستم دور دست ديگر حمله كرده كه منجر به موفقيتهاي زياد ديگري برايشان شد . اين نمونه نشان دهنده هرج و مرجي است كه مي تواند از يك آسيب پذيري منفرد در نرم افزار سرويسهاي اينترنتي ، مانند DNS كه همه جا بكار مي روند ايجاد گردد. سيستمهايي كه تحت تاثير قرار گرفتند از نوع Multiple UNIX و LINUX بودند . هر ويرايش قديميتر از BINDv. 8.2.2 آسيب پذير مي باشد . براي رفع اين مشكل توصيه هاي زير را مد نظر داشته باشيد:/

1_ نام BIND مربوط به سيستم Daemon را از روي كليه سيستمهايي كه مجاز نيستند سرور DNS باشند غيرفعال كنيد . بعضي از كارشناسان توصيه مي كنند كه نرم افزار DNS را هم برداريد .

2_ در رايانه هايي كه مجازند سرور DNS باشند از آخرين ويرايش BIND استفاده كنيد

3_ BIND را به منظور حفاظت در مقابل حملات از راه دور در آينده ، به عنوان يك كاربر غير ممتاز، اجرا كنيد ؛ ليكن فرايندهايي را كه به عنوان ريشه (Root) اجرا مي شوند مي توان طوري پيكر بندي نمود كه از پورتهاي زير 1024 استفاده كنند (اين يك نياز براي DNS است) بنابر اين ، BIND را براي تغيير ID كاربر، پس از اتصال به پورت ، بايد پيكر بندي كنيد .

4_ براي حفاظت در مقابل حملات از راه دور در آينده، BIND را در يك ساختار كشوي Chroot()ed اجرا كنيد .

برنامه هاي CGI و پسوندهاي كاربري آسيب پذير كه در وب سرورها نصب شده اند .

اغلب وب سرورها به منظور فراهم آوردن فعاليتهاي متقابل در صفحات وب، از قبيل جمع آوري داده و تاييد كردن ، از برنامه هاي CGI پشتيباني مي كنند . بسياري از وب سرورها داراي برنامه هاي نوع CGI مي باشند كه به عنوان پيش گزيده نصب شده اند .

متاسفانه بسياري از نويسندگان برنامه هاي CGI راههايي را كه ممكن است برنامه آنها مورد سوء استفاده قرار گيرد و يا طوري استفاده شوند كه فرمانهاي مخرب را اجرا نمايند مورد توجه قرار نميدهند . برنامه هاي CGI آسيب پذير، هدفهاي جذابي براي متجاوزان محسوب مي شوند؛ چرا كه تعيين مكان در آنها نسبتا آسان است و عمل كردن آنها با قدرت و امتيازهاي ويژه خود نرم افزار وب سرور مي باشد . معلوم شده است كه متجاوزان براي دستبرد به صفحات وب ، سرقت اطلاعات كارتهاي اعتباري و ساخت درهاي مخفي براي هجوم در آينده ، از برنامه هاي آسيب پذير CGI استفاده كرده اند؛ حتي اگر برنامه هاي CGI امن شده باشند .هنگامي كه تصوير ژانت رنو از وب سايت وزارت دادگستري آمريكا برداشته شد و به جاي آن عكس آدلف هيتلر نصب گرديد، پس از بررسي عميق موضوع معلوم شد كه يك رخنه CGI بايستي محتمل ترين راهي باشد كه از آن طريق اين كار صورت گرفته است . بسته نرم افزاري وب سرور به نام Allaire,s Cold Fusion هنگام نصب، داراي برنامه هاي نمونه اي آسيب پذير مي باشد . به عنوان يك قاعده كلي ، برنامه هاي نمونه اي بايد از سيستمهاي نرم افزاري برداشته شوند. سيستمهايي كه تحت تاثير قرار گرفته اند مشتمل بر همه وب سرورها مي شدند .

براي رفع مشكل موارد زير توصيه ميشود:

1_ وب سرورها را به عنوان ريشه اجرا نكنيد .

2_ مفسرهاي CGI Script در دايركتوريهاي bin را دور بريزيد .

3_ CGI Script غير امن را برداريد .

4_ برنامه هاي CGI امن تري بنويسيد .

5_ در وب سرورهايي كه نياز به CGI ندارند ، پشتيباني CGI را در آنها پيكر بندي نكنيد

6_ وب سرورتان را در يك محيط Chroot()ed اجرا كنيد تا آن را در برابر خطراتي كه هنوز كشف نشده اند محافظت كرده باشيد .

ضعفهاي RPC كه امكان از دست رفتن سريع Root را فراهم مي آورند .

برنامه هاي RPC به برنامه هايي كه در يك رايانه هستند اجازه ميدهند برنامه هاي روي رايانه ديگر را اجرا نمايند. از اينها به صورت متداول ، براي ايجاد دسترسي به خدمات شبكه اي مانند پرونده هاي مشترك در NFS استفاده مي كنند . آسيب پذيريهاي چند گانه ايكه ناشي از اشكالات موجود در RPC ايجاد مي شوند در حال حاضر فعالانه مورد سوء استفاده قرار مي گيرند . شواهد محكمي در دست است كه اكثريت وسيعي از حملاتي كه منجر به محروم شدن كاربران از خدمات ( در دوره زماني 1999 و اوايل سال 2000 ) شد به دليل ضعف RPC در سيستم هاي مورد حمله بوده است . حمله موفقيت آميزي كه به رايانه هاي نظامي آمريكا در حادثه اي به نام Solar Sunrise صورت گرفت به دليل رخنه هاي RPC بوده است كه در صدها رايانه در وزارت دفاع آمريكا كشف شد . سيستمهاي مورد حمله داراي سيستمهاي عامل چند گانه Linux , UNIX بوده اند . براي رفع مشكل توصيه هاي زير ارائه مي گردد :

1_ در صورت امكان اين گونه خدمات راخاموش كرده يا آنها را از روي رايانه هايي كه به اينترنت متصل مي باشند برداريد.

