دسته : کامپیوتر و IT
فرمت فایل : word
حجم فایل : 1637 KB
تعداد صفحات : 111
بازدیدها : 671
برچسبها : تهدیدات امنیتی شبکه امنیت شبکه IPv6
مبلغ : 6000 تومان
خرید این فایلچکیده:
هدف از این مقاله بررسی شایع ترین تهدیدات امنیتی است که می تواند در شبکه های IPv6 بوجود آید و همچنین ارائه مجموعه ای از ابزارهای حسابرسی بر اساس آسیب های شناسایی شده می باشد.
علاوه بر این تکنیک های کاهش برای مسائل امنیتی شرح داده شده، معرفی شده اند. در حال حاضر بیشتر ابزارهای امنیتی open-source یا اختصاصی ، IPv6 را پشتیبانی نمی کنند. ما برای پیاده سازی مناسب چنین ابزارهایی بر پایه تهدیدات متداول IPv6 برنامه ریزی کرده ایم و این آزمایش اسیب پذیری در شرایط استقرار واقعی رخ خواهد داد.
این مقاله بر روی سه نوع از حملاتی که معمولا بر روی شبکه های IPv6 صورت می گیرد تمرکز کرده است.
حمله با هدف شناسایی که به منظور تعیین host در یک زیر شبکه صورت می گیرد.
حملات انکار سرویس که با هدف مختل کردن عملکرد شبکه صورت می گیرد و man-in-the-middleattacks. پیاده سازی های پیشنهادی در پلت فرم Scapy صورت می گیرد.
فهرست مطالب
فصل اول- آسیب پذیری های امنیتیIPv6
1-1- حملات در مقابل پروتوکل IPv6
1-1-1- چندپخشی (Multicast)
2-1-1- مرحله ی عملیات شناسایی
3-1-1- حمله ی تقویت شده
4-1- پینگ مرگ
5-1- هدر های گسترش دهنده
6-1- حمله ی Router Alert DoSدر هدر آپشن Hop-by-Hop
7-1- هدر روتینگ 0(عدم تایید)
8-1- فرار دیواره ی آتش باهدر فرگمنت Fragment Header
9-1- اقدامات جبران کننده برای یک گروه IPV6
فصل دوم- امنیت اینترنت Ipv6
1-2- امنیت اینترنت Ipv6
2-2- تهدیدات اینترنتی مقیاس بزرگ
1-2-2- حمله ی Packet Flooding
2-2-2- کرم های اینترنتی
1-2-2-2- تکثیر کرم
2-2-2-2- سرعت انتشار کرم در IPv6
3-2-2-2- کرم های رایج IPv6
4-2-2-2- جلوگیری از کرم های IPv6
3-2-2- رد سرویس توزیع یافته و سرپوش ها
1-3-2-2-DdoS در شبکه های IPv6
1-3-2-2- حمله فیلترینگ
2-3-2-2- ردیابی مهاجم
3-3-2-2-سیاهچاله ها و شبکه های Dark Net
فصل سوم امنیت شبک های محلی
1-3- چرا لایه 2 مهم است؟
2-3- آسیب پذیری های لایه دوم ICMPv6
1-2-3-نتایجپیکربندی اتوماتیک آدرس بدون تابعیت
2-2-3- پی آمدهای کشف همجوار
3-2-3- پیامدهای کشف آدرس تکراری
4-2-3- نتایج تعیین جهت
3-3- حفاظت از پروتکل ICMPv6
1-3-3- کشف مجاور امن
2-3-3- پیاده سازی آدرس های CGA در Cisco IOS
3-3-3- درک چالش های همراه SEND
4-3- کشف شبکه ی حملات ICMPv6
1-4-3- کشف پیامهای RA مخرب
2-4-3- کشف حملات NDP
5-3- بهبود و تسکین شبکه دربرابر حملات ICMPv6
1-5-3- Rafix
2-5-3-کاهش محدوده ی هدف
3-5-3- وظیفه ی IETF
4-5-3- تداوم امنیت سوئیچ IPv4 به IPv6
6-3- آدرس های اضافی مستقل برای بهتر و بدتر
1-6-3- تهدیدات DHCPv6 و کاهش
1-1-6-3- تهدیدات بر علیه DHCPv6
2-1-6-3- تسکین حملات DHCPv6
1-2-1-6-3- تسکین حمله ی قحطی زدگی
2-2-1-6-3- تسکین حمله ی DoS
3-2-1-6-3- تخفیف پیمایش
4-2-1-6-3- تسکین سرور DHCPv6 مخرب
چکیده انگلیسی
فهرست منابع
فهرست اشکال
****************
بخشهایی از متن هر فصل
در این بخش، مسائل امنیتی که تاکنون در رابطه با IPv6 شناخته شده است، بررسی می شوند. در ابتدا و پیش از آنکه ابزارها و اسکریپت های مناسب به کار گرفته شوند، هر آسیب پذیری با جزئیات آن توصیف خواهند شد. سپس بعد از هر بخش اقدامات متقابل در گره های IPv6 و دیواره ی آتش به طور خلاصه ارائه می شود.
