مفاهیم امنیت شبکه

با سلام خدمت دوستان عزیز و با اجازه اساتید محترم..

در این تاپیک درباره مفاهیم امنیت شبکه صحبت میکنیم و به روشهای امن سازی و میپردازیم...

در ابتدا راجب مفاهیم شبکه مطالبی رو آماده کردم و مقالات بسیار آموزنده و کلی در مورد شبکه در این تاپیک قرار میدم....:77:

همه چیز درمورد شبکه سعی میکنم تا اونجایی که بتونم آماده کنم

در اولین گام به امنیت شبکه لایه بندی شده میپردازیم

توضیح :

امروزه امنیت برای سازمانها و شرکت ها خیلی مهم شده چون تهدیدهای پیشرفته ای از سوی تروریست های فضای سایبر به سیستم ها و شبکه ها انجام میشود .

رویکرد امنیت شبکه لایه بندی شده یک استراتژی است که ابزار و امکانات مختلفی را در سطوح مختلف در زیر شبکه فراهم میکند

رویکرد امنیتی شبکه لایه بندی شده در 5 لایه قابل تعریف میباشد :

1.پیرامون
2.شبکه
3.میزبان
4.برنامه کاربردی
5.دیتا

و یک دید کلی از ابزار ها و سیستم هایی امنیتی گوناگون که روی هریک عمل میکنند ارائه میشود و هدف ایجاد درکی در سطح پایه ، از امنیت شبکه هایی لایه بندی شده میباشد .
محافظت از اطلاعات به منابع مالی نامحدود احتیاج ندارد با درک کلی از مساله ،خلق یک طرح استراتژی و تاکتیکی میتوان کا را اسان حل کرد .

افزودن به ضریب عملکرد هکرها :

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد work factor استفاده میکنند که مفهومی مهم در پیاده سازی امنیت شبکه لایه بندی شده دارد . ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوزگر بمنظور تحت تاثیر قرار دادن یک یا چند سیستم و ابزار های امنیتی تعریف میشود که باعث رخنه کردن در شبکه میشود . شبکه با work factor بالا به سختی مورد دستبرد قرار میگیرد


در زیر مدل امنیت لایه بندی شده در زیر امده :

پیرامون:

فایروال ، انتی ویروس در سطح شبکه
رمزنگاری شبکه خصوصی مجازی

شبکه :

سیستم تشخیص / جلوگیری از نفوز IDS/IPS
سیستم مدیریت اسیب پذیری
تبعیت امنیتی کابر انتهایی
کنترول دسترسی / تایید هویت کاربر

میزبان :

سیستم تشخیص نفوز میزبان
سیستم ارزیابی اسیب پذیری میزبان
تبعیت امنیتی کاربرانتهایی
انتی ویروس
کنترول دسترسی / تایید هویت کاربر

برنامه کاربردی :

سیستم تشخیص نفوز میزبان
سیستم ارزیابی اسیب پذیری میزبان
کنترول دسترسی / تایید هویت کاربر
تعیین صحت ورودی

داداه :

رمزنگاری
کنترول دسترسی / تایید هویت کاربر

در این بخش به لایه های امنیتی میپردازیم :

امنیت پیرامون :

منظور از پیرامون اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است .
پیرامون اولین و اخرین نقطه تماس برای دفاع امنیتی محافظ کننده شبکه میباشد .
در این ناحیه شبکه به پایان میرسد و اینترنت اغاز میشود پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترول شده که در بخشی از پیرامون قرار دارند
بعنوان DMZ Demilitarized Zone شناخته میشوند . DMZ معمولا وب سرور ، مدخل ایمیل ها انتی ویروس ها شبکه و سرور های DNS را در بر میگیرد که باید در معرض اینترنت باشند . فایروال قوانین سفت و سختی در مورد اینکه چه چیزی وارد شبکه بشود و چگونه سرورها در DMZ میتوانند با اینترنت و شبکه داخلی تعامل داشته باشند را دارد .

تکنولوژی زیر امنیت را در پیرامون شبکه ایجاد میکند :

فایروال – معمولا یک فایروال روی سروری نصب میگردد که به بیرون و درون پیرامون شبکه متصل میباشد . فایروال سه عمل اصلی را انجام میدهد
1 . کنترول ترافیک 2 . تبدیل ادرس 3 . نقطه پایانی وی پی ان .

فایروال کنترول ترافیک را با سنجیدن مبدا و مقصد تمام ترافیک وارد شده و خارج شده انجام میدهد و تضمین میکند که تنها تقاضای مجاز اجازه عبور دارند بعلاوه فایروال به شبکه امن در تبدیل ادرسهای ip داخلی به ادرش های قابل رویت در اینترنت کمک میکند . این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری میکند و به عنوان نقطه پایانی تونل وی پی ان عمل میکند

انتی ویروس شبکه – این نرم افزار در DMZ نصب میشود و محتوای ایمیل های وارد شده و خارج شده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه میکند . این انتی ویروس ها ایمیل های الوده SPAM را بلاک کرده و به مدیران شبکه خبر میدهد . انتی ویروس شبکه مکملی برای حفاظت ضد ویروسی است که در سرور ایمیل و کامپیوتر های مجزا صورت میگیرد

وی پی ان - یک شبکه اختصاصی مجازی وی پی ان از رمزنگاری سطح بالایی برای ایجاد ارتباط امن بین ابزار دور از یکدیگر مانند لپ تاپ ها و شبکه های مقصد استفاده میکنند .
وی پی ان اساسا یک تونل رمز نگاری شده تقریبا با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد میکند این تونل وی پی ان میتواند در یک مسیریاب بر پایه وی پی ان فایروال با یک سرور در ناحیه DMZ پایان پذیرد . برقراری ارتباط وی پی ان برای تمام بخش های دور و بیسیم شبکه یک عمل مهم است که نسبتا اسان و ارزان پیاده سازی میشود .

مزایا و معایب :

تکنولوژی ایجاد شده سطح پیرامون سال هاست که مورد استفاده قرار میگیرد و از نظر اقتصادی مغلوم به صرفه میباشد اما درای معایبی هم دارد ، از انجا که این سیستم پایه ای است بیشتر هکرها روی ان متمرکز شده و راه های مختلفی را در جهت دور زدن این امنیت پیدا کرده اند

لایه امنیت شبکه

سطح شبکه در مدل امنیت لایه بندی شده به wan ,lan داخلی شما اشاره دارد .
شبکه داخلی شما ممکن است شامل چند کامیپوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد بیشتر شبکه های امروزی در ورای پیرامون باز هستند یعنی هنگامی که داخل شبکه قرار دارید میتوانید به راحتی در میان شبکه حرکت کنید .

تکنولوژی ذیل امنیت را در سطح شبکه برقرارمیکنند :

ids ها (سیستم تشخیص نفوز ) و ipsها (سیستم جلوگیری از نفوز ) تکنولوژی ids و isp ترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال ها تحلیل میکنند .
مشابه سیستم انتی ویروس ابزارهای ids , ips ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته مقایسه میکنند . هنگامی که حملات تشخیص داده میشود این ابزار وارد عمل شده .
ابزارهای ids مسوولین it را از وقوع یک حمله مطلع میکند ابزارهای ips یک گام جلوتر رفته و به طور خودکار ترافیک اسیب رسان را مسدود میکند .
ids ها و ips ها مشخصات مشترک زیادی دارند در حقیقت بیشتر ips ها در هسته خود یک ids دارند تفاوت کلیدی بین این دو تکنولوژی ها از نام انها استنباط میشود و محصولات ids تنها ترافیک اسیب رسان را تشخیص میدهند در حالیکه محصولات ips از ورود چنین ترافیکی به شبکه شما جلوگیری میکنند .

مدیریت اسیب پذیری – سیستم های مدیریت اسیب پذیری دو عملکرد مرتبط را انجام میدهند :
شبکه را برای اسیب پذیری ها پیمایش میکنند و روند مرمت اسیب پذیری یافته شده را مدیریت میکنند در گذشته این تکنولوژی va (تخمین اسیب پذیری ) نامیده میشود اما این تکنولوژی اصلاح شده است و بیشتر سیستم های موجود عملی بیش از va انجام میدهند .
سیستم مدیریت اسیب پذیر تمام راهای نفوز را پجستجو میکند انها پایگاهای داده ای data base از قوانین را نگه داری میکنند که اسیب پذیری شناخته شده را خود جای میدهد . این سیستم روند باسازی را مدیریت میکند

تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی تضمین میکنند کاربران انتهایی استانداردهای امنیتی تعریف شده را از قبل اینکه اجازه دسترسی به شبکه داشته باشد از شبکه محافظت میکنند این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای وی پی ان, ras میگیرد . روشهای امنیت نقاط اتهایی بر اساس ازمایش هایی که روی سیستم های که قصد اتصال دارند انجام میدهند ، اجازه دسترسی میدهند .

