به نام خدا

Packet classification

با سلام

علاوه بر پروتکل‌‌های امنیتی لایه‌های انتقال و شبکه، برخی ابزار امنیتی تشخیص حمله نیز در شبکه کاربرد دارد، همانند IDS,HIDS,NIDS,IDPS و غیره. این سیستم ها می‌توانند با روش‌های متفاوت به تشخیص حمله و در برخی موارد مقابله با آن بپردازند. یکی از روش‌های مورد استفاده در این ابزار، کلاس‌بندی بسته‌های ارسالی در شبکه (Packet classification) می‌باشد.

این کلاس‌بندی با توجه به کاربرد یک شبکه، امکانات شبکه و بسیاری از مسایل دیگر انجام می‌شود. کلاس‌بندی بسته‌ها می‌تواند بر اساس هشت بیت آدرس مبدا بسته، آدرس مقصد؛ چهار بیت شماره پورت مقصد بسته، پروتکل لایه انتقال و یا سایر فیلدهای هدر یک بسته باشد. این روش هر بسته را به گروه و جریانی از ترافیک شبکه منسوب خواهد نمود و بر اساس سیاستگذاریهای مدیر شبکه این جریان ترافیک می‌تواند مسدود و یا مجاز برای عبور شناخته شود.

کلاس‌بندی دیگری هم برای بسته‌ها به نام کلاس‌بندی عمیق وجود دارد. به این مفهوم که تعداد ویژگیهایی که مورد توجه قرار می‌گیرد تا بیش از چهل مورد نیز می‌رسد! در این حالت، برداری شامل n ویژگی از یک بسته مورد بررسی قرار می‌گیرد و ترافیک بر اساس اولویت‌‌ها؛ کلاس‌بندی می‌شود. این نوع کلاس‌بندی؛ پیچیده، همراه با حجم بالای محاسبات است و کارایی کمی دارد. همان طور که می‌دانید سرعت عملکرد و واکنش یک سیستم، فاکتوری مهم در حفاظت و تشخیص نفوذ است.

کلاس‌بندی جریان ترافیک شبکه، همراه با اولویت‌ کمک می‌کند تا عکس‌العمل‌هایی که سیستم‌های تشخیص نفوذ انجام می‌دهند، عملی باشد. جریان‌های ترافیکی در شبکه که منجر به ایجاد حمله می‌شوند در این کلاس‌بندی‌ها مشخص شده و بلوکه می‌شوند.

ابزار امنیتی تشخیص نفوذ، بر اساس جریان‌های ترافیکی بررسی شده، در صورت تشخیص حمله، یک پیام هشدار تولید می‌نماید. این پیام هشدار در زمان وقوع حمله صادر می‌شود. در موارد دیگری نیز ممکن است پیام هشدار صادر شده باشد که به بررسی آن می‌پردازیم.

پیام هشدار ناشی از تشخیص نادرست، یکی از این نوع پیام‌ها می‌باشد که از تشخیص نادرست بسته به عنوان بسته مخرب ناشی شده است. این پیام‌های هشدار نادرست false positive alarm نامیده می‌شوند(سیستم هشدار می‌دهد ( Positive alarm)، اما اشتباه است(false)). روشن است که این نوع هشدارها نباید منجر به انجام واکنشی توسط ابزار امنیتی گردد.

میزان صدور این پیام‌ها کیفیت عملکرد ابزار امنیتی را مشخص می‌کند. هر چه تعداد پیام هشدار نادرست یک سیستم امنیتی کمتر باشد، آن سیستم کیفیت بالاتری دارد. علاوه بر این موضوع عدم ارسال پیام  هشدار(false negative alarm) در زمان وقوع حمله نیز وضعیتی نامطلوب می‌باشد ( سیستم هشدار نمی‌دهد( negative alarm)، اما حمله رخ داده است.).