2_ چنانچه كاربرد آنها اجباري است از آخرين ويرايشها استفاده كنيد .

رخنه هاي امنيتي RDS در سرور اطلاعات اينترنت يافت مي شود .

اين نرم افزار در سرورهاي ويندوز NT و ويندوز 2000 گنجانده شده است . اشكالات برنامه نويسي كه در خدمات داده هاي راه دور (RDS) اين نرم افزار وجود دارد، توسط كاربران سرور براي صدور فرمان از راه دور يا برخورداري از امتيازات مدير شبكه مورد سوء استفاده قرار مي گيرد . برخي از كساني كه در تهيه ليست ده مورد مهم ( كه قبلا در همين فصل توضيح داده شد) شركت داشتند ، بر اين باورند كه سوء استفاده از رخنه هاي ديگر IIS مانند پرونده هاي HTR ، حداقل به همان اندازه RDS مورد سوء استفاده واقع مي شوند . شرط احتياط اين است كه سازمانهايي كه از IIS استفاده مي كنند ويرايشهاي اصلاحي را بكار گيرند كه بتوانند كليه رخنه هاي شناخته شده IIS را سد كرده و به تنها نه رخنه RDS بسنده نكنند.

سيستمهاي تحت پوشش ويندوز NT، IIS استفاده مي كنند. براي رفع اين مشكل ، توصيه هاي زير را مد نظر داشته باشيد .

1_ از ابزارهاي سفارشي استفاده كرده و در محل

HKEY-LOCAL-MACHINE/

System / Current Controlset/ Services /W3 SVC/ Parmaeters /ADCV Launch/Vb /Bu sobj. Vbbusobjcls

اشاره به VBBusobj را پاك كنيد .

2_ از اطلاعات ارسالي توسط ميكروسافت براي از كار انداختن اين سرويس يا اصلاح آسيب پذيريهاي RDS و ديگر نفوذها در IIS استفاده كنيد .

ضعفهاي سر ريز شدن بافر Sendmail حملات Pipe و MIMEbo باعث از دست رفتن سريع Root مي شود .

Sendmail برنامه اي است كه اغلب نامه هاي الكترونيكي در كامپيوتر هاي LIMUX , UNIX را ارسال و دريافت مي كند كاربري گسترده Semdmail در اينتر نت آن را به صورت اولين حمله كنندگان د ر آورده است.در طول چند سال برخي از رخنه هاي آن كشف شده است . اولين توصيه كه در سال 1988 توسط CERT/CC صورت گرفت اشاره به يك ضعف قابل سوء استفاده در Sendmail بود يكي از متداولترين سوء استفاده ها اين است كه مهاجم يك نامه جعلي براي رايانه اي كه Sendmai در آن اجرا مي شود ارسال مي كند و به عنوان دستور العملهايي از Sendmail مي خواهد پرونده كلمه عبور خود را براي مهاجم ارسال كند . سپس اين كلمات رمز در آنجا گشوده خواهند شد. از جمله رايانه هايي كه تحت تاثير قرار گرفتند از نوع Multiple Unix , Linux بودند براي رفع اين مشكل ، توصيه هاي زير ارائه مي گردد:

1_ از نرم افرازهاي تكميلي Sendmail استفاده كنيد .

2_ در رايانه هايي كه نه سرور نامه و نه واسطه توزيع نامه هاي الكترونيكي هستند Sendmail را در (aemon mode) اجرا نكنيد (سوييچ bd را خاموش كنيد)

3_ سعي كنيد از يك MTA يا عامل انتقال نامه ديگري نظير Postfix ,Qmail يا EXIM استفاده كنيد .

توجه: برنامه هاي مورد اشاره نيز جانشينهاي شفافي نيستند و ممكن است ضعفهاي خاص خودشان را داشته باشند كه بايستي كشف گردد.

Mountd , Sadmind

Sadmind امكان دسترسي مديريتي از راه دور نسبت به سيستم هاي Solaris را داده و دسترسي گرافيكي به عملكردهاي مديريت سيستم را نيز ممكن مي كند .

Mountd كنترل و تقسيم دسترسي به NFS هاي نصب شده روي ميزبانهاي UNIX را بر عهده دارد سرريزهاي بافر در اين كاربريها مي توانند مورد سوء استفاده واقع شده و به مهاجمان اجازه كسب كنترل با دسترسي به ريشه را بدهد . سيستم هاي نوع Multiple Unix , Linux تحت تاثير اين نفوذ ها قرارگرفته اند براي رفع اين اشكال به توصيه هاي زير توجه كنيد :

1_ در صورت امكان اين خدمات را از روي رايانه هايي كه مستقيما از طريق اينتر نت قابل دسترسي مي باشند برداريد يا خاموش كنيد .

2_ آخرين ويرايشها را نصب كنيد .

اشتراك جهاني پرونده ها و اشتراك نامناسب اطلاعات

اين سرويسها امكان اشتراك پرونده در سطح شبكه را فراهم مي كنند . چنانچه به طور نامناسب پيكر بندي شده باشند مي توانند پرونده هاي سيستمي حساس را برملا كنند يا اينكه به هر دشمني كه به شبكه متصل گردد دسترسي كامل به پرونده سيستمي را بدهند . بسياري از صاحبان رايانه ها و مديران از اين سرويسها براي فعال كردن قابلي خواندن و نوشتن پرونده هاي سيستمي استفاده ميكنند تا به اين ترتيب دسترسي به داده ها را آسان كرده باشند .