کنترول دسترسی / تایید هویت – کنترول دسترسی نیازمند تایید هویت کاربرانی است که به شبکه شما دسترسی دارند . کاربران و ابزارها باید با ابزارهای کنترول دسترسی کنترول شوند در ایتجا باید گفت میان طرح های کنترول دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد . معمولا تراکنش های تایید هویت در مقابل دید کاربر اتفاق میافتد اما به خاطر داشته باشد که کنترول دسترسی و تایید هویت مراحل پیچیده هستند که برای ایجاد بیشترین میزان امنیت در شبکه باید به دقت مدیریت شوند.

مزایا :

تکنولوژی های ids,ips و مدیریت اسیب پذیری تحلیل های پیچیده ای روی تهدیدهای و اسیب پذیری های شبکه انجام میدهند . در حالیکه فایروال به ترافیک بر پایه مقصد نهیی ان اجازه عبور می دهند ابزار ips و ids تجزیه و تحلیل عمیق تری را بر عهده دارند بنابراین سطح بالاتری را از امنیت را ارائه میدهند . سیستم های مدیریت اسیب پذیری روند بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت تا حدودی زیادی غیر عملی خواهد بود بعلاوه شبکه ساختار پویایی دارد . روش تابعیت امنیتی کاربران انتهایی به سازمان ها سطح بالاتری از کنترول بر روی ابزاری را میدهد که به صورت دستی کنترول کمی بر روی انها باشند .

معایب :

ids تمایل به تولید تعداد زیادی علائم هشدار غلط دارند که به عنوان false positives نیز شناخته میشوند در حالیکه ids ممکن است که یک حمله را کشف و به اطلاع شما برسانند . مدیران ids ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط از دست بدهند برای تاثیر گذاری بالا یک ids باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و اسیب پذیری های کشف شده در محیط شما تنظیم گردد . سطح خودکار ips ها میتواند میزان زیادی در میان محصولات متفاوت باشد بسیاری از انها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در ان نصب شده اند منعکس کنند .

لایه امنیت میزبان

سطح میزبان در مدل امنیت لایه بندی شده مربوط به ابزارمنفرد مانند سرورها کامپیوتر های شخصی ، سوئیچ ها ، روتر ها ، و غیره در شبکه است .
هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند میتوانند سوراخ های امنیتی نفوز پذیری ایجاد کنند . این پارامتر شامل تنظیمات رجیستری ، سرویس ها ، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزاری مهم میشود .

تکنولوژی های زیر امنیت را در سطح میزبان فراهم میکنند :

ids در سطح میزبان – ids های سطح میزبان عملیاتی مشابه ids های شبکه انجام میدهند ، تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است . Ids های سطح میزبان برای مشخصات عملیاتی بخصوص از ابزار میزبان تنظیم میگردند و بنابراین اگر به درستی مدیریت شوند درجه بالایی از مراقبت را فراهم میکنند .

va (تخمین اسیب پذیری ) سطح میزبان – ابزارهای va سطح میزبان یک ابزار شبکه مجزا را برای اسیب پذیری های امنیتی پویش میکنند . دارای دقت بالایی میباشد و از انجایی که va ها بطور مشخص برای ابزار میزبان پیکربندی میشوند .

تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر اتهایی وظیفه دوچندانی ایفا میکند و هم شبکه و هم میزبان های جداگانه را محافظت میکند . این روش ها بطور پیوسته میزبان را برای عملیات زیان رسان و الودگی ها بررسی میکنند و همچنین به نصب و به روز بودن فایروال ها و انتی ویروس ها رسیدگی میکنند .

انتی ویروس – هنگامی که انتی ویروس های مشخص شده برای ابزار در کنار انتی ویروس های شبکه استفاده میشوند لایه اضافه ای برای محافظت فراهم میکنند .

کنترول دسترسی / تصدیق هویت – ابزار کنترول دسترسی در سطح ابزار یک روش مناسب است که تضمین میکند دسترسی به ابزار تنها توسط کاربران مجاز صورت پذیرد . در اینجا احتمال سطح بالایی از تراکنش بین ابزار کنترول دسترسی شبکه و کنترول دسترسی میزبان وجود دارد .

لایه امنیت دیتا

امنیت سطح دیتا ترکیبی از سیاست امنیتی و رمزنگاری را دربر میگیرد ، رمزنگاری دیتا هنگامی که ذخیره میشود و یا در شبکه شما حرکت میکند به عنوان روشی بسیار مناسب توصیه میشود زیرا چنانچه تمام ابزارهای امنیتی دیگر از کارها بیفتد یک طرح رمزنگاری قوی دیتای مختص شما را محافظت میکند .
تکنولوژی زیر امنیت در سطح دیتا را فراهم میکند :

رمزنگاری – طرح های رمزنگاری دیتا در سطوح دیتا ، برنامه و سیستم عامل پیاده میشود . تقریبا تمام طرح ها شامل کلید های رمزنگاری / رمزگشایی هستند که تمام افرادی که به دیتا دسترسی دارند باید داشته باشند . استراتژی های رمزنگاری معمول شامل pki,pgp,rsa هستند

کنترول دسترسی / تصدیق هویت – مانند تصدیق هویت سطوح شبکه میزبان و برنامه تنها کابران مجاز دسترسی به دیتا خواهد داشت.

جمع بندی :

دفاع در مقابل تهدیدها و حملات معمول

قسمت گذشته نشان میدهد که چگونه رویکرد امنیت لایه بندی شده در مقابل تهدیدها و حملات معمول از شبکه حفاظت میکند و نشان میدهد که چگونه هر سطح با داشتن نقشی کلیدی در برقراری امنیت شبکه جامع و موثر شرکت میکند .

برخی حملات معمول شامل موار زیر می باشد :

حملات به وب سرور – حملات به وب سرور دامنه زیادی از مشکلاتی را که تقریبا برای هر وب سرور ایجاد میشود در بر میگیرد از دستکاری های ساده در صفحات گرفته تا در اختیار گرفتن سیستم از راه دور و تا حملات dos امروزه حملات به وب سرور یکی از معمول ترین حملات هستند . Code rd , nimda به عنوان حمله کنندگان به وب سرورها از شهرت زیادی برخوردارند .

بازپخش ایمیل ها بصورت نامجاز – سرورهای ایمیلی که به صورت مناسب پیکربندی نشده اند یک دلیل عمده برای ارسال هرزنامه بشمار میروند بسیاری از شرکت های هرزنامه ساز در پیدا کردن ایت سرورها و ارسال صدها و هزاران پیام هرزنامه به این سرورها متخصص هستند .

دستکاری میزبان دور در سطح سیستم – تعدادی از اسیب پذیری ها یک سیستم را از راه دور در اختیار حمله کننده قرار میدهند بیشتر ایت نوع کنترول در سطح سیستم است و به حمله کننده اختیاراتی بابر با مدیر محلی سیستم میدهد .

فراهم بودن سرویس های اینترنتی غیر مجاز – توانایی اسان بکارگیری یک وب سرور یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطلاعات را بالا میبرند اغلب چنین سرویس هایی کشف نمیشوند در حالی که در شعاع رادار دیگران قرار میگیرند .

تشخیص فعالیت ویروسی – در حالی که برنامه ضد ویروسی در تشخیص ویروس ها مهارت دارد این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده اند در این شرایط بکارگیری یک برنامه تشخیص نفوز یا ids شبکه برای تشخیص این نوع فعالیت بسیار مناسب است .

مقدمه ای بر تشخیص نفوز intrusion detection

تشخیص نفوز عبارت است از پردازه تشخیص تلاش های که جهت دسترسی غیر مجاز به یک شبکه یا کاهش کارایی ان انجام میشود .در تشخیص نفوز باید ابتدا درک صحیحی از چگونگی انجام حملات پیدا کرد .

سپس بنابر درک بدست امده روشی دو مرحله ای را برای متوقف کردن حملات حملات برگزید اول این که مطمئن شوید که الگوی عمومی فعالیتهای خطرناک تشخیص داداه شده است .

دوم اینکه اطمینان حاصل کنید که با حوادث مشخصی که در طبقه بندی مشترک حملات نمی گنجند به سرعت رفتار میشوند .
به همین دلیل است که بیشتر سیستم های تشخیص نفوز ids بر مکانیزم هایی جهت بروزرسانی نرم افزارشان متکی هستند که جهت جلوگیری از تهدیدات شبکه به اندازه کافی سریع هستند
البته تشخیص نفوز به تنهایی کافی نیست و باید مسیر حمله را تا هکر دنبال کند تا بتواند به شیوه مناسبی با وی نیز برخورد کرد .

