تفاوت اصلی میان فایروال و IPS

/۰ دیدگاه /در , /توسط

(IPS (Intrusion Prevention System و (IDS (Intrusion Detection System

IPS یک سیستم شناسایی حملات در سطح شبکه میباشد که ترافیک را بر اساس دیتابیس الگو حملاتی که دارد ، شناسایی میکند همچنین IPS ها میتوانند بر اساس رفتار غیر عادی ترافیک عبوری در سطح شبکه نیز حملات را شناسایی کنند و پس از شناسایی حملات بسته به سیاست های امنیتی مورد استفاده در سازمان ترفیک را مانیتور Drop و یا Reject کنند .

تفاوت اصلی میان فایروال و IPS  سر این میباشد که فایروال ترافیک در سطح لایه ۳و ۴ بررسی کرده و هیچ نظارتی بر روی محتوای ترافیک ندارد اما IPS  با بررسی محتوای ترافیک و مقایسه آن با دیتابیس خود و یا با در نظر گرفتن رفتار ترافیک های عبوری حملات را شناسایی میکند به همین دلیل معمولاً IPS پشت فایروال قرار میگیرد که در صورتی که ترافیک مجاز به ورود به شبکه شد محتوای آنرا از نظر مخرب بودن یا نبودن بررسی کند .

IDS (Intrusion Detection System) : در حالیکه IPS معمولاً در مسیر ترافیک عبوری قرار میگیرد و جنبه امنیتی دارد ، IDS نیز با ساختاری مشابه IPS خارج از مسیر اصلی ترافیک قرار میگیرد و صرفاً از آن برای آنالیز ترافیک های شبکه استفاده میشود بطوریکه معمولاً از استفاده از قابلیت هایی مثل SPAN یک نسخه کپی ترافیک برای IDS فرستاده میشود و IDS در صورتیکه پس از بررسی محتوای ترفیک دریافتی متوجه ترافیک مخربی شد معمولاً آنرا بصورت یک Alert  برای یک سیستم مدیریتی ارسال میکند و معمولاً خوش بصورت مستقیم جلوی ترافیک مخرب را نمیگیرد .

IPS و IDS بصورت Network based و Host Based مورد استفاده قرار میگیرند و وجود هردو آنها ضروری است .

Network Based  ترافیک را در سطح شبکه های مختلف بررسی میکند و Host Based ترافیک را فقط برای یک Host مورد نظر بررسی میکند و زمانی کاربرد دارند که ترافیک از یک سیستم داخل شبکه به کاربر میرسد و اصلاً به Gateway و Network IPS نمیرشد .

Host based IPS/IDS  ها را میتوان بصورت جداگانه و یا پک های EndPoint Security در آنتی ویروس هایی مثل Kaspersky و Symantec و McAfee بر روی سیستم های کاربران نصب کرد .

Cisco Firepower  ، DarkTrace، McAfee IPS  ،IPS  IBM  و Snort را جمله IPS/IDS های مورد استفاده در شبکه میباشند .

برخی ویژگی‌های استاندارد امنیتی WPA3

/۰ دیدگاه /در , /توسط

برخی ویژگی‌های استاندارد امنیتی WPA3

پس از مشکلات گزارش شده برای WPA2، اتحادیه وای فای استاندارد جدید WPA3 را معرفی کرد.اولین پیش‌نویس واقعی از این پروتکل هنوز در دسترس قرار ندارد؛ اما اتحادیه‌ی وای‌فای تعدادی از ویژگی‌های آن را اعلام کرده که به شرح زیر است.

  1. تغییر داده‌های شبکه‌های عمومی وای‌فای به حالت رمزنگاری شده امن
  2. محافظت در برابر حمله‌های جستجوی فراگیر (Brute-force) از طریق مسدود کردن روند شناسایی بعد از چند مرتبه تلاش ناموفق برای لاگین
  3. امکان انجام تنظیمات امنیتی توسط گوشی و تبلت روی دستگاه‌هایی که فاقد نمایشگر هستند. این امکان امنیت بیشتری برای گجت‌های مجهز به اینترنت اشیاء (IOT) و سایر دستگاه‌هایی که انجام تنظیمات امنیتی در آن‌ها دشوار است، به همراه خواهد داشت.
  4. مجموعه‌ی امنیتی ۱۹۲ بیتی برای محافظت از شبکه‌هایی از قبیل اماکن دولتی و صنعتی و… که نیاز به امنیت بیشتری دارند.
  1. بعد از معرفی کامل این استاندارد توسط اتحادیه وای فای نوبت شرکت هاست که پشتیبانی از WPA3 را به مودم روترها، رایانه‌ها، گوشی‌ها، تبلت‌ها و دستگاه‌های مجهز به اینترنت اشیاء اضافه کنند. بنابراین، هنوز چند سالی با رواج استفاده از WPA3 فاصله داریم.

در شرایط کنونی بهترین کاری که می‌توانید انجام دهید این است که مطمئن شوید دستگاه‌های شما جدیدترین به‌روزرسانی‌های امنیتی را دریافت کرده‌اند. چنانچه دستگاهی دارید که آن‌قدر قدیمی است که به‌روزرسانی دریافت نمی‌کند، شاید بهتر باشد به فکر جایگزین جدیدتری برای آن باشید.