مديران يكي از سايتهاي دولتي يكي از كشورها، سايتي را كه براي ساخت نرم افزار در زمينه برنامه ريزي ماموريتها استفاده مي كردندبه صورت قابل خواندن براي همه در اورد تا افراد ديگر هم دسترسي آساني به داده هاي داشته باشند. طي مدت دو روز افراد ديگر به وجود اشتراك آزاد پرونده پي برده و نرم افزار برنامه ريزي ماموريت راسرقت كردند .

وقتي كه در رايانه هاي با سيستم عامل ويندوز اشتراك پرونده راه اندازي مي شود، اين رايانه ها نسبت به سرقت اطلاعات و اقسام خاصي از ويروسهاي سريع الحركه آسيب پذير مي باشند.

همان مكانيزمهاي Net BIOS كه اشتراك پرونده هايويندوز را مجاز مي كنند ضمنا ميتوانند به صورت دزدكي براي تعيين اطلاعات سيستمي حساس در NT بكار روند و از طريق يك ارتباط رابانه اي (Nullsession) وصل شدن كاربرد كاذب به Net BIOS Session Service به اطلاعات كاربر و گروه كاربران ،نام آنها ، تاريخهاي آخرين اتصال به شبكه ، خط مشي كليدهاي عبور اطلاعات RAS اطلاعات سيستمي و برخي كليدهاي رجيستري خاص دسترسي پيدا كنند . اين اطلاعات عموما به منظور حدس كلمات عبور عليه هدفي از نوع NT كار گرفته مي شوند . سيستم هاييكه تاكنون تحت تاثير اين نوع نفوذ قرار گرفته اند عبارتند از : ويندوز،مكينتاش و يونيكس. براي حل اين مشكل به توصيه هاي زير توجه كنيد:

1_ هنگام اشتراك پرونده ها دقت كنيد كه فقط كشوها و مسير هاي مورد نياز به اشتراك گذاشته شوند.

2_براي افزايش امنيت ، اشتراك را به آدرسهاي IP خاص اجازه دهيد ؛ چرا كه نامهاي DNS قابل جعل مي باشند.

3_ در سيستمهاي ويندوز دقت كنيد كه كليه اشتراكها با كلمات عبور قوي پشتيباني و محافظت شوند.

4_ در سيستمهاي ويندوز NT از ليست شدن كاربران ، گروهها، پيكر بندي سيستم و كليدهاي رجيستري توسط ناشناسها ،از طريق اتصال null Session جلوگيري كنيد . اتصالهاي وارده به NetBIOS Session Servicetcp139 را در روتر يا ميزبان NT بلوكه كنيد .

اجراي كليد Restrict Anonymous Registry براي ميزبانهاي اينترنتي درمحيطهاي Domain انفرادي يا غير موثق را درنظر داشته باشيد .

5_ در سيستمهاي مكينتاش ، پسوندهاي اشتراك پرونده ها و Web را غير فعال كنيد؛ مگر اينكه حتمامورد نياز باشند . چنانچه اشتراك پرونده بايد فعال شود ، دقت كنيد دسترسي به كليدهاي عبور رامحكم بگيريد . چنانچه در دوره اي مورد نياز نيست آن را متوقف كنيد .

شناسه كاربر (user ID)

برخي از سيستمها ، داراي عضويتهاي نمايشي يا مهمان هستند وبدون كلمه عبور مي باشند. دست اندر كاران اين سيستمها ،اغلب عضويت مربوط به نگهداري را بدون كليدهاي عبوري رها مي كنند . علاوه بر اين ، برخي سيستمهاي مديريت بانكهاي اطلاعاتي و عضويتهاي مديريتي را به كليدهاي عبور پيش فرض براي مهاجمان ، دسترسي راحت و بدون زحمتي را فراهم مي كنند . بسياري از مهاجمان قبل از توسل به روشهاي پيچيده ، كليدهاي عبور پيش فرض را اتحان كرده ، در صورتي كه كليد صحيح را پيدا نكنند، سعي مي كنند كليدهاي عبور ديگري را حدس بزنند. عضويت كاربراني كه لو رفته اند ، مهاجمان را به درون فيلتر ديوار آتش و درون رايانه مورد هدف راه مي دهند . به محض ورود به داخل اين سيستمها ،بسياري از مهاجمان از امكانات فراواني كه در دسترس آنهاقرار مي گيرد براي به دست آوردن ريشه (ROOT) يا دسترسي هاي مديريتي سيستم بهره مي گيرند . كليه سيستمها در اين مورد آسيب پذيرند . براي رفع اين مشكل به توصيه هاي زير توجه كنيد:

1_ يك خط مشي قابل قبول براي كليدهاي عبور ايجاد كنيد . از جمله مسئوليت تخصص داده شده و تعداد دفعات مشخص شده براي تاييد كيفيت كليد عبور را در نظر بگيريد. دقت كنيد كه كارمندان ارشد اجرايي هم از اين موضوع معاف نباشند. همچنين دراين خط مشي ، تعويض كليه كليدهاي عبور پيش فرض قبل از اتصال رايانه ها به اينترنت را الزامي كنيد . براي متخلفين جريمه هاي سنگين تعيين كنيد .

2_ براي تست كليدهاي عبور اجازه نامه كتبي اخذ كنيد . كليد هاي عبور را با برنامه هاي مخصوص كشف كليدهاي عبور، آزمايش كنيد .

3_ از ابزارايي كه كليدهاي عبور را پس از ايجاد چك مي كنند استفاده كنيد.

4_ تعويض كليدهاي عبور را به صورت دوره اي اجباري كنيد .

