پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی پریسا دل پرستاران کارشناس ارشد سرویس های پایه شبکه تیم سرویس های پایه و.
Download ReportTranscript پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی پریسا دل پرستاران کارشناس ارشد سرویس های پایه شبکه تیم سرویس های پایه و.
پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی پریسا دل پرستاران کارشناس ارشد سرویس های پایه شبکه تیم سرویس های پایه و کاربردی 1 http://network-black.blog.ir/ فهرست سرویس های شبکه بررسی موردی چند سرویس شبکه ARP DHCP DNS FTP SMB http://network-black.blog.ir/ 2 http://network-black.blog.ir/ پروتکل/سرویس قوانینی که برای تبادل اطالعات بین دو دستگاه در شبکه ها وجود دارد را پروتکل می گویند .از مهمترین پروتکل های شبکه می توان به DNS ، IP، TCPو ...اشاره کرد. پیاده سازی نرم افزاری پروتکل را سرویس گوییم .مثال سرویس DNSپیاده سازی از پروتکل DNSمی باشد. در ادامه به بررسی برخی پروتکل های مهم و مشکالت امنیتی موجود در آن ها و راهکارهای امنیتی می پردازیم. http://network-black.blog.ir/ الیه های شبکه http://network-black.blog.ir/ 5 الیه های شبکه http://network-black.blog.ir/ 6 مروری بر پروتکل ها از جمله پروتکل های شبکه می توان به موارد زیر اشاره کرد ARP HTTP SMB FTP TFTP DNS NTP CUPS MAIL SMTP POP3 IMAP http://network-black.blog.ir/ حمالت و تهدیدات حمالت و تهدیدات موجود در سرویس های شبکه به سه علت می تواند باشد پروتکل ذاتا دارای ایراد امنیتی می باشد. مانند پروتکل DNS سرویس دهنده مورد استفاده دارای حفره امنیتی می باشد. سرویس دهنده به شکل نامناسب پیکربندی شده است. http://network-black.blog.ir/ حمالت و تهدیدات در صورتی که تعریف پروتکل دارای ضعف باشد سعی می شود با راهکارهایی مانند نصب نرم افزارهای تکمیلی جلوی سوء استفاده گرفته شود. برای جلوگیری از مشکالت سرویس دهنده ،باید از آخرین نسخه منتشر شده سرویس دهنده استفاده کرد و وصله های منتشر شده را مرتب دریافت کرد. سرویس دهنده باید به درستی تنظیم شود. http://network-black.blog.ir/ http://network-black.blog.ir/ 10 Address Resolution Protocol http://network-black.blog.ir/ 11 ARP Address Resolution Protocol وظیفه نگاشت آدرس IPبه آدرس فیزیکی ()MAC کارت شبکه یک کامپیوتر از آدرس فیزیکی برای تشخیص تعلق یک بسته اطالعاتي استفاده می کند. ،ARPاز جدولي خاص ()ARP Tableبه منظور ذخیره سازي آدرس هاي IPو MACمربوطه ،استفاده مي نماید http://network-black.blog.ir/ ARP Request http://network-black.blog.ir/ ARP Response http://network-black.blog.ir/ حمالت ARP از مهمترین حمالت ARPمی توان به ARP Spoofیا همان ARP Poisonاشاره کرد. اساس اولیه ARP Spoofفرستادن بسته های جعلی ARP درون شبکه LANمی باشد معموال حمله کننده آدرس MACخود را به جای سایر IPها معرفی می کند ( معموال دروازه پیش فرض) حمله کننده می تواند داده های شبکه محلی را شنود کند ، آنها را تغییر دهد ،یا همه ترافیک را متوقف کند. http://network-black.blog.ir/ حمالت ARP جدول ARPکامپیوتر قبل از مسموم شدن http://network-black.blog.ir/ حمالت ARP جدول ARPکامپیوتر بعداز مسموم شدن همانطور که مشاهده می شود تمام آدرس های MAC سیستم قربانی یکی شده اند. http://network-black.blog.ir/ نتیجه حمله نتیجه این حمله این است که بسته های ارسالی برای آدرس IPهای مذکور ،به آدرس MACگفته شده که سیستم مهاجم است