امنیت نامه های الکترونیکی

  • ۰

امنیت نامه های الکترونیکی

امنیت نامه های الکترونیکی

امنیت نامه های الکترونیکی

امنیت نامه های الکترونیکی

الکترونیکی با هر یک از سطوح فوق متفاوت است . این نوع برنامه ها ، امکان اجرای کدهای موجود در فایل اینترنت چالش های جدیدی را در عرصه ارتباطات ایجاد کرده است. کاربران اینترنت با استفاده از روش های متفاوت ،امکان ارتباط با یکدیگر را بدست آورده اند .اینترنت زیر ساخت مناسب برای ارتباطات نوین را فراهم و زمینه ای مساعد و مطلوب بمنظور بهره برداری از سرویس های ارتباطی  توسط کاربران فراهم شده است .  بدون شک ، پست الکترونیکی در این زمینه دارای جایگاهی خاص است .

پست الکترونیکی،  یکی از قدیمی ترین و پرکاربردترین سرویس موجود در اینترنت است .  شهروندان اینترنت، روزانه میلیون ها نامه الکترونیکی را برای یکدیگر ارسال می دارند. ارسال و دریافت  نامه الکترونیکی، روش های سنتی ارسال اطلاعات ( نامه های دستی ) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها ،اغلب مردم تمایل به استفاده از نامه الکترونیکی در مقابل تماس تلفتی با همکاران و خویشاوندان خود دارند . در این مقاله قصد نداریم به بررسی مزایای سیستم پست الکترونیکی اشاره نمائیم. در صورتیکه بپذیریم که سیستم پست الکترونیکی عرصه جدیدی را در ارتباطات افراد ساکن در کره زمین ایجاد کرده است، می بایست بگونه ای حرکت نمائیم که از آسیب های احتمالی تکنولوژی فوق نیز در امان باشیم .

طی سالیان اخیر، بدفعات شنیده ایم که شبکه های کامپیوتری از طریق یک نامه الکترونیکی آلوده و دچار مشکل و تخریب اطلاعاتی  شده اند. صرفنظر از وجود نواقص امنیتی در برخی از محصولات نرم افزاری که در جای خود تولید کنندگان این نوع نرم افزارها بمنظور استمرار حضور موفقیت آمیز خود در عرصه بازار رقابتی موجود، می بایست مشکلات و حفره های امنیتی محصولات خود را برطرف نمایند ، ما نیز بعنوان استفاده کنندگان از این نوع نرم افزارها در سطوح متفاوت ، لازم است با ایجاد یک سیستم موثر پیشگیرانه ضریب بروز و گسترش این نوع حوادث را به حداقل مقدار خود برسانیم . عدم وجود سیستمی مناسب جهت مقابله با این نوع حوادث ، می تواند مسائلی بزرگ را در یک سازمان بدنبال داشته که گرچه ممکن است تولیدکننده نرم افزار در این زمینه مقصر باشد ولی سهل انگاری و عدم توجه به ایجاد یک سیستم امنیتی مناسب ، توسط استفاده کنندگان مزید بر علت خواهد بود ( دقیقا” مشابه عدم بستن کمربند ایمنی توسط سرنشین یک خودرو با نواقص امنیتی ) . در این مقاله ، به بررسی روش های پیشگیری از تخریب  اطلاعات در شبکه های کامپیوتری از طریق پست الکترونیکی پرداخته و با ارائه راهکارهای مناسب ، یک سیستم حفاظتی مطلوب پیشنهاد می گردد . در این راستا ، عمدتا” بر روی برنامه سرویس گیرنده پست الکترونیکی ماکروسافت (Outlook) متمرکز خواهیم شد( بدلیل نقش بارز و مشهود این نوع از برنامه ها در جملات اینترنتی اخیر) .

سیل ناگهانی حملات اینترنتی مبتنی بر کدهای مخرب،  با ظهور کرم ILOVEYOU  ، وارد عرصه جدیدی شده است . سیتسم های مدرن پست الکترونیکی بمنظور مقابله با این نوع از تهدیدات ، تدابیر لازم را در جهت ایجاد یک حفاظ امنیتی مناسب برای  مقابله با عرضه و توزیع کدهای مخرب آغاز نموده اند .برنامه های سرویس گیرنده پست الکترونیکی متعلق به شرکت ماکروسافت ، هدفی جذاب برای اغلب نویسندگان کدهای مخرب می باشند . شاید یکی از دلایل آن ،  گستردگی و مدل برنامه نویسی خاص  بکارگرفته شده در آنان باشد . تاکنون  کدهای مخرب فراوانی ، محصولات ماکروسافت را هدف قرار داده اند . عملکرد قدرتمند سه نوع ویروس ( و یا کرم ) در زمینه تخریب اطلاعات از طریق اینترنت ، شرکت ماکروسافت را وادار به اتخاذ  تصمیمات امنیتی خاص در اینگونه موارد نمود . این ویروس ها عبارتند از :

ویروس Melissa  ، هدف خود را بر اساس  یک فایل ضمیمه Word مورد حمله ویرانگر قرار می دهد . بمحض باز نمودن فایل ضمیمه ،  کد مخرب بصورت اتوماتیک فعال می گردد .

ویروس BubbleBoy ، همزمان با مشاهده ( پیش نمایش ) یک پیام ، اجراء می گردد . در این رابطه ضرورتی به باز نمودن فایل ضمیمه بمنظور فعال شدن و اجرای کدهای مخرب وجود ندارد . در  ویروس فوق ، کدهای نوشته شده  در بدنه نامه الکترونیکی قرار می گیرند . بدین ترتیب، بمحض نمایش پیام توسط برنامه مربوطه ، زمینه اجرای کدهای مخرب فراهم می گردد .

کرم ILOVEYOU  از لحاظ مفهومی شباهت زیادی با ویروس Mellisa داشته و بصورت  یک فایل ضمیمه همراه یک نامه الکترونیکی جابجا می گردد . در این مورد خاص،  فایل ضمیمه خود را بشکل یک سند Word تبدیل نکرده و در مقابل فایل ضمیمه از نوع یک اسکریپت ویژوال بیسیک (vbs . ) بوده و بمحض فعال شدن، توسط میزبان اسکریپت ویندوز (Windows Scripting Host :WSH) تفسیر و اجراء می گردد .

 

 

پیشگیری ها

در این بخش به ارائه پیشنهادات لازم در خصوص پیشگیری از حملات اطلاعاتی مبتنی بر سرویس گیرندگان پست الکترونیکی خواهیم پرداخت.رعایت مواردیکه در ادامه بیان می گردد، بمنزله حذف کامل تهاجمات اطلاعاتی از این نوع نبوده بلکه زمینه تحقق این نوع حوادث را کاهش خواهد داد .

پیشگیری اول  : Patch های برنامه پست الکترونیکی ماکروسافت

بدنبال ظهور کرم ILOVEYOU  و سایر وقایع امنیتی در رابطه با امنیت کامپیوترها در شبکه اینترنت،  شرکت ماکروسافت یک Patch امنیتی برای برنامه های outlook 98  و outlook 2000 عرضه نموده است . Patch فوق، با ایجاد محدودیت در رابطه با  برخی از انواع فایل های ضمیمه ، زمینه اجرای کدهای مخرب را حذف می نماید . با توجه به احتمال وجود کدهای مخرب در فایل های ضمیمه  و میزان مخرب بودن آنان،  تقسیمات خاصی توسط ماکروسافت انجام گرفته است .فایل های ضمیمه ای که دارای بیشترین احتمال تهدید برای سیستم های کامپیوتری می باشند ،  سطح یک و فایل هائی با احتمال تخریب اطلاعاتی کمتر  سطح دو ، نامیده شده اند. نحوه برخورد برنامه های سرویس گیرنده پست های ضمیمه از نوع سطح یک را بلاک می نمایند. جدول زیر انواع فایل ها ی موجود در سطح یک را نشان می دهد .

 

انشعاب شرح
ade Microsoft Access project extension
adp Microsoft Access project
bas Visual Basic class module
bat Batch file
chm Compiled HTML Help file
cmd Windows NT Command script
com MS-DOS program
cpl Control Panel extension
crt Security certificate
exe Program
hlp Help file
hta HTML
inf Setup Information
ins Internet Naming Service
isp Internet Communication settings
js JScript Script file
jse JScript Encoded Script file
lnk Shortcut
mdb Microsoft Access program
mde Microsoft Access MDE database
msc Microsoft Common Console document
msi Windows Installer package
msp Windows Installer patch
mst Visual Test source files
pcd Photo CD image
pif Shortcut to MS-DOS program
reg Registration entries
scr Screen saver
sct Windows Script Component
shs Shell Scrap Object
url Internet shortcut
vb VBScript file
vbe VBScript encoded script file

 

Patch فوق،  در رابطه با ضمائمی که با نام سطح دو( مثلا” فایل هائی از نوع zip )  ، شناخته می شوند از رویکردی دیگر استفاده می نماید . این نوع ضمائم بلاک نمی گردند ولی لازم است که کاربر قبل از اجراء آنان را بر روی کامپیوتر خود ذخیره نماید . بدین ترتیب در روند اجراء یک توقف ناخواسته بوجود آمده و زمینه فعال شدن ناگهانی آنان بدلیل سهل انگاری ، حذف می گردد. در رابطه با این نوع از فایل ها ، پیامی مشابه زیر ارائه می گردد .