5_ سابقه كليدهاي عبور را نگه داريد كه كاربران نتوانند از كليدهاي عبور سابق خود استفاده كنند.

آسيب پذيريهاي مربوط به سرريز شدن بافر IMAP, POP يا پيكر بندي نادرست

IMAP , POP پروتكلهاي رايجي براي دسترسي نامه ها از راه دور هستند و به كاربران اجازه مي دهند از شبكه هاي داخلي و خارجي به اشتراك پست الكترونيكي خود دسترسي داشته باشند . طبيعت اين دسترسي ها به گونه اي است كه آنها بويژه در برابر سوء استفاده ها آسيب پذير مي سازد؛ چرا كه براي ايجاد دسترسي خارجي به اشتراك پست الكترونيكي، مكررا درديواره هاي آتش ، دريچه هايي باز گذارده مي شود. مهاجماني كه ازاين رخنه هاي IMAP يا POP سود ميجويند اغلب به طور لحظه اي به كنترل لحظه اي ريشه (ROOT) دست پيدا مي كنند .

سيستمهاي اسيب پذير از Multiple Unix , LINUX ميباشند براي كنترل اين نوع مشكل به توصيه هاي زير توجه كنيد:

1_ در سيستمهايي كه سرويس دهنده پست الكترونيكي (Email Server) نيستند اين سرويسها را از كار بيندازد .

2_ از ويرايشهاي جديد استفاده كنيد .

3_ برخي از كارشناسان توصيه مي كنند كه دسترسي به اين سرويسها را با استفاده از TCP Wrappers و كانالهاي رمز دار (Encryptes Channels) مانند SSH و SSL كنترل كنيد تا از كليدهاي عبور محافظت كرده باشيد.

تنظيم اختصاصي و عمومي Defualt SNMP Community String

پروتكل ساده مديري شبكه يا SNMP براي نظارت اداره انواع وسايلي كه به شبكه وصل مي شوند ، از روترها گرفته تا چاپگر و رايانه ها ، به طور وسيعي توسط مديران شبكه ها بكار گرفته ميشود . SNMP از يك فرمان ارتباط (CommunityString) غير رمزي به عنوان تنها ساز وكار مجاز خودش استفاده مي كند .صرف عدم كاربري رمز به قدر كافي نا مطلوب است؛ اما فرمان ارتباط پيش فرض مورد استفاده اكثري وسايل SNMP عمومي است كه البته برخي از فروشندگان زرنگ اين فرمان را به اختصاصي (Private) تنظيم مي كنند. مهاجمان از رخنه در SNMP مي توانند براي پيك بندي مجدد يا خاموش كردن وسايل از راه دور استفاده كنند. ترافيك SNMP مورد حمله قرار گرفته، ميتواند مطالب زيادي را درباره ساختار شبكه و نيزدرباره سيستمها وسايلي كه به اين شبكه متصل ميباشند . بر ملا كند. در اين صورت ، كليه سيستمها و وسايل شبكه اي آسيب پذير مي باشند. براي رفع اين مشكل به توصيه هاي زير توجه كنيد:

1_ اگر نياز جدي به SNMP نداريد آن ر غير فعال كنيد .

2_ اگر از SNMP استفاده مي كنيد از همان خط مشيي كه در بخش قبل براي كليدهاي عبور اشاره شد ، براي نامهاي Community استفاده كنيد

3_ با استفاده از SNMP walk نامهاي Community را ارزيابي و چك كنيد

4_ در صورت امكان MIB را فقط خواندني كنيد .

اقسام رخنه هاي Script در مرور گر اينتر نت و آفيس 2000

حملات اخير ويروسي نشان داد كه ماكرو و فرمانهاي Script به آساني از طريق ضمائم نامه هاي پس الكترونيكي منتشرمي شوند . به مردم توصيه مي شود كه از باز كردن ضمائم احتمالا خطرناك نامه ها خود داري كنند . البته كاربران ويندوز بدون باز كردن ضمائم مي توانند ويروسهاي نامطلوب منتشر كنند؛ چرا كه نرم افزار هاي پست الكترونيك ميكروسافت به نامهاي Microsoft Outlook , Express Outlook در نصب پيش گزيده خود، از طريق نامه ها ، HTML و فرمانهاي Script را اجرا مي كنند . به علاوه، از يك نامه داراي HTML و فرمانهاي Script چندين مولفه Activex به صورت غلط قابل اجرا است . برخي كنترلهاي آسيب پذير در IE5 , IE4 عبارت است از Scriplet. Typlib و در آفيس 2000 كنترل UA م يباشند . آسيب هاي ديگر كه از كاربرد فرمانهاي Activex ناشي مي شوند عبارنتد از نصب يك نرم افزار در فضاي رايانه كاربر . اخيرا از طريق همين مكانيزمها يك ويروس خوش خيم موسوم به كرم Kak گسترش يافت. ظهور ويرايش بدخيم Kak هر زماني محتمل است . توصيه مي شود كليه كاربران و مديران ، نرم افزار Outlook راطوري تنظيم كنند كه نامه هاي الكترونيكي خود را در Restricted Sites Zone قرائت كنند و ضمنا كليه تنظيم هاي مربوط به ActiveX , Active Scripting را در آن حوزه ازكار بيندازند . اين كار را مي توان در صفحه Securty از پنجره Options انجام داد؛ اما چنانچه از System Policy استفاده مي شود قابليت خود كار بودن هم دارد.

ميكروسافت براي برخي مسائل خاص ، ويرايشهاي جديد آماده كرده است و در حال آماده كردن يرايش جديد براي Outlook مي باشند؛ به نحوي كه قابليت تنظيم هاي امنيتي نيز داشته باشد؛ اما به نظر مي رسد كه براي اصلاح نرم افزار Outlook Express فكري نكرده است .

