SRE در آسا (کارگزاری آگاه) ! / دانشجوی کارشناسی ارشد نرمافزار / علاقهمند به چالش، یادگیری و یاد دادن!
پروازی بر دنیای امنیت شبکه (قسمت چهارم) – شناسایی تهدیدات (2)
با سلام و عرض خسته نباشید دوباره ، خدمت تمام نتورکباز های عزیز ! بدون مقدمه میپردازیم به ادامه مبحث پست قبلی، یعنی شناسایی تهدیدات. بامن همراه باشید...
ـ Attack Vectors: این روزها میبایستی مطلع باشیم که حملات فقط از طریق یکسری اشخاص خاص در خارج از کمپانی شما اجرا و انجام نمیشوند و حتی خود کاربران و دستگاههای داخل کمپانی(که دارای دسترسی های مجاز و قانونی میباشند) هم میتوانند مجری حملات باشند.
یکی نگرانی هایی که امروزه کمپانیها و ارگانها با آن سروکار دارند، مواردی میباشند که به کارمندهای خود ، اجازه همراه آوردن دستگاه دیجیتال شخصی (مانند لپتاپ ، تبلت ، تلفنهوشمند و...) را میدهند و بدون هیچ سختگیری ای به آنها اجازه دسترسی به شبکه اصلی را میدهند که در نتیجه ،برای آنها دسترسی به دیوایسها، اپلیکیشنها و دادهها میسر میشود. راهکارهایی جهت امن سازی شبکه از خطرات احتمالی در اینگونه موقعیت ها وجود دارد که انشاالله در آینده درمورد مبحثی با نام BYOD یا همان Bring your own device صحبت خواهیم کرد و این موضوع را مورد بررسی قرار میدهیم.
ممکن از کارمند شما کمی کنجکاو باشد ویا حتی بدون اطلاعش، Backdoorـی بروی سیستم اش نصب شده باشد، به هرحال ضرری ندارد که یکسری Security Policy های ساده ای را جهت کاهشریسک، پیادهسازی کنید.
شما میتوانید براحتی Security Policy های گوناگونی را برای شبکه ی خود پیاده سازی کنید، مانند راهکارهای authenticationـه کاربران قبل از آنکه اجازه ی دسترسی کامپیوتر آنها به شبکه شما داده شود(که این مورد توسط ویژگی 802.1x امکان پذیر میباشد).
به این معنی که کامپیوتر کاربر شما، میبایستی یکسری روال Profiling را طی کند و سپس درصورت تایید ، اجازه ی دسترسی او به شبکه داده شود.شما میتوانید از سیستم های NAC (که خلاصه شده Network Admission Controlمیباشد) ویا ISE (که خلاصه شده Identity Service Engine میباشد) برای پیاده سازی اینگونه Policy ها استفاده کنید. همچنین میتوان از یکسری راهکار های ساده ی دیگر مانند Port Security و... هم استفاده کنید.
حملات Man-in-the-Middle(حملات شخص میانی): این مورد را میتوان گفت که تقریبا یک نوع و یک تکنیک میباشد که شامل زیرمجموعه های بسیاری است. یک حملهی Man in the Middle (به اختصار MITM) زمانی اتفاق میافتد که یک Attacker(حملهکننده) در میان دو دستگاه که درحال تبادل اطلاعات میباشند قرار بگیرد و قدرت مشاهده و دستکاری داده های درحال گذر را داشته باشد. این حمله میتواند هم در لایه 3 و هم در لایه 2 اتفاق بیافتد و انجام شود. هدف اصلی استراق سمع و مشاهده تمام ترافیک درحال عبور میباشد.
اگر قرار باشد که این حمله در لایه 2 اتفاق بیافتد ؛ حملهکننده مک آدرس های لایه دوم را Spoof(گمراه) میکند و کاری میکند که دستگاه های داخل شبکه باور کنند که MAC Addressـه حملهکننده ، MAC Addressـه Default Gateway آنها (مثلا سوئیچ) میباشد.به ان حمله ARP Poisoning میگویند. Frame هایی که از آنها انتطار میرود که به سمت Default Gateway بروند ، از طریق سوئیچ به سمت Attacker فوروارد میشوند و از آنطرف Attacker میتواند مهربانی کند و بسته هارا به سمت مقصد اصلیه خودشان فوروارد کند ؛ پس حالا کلاینت connectivity مورد نیازش راهم دارا است و به چیزی شک نمیکند،درحالی که attacker درحال مشاهده ی داده های درحال عبور او میباشد.
(در اینجا بگوییم که شما با پیکربندی ARP Inspection بروی سوئیچ های خود ، میتوانید از spoof شدن MAC Address ها و اینگونه حملات جلوگیری کنید)
اینگونه حملات میتوانند در لایه 3 هم رخ بدهند.بدین صورت که attacker روتری را در شبکه قرار میدهد و به هر روشی دیگر روتر هارا گول میزند و آنهارا قانع میکند تا باور کنند که این روتر جدید ، دارای مسیر بهتر (Best path) میباشد ، پس جریان ترافیک از آن روتر میگذرد و به attacker اجازه میدهد که که ترافیک را مشاهده کند ویا آنهارا دستکاری کند.
(شما میتوانید از طریق راهکارهای گوناگون از این کار جلوگیری کنید ، مانند استفاده از فیچر هایی مثل routing authentication protocols (احراز هویت پروتکل های مسیریابی برای همسایگی) ویا Passive interfaces in routing protocols (جلوگیری از تبلیغ و یادگیری از اینترفیسهایی بجز اینترفیسهای معرفی شده)و... )
یکی دیگر از بهترین کارهایی که میتوانید انجام دهید ، استفاده از Encryption(رمزنگاری) برای داده های درحال عبور میباشد.
فرض کنید که برای یک action مدیریتی مانند telnet ،بصورت clear-text (عدم رمزنگاری) داده را عبور دهیم؛ attackerـی که در میان قرار دارد ، میتواند username و passwordـه مدیریتی شمارا مشاهده کند !
سایر روشهای گوناگون برای حمله:
هیچ گروه استانداردی برای attacker ها وجود ندارد و تمامی حملات کاملا و بدرستی در یک دسته بندی خاص قرار نمیگیرند ! حتی گاهی دیده میشود که یکسری حملات در چند دستهبندیه گوناگون قرار میگیرند.
در موارد زیر ، به یکسری از دیگر متدهایی که ممکن از attacker ها از آنها استفاده کنند اشاره کردهایم :
- کانال پنهان (Covert channel)
- سوء استفاده از اعتماد (Trust exploitation)
- Brute-force
- Botnet
- DoS / DDoS
و دهها گونه حملات دیگر ....
در پست آینده درمورد اعمال اصول و مفاهیم ابتدایی امنیت به طراحی شبکه صحبت خواهیم کرد.
موفق باشید.
مطلبی دیگر از این انتشارات
پروازی بر دنیای امنیت شبکه (قسمت اول) - مقدمه
مطلبی دیگر از این انتشارات
آشنایی با QoS - بخش دوم (Classification & Marking)
مطلبی دیگر از این انتشارات
آشنایی با QoS – بخش پنجم (Policing & Shaping)