الوسوم:
حالة الموضوع:
مغلق
  1. .:: RSS ::.

    .:: RSS ::. عضوية آلية

    الأنتساب:
    ‏9 سبتمبر 2011
    المشاركات:
    14,005
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    36
    الإقامة:
    IQ-T34M
    بسم الله الرحمن الرحيم
    كيفكم حبايبي اعضاء بيت الهكرز اليوم معانا موضوع مهم جدا وعاجبني بصراحه فحبيت تستفيدون منه مثل ماأستفت انا ...
    من الضرورى لمهندس الشبكات ان يكون ملم ببعض التقنيات و الاستراتيجيات المهمه التى تستخدم فى صد الهجمات واشهر الطرق التى من الممكن ان يتبعها للتعرف على نوع الهجمات الموجهه الى شبكته ,خلال هذا الموضوع نتعرف على عدد من هجمات الشبكه و كيف يتصرف الشخص المسئول عنها فى حاله استهداف الشبكه بهجوم معين .

    [​IMG]

    الشبكه التى سنعتمد عليها فى الشرح

    التصدى لهجمات ال Fragmentation-Based Attack

    عدد كبير من الهجمات تعتمد على عملية ال Fragmentation اى تقسيم ال Packets الى أجزاء صغيرة يتم إرسالها بشكل متتابع فيتم تجميعها مرة اخرى عند الوصول , وهناك برامج يمكنها استغلال بعض الثغرات فى هذه العمليه لتنفيذ غرض خبيث فى نظام التشغيل او حمل الجهاز الى أشياء غير محسوبه مما يؤدى الى حدوث خلل ,ويمكن ايضا استخدام ال Fragmentation بغرض اخفاء هجوم كبير يتم تنفيذه فعن طريقه يتمكن المخترق من المرور عبر انظمه الحمايه مثل ال IPS و ال IDS وبعض الجدران الناريه ,باختصار ال Fragmentation يمكن ان يؤدى الى الكثير من المشاكل و الثغرات ,مثال على اشهر الهجمات التى تعتمد على مبدأ ال Fragmentation فى تنفيذ شىء معين :

    IP fragment overlapped
    IP fragmentation buffer full
    IP fragment overrun
    IP fragment overwrite
    IP fragment too many datagrams
    IP fragment incomplete datagram
    IP fragment too small

    وبما ان الهدف من التدوينة هو طريقه الحمايه فلن اتطرق الى الحديث عن هذه الطرق , ففى حاله أنه تم اخبارك أن هناك من يعتمد على هذه الطرق لعمل هجوم و طلب منك منع ذلك فالامر بسيط كل مع عليك هو تنفيذ إحدى هذه الطرق الأتيه :

    الطريقه الاولى (عن طريق الروتر)

    R1(config)#access-list 101 deny ip any any fragments
    R1(config)#access-list 101 permit ip any any
    R1(config)#interface f0/1
    R1(config-if)#ip access-group 101 in

    عن طريق الاوامر السابقة تم إنشاء ACL تقوم بمنع أى fragment من المرور عن طريق ال keyword التى اضفناها فى نهايه الامر fragments وهى تقوم بعمل match لل Non Initial Fragments ولكن ما الفرق بين ال Initial fragment وال Non Initial fragments ؟

    ال Initial fragments هى التى تحتوى على كل القيم المطلوبه والمهمه فى ال Headers , فهى تحتوى على Layer 3 &4 Information وبهذا يمكن لل ACL العاديه التعرف عليها .
    ال Non Intial fragments هى التى لا تحتوى على معلومات كافيه فى ال Header وفى الغالب لا تحتوى على اى معلومات خاصه ب Layer 4 , لذلك لا يمكن لل ACL العاديه التعرف عليها الا عن طريق كلمه fragments .

    الطريقه الثانيه (عن طريق الروتر)

    R4(config)#int fa0/1
    R4(config-if)#ip virtual-reassembly drop-fragments

    هذه الطريقه تعتمد على خاصيه تسمى Virtual-reassembly , وظيفة هذه الخاصية فى الأصل أنها تقوم بتجميع كل ال Fragments على شكل Packet واحدة وتعيدها إلى شكلها الأصلى فيستطيع ال Router عمل Inspect لها وفحصها فى حالة اذا كان الروتر يعمل كجدار نارى ,ولكننا هنا استخدمنا هذه الخاصيه لمنع ال Fragments بشكل نهائى من المرور.