انواع حملات شبکه ای با توجه به طریقه حمله

یک نفوذ به شبکه معمولا یک حمله قلمداد میشود . حملات شبکه ای را میتوان بسته به چگونگی انجام ان به دو گروه اصلی تقسیم کرد یک حمله شبکه ای را میتوان با هدف نفوذگر از حمله توصیف و مشخص کرد این اهداف معمولا از کار انداختن سرویس dos یا denial of service یا دسترسی غیر مجاز به منابع شبکه است .

حملات از کار انداختن سرویس

در این نوع حملات هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل میکند در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده میشود تا امکان خدمات رسانی را از ان بگیرد در واقع سرور به پاسخگویی به در خواستهای بی شمار هکر مشعول مشود و از پاسخگویی به کاربران واقعی باز می ماند .

حملات دسترسی شبکه

در این نوع از حملات نفوذگر امکان دسترسی غیر مجاز به منابع شبکه را پیدا میکند و از این امکان برای انجام فعالیتهای غیر مجاز و حتی غیر قانونی استفاده میکند .
برای مثال از شبکه به عنوان مبدا حملات DOS خود استفاده میکند تا در صورت شناسایی مبدا ، خود گرفتار نشود .

دسترسی به شبکه را میتوان به دو گروه تقسیم کرد :

دسترسی به داده – در این نوع دسترسی ، نفوذگر به داده موجود بر روی اجزا شبکه دسترسی غیر مجاز پیدا میکند . حمله کننده میتواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد . داداه های ممتاز و هم معمولا تنها در اختیار بعضی کاربران شبکه قرار میگیرند
سایرین حق دسترسی به انها را ندارند در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاغات محرمانه ندارند اما میتوان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد ، این روش تعدیل امتیاز یا PRIVILEGE ESCALATION مشهور است .

دسترسی به سیستم – این نوع حمله خطرناک تر و بدتر است و طی ان حمله کننده به منابع سیستم و دستگاها دسترسی پیدا میکند.
این دسترسی میتواند شامل اجرای برنامه ها بر روی سیستم و به کارگیری منابع ان در جهت اجرای دستورات حمله کننده باشد .

همچنین حمله کننده میتواند به تجهیزات شبکه مانند دوربین ها ، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند حملات اسب تروا ها ، BRUTE FORCE و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرم افزار نصب شده بر روی سیستم از جمله نمونه های قابل ذکر از این نوع حملات هستند

فعالیت مهمی که معمولا پیش از حملات DOS و دسترسی به شبکه انجام میشود شناسایی یا RECONNAISSANCE است . یک حمله کننده از این فاز جهت افتادن حفره های امنیتی و نقاط ضعف شبکه استفاده میکند . این کار میتواند به کمک بعضی ابزارها اماده انجام پذیرد که به بررسی پورتها رایانه های موجود بر روی شبکه میپردازد و امادگی انها را جهت انجام حملات مختلف بر روی انها بررسی میکنند .

انواع حملات شبکه ای با توجه به حمله کننده

حملات شبکه ای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد :

1 – حملات انجام شده توسط کاربر مورد اعتماد – داخلی - : این حمله یکی از مهمترین و خطرناکترین نوع حملات است ، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاست های امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمیکنند .

2 – حملات انجام شده توسط افراد غیر معتمد – خارجی - : این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار می دهد . این افراد معمولا سخت ترین راه را در پیش دارند زیرا بیشتر سیاست های امنیتی درباره این افراد تنظیم شده اند .

3 – حملات انجام شده توسط هکرهای بی تجربه : بسیاری از ابزارهای حمله و نفوز بر روی اینترنت وجود دارند . در واقع بسیاری از افراد میتوانند بدون تجربه خاصی و تنها با اتفاده از ابزارهای اماده برای شبکه ایجاد مشکل کنند .

4 – حملات انجام شده توسط کاربران مجرب : هکرهای باتجربه و حرفه ای در نوشتن انواع کدهای مخرب متبحرند . انها از شبکه و پروتکل های ان و همچنین از انواع سیستم های عمل اگاهی کامل دارند معمولا این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار گرفته میشود انها معمولا پیش از هر حمله اگاهی کافی درباره قربانی خود کسب میکنند .

5 پردازش تشخیص نفوز – تا بحال با انواع حملات اشنا شدیم . حالا باید چگونگی شناسایی حملات و جلوگیری از انها را بشناسیم .

امروزه دو روش اصلی برای تشخیص نفوز به شبکه ها مورد استفاده قرار میگیرد :

ids مبتنی بر خلاف قاعده اماری

ids مبتنی بر امضا یا تطبیق الگو

روش اول مبتنی بر تعیین استانه انواع فعالیت ها بر روی شبکه است مثلا چند بار یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان host اجرا میشود لذا در صورت بروز یک نفوذ امکان تشخیص ان به علت خلاف معمول بودن ان وجود دارد اما بسیاری از حملات به گونه است که نمیتوان براحتی یا با کمک این روش انها را تشخیص داد .

در واقع روشی که در بیشتر سیستمها تشخیص نفوذ به کار گرفته میشود ids مبتنی بر امضا یا تطبیق الگو است منظور از امضا مجموعه قواعدی است که یک حمله در حال انجام را تشخیص میدهد . دستگاهی که قرار است نفوذ را تشخیص دهد با مجموعه ای از قواعد بارگزاری میشود هر امضا دارای اطلاعاتی است که نشان میدهد در داده های در حال عبور باید به دنبال چه فعالیتهایی گشت .

هرگاه ترافیک در حال عبور با الگوی موجود در امضا تطبیق کند ، پیغام اخطار تولید میشود و مدیر شبکه را از وقوع یک نفوذ اگاه میکند در بسیاری از موارد ids علاوه بر اگاه کردن مدیر شبکه با کمک فایروال و انجام عملیات کنترول دسترسی با نفوذ بیشتر مقابله میکند .

مقایسه تشخیص نفوذ و پیش گیری از نفوذ

intrusion prevention

ایده پیش گیری از نفوذ این است کخ تمام حملات علیه هر بخش از محیط محافظت شده توسط روشهای به کار گرفته شده ناکام بماند . این روش میتوانند تمام بسته های شبکه را بگیرد و نیت انها را مشخص کند – ایا هرکدام یک حمله هستند یا یک استفاده قانونی – سپس عمل مناسب را انجام دهند .

تفاوت شکلی تشخیص با پیش گیری

در ضاهر روشهای تشخیص نفوذ و پیشگیری از نفوذ رقیب هستند به هر حال انها لیست بالایی از عملکردهای مشابه مانند بررسی بسته داده تحلیل با توجه به حفظ وضعیت ، گرداوری بخش های tcp ، ارزیابی پروتکل و تطبیق امضا دارند . اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت و در این دو روش به کار گرفته میشود .

یک ips intrusion prevention system یا سیستم پیش گیری مانند یک محافظ امنیتی در مداخل یک اجتماع اختصاصی عمل میکند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پپیش تعیین شده اجازه عبور میدهد .

یک ids intrusion detection system یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل میکند که فعالیت ها را به نمایش میگذارد و دنبال موقعیت های غیر عادی میگردد . بدون توجه به قدرت امنیت در مداخل گشت زنها به کار خود در سیستم ادامه میدهند و بررسی های خود را انجام میدهند .

