دوره جامع امنیت AFTA

فصل 1 و 2

مبانی امنیت اطلاعات + امنیت شبکه و زیرساخت

مدرس دوره

علیرضا سیریزی

Security Architect

سازمان

شرکت نداپرداز

IT Solutions Provider

📚 2 فصل جامع 💡 25+ سناریو 🎯 تدریس‌محور 🔥 دید مصاحبه

فهرست مطالب

دو فصل بنیادین امنیت AFTA

1

فصل اول

مبانی امنیت اطلاعات

✓ اصول CIA و مفاهیم بنیادی
✓ تهدیدات و آسیب‌پذیری‌ها
✓ استانداردها (ISO 27001, NIST)
✓ قوانین و مقررات ایران
✓ مدیریت ریسک سایبری

12 سناریو عملی 4 ساعت

2

فصل دوم

امنیت شبکه و زیرساخت

✓ طراحی شبکه امن (Segmentation)
✓ پروتکل‌های امن (SSL/TLS, VPN)
✓ فایروال و IDS/IPS
✓ Zero Trust Architecture
✓ امنیت DNS و Email

13 سناریو عملی 5 ساعت

فصل اول

مبانی امنیت اطلاعات

Foundation of Information Security

🛡️

CIA Triad

⚠️

Threats

📋

Standards

⚖️

Compliance

🔐 اصول سه‌گانه امنیت اطلاعات (CIA Triad)

Confidentiality

محرمانگی

تعریف:

اطمینان از اینکه اطلاعات تنها توسط افراد مجاز قابل دسترسی است

ابزارها:

✓ رمزنگاری (Encryption)
✓ کنترل دسترسی (Access Control)
✓ احراز هویت (Authentication)
✓ VPN و SSL/TLS

مثال نقض:

نشت اطلاعات مشتریان بانک

Integrity

یکپارچگی

تعریف:

اطمینان از صحت و دقت داده‌ها و عدم تغییر غیرمجاز

ابزارها:

✓ Hashing (MD5, SHA-256)
✓ Digital Signatures
✓ Version Control
✓ Checksums

مثال نقض:

تغییر مبلغ تراکنش در حین انتقال

Availability

دسترس‌پذیری

تعریف:

اطمینان از دسترسی به سیستم‌ها و داده‌ها در زمان مورد نیاز

ابزارها:

✓ Redundancy (RAID, Clustering)
✓ Backup & Disaster Recovery
✓ Load Balancing
✓ DDoS Protection

مثال نقض:

حمله DDoS به سایت بانک

💡 نکته مصاحبه:

در مصاحبه‌های امنیتی، حتماً از شما سؤال می‌شود: "چگونه CIA Triad را در یک سناریو واقعی پیاده‌سازی می‌کنید؟" پاسخ خوب باید شامل مثال عملی و ابزارهای خاص باشد نه فقط تعریف نظری.

🎯

سناریو عملی #1

نقض CIA در سیستم بانکی

📋 شرح سناریو:

شما مدیر امنیت یک بانک هستید. یک هکر به سیستم core banking نفوذ کرده و اقدامات زیر را انجام داده:

1) اطلاعات کارت اعتباری 10,000 مشتری را دانلود کرده (نشت داده)
2) موجودی حساب یک مشتری VIP را از 500 میلیون به 50 میلیون تغییر داده
3) حمله DDoS راه‌اندازی کرده و اینترنت بانک 6 ساعت از دسترس خارج شده

🔴 تحلیل نقض CIA:

1️⃣ نقض Confidentiality (محرمانگی):

• نشت 10,000 کارت اعتباری = نقض محرمانگی
• اطلاعات حساس به دست غیرمجاز رسیده
• پیامد: سواستفاده مالی، دعاوی حقوقی، جریمه GDPR/PCI-DSS

2️⃣ نقض Integrity (یکپارچگی):

• تغییر موجودی حساب = دستکاری داده
• از دست رفتن اعتبار داده‌ها
• پیامد: ضرر مالی مستقیم، از دست رفتن اعتماد مشتریان

3️⃣ نقض Availability (دسترس‌پذیری):

• DDoS → قطعی 6 ساعته سرویس
• مشتریان نتوانستند به حساب خود دسترسی داشته باشند
• پیامد: از دست رفتن درآمد، شکایت مشتریان، جریمه قراردادی (SLA)