پروتکل امنیتی WPA2 که توسط مودم های وای‌فای مورد استفاده قرار می‌گیرد، دیگر امن نیست!

چند ماه پیش بود که خبری به سرعت در فضای مجازی پراکنده شد، محققان اعلام کرده‌اند که پروتکل امنیتی WPA2 که امروزه توسط اکثر شبکه‌های وای‌فای (مودم های خانگی و…) مورد استفاده قرار می‌گیرد، دیگر امن نیست و در معرض خطر قرار دارد؛ این یعنی ترافیک بین رایانه‌ها، گوشی‌های موبایل و اکسس پوینت‌ها قابل رهگیری است.

حقیقت مهمی را برایتان شفاف‌سازی کنیم؛ شما به‌هیچ‌وجه نباید احساس امنیت کنید! چرا که به‌تازگی مشخص شده که پروتکل یادشده کاملا آسیب‌پذیر است و به علت مشکلی که در آن پیدا شده، ارتباطات بین کاربر و ارائه‌دهنده‌ی اینترنت، قابل رهگیری است.

محققان امنیتی به‌تازگی راهی برای رهگیری ارتباطات بین کاربر و ارائه‌دهنده‌ی شبکه‌ی اینترنتی که از پروتکل امنیتی WPA2 استفاده می‌کند، پیدا کرده‌اند. طبق اطلاعیه‌ی منتشرشده از جانب سازمان US-CERT باگ یافت‌شده در پروتکل WPA2 می‌تواند به هکرها امکان رمزگشایی آن را بدهد.

این حمله‌ی هک فعلا به نام KRACK شناخته می‌شود؛ البته این نام رسمی نیست و ممکن است بعدها تغییر کند. در مورد این حمله، هم خبرهای خوب داریم و هم خبرهای بد و بهتر است بدانید که خبرهای بد بسیار بیشتر هستند.

از طریق منابع مختلف، شناسه‌های آسیب‌پذیری زیر اعلام شده‌اند: CVE-2017-13077 و CVE-2017-13078 و CVE-2017-13079 و CVE-2017-13080 و CVE-2017-13081 و CVE-2017-13082 و CVE-2017-13084 و CVE-2017-13086 و CVE-2017-13087 و  CVE-2017-13088.

پروتکل OpenFlow چیست؟

/۰ دیدگاه /در /توسط

پروتکل OpenFlow چیست؟

پروتکل OpenFlow یک واسط برای ارتباط سوئیچ‌های SDN و کنترل‌کننده SDN می‌باشد. کنترل‌کننده‌ای که از پروتکل OpenFlow  پشتیبانی می‌کند همواره بر روی پورت پیشفرض ۶۶۳۳ (در نسخه‌های بالاتر بر روی پورت ۶۶۵۳) گوش می‌دهد و منتظر اتصال سوئیچ‌های OpenFlow از طریق این پورت می‌ماند. سوئیچ OpenFlow با یک اتصال TCP (که ممکن از SSL نیز باشد) به کنترل‌کننده متصل می‌شود

از این پس تمامی اختیارات این سوئیچ در دست کنترل‌کننده SDN قرار می‌گیرد. مثلا کنترل‌کننده می‌تواند قاعده زیر را در سوئیچ SDN نصب کند:

در Match Field یا فیلد انطباق می‌توان ویژگی‌های سرآیند جریانی که می‌خواهیم برای آن اعمال سیاست کنیم را مشخص نماییم. به طور مثال بسته‌های IP و با پروتکل لایه انتقال TCP و پروتکل FTP را می‌توان با فیلد انطباق فوق مشخص نمود.

Actions شامل اقدام و یا اقداماتی است که می‌خواهیم برای این جریان خاص اعمال شود. به طور مثال می‌خواهیم تمامی بسته‌های FTP ورودی به این سوئیچ دور ریخته شوند. که بدین منظور می‌توان از drop استفاده نمود.

معرفی فایروال های نسل بعدی NGFW

/۰ دیدگاه /در , /توسط

معرفی فایروال های نسل بعدی NGFW

فایروال های سنتی قدیمی بر اساس فیلتر کردن یک پورت یا یک پروتکل خاص فعالیت می کردند. مثلا کلیه ترافیکی که مربوط به پورت ۸۰ بوده را بسته و به پروتکل HTTP اجازه عبور نمی دادند و یا اینکه تمامی ترافیک مربوطه به پورت ۴۴۳ را مسدود کرده و تمامی صفحاتی که با پروتکل HTTPS کار می کنند را مسدود می کردند. این نشانگر یک قانون است: یا همه چیز یا هیچ چیز.

فایروال های جدید تر این امکان را دارند که ترافیک را بر اساس نوع نرم افزار مورد استفاده و پورت و ترافیک مورد استفاده توسط هر نرم افزار کاربردی مسدود یا عبور دهند. مثلا شما میتوانید به یک برنامه خاص اجازه استفاده از پورت ۸۰ را و صرفا به یک وب سایت خاص بدهید و بدینوسیله به نرم افزار اجازه فیلتر کردن بر اساس پورت،پروتکل،آدرس و حتی یک سرویس خاص را بدهید. تصور کنید در این حالت یک فایروال و سرویس QoS را با هم در یکجا دارید.