    الطريقه الثالثه (عن طريق ASA)

    ASA(config)# fragment chain 1 outside Fragment

    الامر السابق يقوم بتحديد اقصى عدد من ال Fragment يمكن السماح به لل Packet الواحدة , وبما اننا قمنا بجعل هذه القيمه تساوى 1 فيما معناه “لا تسمح بمرور اكثر من Fragment واحدة لكل Packet” أى أننا بهذا قمنا بمنع ال Fragmentation من الأساس .

    التصدى لهجمات IP Options-Based Attack

    فى كل IP Header يكون هناك جزء خاص بال IP options ويكون بعد ال Destination IP address , وهذه صوره لل Header للتوضيح

    [​IMG]

    فى اغلب الأحيان يكون هذا الجزء فارغ فهو يستخدم فى حالات قليله مثل رسائل ال BGP التى تستخدم IP option 19 , لكن هناك بعض الاستخدامات الخبيثة فى هذه الجزئيه تمكن المخرب من عمل Spoof واشياء أخرى يمكنك التعرف عليها أكثر بالبحث اذا أردت , ولمنع حدوث ذلك يمكنك استخدام الطريقة التالية :
    R1(config)#ip options drop

    هذا الامر يقوم بعمل Drop لهذا ال Traffic .

    التصدى لهجمات الاستطلاع Reconnaissance

    أى عمليه اختراق منظمة تبدأ بهذه الخطوة ,و هى تساعد فى معرفة معلومات عن الشبكه مثل نطاق العناوين المستخدم والمنافذ المفتوحه الخ.. من هذه الامور ,من أشهر البرامج التى تقوم بهذه العمليه البرنامج الشهير nmap , اذا كنت تشك ان هناك من يقوم باستطلاع شبكتك فأدخل هذا الامر فى ال ASA

    ASA(config)# threat-detection scanning-threat shun duration 1800

    خاصيه Threat-detection هى خاصيه مهمه فى ال ASA لها استخدامات عديدة , ولا يقتصر هذا الأمر على التعرف على هجمات الاستطلاع فقط , بل يقوم بعمل block لأى جهاز يصدر منه هذا النشاط لمده معينة من الثوانى تقوم بتحديدها .

    ملحوظة مهمة للحماية من هجمات الاستطلاع وهى ألا تسمح بأكثر من ما تحتاجه الشبكه للعمل ,فاذا سمحت بأكثر من ذلك ستجد الباب مفتوح للعديد من الهجمات , فمثلا إذا كان عندك ويب سيرفر تسمح لأى شخص من الانترنت بالولوج اليه ,فلا تستخدم ال ACL على الانترفيس المواجه للانترنت بهذه الطريقة

    access-list 101 permit tcp any any eq 80

    بل اجعلها بهذه الطريقة لانها الأفضل من منظور تحديد الصلاحيات وتقيدها

    access-list 101 permit tcp any SERVER-IP eq 80

    التصدى لهجمات التزوير IP Spoofing

    فى الغالب يلجأ المخربين الى تزوير عناوين ال IP الخاصة بهم سواء من أجل التخفى أو أى غرض اخر , ومن مبادىء الحماية ان لا تسمح مطلقا بأى عنوان ضمن RFC1819 بالدخول إلى شبكتك عن طريق الانترنت , لان هذه العناوين خاصه بال Private Host لذلك اذا كان مصدرها ال Outside فحتما ولابد انها عناوين غير حقيقية , لذلك يفضل ان يكون الانترفيس المواجه للانترنت عليه ACL بهذا الشكل

    R1(config)#access-list 101 deny ip 192.168.0.0 0.0.255.255 any
    R1(config)#access-list 101 deny ip 172.16.0.0 0.15.255.255 any
    R1(config)#access-list 101 deny ip 10.0.0.0 0.255.255.255 any
    R1(config)#access-list 101 permit ip any any​
    والسلام عليكم ورحمه الله وبركاته
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة