تبلیغات
مجید بلاگ - مطالب ابر امنیت اطلاعات
منوی اصلی
مجید بلاگ
گاه نوشته های مجید کریمی زارچی در حوزه فناوری اطلاعات IT
  • Admin پنجشنبه 30 اردیبهشت 1395 09:07 ب.ظ نظرات ()

     انواع روش نفوذ

    امروزه تمام سازمان‌ها به‌صورت پیوسته مورد هجوم هکرها قرار می‌گیرند.این حملات به‌صورت گسترده و با روش‌ها و ابزارهای پیچیده‌ای صورت می‌گیرد در اینجا نمونه‌ای روش‌های مختلف بکار رفته توسط هکرها را بررسی می‌کنیم:

    ·         استفاده از پروتکل‌های ناامن

    با افزایش حملات و تهدیدات با توجه به نقاط ضعفی که در پروتکل‌های شبکه وجود دارد ،برای اکثر پروتکل‌های مورداستفاده در شبکه نسخه امن آن‌ها ارائه‌شده است به‌عنوان‌مثال Https به‌جای Http و یا SSH به‌جای Telnet.با توجه به ضعف‌های موجود در پروتکل‌های ناامن می‌بایست در سازمان از نسخه امن آن استفاده شود.

    ·         دارایی‌ها با شرایط عدم استفاده

    در سازمان‌ها بسیاری از منابع و دارایی‌های وجود دارد که هیچ‌گونه کاربرد و استفاده‌ای برای سازمان در زمان حال ندارد. این منابع می‌بایست از شبکه سازمان خارج گردند چراکه ممکن است بسیاری از این منابع با توجه ضعف‌های امنیتی که دارند مورد سوءاستفاده هکر قرار گیرد و به‌عنوان نقطه‌ای برای ورود به سازمان مورداستفاده قرار گیرد.

    ·         نفوذ از داخل سازمان

    معمولاً توجه بسیاری از گروه‌های امنیتی به حملات و نفوذ از خارج سازمان تمرکز می‌کنند و تهدیداتی که در داخل سازمان وجود دارد توجه لازم ندارند. این در حالی است که بر اساس گزارش‌های ارائه‌شده در سال 2009 میلادی 50 الی 90 % حملات رخداده به سازمان‌ها از داخل سازمان ها بوده است.

    .     تنظیم نادرست تجهیزات

    این اقدام ممکن است توسط هکر یا مدیر شبکه صورت بگیرد.هکر باهدف راحت کردن نفوذ به سیستم و یا عدم شناسایی توسط سیستم اقدام به این عمل می‌کند.درحالی‌که مدیر شبکه ممکن است به‌صورت سهوی دست به این اقدام بزند و یا در بازه‌ای باهدف آزمودن اقدام به فعال کردن  گزینه  مربوطه کرده ولی متأسفانه تنظیمات به حالت اولیه  و ایمن نبرده والان مورد سوءاستفاده هکر قرار می‌گیرد.

    برای ایمن کردن شبکه از تهدیدات داخلی می‌توان از راهکارهای همچون:

    1.     برگزاری دوره‌های آموزشی و آگاهی دادن

    از برگزاری دوره‌های آموزش حداقل سالیانه می‌توان به هدف بالا رفتن دانش افراد بادانش کم در حوزه امنیت استفاده کرد چراکه این افراد در بسیاری از موارد به‌صورت ناخواسته مورد سوءاستفاده افراد سودجو قرارگرفته از این طریق به شبکه سازمان نفوذ می‌کنند.

    2.     تفکیک وظایف با حجم زیاد

    در بعضی از سازمان پروژه و مسئولیت‌ها با حجم کاری زیاد به یک فرد سپرده می‌شود و این خود موجب بروز مشکلات امنیتی برای سازمان می‌شود چراکه در صورت وقوع رخدادی توسط این فرد ممکن مدت‌ها سازمان از این رخداد اطلاع پیدا نکرده مورد سوءاستفاده قرار گیرد.

    3.     چرخشی بودن وظایف

    می‌توان وظایف مهم رابین افراد مختلف در سازمان به‌صورت چرخشی با بازه زمانی متفاوت تقسیم کرد.تا در صورت عملکرد نادرست شخص در انجام وظایف مربوطه ، عملکرد نادرست توسط دیگر افراد گروه آشکار گردد.

    4.     حسابرسی و ممیزی[1] فعالیت‌ها

    ضروری است تا کلیه فعالیت‌ها و اقدامات انجام‌شده توسط کلیه افراد موردحسابرسی و ممیزی قرار گیرد تا در صورت عملکرد نادرست بتوان در کوتاه‌ترین زمان ممکن به آن پی برد.