اینگونه فایروال ها را با عنوان فایروال های نسل بعدی می شناسید، اما در حقیقت به نوعی تشکیل یک راهکار از نوع سیستم مدیریت یکپارچه تهدیدات یا UTM را خواهند داد. اما فراموش نکنید که هنگامی که اسم سیستم یکپارچه مدیریت تهدیدات یا همان UTM به گوش می خورد به یاد تجهیزات سخت افزاری خواهیم افتاد که برای همین فعالیت ها در نظر گرفته شده اند اما اینگونه تجهیزات بیشتر به درد تجارت های کوچک و خانگی یا به اصطلاح (SMB) می خورند. UTM ها امکانات بیشتری نسبت به یک فایروال دارند و در بیشتر اوقات شما می تواند در یک دستگاه UTM، یک فایروال، یک آنتی ویروس، یک آنتی اسپم، یک سیستم تشخیص و جلوگیری از نفوذ و بسیاری دیگر از امکانات باشید.

از این به بعد به فایروال های نسل بعدی NGFW می گوییم. اینگونه فایروال های به دلیل اینکه بسیار مناسب Tune شده اند میتوانند مدیریت بسیار مناسبی بر روی امنیت و پهنای باند عبور کننده از خود داشته باشند و دلیلی اصلی آن هوشمندی و دقت بیشتر در قدرت واکاوی داده هایی است که از آنها عبور میکنند. قدرت فیلترینگ محتویات یا content filtering همچنین وجود سرویس Qos در این فایروال ها این اجازه را به فایروال میدهد که پهنای باند را با توجه به اولویت نرم افزارها به آنها اختصاص دهد، مثلا نرم افزاری که دارای اولویت در استفاده از اینترنت باشد میتواند پهنای باند بیشتری را به خود اختصاص دهد. با توجه به رشد روز افزون فناروی و استفاده از سرویس های پردازش ابری، امکان سرویس دهی به اینگونه فناوری ها نیز در NGFW دیده شده است.

 

 

در اینجا برخی از ویژگیهای معمول فایروال های NGFW را بررسی می کنیم:

امکانات استاندارد یک فایروال: در این نوع فایروال های قابلیت های همان فایروال های قدیمی ( نسل اولی ) از قبیل مسدود کردن پورت ها و پروتکل ها و همچنین سرویس شبکه خصوص مجازی یا VPN و سرویس NAT وجود دارد.

شناسایی و فیلتر کردن نرم افزارها: این قابلیت در واقع بزرگتری نقظه قوت اینگونه فایروال ها است، آنها می توانند به جای اینکه صرفا پورت یا پروتکل خاصی را فیلتر کنند، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر کنند. این قابلیت باعث میشود که نرم افزارهای مخرب نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند.

واکاوی SSH و NGFW :SSL ها میتوانند ترافیک رمزنگاری شده پروتکل های SSL و SSH را نیز واکاوی کنند . آنها توانایی رمزگشایی ترافیک را داشته و پس از رمز گشایی و اطمینان از سالم بودم و عدم وجود ترافیک غیر مجاز با توجه به خط مشی تعیین شده برای آن مجددا رمزگذاری کرده و ارسال می کنند. این قابلیت از مخفی شدن کد های مخرب در درون ترافیک رمزنگاری شده توسط نرم افزارهای مخرب جلوگیری کرده و از ورود اینگونه ترافیک به درون شبکه جلوگیری کند.

جلوگیری از نفوذ: با هوشمندی خاصی که برای اینگونه از فایروال ها در نظر گرفته شده است و توانایی واکاوی فوق العاده ای که در آنها دیده شده است، این NGFW ها توانایی جلوگیری و تشخیص نفوذ را در خود جای داده اند. برخی از اینگونه NGFW ها قابلیت های تشخیص و جلوگیری از نفوذی دارند که حتی یک دستگاه IPS مجزا هم این ویژگیها را به تنهایی ندارد.

هماهنگی با دایرکتوری سرویس ها: از قابلیت های جدید اینگونه NGFW ها هماهنگی کامل با ساختار های دایرکتوری مانند اکتیودایرکتوری است و با این روش دیگر نیازی به تعریف کاربر در فایروال نیست و از همان گروه ها و کاربرانی که در اکتیودایرکتوری وجود دارند می توان در فایروال نیز استفاده کرد.

فیلتر کردن کدهای مخرب : NGFW میتوانند بر اساس نوع فعالیت یک نر مافزار و مخرب بودن آن از ادامه کار یا حتی شروع به کار یک کد مخرب جلوگیری کنند، اینگونه NGFW ها میتوانند بوسیله شناسایی سایت های مخرب و ذخیره آنها در دیتابیس خود از بروز حمله از طریق آنها جلوگیری کنند، همچنین یعضی از آنها توانایی شناسایی حملات از نوع Phishing و همچنین شناسایی ویروس ها و تروجان ها را دارند.

همیشه هنگام انتخاب یک محصول برای استفاده در شبکه به عنوان یک فایروال نسل بعدی باید به تعداد نرم افزار ها و تعداد شناسایی هایی که آن فایروال می تواند تشخیص دهد توجه کرد، برخی از آنها توانایی شناسایی بیش از ۱۵۰۰۰ حمله و نرم افزار را دارند و این در حالی است که نوع دیگری تنها قادر به شناسایی ۸۰۰ نوع حمله است، همچنین الگوریتم هایی که هر یک از آنها در شناسایی استفاده میکنند بسیار می تواند تعیین کننده باشد بطوریکه برخی از این نوع فایروال ها میتوانند برای یک نرم افزار مانند مسنجر یاهو تعیین کنند که کاربر بتواند چت کند اما نتواند فایلی را ارسال یا دریافت کند. همیشه در انتخاب یک محصول توانایی های آن را در اولویت قرار دهید.

آشنایی با سیستم تشخیص نفوذ یا به اختصار IDS

/۰ دیدگاه /در , /توسط

IDS و IPS چیست؟

سیستم های تشخیص نفوذ صرفا به منظور تشخیص و اعلام نفوذ راه اندازی می شوند و به تنهایی قدرت پیشگیرانه ندارند در حالیکه یک سیستم پیشگیری از نفوذ یا به اختصار IPS می تواند با کمک سیاست های امنیتی ایجاد شده توسط مدیر شبکه، اقدام به پیشگیری از نفوذ به سیستم نماید. لذا پیشنهاد می شود که سیستم های IDS و IPS در کنار یکدیگر قرار گیرند تا بتوان یک ثبات امنیتی پایدار را در مجموعه خود پیاده سازی نماییم.
اما مبحث ما در مورد سیستم های تشخیص نفوذ در حوزه نرم افزارهای تشخیص نفوذ قرار دارد. این نرم افزارها به منظور پیاده سازی یک مانیتورینگ قدرتمند در یک مجموعه طراحی شده اند.

در مجموع یک سیستم تشخیص نفوذ دارای اجزای زیر می باشد:

  • فعالیت یا Activity
  • مدیریت یا Administrator
  • هشدار یا Alert
  • تحلیل کننده یا Analyzer
  • منبع داده یا Data Source
  • رویداد یا Event
  • مدیر یا Manager
  • اطلاع رسانی یا Notification
  • حسگر یا Sensor
  • اپراتور

این اجزا در کنار یکدیگر یک سیستم تشخیص نفوذ را تشکیل می دهند. در کل ۲ نوع سیستم تشخیص نفوذ وجود دارد:

  1. MD-IDS
  1. AD-IDS

نوع اول براساس معماری حملات اقدام به تشخیص یک نفوذ می کند. دارای بانک اطلاعاتی از انواع حملات بوده و براساس آن بانک اطلاعاتی اقدام به تشخیص می نماید. به طور مثال در یک حمله TCP Flood اگر سیستم تشخیص نفوذ این نوع حمله را بشناسد می تواند بروز آن را تشخیص و اعلام نماید. اما در صورتیکه حملات و اتفاقات غیر متعارف در شبکه ما رخ دهد چگونه می توان از طریق این سیستم ها آنها را شناسایی نماییم؟ پاسخ این سوال نوع دوم سیستم های تشخیص نفوذ یعنی AD-IDS ها می باشند که در واقع با هوش مصنوعی خود اقدام به شناسایی اتفاقات غیرمتعارف در شبکه می کنند و آنها را گزارش می دهند. حال زمانی که این دو نوع سیستم با یکدیگر ترکیب شوند می توانند با بررسی و تجزیه تحلیل ترافیک شبکه از رخداد هرگونه نفوذ در شبکه شمارامطلع سازند.

هانی پات Honeypot چیست

/۰ دیدگاه /در , /توسط

هانی پات Honeypot چیست

هانی پات ها به تحلیلگران امنیت این شانس را میدهد تا بتوانند بطور واقعی بر روی دشمن خود مطالعه کنند. با آنالیز این که حملات واقعی چگونه، چه موقع انجام میشوند و چه هکرهایی در پشت روت کیت‌ها، تروجان‌ها و اکسپلویت‌ها هستند، آنالیزو شبکه میتواند راه های بهتر و کاراتری را در برابر چنین حملاتی پیشنهاد و ارائه دهد.

اجرای مانیتورینگ قوی بر روی هانی پات نه تنها برای آنالیزورها سودمند است، بلکه میتواند بخوبی دیگر اتک های احتمالی و بالقوه شبکه را نیز نشان دهد. در نهایت میتوان گفت که یک هانی پات هرچند طعمه ای بیش نیست اما اطلاعاتی در آن بصورت عمد گذاشته میشود که برای هر اتکر داخلی و یا خارجی وسوسه انگیز است ولی در واقع کاری که انجام میشود، انحراف نفوذگران از اهداف حساس و با ارزش شبکه است. به یاد داشته باشید که در برخی حوزه های قضایی، این کار بیشتر از آن که برای انحراف اتکر صورت پذیرد، به منظور به دام انداختن آن انجام میشود.

