مدیر عامل تنها شرکت ارائه دهنده سرویسهای ssl با تاکید بر اینکه تحریمهای سالهای اخیر موجب ابطال برخی گواهینامه های صادر شده از سوی ca شده است، گفت: گواهینامه ssl برای دوره های یک و چند ساله صادر می شود که با به پایان رسیدن این تاریخ باطل می شود.
ssl و اهمیت آن
به گزارش مهر، ssl مخفف عبارت secure socket layer راه حلی برای برقراری ارتباطات امن میان یک سرویس دهنده و یک سرویس گیرنده است که توسط شرکت netscape ارائه می شود. مزیت استفاده از این پروتکل بهره گیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکلهای غیرامن نظیر http، ldap، imap و ... است به طوری که براساس آن الگوریتمهای رمزنگاری بر روی داده های خام (plain text) که قرار است از یک کانال ارتباطی غیرامن مثل اینترنت عبور کنند، اعمال می شود و محرمانه ماندن داده ها را در طول کانال انتقال تضمین می کند.
به بیان دیگر شرکتی که صلاحیت صدور و اعطای گواهی های دیجیتال ssl را دارد برای هر کدام از دو طرفی که قرار است ارتباطات میان شبکه ای امن داشته باشند، گواهی مخصوص سرویس دهنده و سرویس گیرنده را صادر می کند و با مکانیزمهایی هویت هر کدام از طرفین را برای طرف مقابل تایید می کند. این شرکتها علاوه بر این باید تضمین کنند که اگر اطلاعات در حین انتقال مورد سرقت قرار گرفت، برای رباینده قابل درک و استفاده نباشد که این کار را با کمک الگوریتمهای رمزنگاری انجام می دهد.
ابوذر آذرنوش مدیر عامل شرکت ستاره طلایی شرق به عنوان تنها شرکت ارائه دهنده سرویس های ssl در کشور در گفتگو با خبرنگار مهر در این باره گفت: در حالی که روز به روز نیاز همگان به استفاده از اینترنت افزایش می یابد وجود بستری امن برای تبادل اطلاعات در اینترنت اجتناب ناپذیر است. از این رو استفاده از پروتکل ssl می تواند به عنوان مهمترین و اصولی ترین روش امن کردن این بستر مورد استفاده قرار گیرد و این امکان را برای به سرویس دهندگان و کاربران بدهد که در محیط امن و به دور از مداخله دیگران به صورت رمز گذاری شده به تبادل اطلاعات اقدام کنند.
وی با بیان اینکه این سرویس می تواند در وب سایتها و email امنیت لازم را برقرار کند، افزود: بدون وجود این پروتکل، تمامی اطلاعات به سادگی توسط افراد در نودهای (node) بین راه قابل رویت و بازبینی و حتی تغییر و سو استفاده است. به عبارت دیگر هنگامی که کاربری اطلاعات شخصی خود را مانند نام کاربری و رمز عبور، شماره حساب بانکی، کارت اعتباری و یا نظایر آن را در سایتهای اینترنتی وارد می کند، باید توجه داشته باشد که این اطلاعات بدون وجود ssl به صورت حروف ساده و واضح (plain text) ارسال می شود و از اولین نقطه اتصال به اینترنت یعنی شرکت سرویس دهنده اینترنتی (isp) تا بقیه نقاطی که این اتصال را برقرار می کند مانند شرکتهای مخابراتی همگی به راحتی قادر به دریافت محتوای بسته ارسالی خواهند بود.
نحوه صدور گواهینامه ssl
آذرنوش با بیان اینکه گواهینامه های دیجیتال بر اساس مراحل تعریف شده ca (مرکز صدور و اعطای گواهینامه دیجیتال) صادر می شود به مهر گفت: سایتهایی که از گواهینامه ssl در صفحات خود استفاده کرده اند اغلب با شکل یک قفل در گوشه پایین یا کنار نوار آدرس در مرورگرهای اینترنتی قابل تشخیص است و با کلیک کردن بر روی آن قفل می توان اصل گواهینامه را مشاهده کرد.