ارسال می شود. به عنوان مثال اگر مهاجم آدرس MACدروازه پیش فرض را تغییر دهد ،بسته های قربانی که برای خارج شبکه داخلی می باشد(مثال استفاده از وب) ،به جای ارسال برای دروازه پیش فرض برای مهاجم ارسال می شود. می تواند به آشکار شدن اطالعات حساس قربانی شود. به این حمله که مهاجم در بین قربانی و هدف قرار می گیرد حمله مردی در میان گویند. http://network-black.blog.ir/ حمله مردی در میان http://network-black.blog.ir/ 19 راه های مقابله با حمله داده های ARPثابت در شبکه های کوچک استفاده از آدرس IPو MACثابت ]arp -s [ip_address] [mac_address این روش برای شبکه های بزرگ کارایی ندارد در سیستم عامل ویندوز ،بسته های ARPجعلی جایگزین ورودی های ثابت می شود در مجموع این روش ،روشی ناکارآمد است. http://network-black.blog.ir/ راه های مقابله با حمله راه حل های نرم افزار ARPwatch نرم افزاری برای نظارت فعالیت های . ARPاین نرم افزار برای مقابله با حمالت نیست و تنها برای نظارت جهت شناسایی حمالت می باشد. : Xarp یک برنامه امنیتی برای تشخیص حمالت Xarp. ARP با استفاده از تکنیک های پیشرفته به تشخیص حمالت ARPمی پردازد و در صورت هرگونه تهدیدی به کاربر هشدار می دهد. : Anti ARP spoof با اجرای این برنامه اگر حمله ARP spoofرخ دهد ،برنامه سیستم مهاجم را شناسایی کرده و حمالت آنرا خنثی می کند. http://network-black.blog.ir/ Dynamic Host Configuration Protocol http://network-black.blog.ir/ 22 DHCP Dynamic Host Configuration Protocol پروتکلی برای تنظیم خودکار اجزای شبکه به دلیل اینکه این پروتکل اجزای مهمی مانند آدرس ،IP سرویس دهنده پیش فرض نام و دروازه پیش فرض را مشخص می کند ،اطمینان از صحت عملکرد پروتکل مهم می باشد. 23 http://network-black.blog.ir/ حمالت DHCP : DHCP Starvation Attacks نوعی حمله که مهاجم با تغییر MACخود دائما از سرویس دهنده تقاضای آدرس IP می کند. اگر حمله موفقیت آمیز باشد ،سبب تخصیص یافتن همه آدرس های سرویس دهنده DHCPبه حمله کننده می شود و دیگر سیستم ها از گرفتن IPمحروم می شوند 24 http://network-black.blog.ir/ حمالت DHCP : DHCP Spoofing Attacks مهاجم خود را به جای یک سرویس دهنده DHCPمعرفی می کند و این DHCPجعلی به درخواست های کاربران پاسخ می دهد. از آنجایی که سرویس گیرندگان خود سرویس دهنده را مشخص نمی کنند ،سرویس دهنده جعلی اطالعات کاربران از قبیل آدرس ، IPدروازه پیش فرض و آدرس سرویس دهنده نام را خود در اختیار سرویس گیرندگان قرار می دهد. 25 http://network-black.blog.ir/ راه های مقابله با حمله راه حل های سخت افزاری : DHCP snoop یک تکنولوژی الیه 2می باشد و با اطالعات سرویس دهنده DHCPکار می کند در مورد اعتبار بسته های ARPبر اساس اعتبار آدرس های IP-MACکه در یک پایگاه داده معتبر ذخیره شده است ،تصمیم گیری می کند تضمین می کند که تنها بسته های پرسش و پاسخ معتبر ARPدر شبکه رد و بدل می شوند http://network-black.blog.ir/ DHCP snoop 27 http://network-black.blog.ir/ در DHCP snoopتنها لیست سفیدی از IPها اجازه دسترسی به شبکه را دارند .این لیست روی پورت های سوئیچ تعریف می شود و توسط سرویس دهنده DHCPمدیریت می شود . اگر بسته ARPروی یک اینترفیس معتبر دریافت شود ، سوئیچ بسته را بدون بررسی فوروارد می کند .