دو نوع رایج از هانی پات‌ها

محققان هانی پات‌ها را در دو دسته با ریسک بالا و با ریسک پایین کلاس‌بندی کرده‌اند. هانی پات با ریسک بالا عموما بر روی یک دیوایس، سیستم عامل و اپلیکیشن های واقعی و سرویس دهنده که اتکر قصد حمله و نفوذ بر روی آن‌ها را دارد، پیاده سازی می‌شود. به عنوان مثال، یک انالیزور که حملات محتمل بر روی ویندوز سرور ۲۰۱۲ (وب سرور) با IIS 8.5 را تحلیل میکند، باید برای نیل به هدف خود بر روی یک سیستم واقعی یا مجازی، سیستم عامل و نرم افزار گفته شده را اجرا کند. خوبی که هانی پات با ریسک بالا دارد، اینست که به اتکر این امکان داده میشود تا هر آنچه را که میخواهد بر روی دیوایس واقعی مورد نظر انجام دهد و علت هم اینست که اتکر دقیقا بر روی یک دیوایس واقعی و سرویس دهنده کار میکند. یعنی آنکه در این حالت، اکسپلویت ها بدرستی کار میکنند و قابل تحلیل هستند. در مقابل این نوع پیاده سازی هانی پات، میتواند ضررهای زیادی هم داشته باشد؛ چرا که وقتی که یک سیستم واقعی که هانی پات روی آن پیاده سازی شده، در معرض تهدید شدن قرار میگیرد، برای استفاده مجدد و قرارگیری در شبکه باید مجددا پیکربندی شود. اگرچه این مورد بسیار نادر است اما حملات مخرب بر علیه BIOS سیستم هانی پات، آن را ناایمن و غیر مطمئن میسازد. همین امر موجب میشود که از هانی پات به عنوان نقطه قوت اجرای حملات استفاده شود که این امر ممکن است سبب ایجاد مشکلاتی در ارائه سرویس واقعی شبکه شود.

اما هانی پات با ریسک پایین بر روی یک سیستم عادی مثل یک سیستم لینوکس اجرا میشود و طوری وانمود خواهد شد که این سیستم یک سیستم سرویس دهنده در شبکه است و سرویس خاصی را اجرا میکند. در مثال بالا؛ در ویندوز سرور ۲۰۱۲ با IIS 8.5، ممکن است سرویس هایی مثل پورت های رایج SMB و IIS 8.5 بر روی پورت های ۸۰ و ۴۴۳ در حال اجرا باشند. هانی پات لاگِ کانکشن های ایجاد شده بر روی این پورت ها و هرگونه فرمانی که بسمت آن ها ارسال شده است را مانیتور میکند.

هانی پات مرز آنچه که میتواند عبور کند و یا عبور نکند را مشخص می‌کند. بطور مثال یک هانی پات با ریسک پایین، وضعیتی شبیه یک روتر سیسکو را شبیه سازی میکند. ممکن است خود را شبیه به یک دیوایس سیسکو با قابلیت تلنت نشان دهد اما هرگز به اتکر این اجازه را نخواهد داد تا واقعا بر روی آن لاگین کند. در مقابل یوزرنیم ها و پسوردهایی که اتکر با ان ها سعی در لاگین داشته است را درخود ثبت میکند. یا آن که سیستم هانی پات ما ممکن است خود را شبیه به یک FTP سرور جا بزند. در این صورت ممکن است که به لاگین های ناشناس هم اجازه عبور دهد اما هرگز اجازه استفاده کامل از تمامی دستورات FTP را به آن ها نخواهد داد. در تمامی این حالات سیستم هانی پات ما خود را شبیه به یک سرور و ارائه دهنده سرویس جا زده است ولی از آنجایی که فقط نقش بازی میکند و در دل آن هیچ سرویس واقعی در حال اجرا نیست، اتکر حتی اگر در آن هم نفوذ کند، راه بجایی نخواهد برد و در واقع سرکار رفته است! در عوض تحلیلگر از لاگ هایی که ثبت شده است میتواند استفاده کافی را ببرد و اتکر را رفتار شناسی کند.

بزرگترین مزیت استفاده از هانی پات با ریسک پایین، اینست که به سادگی قابل نگهداری است چرا که در کنار سایر دلایل، این سیستم هیچگاه کاملا مورد تهدید قرار نخواهد گرفت. هرچند که با این وضعیت نیز تحلیلگر هم نخواهد توانست درک درستی از آن چه را اتکر قصد انجام آن را داشته است، بدست اورد. هانی پات رایجی که در حالت “ریسک پایین” مورد استفاده قرار میگیرد، Honeyd نام دارد که در طی اجرای پروژه Honeynet، توسط شخصی به نام Niels Provos ایجاد شده است.

