جلسه هفتم امنیت شبکه


ساعت ۱:۱۳ ‎ق.ظ روز ٢٥ آذر ۱۳۸٧  

به نام خدا

Intrusion Detection System

در جلسه های قبل راجع به حملات رایج شبکه‌های کامپیوتری بحث نمودیم. در ادامه به راه کارهای مقابله می پردازیم.................

شناسایی حمله در مکانیزم های دفاعی برای پیشگیری از وقوع حمله مهم است. IDS(Intrusion Detection System) از ابزاری است که در شبکه به این منظور استفاده  می شود.

سیستم IDS به صورت یک ابزار در شبکه(به عنوان مسیریاب- سوییچ...) با نرم افزاری که کار مونیتورینگ ترافیک عبوری را انجام می‌دهد، نصب می‌شود. معمولا دیوار آتش به همراه IDS کار تشخیص حمله را انجام می‌دهند. اگر از درون یک LAN به سمت بیرون حرکت کنید ابتدا به IDS سپس به دیوار آتش می‌رسید و پس از آن به شبکه بیرونی(اینترنت) می‌رسید. زیرا دیوار آتش یا از عبور بسته ممانعت می نماید و یا بسته را عبور می دهد. بنابراین ترافیک گسیل شده از شبکه بیرون در صورتی که از دیوار آتش عبور نمود توسط IDS بررسی می شود تا در مورد مشکوک بودن رفتار آن تصمیم‌گیری شود. در عمل این دو ابزار در یک آدرس IP می‌توانند پیاده‌سازی شوند. به علت منحرف نمودن توجه مهاجم از وجود ابزار امنیتی در شبکه، معمولا سیستم‌های امنیتی را در غالب یک مسیریاب، سوییچ در شبکه قرار می‌دهیم.

 یک IDS کار مونیتور نمودن ترافیک شبکه  و سرکشی به فایلهایlog راانجام میدهد. به این ترتیب هرگونه تخلف از سیاستهای امنیتی معمول شبکه را تشخیص می‌دهد.

انواع متفاوتی از این سیستم تعریف شده است. سیستم هایی که بر مبنای رفتار ترافیک شبکه، تنظیمات پورت‌ها، بر اساس نشانه‌ها و رفتار یک حمله که در منبع سیستم IDS ذخیره شده است و تغییر ترافیک با این الگو تطابق داده می‌شود، بر اساس تخطی از الگوی رفتاری معمول یک کاربر و یا سایر مشخصه ها به تشخیص یک حمله می‌پردازد و هشداری مبنی بر احتمال حمله را می‌دهد.  سیستمIDS کار مقابله با حمله و سد آن را نیز عهده دار می‌باشد.

سیستم‌های IDS‌ای که رفتار آماری غیر عادی را تشخیص می‌دهند(behavior-based) وسیستم‌هایی که بر روی سگمنت‌های شبکه و ترافیک آنها به صورت بلادرنگ شنود و تحلیل می‌نمایند، سیستمهای مبتنی بر شبکه می‌باشند که در واقع نشانه‌ها را تشخیص می‌دهند . این سیستمها شامل یک برنامه لایه کاربرد به همراه NIC می‌باشند. ترافیک بقیه سگمنتهای آن شبکه و یا بقیه خطوط ارتباطی همانند خطوط تلفن مونیتور نمی شوند.

سیستم‌های کارآمد باید بتوانند هر نوع حمله‌ای را با ترکیبی از این روش‌ها و بدون تلف نمودن منابع سیستم، داده‌های بلادرنگ و قابل اعتمادی از شبکه را بدست‌ آورند. این سیستم ها برای مقابله با حمله DOS کاربرد دارند.

می توان IDS را کنار سوییچ‌ها نصب نمود و با استفاده از پورت‌های  خاص این ابزار که  خاصیت یک هاب را دارند، ترافیک عبوری از سوییچ را به IDS فرستاد (forward نمود) به این ترتیب یک سیستم محافظتی خاموش در شبکه قرار داده‌ایم.

سیستم هایIDS  مشکلاتی نیز دارند:

 برخی هکرها حوصله زیادی در عملی نمودن حمله خود دارند. برخی حمله‌ها بر اساس تغییرات بسیار کند ترافیک عبوری و با گذشت زمان زیاد به وقوع می پیوندند و این یعنی سیستم IDS باید نمونه‌های زیادی از اطلاعات را در  پایگاه داده ذخیره  و تحلیل نماید! و تشخیص حمله نیازمند هزینه فضای حافظها و تحلیل رفتاری طولانی مدت شبکه است.