روی اینترفیس های غیر قابل اعتماد تنها اگر بسته معتبر باشد سوئیچ آنرا فورواد می کند. در یک شبکه معموال پورت هایی که به میزبان ها متصل هستند به عنوان غیرقابل اعتماد و پورت هایی که به دیگر سوئیچ ها متصل شدند را به عنوان قابل اعتماد معرفی می کنیم DHCP snoop http://network-black.blog.ir/ 28 DHCP snoop اینترفیس های قابل اعتماد را مشخص می کنیم زیرا به صورت پیش فرض اینترفس ها غیرقابل اعتمادند بسته هایی که از اینترفیس های غیرقابل اعتماد می رسند بررسی می شوند و بسته هایی که از اینترفیس های قابل اعتماد می رسند بدون بررسی فوروارد می شوند. 29 http://network-black.blog.ir/ DHCP snoop DHCP snoop موارد امنیتی زیر را فراهم می کند 30 محدودیت نرخ پیغام های DHCPروی یک پورت اعتبار بخشیدن به پیغام های DHCPصادر شده مشخص شدن پورت تخصیص داده شده به کاربر تصدیق پیغام DHCP جلوگیری از حمله DoSدر سرویس دهندهDHCP http://network-black.blog.ir/ Access List استفاده از راDHCP snoop روش دیگر برای سوئیچ هایی که استaccess list پشتیبانی نمی کنند استفاده از در این روش مشخص می شود چه آدرس هایی مجازند که بفرستندDHCP rely set security acl ip ROGUE-DHCP permit udp host 192.0.2.1 any eq 68 set security acl ip ROGUE-DHCP permit udp host 10.1.1.99 any eq 68 set security acl ip ROGUE-DHCP deny udp any any eq 68 set security acl ip ROGUE-DHCP permit ip any any http://network-black.blog.ir/ 31 استفاده از Access List زمانی که کاربری تازه وارد شبکه می شود اتفاقات زیر رخ می دهد 32 یک dhcp requestبه آدرس مبدا 0.0.0.0و آدرس مقصد 255.255.255.255می فرستد سرویس دهنده dhcpغیرمجاز و مجاز هر دو جواب می دهند سرویس دهنده غیرمجاز پاسخ را ارسال می کند اما از آنجا که آدرس مبدا از آدرس های مجاز گفته شده نیست ،پاسخ توسط access switchحذف می شود سرویس دهنده مجاز پاسخ کاربر را می دهد کاربر به شبکه وصل می شود http://network-black.blog.ir/ Port Security در ساده ترین حالت Port Securityآدرس MACمتصل به سوئیچ را به خاطر می سپارد و فقط به همان آدرس MACاجازه برقراری ارتباط با پورت سوئیچ را می دهد. اگر آدرس MACدیگری بخواهد از طریق همان پورت به شبکه متصل شود پورت مذکور غیرفعال می شود 33 http://network-black.blog.ir/ Port Security http://network-black.blog.ir/ 34 Domain Name System http://network-black.blog.ir/ 35 DNS Domain Name System پروتکلی برای ترجمه اسامي کامپیوترهاي میزبان و دامنه به آدرسهاي IP به عنوان مثال نگاشت نام دامنه nsec.irبه آدرس IP 80.191.139.21 36 http://network-black.blog.ir/ حمالت DNS : DNS spoof عملیاتی برای تغییر دادههای سرویسدهنده DNSبه IPغیر از IPواقعی : DNS Cache poisoning هنگاميکه سرویس دهنده DNSجوابي براي یک درخواست نداشته باشد ،درخواست را براي سایر سرویس دهندهها ارسال ميکند تا به جواب برسد ،اگر براي سرویس دهنده DNSپاسخ اشتباهي برسد (مثال IPیک دامنه اشتباه ارسال شود) سرویس دهنده DNSجواب دریافتي را براي مدتي cacheميکند و در این مدت اطالعات اشتباهي دارد. 37 http://network-black.blog.ir/ امنیت DNS گام های امنیت DNS 38 توسعه امنDNS امن سازی سرویس DNS امن سازی حوزه ها امن سازی رکوردهای منابع http://network-black.blog.ir/ توسعه امن DNS http://network-black.blog.ir/ فضای نام DNSداخلی را روی سرویس دهنده های DNSداخلی و فضای نام DNSبیرونی را روی سرویس دهنده های بیرونی میزبانی کنید .در این صورت برای تحلیل پرس و جوهای نام های بیرونی که توسط میزبان داخلی درخواست می شود ،سرویس دهنده های داخلی پرس و جو ها را به سرویس دهنده های بیرونی ارسال می کند .