مدیر عامل شرکت ستاره طلایی شرق خاطرنشان کرد: در صورت معتبر بودن، گواهینامه بدون پیغام هشدار از جانب مرورگر نمایش داده می شود و در آن نام صادر کننده، وب سایت دریافت کننده و تاریخ اعتبار گواهینامه اشاره شده است در غیر این صورت مرورگر پیغام اخطار به کاربر می دهد و کاربر را نسبت به معتبر نبودن گواهینامه مطلع می کند.
وی تاکید کرد: شرکتهای صادر کننده گواهینامه (root ca) با ذخیره کردن نسخه متناظری از گواهینامه معتبر در سرور ریشه خود این امکان را به برنامه های مرورگر اینترنتی می دهد که بدون دخالت و توجه کاربر، اعتبار گواهینامه نصب شده روی وب سایت را مورد تایید قرار دهد و فقط در صورت عدم تایید، پیغام خطا به کاربر نمایش داده خواهد شد.
انقضای گواهینامه های امنیتی وب سایتها
آذر نوش در گفتگو با مهر با تاکید بر اینکه تحریم های سالهای اخیر موجب ابطال برخی از گواهینامه های صادر شده از سوی ca شده است، خاطرنشان کرد: گواهینامه های ssl برای دوره های یکساله و یا بیشتر صادر می شود که با به پایان رسیدن تاریخ انقضا، باطل شده و کارکرد خود را به عنوان تایید کننده هویت وب سایت از دست خواهد داد.
وی ادامه داد: در این گونه مواقع برنامه مرورگر اینترنتی، کاربر را از نامعتبر بودن گواهینامه مورد استفاده آگاه می کند و طبیعتا عواقب احتمالی تبادل اطلاعات آن وب سایت بر عهده کاربر خواهد بود.
استفاده از فناوری های نوین برای ارتقای کیفیت عملکرد بهتر
آذرنوش به کیفیت زیرساختهای مخابراتی کشور اشاره کرد و تاکید کرد: هر چند سرعت اینترنت و زیرساختهای مخابراتی تاثیری بر عملکرد این پروتکل ندارد ولی استفاده از این پروتکل برای رمزگذاری داده به طور نامحسوسی سبب افزایش حجم آنها می شود و در نتیجه سرعت بالاتر و کیفیت بستر مخابراتی به بهتر شدن کیفیت و سرعت ارتباط اینترنتی می انجامد.
وی به ویژگیهای استفاده از تکنولوژی رمزگذاری حبابی با استفاده از استانداردهای pki برای اعمال این پروتکل پرداخت و گفت: استفاد از این تکنولوژی از چند برابر شدن تناسبی حجم اطلاعات رمزگذاری شده به نسبت اطلاعات اصلی جلوگیری می کند.
شرکتهای تحت پوشش ssl
آذرنوش بانکهای سپه، صادرات، ملی، تجارت و بانک سامان و بانک مسکن سرپرستی اصفهان، سازمان صدا و سیما، ارتش منطقه ای اصفهان، روزنامه جام جم، سازمان انبوه سازان اصفهان، مرکز آمار ایران، مرکز تحقیقات مخابرات، شرکت توانیر، شرکت داده ورزی سداد و دانشگاه فردوسی مشهد را از مراکز تحت پوشش این پروتکل ذکر کرد و افزود: برخی از مراکزی که تحت این پروتکل فعالیت خود را اجرا می کنند مشکلی ندارند ولی برخی از مراکز به دلیل استفاده از پروتکل هایی که خود طراحی کرده اند قادر به ایجاد امنیت لازم برای سرویس دهندگان و کاربران نیستند.
وی با ابراز تاسف از عدم آگاهی کشور از کاربردهای پروتکل امنیتی به مهر گفت: گرچه می توان به دلیل کم آگاهی و یا بی توجهی و همچنین عدم رشد کاربردهای جدی مانند تجارت اینترنتی، بسیاری از مراکزی که باید به صورت بدیهی برای اطمینان از تبادل امنیت اطلاعات بین خود و کاربر و نیز تامین اعتماد کاربر نسبت به هویت سایت در فضای مجازی از ssl استفاده کنند ولی همچنان بستر اینترنت در ایران بسیار ناامن تر از کشورهای مشابه و پیشرفته است.