در مواردی مشخصه‌ها و شناسه‌هایی که در بخش کاربرد سیستم IDS تنظیم می‌شوند مانند نوع سیستم عامل و شماره نسخه آن و platform مربوطه باعث می‌شود حملاتی که به صورت موردی و یا با فرمت جدید انجام می شود از دید دور بماند. این نوع سیستمIDS به شدت به سیستم عامل و منابع خود وابسته است و برای داشتن شبکه سالم به پشتیبانی و به روز شدن مداوم نیازمند است تا شناسایی آسیب‌پذیری‌های جدید و هماهنگی با آنها را به خوبی انجام دهد. در واقع داشتن دید سازگار با تغییرات نوع حمله ها نیازمند همراهی با تغییرات کاربردها و امکانات مهاجمان می‌باشد.

در مورد سیستم‌های IDS که بر اساس رفتار ترافیک عبوری تصمیم‌گیری می‌نمایند، به روز شدن و پشتیبانی ضرورت کمتری دارد. آنها بر اساس تحلیل ترافیک به تصمیم‌گیری می‌پردازند.

گاهی سیستم آنقدر حساس تنظیم شده  است که با کوچکترین تغییر و تحولی در شبکه هشدار می‌دهد و این موقع‌هاست که مدیر شبکه شاکی از این ابزار محافظتی ترجیح می‌دهد خود با ترفندهای دستی همانند بستن پورت ICMP، کنترل دسترسی به ترافیک و برخی محدودیت های دیگر، خود به trace شبکه برای مقابله با حملات بپردازد.

نرم‌افزارهایی open source در شبکه با هسته Linux, Unix تعریف می‌شوند که ادعا می‌نمایند به scan پورتها‌ می‌پردازند و به ما در کنترل شبکه کمک می‌نمایند. این نرم‌افزارها گاهی از طریق Back door های تعریف شده به شنود ترافیک مشغولند.

نرم‌افزاری مانند snort که در عمل به همراه یک موتور IDS میتواند یک سیستم تشخیص نفوذ را ایجاد کند توسط مهاجم برای استراق سمع بسته های مربوط به دیگران استفاده می شود.

 سیستم‌های محافظتی دیگری بجز IDS همانند دیوار آتش و ... نیز وجود دارند. بقیه مطالب در پست آینده.

شاد باشین...



 
آموزش CCNA - لایه های OSI (بخش2)


ساعت ٧:۳٦ ‎ق.ظ روز ٢٢ آذر ۱۳۸٧  

به نام خدا

با تشکر از جناب مهندس افراشته که در مورد OSI Layerتوضیحات بسیار مناسبی داده اند ، هر کدام از این لایه ها را سعی میکنم به صورت ریزتری مورد بررسی قرار دهم.

لایه فیزیکی (Physical Layer):

همانطو که در بخش قبل خواندید شبکه را به 7 لایه تقسیم میکنند و هر لایه مشخص کننده ویژگی های خاص خود میباشد.

در لایه Physical در خصوص Connector ها،کابل ها، ولتاژ داخل سیم ، نوع سیگنالی که ارسال می شود،فرکانس ارسالی ، Encoding و...... صحبت میشود.

این لایه ها در خیلی جاها باعث کوتاه کردن سخن می شود، مثلا یک شخصی که در کارهای شبکه فعالیت دارد و کابل کشی انجام میدهد ، فعالیت های لایه 1 را انجام می دهد ، کارخانه سازنده کابل نیز در این لایه قرار میگیرد ، تنها کافیست بگوید که فعالیتهای این لایه را انجام میدهد و برای افرادی  که این لایه ها را می شناسند دیگر نیاز به توضیح اضافه تری نمیباشد.

خوب حالا بریم سراغ مواردی که توی این لایه قرار دارند:

  1. کابل:
  •             coaxial:این کابلها به دو دسته تقسیم می شوند thin , thick که شکل آن در زیر آمده است ، و بیشتر در شبکه های BUS استفاده میشدند. هم اکنون در شبکه های LAN کاربردی ندارند.Thick به دلیل قطور بودن مسافت بیشتری را نسبت به thin پشتیبانی می کند

  • Twisted Pair: به این کابل ها جفت به هم تابیده شده می گویند. دو نوع دارد UTP(Unshielded Twisted Pair)mو STP( SHielded Twisted Pair)m که دارای Category ها متفاوتی میباشند. که هر کدام ویژگی های خاص خود را دارند.نمونه هایی از این کابلها و دسته بندی را در زیر میبینید.