فایل هائی بصورت پیش فرض درسطح دو ،  وجود نداشته و مدیرسیستم می تواند فایل هائی با نوع خاص را اضافه نماید (در رابطه با فایل های سطح یک نیز امکان حذف و یا افزودن فایل هائی وجود دارد ) . در زمان تغییر نوع فایل های سطح یک و دو، می بایست به دو نکته مهم توجه گردد : عملیات فوق،  صرفا” برای کاربرانی که به سرویس دهنده پست الکترونیکی Exchange متصل هستند امکان پذیر بوده و کاربرانی که از فایل ها ی pst . برای ذخیره سازی پیام های الکترونیکی خود استفاده می نمایند را شامل نمی شود. قابلیت تغییر تعاریف ارائه شده سطح یک و دو،  می تواند بعنوان یک رویکرد مضاعف در رابطه با سیاست های امنیتی محلی، مورد استفاده قرار گیرد . مثلا” می توان با استفاده از ویژگی فوق،  فایل های با انشعاب doc . ( فایل های word) را به لیست فایل های سطح یک اضافه کرد. برای انجام تغییرات مورد نظر در نوع فایل ضمیمه تعریف شده در سطح یک ، می بایست مراحل زیر را دنبال نمود :

برنامه Regedit.exe را اجراء نمائید .

کلید HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Security key را انتخاب نمائید . ( در صورتیکه کلید فوق وجود ندارد می بایست آن را ایجاد کرد) .

از طریق منوی Edit  دستور New  و در ادامه String Value انتخاب گردد .

نام جدید را Level1AttachmentAdd  منظور نمائید.

گزینه new Level1AttachmentAdd value را انتخاب و دکمه Enter را فعال نمائید .

یک رشته شامل انشعاب فایل های مورد نظر را که قصد اضافه کردن آنها را داریم ، وارد نمائید ( هر یک از انشعاب فایل ها توسط  “;” از یکدیگر تفکیک می گردند )

Example:
Name: Level1AttachmentAdd
Type: REG_SZ
Data: doc;xls

در زمان بازنمودن فایل های ضمیمه ای که از نوع سطح یک و یا دو نمی باشند( فایل های آفیس نظیر  Word ,Powerpoint بجزء فایل های مربوط به Access  )  ، پیامی مطابق شکل زیر ارائه و کاربران دارای حق انتخاب بمنظور فعال نمودن ( مشاهده ) فایل ضمیمه و یا ذخیره آن بر روی کامپیوتر را دارند . پیشنهاد می گردد که در چنین مواردی فایل ذخیره و پس از اطمینان از عدم وجود کدهای مخرب ، فعال و مشاهده گردد . در این رابطه می توان از ابزارهای موجود استفاده کرد .

 

Patch فوق، همچنین امکان دستیابی به دفترچه آدرس Outlook را از طریق مدل شی گراء Outlook و  CDO)Collaborative Data Objects)   ، توسط کدهای برنامه نویسی کنترل  می نماید .بدین ترتیب، پیشگیری لازم در مقابل کدهای مخربی که بصورت خودکار و تکراری اقدام به تکثیر نسخه هائی از خود  برای لیست افراد موجود در دفترچه آدرس می نمایند ، انجام خواهد یافت . Patch فوق، صرفا” برای نسخه  های Outlook 98 و outlook 2000 ارائه شده است ( برای نسخه های قبلی و یا Outlook Express  نسخه مشابهی ارائه نشده است ) .

 

پیشگیری دوم  : استفاده از نواحی امنیتی Internet Explorer

سرویس گیرندگان Outlook 98/2000  و Outlook Express 4.0/5.0  امکان استفاده از مزایای نواحی (Zones) امنیتی مرورگر IE را بمنظور حفاظت در مقابل کدهای مخرب ( کنترل های ActiveX ، جاوا  و یا اسکریپت ها ) موجود در بدنه پیام ها ،خواهند داشت . مرورگر IE ، امکان اعمال محدودیت در اجرای کدها را بر اساس چهار ناحیه فراهم می نماید . قبل از پرداختن به نحوه استفاده از تنظیمات فوق توسط برنامه outlook ، لازم است که به کاربرد هر یک ازنواحی در مرورگر IE ، اشاره گردد :

 

Local Intranet zone :ناحیه فوق، شامل آدرس هائی است که قبل  از فایروال سازمان و یا سرویس دهنده Proxy قرار می گیرند . سطح امنیتی پیش فرض برای ناحیه فوق ، ” medium -low” است .

Trusted Sites zone : ناحیه فوق، شامل سایت هائی است که مورد اعتماد می باشند . ( سایت هائی که  شامل فایل هائی بمنظور تخریب اطلاعاتی نمی باشند )  . سطح امنیتی پیش فرض برای ناحیه فوق،  ” low” است .

Restricted Sites zone :  ناحیه فوق، شامل لیست سایت هائی است که مورد اعتماد و تائید نمی باشند . ( سایت هائی که ممکن است دارای محتویاتی باشند که در صورت دریافت و اجرای آنها ، تخریب اطلاعات را بدنبال داشته باشد ) .سطح امنیتی پیش فرض برای ناحیه فوق ،” high” است .

Internet zone  : ناحیه فوق ، بصورت پیش فرض شامل هرچیزی که بر روی کامپیوتر و یا اینترانت موجود نمی باشد ، خواهد بود . سطح امنیتی پیش فرض برای ناحیه فوق، ” medium ” است .

برای هر یک از نواحی فوق، می توان یک سطح  امنیتی بالاتر را نیز تعریف نمود. ماکروسافت در این راستا سیاست هائی با نام : low , medium-low , medium  و high را تعریف کرده است . کاربران می توانند هر یک از پیش فرض های فوق را انتخاب و متناسب با نیاز خود آنان را تغییر نمایند .

برنامه outlook می تواند از نواحی فوق استفاده نماید . در این حالت کاربر قادر به انتخاب دو ناحیه ( Internet zone و Restricted Zone ) خواهد بود .

 

 

تنظیمات تعریف شده برای ناحیه انتخاب شده در رابطه با تمام پیام های outlook اعمال خواهد شد . پیشنهاد می گردد ناحیه restricted انتخاب گردد . بدین منظور گزینه Tools/Options  و در ادامه گزینه Security را انتخاب نموده و از لیست مربوطه ناحیه Restricted sites را انتخاب نمائید.  در ادامه و بمنظور انجام تنظیمات مورد نظر ، دکمه Zone Settings را فعال و گزینه Custom Level  را انتخاب نمائید . تغییرات اعمال شده در زمان استفاده  از برنامه مرورگر برای دستیابی به وب سایت ها  نیز مورد توجه قرار خواهند گرفت . پیشنهادات ارائه شده مختص برنامه IE 5.5 بوده و در نسخه های 5 و 4 نیز از امکانات مشابه با اندکی تغییرات استفاده می گردد. در این رابطه تتظیمات زیر پیشنهاد می گردد :

گزینه وضعیت
Download signed ActiveX controls DISABLE
Download unsigned ActiveX controls DISABLE
Initialize and script ActiveX controls not marked as safe DISABLE
Run ActiveX controls and plug-ins DISABLE
Script ActiveX controls marked safe for scripting DISABLE
Allow per-session cookies (not stored) DISABLE
File download DISABLE
Font download DISABLE
Java permissions DISABLE  JAVA
Access data sources across domains DISABLE
Don�t prompt for client certificate selection when no certificates or only one certificate exists DISABLE
Drag and drop or copy and paste files DISABLE
Installation of desktop items DISABLE
Launching programs within an IFRAME DISABLE
Navigate sub-frames across different domains DISABLE
Software channel permissions HIGH SAFETY
Submit nonencrypted form data DISABLE
Userdata persistence DISABLE
Active scripting DISABLE
Allow paste operations via script DISABLE
Scripting of Java Applets DISABLE
Logon Anonymous logon

 

با غیر فعال نمودن گزینه های فوق، امکانات پیشرفته ای از کاربر سلب می گردد. امکانات فوق برای تعداد زیادی از کاربران پست الکترونیکی ،  دارای کاربردی  خاص نخواهند بود . اکثر نامه های الکترونیکی ، پیام های ساده متنی بهمراه ضمائم مربوطه می باشند. گزینه های فوق، عموما” به غیر فعال نمودن اسکریپت ها و کنترل های موجود در بدنه یک پیام الکترونیکی اشاره داشته و برای کاربران معمولی سیستم پست الکترونیکی دارای کاربردی خاص نمی باشند. تنظیمات فوق، بصورت مشترک توسط مرورگر IE نیز استفاده خواهند شد (صفحات وبی که از برخی از ویژگی های فوق استفاده می نمایند) . در این رابطه لازم است مجددا” به این موضوع اشاره گردد که  ناحیه Restricted  صرفا” شامل سایت هائی است که مورد اعتماد نبوده و مشکلی ( عدم فعال بودن برخی از پتانسیل های مرورگر ) را در رابطه با  مشاهده صفحات وب از سایت های تائید شده ،نخواهیم داشت.مهمترین دستاورد تنظیمات فوق،پیشگیری از حملاتی است که سیاست تخریبی خود را بر اساس درج  محتویات فعال در بدنه نامه های  الکترونیکی،  تبین نموده اند . ( نظیر ویروس BubbleBoy  ) .