آذرنوش تاکید کرد: در این فضا تبادل اطلاعات مهم مانند ثبت نام در وب سایتها و ارائه اطلاعات مدیران و کاربران به سادگی در معرض دسترسی دیگران است و این می تواند زنگ خطری برای مدیران شرکتها و سازمانهای دولتی و به ویژه مدیران بخش فناوری اطلاعات در این ارگانها باشد.
نکاتی برای حفظ امنیت مالی در فضای مجازی
... پروتکل امنیتی ssl در مرورگر وب شما از تمام این تکنیک ها برای دستیابی به ارتباطات امن و قابل اطمینان استفاده می کند ... به طور کلی می توان سه مشکل اصلی را از نقطه نظر امنیتی برای کاربران فضای مجازی معرفی کرد: spoofing: چگونه می توانیم به مشتری اطمینان بدهیم که با ورود به سایت و انجام معامله در آن، شماره رمز کارت اعتباری وی مورد سرقت و جعل قرار نخواهد گرفت؟ :eavesdropping چگونه می توانیم مطمئن شویم که اطلاعات شماره حساب مشتری ما هنگامی که برای یک معامله امن در وب اقدام می کند، قابل دستیابی برای متخلفان نیست؟ data alteration: چگونه می توانیم یقین حاصل کنیم که اطلاعات شخصی ما توسط متخلفان قابل تغییر نیست؟ بنابراین ما با موضوعات گوناگونی مواجه هستیم: گواهی یا تایید برای ممانعت از فریبکاری، محرمانگی برای جلوگیری از جعل، پیوستگی و صحت داده ها برای ممانعت از تغییر آن ها و عدم رد و انکار برای ممانعت از تکذیب موارد پیشین ... پروتکل امنیتی ssl در مرورگر وب شما از تمام این تکنیک ها برای دستیابی به ارتباطات امن و قابل اطمینان استفاده می کند ... در اینجا به چند نمونه از هشدارهای امنیتی که هر کسی می تواند آن ها را مورد توجه قرار دهد اشاره می کنیم ...
دعوت کسپرسکی برای ایجاد اینترنت امن تر
... » بنا بر اعلام این شرکت امنیتی بانک ها و مراکز دولتی در محافظت از امنیت اطلاعات کاربران خود ناموفق عمل نموده اند ... » costin raiu متخصص ارشد امنیتی در کسپرسکی با تایید این اظهارات می افزاید که بانک ها توجه کافی به حملات صورت گرفته برعلیه مشتریانشان ندارند ... » شرکت مشاور deloitte می گوید یک سوم از کاربران بدلیل هراس از مسائل امنیتی هیچکدام از خریدهایشان را بصورت آنلاین انجام نمی دهند ... این شرکت به دو سوم باقیمانده نیز توصیه می کند که خریدهای خود را از طریق کافی نت ها انجام نداده، در داخل شبکه های وای-فای از پروتکل امنیتی wpa استفاده نموده و نرم افزارهای ضدویروس خود را با دریافت مرتب وصله ها و بروزرسانی ها، همواره آماده نگهدارند ...