کابل utp


کابل stp(دارای روکش آلومینیومی است)

کابل STP نسبت به UTP مسافت بیشتری را ساپورت و نیز مقاومت بیشتری در برالر نویز دارد.

دلیل تابیدن این سیمها آن است که با این کار خاصیتهای الکتریکی که روی سیم ایجاد میشوند را نابود کنند.  تا کمترین نویز وجود داشته باشد.

دقت کنید که آلیاژ هر رشته سیم و نوع تاب هر جفت با بقیه متفاوت است

لیست category ها:


فعلا تا اینجا تو لایه 1 فقط در مورد کابل هاش صحبت کردیم ، تو پست بعدی ادامه این مطلب را خواهیم داشت. به ترتیب لایه ها را باز می کنیم و در موردش صحبت میکنیم.

دلیل اینکه با لایه ها شروع کردم این است که اگر این لایه ها را خوب درک کنید تو کار شبکه میتونید موفق باشید و مفاهیم رو بهتر درک کنید.

موفق و پیروز باشید.

 



 
سلام و تشکر


ساعت ۸:٠٤ ‎ق.ظ روز ٢۱ آذر ۱۳۸٧  

به نام خدا

با سلام خدمت دوستان عزیز و تشکر از جناب مهندس کوشنده که من رو قابل دونستند و پیشنهاد دادند در این بخش( آموزش سیسکو) همراهیشون کنند.

قبل از هر چیز دیگر هم از جناب مهندس محمدرضا افراشته در مورد زحماتی که کشیده اند تشکر میکنم و خسته نباشید بهشون میگم و امیدوارم بتونم ادامه کار ایشون را با همان روال و شیوه ارائه دهم.

از این پس سعی بر آن دارم که هفته ای یک پست داشته باشم تا بتونم اطلاعات مفیدی را در خدمت شما عزیزان قرار دهم. امیدوارم که مطالب مفیدی را خدمتتان ارائه کنم.

تا اولین پست آموزشی سیسکو خدا نگهدار

موفق و پیروز باشید



 
جابجایی و تشکر


ساعت ۱۱:۱٤ ‎ب.ظ روز ۱۸ آذر ۱۳۸٧  

به نام آنکه هر چه داریم و هر چه هستیم از اوست

سلام به تمامی دوستان و دوستداران شبکه های کامپیوتری ،

تا به امروز 6 جلسه از دوره سیسکو و درس CCNA رو پشت سر گذاشتیم و جناب مهندس محمدرضا افراشته رو در خدمتشون بودیم. از این تاریخ به بعد جناب مهندس ماهان صادقی فرد مسئولیت آموزش دوره سیسکو را دارند و این دوره را ایشان ادامه می دهند.

آقای صادقی فرد از دانش آموخته های دروس مایکروسافت و سیسکو می باشند و دارای مدارک این دوره ها می باشند و در حال حاضر نیز تدریس آموزشگاهی نیز دارند و افتخار دادند که در خدمتشون باشیم. امیدوارم که همواره از دروس ارائه شده در زمینه شبکه های کامپیوتری در این وبلاگ لذت ببرید.

در پایان بار دیگر از دوست بسیار خوبم آقای محمدرضا افراشته تشکر و قدردانی می کنم و البته امیدوارم در بخش های دیگر وبلاگ در خدمت ایشان باشیم.

شاد و سربلند باشید.



 
جلسه پنجم آموزش لینوکس Linux


ساعت ۱٢:٢۸ ‎ق.ظ روز ۱٠ آذر ۱۳۸٧  

به نام خدا

شاخه های سیستم فایل لینوکس

 
سیستم فایل لینوکس ساختاری است که تمامی اطلاعات موجود بر روی کامپیوتر آنجا ذخیره میشود.
فایلها در داخل سلسله مراتبی از دایرکتوریها سازماندهی میشوند.هر دایرکتوری میتواند شامل فایلها بعلاوه سایر دایرکتوریها باشد.


اگر فایلها و دایرکتوریهای موجود در لینوکس را ترسیم کنید به یک درخت معکوس بنظر میرسد.در بالای دایرکتوری root قرار دارد که بوسیله / نشان داده میشود و در زیر این دایرکتوری , دایرکتوریها ی عادی موجود در سیستم لینوکس قرار دارند.