🛡️ راهکارهای پیشگیری:

برای Confidentiality:

✓ رمزنگاری دیتابیس (TDE)
✓ Encryption at Rest & in Transit
✓ DLP (Data Loss Prevention)
✓ Strong Access Control (RBAC)
✓ Multi-Factor Authentication

برای Integrity:

✓ Database Auditing
✓ Transaction Logging
✓ Digital Signatures
✓ Checksums & Hash Verification
✓ Input Validation

برای Availability:

✓ DDoS Protection (Cloudflare, AWS Shield)
✓ Load Balancing
✓ Database Replication
✓ Backup & Disaster Recovery
✓ Redundant Infrastructure

💻 کدهای عملی:

1. رمزنگاری دیتابیس (PostgreSQL TDE):

-- فعال‌سازی TDE در PostgreSQL
-- نصب pgcrypto extension
CREATE EXTENSION IF NOT EXISTS pgcrypto;

-- رمزنگاری ستون شماره کارت
CREATE TABLE customers (
    id SERIAL PRIMARY KEY,
    name VARCHAR(100),
    card_number BYTEA,  -- رمزنگاری شده
    balance DECIMAL(15,2)
);

-- درج داده رمزنگاری شده
INSERT INTO customers (name, card_number, balance)
VALUES (
    'علی احمدی',
    pgp_sym_encrypt('6219861012345678', 'secret_key_2024'),
    5000000
);

-- خواندن داده (فقط با کلید)
SELECT 
    name,
    pgp_sym_decrypt(card_number, 'secret_key_2024') as card_number,
    balance
FROM customers;
              

2. Hash Verification برای Integrity:

# Python - تأیید یکپارچگی تراکنش
import hashlib
import hmac

def create_transaction_hash(transaction_data, secret_key):
    """ایجاد Hash برای تراکنش"""
    message = f"{transaction_data['amount']}{transaction_data['from']}{transaction_data['to']}{transaction_data['timestamp']}"
    return hmac.new(
        secret_key.encode(),
        message.encode(),
        hashlib.sha256
    ).hexdigest()

def verify_transaction(transaction_data, received_hash, secret_key):
    """تأیید یکپارچگی تراکنش"""
    calculated_hash = create_transaction_hash(transaction_data, secret_key)
    return hmac.compare_digest(calculated_hash, received_hash)

# مثال استفاده
transaction = {
    'amount': 500000,
    'from': 'account_123',
    'to': 'account_456',
    'timestamp': '2024-12-16T10:30:00'
}

secret = 'bank_secret_key_2024'
tx_hash = create_transaction_hash(transaction, secret)

# بررسی در سمت گیرنده
if verify_transaction(transaction, tx_hash, secret):
    print("✓ تراکنش معتبر است")
else:
    print("✗ تراکنش دستکاری شده!")
              

3. Rate Limiting برای جلوگیری از DDoS:

# Nginx Configuration
http {
    # تعریف Zone برای Rate Limiting
    limit_req_zone $binary_remote_addr zone=bank_api:10m rate=10r/s;
    
    server {
        listen 443 ssl;
        server_name internetbank.example.com;
        
        location /api/ {
            # محدود کردن به 10 درخواست در ثانیه
            limit_req zone=bank_api burst=20 nodelay;
            
            # بلاک کردن IP های مشکوک
            limit_req_status 429;
            
            proxy_pass http://backend;
        }
        
        # محافظت در برابر Slowloris
        client_body_timeout 10s;
        client_header_timeout 10s;
        keepalive_timeout 5s 5s;
        send_timeout 10s;
    }
}
              

🎓 نکات مصاحبه:

سوال احتمالی: "چگونه می‌توانید همزمان هر سه جنبه CIA را حفظ کنید؟"
پاسخ خوب: استفاده از Defense in Depth - چند لایه امنیتی که هر کدام یک جنبه را پوشش می‌دهند
مثال: Encryption (C) + Digital Signature (I) + Redundancy (A)
Trade-off: گاهی باید بین CIA تعادل ایجاد کنی. مثلاً رمزنگاری سنگین ممکن است Performance را کاهش دهد