 

پیشگیری سوم :  تغییر فایل مرتبط و یا غیر فعال نمودن WSH

patch امنیتی ارائه شده در پیشگیری اول، باعث حفاظت سیستم در مقابل ویروس هائی نظیر ILOVEYOU ،  در outlook 98 و outlook 2000 می گردد . متاسفانه روش مشابهی بمنظور استفاده در outlook Express ، وجود ندارد. بمنظور حفاظت سیستم در مقابل نامه های الکترونیکی که دارای عملکردی نظیر ILOVEYOU  می باشند ، می توان از روشی دیگر در outlook express استفاده کرد. بدین منظورمی توان تغییراتی را در سطح  برنامه هائی که مسئول فعال نمودن فایل مورد نظر( File Associations ) می باشند ، اعمال نمود.  کرم ILOVEYOU ، از طریق یک فایل اسکریپت ویژوال بیسیک ( vbs .) ، که توسط میزبان اسکریپت ویندوز (Windows Scripting Host :WSH ) تفسیر می گردد ، فعال خواهد شد. در حقیقت WSH محیط ( شرایط)  لازم برای ILOVEYOU  را فراهم می نماید. اعمال محدودیت در رابطه با WSH و یا تغییر در فایل پیش فرض مربوطه ای که مسئول برخورد( نمایش ، ایجاد شرایط اجراء)  با فایل مورد نظر می باشد ، می تواند یک سطح مناسب امنیتی را در رابطه با ضمائم نامه های الکترونیکی که حاوی کدهای مخرب می باشند ، فراهم می نماید.  در این رابطه از راهکارهای متفاوتی می توان استفاده کرد .

روش اول : یکی از روش های پیشگیری موثر در مقابل این نوع  از حملات ، تغییر واکنش پیش فرض در زمانی است که کاربر باعث فعال شدن اینچنین فایل های می گردد ( double click بر روی فایلی با انشعاب vbs . )  .در ویندوز NT ، این عملیات از طریق  Windows Explorer  و بصورت زیر انجام می شود.

 

View | Folder Options  ==>
Select VBScript Script File ==> Click Edit ==> Highlight Edit ==> Click Set Default

پس از اعمال تغییرات فوق ، در صورتیکه کاربری  فایلی ضمیمه با انشعاب vbs . را فعال نماید ، فایل مورد نظر توسط WSH اجراء نخواهد شد ، در مقابل ، فایل فوق ، بدون نگرانی توسط ادیتور پیش فرض ( معمولا” notepad ) ، فعال و نمایش داده خواهد شد. فرآیند فوق را می توان به فایل های دیگر نیز تعمیم داد. فایل هائی  که دارای یکی از انشعابات زیر باشند ، توسط WSH فعال خواهند شد . بنابراین می توان تغییرات لازم را مطابق آنچه اشاره گردید ، در رابطه با آنها نیز اعمال نمود.

WSC , WSH ,WS ,WSF,VBS,VBE,JS,JSE

روش ارائه شده در رابطه با  outlook Express  بخوبی کار خواهد کرد . در این راستا ، لازم است به این مسئله مهم اشاره گردد که تضمینی وجود ندارد که سرویس گیرندگان پست الکترونیکی از تنظیمات پیش فرض، زمانیکه کاربر یک فایل ضمیمه را فعال می نماید،  استفاده نمایند . مثلا” زمانیکه یک فایل ضمیمه vbs. ، توسط Netscape messenger فعال می گردد ، کاربر دارای گزینه های open  و یا Save خواهد بود. در صورتیکه کاربر گزینه open را انتخاب نماید ،  کد مورد نظر صرفنظر از تنظیمات پیش فرض فعال خواهد شد.( نادیده گرفتن تنظیمات پیش فرض )

روش دوم : راهکار دیگری که می توان بکمک آن باعث پیشگیری از بروز چنین مسائلی گردید ، غیر فعال نمودن WSH است .  برای انجام عملیات فوق ( غیر فعال نمودن WSH ) می بایست برنامه های ویندوز را که باعث حمایت و پشتیبانی از اجراء اسکریپت ها می گردند ( برنامه های wscript.exe و csscript ) را تغییر نام داد .در سیستم هائی شامل ویندوزNT ، این فایل ها  در مسیر %System%\System32 ، قرار دارند( معمولا” C:\Winnt\System32 ) .  بمنظور تغییر نام فایل های  فوق ، بهتر است از طریق خط دستور ( command prompt) این کار انجام شود. در برخی از نسخه های سیستم عامل، بموازات تغییر نام فایل مرتبط با یک نوع حاص از فایل ها ،  بصورت اتوماتیک برنامه مرتبط با  آنان  به نام جدید تغییر داده خواهد شد. بدین ترتیب تغییر اعمال شده هیچگونه تاثیر مثبتی را از لحاظ امنیتی بدنبال نخواهد داشت .

روش سوم : گزینه سوم در خصوص غیر فعال نمودن WSH ، تغییر مجوز فایل ( File Permission ) در رابطه با فایل های Wscript.exe  و CSscript.exe است . روش فوق ، نسبت به دو روش اشاره شده ، ترجیح داده می شود. در چنین مواردی امکان استفاده از پتانسیل های WSH برای مدیران سیستم  وجود داشته در حالیکه  امکان استفاده از پتانسیل فوق از کاربران  معمولی سلب می گردد .

لازم است به این نکته مهم اشاره گردد که با اینکه پیشگیری فوق ، در رابطه با کرم هائی نظیر ILOVEYOU و موارد مشابه موثرخواهد بود ، ولی نمی تواند تمام ریسک های مربوط در این خصوص و در رابطه با سایر  فایل ها ئی که ممکن است شامل کدهای اسکریپت باشند را  حذف نماید. در این رابطه می توان به فایل های با انشعاب exe .  ،  اشاره نمود. این نوع فایل ها دارای نقشی حیاتی در رابطه با انجام عملیات بر روی یک کامپیوتر بوده  و نمی توان آنها را غیر فعال نمود . بدین ترتیب متجاوزان اطلاعاتی می توانند از این نوع فایل ها ، بعنوان مکانیزمی جهت توزیع کدهای مخرب ، استفاده  نمایند .

 

پیشگیری چهارم : حفاظت ماکروهای آفیس و آموزش کاربران

ماکروسافت در رابطه با حفاظت در مقابل فایل های ضمیمه حاوی کدهای مخرب از طریق سایر برنامه های جانبی، نیز تدابیری اندیشیده است . مثلا” با اینکه  patch امنیتی ارائه شده در پیشگیری اول ، بصورت پیش فرض در رابطه با ماکروهای word موثر واقع نمی شود ، ولی در بطن این نوع نرم افزارها امکانات خاصی قرار گرفته شده است که می توان بکمک آنان ، یک سطح امنیتی اولیه در رابطه با فعال شدن ماکروها را اعمال نمود. مثلا” آفیس 97 ، گزینه اختیاری  حفاظت ماکرو را ارائه  که می توان بکمک آن یک لایه حفاظتی را در رابطه با عملکرد ماکروها ، ایجاد نمود. در چنین مواردی به کاربران پیامی ارائه و کاربران می توانند قبل از فعال شدن ماکرو در رابطه با آن تصمیم گیری نمایند ( ارائه پاسخ مناسب توسط کاربران ) . لازم است در این خصوص به کاربران آموزش های ضروری و مستمر  در رابطه با خطرات احتمالی عدم رعایت اصول اولیه امنیتی خصوصا” در رابطه با دریافت نامه های الکترونیکی از منابع غیرمطمئن داده شود . گزینه فوق را می توان از طریق Tools|options|General| Enable macro virus protection ، فعال نمود. آفیس 2000 و XP وضعیت فوق را بهبود و می توان تنظیمات لازم در خصوص اجرای ماکروهای دریافتی از یک منبع موثق و همراه با امضاء دیجیتالی  را انجام داد . در word , Powerpoint .Excel  می توان ، گزینه فوق را از طریق Tools|macro|Security ، استفاده و تنظیمات لازم را انجام داد. با انتخاب گزینه High ،  حداکثر میزان حفاظت ، در نظر گرفته خواهد شد.

 

پیشگیری پنجم : نمایش و انشعاب فایل 

یکی از روش متداول بمنظور ایجاد مصونیت در مقابل فایل های حاوی کدهای مخرب ، تبدیل فایل فوق به فایلی بی خاصیت ( عدم امکان اجراء) است . بدین منظور می توان از یک انشعاب فایل اضافه استفاده نمود .(مثلا” فایل :  ILOVYOU.TXT.VBS) .  در صورتیکه ویندوز برای  نمایش این نوع فایل ها ( با در نظر گرفتن انشعاب فایل ها ) ، پیکربندی نشده باشد ، فایل فوق بصورت یک فایل متن تفسیر خواهد شد. ( ILOVEYOU.TXT )  . بمنظور پیاده سازی روش فوق می بایست دو فاز عملیاتی را دنبال نمود : در اولین مرحله می بایست به ویندوز اعلام گردد که انشعاب فایل ها را از طریق   Windows Explorer ، نمایش دهد . ( انتخاب  Options|View  و غیر فعال نمودن Hide file extensions for known file types ) . متاسفانه برای برخی فایل های خاص  که می توانند شامل عناصر اجرائی و یا اشاره گری به آنان باشند ، تنظیم فوق ، تاثیری را بدنبال نداشته و در این رابطه لازم است کلید های ریجستری زیر ، بمنظور پیکربندی ویندوز برای نمایش انشعاب این نوع از فایل ها ، حذف گردد ( مرحله دوم.)