سیستم امنیتی بهینه سیستمی است که پیام هشدار درست(True)بیشنه و پیام هشدار نادرست (ّFalse)کمینه داشته باشد. به عبارتی زمان درست هشدار درست داده باشد. در زمان حمله هشدار داده شود(True positive alarm) و در زمان شرایط مساعد هشداری نداشته باشیم(True negative alarm)

کلاس‌بندی بسته‌های عبوری از شبکه علاوه بر تاثیری که در تشخیص نفوذ هکرها می‌تواند داشته باشد، کاربردهای دیگری نیز درتامین کیفیت سرویس و غیره دارد.

اولویت‌بندی در کلاسه نمودن یک بسته از ترافیک عبوری شبکه بسیار متنوع است که به آن خواهیم پرداخت.

شاد باشین…….

به نام آنکه هر چه داریم و هر چه هستیم از اوست

با سلام به دوستداران شبکه و شبکه های کامپیوتری،

در ادامه مباحث مقدماتی شبکه، به برخی سرورها و نقش آنها در شبکه صحبت خواهیم کرد.

سرور دسترسی از راه دور (Remote Access Server یا RAS):

این سرویس با اجرای سرویسی قابلیت دسترسی کاربران از راه دور را برای آنها مهیا می کند. با تنظیم کردن این سرور و دیگر سرورهای مجموعه شبکه می توانیم به کاربر متصل شده امکانات داخل شبکه را همانطور که شخص در داخل خود شرکت یا سازمان دسترسی دارد در خارج از آن مجموعه نیز دسترسی داشته باشد و کار خود را انجام دهد. این اتصال در کل به دو صورت : ۱- بر اساس درخواست یا Demand Dial و ۲- همیشه متصل برقرار می شود که در درون ارتباطات و این سرور قابل تنظیم می باشد.

فایروال (Firewall) :

هنگامی که شبکه ما با بیرون از سازمان یا شرکت ارتباط داشته باشد و یا به طور مثال به اینترنت متصل باشد بایستی از دیوار آتش یا Firewall استفاده نماییم. امنیت دسترسی به اطلاعات چه از داخل و چه از خارج از یک سازمان توسط فایروال قابل تنظیم می باشد و در اصل این سیستم یک لایه و پوسته حفاظتی برای شبکه ما محسوب می شود و شبکه را از حملات مختلف که در شبکه ها رخ می دهد و همچنین کدهای مخرب که باعث از کار افتادن سرورها می شود، در امان نگه می دارد. فایروال ها در دو نوع سخت افزاری و نرم افزاری موجود می باشند. البته بایستی توجه داشت که در هر یک از این دو نوع دارای قابلیتها و مشکلات خاص خود می باشند.

Firewall های سخت افزاری، به آن دسته از فایروال ها گفته می شود که در بین شبکه شما و یک شبکه دیگر در سازمان دیگر و یا اینترنت قرار گرفته و سطوح امنیتی را برای شما فراهم می کند. قابل توجه می باشد که بسیاری از شرکت های سازنده قطعات شبکه فایروال را به صورت دستگاهی مجزا و یا به صورت مجموعه ای از قابلیتها بعلاوه فایروال ارائه می دهند. به طور مثال شرکت سیسکو Cisco در برخی از روترهای خود علاوه بر اینکه روتر کار اصلی خود که مسیریابی می باشد را انجام می دهد، دارای قابلیت امنیتی یا فایروال می باشد. هر چند اگر تمامی سرورها و دستگاههای شما دارای آخرین Patchها و وصله های امنیتی می باشد و همچنین از نرم افزار های آنتی ویروس به روز استفاده می کنید ولی فایروال ها یک سطح دیگر از لایه های امنیتی شما را اضافه کرده و در نتیجه در مقابل حملات هکرها و دیگر کاربران در امان بیشتر خواهید بود.

Firewall های نرم افزاری نیز برای برقراری لایه امنیتی استفاده می شوند. در برخی از سیستم عامل ها این نوع فایروال نصب شده است و بایستی آنرا فعال نمایید تا یک سطح حفاظتی اضافی در خصوص ایمن سازی کامپیوتر و اطلاعات، ایجاد گردد. در صورتی که حتی از فایروال سخت افزار استفاده می کنید پیشنهاد می کنیم که فایروال نرم افزاری را نیز فعال نمایید. در صورتی که در سیستم عاملی که نصب می کنید فایروال نرم افزاری وجود ندارد می توانید با نصب نرم افزارهای مختلفی که کار فایروال را انجام میدهند از این قابلیت برخوردار شوید. قابل توجه می باشد که فایروال های نرم افزاری در بسیاری از موارد از قیمت پایین تری نسبت به فایروال های سخت افزاری برخوردار می باشند.