 
هر یک از این دایرکتوریها بعلاوه دایرکتوریهای اضافه شده به root میتوانند شامل زیر دایرکتوریها باشند.
حال به توصیف و عملکرد این دایرکتوریها میپردازیم .

bin
binary شامل دستورات سیستم عامل که توسط تمامی کاربران و root قابل اجرا است میباشد.

boot

فایلهای راه انداز لینوکس را شامل میشود.

dev
device شامل اطلاعات سخت افزاری و نرم افزاری میباشد.

etc
شامل فایلهای پیکربندی می باشد.

home
شامل دایرکتوریهای تخصیص داده شده به هر کاربر با یک حساب login میباشد.

lib
library محل قرارگیری فایلهای کتابخانه ای برنامه ها میباشد.

mnt
mount حاوی اطلاعات cdrom , flopy میباشد.

proc
اطلاعات مربوط به CPU را در بر دارد.

root
دایرکتوری خانگی کاربر ریشه و یا همان root را نشان میدهد.

sbin
شامل دستوراتی که توسط root قابل اجراست میباشد.

tmp
temporary شامل فایلهای موقتی بکاررفته بوسیله برنامه ها میباشد.

usr
اطلاعات دایرکتوری share را دربردارد.

var
varies فایلهای log و printer در این شاخه قرار دارد.

 



 
جلسه سیزدهم آموزش Microsoft Windows Server 2003


ساعت ۱٠:٤۸ ‎ب.ظ روز ٥ آذر ۱۳۸٧  

به نام آنکه هر چه داریم و هر چه هستیم از اوست

بار دیگر سلام به دوستداران شبکه های کامپیوتری ،

در ادامه جلسان آموزش Windows Server 2003 به سراغ سرویس IIS و Backup در این ویندوز می رویم.

سرویس (IIS (Internet Information Services :

در ویندوز 2000 ، IIS 5.0 رو داشتیم و در ویندوز 2003 ، IIS 6.0 موجود می باشد. امنیت در IIS 6.0 بسیار بالاتر و بیشتر از IIS 5.0 می باشد و و در حقیقت تفاوت عمده این دو نسخه در همین مبحث امنیت می باشد.

در ویندوز 2000 ، IIS خود به خود نصب می باشد ولی در ویندوز 2003 نصب نمی باشد و برای نصب این سرویس می بایستی حتما CD آن ویندوز موجود باشد.

در IIS شما می توانید یک Website یا یک سایت FTP را پشیبانی نمایید. نصب و چگونگی ایجاد و راه اندازی یک وب سایت را در اینجا به آن نمی پردازیم ولی شما می توانید آنرا در کتاب 290-70 مایکروسافت که همین آموزش ویندوز 2003 می باشد مطالعه نمایید و بکار برید و در عین حال بایستی توجه داشته باشید که سرویس IIS از مهمترین سرویس هایی است که می بایستی برای بودن یک Adminخوب در شبکه به آن مسلط باشید.

Backup:

Shadow Copy :

این قابلیت در ویندوز 2003 برای این می باشد که مثلا شما یک فایل Word داشته اید و یک سری تغییرات در روز بعد در آن داده ایم ولی حال می خواهیم که به قبل از این تغییرات برگردیم.

اگر از یک درایو Properties بگیریم یک Tab به نام Shadow Copies وجود دارد که فقط Folder های Share شده در آن درایو می توانند دارای این قابلیت شوند. به طور کلی این قابلیت فقط با فولدرهای Shareشده کار می کند. با فعال کردن این قابلیت در آن درایو کل فولدرهای Share شده در آن دارای این قابلیت خواهند شد.

 

* برای فعال کردن Shadow Copy بر روی یک درایو ، حتما باید بر روی آن درایو 100 مگابایت فضای خالی داشته باشیم.

* در ویندوز XP این قابلیت وجود ندارد.

حال برای برگرداندن یک فایل به تاریخ قبل از تغییر بر روی file مورد نظر Properties می گیریم و در Pervious Version Tab ، در آنجا یک کپی جدید از این فایل می گیریم و یا بر روی همان فایل Restore می کنیم.

* همچنین می توانیم از Folder هم Pervious Version داشته باشیم.

برای اینکه دستگاه های Client با Win XP به سرور وصل شوند و قابلیت Shadow Copy داشته باشند باید Shadow copy client را بر روی XPها نصب کنیم.

Pervious Version Tab فقط در حالت Network Places و تحت حالت شبکه از طریق Properties فولدر یا فایل می باشد.