⚠️ تهدیدات، آسیب‌پذیری‌ها و ریسک

🎯

Threat

تهدید

تعریف:

هر عامل یا رویدادی که می‌تواند به دارایی‌های سازمان آسیب برساند

انواع:

• تهدیدات داخلی (Insider Threats)
• حملات سایبری (Malware, Phishing)
• حملات DDoS
• مهندسی اجتماعی
• APT (Advanced Persistent Threat)

مثال:

هکر حرفه‌ای که قصد نفوذ به شبکه شما را دارد

🔓

Vulnerability

آسیب‌پذیری

تعریف:

ضعف یا نقص در سیستم که می‌تواند توسط تهدید مورد سواستفاده قرار گیرد

انواع:

• نقص نرم‌افزاری (Software Bugs)
• پیکربندی نادرست (Misconfiguration)
• پسوردهای ضعیف
• پچ نشده بودن سیستم‌ها
• عدم آموزش کاربران

مثال:

Windows Server پچ نشده با آسیب‌پذیری EternalBlue

⚖️

Risk

ریسک

تعریف:

احتمال و تأثیر بهره‌برداری یک تهدید از یک آسیب‌پذیری

فرمول ریسک:

Risk = Threat × Vulnerability × Asset Value

مدیریت:

• پذیرش (Accept)
• کاهش (Mitigate)
• انتقال (Transfer - بیمه)
• اجتناب (Avoid)

🧮 فرمول محاسبه ریسک کمی:

Single Loss Expectancy (SLE):

SLE = Asset Value × Exposure Factor

ارزش دارایی × درصد آسیب در یک حادثه

Annual Loss Expectancy (ALE):

ALE = SLE × ARO

SLE × نرخ سالانه وقوع (Annual Rate of Occurrence)

مثال عملی:

• ارزش سرور: 100 میلیون تومان
• Exposure Factor (در صورت Ransomware): 80%
• احتمال وقوع در سال: 2 بار
→ SLE = 100M × 0.8 = 80M تومان
→ ALE = 80M × 2 = 160M تومان
→ باید 160M تومان برای کاهش این ریسک سرمایه‌گذاری کنیم!

🎯

سناریو عملی #2

ارزیابی ریسک در شرکت نداپرداز

📋 شرح سناریو:

شما به عنوان Security Consultant برای شرکت نداپرداز استخدام شده‌اید. مدیرعامل از شما می‌خواهد ریسک امنیتی سیستم CRM که حاوی اطلاعات 50,000 مشتری است را ارزیابی کنید.

اطلاعات موجود:

• ارزش دیتابیس CRM: 500 میلیون تومان
• سیستم‌عامل: Windows Server 2016 (3 سال پچ نشده)
• دسترسی: 20 کاربر با پسوردهای ساده
• Backup: هفتگی (آخرین تست بازیابی: 18 ماه پیش)
• فایروال: فعال اما بدون IPS
• تهدید شناسایی شده: احتمال حمله Ransomware

🔴 شناسایی تهدیدات و آسیب‌پذیری‌ها:

تهدیدات:

Critical Ransomware Attack
High Insider Threats (20 user)
High Brute Force Attack
Medium Data Breach

آسیب‌پذیری‌ها:

Critical 3 سال بدون Security Patch
Critical پسوردهای ضعیف بدون MFA
High Backup غیرقابل اطمینان
Medium عدم IPS

🧮 محاسبه ریسک کمی:

مرحله 1: محاسبه SLE (Single Loss Expectancy)

Asset Value = 500,000,000 تومان
Exposure Factor = 90% (در صورت Ransomware بدون backup معتبر)

SLE = 500M × 0.9 = 450,000,000 تومان
                  

یعنی در هر حمله موفق، 450 میلیون تومان ضرر خواهیم کرد

مرحله 2: تخمین ARO (Annual Rate of Occurrence)

با توجه به:

✓ فقدان Patch Management → احتمال بالا
✓ پسوردهای ضعیف → احتمال بالا
✓ فقدان Security Awareness → احتمال بالا
✓ روند صعودی Ransomware در ایران

ARO = 0.6 (60% احتمال حمله در سال)
یا به عبارت دیگر: یک حمله موفق در هر 20 ماه
                  

مرحله 3: محاسبه ALE (Annual Loss Expectancy)

ALE = SLE × ARO
ALE = 450,000,000 × 0.6
ALE = 270,000,000 تومان/سال
                  

نتیجه:

انتظار می‌رود سالانه 270 میلیون تومان به دلیل این ریسک ضرر کنیم!