* این نکته قابل اهمیت است که حتی شما از بهترین نرم افزارهای آنتی ویروس ، آخرین وصله های امنیتی سیستم عامل ها و بهترین فایروال های نرم افزاری و سخت افزاری استفاده نمایید باز نمی توانیم بگوییم که شبکه به طور ۱۰۰ درصد ایمن شده است. ولی می توانیم امیدوار باشیم که شبکه از امنیت و حفاظت خوبی برخوردار است و حمله به این شبکه بسیار محدود و بسیار مشکل خواهد بود.

شاد و پیروز باشید.

به نام خدا

تنظیم و پیکر بندی DNS – Domain Name System :

سیستم سلسله مراتبی که میزبان (host) موجود در اینترنت از طریق آن صاحب نشانی نام حوزه مثل www.subnet.ir میشوند و هم صاحب ip address مثل ۱۹۲٫۱۷۳٫۵٫۳
نشانی نام حوزه توسط اشخاص به کار برده میشود و به طور خودکار به ip address عددی تبدیل میشود.این نشانی توسط نرم افزار تعیین کننده مسیر بسته ها مورد استفاده قرار میگیرد
شماره پورت ۵۳ به DNS تعلق گرفته است

اجزای تشکیل دهنده DNS

1.Logical components-DNS name space
2.Physical components-ZOnes

DNS name space

Zones
zone ها یک شی هستند که پیکربندی DNS را شامل میشوند ِِDNS name space ساختار و سلسله مراتب استفاده از اسم domain را مشخص میکند

DNS ساختار

انواع مختلف zone عبارتند از

۱٫Forward lookup zone
2.Reverse lookup zone

Forward lookup zone
این zone اطلاعات  تبدیل اسم domain به ip address را در بردارد
به یاد داشته باشید آدرسی مثل www.subnet.ir را (FQDN(Fully Qualified Domain Name میگویم که subnet.ir اسم دومین و www اسم host میباشد.پس به تعبیری دیگر forward lookup zone عمل تبدیل FQDN را به IP بر عهده دارد

Reverse lookup zone
این zone حاوی ip address برای host و یک pointer(اشاره گر) برای host record ها در forward lookup zone میباشد

هر zone میتواند به انواع مختلفی پیکربندی شود host recod ها در forward lookup zone قرار دارند host recod ها به منظور ذخیره forward lookup zone ساخته میشود

۱٫Primary zone
2.secondary zone
3.stub zone

Primary zone(Default zone
اولین zone که درست میکنیم primary است

Secondary zone
یک نسخه مشابه از primary zone است که به دلیل back up و load balancing(توزیع بار کاری ) ایجاد میشود

Stub zone
name server record ها را در بردارد

قبل از اینکه به سراغ پیکربندی DNS برویم لازم است که با بعضی اصطلاحات و تنظیمات آشنا شوید

Daemon
فرایندی که در پس زمینه است و از سرویسی که در سیستم در جریان هست را پشتیبانی میکند و تنها در صورت نیاز فعال میشود

named نامیده میشود

BIND
Berkeley Internet Names Domain, یک سرویس دهنده برای نام zone که در ابتدا در دانشگاه کالیفرنیا برای نگارش BSD یونیکس نوشته شد,اما در حال حاضر برای بیشتر نگارشهای یونیکس در دسترس است.وظیفه این سرویس دهنده ترجمه نام zone از حالت قابل درک برای انسان به نشانیهای عددی IP است که بطور گسترده در سرویس دهنده های اینترنت مورد استفاده قرار میگیرد