تشخیص نفوذ

هدف از تشخیص نفوذ بررسی و ارائه گزارش از فعالیت های شبکه است . این سیستم روی بسته های داده که از ابزار کنترول دسترسی عبور کرده اند عمل میکند . به دلیل وجود محدویت های اطمینان پذیری تهدید های داخلی و وجود شک و تردید مورد نیاز پیش گیری از نفوز باید به بعضی از موارد مشک.ک به حمله اجازه عبور میدهد تا احتمال تشخیص های غلط positive false کاهش یابد . از طرف دیگر روش ها IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه نفوز ها و سو استفاده بهره میگیرد یک IDS معمولا به گونه ای از پهنای باند استفاده میکند که میتواند بدون تاثیر گذاشتن روی معماری محاسباتی و شبکه های به کار خود ادامه دهد طبیعت منفعل IDS ان چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته های را ایجاد میکند همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار میدهد :

1. حملات شناخته شده از طریق امظا ها و قوانین
2. تغییرات در حجم و جهت ترافیک با ایتفاده از قواین پچیدده و تحلیل اماری
3. تغییرات الگوی ترافیک ارتباطی با اتفاده از تحلیل جریان
4. تشخیص فعالیت های غیر عادی با استفاده از تحلیل انحراف معیار
5. تشخیص فعالیت مشکوک با استفاده از تکنیک های اماری تحلیل جریان و تشخیص خلاف قاعده

بعضی از حملات تا در درجه ای از یقین بسختی قابل تشخیص هستند و بیشتر انها میتوانند توسط روش های که دارای طبیعت غیر قطغی هستند تشخیص داداه شوند . یعین این روش برای تصمیم گیری مسدود سازی بر اساس سیاست مناسب نیستند

پیش گیری از نفوز

چنانچه قبلا ذکر کردیم روش های پیش از نفوز به منظور محافظت از دارایی ها منابع ، داداه و شبکه ها استفاده میشود انتظار اصلی از انها این است که خطر حمله را با حذف ترافیک مضر شبکه کاهش دهند در حالیکه به فعالیت صحیح اجازه ادامه کار میدهد هدف نهایی یک سیستم کامل است یعنی نه تشخیص غلط حمله که از بازدهی شبکه میکاهد و نه عدم تشخیص حمله FALSE NEGATIVE که باعث ریسک بیمورد در محیط شبکه شود .

شاید یک نقش اساسی تر نیاز به مطمئن بودن است یعنی فعالیت به روش مورد نیاز تحت هر شرایطی به منظور حصول این منظور به روش های ISP باید طبیعت قطعی DETERMINISTIC داشته باشند

قابلیت های قطعی اطمینان مورد نیاز برای تصمیم گیری های سخت افزاری را ایجاد کند به این معنی که روش های پیش گیری از نفوز برای سروکار داشتن با موارد زیر ایده ال هستند :

برنامه های نا خواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های اختصاصی با استفاده از از قوانین قطعی و لیست های کنترول دسترسی

بسته ای دیتای متعلق به حمله با استفاده از *****های بسته های داده ای سرعت بالا

سو استفاده از پروتکل های و دستکاری پروتکل های شبکه با استفاده از بازسازی هوشمند

حملات DOS و DDOS مانند ظغیان ICMP /SYN با استفاده از الگوریتم های فلترینگ بر پایه حد استانه

سو ایتفاده از برنامه های و دستکاری های پروتکل – حملات شناخته شده و شناخته نشده علیه SMTP / DNS / FTP / HTTP و غیره با استفده از قواین پروتکل برنامه و امظا ها

بار اظافی برنامه با استفاده از ایجاد محدویت های مصرف منابع

تمام این حملات و وضعیت های و اسیب پذیری اکه به انها اجازه وقوع مبدهد به خوبی مستند سازی اند و به علاوه انحراف از پروتکل های ارتباطی از لایه های شبکه تا لایه برنامه جایگاهی در هیچ ترافیک صحیح ندارد

نتیجه نهایی

تفاوت های بین IDS , IPS به فلسفه جبرگرایی می انجامد یعنی IDS میتواند از روش های غیر منظقی برای استنباط هر نوع تهدید یا تهدید بالقوه از ترافیک موجود استفاده کند . این شامل انجام تحیلی های اماری از حجم ترافیک الگوهای ترافیک و فعالیت های غیر عادی میشود IDS به درد افرادی میخورد که واقعا میخواهند بدانند چه چیزی در شبکه شان در حال رخ دادان است

از طرف دیگر IPS باید در تمام تصمیمات برای انجام وظیفه اش در پالاش ترافیک قطعیت داشته باشد از یک ابزار IPS انتظار میرود که در تمام مدت کار کند و در مورد کنترول دسترسی تصمیم گیری کند . فایروال ها اولین رویکرد قطعی را برای کنترول دسترسی درشبکه ها با ایجاد قابلیت اولیه IPS فراهم میکنند . ابزارهای IPS قابلیت نسل بعد را به این فایروال ها اظافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای کنترول دسترسی مشارکت دارند .

حملات DOS

شاید تا حالا شنیده باشید که یک وب سایت مورد تهاجمی از نوع DOS قرار گرفته است این نوع از حملات صرفا متوجه وب سایت ها نبوده و ممکن است شما قربانی بعدی باشد . تشکیل حملات DOS از طریق عملیات متداول شبکه امری مشکل است ولی با مشاهده برخی علائم در یک شبکه و یا کامپیوتر میتوان از میزان پیشرفت این نوع از حملات اگاهی یافت

حملات از نوع DOS DENIAL – OF – SERVICE

در این تهاجم از نوع DOS یک مهاجم باعث ممانعت دستیابی کاربران تائید نشده و به اطلاعات و یا سرویس های خاصی مینماید . یک مهاجم با هدف قرار دادن کامپیوتر شما و اتصال شبکه ای انها و یا کامپیوتر ها و شبکه ای از سایت هائی که شما قصد استفاده از انها را دارید باعث سلب دستیابی شما به سایت های EMAIL ، وب سایت ها ، ACCOUNT های ONLINE و سایر سرویس های ارائه شده بر روی کامپیوترهای سرویس دهنده میگردد

متداول ترین و مشهور ترین نوع حملات DOS زمانی محقق مییگردد که یک مهاجم اقدام به ایجاد یک سیلاب اطلاعاتی در یک شبکه نماید زمانی که شما ادرس URL یک وب سایت خاص را را از طریق مرورگر خود تایپ میکنید درخواست شما برای سرویس دهنده ارسال میگردد . سرویس دهنده در هر لحظه قادر به پاسخگویی به حجم محدودی از درخواست ها میباشد بنابراین اگر یک مهاجم با ارسال درخواستهای متعدد و سیلاب گونه باعث افزایش حجم عملیات سرویس دهنده گردد قطعا امکان پردازش درخواست شما برای سرویس دهنده وجود نخواهد داشت حملات فوق از نوع DOS میباشد چراکه امکان دستیابی شما به سایت مورد نظر سلب شده است

یک مهاجم میتواند با ارسال پیام های الکترونیکی ناخواسته که از انان با نام SPAM یاد میشود حملات مشابهی را متوجه سرویس دهنده پست الکترونیکی نماید . هر ACCOUNT پست الترونیکی دارای ظرفیت محدودی میباشند پس از تکمیل ظرفیت فوق عملا امکان ارسال EMAIL دیگری به ACCOUNT فوق وجود نخواهد داشت . مهاجمان با ارسال نامه های الکترونیکی ناخواسته سعی مینمایند که ظرفیط ACCOUNT مورد نظر را تکمیل و عملا امکان دریافت EMAIL های معتبر ACCOUNT فوق سلب میشود .

حملات از نوع (DDOS ( DISTRIBUTED DENIAL – OF – SERVICE

در این تهاجم از نوع DDOS یک تهاجم ممکن است از کامپیوتر شما برای تهاجم بر علیه کامپیوتر دیگری استفاده نماید . مهاجمان با استفاده از نقاط اسیپ پذیر و یا ضعف امینتی موجود بر روی سیستم شما میتواند کنترول کامپیوتر شما را بدست گرفته و در ادامه از ان به منظور انجام عملیات مخرب خود استفاده نماییند . ارسال حجم بسیار بالائی داداه از طریق کامپیوتر شما برای یک وب سایت و یا ارسال نامه های الکترونیکی ناخواسته برای ادرس های EMAIL خاصی نمونه هائی از همکارای کامپیوتر در بروز یک تهاجم DDOS میباشد حملات فوق توزیع شده میباشد چراکه مهاجم از چندین کامپیوتر به منظور اجرای یک تهاجم DOS استفاده مینمایند .

نحوه پیشگیری از حملات

متاسفانه روش موثری به منظور پیشگیری در مقابل یک تهاجم DOS و یا DDOS وجود ندارد علیرغم موضوع فوق میتوان با رعایت برخی نکات و انجام عملیات پیشگیری احتمال بروز چنین حملاتی ( استفاده از کامپیوتر شما برای تهاجم بر علیه سایر کامپیوتر ها ) را کاهش داد .
نصب و نگهداری نرم افزار انتی ویروس
نصب و پیکربندی یک فایروال
تبعیت از مجموعه سیاست های خاصی در خصوص توزیع و ارائه ادرس EMAIL خود به دیگران

چگونه از وقوع حملات DOS و یا DDOS اگاه شویم ؟

خرابی و یا بروز اشکال در یک سیستم شبکه همواره بدلیل بروز یک تهاجم DOS نمیباشد در این رابطه ممکن است دلایل متعددی فنی وجود داشته و یا مدیر شبکه به منظور انجام عملیات نگهداری موقتا برخی سرویس ها را غیر فعال کرده باشد .