هانی پات Honeypot  مدتی بود که تقریبا غیرفعال بود اما جدیدا با پرتکل rcm ترکیب شده و شکل جدیدی گرفته است وقدرت زیادی پیدا کرده است

vStack چیست

/۰ دیدگاه /در , /توسط

vStack چیست و چگونه باعث قطعی در بسیاری از سازمان های ایران شد :

در تجهیرات سیسکو یک قابلیت وجود دارد بنام Cisco Smart Install  که با استفاده از این قابلیت میتوانیم یک تجهیز را بعنوان Director برای مدیریت متمرکز روی image ها و تنظیمات هر تجهیز استفاده کنیم که قبل این کار باید تجهیزات مورد نظر را بعنوان Cisco Smart Install Client  برای Director در نظر بگیریم و سپس Director با استفاده از TFTP و همچنین بعنوان DHCP server  برای اون Client  عمل خواهد کرد و روی پورت TCP 4786 با Client ارتباط برقرار میکند و تنظیمات و در صورت نیاز image سیستم عامل اون تجهیز را مدیریت میکند .

Cisco Smart Install بصورت پیشفرض روی سوییچ های مبتنی بر ISO سیسکو فعال میباشد و  معمولاًً  این قابلیت روی سوییچ ها پیاده سازی میشود اما بسیاری از روتر ها را نیز میتوانیم بعنوان Director در نظر بگیریم .

حفره امنیتی موجود در این مکانیزم ، عدم ایجاد محدودیت روی پورت TCP 4786 میباشد که فرد مهاجم میتواند با دستکاری پکت و ارسال آن به پورت مذکور ، سوییچ را ریبوت کند و باعث از کار افتادن سرویس های شبکه (DoS) بشود .

شرکت سیسکو در تاریخ ۲۸  march 2018  که  ۹ روز قبل از حملات میباشد در سایت خود این حفرا امنیتی را اطلاع رسانی کرد و Patch مربوط به آنرا نیز در سایت قرار داد که برای از بین بردن این حفره امنیتی میتوانیم با از پچ شرکت سیسکو استفاده کنیم و یا در صورتیکه از این مکانیزم استفاده نمیکنیم ، آنرا غیرفعال و یا محدود کنیم .

برای بررسی فعال بودن این مکانیزم روی تجهیز هود دستور زیر را میزنیم :

Switch# Show vstack config

برای غیر فعال کردن این قابلیت روی Director  کافیست دستور زیر را به صورت Global بزنیم :

Router(config)# no vstack

 و برای غیر فعال کردن این قابلیت روی Client  های میزنیم :

switch(config)# no vstack

switch(config)# vstack director 0.0.0.0

اما در صورتیکه از این قابلیت استفاده میکنیم ، میتوانیم با Access list آنرا محدود کنیم :

Ip access-list extended VSTACK-Hardening

 Permit tcp host <director IP address> host <Client IP address> eq 4786

 Deny tcp any any eq 4786

 Permit ip any any

مهاجرت از سایبروم به Sophos

/۰ دیدگاه /در , /توسط

سوفوس با در اختیار گرفتن شرکت سایبروم و اضافه کردن مدل های جدید سری XG ترکیبی از بهترین امکانات سری SG سوفوس و iNG سایبروم را در  نسخه firmware  جدیدی با نام SF-OS برای سری  XG   طراحی نمود که علاوه بر بهره مندی از اکثر امکانات سایبروم دارای امکانات کلیدی دیگری نظیر RED ( برای ارتباطات از راه دور بسیار آسان ولی من شبکه ها ) , حفاظت قوی تر ایمیل با تکنولوژی رمزگذاری SPX وهمچنین DLP  , security Heartbeat  , advanced threat protection و رابطه گرافیگی هوشمند تری است.

این راهنما به مراحل ارتقا سیستم عامل سابیروم به Sophos می پردازد.

پیش نیازهای قبل از آپگرید:

  • بررسی امکان آپگرید مدل سایبروم و یا Frimware آن

در حال حاضر امکان انتقال firmware   فایروال های سری iNG   به Firmware فایروال  سری XG سوفوس به صورت رایگان وجود دارد.

  • جهت آپگرید، نسخه Frimware فایروال باید ورژن ۶.۳ MR1 و یا بالاتر باشد.
  • تجهیز باید در پورتال مشتریان سایبروم رجیستر بوده و اشتراک پشتیبانی داشته باشد.

جدول زیر لیست کاملی از تجهیزات سایبروم است که امکان آپگرید به Sophos را دارند.

 

Hardware Revision Model
AM04 CR10iNG
AM04 CR10wiNG
AM02, AM03 CR15iNG
ALL CR15iNG-4P
AM02, AM03 CR15wiNG
AM02, AM03 CR25iNG
AM02, AM03 CR25iNG-6P
AM02, AM03 CR25wiNG
AM02, AM03 CR25wiNG-6P
AM02, AM03 CR35iNG
AM02, AM03 CR35wiNG
All CR50iNG
All CR100iNG
All CR200iNG /XP
All CR300iNG /XP
All CR500ia/1F/10F/RP
All CR500iNG-XP
All CR750ia/1F/10F
All CR750iNG-XP
All CR1000ia/10F
All CR1000iNG-XP
All CR1500ia/10F
All CR1500iNG-XP
All CR2500iNG
All CR2500iNG-XP
All Cyberoam Virtual Appliances

 

  • برای یافتن Hardware Revision تجهیز سایبروم ابتدا به کنسول آن وصل شده و سپس با زدن دستور زیر نسبت به بررسی Hardware Revision اقدام نمایید.