✅ راهکارها و محاسبه ROI:

راهکار پیشنهادی:

هزینه‌های سرمایه‌گذاری:

• Patch Management System: 20M
• IPS/IDS Solution: 30M
• Multi-Factor Authentication: 10M
• Backup & DR Solution: 40M
• Security Awareness Training: 5M
• Endpoint Protection: 15M

جمع کل: 120 میلیون تومان

کاهش ریسک پس از پیاده‌سازی:

• ARO جدید: 0.1 (10%)
• Exposure Factor جدید: 30%
• SLE جدید: 500M × 0.3 = 150M
• ALE جدید: 150M × 0.1 = 15M

کاهش ضرر: 270M - 15M = 255M تومان

🎯 ROI (Return on Investment):

ROI = (Benefit - Cost) / Cost × 100
ROI = (255M - 120M) / 120M × 100
ROI = 112.5%

Payback Period = 120M / 255M = 0.47 سال ≈ 5.6 ماه
                  

✓ با سرمایه‌گذاری 120 میلیون، در کمتر از 6 ماه سرمایه برمی‌گردد!
✓ سالانه 255 میلیون تومان صرفه‌جویی می‌کنیم

💼 گزارش به مدیریت:

Executive Summary:

سیستم CRM شرکت نداپرداز با ریسک امنیتی بحرانی روبرو است. انتظار می‌رود سالانه 270 میلیون تومان به دلیل حملات سایبری ضرر کنیم.

با سرمایه‌گذاری 120 میلیون تومان برای پیاده‌سازی کنترل‌های امنیتی، می‌توانیم ریسک را به 94% کاهش دهیم و سالانه 255 میلیون تومان صرفه‌جویی کنیم.

توصیه: اجرای فوری برنامه امن‌سازی (اولویت: Critical)

🎓 نکات مصاحبه:

Q: "چگونه ARO را تخمین می‌زنید؟"
A: از داده‌های تاریخی، گزارش‌های صنعت (مثل Verizon DBIR)، تحلیل threat landscape و نظر کارشناسان
Q: "اگر بودجه کافی نداشته باشیم چه کار می‌کنید؟"
A: اولویت‌بندی based on Risk - ابتدا Critical vulnerabilities را patch کن، سپس Low-cost controls مثل MFA
Q: "چگونه ریسک residual را مدیریت می‌کنید؟"
A: پس از پیاده‌سازی controls، ریسک باقیمانده را یا Accept می‌کنیم یا Transfer (مثلاً با Cyber Insurance)

📋 استانداردهای امنیت اطلاعات

🏆

ISO/IEC 27001

Information Security Management

درباره:

استاندارد بین‌المللی برای پیاده‌سازی، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات (ISMS)

ساختار:

✓ Annex A: 114 کنترل در 14 دسته
✓ چرخه PDCA (Plan-Do-Check-Act)
✓ مستندسازی و گواهی‌نامه

14 دسته کنترل:

1. Security Policies

2. Organization

3. Human Resources

4. Asset Management

5. Access Control

6. Cryptography

7. Physical Security

8. Operations Security

9. Communications

10. System Acquisition

11. Supplier Relations

12. Incident Management

13. Business Continuity

14. Compliance

🇺🇸

NIST CSF

Cybersecurity Framework

درباره:

چارچوب امنیت سایبری توسط موسسه ملی استانداردها و فناوری آمریکا برای مدیریت ریسک سایبری در سازمان‌ها

5 عملکرد اصلی (Core Functions):

1. Identify شناسایی دارایی‌ها و ریسک‌ها

2. Protect پیاده‌سازی محافظت‌ها

3. Detect تشخیص رویدادهای امنیتی

4. Respond پاسخ به حوادث

5. Recover بازیابی و بازگشت به حالت عادی

Implementation Tiers:

Tier 1: Partial

Tier 2: Risk Informed

Tier 3: Repeatable

Tier 4: Adaptive

مقایسه ISO 27001 vs NIST CSF

ویژگی	ISO 27001	NIST CSF
نوع	استاندارد قابل گواهی	چارچوب راهنما
تمرکز	ISMS جامع	مدیریت ریسک سایبری
محدوده جغرافیایی	جهانی	آمریکا (ولی پذیرش جهانی)
پیچیدگی	بالا (مستندات زیاد)	متوسط (انعطاف‌پذیر)
هزینه	بالا (Audit + Certification)	پایین (Self-Assessment)
زمان پیاده‌سازی	12-24 ماه	6-12 ماه

💡 نکته مهم:

بسیاری از سازمان‌ها هر دو را ترکیب می‌کنند: از NIST برای ارزیابی اولیه و roadmap استفاده می‌کنند، سپس برای گواهی‌نامه رسمی به سمت ISO 27001 می‌روند.

⚖️ قوانین و مقررات امنیت سایبری ایران

⚖️

قانون جرائم رایانه‌ای

مصوب 1388

ماده 1:

دسترسی غیرمجاز به سیستم‌های رایانه‌ای

ماده 2:

دسترسی غیرمجاز به اطلاعات محرمانه

ماده 3:

استراق سمع و ضبط اطلاعات محرمانه

ماده 4:

حذف، تخریب یا تغییر داده‌ها

مجازات‌ها:

از 91 روز تا 2 سال حبس + جزای نقدی

🏛️

شورای عالی فضای مجازی

سیاست‌گذار ملی

الزامات سازمان‌های دولتی:

✓ استفاده از زیرساخت داخلی
✓ Data Localization
✓ گزارش‌دهی حوادث امنیتی

مرکز ملی فضای مجازی:

✓ صدور مجوز ارائه‌دهندگان خدمات
✓ تنظیم استانداردهای امنیتی
✓ نظارت بر حفظ حریم خصوصی

الزامات AFTA:

✓ امن‌سازی زیرساخت‌ها
✓ مقاوم‌سازی در برابر حملات
✓ پیاده‌سازی کنترل‌های امنیتی

مراجع قانونی مهم در ایران

👮

پلیس فتا

• مرجع رسیدگی به جرائم سایبری
• گزارش حوادث امنیتی
• تحقیقات فرانزیک

🛡️

مرکز ماهر

• هشدارهای امنیتی
• مشاوره فنی
• پاسخ به حوادث ملی

📱

سامانه 096000

• گزارش محتوای مجرمانه
• شکایت از جرائم سایبری
• پیگیری پرونده

فصل دوم

امنیت شبکه و زیرساخت

Network Security & Infrastructure Hardening

🌐

Segmentation

🔒

VPN/SSL

🛡️

Firewall

🚨

IDS/IPS

🌐 Network Segmentation & Zero Trust

❌ Flat Network (غیرامن)

مشکلات:

✗ هر دستگاه به همه دسترسی دارد
✗ Lateral Movement آسان
✗ یک نفوذ = کل شبکه در خطر
✗ سخت برای نظارت و کنترل

✅ Segmented Network (امن)

مزایا:

✓ دسترسی کنترل شده بین segments
✓ محدود کردن Blast Radius
✓ Micro-segmentation برای حساس‌ترها
✓ نظارت و Logging دقیق‌تر

اصول Zero Trust Architecture

🚫

Never Trust

هیچ چیز را به صورت پیش‌فرض trust نکن - حتی داخل شبکه

🔍

Always Verify

همیشه هویت و دسترسی را تأیید کن (Continuous Verification)

🎯

Least Privilege

فقط حداقل دسترسی مورد نیاز برای انجام کار

فرمول Zero Trust:

Access Decision = f(
  User Identity + Device Health + 
  Location + Time + Risk Score + 
  Resource Sensitivity
)
          

🎯

سناریو عملی #3

طراحی معماری شبکه امن بانک

📋 شرح سناریو:

شرکت نداپرداز قرارداد طراحی شبکه یک بانک جدید را گرفته است. شما مسئول طراحی معماری امن هستید.