وجود و یا مشاهده علائم زیر میتواند نشان دهنده بروز یک تهاجم از نوع DOS و یا DDOS باشد :

کاهش سرعت و یا کارائی شبکه بطرز غیر معمول ( در زمان باز نمودن فایل ها و یا دستیابی به وب سایتها )
عدم در دسترس بودن یک سایت خاص ( بدون دلیل فنی )
عدم امکان دستیابی به هر سایتی ( بدون وجود دلیل فنی )
افزایش محسوس حجم نامه های الکترونیکی ناخواسته دریافتی

در صورت بروز یک تهاجم چه عملیاتی را میبایست انجام داد؟

حتی در صورتی که شما قادر به شناسائی حملات از نوع DOS و یا DDOS باشید امکان شناسائی مقصد و یا منبع واقعی تهاجم وجود نخواهد داشت در این رابطه لازم است با کارشناسان فنی ماهر تماس گرفته تا انان موضوع را بررسی و برای ان راهکار مناسب ارائه نماید .

در صورتی که برای شما مسلم شده است که نمیتوانید به برخی از فایل های خود و یا هر وب سایتی خارج از شبکه خود دستیابی داشته باشد بلافاصله با مدیران شبکه تماس گرفته و موضوع را به اطلاع انها برسانید ، وضعیت فوق میتواند نشان دهنده بروز یک تهاجم برعلیه کامپیوتر یا سازمان شما باشد

در صورتی که وضعیت مشابه انچه اشاره گردید را در خصوص کامپیوترهای موجود در منازل مشاهده می نمائید با مرکز ارائه دهنده خدمات اینترنت isp تماس گرفته و موضوع را به طالاع ان برسانید . isp مورد نظر میتواند توصیه های لازم به منظور انجام عملیات مناسب را در اختیار شما قرار دهد .

عدم پذیرش سرویس :

قصد داریم تا طی چند قسمت با نوعی از حمله به نام dos اشنا شویم که مخفف عبارت denial of service یا عدم پذیرش سرویس میباشد . همانطور که در روش های معمول حمله به کامپیوتر ها اشاره مختصری شد این نوع حمله باعث از کارافتادن یا مشغول شدن بیش از اندازه کامپیوتر میشود تا حدی که غیر قابل استفاده شود در بیشتر موارد حفره های امنیتی محل انجام این حملات است که لذا نصب اخرین وصله های امنیتی از حمله جلوگیری میکند .

علاوه بر اینکه کامپیوتر شما هدف یک حمله dos قرار میگیرد ممکن است که در حمله dos علیه یک سیستم دیگر نیز شرکت داده شود . نفوزگران با ایجاد ترافیک بی مورد و بی استفاده باعث میشود که حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بی مورد شود و این تقاضا تا جایی که دستگاه سرویس دهنده را به زانو در اورد ادامه پیدا میکند . نیت اولیه و تاثیر حملات dos جلوگیری از استفاده صحیح از منابع کامپیوتری و شبکه ای و از بین بردن این منابع است .

علیرغم تلاش و منابعی که برای ایمن سازی علیه نفوز و خرابکاری مصرف گشته است سیستم های متصل به اینترنت با تهدیدی واقعی و مداوم به نام حملات dos مواجه هستند این امر بدلیل دو مشخصه اساسی اینترنت است :

منابع تشکیل دهنده اینترنت به نوعی محدود و مصرف شدنی هستند .

زیر ساخت سیستم ها و شبکه های بهم متصل که اینترنت را میسازد کاملا از منابع محدود تشکیل شده است . پهنای باند قدرت پردازش و ظرفیت های ذخیره سازی همگی محدود و هدف های معمول dos هستند مهاجمان با انجام این حملات سعی میکنند با مصرف کردن مقدار قابل توجهی از منابع در دسترس باعث قطع میزانی از سرویس ها میشود . وفور منابعی که به درستی طراحی و استفاده شده اند ممکن است عاملی برای کاهش میزان تاثیر یک حمله dos باشد اما شیوه های و ابزار امروزی حمله حتی در کارکرد فروان ترین منابع نیز اختلال ایجاد میکند .

امنیت اینترنت تا حد زیادی وابسته به تمام عوامل است .

حملات dos مهمولا از یک یا چند نقطه که از دید سیستم یا شبکه قربانی عامل بیرونی هستند صورت میگیرد در بسیاری موارد نقطه اغاز حمله شامل یک یا چند سیستم است که از طریق سو استفاده امنیتی را در اختیار یک نفوزگر قرار میگیرد و لذا حملات از سیستم یا سیستم های خود نفوزگر صورت نمیگیرد . بنابراین دفاع برعلیه نفوز نه تنها به حفاظت از اموال مرتبط با اینترنت کمک میکند بلکه به جلوگیری از استفاده از این اموال برای حمله به سایر شبکه ها و سیستم ها نیز کمک میکند . پس بدون توجه به اینکه سیستم هایتان به چه میزان محافظت میشوند قرار گرفتن در معرض بسیاری از انواع حملات و مشخصا dos به وضعیت امنیتی در سایر قسمت های اینترنت بستگی دارد .

مقابله با حملات dos تنها یک بحث عملی نیست . محدود میزان تقاضا ***** کردن بسته ای و دستکاری پارامترهای نرم افزاری در بعضی موارد میتواند به محدود کردن اثر حملات dos کمک کند اما بشرطی که حمله Dos در حال مصرف کردن تمام منابع موجود نباشد . در بسیاری از موارد تنها میتوان یک دفاع واکنشی داشت و این در صورتی است که منبع یا منبع حمله مشخص شوند . استفاده از جعل ادرس ip در طول حمله و ظهور روش های حمله توزیع شده و ابزارهای موجود یک چالش همیشگی را در مقابل کسانی که باید به حملات dos پاشخ دهند قرار داده است .

تکنولوژی حملات dos اولیه شامل ابزارهای ساده بود که بسته ها را تولید و از یک منبع به یک مقصد ارسال میکرد . با گذشت زمان ابزار تا حد اجرای حملات از یک منبع به چندین هدف از چندین منبع به هدف های تنها و چندین منبع و چندین هدف پیشرفت کرده اند .

امروزه بیشترین حملات گزارش شده به CERT/CC مبنی بر ارسال های تعداد بسیار زیادی بسته به یک مقصد است که باعث ایجاد نقاط انتهایی بسیار زیاد و مصرف پهنای باند شبکه میشود . از چندین حملاتی معمولا به عنوان حملات طغیان بسته packet flooding یاد میشود . اما در مورد حمله به چندین هدف گزارش کمتری دریافت شده است . انواع بسته ها packets مورد استفاده برای حملات طغیان بسته در طول زمان تغییر کرده است اما چندیدن نوع بسته معمول وجود دارند که هنوز توسط ابزار حمله dos استفاده میکند .

طغیان های TCP : رشته ای از بسته های tcp با پرچم های flag متفاوت به ادرس ip قربانی فرستاده میشوند . پرچم های RST , ACK , SYN بیشتر استفاده میشوند .

طغیان های تقاضا / پاسخ ICMP : مانند طغیان های PING رشته ای از بسته های ICMP به ادرس IP قربانی میشود .

طغیان های UDP : رشته ای از بسته های UDP به ادرس IP قربانی ارسال میشود .

عدم پذیرش سرویس – انواع حملات

در قسمت قبلی با حمله DOS اشنا شدیم . از انجا که حملات طغیان بسته های دیتا معمولا تلاش میکنند منابع پهنای باند و پردازش را خلع سلاح کنند ، میزان بسته ها و حجم دیتای متناظر با رشته های بسته ها عواملی مهمی در تغیین درجه موفقیت حمله هستند .

بعضی از ابزارهای حمله خواص بسته ها را در رشته بسته ها بدلایلی تغییر میدهند :

ادرس IP منبع – در بعضی موارد یک ادرس IP منبع نا صحیح روشی که جعل IP نامیده میشود برای پنهان کردن منبع واقعی یک رشته بسته استفاده میشود در موارد دیگر جعل IP هنگامی استفاده میشود که رشته های بسته به یک یا تعداد بیشتری از سایت های واسطه فرستاده میشود تا باعث شود که پاسخ ها به سمت قربانی ارسال شود . مثال بعدی در مورد حملات افزایش بسته است مانند SMURF , FRAGGLE
پورتهای منبع / مقصد – ابزار حمله طغیان بسته بر اساس TCP , UDP گاهی اوقات پورت منبع و یا مقصد را تغییر میدهند تا واکنشی توسط ***** کردن بسته را مشکل تر کنند .