میزبان های بیرونی نیز فقط از دیگر سرویس دهنده های بیرونی برای تحلیل نام های اینترنتی استفاده می کند دیوار آتش را طوری پیکربندی کنید که تنها پورت 53 ( TCPو )UDPمیان سرویس دهنده های داخلی و بیرونی 39 امن سازی سرویس DNS محدود کردن شنود سرویس دهنده DNS با محدود کردن آدرس های IPکه سرویس دهنده DNSآنها را شنود می کند ،از میزان حمالت روی این سرویس دهنده کاسته می شود. Start Administrative Tools DNS راست کلیک روی سرویس دهنده DNSو انتخاب Properties از پنجره باز شده در سربرگ Interfacesگزینه Only the following IP addressesرا انتخاب کنید 40 http://network-black.blog.ir/ امن سازی cacheسرویس دهنده در برابر آلودگی نام ها از طریق امن سازی کش سرویس دهنده DNSدر برابر آلودگی ،مهاجم قادر نخواهد بود تا کش سرویس دهنده را آلوده کند. Start Administrative Tools DNS راست کلیک روی سرویس دهنده DNSو انتخاب Properties Advanced Server Options Secure cache against pollutions 41 http://network-black.blog.ir/ غیرفعال کردن جستجوی بازگشتی بطور پیش فرض سرویس دهنده های DNSپرس و جوهای بازگشتی را از طرف سرویس گیرنده ها و دیگر سرویس دهنده های DNSانجام می دهد .پرس و جوهای بازگشتی می تواند توسط مهاجمان مورد سوء استفاده قرار گیرد ؟؟؟ غیر فعال شود Start Administrative Tools DNS راست کلیک روی سرویس دهنده DNSو انتخاب Properties Advanced Servers options Disable Recursion 42 http://network-black.blog.ir/ پیکربندی Root Hintها از ریشه DNSداخلی برای ایجاد فضای نام DNS خصوصی استفاده می شود تا این فضای نام برای همگان افشا نشود Root Hint .ها کمکی برای سرویس دهنده DNSمی باشد تا اطالعاتی در مورد دامنه DNSای سطح باال (مثال ) .com ، .netجستجو کند اگر یک ریشه DNSداخلی داشته باشید ،باید Root Hint های دیگر سرویس دهنده های داخلی طوری پیکربندی شوند تا به سرویس دهنده مزبور ،اشاره کنند. 43 http://network-black.blog.ir/ پیکربندی Root Hintها Start Administrative Tools DNS 44 راست کلیک روی سرویس دهنده DNSو انتخاب Properties از پنجره باز شده به سربرگ Root Hintsبروید روی هر یک از سرویس دهنده های DNSلیست شده در قسمت Name Serversکلیک کرده و جهت حذف آنها روی Remove کلیک کنید برای هریک از سرویس دهنده های DNSای که نقش ریشه داخلی می باشد روی دکمه Addکلیک کرده سپس نام و آدرس IPمتعلق به سرویس دهنده DNSرا وارد کنید http://network-black.blog.ir/ http://network-black.blog.ir/ DNS مدیریت کنترل دسترسی به سرویس 45 مدیریت کنترل دسترسی به سرویس DNS Start Administrative Tools DNS راست کلیک روی سرویس دهنده DNSو انتخاب Properties از پنجره ظاهر شده به سربرگ Securityلیست کنترل دسترسی مطابق جدول گفته شده تنظیم شود. 46 http://network-black.blog.ir/ پیکربندی فایل ثبت سرویس DNS نیاز است رویدادهای مربوط به سرویس DNSروی سرویس دهنده به میزان کافی ثبت شود Start Administrative Tools Computer Management در پنل سمت چپ از پنجره ، Computer Managementبه System Tools Event Viewer در پنل سمت چپ از پنجره ،Computer Management به System Tools Viewer Eventرفته و از پنل سمت راست روی DNS Serverراست کلیک کرده و Properties را انتخاب کنید در سربرگ Generalاز پنجره ظاهر شدهMaximum log ، sizeرا با حداقل 16 Mتنظیم کنید 47 امن سازی حوزه ها پیکربندی به روزرسانی های پویا به صورت امن :به روزرسانی پویا قابلیتی است که از طریق آن کامپیوترهای سرویس گیرنده DNSخواهند بود .