بخشها بر اساس انواع متفاوت حمله ها گروه بندی شده اند، البته مرزهای این دسته بندی برای هر مورد به طور صریح مشخص نیست. این بخش در مورد مسائل امنیتیای است که مستقیماً از خصوصیات IPv6 ناشی می شود، مانند استفاده ی متعدد از بسته های چندپخشی یا زنجیره ای از گسترش هدرها. بخش 2.3 در رابطه با پیامهای جعل شده ی ICMPv6 می باشد که با استفاده از آن فرد حمله کننده میتواند چندین حمله را در لینکهای محلی انجام دهد. بخش 3.3 در رابطه با مشکلات امنیتی ناشی از استفاده ی DHCPv6 می باشد. حتی اگر شبکه فقط به صورت IPv4 باشد، برخی از تهدیدهای مربوط به IPv6 وجود خواهد داشت. در پایان این بخش، سطوح امنیتی هر دوی این پروتکلهای اینترنتی با هم مقایسه خواهند شد، و در آخرین جدول تمام حملات امنیتی IPv6 با ابزارهای مناسب انجام آن نمایش داده خواهد شد.
از اکنون، ما برای صحبت کردن دو طرف، فرد حمله کننده (مهاجم) و مدیر شبکه، از قراردادی استفاده می کنیم. فرد حمله کننده همیشه موجودیتی بد است که می خواهد در سرویسها یا جمع آوری اطلاعات اختلال ایجاد کند، درحالیکه مدیر شبکه موجودیتی خوب است که میخواهد شبکه هایش را در مقابل این حملات امن کند. به علاوه، هدف ما توصیف همه ی ابزارهای حمله نیست، بلکه نشان دادن آسیب پذیریهای اصلی و بهره برداری از آنها می باشد. ما از عبارت "اینترنت" و "دیگر زیرشبکه های مسیر داده شده در همان سازمان" به صورت معادل استفاده نمودیم. برای مثال، اگر فرد حمله کننده حمله را آغاز کند و بتواند تمام داده های ارتباطی بین قربانی و اینترنت را بخواند، او میتواند تمام داده های بین قربانی و دیگر زیرشبکه های داخل شبکه را نیز بخواند. به علاوه، به دلیل آنکه بیشتر شبکه های IPv6 سازمانی به صورت اترنت هستند، ما از عبارت "آدرس لایه-لینک"معادل با "آدرس MAC" استفاده می کنیم.
...
بیشتر مردم از اینکه دانسته اند Ipv6 هم اکنون در حال اجرا روی بستر اینترنت می باشد، شگفت زده هستند. اینترنت می تواند هر دو ورژن ip یعنی (ipv6 و ipv4) را اجرا نماید، زیرا پروتکل ها مستقل از یکدیگرند. آنهایی که ارتباط IPv6 ندارند نمی توانند به سرویس های آماده ی IPv6 در سراسر اینترنت دسترسی داشته باشند.
در حال حاضر در مقیاس وسیع خطرات (تهدیدات) زیادی روی اینترنت IPv4 وجود دارد، و IPv6 جهت بهبود این وضعیت ارزیابی خواهد شد. این تهدیدات دارای پتانسیلی هستند که سرویسی را برای سرویس های مهم رد می کنند و بدافزارها را گسترش می دهند. IPv6 می تواند بسیاری از حملاتی که روی اینترنت IPv4 متداول هستند را کاهش دهد.