از فرمان زیر به منظور چک کردن اینکه package نصب شده است یا خیر استفاده میکنیم
daemon که برای DNS استفاده میشود

#rpm -qa bind*

از فرمان زیر به منظوراینکه آیا DNS در حالت اجرا هست یا خیر استفاده میکنیم

#service named status

بطور مثال قصد داریم DNS رابرای سایتی با نام www.pooya.com تنظیم کنیم
همانطور که گفته شده pooya.com اسم دومین و www اسم host میباشد.ابتدا باید domain name و host name را برای سیستمان از طریق مسیر زیر تعیین کنیم
برای تعیین host name در مسیر زیر تغییرات را انجام میدهیم

#vi /etc/sysconfig/network
#HOSTNAME=www

از مسیر زیر برای تعیین اسم دومین استفاده میکنیم

#vi /etc/hosts
192.168.10.1              pooya.com     www

  بخاطرداشته باشید ip 192.168.10.1 آدرس DNS ما میباشد و و پس از تغییرات باید سیستم را با فرمان init 6 دوباره راه اندازی کنیم

حال به سراغ پیکربندی named.conf که در دایرکتوری etc/named.conf قرار دارد که محتویات اصلی پیکربندی DNS را شامل میشود میریم.named.conf به BIND میگوید کجا میتواند پیکربندی فایلهای zone را پیدا کند

این فایل معمولا دو حوزه, forward zone که مشخص کننده domain به IP و reverse zone که مشخص کننده IP address به domain است را شامل میشود

جهت پیکربندی named.conf از ادیتور vi طبق فرمان زیر استفاده میکنیم

#vi /etc/named.conf

در این فایل باید دوچیز را تغییر دهیم اولی وارد کردن اسم دومین و دیگری ip مورد نظر ما میباشد
توجه کنید که باید network ID را به صورت برعکس وارد کنیم.یعنی اگر ip ما ۱۹۲٫۱۶۸٫۱۰٫۱ است باید ۱۰٫۱۶۸٫۱۹۲ را وارد کنیم
در فایل مورد نظر دنبال} zone “local.host” IN میگردیم و آن را با توجه به نام دومینمان به صورت زیر تغییر میدهیم

zone “pooya.com” IN {
           type master;
           file “localhost.zone”;
           allow-update { none; };
};

سپس دنبال} zone”0.0.127.in-addr.arpa” IN  میگردیم و آن را با توجه به ip مورد نظر تغییر میدهیم

zone “10.168.192.in-addr.arpa” IN {
         type master;
         file “named.local”;
         allow-update { none; };
};

اکنون به سراغ پیکربندی forward lookup zone که وظیفه تحلیل اسم دومین به IP را دارد میپردازیم.این پیکربندی را میتوانید با ادیتور vi در مسیری که زیر مشاهده میکنید انجام دهید

#vi /var/named/chroot/var/named/localhost.zone

خط ) IN     SOA  @  root       @ به شکل زیر تغییر میدهیم

$TTL  3D
@                  IN       SOA                      pooya.com.   root.pooya.com. (

همچنیین تغییرات زیر را میدهیم

                             IN      NS    rooman.com.
www                    IN       A     192.168.10.1
pooya.com          IN       A      192.168.10.1

حال به توضیحی در مورد موارد بالا مبپردازیم
TTL به معنی Time To Live است و نشان میدهد که اطلاعات در این DNS server سه روز(۳D) نگهداشته میشود
SOA(Start Of Authority دیباچه ای برای همه فایلهای zone است.SOA مدیریت عمومی و کنترل اطلاعات درباره domain را شامل میشود
NS به معنی Name Server است

A که به مفهوم host record است به منظور ذخیره forward lookup zones است

اکنون به پیکربندی revers lookup zone از طریق مسیر زیر میپردازیم

#vi /var/named/chroot/var/named/named.local

حال خط  ) IN  SOA      localhost.root.  local host   @ را طبق خط زیر تغییر میدهیم

@      IN     SOA              pooya.com.      root.pooya.com. (

همچنین تغییرات زیر را میدهیم

                        IN     NS           pooya.com.
1                      IN     PTR        pooya.com.