مقادیر IP HEADER دیگر – در نهایت در ابزار حمله DOS مشاهده کرده ایم که برای مقدار دهی تصادفی مقادیر HEADER هر بسته در رشته بسته طراحی شده اند که تنها ادرس IP مقصد است که بین بسته ها ثابت میماند .

بسته ها با خواص ساختگی بسادگی در صوال شبکه تولید و ارسال میشود . پروتکل TCP/IP با اسانی مکانیزم های برای تضمین پیوستگی خواص بسته ها در هنگام تولید و یا ارسال نقطه به نقطه بسته ها ارائه نمیکند . معمولا یک نفوذگر فقط به داشتن اختیار کافی روی سیستم برای بکار گیری ابزار و حملاتی که قادر به تولید و ارسال بسته های با خواص تغییر یافته باشند نیاز دارد . ژوئن 1999 اغاز بکار گیری ابزار DOS با چندین منبع یا DDOS بود .

روش های حمله DOS

Fraggle or Smurf

حملات SMURF یکی از مخرب ترین حملات DOS هستند . در حمله SMURF حمله بر اساس ازدیاد بسته های ICMP نفوزگر یک تقاضای اکوی ICMP (PING) به یک ادرس ناحیه میفرستد . ادرس منبع تقاضای اکو ادرس IP قربانی است ( از ادرس IP قربانی بعنوان ادرس برگشت استفاده میشود ) بعد از دریافت تقاضای اکو تمام ماشین های ناحیه پاسخ های اکو را به ادرس IP قربانی میفرستد . در این حالت قربانی هنگام دریافت طغیان بسته های با اندازه بزرگ از تعداد زیادی ماشین از کار خواهد افتاد .

حمله SMURF برای ازکار انداختن منابع شبکه سیستم قربانی ازروش مصرف پهنای باند استفاده میکند . این حمله این عمل را با استفاده از تقویت پهنای باند نفوزگران انجام میدهد . اگر شبکه تقویت کننده 100 ماشین دارد سیگنال میتواند 100 برابر شود و بنابراین حمله کننده با پهنای باند پایین ( مانند مودم 56 کیلوبایتی ) میتواند سیستم قربانی را با پهنای باند بیشتری مانند اتصال T1 از کار بندازد .

حمله FRAGGLE تقویت بسته UDP در حقیقت شباهت هایی به حمله SMURF دارد . حمله FRAGGLE از بسته های اکوی UDF بر طبق همان روش بسته های اکوی ICMP در حمله SMURF استفاده میکند . FRAGGLE معمولا به ضریب تقویت کمتری نسبت به SMURF میرد و در بیشتر شبکه های اکوی UDP سرویسی با اهمیت کمتری نسبت به اکوی ICMP است بنابراین FRAGGLE عمومیت SMURF را ندارد .

SYN Flood

حمله طغیان SYN قبل از کشف حمله SMURF بعنوان مخرب ترین شیوه حمله DOS بشمار میرفت . این روش برای ایجاد حمله DOS بر اساس قحطی منابع عمل میکند .
در طول برقراری یک ارتباط معمولی TCP سرویس گیرنده یک تقاضای SYN به سرویس دهنده میفرستد سپس سرور با یک ACK/SYN با کلاینت پاسخ میدهد در نهایت کلاینت یک ACK نهایی را به سرور ارسال میکند و این ترتیب ارتباط برقرار میشود .

اما در حمله ظغیان SYN حمله کننده چند تقاضای SYN به سرور قربانی با ادرس های منبع جعلی بعنوان ادرس برگشت میفرستد . ادرس های جعلی روی شبکه وجود ندارد سرور قربانی سپس با ACK/SYN به ادرس های ناموجود پاسخ میدهد . از انجا که هیچ ادرسی این ACK/SYN را دریافت نمیکند سرور قربانی منتظر ACK از طرفکلاینت میماند . ACK هرگز نمیرسد و زمان انتظار سرور قربانی پس از مدتی پایان میرسد . اگر حمله کننده به اندازه کافی مرتب تقاضاهای SYN بفرستد منابع موجود سرور قربانی برای برقراری یک اتصال و انتظار برای این ACK های در حقیقت تقلبی مصرف خواهد شد . این منابع معمولا از نظر تعداد زیاد نیست . بنابر این تقاضاهای SYN جعلی حتی با تعداد نسبتا کم میتواند باعث وقوع یک حمله DOS شوند

حملات DOS

در نسخه اولیه BIND (Berkely Internet Name Domain) حمله کنندگان میتوانند بطور موثری حافظه نهان یک سرور DNS را که در حال استفاده از عملیات بازگشت برای جستجوی یک ناحیه بود که توسط این سرور سرویس داده نمیشود مسموم کنند . زمانی که حافظه نهان مسموم میشود یک کاربر قانونی به سمت شبکه مورد نظر حمله کننده با یک شبکه نا موجود هدایت میشود . این مشکل با نسخه های جدیدتر BIND برطرف شده است . در این روش حمله کننده اطلاعات اطلاعات DNS غلط که میتواند باعث تغییر مسیر درخواست ها شود ارسال میکند .

حملات DDOS

حملات DDOS (Distributed Denial Of Service ) حمله گسترده ای از dos میباشد در اصل DdOS حمله هماهنگ شده ای بر علیه سرویس موجود در اینترنت است . در این روش حملات Dos بطور غیر مستقیم از طریق تعداد زیادی از کامپیوتر های هک شده بر روی سیستم قربانی انجام میگیرد . سرویس ها و منابع مورد حمله قربانی اولیه و کامپیوتر های مورد استفاده در این حمله قربانی های ثانویه نامیده میشود حملات DDOS عموما در از کار انداختن سایت های کمپانی های عظیم از حملات DOS موثر تر هستند

انواع حملات DDoS

عموماً حملات DDoS به سه گروه Stecheldraht و TFN/TFN2K ،Trinoo تقسيم مي شوند

Trinoo در اصل از برنامه هاي Master/Slave است که با يکديگر براي يک حمله طغيان UDP بر عليه کامپيوتر قرباني هماهنگ مي شوند. در يک روند عادي، مراحل زير براي برقراري يک شبکه Trinoo DDoS واقع مي شوند:

مرحله ۱: حمله کننده، با استفاده از يک ميزبان هک شده، ليستي از سيستم هايي را که مي توانند هک شوند، گردآوري مي کند. بيشتر اين پروسه بصورت خودکار از طريق ميزبان هک شده انجام مي گيرد. اين ميزبان اطلاعاتي شامل نحوه يافتن ساير ميزبان ها براي هک در خود نگهداري مي کند.

مرحله ۲: به محض اينکه اين ليست آماده شد، اسکريپت ها براي هک کردن و تبديل آنها به اربابان (Masters) يا شياطين (Daemons) اجراء مي شوند. يک ارباب مي تواند چند شيطان را کنترل کند. شياطين ميزبانان هک شده اي هستند که طغيان UDP اصلي را روي ماشين قرباني انجام مي دهند.

مرحله ۳: حمله DDoS هنگامي که حمله کننده فرماني به ميزبانانMaster ارسال مي کند، انجام مي گيرد. اين اربابان به هر شيطاني دستور مي دهند که حمله DoS را عليه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زيادي حمله DoS يک حمله ddos شکل میگیرد .

TFN/TFN2K

Tribal Flood Network) TFN) يا شبکه طغيان قبيله اي، مانند Trinoo در اصل يک حمله Master/Slave است که در آن براي طغيان SYN عليه سيستم قرباني هماهنگي صورت مي گيرد. شياطين TFN قادر به انجام حملات بسيار متنوع تري شامل طغيان ICMP طغيان SYN و حملات Smurf هستند، بنابراين TFN از حمله Trinoo پيچيده تر است.

TFN2K نسبت به ابزار TFN اصلي چندين برتري و پيشرفت دارد. حملات TFN2K با استفاده از جعل آدرس هاي IP اجرا مي شوند که باعث کشف مشکل تر منبع حمله مي شود. حملاتTFN2K فقط طغيان ساده مانند TFN نيستند.

آنها همچنين شامل حملاتي مي شوند که از شکاف هاي امنيتي سيستم عامل ها براي بسته هاي نامعتبر
و ناقص سوءاستفاده مي کنند تا به اين ترتيب باعث از کار افتادن سيستم هاي قرباني شوند. حمله کنندگان TFN2K ديگر نيازي به اجراي فرمان ها با وارد شدن به ماشين هاي مخدوم (Client) ( به جای Master , TFN ) ندارند و مي توانند اين فرمان ها را از راه دور اجراء کنند.