مهاجمان می توانند بسته های جعلی ایجاد کنند، بنابراین به یک فیلترینگ بر پایه آدرس IP نیاز است. یکی از پیشگیری های امنیتی کلیدی و مهم در زمان اتصال به اینترنت،اجرای فیلترینگ روی ورود و خروج بسته های IPv6 می باشد. چرا که آدرس های IPv6 نسبت به آدرس های IPv4 کاملا متفاوت هستند و نیز فیلتر کردن آدرس های IPv6 منحصر به فرد می باشند.
همچنین امنیت در داخل محیط یک سرویس دهنده (ISP) در یک ناحیه متمرکز است. چنانکه یک سرویس دهنده شبکه اش را امن کند ،عموما به طور مستقیم بر امنیت اینترنت تأثیر می گذارد. ارایه دهندگان خدمات به شکل وسیع از پروتکل دروازه مرزی (BGP) استفاده می کنند، بنابراین استفاده امن از این پروتکل مسیریابی ،یک رویه ی ضروری و اساسی است.
ارایه دهندگان خدمات از "سوئیچینگ برچسب چندپروتکلی" (MPLS) در شبکه های مرکزی خود بهره می گیرند. این فصل امنیت این پروتکل نسبت به IPv6 را در بر می گیرد. ارائه دهنگان خدمات بایستی میلیون ها مشتری و تجهیزات فرضی مشتری خود (CPE) را به اینترنت متصل کنند.
...
در فصل قبل - "امنیت پیرامون IPv6 " - دانستید که چگونه IPv6 را در محیط ایمن سازی کنید. در این فصل همه چیز در مورد امنیت داخلی شبکه شما می باشد. این فصل تمرکز ویژه ای بر روی حملات محلی اجرا شده در لایه 2 مدل OSI (Open Systems Interconnection) دارد و با برخی نظرات و ایده ها در مورد آدرس های الحاقی مستقل به پایان می رساند.
شبکه LAN و سوئیچ های اترنت معمولا بعنوان لوله کشی مشاهده می شوند. نصب و پیکربندی آنها آسان است،ولی فراموش کردن امنیت نیز وقتی پروسه ی نصب در ظاهر ساده به نظر می آید، آسان است. لایه 2 شبکه ها قابلیت آسیب پذیری چندگانه ای دارند.
حمله دست به کار می شود با استفاده از این آسیب پذیری هایی که از دو سال پیش پدیدار شده اند (بسته معروف dsniff). با استفاده از ابزارهای حمله که از نقص ها یا پیکربندی های اشتباه در زیرساخت سوئیچ بهره گرفته اند ،یک کاربر مخرب می تواند افسانه ی امنیت یک سوئیچ را شکست دهد که اشتباها تعیین می کند بو کشیدن و قطع بسته با یک سوئیچ غیرممکن است. براستی با dsniff، Yersinia، Cain & Abel (هابیل و قابیل) و دیگر ابزارهای کاربر پسند در ویندوز مایکروسافت یا سیستم های لینوکسی، یک حمله می تواند به آسانی هر ترافیکی را به PC خودش معطوف کند تا قابلیت اعتماد یا بی نقصی این ترافیک را نقض کند.
اکثر آسیب پذیریها به پروتکلهای لایه 2 درمحدوده ای از پروتکل درخت پوشا (STP) تا پروتکل کشف مجاورNDP) IPv6) هستند. اگر لایه 2 به خطر بیفتد، ایجاد حملات روی پروتکلهای لایه بالاتر با استفاده از تکنیک هایی از قبیل حملات مرد میانی ( MITM) آسانتر است، چون سپس هکر قادر است از هر ترافیکی که اجازه می دهد به او تا خودش را در ارتباط پیام کشف (از جمله HTTP یا Telnet) وارد کند جلوگیری می کند، ولیکن کانال های رمزنگاری شده مثل لایه سوکت امن (SSL) یا پوسته امن (SSH).
...
خرید و دانلود آنی فایل