Appliance: console> Cyberoam diagnostics  show version-info

  • حداقل نیازمندی ها برای آپگرید نسخه مجازی به شرح ذیل می باشد.

-One vCPU

-۲GB vRAM

-۲vNIC

-Primary Disk with a minimum of 4 GB Size

-Report Disk with a minimum of 80 GB Size

  • نکات قبل از آپگرید
  • بعد از ارتقای firmware به SF-OS امکان بهره گیری از تمام امکانات به مدت یکماه برای بررسی و تست نسخه جدید فراهم شده است و مدیران شبکه در صورت تمایل می توانند  اقدام به مهاجرت لایسنس ها  از سایبروم به سوفوس را داشته باشند. در طول مدت زمان تست و در صورت آپگرید نکردن لایسنس ها امکان بازگشت به نسخه سایبروم وجود دارد
  • فایروال آپگرید شده دیگر از طریق Cyberoam Central Console قابل مدیریت نخواهد بود و باید محصول مشابه Sophos به نام Sophos Firewall Manager را در اختیار داشته باشید.
  • فایروال آپگرید شده دیگر یکپارچکی با محصول iView را نخواهد داشت و برای ارائه گزارش ها باید Sophos iView را در اختیار داشته باشید.
  • بعد از آپگرید فایروال شرایط گارانتی محصول توسط قوانین شرکت Sophos مشخص و تعیین خواهد شد.
  • بعد از آپگرید به Sophos امکان بازگرداندن بکاپ های گرفته شده توسط سایبروم وجود ندارد.

مراحل آپگرید

شما با استفاده از راهنمای ارائه شده در زیر می توانید نسبت به آپگرید تجهیز خود اقدام نمایید.

مرحله ۱

در صورت دردسترس بودن فایروال SFOS برای تجهیز شما پیغامی در صفحه داشبورد فایروال بصورت زیر نمایان می شود بر روی آن کلیک کرده تا به پورتال مشتریان سایبروم وصل شوید.

 

 

 

مرحله ۲

نام کاربری و کلمه عبور خود را وارد کرده و وارد پنل سایبروم شوید

مرحله ۳

در لیست تجهیزات نمایش داده شده تجهیز مورد نظر جهت آپگرید را مشخص کرده و بر روی Upgrade کلیک نمایید.

 

 

 

 

مرحله ۴

گزینه Upgrade to Sophos Firewall OS را انتخاب کرده و بعد از آن نسخه مرتبط با سیستم عامل سایبروم را انتحاب کنید.

همانطور که قبلا اشاره شد امکان آپگرید برای نسخه های ۱۰.۶.۲ MR1 به بعد وجود دارد.

 

مرحله ۵

نکات مربوط به آپگرید را بررسی کرده و بر روی Continue to Upgrade کلیک نمایید.

مرحله ۶

بعد از زدن Continue to Upgrade به صورت اتوماتیک یک Sophos ID و account برای شما ساخته می شده و تجهیز شما به صورت اتوماتیک در سایت Sophos رجیستر می شود. بر روی Login to MySophos account کلیک کرده و جهت دانلود Frimware جدید با اکانت جدید ایجاد شده در سایت Sophos لاگین شوید.

مرحله ۷

بعد از دانلود Frimware جدید Sophos

  • در پنل ادمین سایبروم لاگین کرده و مراحل زیر را طی کنید.

System > Maintenance > Frimware

  • بر روی Upload کلیک کرده و فایل دانلودی با پسوند .gpg را انتخاب کنید.
  • بر روی Upload and Boot کلیک نمایید.

 

 

 

مرحله ۸

بعد از بوت شدن تجهیز با اکانت Administrator خود لاگین کنید

بعد از آپگرید مدل دستگاه و شماره سریال تجهیزات فیزیکی تغییری نمی کند. ولی در فایروال مجازی، نام به نسخه مشابه Sophos تغییر پیدا میکند.

آموزش کار با Packet Capture در UTMهای Fortigate

/۰ دیدگاه /در , /توسط
ابزار Packet Capture برای آنالیز دقیق و پکت به پکت ترافیک های عبوری از تجهیز مورد استفاده قرار می گیرد و به همین دلیل یادگیری و تسلط کار کردن با این ابزار میتواند کمک بسیار زیادی در TroubleShooting اکثر مشکلات مربوط به انتقال ترافیک ها در Fortigate باشد .

راه هایی برای رمزگشایی برخی باج‌افزارها

/۰ دیدگاه /در , /توسط

راه هایی برای رمزگشایی برخی باج‌افزارها

منبع: ایسنا

برای حذف باج‌افزار از رایانه، ابتدا باید نوع باج افزاری که رایانه را آلوده کرده است، شناسایی شود. برای این منظور می‌توان از خدماتی مانند شناسه باج‌افزار برای شناسایی آن استفاده کرد.

