پاسخ تمرین سری چهارم امنیت شبکه های کامپیوتری-دانشگاه شهید بهشتی-ترم دوم ۹۳-۹۴

 

به نام خدا

پاسخ تمرینات ‌SSL & TLS & IPSec

استاد: دکتر مقصود عباسپور

کمک تدریس: جواد زندی

 

لطفا در ارسال تمرینات خود به نکات‌ مهم زیر توجه داشته باشید:

1- مهلت این سری تمرینات تا ۲۰اردیبهشت قبل از کلاس درس می‌باشد.

2- نحوه تحویل تمرینات شما به دو صورت می‌تواند باشد:

الف) تمریناتی که به صورت سوالات تحلیلی و تعریفی و مسله ای است به صورت خوانا دستی روی کاغذ بنویسید و برگه خود را تحویل اینجانب دهید. در مورد برگه‌های تمرین خود دقت داشته باشید که حتما نام و شماره دانشجویی را بالای برگه‌ی خود بنویسید.

3- همه‌ی دوستان دقت داشته باشند که تصمیم‌گیری در مورد تمرینات یکسان برعهده استاد درس خواهد بود و حل‌تمرین موظف به نوشتن گزارش تخلف و ارایه آن به استاد درس می‌باشد.

4- از آنجایی که پاسخ‌های شما بادقت صحیح‌می‌شود، ایده‌های‌خلاقانه و پاسخ‌های هوشمندانه در حل‌سوالات طبیعتا نمره‌ای فراتر از تمرین دارد.

5- در مورد تمرینات این سری تحویل‌ها با کمی جزیات همراه می‌باشد. لطفا در ارایه تمرینات خود به آنها توجه نمایید. این جزیات در خود سوال حتما قید خواهد شد.

برای مشاهده پاسخ‌ها به ادامه مطلب بروید.

سوالات مفهومی:

1- خدماتی که IPSec ارایه می‌دهد اصولا به سه دسته تقسیم می‌شود، آن سه دسته کدامند؟ آنگاه توضیح دهید مشکل IP چه بوده است و IPSec چگونه آن را برطرف کرده است؟ (راهنمایی:طبیعتا این خدمات دقیقا در IP نیست!)

پاسخ: Encryption IP Packets(Crptography), Integrity of Packets(Hash MAC), Avoiding Reply Attacks(no repeat sequence number)

2- می‌دانید که برای استفاده از IPSec باید از SA(Security Association) استفاده کنیم. حال فرض کنید یک شبکه داریم که در آن ۱۰ node وجود دارند که می‌خواهند به صورت دوبه‌دو و دو طرفه ارتباط داشته باشند. حال بگویید برای اینکه این ۱۰کاربر بتوانند با استفاده از IPSec باهم پیام تبادل نمایند، به چند SA نیاز داریم؟

پاسخ: برای اینکه دو node بتوانند باهم ارتباط دوطرفه داشته باشند به ۲عدد SA نیاز داریم(هر SA برای یک جهت داده می‌باشد). بنابراین برای اینکه ۱۰ node بتوانند باهم ارتباط دوطرفه داشته باشند، باید 2*((10*(10-1))/2) داشته باشیم.

3-     در مورد پروتکل IPSec به سوالات زیر پاسخ دهید:

·     تفاوت مد انتقال و تونل در پروتکل AH را توضیح دهید و بگویید که آدرس IP اولیه‌ی فرستنده‌ی بسته، در کدام قسمت از بسته‌ی نهایی تولید شده قرار می‌گیرند. چرا؟

· درباره ی کارکرد SAD و SPD در پروتکل IPSec توضیح دهید.

·     یک رکورد SAD شامل چه فیلدهایی است؟ نام ببرید و خیلی مختصر و کوتاه (در حد چند کلمه) کارکرد هر فیلد را بگویید.

4- صرف نظر از این‌که IPSec زودتر به‌وجود آمد یا SSL بگویید چرا با وجود یکی از آنها دیگری به وجود آمد؟ (درواقع کارکرد این دو پرتکل بسیار شبیه به هم بوده و درواقع امنیت انتها به انتها به وجود می‌آورند، ضمن آنکه SSL دقیقا هرسه خدماتی که در سوال اول گفته‌اید! مانند IPSec ارایه می‌دهد.)