ipsec چیست؟
... ip security یا ipsec رشته ای از پروتکل هاست که برای ایجاد vpn مورد استفاده قرارمی گیرند ... مطابق با تعریف ietf (internet engineering task force)وتکل ipsec به این شکل تعریف می شود: یک پروتکل امنیتی در لایه شبکه تا خدمات امنیتی رمزنگاری را تامین کند ... اما ipsec تنها به ترافیک مبتنی بر ip اجازه بسته بندی و رمزنگاری می دهد و درصورتی که ترافیک غیر ip نیز در شبکه وجود داشته باشد، باید از پروتکل دیگری مانند gre در کنار ipsec استفاده کرد ... ساختار ipsec ipsec برای ایجاد یک بستر امن یکپارچه، سه پروتکل را با هم ترکیب می کند: 1- پروتکل مبادله کلید اینترنتی (internet key exchange یا ike) این پروتکل مسئول طی کردن مشخصه های تونل ipsec بین دو طرف است ... وظایف این پروتکل عبارتند از: - طی کردن پارامترهای پروتکل - مبادله کلیدهای عمومی - تایید هویت هر دو طرف - مدیریت کلیدها پس از مبادله ike مشکل پیاده سازی های دستی و غیر قابل تغییر ipsec را با خودکار کردن کل پردازه مبادله کلید حل می کند ... ike خود از سه پروتکل تشکیل می شود: skeme - مکانیزمی را برای استفاده از رمزنگاری کلید عمومی در جهت تأیید هویت تامین می کند ... 2- پروتکل encapsulating security payload یا :esp این پروتکل امکان رمزنگاری، تأیید هویت و تامین امنیت داده را فراهم می کند ... 3- پروتکل سرآیند تأیید هویت (authentication header یا ah): این پروتکل برای تأیید هویت و تامین امنیت داده به کار می رود ...
نقص امنیتی در سایت های بزرگ دنیا
... یک کارشناس برجسته امنیتی موفق به شناسایی یک نقص جدی امنیتی در پروتکل امنیتی https شده که توسط بسیاری از سایت های بزرگ جهان برای تبادل ایمن اطلاعات مورد استفاده قرار می گیرد ... مایک پری یک هفته قبل اطلاعاتی را در مورد این حفره خطرناک اعلام کرد و هشدار داد تبادل اطلاعات از طریق سایت هایی که از پروتکل https برای رمزگذاری دیتا استفاده می کنند چندان ایمن نیست ... پروتکلhttps از سوی بسیاری از بانک های مهم نیز به جای پروتکل عادیhttp برای تبادل اطلاعات مربوط به نقل و انتقالات مالی در حساب های بانکی آنلاین مورد استفاده قرار می گیرد ...
افشای نقص بزرگ امنیتی در سایت های آمازون، موزیلا و سرویس ایمیل گوگل
... یک کارشناس برجسته امنیتی موفق به شناسایی یک نقص جدی امنیتی در پروتکل امنیتی https شده که توسط بسیاری از سایت های بزرگ جهان برای تبادل ایمن اطلاعات مورد استفاده قرار می گیرد ... به گزارش بخش خبر شبکه فن آوری اطلاعات ایران از خبرگزاری فارس، " مایک پری " یک هفته قبل اطلاعاتی را در مورد این حفره خطرناک اعلام کرد و هشدار داد تبادل اطلاعات از طریق سایت هایی که از پروتکل https برای رمزگذاری دیتا استفاده می کنند چندان ایمن نیست ... پروتکل https از سوی بسیاری از بانک های مهم نیز به جای پروتکل عادی http برای تبادل اطلاعات مربوط به نقل و انتقالات مالی در حساب های بانکی آنلاین مورد استفاده قرار می گیرد ...
مقدمه ای بر ip sec
... این پروتکل برای این منظور طراحی شده که بتواند بسته(packet) های اطلاعاتی tcp/ip را توسط کلید عمومی رمز کند تا در طول مسیر، امکان استفاده غیر مجاز از آنها وجود نداشته باشدip security ... مطابق با تعریف ietf (internet engineering task force) پروتکل ipsec به این شکل تعریف می شود:یک پروتکل امنیتی در لایه شبکه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین کند ... اما ipsec تنها به ترافیک مبتنی بر ip اجازه بسته بندی و رمزنگاری می دهد و درصورتی که ترافیک غیر از ip نیز در شبکه وجود داشته باشد، باید از پروتکل دیگری مانندgre در کنار ipsec استفاده کردipsec ... ساختارipsec ipsec برای ایجاد یک بستر امن یکپارچه، سه پروتکل را با هم ترکیب می کند:1- پروتکل مبادله کلید اینترنتی internet key exchange) یا(ike این پروتکل مسوول تبادل مشخصه های تونل ipsec بین دو طرف است ... وظایف این پروتکل عبارتند از:- طی کردن پارامترهای پروتکل - مبادله کلیدهای عمومی - تایید هویت هر دو طرف - مدیریت کلیدها پس از مبادله ike مشکل پیاده سازی های دستی و غیرقابل تغییر ipsec را با خودکار کردن کل پردازه مبادله کلید حل می کند ... خود از سه پروتکل تشکیل می شود: skeme: مکانیزمی را برای استفاده از رمزنگاری کلید عمومی در جهت تایید هویت تامین می کند ... 2-پروتکل encapsulating securitypayload یاesp این پروتکل امکان رمزنگاری، تایید هویت و تامین امنیت داده را فراهم می کند ...