در Shadow Copy در قسمت Security می توانیم تنظیماتی داشته باشیم مثلا اینکه مقدار فضایی که برای Shadow Copy ها در نظر بگیرد و در قسمت Schedule می توانیم جهت ایجاد Shadow copy ها به طور خودکار برنامه ریزی داشته باشیم.

در ntbackup یا همان برنامه Backup ویندوز زمانی که از فایلی Backup بگیریم ، اگر Shadow Copy فعال باشد باز هم Back up میگیرد و اگر Disable باشد فایلهایی که باز باشند را Backup نمی گیرد.

شاد و موفق باشید.لبخند



 
جلسه ششم امنیت شبکه


ساعت ۱٢:٠٠ ‎ق.ظ روز ٢ آذر ۱۳۸٧  

به نام خدا

حمله­ های شبکه­ های کامپیوتری(ادامه)

در جلسه قبل راجع به حملات رایج شبکه‌های کامپیوتری بحث شد. قرار شد این جلسه به ادامه حملات و راه های مقابله با اونها بپردازیم....

File extensions

 سیستم عامل ویندوز قابلیتی دارد که اجازه می‌دهد تا پسوند یک برنامه در مقابل کاربر مخفی باقی بماند که ظاهرا باعث راحتی در کار است، اما باعث می‌شود برخی کدهای مخرب در ظاهری آشنا، مخفی شوند. مثلا فایلی با نام readme.txt در ظاهر یک فایل متنی بی آزار است، در حالی که می تواند نام آن readme.txt.bat باشد! و پسوند واقعی.bat  به علت خاصیت ویندوز مخفی شده باشد.

راه مقابله: شما می توانید خاصیت مخفی بودن پسوند فایل‌ را در ویندوز غیر‌فعال نمایید.

 

Packet sniffing     

ترافیک ایستگاه کاری شبکه‌های LAN ، در مقابل شنود توسط بقیه ایستگاه‌های کاری، در یک hub آسیب‌پذیر است. در این محیط، کاربر ترافیک دیگران را بدون اینکه آشکار شود و به صورت off lineگوش می‌دهد. ابزار شنود در این محیط، حمله را انجام داده ، ترافیک را شنود کرده، کپی نموده و سپس به مقصد نفوذکننده می‌فرستند.  شنود شامل تمام ترافیک اینترنت مانند پست الکترونیکی، instant message و ترافیک web خواهد بود. در زمان شنود ترافیک web،تمام عملیاتی که کاربر انجام می‌دهد، توسط شنود‌کننده دیده می‌شود.

راه مقابله: بهترین روش محافظتی در مقابل این حمله، رمزگذاری پیام‌های انتقالی است تا در صورت شنود نیز نتوان استفاده‌ای از پیام‌ها نمود.

Hijacking & session replay

Hijacking به معنی دزدی در حین انتقال به منظور انتقال به مقصد جدید است.

 Session Hijacking وقتی رخ می‌دهد که یک session پروتکل TCP/IP توسط یک شنود‌کننده شبکه برداشت شود. به این معنی که در حال انتقال یک پیام بین فرستنده و گیرنده، تغییرات لازم در وضع و حالت پیام داده شده و پیام اصلاح شده دوباره در جریان ترافیک شبکه قرار می‌گیرد. با این تغییرات، نفوذکننده به عنوان مقصد پیام تعریف می‌شود.

تمام پیام‌های بعدی تعریف شده در آن session، بین مبدا اصلی و نفوذکننده(به عنوان مقصد جدید) در جریان خواهد بود و ترافیک به سمت مقصد مورد نظر حمله‌کننده، تغییر مسیر می‌دهد و تمامی پیام‌های بعدی آن session به حمله کننده می‌رسد.

راه مقابله: کاربردهای مبتنی بر web ، برای حمله‌های hijacking مناسب هستند. استفاده از پروتکل SSL از حملات hijacking و replay جلوگیری می‌نماید. این پروتکل بر روی TCP/IP و قبل از پروتکل‌های HTTP,IMAP استفاده می‌گردد و به صورت client- Server اجرا می‌شود. سرور خود را برای Client احراز هویت نموده و اجازه می‌دهد client نیز خود را به سرور معرفی نماید پس از احراز هویت دو سویه، یک ارتباط رمز شده بین دو طرف برقرار می‌شود.

 

امیدوارم خسته نشین از اینکه مطالب دنباله‌دار می‌شن....

شاد باشین...................