سيستمهايي كه تحت تاثير اين نفوذ قرار مي گيرند شامل همه سيستمهاي ويندوز داراي مروگرهاي اينتر نت 5.x , 4.x و آفيس 2000 ، حتي اگر بكار گرفته نشده باشند . مي باشد . برخي از مسائل مربوط به IE ويندوز 2000 را تحت تاثير قرار نمي دهند . براي رفع اين نوع مشكل ، موارد زير را در نظر داشته باشيد:

1_ Security zone را خودتان روي سايتهاي محدود قرار داده و كليه محتويات فعال در آن Zone را از كار بيندازد.

2_ ويرايش جديد مربوط به اصلاح Outlook را به محض دسترسي بكار بگيرد .

3_ به روز كردن نرم افزار ويروس ياب ضمن آنكه حائز اهميت است ، ولي راه حل اين مشكل نيست . بايستي نفوذهاي مربوط به نرم افزار ميكروسافت راهم اصلاح كنيد .

انواع فن آوري حفاظت و ايمني

شبكه هاي محلي با فرض سطحي خاص از اعتماد نسبت به نحوه تبادل ميان اعضاي شبكه، مورد بهره برداري قرار مي گيرند. وقتي شبكه هاي محلي به شبكه هاي عمومي مانند اينترنت متصل ميشوند، بر اساس استراتژي امني و حفاظت، به مديرانت شبكه محلي توصيه مي شود كه به هيچ كس خارج از شبكه خودشان اعتماد نكنند. براي پاسخ به پرسش هايي كه ممكن است شما در باره اينكه فن آوري هاي امنيتي در كجا مورد نياز مي باشند و بكار گرفته مي شوند، در اينجا چگونگي عملكرد اين فن آوري ها براي دفاع از شما در مقابل حملاتي كه احتمالا از داخل يا خارج سازمان صورت مي گيرد، به طور اجمال توضيح داده مي شود . در اين بخش همچنين تكه هاي مختلف پازل امنيتي را بررسي مي كنيم تا ببينيم براي درست ترين پوشش و بهره برداري، چگونه اين تكه ها را بايد كنار هم قرر داد. ضمنا چند روش امنيتي كه در مواقع تداخل شبكه هاي محلي و شبكه اينترنت مورد استفاده قرارمي گيرند بررسي خواهد شد. مطلوب ترين فن آوري هاي امنيتي به شرح زير مي باشند:

_ مسير ياب (Routers)

_ديواره هاي آتش اينترنتي (Internet Firewalls)

_ سيستم هاي كشف تجاوز (Intrusion Detection System)

_ PKI يا (public Key Infrastructure)

_ شناسايي (Authentication)

_ رمز نگاري (Encryption)

مسير ياب (Routers)

مسير ياب عبارت از وسيله اي است كه مديريت ترافيك شبكه را انجام ميدهد. اين وسيله بين زير شبكه ها نشسته و رفت و آمد به سمت بخشهايي را كه به آنها متصل است كنترل مي كند به طور طبيعي مسيريابها محلي مناسب براي اعمال قواعد فيلتر كردن بسته ها (Packet Filtering) بر اساس سياستهاي امنيتي (كه براي ترافيك شبكه در نظرگرفته شده است) هستند.

ديواره هاي آتش اينترنتي

در حالي كه رشد شديد ارتباطات اينترنتي توجه خود را به صورت قابل دركي به سمت ديواره هاي آتش اينترنتي معطوف كرده است ، دنياي تجارت جديد بر اهميت اين فيلترهاي داخلي تاكيد مي ورزد .ادغامهاي شركتها، خريد شركتهاي جديد، تجديد سازمانها، كارهاي عظيم مشترك اقتصادي ، مشاركتهاي استراتژيك ، همه و همه با افزايش گستره دسترسي شبكه ، مسئله امنيت را پيچيده تر مي كنند . بعضي از افراد خارج از سازمان ممكن است ناگهان به برخي از اطلاعات داخلي نياز داشته باشند .

شبكه هاي چند گانه كه توسط افراد مختلف و بر اساس قواعد متفاوت طراحي شده اند بايد به هر حال تا اندازه اي به هم اعتماد كنند . در اين شرايط، فيلترهاي شبكه موسوم به ديواره هاي آتش، نقش مهمي در اجراي سياستهاي كنترل دسترسي ميان شبكه ها و محافظت شبكه هايي كه به هم اعتماد دارند ، براي جلوگيري از نفوذ شبكه هاي غير معتمد برعهده دارند . يك شركت توليدي را درنظر بگيريد كه در طول ساليان دراز شبكه هاي جداگانه اي را در دپارتمانهاي فروش ، بازاريابي، پرداخت ، حسابداري و تولدي ايجاد كرده است . گرچه كاربران در يك دپارتمان ممكن است بخواهند به ديگر شبكه هاي خاص دسترسي داشته باشند ولي شايد غير ضروري باشد و يا نامطلوب باشد كه همه كاربران به همه شبكه ها دسترسي داشته باشند. در نتيجه ، هنگام اتصال شبكه ها به يكديگر، سازمان ميتواند به وسيله مسيريابها يا توسط يك ديواره آتش پيچيده تر ، اتصالهاي بين شبكه ها را محدودنمايد . در يك شبكه تركيبي معروف به WAN كه بايستي ارتباط هر كس از يك شبكه با اعضاي شبكه ديگر فراهم شود، اقسام ديگر سيستمهاي ايمني در سطح كاربري مي توانند داده هاي حساس را محافظت نمايند مجزا سازي شبكه ها به وسيله ديواره هاي آتش بسياري از خطرهاي احتمالي را به شدت كاهش مي دهد؛ به ويژه اين سيستم هاي حفاظتي ميتوانند تهديد هجوم داخلي را كه عبارت از دسترسي غير مجاز توسط كاربران غير مجاز است كاهش دهند ( آمار اين گونه تجاوزات بر اساس آمار گيريهاي به عمل آمده از آمار خرابكاريهاي با منشاء خارجي بيشتر است) با افزودن رمز در خدمات ديواره هاي آتش ، يك سايت مفروض مي تواند اصتلا بسيار امن ديوار آتش ايجاد كند (چنانچه در شكل 4-2 مشاهده مي شود) اين كار حتي برقراري شبكه هاي نوع WAN ميان مكانهاي دور از هم در اينترنت راممكن مي سازد. با استفاده از ساز و كارهاي مجوز دهي در فيلترهاي شبكه موسوم به ديوار آتش مي توان اطمينان بيشتري نسبت به هويت افرادي كه از طريق ديوار آتش درخواست اطلاعات مي كنند به دست آورد؛ مثل فروشندگاني كه نياز به دسترسي به بانك اطلاعاتي موجودي انبار دارند.

سيستم هاي كشف تجاوز (IDS)

متجاوز اينترنتي ( Cracker يا Hacker) كسي است كه بدون اجازه به سيستم شما وارد مي شود يا سيستم شما را موردسوء استفاده قرار مي دهد . كلمه سوء استفاده معناي گسترده اي دارد و مي تواند شامل دزدي كلان ، مثل ربودن داده هاي محرمانه تا استفاده غير مجاز از پست الكترونيك شما به منظور ارسال نامه هاي تبليغاتي از نوع مزاحمتهاي اينترنتي معروف به Spam باشد .

يك سيستم كشف تجاوز IDS كارش كشف چنين تجاوزاتي است . اين سيستم را مي توان به مقوله هاي زير تقسيم نمود.

سيستم هاي كشف تجاوز شبكه اي (NIDS)

تاييد كننده هاي صحبت سيستم (SIV)

مانيتورهاي LOG

سيستم هاي فريب

سيستمهاي كشف تجاوز شبكه اي (NIDS)

سيستم هاي كشف تجاوز شبكه اي ، بسته هاي داده را كه روي كابل شبكه مي باشد مورد نظارت قرار ميدهند و تشخيص اينكه يك خرابكار Hacker/Cracker مشغول داخل شدن به سيستم است يا خير، يا اينكه سيستم را از ارائه خدمات باز مي دارد يا خير بر عهده دارد. نمونه آن عبارت است از سيستمي كه تعداد زيادي درخواستهاي اتصال TCP به تعداد زيادي پورتهاي مختلف يك رايانه هدف را مورد نظارت قرار مي دهد . بدين طريق، كشف مي كند كه آيا كسي اقدام به اسكن پورت TCP كرده است يا خير.

يك NIDS را مي توان روي دستگاه هدف كه كارش نظارت بر ترافيك مربوط به خودش مي باشد و معمولا با خود Stack و سرويسها يك پارچه باشد؛ روي يك دستگاه مستقل كه به طور درهم كل ترافيك شبكه رانظارت مي كند (Probe,Router,Hub) قرار داد.

توجه: يك IDS شبكه بسياري از دستگاهها را مورد نظارت خود قرار ميدهد. در حالي كه ديگر سيستمهاي مشابه فقط يك دستگاه منفرد كه روي آن نصب شده را نظارت مي كنند.

تاييد كننده هاي صحت سيستم (SIV)

تاييد كننده هاي درستي سيستم، پرونده هاي سيستمي را به منظور يافتن اينكه چه موقع يك متجاوز آنها را تغيير مي دهد نظارت مي كنند. مشهورترين اين تاييد كننده ها Tripwire است . يك SIV مي تواند مولفه هاي ديگري همچون windows Registry و تنظيمهاي Chron را هم نظارت كند تا علامتهاي معروف را پيدا كند . اين سيستم ضمنا مي تواند زماني را كه يك كاربر عادي به امتيازات مدير شبكه دست پيدا مي كند تشخيص دهد. بسياري از اين نوع محصولات را بايستي به عنوان ابزار تلقي كنيد. چيزي مانند Tripwire تغييرات ايجاد شده در مولفه هاي بسيار مهم سيستمي را كشف مي كند؛ ليكن به هنگام بروز يك تجاوز، بي درنگ هشدار نمي دهد.

مونيتورهاي GOL

اين سيستمها، پرونده هاي LOG را كه توسط سرويسهاي شبكه اي تولدمي شوند مراقبت مي كنند شبيه كار NIDS ، اين سيستمها در داخل پرونده هاي Log به دنبال الگوهايي مي گردند كه حاكي ازهجوم يك مهاجم باشد . نمونه آن يك تجزيه كننده پرونده هاي Log در رايانه سرويس دهنده HTTP است كه به دنبال مزاحميني مي گردد كه رخنه هاي امنيتي معروف مثل حمله phf يا Swatch را انجام ميدهند.

سيستمهاي فريب (Deception Systems)

سيستمهاي فريب ( طعمه هاي Honeypots Fly traps ,Lures AKA ) شبه خدماتي هستند كه هدف آنها عبارت از شبيه سازي رخنه هاي مشهور است تا خرابكارها را به دام بيندازند. اين سيستمها همچنين از حقه هاي ساده هم استفاده مي كنند؛ مانند نامگذاري مجدد عضويت يك مدير شبكه در NT و تعريف يك عضويت كاذب (Dummy Account ) ، بدون هيچ اختيار .