این قابلیت منجر به کاهش لزوم مدیریت دستی رکوردهای حوزه می شود .به روزرسانی پویای امن قابلیتی است که فقط به روزرسانی پویای بی خطر را برای یک حوزه اجازه می دهد(مخصوص )AD Start Administrative Tools DNS 48 راست کلیک روی حوزه مورد نظر و انتخاب Properties در سربرگ Generalنوع حوزهActive Directory Integrated سپس در قسمت Dynamic Updatesگزینه Security onlyانتخاب شود. http://network-black.blog.ir/ http://network-black.blog.ir/ مدیریت کنترل دسترسی به حوزه 49 مدیریت کنترل دسترسی به حوزه Start Administrative Tools DNS راست کلیک روی حوزه مورد نظر و انتخاب Properties از پنجره ظاهر شده به سربرگ Securityلیست کنترل دسترسی مطابق جدول گفته شده تنظیم شود. 50 http://network-black.blog.ir/ محدود کردن انتقال حوزه ها به دلیل اهمیت حوزه ها در DNSالزم است حوزه ها از طریق بیش از یک سرویس دهنده در دسترس باشند .اگر سرویس دهنده بیشتری ،یک حوزه را میزبانی کنند ،انتقال حوزه مستلزم نسخه برداری و همزمان سازی تمامی کپی های حوزه برای هر یک از سرویس دهنده هایی که مسزبانی حوزه را بر عهده دارند می باشد سرویس دهنده ای که مشخص نمی کند چه کسی می تواند انتقال حوزه را درخواست کند ،در برابر انتقال کل حوزه DNSبه هر کسی که آن را درخواست کند آسیب پذیر است 51 http://network-black.blog.ir/ محدود کردن انتقال حوزه ها Start Administrative Tools DNS راست کلیک روی حوزه مورد نظر و انتخاب Properties در سربرگ Zone Transfersبرای فعال کردن انتقال های حوزه گزینه Allow zone transferرا انتخاب و برای غیرفعال کردن انتقال حوزه آن را از حالت انتخاب خارج کنید در صورت فعال کردن انتقال های حوزه به سرویس دهنده های DNS مشخص گزینه Only the following serversرا انتخاب کرده و سپس آدرس IPسرویس دهنده های DNSرا مشخص کنید 52 http://network-black.blog.ir/ http://network-black.blog.ir/ امن سازی رکوردهای منابع 53 امن سازی رکوردهای منابع Start Administrative Tools DNS راست کلیک روی رکورد مورد نظر و انتخاب Properties به سربرگ Securityرفته و لیست کنترل دسترس ی را مطابق جدول گفته شده تنظیم کنید 54 http://network-black.blog.ir/ File Transfer Protocol http://network-black.blog.ir/ 55 FTP http://network-black.blog.ir/ File Transfer Protocol یکی از ساده ترین پروتکل های انتقال فایل که از TCPاستفاده می کند DoSو BOFاز حمالت رایج به سرویس دهنده FTPهستند برای امنیت بیشتر این سرویس دهنده نام کاربری و رمزعبور سرویس دهنده باید در اختیار افراد معتبر قرار گیرد هر کاربر دسترسی های مورد نیاز را داشته باشد اگر دسترسی نوشتن الزم نیست ،کاربر اجازه نوشتن نداشته باشد از سرویس دهنده های معتبر استفاده شود 56 Server Message Block http://network-black.blog.ir/ 57 SMB Server Message Block یکی از پروتکلهای مرسوم که کاربرد اصلی آن انتقال فایل و استفاده از چاپگر در داخل شبکه است .توسط این پروتکل میتوان منابعی که فایلها را به اشتراک گذاشتهاند و همچنین سرویسگیرندهها را مدیریت کرد. در صورتی که سیستمی منابع اشتراکی برای سایر کاربران دارد ،نیاز است که دسترسی ها به درستی اعمال شوند. 58 http://network-black.blog.ir/ امنیت در SMB برای اعمال دسترسی های مناسب روی پوشه اشتراکی راست کلیک کرده قسمت Sharing and Security با رفتن به قسمت Permissionsمی توان دسترسی های مناسب برای کاربران استفاده کننده را تنظیم کرد 59 http://network-black.blog.ir/