باج‌افزار یکی از بدافزارهایی است که می‌تواند رایانه‌ها را آلوده کند. این نوع بدافزار فایل‌های رایانه را رمزگذاری و قفل می‌کند و تنها راه دسترسی به آن‌ها پرداخت باج به هکر است. برای حذف باج‌افزار از رایانه، ابتدا باید نوع آن را شناسایی کرد و برای این کار می‌توان از ابزارهایی مانند شناسه باج‌افزار استفاده کرد. پس از شناسایی نوع باج‌افزار می‌توان آن‌ را با ابزارهایی مربوط به هر باج‌افزار از بین برد.

%d8%b1%d8%a7%d9%87-%d9%87%d8%a7%db%8c%db%8c-%d8%a8%d8%b1%d8%a7%db%8c-%d8%b1%d9%85%d8%b2%da%af%d8%b4%d8%a7%db%8c%db%8c-%d8%a8%d8%b1%d8%ae%db%8c-%d8%a8%d8%a7%d8%ac%e2%80%8c%d8%a7%d9%81%d8%b2%d8%a7%d8%b1

مرکز مدیریت امداد و هماهنگی رخدادهای رایانه ‌ای (ماهر)، لیستی از ابزارهای رمزگشایی باج افزار برای ویندوز ۱۰ منتشر کرده است که به قربانی کمک می‌کند این مشکل را رفع کرده و با رمزگشایی باج‌افزارها، اطلاعات را بازیابی کند.

رمزگشای AutoLocky برای باج‌افزاری با همین نام به کار می‌رود. اگر رایانه‌ای آلوده به باج‌افزار شود، نام فایل‌های آن رایانه به Locky تغییر می‌یابد و رمزگذاری می‌شود. با استفاده از رمزگشای AutoLocky می‌توان به حذف این نرم‌افزار مخرب امیدوار بود.

باج‌افزار Jigsaw در صورت عدم پرداخت باج به هکر تمام فایل‌ها را حذف خواهد کرد، اما با ابزاری مانند رمزگشای Jigsaw می‌توان این نرم‌افزار را به راحتی از رایانه حذف کرد.

رمزگشای باج‌افزار  Kaspersky توسط شرکت آنتی‌ویروس کسپرسکی منتشر شده و می‌تواند هر دو باج‌افزار Coin Vault و Bitcryptor را از رایانه حذف کند. کسپرسکی ابزارهای مختلف دیگری را نیز برای حذف باج‌افزارها منتشر کرده است که می‌توان آن‌ها را از وب‌سایت این شرکت دانلود کرد.

کسپرسکی رمزگشای Rannoh dectyptor را برای باج‌افزار CryptXXX منتشر کرده‌ است، بنابراین اگر رایانه‌ای‌ آلوده به این باج‌افزار باشد، باید از این رمزگشا استفاده کرد.

باج‌افزار خاصی می‌تواند به طور کامل مانع از دسترسی به رایانه شود. اما خوشبختانه ابزارهایی مانند Windows Unlocker کسپرسکی می‌توانند این مشکل را رفع کنند. برای حذف باج‌افزار با استفاده از این ابزار، تنها باید فایل “iso.” را دانلود و از آن برای ساخت یک حافظه فلش قابل راه‌اندازی استفاده کرد. پس از آن باید رایانه‌ی خانگی را از این درایو راه‌اندازی و با توجه به دستورالعمل، عمل کرد.

رمزگشای Hitmanpro.Kickstart ابزار دیگری برای دستیابی به رایانه است، حتی اگر رایانه به طور کامل مسدود شده باشد. تنها لازم است این رمزگشا در درایو حافظه فلش قرار گیرد و رایانه راه‌اندازی شود. سپس برنامه به طور خودکار باج‌افزار را حذف خواهد کرد.

ابزار ضد باج‌افزاری trend micro می‌تواند برای دستیابی به رایانه و حذف باج‌افزار با راه‌اندازی از یک درایو حافظه فلش استفاده شود.

شرکت Cisco نیز ابزار رمزگشای خود را برای باج‌افزار منتشر کرده و این ابزار برای حذف Telsacrypt طراحی شده است. ابزار رمزگشای Telsacrypt به صورت یک ابزار خط فرمان منتشر می‌شود و به قربانی برای حذف این باج‌افزار از رایانه خانگی کمک می‌کند.

باج‌افزار خاصی به نام Operation Global III فایل‌ها را رمزگذاری کرده و پسوند آن‌ها را به “exe”   تغییر می‌دهد. در صورت برخورد با چنین مشکلی، می‌توان از ابزار رمز گشای Operation Global III استفاده کرد.

گاهی اوقات باج‌افزاری رکورد Master boot را تغییر داده و مانع از راه‌اندازی windows یا  safe modeمی‌شود. یکی از باج‌افزارهایی که چنین کاری را انجام می‌دهد، باج‌افزار Petya است؛ اما می‌توان آن را به راحتی با استفاده از رمزگشای باج‌افزار Petya حذف کرد.

همچنین در صورت آلوده شدن رایانه خانگی به باج‌افزار UmberCrypt  و  HydraCrypt باید آن را با استفاده از رمزگشاهای باج‌افزار UmberCrypt  و  HydraCryptحذف کرد.