اعتبار سنجي

اعتبار سنجي براي شبكه هاي اقتصادي كه از سرويسهاي اعتبار سنجي كاربر به صورت متمركز واز يك مركز مديريت قوي و دو عاملي استفاده مي كنند، اين اطمينان را براي سيستمهاي عامل، وب سايتهاي تجارت الكترونيكي و ديگر زير ساختمانهاي IT فراهم مي كند تا فقط كاربران معتبر به داده ها ، كاربريها و ارتباطات دسترسي داشته باشند. راه حلهاي اعتبار سنجي دوعاملي يك سد غير قابل نفوذ در مقابل دسترسي غير مجاز ايجاد كرده و شبكه و منابع داده ها را در برابر تجاوزات بالقوه مخرب، اتفاقي و يا شرورانه حفاظت ميكنند.

رمز نگاري

چنانچه قبلا توضيح داده شده، رمز نگاري عبارت است از تبديل داده ها به ظاهري كه نهايتا بدون داشتن يك كليد مخصوص قرائت آن غير ممكن باشد. هدف آن حفظ حريم خصوصي است با پنهان نگاه داشتن اطلاعات از افرادي كه نبايد به آنها دسترسي داشته باشند؛ حتي كساني كه به داده هاي رمزي دسترسي داشته باشند امنيت لازم در ارسال مطالب بوسيله شبكه ها رامي توان ايجاد نمود.

رمزگشايي بر عكس رمز نگاري است و عبارت است از تبديل داده هاي رمز شده به صورت اوليه و قابل قرائت در اين زمينه با هم اطلاعاتي ارائه خواهد شد.

رمز نگاري مدرن

رمزنگاري مدرن براي مشكلاتشبكه هاي باز، راه حلهايي ارائه مي كند در اين بخش ، برخي مفاهيم اصلي رمز نگاري مدرن كه اغلب طرحهاي بازرگاني شبكه اي بر آنها متكي هستند مورد بررسي قرار مي گيرد. همچنين در اين بخش برخي موضوعات رمزنگاري كه مربوط به مبادله داد و ستدهاي تجاري از طريق يك كانال باز مي باشند مطرح مي شود. اما بحث درباره الگوريتم هاي واقعي نحوه اجراي آنها و پايه هاي رياضي رمز نگاري كليد خصوصي و عمومي از حوصله اين نوشتار خارج است و خوانده علاقمند بايستي به مراجع تخصصي تر در ضميمه كتاب تحت عنوان منابع تجارت الكترونيك در شبكه اينترنت مراجعه نمايد.

به عنوان يك فرد اگر بخواهيد مطالب حساسي به كسي بگوئيد، به جز توسل به كدهاي سري راههاي ديگري نيز وجود دارد. از آن جمله در گوشي حرف زدن، گفتگوي محرمانه در يك رستوران با يك نامه احتياط آميز به طرف مورد نظر نوشتن است . همگي ، راههاي قابل اعتمادي براي تبادل يك رازبا ديگران است . حفظ و عدم انتشار راز تا وقت مناسب هم، راه ديگري است اگر واقعا بخواهيد ارتباطات حساس خود را حفظ كنيد كاري كه مي توانيدانجام دهيد اين است كه سعي كنيد از نوعي رمز يا كد استفاده كنيد كه به جاي كلمات واقعي از كلمات كدشده استفاده كرده و يا كاراكترهاي پيام را طوري جابجا كنيد كه معناي واقعي پيام مخفي بماند . به نظر مي رسد يك نوع رمزنگاري براي اولين بار پس از اختراع نوشتن به وجود آمد. قديمي ترين رمزهاي باقي مانده به زمان ژوليوس سزار برمي گردد . دولتها و سازمانهاي نظامي همواره نيازمند حفظ ارتباطات خود بودند . از آنجا كه خطرات زيادي هست كه احتمال به دست نا اهلان افتادن اطلاعات محرمانه را زيادتر مي كند. بنابر اين، انگيزه بيشتري براي پنهان كردن معناي پيام وجود دارد. اگر راهي وجود مي داشت كه پيامها را بدون آنكه مورد دستبرد كسي قرارگيرند به دست دريافت كننده مي رساند، به رمز نگاري نيازي نبود. از آنجا كه اكنون ارسالهاي راديويي بسيار عمومي شده و رمز نگاري اجتناب ناپذير گرديده است، دولتها با ارائه روشهاي قابل اعتماد و امن براي ارتباطات، مانند خدمات پستي و تلفني داراي حريم قانني كه معمولا عاري از اشكال و مزاحت است ، شهروندان قانون پذير را بي نياز به سرويسهاي رمز نگاري نموده اند . دراين خدمات تنها دولت است كه قدرت خوانده نامه شما و گوش كردن به مكالمات تلفني شما ر دارد . در اين صورت اشكالي پيش نمي آيد؛ اما در جهاني كه روز به روز به سمت ديجيتالي شدن پيش مي رود، عملا فرصتهاي بيشتري براي همه كساني ايجاد مي شود كه استراق سمع مي كنند و از اين فرصتها سود كلان به دست مي آورند خريد از طريق اينترنت اعتبار شما را در معرض خطر قرار مي دهد ؛ ولي با استفاده از رمز نگاري مي توان به حفظ آن كمك كرد . افراد حقيقي در آمريكا وقتي كارت اعتباري آنها لو مي رود بيش از 50 دلار خسارت نخواهند ديد. بنابراين بالاترين ريسك متوجه شركهاي كارت اعتباري و بازرگانان است. در حالي كه حسابهاي كارت اعتباري افراد حقيقي ممكن است در هنگام ارسال از طريق اينترنت در معرض خطر باشد؛ ولي خطر اصلي در كمين نقاط تمركز اطلاعات مانند رايانه هاي ذخيره شماره حسابهاست. ولي خطر اصلي در كمين نقاط تمركز اطلاعات مانند رايانه هاي ذخيره شماره حسابهاست. در حالي كه خرابكاران مجرم ممكن است مسئول برخي از دزديها باشند؛ ولي احتمال سوء استفاده بيشتر در مورد خوديهايي است كه با اين سيستمها آشنايي دارند.