 

انشعاب فایل کلید ریجستری توضیحات
.lnk HKEY_CLASSES_ROOT\lnkfile\NeverShowExt Shortcut
.pif HKEY_CLASSES_ROOT\piffile\NeverShowExt Program information file
(shortcut to a DOS program)
.scf HKEY_CLASSES_ROOT\SHCmdFile\NeverShowExt Windows Explorer
Command file
.shb HKEY_CLASSES_ROOT\DocShortcut\NeverShowExt Shortcut into a document
.shs HKEY_CLASSES_ROOT\ShellScrap Shell Scrap Object
.xnk HKEY_CLASSES_ROOT\xnkfile\NeverShowExt Shortcut to an Exchange
folder
.url HKEY_CLASSES_ROOT\InternetShortcut\NeverShowExt Internet shortcut
.maw HKEY_CLASSES_ROOT\Access.Shortcut.DataAccessPage.1\NeverShowExt Shortcuts to elements of an MS Access database.
Most components of an Access database can containan executable component.
.mag HKEY_CLASSES_ROOT\Access.Shortcut.Diagram.1\NeverShowExt
.maf HKEY_CLASSES_ROOT\Access.Shortcut.Form.1\NeverShowExt
.mam HKEY_CLASSES_ROOT\Access.Shortcut.Macro.1\NeverShowExt
.mad HKEY_CLASSES_ROOT\Access.Shortcut.Module.1\NeverShowExt
.maq HKEY_CLASSES_ROOT\Access.Shortcut.Query.1\NeverShowExt
.mar HKEY_CLASSES_ROOT\Access.Shortcut.Report.1\NeverShowExt
.mas HKEY_CLASSES_ROOT\Access.Shortcut.StoredProcedure.1\NeverShowExt
.mat HKEY_CLASSES_ROOT\Access.Shortcut.Table.1\NeverShowExt
.mav HKEY_CLASSES_ROOT\Access.Shortcut.View.1\NeverShowExt

پیشگیری ششم : از Patch های بهنگام شده، استفاده گردد

اغلب حملات  مبتنی بر اینترنت  از  نقاط آسیب پذیر یکسانی بمنظور نیل به اهداف خود استفاده می نمایند . ویروس Bubbleboy ، نمونه ای مناسب در این زمینه بوده که تهیه کننده آن از نفاط آسیب پذیر شناخته شده در مرورگر اینترنت ( IE  ) ، استفاده کرده است . ماکروسافت بمنظور حل مشکل این نوع از نقاط آسیب پذیر در محصولات خود خصوصا” برنامه مرورگر اینترنت ، patch های امنیتی خاصی را ارائه نموده است . با توجه به امکان بروز حوادث مشابه و بهره برداری از نقاط آسیب پذیر در محصولات نرم افزاری استفاده شده ، خصوصا” نرم افزارهائی که بعنوان ابزار ارتباطی در اینترنت محسوب می گردند ، پیشنهاد می گردد که patch های ارائه شده را بر روی سیستم خود نصب تا حداقل از بروز حوادث مشابه قبلی بر روی سیستم خود جلوگیری نمائیم .

پیشگیری هفتم : محصولات آنتی ویروس

اغلب محصولات تشخیص ویروس های کامپیوتری، عملیات تشخیص خود را بر اساس  ویروس های شناخته شده  ، انجام خواهند داد . بنابراین  اینگونه محصولات همواره در مقابل حملات جدید و نامشخص ، غیرموثر خواهند بود. محصولات فوق ، قادر به برخورد و پیشگیری از تکرار مجدد ، حملات مشابه تهاجمات سابق می باشند. برخی از محصولات آنتی ویروس ، امکان بلاک نمودن ضمائم نامه های الکترونیکی را در سطح سرویس دهنده پست الکترونیکی فراهم می نمایند. پتانسیل فوق می تواند عاملی مهم بمنظور بلاک نمودن ضمائم نامه های الکترونیکی حاوی کدهای مخرب قبل از اشاعه آنان باشد .

پیشگیری هشتم : رعایت و پایبندی به اصل ” کمترین امتیاز

” کمترین امتیاز ” ، یک رویکرد پایه در رابطه با اعمال امنیت در کامپیوتر است . بر این اساس توصیه می شود  که  به کاربران صرفا” امتیازاتی واگذار گردد که  قادر به انجام عملیات  خود باشند . کدهای مخرب بمنظور تحقق اهداف خود به یک محیط ، نیاز خواهند داشت . محیط فوق ، می تواند از طریق اجرای یک برنامه توسط یک کاربر خاص بصورت ناآگاهانه ایجاد گردد. در این رابطه پیشنهاد می گردد ، پس از آنالیز نوع فعالیت هائی که هر کاربر می بایست انجام دهد ، مجوزها ی لازم برای وی تعریف و از بذل و بخشش مجوز در این رابطه می بایست جدا” اجتناب ورزید.

 

پیشگیری نهم : امنیت سیستم عامل

حفاظت در مقابل کدهای مخرب می تواند به میزان قابل محسوسی از طریق کلیدهای اساسی سیستم ، کنترل و بهبود یابد. در این راستا از سه  رویکرد خاص استفاده می گردد : حفاظت عناصر کلیدی در ریجستری سیستم ،  ایمن سازی اشیاء پایه  و محدودیت در دستیابی به دایرکتوری سیستم ویندوز NT . در ادامه به بررسی هر یک از رویکردهای فوق ، خواهیم پرداخت .

 

پیشگیری نهم – رویکرد  اول : ایمن سازی ریجستری سیستم

کرم ILOVEYOU از مجوزهای ضعیف نسبت داده شده  به کلیدهای ریجستری  RUN و RUNSERVICES ، استفاده  و اهداف خود را تامین نموده است . مجوزهای دستیابی پیش فرض در رابطه با کلیدهای فوق ،  امکان تغییر محتویات و یا حتی ایجاد محتویات جدید را در اختیار کاربران قرار می دهد.مثلا” می توان با  اعمال تغییراتی خاص در رابطه با کلیدهای فوق ، زمینه اجرای اسکریپت های خاصی را پس از ورود کاربران به شبکه و اتصال به سرویس دهنده بصورت  تکراری فراهم نمود . ( پس  از ورود کاربران به شبکه ، اسکریپت ها بصورت اتوماتیک اجراء خواهند شد ) . بدین منظور پیشنهاد می گردد که مجوزهای مربوط به کلیدهای فوق بصورت جدول زیر تنظیم گردد : ( پیشنهادات ارائه شده شامل کلیدهای اساسی و مشخصی است که توسط ILOVEYOU  استفاده و علاوه بر آن کلیدهای اضافه دیگر را نیز شامل می شود) :

 

مجوزهای پیشنهادی User / Groups کلید ریجستری
Full Control
Read, Write, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
MACHINE\SOFTWARE\Microsoft\Windows

کلیدها و زیر کلیدها
پارامترهای استفاده شده توسط زیر سیستم های win32

Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Runکلیدها و زیر کلیدها
شامل اسامی امورد نظر که در هر مرتبه راه اندازی سیستم ، اجراء خواهند شد.
Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceکلیدها و زیر کلیدها
شامل نام برنامه ای که در اولین مرتبه ورود به شبکه کاربر ، اجراء می گردد.
Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceExکلیدها و زیر کلیدها
شامل اطلاعات پیکربندی برای برخی از عناصر سیستم و مرورگر. عملکرد آنان مشابه کلید RunOnce است.
Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Shell Extensionsکلیدها و زیر کلیدها
شامل تمام تنظیمات Shell Extebsion که از آنان بمنظور توسعه اینترفیس ویندوز NT استفاده می گردد.

 

بمنظور اعمال محدودیت در دستیابی به ریجستری ویندوز از راه دور ، پیشنهاد می گردد  یک کلید ریجستری ایجاد و مقدار آن مطابق زیر تنظیم گردد :

 

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\SecurePipeServers\winreg
Name: RestrictGuestAccess
Type: REG_DWORD
Value: 1

 

 

پیشگیری نهم – رویکرد دوم : ایمن سازی اشیاء پایه

ایمن سازی اشیاء پایه باعث ممانعت کدهای مخرب در ابطه با اخذ مجوزها و امتیازات مدیریتی توسط یک ( DLL(Dynamic lonk Library می گردد . بدون پیاده سازی سیاست امنیتی فوق ، کدها ی مخرب قادر به استقرار در حافظه و لود نمودن فایلی با نام مشابه بعنوان یک DLL سیستم و هدایت برنامه به آن خواهند بود. در این راستا لازم است ، با استفاده از برنامه ویرایشگر ریجستری ، یک کلید ریجستری ایجاد و مقدار آن مطابق زیر  تنظیم گردد :

 

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\Session Manager
Name: AdditionalBaseNamedObjectsProtectionMode
Type: REG_DWORD
Value: 1

 

پیشگیری نهم – رویکرد سوم : ایمن سازی دایرکتوری های سیستم 

کاربران دارای مجوز لازم در خصوص نوشتن در دایرکتوری های سیستم  ( winnt/system32 و winnt/system )  می باشند . کرم ILOVEYOU از وضعیت فوق ، استفاده و اهداف خود را دنبال نموده است . پیشنهاد می گردد ، کاربران تائید شده  صرفا” دارای  مجوز Read دررابطه با دایرکتوری های و فایل ها ی مربوطه بوده  و امکان ایجاد و یا نوشتن در دایرکتوری های  سیستم، از آنها سلب گردد. در این رابطه ، تنظیمات زیر پیشنهاد می گردد :

مجوزهای پیشنهادی User / Groups فایل / فولدر
Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT%

فایل ها ، فولدرها
شامل تعداد زیادی از فایل های اجرائی سیستم عامل

Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT/SYSTEM%

فایل ها ، فولدرها
شامل تعداد زیادی از فایل های DLL ، درایور و برنامه های اجرائی

Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT/SYSTEM32%

فایل ها ، فولدرها
شامل تعداد زیادی از فایل های DLL ، درایور و برنامه های اجرائی  ( برنامه های سی و دو بیتی )

 

 

رمزنگاری

 

۱معرفی و اصطلاحات

رمزنگاری علم کدها و رمزهاست. یک هنر قدیمی است و برای قرنها بمنظور محافظت از پیغامهایی که بین فرماندهان، جاسوسان،‌ عشاق و دیگران ردوبدل می‌شده، استفاده شده است تا پیغامهای آنها محرمانه بماند.

