امنيت و TCP/IP Stack

TCP/IP يكي از پروتكل هاي مطرح در عرصه شبكه هاي كامپيوتري است كه از چهار لايه متفاوت فيزيكي ، شبكه ، حمل و كاربرد تشكيل شده است . هر لايه داراي مكانيزم هاي امنيتي ، پروتكل ها و برنامه هاي مختص به خود مي باشد . در ادامه به برخي از امكانات امنيتي متداول و مرتبط با هر يك از لايه هاي پروتكل TCP/IP اشاره مي گردد :

لايه فيزيكي : معادل لايه هاي اول و دوم مدل مرجع OSI

• Packet Filters ، به منظور استقرار بين يك شبكه داخلي و يك شبكه خارجي طراحي مي گردند. براي برخورد مناسب ( ارسال ، نپذيرفتن ، حذف ) با بسته هاي اطلاعاتي ورودي و يا خروجي از يك شبكه از مجموعه قوانين تعريف شده خاصي استفاده مي گردد . ACL ( برگرفته از Access Control List ) روتر ، نمونه اي از يك Packet Filter مي باشد .
• NAT ، ( برگرفته از Network Address Translation ) ، مكانيزمي براي ترجمه آدرس است . اكثر كاربران اينترنت با سرعت بالا از NAT استفاده مي نمايند . تكنولوژي فوق به منظور تامين امنيت كاربران ، آدرس داخلي آنان را از ديد شبكه هاي خارجي مخفي نگه مي دارد .
• CHAP ( برگرفته از Challenge Handshake Authentication Protocol ) ، يك پروتكل "تائيد" است كه از آن به عنوان گزينه اي جايگزين در مقابل ارسال معمولي و رمز نشده نام و رمز عبور استفاده مي گردد . پروتكل فوق از الگوريتم MD5 براي رمزنگاري رمزهاي عبور استفاده مي نمايد .
• PAP ( برگرفته از Password Authentication Protocol ) . پروتكل فوق ، به عنوان بهترين گزينه امنيتي در لايه فيزيكي مطرح نمي باشد و با ارائه امكاناتي كاربران را ملزم به درج نام و رمز عبور مي نمايد . اطلاعات درج شده توسط كاربران به صورت متن معمولي ( رمز نشده ) ارسال مي گردد ( مهمترين محدوديت پروتكل PAP ) .

لايه شبكه : معادل لايه سوم مدل مرجع OSI

• PPTP ( برگرفته از Point to Point Tunneling Protocol ) توسط كنسرسيومي متشكل از مايكروسافت و 3com پياده سازي و هدف آن ارائه امكانات لازم به منظور كپسوله سازي داده مي باشد . امنيت لازم براي PPTP توسط رمزنگاري Point-to-point مايكروسافت ارائه شده است .
• L2TP : پروتكل VPN فوق به منظور امنيت و بر اساس پروتكل هاي PPTP و L2F پياده سازي شده است .
• IPsec : از پروتكل فوق به منظور حفاظت بسته هاي اطلاعاتي IP و دفاع در مقابل حملات شبكه اي استفاده مي گردد . IPsec از پروتكل هاي امنيتي و مديريت كليد پويا استفاده نموده و داراي دو پيكربندي پايه AH ( برگرفته از Authenticated Header ) و ESP ( برگرفته از Encapsulated Secure Payload ) مي باشد .

لايه حمل : معادل لايه هاي چهارم و پنجم مدل مرجع OSI

• SSL ( برگرفته از Secure Sockets Layer ) ، پروتكلي است كه با استفاده از آن به كابران اين اطمينان داده مي شود كه به صورت ايمن اقدام به مبادله اطلاعات بر روي شبكه ( نظير اينترنت ) نمايند .
• TLS ( برگرفته از Transport Layer Security ) ، پروتكلي مشابه پروتكل SSL است و از يك رويكرد لايه اي به منظور امنيت داده استفاده مي نمايد . TLS از چندين پروتكل زير مجموعه ديگر تشكيل مي گردد .

لايه كاربرد : برخي از وظايف لايه پنجم و معادل لايه هاي ششم و هفتم مدل مرجع OSI

• RADIUS ( برگرفته از Remote Authentication Dial-In User Service ) متداولترين پروتكل تائيد كاربران dialup در دنياي شبكه هاي كامپيوتري است . پروتكل فوق امكانات لازم براي تائيد و اعطاي مجوز لازم به كابران dialup شبكه هاي كامپيوتري را فراهم مي نمايد .
• TACACS ( برگرفته از Terminal Access Controller Access Control System ) ، يك پروتكل "تائيد" قديمي در شبكه هاي مبتني بر سيستم عامل يونيكس است كه اين امكان را براي يك سرويس دهنده راه دور فراهم مي نمايد تا رمز عبور درج شده توسط كاربران را به يك سرويس دهنده تائيد شده هدايت تا صلاحيت آنان براي استفاده از يك سيستم بررسي گردد .
• Kerberos توسط MIT و به عنوان يك پروتكل تائيد قدرتمند پياده سازي شده است . پروتكل فوق براي تائيد مجوز كاربران در ارتباط با اشياء متفاوت از tickets استفاده مي نمايد . Kerberos ، امكانات لازم به منظور رمزنگاري ، پيوستگي داده و محرمانگي را ارائه مي نمايد .
• S-MIME ( برگرفته از Secure / Multipurpose Internet Mail Extensions ) ، پروتكلي به منظور ايمن سازي نامه هاي الكترونيكي است . پروتكل فوق با بهره گيري از امكاناتي نظير رمزنگاري و امضاء ديجيتال ، امنيت نامه هاي الكترونيكي را تضمين مي نمايد .
كارشناسان امينت اطلاعات بر اين عقيده هستند كه چون نمي توان يك شبكه و يا host را صرفا" با استفاده از امكانات امنيتي يك لايه صددرصد ايمن نمود ، مي بايست از رويكرد "دفاع در عمق " و يا امنيت لايه اي ( layered security ) استفاده نمود . ايده "دفاع در عمق" مي تواند بطرز قابل توجهي كاهش حملات موفقيت آميز را به دنبال داشته باشد .