PTR به مفهوم POINTER میباشد و عدد ۱ که در ابتدای خط است با توجه به ip 192.168.10.1 است و با توجه به IP مورد نظرمان قابل تغییر است

دراین قسمت پیکربندی DNS به پایان رسید فقط لازم است با فرمان زیر سرویسDNS را restart میکنیم

#service named restart

اکنون با فرمانهای زیر درست تنظیم شدن DNS را امتحام میکنیم و اگر خروجی NOERROR را مشاهده کردیم نشانگر درست پیکربندی شدن این سرویس میباشد

#dig www.pooya.com
#dig pooya.com
#dig -x 192.168.10.1

با نام خدا

بخش‌های امنیتی پروتکلSNMP

در ادامه معرفی پروتکل مدیریتی SNMP به مکانیزم‌های امنیتی آن می‌رسیم.

بخش‌های امنیتی همانند احراز هویت، محرمانگی و یکپارچگی در نسخه سومSNMP مورد توجه قرار گرفته است. در زمان انتقال پیام توسط SNMP می‌توان حالتهای دسترسیread-write, no-acces read-only, را برای پیام‌‌ها‌ تنظیم نمود. در نسخه‌ 1 و ۲ این پروتکل شنود بسته‌های ارسال شده قابل انجام بود زیرا رمزنگاری داده  در ترافبک شبکه انجام نمی‌شد.

این پروتکل می‌تواند بر روی TCP پیاده‌سازی شود اما در اغلب موارد بر روی‌UDP پیاده‌سازی می‌شود که IP spoofing را در این بخش میسر می‌نماید و شنود بسته‌های داده ارسال شده در شبکه را در لایه IP قابل انجام می‌نماید.

حملات brute force (شکستن رمز با امتحان تعدادی کلید با توجه به طول کلید الگوریتم رمزنگاری) و  dictionary attack از جمله مواردی هستند که تمام نسخه‌های این پروتکل نسبت به آن ضعف دارند. این ضعف به خاطر عدم پشتیبانی  پروتکل‌ از پروتکل دستداد چالش و پاسخ(challenge- response handshake) می‌باشد.

علاوه بر حملات بالا، این پروتکل می‌بایست در مقابل حمله dos (وقفه) نیز مقابله نماید. به این منظور، مقایسه پاسخ‌های دریافت شده به ازای درخواست‌های ارسال شده به شبکه در SNMP انجام می‌پذیرد. هر پاسخی که دریافت می‌شود می‌بایست به ازای درخواستی، ارسال شده به شبکه باشد؛ در غیر این صورت احتمال وجود حمله DOS وجود دارد.

در نسخه سوم این پروتکل مدل امنیتی مبتنی بر کاربر با نام (User-based Security Model(USM)) تعریف شده است. مدلUSM  در معماریSNMP کاربرد دارد و پروسیجرهایی تولید می‌کند تا در ایجاد سطوح امنیتی برای پیام‌های SNMP استفاده شوند. یکسری MIB مدیریتی برای مونیتورینگ و نظارت بر این مدل امنیتی(USM) تعریف شده است. نحوه انجام این تنظیمات در RFC 3414 تشریح شده است.

در بخش احراز هویت از الگوریتم‌های رمزنگاری HMAC-MD5-96 و HMAC-SHA-96 استفاده می‌شود و CBC-DES برای محرمانگی در پروتکلSNMP کاربرد دارد. به منظور حفظ محرمانگی، احراز هویت پیام بایستی الزامی باشد. مدلUSM پروتکلSNMP امکان استفاده از این الگوربتم‌ها را در کنارSNMP  مهیا نموده است.

هر کدام از الگوریتم‌ها به روشی پیاده‌سازی می‌شوند و توضیح نحوه پیاده سازی روش‌ها و الگوریتم‌های ذکرشده در بالا  جزو معرفی SNMP نمی‌باشد. برای آشنایی با هر کدام از این الگوریتم‌ها می‌توانید از شبکه اینترنت استفاده نموده و شرح پیاده‌سازی آن‌ها را مطالعه نمایید. روش و مدلUSM این الگوریتم‌ها را به منظور افزایش کارایی و امنیت پروتکل SNMP در کنار هم وبه کمک واحدهایMIB پیاده سازی نموده است. نحوه پیاده‌سازی آن‌ها در جلسه آینده مورد بحث قرار می‌گیرد.