هنگامی که با امنیت دیتا سروکار داریم، نیاز به اثبات هویت فرستنده و گیرنده پیغام داریم و در ضمن باید از عدم تغییر محتوای پیغام مطمئن شویم. این سه موضوع یعنی محرمانگی، تصدیق هویت و جامعیت در قلب امنیت ارتباطات دیتای مدرن قرار دارند و می‌توانند از رمزنگاری استفاده کنند.

اغلب این مساله باید تضمین شود که یک پیغام فقط میتواند توسط کسانی خوانده شود که پیغام برای آنها ارسال شده است و دیگران این اجازه را ندارند. روشی که تامین کننده این مساله باشد “رمزنگاری” نام دارد. رمزنگاری هنر نوشتن بصورت رمز است بطوریکه هیچکس بغیر از دریافت کننده موردنظر نتواند محتوای پیغام را بخواند.

رمزنگاری مخفف‌ها و اصطلاحات مخصوص به خود را دارد. برای درک عمیق‌تر به مقداری از دانش ریاضیات نیاز است. برای محافظت از دیتای اصلی ( که بعنوان plaintext شناخته می‌شود)، آنرا با استفاده از یک کلید (رشته‌ای محدود از بیتها) بصورت رمز در می‌آوریم تا کسی که دیتای حاصله را می‌خواند قادر به درک آن نباشد. دیتای رمزشده (که بعنوان ciphertext شناخته می‌شود) بصورت یک سری بی‌معنی از بیتها بدون داشتن رابطه مشخصی با دیتای اصلی بنظر می‌رسد. برای حصول متن اولیه دریافت‌کننده آنرا رمزگشایی می‌کند. یک شخص ثالت (مثلا یک هکر) می‌تواند برای اینکه بدون دانستن کلید به دیتای اصلی دست یابد، کشف رمز‌نوشته (cryptanalysis) کند. بخاطرداشتن وجود این شخص ثالث بسیار مهم است.

رمزنگاری دو جزء اصلی دارد، یک الگوریتم و یک کلید. الگوریتم یک مبدل یا فرمول ریاضی است. تعداد کمی الگوریتم قدرتمند وجود دارد که بیشتر آنها بعنوان استانداردها یا مقالات ریاضی منتشر شده‌اند. کلید، یک رشته از ارقام دودویی (صفر و یک) است که بخودی‌خود بی‌معنی است. رمزنگاری مدرن فرض می‌کند که الگوریتم شناخته شده است یا می‌تواند کشف شود. کلید است که باید مخفی نگاه داشته شود و کلید است که در هر مرحله پیاده‌سازی تغییر می‌کند. رمزگشایی ممکن است از همان جفت الگوریتم و کلید یا جفت متفاوتی استفاده کند.

دیتای اولیه اغلب قبل از رمزشدن بازچینی می‌شود؛  این عمل عموما بعنوان scrambling شناخته می‌شود. بصورت مشخص‌تر، hash functionها بلوکی از دیتا را (که می‌تواند هر اندازه‌ای داشته باشد) به طول از پیش مشخص‌شده کاهش می‌دهد. البته دیتای اولیه نمی‌تواند از hashed value بازسازی شود. Hash functionها اغلب بعنوان بخشی از یک سیستم تایید هویت مورد نیاز هستند؛ خلاصه‌ای از پیام (شامل مهم‌ترین قسمتها مانند شماره پیام، تاریخ و ساعت، و نواحی مهم دیتا) قبل از رمزنگاری خود پیام، ساخته ‌و hash می‌شود.

یک چک تایید پیام (Message Authentication Check) یا MAC یک الگوریتم ثابت با تولید یک امضاء برروی پیام با استفاده از یک کلید متقارن است. هدف آن نشان دادن این مطلب است که پیام بین ارسال و دریافت تغییر نکرده است. هنگامی که رمزنگاری توسط کلید عمومی برای تایید هویت فرستنده پیام استفاده می‌شود، منجر به ایجاد امضای دیجیتال (digital signature) می‌شود.

۲الگوریتم‌ها

طراحی الگوریتمهای رمزنگاری مقوله‌ای برای متخصصان ریاضی است. طراحان سیستمهایی که در آنها از رمزنگاری استفاده می‌شود، باید از نقاط قوت و ضعف الگوریتمهای موجود مطلع باشند و برای تعیین الگوریتم مناسب قدرت تصمیم‌گیری داشته باشند. اگرچه رمزنگاری از اولین کارهای شانون (Shannon) در اواخر دهه ۴۰ و اوایل دهه ۵۰ بشدت پیشرفت کرده است، اما کشف رمز نیز پابه‌پای رمزنگاری به پیش آمده است و الگوریتمهای کمی هنوز با گذشت زمان ارزش خود را حفظ کرده‌اند. بنابراین تعداد الگوریتمهای استفاده شده در سیستمهای کامپیوتری عملی و در سیستمهای برپایه کارت هوشمند بسیار کم است.

 

 

۱-۲ سیستمهای کلید متقارن

یک الگوریتم متقارن از یک کلید برای رمزنگاری و رمزگشایی استفاده می‌کند. بیشترین شکل استفاده از رمزنگاری که در کارتهای هوشمند و البته در بیشتر سیستمهای امنیت اطلاعات وجود دارد data encryption algorithm یا DEA  است که بیشتر بعنوان DES‌ شناخته می‌شود. DES یک محصول دولت ایالات متحده است که امروزه بطور وسیعی بعنوان یک استاندارد بین‌المللی شناخته ‌می‌شود. بلوکهای ۶۴بیتی دیتا توسط یک کلید تنها که معمولا ۵۶بیت طول دارد، رمزنگاری و رمزگشایی می‌شوند. DES‌ از نظر محاسباتی ساده است و براحتی می‌تواند توسط پردازنده‌های کند (بخصوص آنهایی که در کارتهای هوشمند وجود دارند) انجام گیرد.

 

این روش بستگی به مخفی‌بودن کلید دارد. بنابراین برای استفاده در دو موقعیت مناسب است: هنگامی که کلیدها می‌توانند به یک روش قابل اعتماد و امن توزیع و ذخیره شوند یا جایی که کلید بین دو سیستم مبادله می‌شوند که قبلا هویت یکدیگر را تایید کرده‌اند عمر کلیدها بیشتر از مدت تراکنش طول نمی‌کشد. رمزنگاری DES عموما برای حفاظت دیتا از شنود در طول انتقال استفاده می‌شود.

کلیدهای DES ۴۰بیتی امروزه در عرض چندین ساعت توسط کامپیوترهای معمولی شکسته می‌شوند و بنابراین نباید برای محافظت از اطلاعات مهم و با مدت طولانی اعتبار استفاده شود. کلید ۵۶بیتی عموما توسط سخت‌افزار یا شبکه‌های بخصوصی شکسته می‌شوند. رمزنگاری DES سه‌تایی عبارتست از کدکردن دیتای اصلی با استفاده از الگوریتم DES‌ که در سه مرتبه انجام می‌گیرد. (دو مرتبه با استفاده از یک کلید به سمت جلو (رمزنگاری)  و یک مرتبه به سمت عقب (رمزگشایی) با یک کلید دیگر) مطابق شکل زیر:

این عمل تاثیر دوبرابر کردن طول مؤثر کلید را دارد؛ بعدا خواهیم دید که این یک عامل مهم در قدرت رمزکنندگی است.

الگوریتمهای استاندارد جدیدتر مختلفی پیشنهاد شده‌اند. الگوریتمهایی مانند Blowfish و IDEA برای زمانی مورد استفاده قرار گرفته‌اند اما هیچکدام پیاده‌سازی سخت‌افزاری نشدند بنابراین بعنوان رقیبی برای DES  برای استفاده در کاربردهای میکروکنترلی مطرح نبوده‌اند. پروژه استاندارد رمزنگاری پیشرفته دولتی ایالات متحده (AES) الگوریتم Rijndael را برای جایگزیتی DES بعنوان الگوریتم رمزنگاری اولیه انتخاب کرده است. الگوریتم Twofish مشخصا برای پیاده‌سازی در پردازنده‌های توان‌ـ‌پایین مثلا در کارتهای هوشمند طراحی شد.

در ۱۹۹۸ وزارت دفاع ایالات متحده تصمیم گرفت که الگوریتمها Skipjack و مبادله کلید را که در کارتهای Fortezza استفاده شده بود، از محرمانگی خارج سازد. یکی از دلایل این امر تشویق برای پیاده‌سازی بیشتر کارتهای هوشمند برپایه این الگوریتمها بود.

برای رمزنگاری جریانی (streaming encryption) (که رمزنگاری دیتا در حین ارسال صورت می‌گیرد بجای اینکه دیتای کدشده در یک فایل مجزا قرار گیرد) الگوریتم RC4‌ سرعت بالا و دامنه‌ای از طول کلیدها از ۴۰ تا ۲۵۶ بیت فراهم می‌کند. RC4 که متعلق به امنیت دیتای RSA‌ است، بصورت عادی برای رمزنگاری ارتباطات دوطرفه امن در اینترنت استفاده می‌شود.