ضعف امنیتی شبکه های بی سیم
... سرویس اخبار خارجی ایتنا - بر اساس بررسی های AirDefense بیست و دو درصد از access pointهای آزمایش شده بدون فعال سازی هیچگونه پروتکل امنیتی بحال خود رها شده اند ... شرکت امنیتی AirDefense در گزارشی که اخیرا منتشر نمود اعلام کرد حتی محتاط ترین سازمان ها نیز در اغلب موارد شبکه بی سیم خود را بدون محافظت رها می نمایند ... در آزمونی که در بین یک هزار شرکت در شهر سانفرانسیسکو بعمل آمد مشخص گردید مشکلات امنیتی وسیعی در شبکه های بی سیم سازمان هایی که خدمات مالی و اقتصادی ارائه می نمایند و مراکز دولتی وجود دارد ... بر اساس بررسی های AirDefense بیست و دو درصد از access pointهای آزمایش شده بدون فعال سازی هیچگونه پروتکل امنیتی بحال خود رها شده اند ... مطالعات انجام شده نشاندهنده این حقیقت هستند که در 72 درصد از access pointهای سازمان های دولتی اطلاعات رمزنگاری نشده و یا از پروتکل WEP استفاده شده است ...
آشنایی با ISA SERVER 2004
... این برنامه با اسنفاده از نظارت دایمی خود بر پروتکل امنیتی SSI و فیلتر کردن درخواست های HTTP که به سرور می رسد وب سرور و ایمیل را از خطر حمله هکر ها دور نگه می دارد ... به هر حال با وجود این که یک ایمیل سرور مثلEXCHANGE راه حل های امنیتی مخصوص به خود را دارد ...
سیسکو پروتکل امنیتی WLAN را می سازد
... شرکت سیسکو سیستمز اعلام کرده است که به زودی پروتکل ساخت این شرکت که برای مبارزه با حملات بسیار قدرتمند به dictionary طراحی شده است را وارد بازار می کند ... به گزارش بخش خبر سایت اخبار فن آوری اطلاعات ایران، از pcworldiran، آقای Joshua Wright مهندس سیستم و معاون مدیر بخش آموزشی موسسه SANS در Bethesda در ایالت مریلند زمانیکه در دانشگاه Johnson & WWE کار میکرد، وسیله ای خودکار برای حمله dictionary ساخت که می توانست با پروتکل LEAP یا Light Weight Extensible Authentication ساخت سیسکو مبارزه کند ... Chris Bolinger مدیر فروش شبکه بیسیم در شرکت سیسکو سیستمز میگوید پروتکل جدید ساخت شرکت ارسال معرفی نامه ها از طریق تونل های رمزدار با این حملات مبارزه می کند ... سیسکو اعلام کرده است این پروتکل را که به عنوان EAP-FAST یا Flexible Authentication و Extensible Authentication-Protocol) معروف است و از طریق تونل سازی ایمن قابل استفاده است در دسترس است و از فوریه آن را در اختیار Internet Engineering Task Force قرار داده است ... Bolinger می گوید که انتظار دارد سایر تولید کنندگان LAN بی سیم هم EAP-FAST را در محصولات امنیتی خود بگنجانند ... او به همه کاربران توصیه می کند که به جای امتحان EAP-FAST از پروتکل Protocol Extensible authentication Protocol استفاده کنند که همین شرکت ساخته است، زیرا PEAP عملکرد ثابت شده تری دارد ... Wright می گوید کد امنیتی و ویندوز قابل استفاده برای اجرای حمله دیکشنری را می توان از طریق سایت http://asleep ...
|
صفحه 1
|
2 |