موفق باشین……….

به نام خدا

با سلام خدمت شما دوستان

این جلسه در خصوص چگونگی قرار دادن اطلاعات و سیگنالها روی media یا رسانه صحبت می کنیم.

همانگونه که می دانید  در شبکه زمانی که از hub(دستگاه مرکزی که سیم ارتباطی هر کامپیوتر به آن وصل می شود ، و در لایه ۱ کار می کند) استفاده می شود  بستر موجود  یک بستر اشتراکی خواهد بود و در آن واحد تنها یک نفر می تواند اطلاعات خود را ارسال کند.در نتیجه به دلیل وجود تعدادی کاربر و نود نیاز هست تا مکانیزم یا قانونی  وجود داشته باشد تا کمترین تداخل را داشته باشیم . از آن جهت ۲ مکانیزم وجود دارد.

۱-CSMA/CD: Carrier sense multiple access with collision detection 

2-CSMA/CA: Carrier sense multiple access with collision avoidance

1-      CSMA/CD:

به این صورت است که زمانی که یک فرستنده قصد ارسال اطلاعات را دارد ابتدا خط را حس می کند که آیا کسی در حال ارسال اطلاعات هست یا نه (خط اشغال است یا نه)، اگر خط آزاد بود که فرستنده شروع به ارسال اطلاعات می کند، در غیر این صورت یک مدت زمانی random منتظر می ماند و مجددا خط را برای ارسال بررسی می کند و این کار رابارها تکرار می کند تا اطلاعاتش را ارسال کند.

حال در این میان ممکن است ۲ نود دقیقا در یک  زمان اطلاعاتی را ارسال کنندو باعث ایجاد تداخل یا collision شوند.

در این وضعیت ، اولین نودی که این تداخل را تشخیص داد سیگنالی را به نام jamming signal ارسال می کند و به همه اطلاع می دهد که در مسیر ارتباطی تداخل رخ داده است .

هر نود پس از دریافت این سیگنال تا یک مدت زمانی random  منتظر می مانند و بعد از تمام شدن این زمان داستان مجددا شروع می شود .

در زیر چند فیلم مرتبط را می توانید برای مفهوم بیشتردانلود کنید.

دانلود

۲-      CSMA/CA:

این مکانیزم نیز مشابه قبلی از حس کردن خط استفاده می کند ولی برخلاف آن تداخل را تشخیص نمی دهد ، بلکه سعی در جلوگیری این اتفاق می کند.

این مکانیزم در ارتباطات بی سیم مورد استفاده قرار می گیرد ، زیرا در این سیستم ها به دلیل media   مورد استفاده تشخیص اختلال به آن صورت امکان پذیر نیست .

در این مکانیزم به این صورت عمل می شود که  زمانی که فرستنده قصد ارسال دارد سیگنال RTS(request to send)  را ارسال میکند .و در خواست ارسال اطلاعات می کندو می گوید که چه مدت زمانی را برای ارسال اطلاعات خود نیاز دارد . در یافت کننده به محض دریافت این بسته در صورت خالی بودن فضا سیگنال CTS(Clear to send)  را ارسال می کند و می گوید که چه مدت زمانی کامپیوترهای دیگر سکوت کنند تا فرستنده آن اطلاعاتش را بفرستد .

در مقایسه کارایی این دو مثال چراغ راهنمایی مثال مناسبی است.

CSMA/CD  مانند چراغ چشمک زن و CSMA/CA  مانند چراغ کامل است. بدین صورت که در صورت کم بودن کاربران  سرعت CSMA/CD بیشتر است ولی در صورت افزایش کاربران در این نوع افزایش ناگهانی تداخل را خواهیم داشت .

به نمودار زیر توجه کنید.

موفق باشید.