 

۲-۲ سیستمهای کلید نامتقارن

سیستمهای کلید نامتقارن از کلید مختلفی برای رمزنگاری و رمزگشایی استفاده می‌کنند. بسیاری از سیستمها اجازه می‌دهند که یک جزء (کلید عمومی یا public key) منتشر شود در حالیکه دیگری (کلید اختصاصی یا private key) توسط صاحبش حفظ شود. فرستنده پیام، متن را با کلید عمومی گیرنده کد می‌کند و گیرنده آن را با کلید اختصاصی خودش رمزنگاری میکند. بعبارتی تنها با کلید اختصاصی گیرنده می‌توان متن کد شده را به متن اولیه صحیح تبدیل کرد. یعنی حتی فرستنده نیز اگرچه از محتوای اصلی پیام مطلع است اما نمی‌تواند از متن کدشده به متن اصلی دست یابد، بنابراین پیام کدشده برای هرگیرنده‌ای بجز گیرنده مورد نظر فرستنده بی‌معنی خواهد بود. معمولترین سیستم نامتقارن بعنوان RSA‌ شناخته می‌شود (حروف اول پدیدآورندگان آن یعنی Rivest ، Shamir و Adlemen است). اگرچه چندین طرح دیگر وجود دارند. می‌توان از یک سیستم نامتقارن برای نشاندادن اینکه فرستنده پیام همان شخصی است که ادعا می‌کند استفاده کرد که این عمل اصطلاحا امضاء نام دارد.  RSA شامل دو تبدیل است که هرکدام احتیاج به بتوان‌رسانی ماجولار با توانهای خیلی طولانی دارد:

امضاء، متن اصلی را با استفاده از کلید اختصاصی رمز می‌کند؛

  • رمزگشایی عملیات مشابه‌ای روی متن رمزشده اما با استفاده از کلید عمومی است. برای تایید امضاء بررسی می‌کنیم که آیا این نتیجه با دیتای اولیه یکسان است؛ اگر اینگونه است، امضاء توسط کلید اختصاصی متناظر رمزشده است.

به بیان ساده‌تر چنانچه متنی از شخصی برای دیگران منتشر شود، این متن شامل متن اصلی و همان متن اما رمز شده توسط کلید اختصاصی همان شخص است. حال اگر متن رمزشده توسط کلید عمومی آن شخص که شما از آن مطلعید رمزگشایی شود، مطابقت متن حاصل و متن اصلی نشاندهنده صحت فرد فرستنده آن است، به این ترتیب امضای فرد تصدیق می‌شود. افرادی که از کلید اختصاصی این فرد اطلاع ندارند قادر به ایجاد متن رمز‌شده‌ نیستند بطوریکه با رمزگشایی توسط کلید عمومی این فرد به متن اولیه تبدیل شود.

 

اساس سیستم RSA  این فرمول است: X = Yk (mod r)

که X متن کد شده، Y متن اصلی، k کلید اختصاصی و r حاصلضرب دو عدد اولیه بزرگ است که با دقت انتخاب شده‌اند. برای اطلاع از جزئیات بیشتر می‌توان به مراجعی که در این زمینه وجود دارد رجوع کرد. این شکل محاسبات روی پردازنده‌های بایتی بخصوص روی ۸ بیتی‌ها که در کارتهای هوشمند استفاده می‌شود بسیار کند است. بنابراین، اگرچه RSA هم تصدیق هویت و هم رمزنگاری را ممکن می‌سازد، در اصل برای تایید هویت منبع پیام از این الگوریتم در کارتهای هوشمند استفاده می‌شود و برای نشاندادن عدم تغییر پیام در طول ارسال و رمزنگاری کلیدهای آتی استفاده می‌شود.

سایر سیستمهای کلید نامتقارن شامل سیستمهای لگاریتم گسسته می‌شوند مانند Diffie-Hellman، ElGamal و سایر طرحهای چندجمله‌ای و منحنی‌های بیضوی. بسیاری از این طرحها عملکردهای یک‌ـ‌طرفه‌ای دارند که اجازه تاییدهویت را می‌دهند اما رمزنگاری ندارند. یک رقیب جدیدتر الگوریتم RPK‌ است که از یک تولیدکننده مرکب برای تنظیم ترکیبی از کلیدها با مشخصات مورد نیاز استفاده می‌کند. RPK یک پروسه دو مرحله‌ای است: بعد از فاز آماده‌سازی در رمزنگاری و رمزگشایی (برای یک طرح کلید عمومی) رشته‌هایی از دیتا بطور استثنایی کاراست و می‌تواند براحتی در سخت‌افزارهای رایج پیاده‌سازی شود. بنابراین بخوبی با رمزنگاری و تصدیق‌هویت در ارتباطات سازگار است.

طولهای کلیدها برای این طرحهای جایگزین بسیار کوتاهتر از کلیدهای مورد استفاده در RSA‌ است که آنها برای استفاده در چیپ‌کارتها مناسب‌تر است. اما ‌RSA‌ محکی برای ارزیابی سایر الگوریتمها باقی مانده است؛ حضور و بقای نزدیک به سه‌دهه از این الگوریتم، تضمینی در برابر ضعفهای عمده بشمار می‌رود.

 

 

 

 


  • ۰

حملات Back door

حملات Back door

حملات Back door

حملات Back door

حملات Back door: حملات Back door برنامه ای است که امکان دستیابی به یک سیستم را بدون بررسی و کنترل امنیتی ، فراهم می نماید . برنامه نویسان معمولا” چنین پتانسیل هائی  را در برنامه ها پیش بینی تا امکان اشکال زدائی و ویرایش کدهای نوشته شده در زمان تست بکارگیری نرم افزار ، فراهم گردد. با توجه به این که تعداد زیادی از امکانات فوق ، مستند نمی گردند ، پس از اتمام مرحله تست به همان وضعیت باقی مانده و تهدیدات امنیتی متعددی را به دنبال خواهند داشت .
برخی از متداولترین نرم افزارها ئی که از آنان به عنوان back door استفاده می گردد ، عبارتند از :

  • Back Orifice : برنامه فوق یک ابزار مدیریت از راه دور می باشد که به مدیران سیستم امکان کنترل یک کامپیوتر را از راه دور ( مثلا” از  طریق اینترنت ) ، خواهد داد. نرم افزار فوق ، ابزاری  خطرناک است که  توسط گروهی با نام Cult of the Dead Cow Communications ، ایجاد شده است . این نرم افزار دارای دو بخش مجزا می باشد : یک بخش سرویس گیرنده و یک بخش سرویس دهنده . بخش سرویس گیرنده بر روی یک ماشین اجراء و زمینه مانیتور نمودن و کنترل یک ماشین دیگر که بر روی آن بخش سرویس دهنده اجراء شده است را فراهم می نماید .
  • NetBus : این برنامه نیز نظیر Back Orifice ، امکان دستیابی و کنترل از راه دور یک ماشین از طریق اینترنت را فراهم می نماید.. برنامه فوق تحت سیستم عامل ویندوز ( نسخه های متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشکیل شده است :  بخش  سرویس دهنده ( بخشی که بر روی کامپیوتر قربانی مستقر خواهد شد ) و  بخش سرویس گیرنده ( برنامه ای که مسولیت یافتن و کنترل سرویس دهنده را برعهده دارد ) . برنامه فوق ، به حریم خصوصی کاربران در زمان اتصال به اینترنت ، تجاوز و تهدیدات امنیتی متعددی را به دنبال خواهد داشت .
  • Sub7) SubSeven) ،  این برنامه برنامه نیز تحت ویندوز اجراء شده  و دارای عملکردی مشابه Back Orifice و NetBus می باشد . پس از فعال شدن برنامه فوق بر روی سیستم هدف و اتصال به اینترنت ،هر شخصی که دارای نرم افزار سرویس گیرنده باشد ، قادر به دستیابی نامحدود به سیستم خواهد بود .

نرم افزارهای Back Orifice ، NetBus,  Sub7 دارای دو بخش ضروری سرویس دهنده و سرویس گیرنده، می باشند . سرویس دهنده بر روی ماشین آلوده مستقر شده و از بخش سرویس گیرنده به منظور کنترل از راه دور سرویس دهنده ، استفاده می گردد.به نرم افزارهای فوق ، ” سرویس دهندگان غیرقانونی ”  گفته می شود .

برخی از نرم افزارها از اعتبار بالائی برخوردار بوده ولی ممکن است توسط کاربرانی که اهداف مخربی دارند ، مورد استفاده قرار گیرند :

  • Virtual Network Computing)VNC) : نرم افزار فوق توسط آزمایشگاه AT&T و با هدف کنترل از راه دور یک سیستم ، ارائه شده است . با استفاده از برنامه فوق ، امکان مشاهده محیط Desktop از هر مکانی نظیر اینترنت ، فراهم می گردد . یکی از ویژگی های جالب این نرم افزار ، حمایت گسترده از معماری های متفاوت است .
  • PCAnywhere : نرم افزار فوق توسط شرکت Symantec ، با هدف کنترل از راه دور یک سیستم با لحاظ نمودن فن آوری رمزنگاری و تائید اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شرکت ها و موسسات فراوانی در حال حاضر از آن و به منظور دستیابی به یک سیستم از راه دور استفاده می نمایند .
  • Terminal Services : نرم افزار فوق توسط شرکت مایکروسافت و به همراه سیستم عامل ویندوز و به منظور کنترل از راه دور یک سیستم ، ارائه شده است .