الزامات:

• 500 کاربر داخلی (کارمندان)
• اینترنت بانک برای مشتریان
• ارتباط با بانک مرکزی و شبکه شتاب
• 50 دوربین مداربسته
• سیستم Core Banking (حساس)
• باید PCI-DSS و الزامات بانک مرکزی را رعایت کند

🏗️ معماری پیشنهادی (6 لایه):

🌐

Layer 1: Internet DMZ

دستگاه‌ها:

• Web Application Firewall (WAF)
• Load Balancer
• Reverse Proxy (NGINX)
• Web Servers (Internet Banking)

امنیت:

• DDoS Protection
• SSL/TLS Termination
• Rate Limiting
• GeoIP Filtering

⚙️

Layer 2: Application DMZ

دستگاه‌ها:

• Application Servers
• API Gateway
• Message Queue

امنیت:

• Stateful Firewall
• IPS
• Application-level Logging

🗄️

Layer 3: Database Zone (Highly Restricted)

دستگاه‌ها:

• Core Banking Database
• Customer Data DB
• Transaction DB

امنیت:

• Database Firewall
• TDE (Transparent Data Encryption)
• Database Activity Monitoring
• Whitelist IP only

👥

Layer 4: Internal User Zone

دستگاه‌ها:

• Employee Workstations
• Domain Controllers
• File Servers
• Email Server

امنیت:

• NAC (Network Access Control)
• 802.1X Authentication
• DLP (Data Loss Prevention)
• Endpoint Protection

📹

Layer 5: IoT/CCTV Zone (Isolated)

دستگاه‌ها:

• 50 IP Cameras
• NVR (Network Video Recorder)
• Building Management System

امنیت:

• Separate VLAN
• No Internet Access
• Monitoring Only from SOC
• Firmware Updates Controlled

🔧

Layer 6: Management Zone (Out-of-Band)

دستگاه‌ها:

• Jump Servers (Bastion Hosts)
• SIEM Server
• Backup Servers
• Patch Management

امنیت:

• Separate Physical Network
• MFA Required
• PAM (Privileged Access Management)
• Session Recording

🔒 Firewall Rules (مثال):

# Firewall Rules - Bank Network

# DMZ to Application
allow tcp from DMZ to APP_ZONE port 8080 (stateful)
allow tcp from APP_ZONE to DMZ port 443 (return traffic)

# Application to Database
allow tcp from APP_ZONE to DB_ZONE port 3306 source IP: 10.20.30.0/24
deny all from any to DB_ZONE (default deny)

# Internal Users to Internet
allow tcp from USER_ZONE to INTERNET ports 80,443 via Proxy
deny all direct from USER_ZONE to INTERNET

# IoT/CCTV Complete Isolation
deny all from CCTV_ZONE to any except MGMT_ZONE
allow tcp from MGMT_ZONE to CCTV_ZONE port 554 (RTSP)

# Management Access
allow ssh from MGMT_ZONE to any (with PAM + MFA)
allow all from SIEM to all zones port 514 (syslog)

# Inter-Bank Communication
allow tcp from BANK_CENTRAL_IP to APP_ZONE port 8443 (mutual TLS)
allow tcp from SHETAB_NETWORK to APP_ZONE port 9443 (mutual TLS)

# Default Rules
deny all from INTERNET to any (except DMZ)
deny all from any to any (explicit deny)
log all deny
              

✅ بررسی Compliance:

PCI-DSS Requirements:

✓ Req 1: Firewall & Network Segmentation
✓ Req 2: No default passwords
✓ Req 3: Cardholder Data Encryption
✓ Req 6: Secure SDLC
✓ Req 10: Logging & Monitoring

بانک مرکزی ایران:

✓ Data Localization (سرورها داخل کشور)
✓ گزارش به مرکز ماهر
✓ Backup Offsite
✓ Business Continuity Plan
✓ Penetration Testing سالانه

🎓 نکات مصاحبه:

Q: "چرا IoT/CCTV را جدا کردید؟"
A: دوربین‌ها معمولاً به‌روزرسانی نمی‌شوند و آسیب‌پذیری‌های زیادی دارند. اگر hack بشوند، نباید به شبکه اصلی دسترسی داشته باشند
Q: "چرا Management Zone جدا است؟"
A: اگر شبکه اصلی compromised شد، باید مسیری out-of-band برای بازیابی داشته باشیم
Q: "چگونه Lateral Movement را محدود می‌کنید؟"
A: با Micro-segmentation، Firewall بین هر zone، و Zero Trust (حتی دسترسی internal هم verify می‌شود)