ارتباط بين Client ها و Daemon ها ديگر به پاسخ هاي اکوي ICMP محدود نمي شود و مي تواند روي واسط هاي مختلفي مانند TCP , UDP صورت گيرد. بنابراين TFN2K خطرناک تر و همچنين براي کشف کردن مشکل تر است

Stacheldraht

کد Stacheldraht بسيار شبيه به TFN و Trinoo است، اما Stacheldraht اجازه مي دهد که ارتباط بين حمله کننده و Master ها (که در اين حمله Handler ناميده مي شوند) رمزنگاري شود؛ عامل ها مي توانند کد خود را بصورت خودکار ارتقاء دهند، مي توانند اقدام به انواع مختلفي از حملات مانند طغيان هايICMP طغيان هاي UDP و طغیان های SYN کنند

عدم پذيرش سرويس ( ۳) : روش هاي مقابله

در قسمت پيش با انواع حملات DDoS و DoS آشنا شديم. در اين شماره با چند روش مقابله با حملات DDoS و DoS آشنا مي شويم.

دفاع عليه حملات Fraggle يا Smurf

اگر در معرض حمله Smurf قرار گرفته باشيد، کار چنداني از شما ساخته نيست. هرچند که اين امکان وجود دارد که بسته هاي مهاجم را در روتر خارجي مسدود کنيد، اما پهناي باند منشاء آن روتر مسدود خواهد شد. براي اينکه فراهم کننده شبکه بالاسري شما، حملات را در مبداء مله مسدود کند، به هماهنگي نياز است.

بمنظور جلوگيري از آغاز حمله از سايت خودتان، روتر خارجي را طوري پيکربندي کنيد که تمام بسته هاي خارج شونده را که آدرس مبداء متناقض با زيرشبکه شما دارند، مسدود کند. اگر بسته جعل شده نتواند خارج شود، نمي تواند آسيب چنداني برساند.

براي جلوگيري از قرار گرفتن بعنوان يک واسطه و شرکت در حمله DoS شخص ديگر، روتر خود را طوري پيکربندي کنيد که بسته هايي را که مقصدشان تمام آدرس هاي شبکه شماست، مسدود کند. يعني، به بسته هاي ICMP منتشر شده به شبکه خود، اجازه عبور از روتر ندهيد.

اين عمل به شما اجازه مي دهد که توانايي انجام ping به تمام سيستم هاي موجود در شبکه خود را حفظ کنيد، در حاليکه اجازه اين عمل را از يک سيستم بيروني بگيريد. اگر واقعاً نگران هستيد، مي توانيد سيستم هاي ميزبان خود را طوري پيکربندي کنيد که از انتشارهاي ICMP کاملاً جلوگيري کنند

دفاع عليه حملات طغيان SYN

بلاک هاي کوچک

بجاي تخصيص يک شيء از نوع ارتباط کامل (که باعث اشغال فضاي زياد و نهايتاً اشکال در حافظه مي شود)، يک رکورد کوچک (micro-record) تخصيص دهيد. پياده سازي هاي جديدتر براي SYN هاي ورودي ، تنها ۱۶ بايت تخصيص مي دهد

کوکي هاي SYN

يک دفاع جديد عليه طغيان ( SYN کوکي هاي SYN ) است. در کوکي هاي SYN هر طرف ارتباط، شماره توالي (Sequence Number) خودش را دارد. در پاسخ به يک SYN سيستم مورد حمله واقع شده، يک شماره توالي مخصوص از ارتباط ايجاد مي کند که يک « کوکي » است و سپس همه چيز را فراموش مي کند يا بعبارتي از حافظه خارج مي کند (کوکي بعنوان مشخص کننده يکتاي يک تبادل يا مذاکره استفاده مي شود). کوکي در مورد ارتباط اطلاعات لازم را در بردارد، بنابراين بعدًا مي تواند هنگامي که بسته ها از يک ارتباط سالم مي آيند، مجددًا اطلاعات فراموش شده در مورد ارتباط را ايجاد کند.


کوکي هاي RST

جايگزيني براي کوکي هايSYN است، اما ممکن است با سيستم عامل هاي ويندوز 98 که پشت فايروال قرار دارند، مشکل ايجاد کند. روش مذکور به اين ترتيب است که سرور يک ACK/SYN اشتباه به کلاينت ارسال مي کند.

کلاينت بايد يک بسته RST توليد کند تا به سرور بگويد که چيزي اشتباه است. در RST کلاينت بايد يک بسته اين نگام، سرور مي فهمد که کلاينت معتبر است و ارتباط ورودي از آن کلاينت را بطور طبيعي خواهد پذيرفت .

پشته هاي (stack) هاي TCP بمنظور کاستن از تأثير طغيان هاي SYN مي توانند دستکاري شوند. معمول ترين مثال کاستن زمان انقضاء (timeout) قبل از اين است که پشته، فضاي تخصيص داده شده به يک ارتباط را آزاد کند. تکنيک ديگر قطع بعضي از ارتباطات بصورت انتخابي است.

دفاع عليه حملات DNS

دفاع از سرور اصلي (root server)

پايگاه داده سرور اصلي کوچک است و بندرت تغيير مي کند. يک کپي کامل از پايگاه داده اصلي تهيه کنيد، روزي يک بار آپديت ها را چک کنيد و گاه و بيگاه بارگذاري هاي مجدد انجام دهيد. از سرورهاي اصلي با استفاده از آدرس هاي anycast استفاده کنيد (اين عمل باعث مي شود که سيستم ها در شبکه هاي با موقعيت هاي مختلف بعنوان يک سرور بنظر برسند.)

دفاع از سازمان تان

اگر سازمان شما يک اينترانت دارد، بايد دسترسي هاي جداگانه اي از DNS براي کاربران داخلي و مشتريان خارجي خود فراهم کنيد. اين عمل DNS داخلي را از حملات خارجي در امان نگاه مي دارد. ناحيه اصلي را کپي کنيد تا سازمان خود را از حملات DDoS آتي روي قسمت هاي اصلي محفوظ نگه داريد. همچنين به کپي کردن نواحي DNS از شرکاي تجاري خود که در خارج از شبکه شما قرار دارند، توجه کنيد. هنگامي که بروز رسان هاي DNS به روي اينترنت مي روند، مي توانند در هنگام انتقال مورد ربايش و دستکاري قرار گيرند. از TSIG ها (transaction signature) يا امضاهاي معاملاتي براي امضاي آن ها يا ارسال بروز رسان ها روي v p n (شبکه هاي خصوصي مجازي) يا ساير کانال ها استفاده کنيد.

مقابله با حملات DDoS

چگونه مي توانيد از سرورهاي خود در مقابل يورش ديتاهاي ارسالي از طرف کامپيوترهاي آلوده موجود در اينترنت مراقبت کنيد تا شبکه شرکت شما مختل نشود؟ در اينجا به چند روش بطور مختصر اشاره مي شود:

سياه چاله

اين روش تمام ترافيک را مسدود مي کند و به سمت سياه چاله! يعني جايي که بسته ها دور ريخته مي شود هدايت مي کند. اشکال در اين است که تمام ترافيک – چه خوب و چه بد- دور ريخته مي شود و در حقيقت شبکه مورد نظر صورت يک سيستم off-line قابل استفاده خواهد بود. در روش هاي اينچنين حتي اجازه دسترسي به کاربران قانوني نيز داده نمي شود.

مسيرياب ها و فايروال ها

روتر ها مي توانند طوري پيکربندي شوند که از حملات ساده ping با فيلترکردن پروتکل هاي غيرضروري جلوگيري کنند و مي توانند آدرس هاي IP نامعتبر را نيز متوقف کنند. بهرحال، روترها معمولاً در مقابل حمله جعل شده پيچيده تر و حملات در سطح Application با استفاده از آدرس هاي IP معتبر، بي تأثير هستند

سيستم هاي کشف نفوذ

روش هاي سيستم هاي کشف نفوذ (intrusion detection systems) توانايي هايي ايجاد مي کند که باعث تشخيص استفاده از پروتکل هاي معتبر بعنوان ابزار حمله مي شود. اين سيستمها مي توانند بهمراه فايروال ها بکار روند تا بتوانند بصورت خودکار در مواقع لزوم ترافيک را مسدود کنند. در بعضي مواقع سيستم تشخيص نفوذ نياز به تنظيم توسط افراد خبره امنيتي دارد و البته گاهي در تشخيص نفوذ دچار اشتباه مي شود.

سرورها

پيکربندي مناسب application هاي سرويس دهنده در به حداقل رساندن تأثير حمله DDoS تأثير بسيار مهمي دارند. يک سرپرست شبکه مي تواند بوضوح مشخص کند که يک application از چه منابعي مي تواند استفاده کند و چگونه به تقاضاهاي کلاينت ها پاسخ دهد. سرورهاي بهينه سازي شده، در ترکيب با ابزار تخفيف دهنده، مي توانند هنوز شانس ادامه ارائه سرويس را در هنگامي که مورد حمله DDoS قرار مي گيرند، داشته باشند.