    [1] audit


    تالیف و ترجمه:مجید کریمی زارچی

    آخرین ویرایش: پنجشنبه 30 اردیبهشت 1395 09:18 ب.ظ
    ارسال دیدگاه
  • Admin شنبه 21 دی 1392 03:15 ب.ظ نظرات ()

    امروزه با گسترش IT و تجارت الکترونیک مباحث مربوط به امنیت و امضای دیجیتال گسترش پیدا کرده است
    هدف از امضای دیجیتال برای جلوگیری از جعل سند و هویت افراد می باشد.
    معمولا به دو روش امضای دیجیتال انجام می شود:

    1- استفاده از Private key و Hash

    در این روش رمز نگاری، اطلاعات ابتدا به وسیله الگوریتم های مثل( MD5,SHA)  به صورت hash  در آمده
    روش به این صورت هست که با دادن اطلاعات به الگوریتم به یک مجموعه رشته 132 بیتی یا 160 بیتی می رسیم
    مقدار ورودی ما هرچه باشد اندازه خروجی با توجه به الگوریتم اندازه یکسانی دارد(یک جمله یا یک کتاب)
    ولی با ورودی های متفاوت خروجی هم متفاوت می شود و برگشت ناپذیر
    از عمل hash برای جلوگیری از جعل سند استفاده می شود.
    یعنی گیرنده اطلاعات ،انچه را که دریافت کرده است به الگوریتم داده و hash آن را محاسبه می کند اگر مقدار با hash ای که فرستنده در مبدا محاسبه کرده و به گیرنده داده است یکسان بود یعنی اطلاعات در طول مسیر تغییر نکرده است.

    در این روش ، از الگوریتم های Asymmetric استفاده می شود در این روش هر فرد دارای 2 کلید هست
    حالا اصلا مفهوم کلید چی هست؟
    کلید مشابه دنیای واقعی هست که با آن کلید اطلاعات رمز شده و آن هم باز می شود( روش symmetric با یک کلید)
    نمونه یک کلید:

    04 91 33 1a 71 e7 8d 6e f7 33 31 18 97 b1 a3 15 89 11 2d 6b 5a 61 1b 12 0f c1 43 92 29 64 e0 df 74 08 c5 f6 89 99 e3 08 4d 85 a6 75 9d 1c 13 c9 90 8e cd a5 db 49 4e 24 55 9b af 35 71 8b a1 d1 b6

    در روش Asymmetric هر فرد دارای 2 کلید هست: Public و Private
    کلید Public به صورت عموم منتشر می شود و در اختیار همگان است.
    کلید Private به صورت شخصی بوده و تنها خود فرد محافظت واستفاده می کند.
    اطلاعات توسط Private یا Public  رمز شده و توسط دیگری باز می شود.

    در امضای دیجیتال اطلاعات در مبدا ابتدا hash شده سپس (اطلاعات+hash) ان با استفاده از  کلید Private  فرد به صورت رمز در آمده و ارسال می گردد،
    در مقصد اطلاعات با استفاده از کلید Public (در اختیار همگان است) از حالت رمز خارج شده سپس
    Hash اطللاعات محاسبه شده و با Hash ارسالی توسط فرستنده مقایسه می گردد

    حالا 2 نکته
    اگر اطلاعات با کلید Public طرف مقابل باز شود یعنی اینکه با Private او به صورت رمز در آمده پس یعنی فرستده خود شخص است(تایید هویت)
    اگر Hash به دست آمده با hash ارسالی یکسان بود یعنی اطللاعات در طول مسیر تغییر نکرده است(صحت اطلاعات)

    2- استفاده از Preshared key و Hash
    ابن روش مشابه روش قبل است با این تفاوت که اطلاعات تنها با یک کلیدی که از قبل بین 2 طرف به اشتراک گذاشته شده است رمز می گردد و باز می شود.

    منبع : www.mkz.ir
    آخرین ویرایش: یکشنبه 22 دی 1392 07:56 ق.ظ
    ارسال دیدگاه
  • Admin شنبه 23 آبان 1388 12:02 ب.ظ نظرات ()
    سلام

    برای امنیت بالا در دریافت و ارسال ایمیل های خود در Gmail و جلوگیری از هرگونه شنود اطلاعات بهتر است گزینه HTTPS آن را فعال کنید برای این کار می توانید با توجه به تصاویر عمل کنید:

    ابتدا وارد تنظیمات جیمیل خود شوید(بالا, سمت راست صفحه)



    و سپس




    موفق باشید

    آخرین ویرایش: - -
    ارسال دیدگاه