همانند سایر نرم افزارهای کاربردی ، نرم افزارهای فوق را می توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بکارگرفت.
بهترین روش به منظور پیشگیری از حملات  Back doors ، آموزش کاربران و مانیتورینگ عملکرد هر یک از نرم افزارهای موجود می باشد. به کاربران می بایست آموزش داده شود که صرفا” از منابع و سایت های مطمئن اقدام به دریافت و نصب نرم افزار بر روی سیستم خود نمایند . نصب و استفاده از برنامه های آنتی ویروس می تواند کمک قابل توجهی در بلاک نمودن عملکرد اینچنین نرم افزارهائی ( نظیر : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه های آنتی ویروس می بایست به صورت مستمر بهنگام شده تا امکان شناسائی نرم افزارهای جدید ، فراهم گردد .

 

 

 


  • ۰

دلیل امنیت بالای پروتکل HTTPS چیست ؟

پروتکل HTTPS

آیا شما هم جزو آن دسته از افراد هستید که می خواهید بدانید پروتکل HTTPS چیست و یا اینکه چه تفاوتی بین HTTPS با HTTP وجود دارد ؟؟ اگر هنگامی که ایمیل خود را باز می کنید به قسمت آدرس بار توجه کنید متوجه وجود یک آیکون قفل مانند خواهید شد . از آن جایی که برای باز کردن ایمیل خود از یک ارتباط رمز شده استفاده کرده اید این علامت در آن قسمت قرار گرفته است . در واقع پروتکل HTTPS یک ارتباط امن و محافظت شده است که برای ارتباط با سایت های مهم و حساس مثل سایت های بانک ها و یا سایت های مشابه استفاده می شود

پروتکل HTTPS  که خلاصه شده ی Hypertext Transfer Protocol Secure  به معنای پروتکل امن انتقال ابر متن است در واقع یک پروتکل برای برقراری ارتباط های ایمن است .اما این نکته برای همه جای سوال دارد که ایراد HTTP چیست که برای برقراری ارتباط های امن باید از پروتکل HTTPS استفاده کرد ؟ ما به شما می گوییم .زمانی که شما از طریق پروتکل HTTPS به یک سایت متصل می شوید ، جستجوگر  شما به دنبال آی پی آن سایت گشته و هنگامی که آی پی آن را پیدا کند به آن متصل می شود . اما ایراد آن در این قسمت است که هم ممکن است آن آی پی مربوط به لینک مشابه آن سایت باشد وهم اینکه اطلاعات شما از قبیل اطلاعاتی که وارد می کنید یا رمز عبورهایتان برای ارائه دهندگان سرویس اینترنت قابل مشاهده هستند.

اگر مطلب قبلی ما که در مورد استفاده از Wi-Fi های رایگان منتشر کرده بودیم را هم به یاد داشته باشید ، در آن مطلب هم توضیح دادیم که اگر تصمیم گرفتید از اینترنت جایی که با آنجا آشنایی کافی ندارید استفاده کنید بهتر است حتی المقدور از ارتباط های امن استفاده کنید .

اکثر این مشکلات به این دلیل پیش می آیند که این نوع از ارتباط ها رمز گذاری نشده اند و اکثر هکر ها هم از این ویژگی آن سوء استفاده کرده و به حریم افراد تجاوز می کنند . بعد از آن برای رفع این مشکلات پروتکل HTTPS طراحی شد که تا حدی بتواند این مشکلات را برطرف کند . این پروتکل به طور کامل رمز گذاری شده است .

اما منظور از رمز گذاری یا encryption چیست ؟ در علم مهندسی اینترنت عمل رمز گذاری به عمیات رمز گذاشتن بین بسته های ارسالی و دریافتی در شبکه گفته می شود . در واقع هنگامی که کاربر یک بسته را برای یک سرور خاص می فرستد آن بسته رمز گذاری شده تا در حین ارسال مشکلی برای آن پیش نیاید و این رمز فقط توسط دریافت کننده قابل فهم است و  متقابلا آن سایت هم هنگامی که بخواهد جواب این بسته را ارسال کند آن را رمز گذاری می کند . در این نوع ارتباط ها تمام ارسال و دریافت ها رمز گذاری شده هستد و همین باعث افزایش ضریب ایمنی آن شده است.

اما باز هم با تمام اینها نمی توان به طور قاطع گفت که پروتکل HTTPS  ایمن ترین راه است ولی به طور حتم بهتر و امن تر از HTTP است و تا حدی هم توانسته مشکلات آن را از میان بردارد . در این پروتکل هنگامی که شما بخواهید یک سایت خاص را باز کنید ، HTTPS اول کنترل می کند که آیا سایت درست است و همچنین امنیت آن را هم بررسی می کند و بعد شما را به آنجا لینک می کند .

 


  • ۰

کدام استاندارد رمزنگاری در شبکه WiFi ایمن‌تر و سریع‌تر است؟

با افزایش محبوبیت استفاده از ارتباطات وای‌فای در اغلب گجت‌های امروزی، لزوم توجه به رعایت نکات امنیتی نیز بیش از پیش نمود پیدا می‌کند. اما اگر با روش‌های متداول برای احراز هویت و رمزگذاری این ارتباطات وای‌فای و مزایا و معایب آنها آشنایی ندارید با ما همراه شوید تا به بررسی جامع این استانداردها بپردازیم.اگر شما هم تاکنون گذرتان به پنل تنظیمات روتر بی‌سیم منزل یا محل‌کارتان افتاده باشد، گزینه‌های مربوط به استانداردهای امنیتی وای‌فای نیز به چشمتان خورده است. در روترهای وای‌فای، به هنگام تنظیم رمز عبور برای شبکه‌ی بی‌سیم، دو بخش دیگر نیز می‌بایست با گزینه‌های صحیح تنظیم شوند؛ بخش‌ Authentication Type یا شیوه‌ی احراز هویت که معمولاً شامل گزینه‌هایی از این قرارند:

  • Disabled (یا Open)
  • WEP 64 Bits
  • WEP 128 Bits
  • WPA – PSK
  • WPA2 – PSK

و بخش Encryption یا رمزنگاری که متدهای مربوط به کدگذاری داده‌ها را در دسترس شما می‌گذارد:

  • AES
  • TKIP

البته ممکن است در روترهای مختلف متناسب با نوع محصول، کمپانی سازنده و سال ساخت، این گزینه‌ها کمتر یا بیشتر باشند. ولی مهمترین موارد که بین اغلب آنها مشترک هستند، گزینه‌هایی بود که در بالا به آنها اشاره شد.

wifi-security1

اما این که این گزینه‌ها و استانداردها به چه معنا هستند و انتخاب هر یک چه مزایا و معایبی دارد، موضوعی است که اغلب کاربران هیچ آشنایی با آن نداشته و از همین رو، گاه با انتخاب تنظیمات ناصحیح، ضمن کاهش امنیت ارتباطات وای‌فای خود، سرعت آن را نیز با افتی محسوس مواجه می‌سازند.

wifi-security2

اما اگر مایلید تا در این رابطه اطلاعات کاملی بدست آورید و زین پس تنظیمات روتر وای‌فای خود را به شکلی صحیح انجام دهید، با ادامه‌ی این مقاله همراه شوید.

AES و TKIP چه هستند و چه تفاوت‌هایی دارند؟

TKIP و AES دو شیوه‌ی متفاوت برای رمزنگاری هستند که می‌توان از آنها برای ایمن‌سازی شبکه‌های وای‌فای بهره گرفت. TKIP مخفف Temporal Key Integrity Protocol به معنی «پروتکل جامع کلید موقت» است. TKIP یک پروتکل رمزنگاری در قالب چاره‌ای موقت برای شیوه‌ی رمزنگاری نه چندان ایمن WEP بود که به همراه WPA در آن زمان معرفی شد. در واقع TKIP ساختار بسیار مشابهی با شیوه‌ی رمزنگاری WEP دارد. نکته‌ی مهم اینست که TKIP در حال حاضر ایمن نیست و این شیوه‌ی رمزنگاری عملاً منسوخ شده است. به عبارتی شما نباید از آن استفاده کنید.

AES نیز مخفف عبارت Advanced Encryption Standard به معنای «استاندارد رمزنگاری پیشرفته» است. AES پروتکل رمزنگاری با ضریب امنیت بسیار بالاتر است که با WPA2 یعنی جایگزین WPA، معرفی شد. AES یک شیوه‌ی رمزنگاری منحصر به استفاده برای ایمن‌سازی ارتباطات وای‌فای نبوده و تنها بدین منظور توسعه نیافته است؛ بلکه یک استاندارد رمزنگاری جهانی و جدی است که استفاده از آن حتی توسط دولت ایالات متحده آمریکا نیز به تصویب رسیده است. برای مثال، وقتی شما هارددرایو خود را با استفاده از برنامه‌ی رایگان و محبوب TrueCrypt رمزنگاری می‌کنید، این برنامه قابلیت استفاده از استاندارد AES را نیز دارد. به طور کلی در استاندارد AES، امنیت بسیار بالایی در نظر گرفته شده است و تنها نقاط ضعفی که می‌توان برای آن قائل شد مربوط به ضعف در حملات Brute-Force یا نقطه ضعف‌های امنیتی پیرامون WPA2 است. البته در مورد حملات Brute-Force (حملاتی که در آن هکر با بکارگیری حجم انبوهی از رمزعبورهای تصادفی، سعی در کشف رمزعبور اصلی دارد)، در صورتی که از کلمه‌ی عبوری قوی استفاده کنید، ضریب موفقیت این حملات بسیار کم می‌شود.