حفاظت از مبادلات از طريق كد كردن

كامپيوتر هاي پيام هاي emaile ( و ديگر مبادلات TCP/IP) را بشكل بسته هايي ارسال مي كنند .

يكي از حساس ترين و مهمترين مسائل امروز امنيت مبادلات مي باشد براي محافظت اطلاعات خود در مقابل تهاجم هاي خارجي ، مي بايست كليه مبادلات خود را كد كنيد . در يك مبادله كه شده كليه داده هاي ارسالي فقط از طريق برنامه دارنده كليد كه قابل فهم خواهند بود .

اهميت كد گذاري

ارسال email به صورت عادي ، همانند ارسال يك كارت سيتال بدون پاكت مي باشد . هر كس كه به آن نگاه كند قادر به خواندن و سر در آوردن از محتويات آن مي باشد . همانطور كه دانستيد، در طي كي مبادله ، يك بسته خاص احتمالا از مسير هاي بسيار و از كامپيوتر هاي بسياري عبور خواهد كرد . به عبارت بهتر هر كامپيوتر ملاقات شونده قادر به خواندن محتويات مرسوله خواهند بود .

از كد گذاري براي جلوگيري از دستيابي ناخواسته يا غير مجاز استفاده مي شود . در كد گذاري يك سند محتويات آن از يك متن خوانا به تعدادي عدد متوالي تبديل مي شود كه تنها دارندگان كليد كد قادر به خواندن آن خواهند بود . در روش كد گذاري تك كليدي ، گيرنده و فرستنده از كليدي يكسان بهره مند هستند . امروزه در روش كد گذاري عمومي فرستنده ، و گيرنده از كليد هايي مستقل برخوردارند.

اصول كد كردن

در سيستم كد گذاري تك كليدي ، قبل از كد كردن اطلاعات ، كليد مربوطه را بري فرستنده ارسال مي كنيد . بعنوان مثال در يك كد گذاري تك كليدي ساده ، مي توان از انتقال هر حرف به سه حرف بعد از آن كليد را ايجاد نمود . به عبارت بهتر كمه DOC به GRY تبديل خواهد شد . در شكل زير نمونه اي از كاربرد اين شيوه را مشاهده مي كنيد .

گيرنده از طريق انتقال حروف به اندازه سه واحد به عقب قادر به شناسايي مرسوله خواهد بود . در زير كليد مربوط به اين شيوه كه كد گذاري را مشاهده مي كنيد .

محدوديت هاي كد گذاري تك كليدي

چون در اين شيوه براي كد گذاري و كشف رمز مرسوله ، هم فرستنده و هم گيرنده از يك كليد استفاده مي كنند ، بنابر اين كليد مربوطه بايد از طريق يك كانال كاملا ايمن بين آنها مبادله شود .در شكل زير مبادلات لازم در اين شيوه ارائه شده است .

از طرفي با توجه به اينكه عمل مبادله ممكن است با كاربران گوناگون انجام شود ، براي هر كار بر بايد كليدي مستقل ايجاد نمود .در نتيجه حجم عظيمي از كليد هاي گوناگون بايد در مكاني امن نگداري شوند . از طرفي اگر براي ارسال كليد ها كانالي مطمئن وجود داشت ، پس خود اطلاعات را نيز از طريق اين كانال مي توان مبادله كرد . در شيوه هاي مدرن كد گذاري اين مسئله از طريق يك كليد عمومي حل شده است .

سيستم كد گذاري با كليد عمومي

در اين شيوه به دو كليد مكمل نياز است .كليد عمومي را مي توان براحتي در اختيار دوستان خود قراردهيد اما كليد خصوصي بايد در جايي امن نگهداري شود و نبايد هيچ كس آنرا ببيند . هر كليد ، كد گذاري انجام شده توسط كليد ديگر را رمز گشايي مي كند .

در اين شيوه پس از نوشتن متن مربوطه و كد كردن آن ، تنها گيرنده مي توان آن را رمز گشايي نمايد و حتي خود شما قادر به رمز گشايي آن نخواهيد بود . در حالت عكس كسي كه يك نامه كه شده براي بتما مي فرستد و با كليد عمومي آن را كد مي كند قادر به رمز گشايي نامه نخواهد بود و اين كار فقط از شما بر مي آيد .

كارايي پروتكل كليد عمومي نياز به كانال امن را بر طرف مي كند دو گروه از افراد به نام هاي ريوست ، شايرو آدلمن ، و ديفي و سلمان) الگوريتم مربوط به اين روش را طراحي كرده اند .

استفاده از PGP در Windows براي كد كردن يك سند

PGP برنامه اي است كه كاربران بسياري براي كد گذاري از آن استفاده مي كنند . براي استفاده از اين برنامه از آدرس http://www.pgp.com نرم افزار رايگان PGP.50 را download و نصب كنيد . هنگام نصب اين برنامه دو كليد عمومي و خصوصي براي شما توليد مي كند . بعد از نصب اين برنامه كليد عمومي شما را در حلقه قرار مي دهد . حلقه كليد كد گذاري شبيه ، دسته كليدهاي معمولي است . در اين حلقه مي توان كليد هاي مورد نيازرا جاي داد و آنها را مديريت كرد . حلقه هاي