🔐 پروتکل‌های امن ارتباطی

🔒

SSL/TLS

Secure Socket Layer / Transport Layer Security

نسخه‌ها:

Insecure SSL 2.0, SSL 3.0

Deprecated TLS 1.0, TLS 1.1

Secure TLS 1.2

Recommended TLS 1.3

TLS Handshake:

1️⃣ Client Hello → Cipher Suites

2️⃣ Server Hello → Certificate

3️⃣ Key Exchange

4️⃣ Verify Certificate

5️⃣ Encrypted Communication

Perfect Forward Secrecy (PFS):

استفاده از ECDHE/DHE برای اینکه حتی اگر Private Key لو برود، ترافیک گذشته decrypt نشود

🌐

VPN

Virtual Private Network

انواع VPN:

1. Site-to-Site (IPSec)

اتصال دو شبکه سازمانی

IKEv2 + ESP + AES-256-GCM

2. Remote Access (SSL VPN)

دسترسی کاربران دورکار

OpenVPN / WireGuard / Cisco AnyConnect

3. MPLS VPN

برای شبکه‌های بزرگ سازمانی

IPSec Components:

• AH: Authentication Header
• ESP: Encapsulating Security Payload
• IKE: Internet Key Exchange
• SA: Security Association

پیاده‌سازی عملی SSL/TLS

NGINX SSL Configuration:

server {
    listen 443 ssl http2;
    server_name bank.example.com;
    
    # گواهی SSL
    ssl_certificate /etc/ssl/certs/bank.crt;
    ssl_certificate_key /etc/ssl/private/bank.key;
    
    # فقط TLS 1.2 و 1.3
    ssl_protocols TLSv1.2 TLSv1.3;
    
    # Cipher Suites امن
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
    
    # HSTS (6 ماه)
    add_header Strict-Transport-Security 
      "max-age=15768000; includeSubDomains" always;
    
    # OCSP Stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    
    # Session Cache
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
}
            

OpenSSL Commands:

# تولید Private Key
openssl genrsa -aes256 -out private.key 4096

# تولید CSR (Certificate Signing Request)
openssl req -new -key private.key -out request.csr

# تست TLS از CLI
openssl s_client -connect bank.com:443 \
  -tls1_3 -showcerts

# بررسی گواهی
openssl x509 -in certificate.crt -text -noout

# تست Cipher Suites
nmap --script ssl-enum-ciphers -p 443 bank.com

# بررسی اعتبار گواهی
openssl verify -CAfile ca-bundle.crt certificate.crt
            

🔍 ابزارهای تست SSL/TLS:

• SSL Labs: ssllabs.com/ssltest

• testssl.sh: CLI testing tool

• sslscan: Fast SSL scanner

🛡️ Firewall & IDS/IPS

🔥

Firewall

Packet Filtering:

بررسی Header (IP, Port)

Stateful Inspection:

ردیابی وضعیت اتصالات

Application Layer:

بررسی عمیق (WAF)

Next-Gen (NGFW):

+ IPS + App Control + SSL Inspection

👁️

IDS

Intrusion Detection System

NIDS:

Network-based (Snort, Suricata)

HIDS:

Host-based (OSSEC, Wazuh)

⚠️ فقط Alert:

Block نمی‌کند، فقط هشدار می‌دهد

Detection Methods:

Signature + Anomaly + Heuristic

🚨

IPS

Intrusion Prevention System

Inline Deployment:

ترافیک از آن عبور می‌کند

Active Prevention:

حمله را Block می‌کند

✓ IDS + Prevention:

تشخیص + جلوگیری فوری

Actions:

Drop, Reject, Alert, Log

Snort Rule Example

# تشخیص SQL Injection
alert tcp any any -> $HOME_NET 80 (
    msg:"SQL Injection Attempt";
    flow:to_server,established;
    content:"UNION"; nocase;
    content:"SELECT"; nocase; distance:0;
    pcre:"/(\%27)|(\')|(\-\-)|(\%23)|(#)/i";
    classtype:web-application-attack;
    sid:1000001; rev:1;
)