پاسخ: چون IPSec برای امنیت لایه IP می‌باشد و SSL برای امنیت لایه‌ی TCP می‌باشد. درصورتی که نیازی به امنیت همه‌ی داده‌ها نباشد، باید SSL استفاده کنیم. چون SSL این قابلیت را دارد که فقط داده‌های یک ارتباط TCP خاص را رمزنگاری کند. اما در روش IPSec همه‌ی داده‌ها رمزنگاری می‌شود، حال آنکه ممکن است نیازی به رمزنگاری کلیه‌ داده‌ها نباشد. در SSL می‌تواند به تعداد دلخوه ارتباط امن با سایر کاربرهای شبکه داشت، ولی در IPSec اگر یک ارتباط امن تشکیل شود، نرم‌افزارهای لایه‌ی بالاتر بدون تغییر کار می‌کنند، درحالی که در SSL نرم‌افزارهای لایه‌ی بالاتر باید به جای TCP Socket از SSL Socket استفاده نمایند. (امنیت انتها به انتها در SSL هر سمت یک فرآیند است و در حالی که IPSec هر سمت یک ماشین است نه یک فرآیند!   به تعریف انتها به انتها در هر کدام دقت شود)

5- همانطور که می‌دانید پروتکل های SSL و TLS از یک خانواده بوده و ماهیت دقیقا یکسانی برای مصرف‌کننده دارد. اما همانطور که می‌دانید SSL قدمتی بیشتر از TLS دارد و درواقع TLS نسخه‌ی اصلاح‌شده‌ی SSL می‌باشد. ابتدا ساختار داخلی هرکدام را توضیح داده و سپس شرح دهید که انگیزه‌ی مهاجرت از SSL به TLS چه می باشد؟

پاسخ: مستند نوشته‌شده توسط این جانب را مطالعه بفرمایید.

6-     چگونه می‌توان از امکان Source Routing در پروتکل IP سوء‌استفاده کرد؟ چه دفاعی برای آن وجود دارد؟

7-     پروتکل زیر را در نظر بگیرید و به سوالات زیر پاسخ دهید:

 

· چه حمله (حملاتی) به آن امکان پذیر است؟ دقیقأ توضیح دهید.

· چگونه می توان آن را اصلاح کرد؟

 

C             S             C, VerC, SuiteC

S             C             VerS, SuiteS, signCA{S, K+S}

C             S             signCA{C, K+C}, {SecretC}K+S, signC{Hash(SecretC)}

S             C             {Hash(VerC, SuiteC, VerS, SuiteS)}Master (Secret C)

C             S             {Hash(VerC, SuiteC, VerS, SuiteS)}Master (Secret C)

شماره نسخه ی SSL طرف i

Veri

تنظیمات رمزنگاری i

Suitei

شماره رندوم سری تولید شده توسط i

Secreti

کلید عمومی رمزنگاری i

K+i

امضاشده توسط i

Signi{…}

رمزشده با کلید عمومی K+i

{…}K+i

 

8-  (سوال مهم) همانطور که می‌دانید SSL یک پروتکل بسیار محبوب میان کاربران می‌باشد. این محبوبیت منجر به کنکاش افراد خرابکار در همه‌ی جنبه‌های این پرتکل گردیده است. اشکالاتی این پرتکل در پیاده‌سازی و در طراحی دارد. اشکالی نظیر HeartBleed درواقع به پیاده‌سازی این پرتکل مربوط می‌شود و تحقیق در مورد آن خارج از درس می‌باشد. اما اشکالات مربوط به طراحی دقیقا به درس امنیت شبکه مربوط می‌شود. درمورد اشکلات پروتکل SSL/TLS موارد زیر لیست شده است. در هر مورد دقیقا بدون هیچ‌گونه ابهامی سناریو‌ی حمله را شرح داده و سپس توضیح دهید چرا این پروتکل دربرابر این‌گونه حملات مقاوم نیست؟ درصورتی که دفاعی دربرابر حملات ذکرشده وجود دارد توضیح دهید که چگونه می‌تواند جلوی این حملات را بگیرد.

·  Crime

·  Breach

·  RC4 Attack

·  Beast

·  Poodle

·  Renegotiation

·  Version rollback

پاسخ: مستند نوشته‌شده توسط این جانب را مطالعه بفرمایید.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

سوالات عملی:

1-  با استفاده از ابزارهای گوناگون برای اخلال در شبکه مانند Ettercap و … حملات زیر را علیه SSL/TLS انجام دهید:

· یک حمله‌ی مرد میانی پیاده سازی نمایید و از مراحل کارتان فیلم تهیه نمایید(یا از مرحله به مرحله عکس تهیه کنید.)

· (امتیازی) یکی از حملات گفته‌شده از سوال ۵ قسمت مفهومی را پیاده‌سازی نمایید.

2-  با استفاده از ابزارهای تحت وب مانند SSLLABS.com  و مشابه آن، یک گزارش کامل در مورد وب‌سایت‌های زیر تهیه کنید و بگویید چه خطراتی این سایت‌ها را تهدید می‌کند (کل گزارش را در تمرین خود ننویسید و فقط بخش مورد نیاز را بیاورید. ضمنا فراموش نکنید که نام مرورگر خود و نسخه‌ی آن را هم حتما قید بفرمایید).

· https://google.com

· https://courseware.sbu.ac.ir

· https://lms.sbu.ac.ir

· https://repozitor.com

   

Trackback from your site.

Leave a comment