عبارت PSK در WPA-PSK و WPA-PSK2 نیز محفف Pre-Shared Key به معنای «رمز عبور اصلی» مورد استفاده برای رمزنگاری است. این عبارت، روش‌های فوق را از متد WPA-Enterprise که از سرور Radius برای مدیریت کلید منحصر به فرد در شبکه‌های شرکت‌های بزرگ یا دولت‌ها استفاده می‌کند، متمایز می‌کند.

WPA از رمزنگاری TKIP و WPA2 از رمزنگاری AES استفاده می‌کنند، ولی…

به طور خلاصه، TKIP یک استاندارد قدیمی به منظور رمزنگاری است که برای استاندارد قدیمی‌تری به نام WPA استفاده می‌شده. AES نیز راهکار رمزنگاری جدیدتری است که توسط استاندارد نو و ایمن‌تر WPA2 استفاده می‌شود. در روی کاغذ همه چیز همین است که گفته شد؛ ولی در عمل و متناسب با نوع روتر شما، ممکن است WPA2 به اندازه‌ی کافی خوب نباشد.

در حالی که قرار است WPA2 از AES برای امنیت بیشتر بهره بگیرد، ولی کماکان گزینه‌ای برای استفاده از TKIP بر روی دستگاه‌های قدیمی یا ناسازگار نیز پیش‌بینی شده است. به عبارتی WPA2 همیشه به معنای WPA2-AES نخواهد بود؛ ولی در دستگاه‌هایی که گزینه‌ی مستقلی برای انتخاب نوع رمزنگاری از میان AES و TKIP ندارند، به طور کلی WPA2 مترادف با WPA2-AES فرض می‌شود.

حالت‌های متداول برای امنیت وای‌فای

کمی سردرگم شده‌اید؟! جای تعجب ندارد. تنها کاری که لازم دارید این است که گزینه‌ی ترکیبی صحیح را متناسب با نوع روتر و استفاده‌ی خود برگزینید.

Disabled یا Open: این حالت بدترین انتخاب ممکن است؛ چرا که شبکه‌ی وای‌فای شما بدون هیچ رمزعبور خاصی در دسترس خواهد بود. اکیداً توصیه می‌شود از انتخاب این گزینه پرهیز کنید؛ چرا که مانند این است که درب منزل خود را باز بگذارید و به امید تامین امنیت خانه توسط پلیس باشید!

 WEP 64: استاندارد رمزنگاری WEP یا Wired Equivalent Privacy بسیار قدیمی و آسیب‌پذیر بوده و نباید از آن استفاده شود. WEP در سال ۱۹۹۷ متولد شد و در سال ۲۰۰۳ عملاً جای خود را به WPA داد و منقرض شد. هدف از این پروتکل همان‌گونه که از نام آن نیز مشخص است محرمانه نگه داشتن اطلاعات در سطحی معادل با شبکه های مبتنی بر سیم است. این پروتکل مبتنی بر الگوریتم رمزنگاری RC4 با کلید سری ۴۰ بیتی است که با یک IV به طول ۲۴ بیت ترکیب شده و برای رمزنگاری استفاده می‌شود.

WEP 128: این استاندارد حتی با بکارگیری کلید رمزنگاری قوی‌تر ۱۲۸ بیتی (ترکیب کلید سری ۱۰۴ بیتی با یک IV به طول ۲۴ بیت)، باز هم قابل اتکا نبوده و استفاده از آن ریسک زیادی دارد.

(WPA-PSK (TKIP: این، حالت پایه برای استاندارد رمزنگاری WPA یا WPA1 است که عملاً منسوخ شده و از امنیت کافی برخوردار نیست.

(WPA-PSK (AES: انتخاب پروتکل وایرلس قدیمی WPA در کنار شیوه‌ی رمزنگاری مدرن AES. سخت‌افزاری که از رمزنگاری AES پشتیبانی کند، در اغلب موارد از پروتکل وایرلس جدیدتر یعنی WPA2 نیز پشتیبانی می‌کند. همچنین سخت‌افزاری که تنها از پروتکل WPA1 استفاده می‌کند نیز اغلب از رمزنگاری AES پشتیبانی نمی‌کند. بنابر‌این انتخاب این گزینه اساساً غیر منطقی و اشتباه خواهد بود.

(WPA2-PSK (AES: می‌توان گفت این امن‌ترین گزینه‌ برای انتخاب است. استفاده از آخرین استاندارد رمزنگاری وای‌فای در کنار آخرین متود رمزنگاری مدرن یعنی AES. توصیه ما استفاده از این گزینه است. در روترهایی که رابط گرافیکی آنها کمی گیج‌کننده است، احتمالاً این حالت با عناوینی مثل WPA2 یا WPA2-PSK ذکر شده که به احتمال زیاد از رمزنگاری AES نیز استفاده می‌کنند (چرا که این منطقی‌ترین حالت است).

(WPAWPA2-PSK (TKIP/AES: در برخی از روترها این گزینه نیز در دسترس خواهد بود که سازگاری هر نوع دستگاهی را برای شما به ارمغان خواهد آورد. ترکیبی از نسل اول و دوم استاندارد وایرلس یعنی WPA1 و WPA2 در کنار دو شیوه‌ی رمزنگاری ضعیف و قوی TKIP و AES. هر چند استفاده از متدهای قدیمی و ضعیف‌تر، کور سوی امیدی را برای مهاجمان به منظور نفوذ به شبکه‌ی شما باز خواهد گذاشت.

wifi-security3

پشتیبانی اغلب دستگاه‌های تولید شده از سال ۲۰۰۶ به بعد از AES

گواهی WPA2 از سال ۲۰۰۴ در دسترس قرار گرفت؛ یعنی در حدود ۱۱سال قبل. از سال ۲۰۰۶، استفاده از گواهی WPA2 اجباری شد. به عبارتی هر دستگاهی که از سال ۲۰۰۶ به بعد تولید شده و آرم Wi-Fi بر روی آن درج گردیده، می‌بایست از رمزنگاری WPA2 پشتیبانی کند؛ یعنی از حدود ۹ سال قبل!

wifi-logo

قاعدتاً اغلب دستگاه‌های اطراف شما که لوگوی Wi-Fi روی آنها نقش بسته است، خیلی جدیدتر از ۹ یا ۱۱ سال قبل هستند؛ بنابراین شما باید گزینه‌ی (WPA2-PSK (AES را انتخاب کنید. حتی اگر این گزینه را انتخاب کردید و به هر دلیل دستگاه شما متوقف شد، به راحتی می‌توانید این تنظیمات را تغییر دهید. اگر هم دستگاه شما قدیمی است، شاید وقت آن رسیده باشد که دستگاهی با عمر کمتر از ۹ یا ۱۱ سال تهیه کنید و ریسک استفاده از یک دستگاه با استانداردهای امنیتی ضعیف را کاهش دهید.

WPA و TKIP عاملی برای کاهش سرعت وای‌فای شما

شاید جالب باشد بدانید که گزینه‌های سازگار با WPA و TKIP می‌توانند سرعت شبکه‌ی وای‌فای شما را به شکل محسوسی کاهش دهند. بسیاری از روترهای جدید که از استانداردهای ارتباطی ۸۰۲٫۱۱n و استاندارهای سریع‌تر و جدیدتر پشتیبانی می‌کنند، سرعتشان با فعال‌سازی WPA یا TKIP در گزینه‌های خود، به ۵۴ مگابیت بر ثانیه کاهش خواهد یافت. این کاهش سرعت به منظور اطمینان از سازگاری با دستگاه‌های قدیمی است.

اگر روتر دارای استاندارد ۸۰۲٫۱۱n از WPA2 در کنار AES استفاده کند، سرعتی تا ۳۰۰ مگابیت بر ثانیه را پشتیبانی خواهد کرد. در مورد استانداردی نظیر ۸۰۲٫۱۱ ac این تفاوت سرعت بسیار فاحش‌تر خواهد بود؛ چرا که این استاندارد از نظر تئوری و در شرایط ایده‌آل، از سرعت حداکثری ۳٫۴۶ گیگابیت بر ثانیه پشتیبانی می‌کند.

به بیان دیگر، صرف‌نظر از مبحث امنیتی، از لحاظ سرعت ارتباطات شبکه‌ی وای‌فای نیز استفاده از استانداردهای قدیمی WPA و TKIP به هیچ‌وجه منطقی نیست.

اما آنچه مسلم است در اغلب روترهای موجود در بازار ایران و خصوصاً روترهای تی‌پی لینک و دی‌لینک که بیش از دیگر برندها در میان کاربران ایرانی متداولند، دسترسی به گزینه‌ی ایده‌آل یعنی (WPA2-PSK (AES پیش‌بینی شده است.

wifi-security5

اگر روتر شما WPA2 را به شما پیشنهاد داده و مانند روتر من به شما حق انتخاب برای استفاده از TKIP یا AES را می‌دهد، حتما AES را انتخاب کنید. مطمئن باشید اغلب دستگاه‌های شما با آن سازگار بوده و خیال‌تان نیز از بابت امنیت و سرعت آسوده خواهد بود. پس همیشه به خاطر داشته باشید که انتخاب استاندارد رمزنگاری AES چه برای کدگذاری ارتباطات وای‌فای و چه برای کدگذاری هر نوع اطلاعات دیگری مثل هارددرایو شما، امنیت و سرعت بیشتری را به ارمغان خواهد آورد.

 


آخرین دیدگاه‌ها

    دسته‌ها