ابزار تخفيف DDoS

چندين شرکت ابزارهايي توليد مي کنند که براي ضدعفوني ! کردن ترافيک يا تخفيف حملات DDoS استفاده مي شوند که اين ابزار قبلاً بيشتر براي متعادل کردن بار شبکه يا فايروالينگ استفاده مي شد. اين ابزارها سطوح مختلفي از ميزان تأثير دارند. هيچکدام کامل نيستند. بعضي ترافيک قانوني را نيز متوقف مي کنند و بعضي ترافيک غيرقانوني نيز اجازه ورود به سرور پيدا مي کنند. زيرساخت سرور هنوز بايد مقاوم تر شود تا در تشخيص ترافيک درست از نادرست بهتر عمل کند.

پهناي باند زياد

خريد يا تهيه پهناي باند زياد يا شبکه هاي افزونه براي سروکار داشتن با مواقعي که ترافيک شدت مي يابد، مي تواند براي مقابله با DDoS مؤثر باشد
عموماً، شرکت ها از قبل نمي دانند که يک حمله DDoS بوقوع خواهد پيوست. طبيعت يک حمله گاهي در ميان کار تغيير مي کند و به اين نياز دارد که شرکت بسرعت و بطور پيوسته در طي چند ساعت يا روز، واکنش نشان دهد. از آنجا که تأثير اوليه بيشتر حملات، مصرف کردن پهناي باند شبکه شماست، يک ارائه کننده سرويس هاي ميزبان روي اينترنت که بدرستي مديريت و تجهيز شده باشد، هم پهناي باند مناسب و هم ابزار لازم را در اختيار دارد تا بتواند تأثيرات يک حمله را تخفيف دهد.

1.Nessus

Nessus محبوبترین اسکنر آسیب پذیری تا سال 2005 بود، این ابزار تا آن زمان open source بود اما از سال 2005 این ويژگي با انتشار نسخه ی جدید از بين رفت. این ابزار تنها برای استفاده در شبکه*های خانگی مناسب است.

این ابزار مناسب محیط Unix می باشد و هنوز هم سرآمدترین ابزار امنیتی مناسب این محیط است.
2.Wireshark

Wireshark یک ابزار تحلیل پروتکل شبکه open source است که برای محیطهای Unix و Windows مناسب است. این ابزار این امکان را فراهم می آورد تا داده های بدست امده از یک شبکه آنلاین مورد تجزیه و تحلیل قرار بگیرد. البته می توان داده های آفلاین که بر روی دیسکها ذخیره شده ا ند را نیز با استفاده از این ابزار تحلیل کرد.ابزار Wireshark انواع پروتکلها را تحت پوشش قرار داده است و تمامی داده های شبکه را می تواند در سطح بسته های داده ای و سرآيند بسته ها تحلیل کند.
3. Snort

Snort یک ابزار کشف مداخله در شبکه و یک سیستم پیشگیری از مداخله است. این ابزار با ثبت و تحلیل ترافیک گذرنده از شبکه کار خود را انجام می دهد. Snort از طریق تحلیل پروتکل، جستجوی محتوا و پیش پردازشهای بسیار، می تواند بسیاری از کرمها، آسیب پذیریها و دیگر رفتارهای مشکوک را کشف کند. Snort از یک زبان انعطاف پذیر و مبتنی بر قاعده برای توصیف ترافیک استفاده می کند. Snort برای استفاده تمامی کاربران عادی، تجارتهای کوچک و بخشهای مختلف یک سازمان مناسب است.
4.Netcat

این ابزار داده ها را از طریق ارتباطات شبکه ای UDP و TCP می خواند و می نویسد.Netcat ابزار قابل اعتمادی است که به صورت مستقیم می تواند استفاده شود و به همراه بسیاری برنامه ها و اسکریپتهای مختلف در دسترس قرار دارد. البته Netcat یک ابزار قوی در تحلیل شبکه و رفع مشکل در شبکه هست و می تواند هر نوع ارتباط مورد نیاز را برقرار کند.
5. Metasploit Framework

Metasploit یک زيربناي open-source برای توسعه، تست و استفاده از کد افشا می باشد. اين ابزار، مدل انعطاف پذیری است که بسیاری از افشاها و آسیب پذیریهای موجود در شبکه را کشف می کند. این ابزار هم برای کشف اسیب پذیری در سیستمهای عادی و هم براي سيستم هاي سازمانی مناسب است و این امکان را در اختیار کاربران قرار می دهد تا اسیب پذیریهای مورد نظر خود را بنویسند و انها را تست كرده و درصدد رفع ان بر آیند.
6. Hping2

این ابزار بسته های ICMP، UDP و یا TCP را اسمبل می کند و انها را می فرستد و هر بسته ای را که در پاسخ آنها دریافت می شود، نمایش می دهد. همچنین اين ابزار دارای مد ردگیری مسیر بسته و تقسیم بندی بسته های IP می باشد. این نرم افزار زمانی مفید است که قصد ردیابی مسیر، ping و تحلیل میزبانها، از پشت یک فايروال وجود دارد. Hping در نگاشت و تطابق قوانین فايروال کمک می کند. این ابزار برای یادگیری بیشتر در مورد TCP/IP بسیار مناسب است.
7. Kismet

Kismet یک سیستم کشف مداخله شبکه و کشف کننده شبکه است که با گوش دادن به ترافیک آفلاین شبکه سعی در شناسایی اختلالات و آسیب پذیریهای موجود در شبکه دارد. همچنین اين ابزار، به صورت اتوماتیک می تواند ترافیک را مسدود کند و یا با استفاده از Wireshark/TCPDump آن را ثبت نماید.
8. Tcpdump

Tcpdump یک ابزار برای گوش دادن به ترافیک IP هست که کاری شبیه به Wireshark انجام می دهد با این تفاوت که این ابزار قبل از Wireshark وارد عرصه شده و از یک محیط Console استفاده مي كند.
9. Cain and Abel

کاربران Unix می توانند از این ابزار رایگان امنیتی استفاده کنند که البته برای محیط windows نیز مناسب است. کاربرد اصلی این ابزار کشف کلمات عبور از طریق گوش دادن به ترافیک شبکه است. البته اين نرم افزار، کاربردهای دیگری نیز دارد که شامل شکستن کلمات عبور رمز شده با استفاده از دیکشنری، حملات brute-force، بدست اوردن کلمات عبور ذخیره شده، مسیریابی پروتکلها و آشکار کردن بسته های مربوط به کلمات عبور مي شود.
10.John the Ripper

John the Ripper، ابزار قدرتمند، انعطاف پذیر و سریع شکننده کلمات عبور می باشد که ابتدا برای بدست اوردن کلمات عبور ضعیف در محیط Unix ساخته شد و هم اکنون در تمامی محیطها نیز کاربرد دارد.

در این ویدئو آموزشی شما با آموزش ایمن سازی سیستم های کاربران ( Client ها ),آموزش استفاده از برنامه های امنیت شبکه ,آموزش برنامه های ایمن سازی وب سایت ها ,آموزش روش های رمزنگاری داده ها ,آموزش تست نفوذ ( هک ) به شبکه سازمان و یا شرکت ,آموزش استفاده از ابزارهای کشف جرم های کامپیوتری چندین و چند مورد آموزشی دیگر آشنا خواهید شد. امیدواریم مورد پسند واقع شود .

این آموزش برای اولین بار در ایران به صورت کامل برای دانلود قرار داده شده است .

دانلود رایگان :


CD1 :

AppIN_CD1.rar

CD2 :

AppIN_CD2.rar

CD3 :

AppIN_CD3.rar


پسورد فایل فشرده : www.vatandownload.com
منبع : وطن دانلود

دیکشنری کامل از شبکه است که تمامی نکات و اصطلاحات شبکه درش اومده دارای 460 صفحه !!

این یک مقاله اموزشی بسیار کاربردی است که پیشنهدات مهمی در جهت حفظ امنیت شبکه میکند.

مقاله به زبان انگلیسی میباشد و دارای 28 صفحه است.

اموزش نحوه *****ینگ و انواع دسترسی ها رو در شبکه و اینترنت براتون قرار دادم دارای 449 صفحه!!!

1 مقاله آموزش امنیتی بسیار آموزنده...

اینم کتاب امنیت سیسکو به زبان فارسی واقعا جالبه از دست ندین.....

زبان : فارسی

تعداد صفحه : 5

حجم : 218 kb