# تشخیص Port Scan
alert tcp any any -> $HOME_NET any (
    msg:"Potential Port Scan";
    flags:S;
    threshold:type both, track by_src, 
              count 20, seconds 60;
    classtype:attempted-recon;
    sid:1000002; rev:1;
)

# تشخیص Reverse Shell
alert tcp $HOME_NET any -> $EXTERNAL_NET any (
    msg:"Possible Reverse Shell";
    flow:to_server,established;
    content:"/bin/bash"; nocase;
    content:"-i"; nocase; distance:0;
    classtype:trojan-activity;
    sid:1000003; rev:1;
)
          

ساختار Snort Rule:

Action: alert, log, pass, drop, reject

Protocol: tcp, udp, icmp, ip

Direction: ->, <>, <-

Options: msg, content, pcre, sid, ...

IPS Deployment

✅ Inline Mode (Recommended):

Internet → IPS → Firewall → Internal

• حمله را فوراً Block می‌کند
• نیاز به bypass در صورت خرابی
• ممکن است latency ایجاد کند

⚠️ Passive Mode (TAP/SPAN):

Switch → SPAN Port → IDS (فقط monitoring)

• فقط Alert می‌دهد، Block نمی‌کند
• بدون تأثیر بر ترافیک
• برای تست مناسب است

False Positives vs False Negatives:

False Positive:

حمله نیست ولی Alert داد

False Negative:

حمله بود ولی تشخیص نداد

Tuning: کاهش FP با whitelist و fine-tuning rules

📝 آزمون جامع فصل 1 و 2

10 سوال چهارگزینه‌ای - سطح مصاحبه

پاسخ‌ها را با کلیک بر روی گزینه‌ها ببینید

1️⃣ در یک سناریو حمله Ransomware، کدام اصل CIA به شدت نقض شده است؟

A) فقط Confidentiality

B) Availability (دسترس‌پذیری)

C) فقط Integrity

D) هیچکدام

توضیح: Ransomware داده‌ها را رمز می‌کند و دسترسی به آنها را قطع می‌کند → نقض Availability

2️⃣ کدام پروتکل VPN از Perfect Forward Secrecy پشتیبانی می‌کند؟

A) PPTP

B) IKEv2 با ECDHE

C) L2TP بدون IPSec

D) GRE Tunnel

توضیح: فقط IKEv2 با ECDHE/DHE از PFS پشتیبانی می‌کند. PPTP و L2TP بدون IPSec امن نیستند.

3️⃣ در معماری Zero Trust، کدام گزینه صحیح است؟

A) کاربران داخلی را Trust می‌کنیم

C) فقط Perimeter Security کافی است

B) Never Trust, Always Verify

D) VPN کافی است

توضیح: Zero Trust یعنی هیچ چیز را trust نکن، همیشه verify کن - حتی برای کاربران داخلی

4️⃣ اگر ALE = 200M و هزینه کنترل امنیتی = 150M باشد، ROI چقدر است؟

A) -50M (ضرر)

B) 33.3% (صرفه‌جویی می‌کنیم)

C) 100%

D) 200%

محاسبه: ROI = (200M - 150M) / 150M × 100 = 33.3%

5️⃣ کدام نسخه TLS امن است و توصیه می‌شود؟

A) SSL 3.0

B) TLS 1.0

C) TLS 1.1

D) TLS 1.3

توضیح: TLS 1.3 جدیدترین و امن‌ترین است. SSL و TLS 1.0/1.1 deprecated هستند.

🎉 تمرین کامل شد!

برای دیدن بقیه فصول با مدرس تماس بگیرید

پایان فصل 1 و 2

📚 منابع مطالعه بیشتر

کتاب‌ها:

• Security+ Study Guide (CompTIA)
• NIST Cybersecurity Framework
• ISO 27001 Implementation Guide
• امنیت شبکه - دکتر حقیقی

سایت‌ها:

• OWASP.org
• SANS.org
• مرکز ماهر (maher.ir)
• پلیس فتا

🎯 فصول بعدی

💾

امنیت سامانه‌ها

👤

IAM & MFA

🔐

رمزنگاری

🚨

Incident Response

موفق باشید! 🎉

علیرضا سیریزی - شرکت نداپرداز

Security Architect & AFTA Trainer