پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی پریسا دل پرستاران کارشناس ارشد سرویس های پایه شبکه تیم سرویس های پایه و.
Download
Report
Transcript پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی پریسا دل پرستاران کارشناس ارشد سرویس های پایه شبکه تیم سرویس های پایه و.
پروتکل ها و سرویس های شبکه
تهدیدها و راهکارهای امنیتی
پریسا دل پرستاران
کارشناس ارشد سرویس های پایه شبکه
تیم سرویس های پایه و کاربردی
1
http://network-black.blog.ir/
فهرست
سرویس های شبکه
بررسی موردی چند سرویس شبکه
ARP
DHCP
DNS
FTP
SMB
http://network-black.blog.ir/
2
http://network-black.blog.ir/
پروتکل/سرویس
قوانینی که برای تبادل اطالعات بین دو دستگاه در شبکه
ها وجود دارد را پروتکل می گویند .از مهمترین پروتکل
های شبکه می توان به DNS ، IP، TCPو ...اشاره کرد.
پیاده سازی نرم افزاری پروتکل را سرویس گوییم .مثال
سرویس DNSپیاده سازی از پروتکل DNSمی باشد.
در ادامه به بررسی برخی پروتکل های مهم و مشکالت
امنیتی موجود در آن ها و راهکارهای امنیتی می پردازیم.
http://network-black.blog.ir/
الیه های شبکه
http://network-black.blog.ir/
5
الیه های شبکه
http://network-black.blog.ir/
6
مروری بر پروتکل ها
از جمله پروتکل های شبکه می توان به موارد زیر اشاره کرد
ARP
HTTP
SMB
FTP
TFTP
DNS
NTP
CUPS
MAIL
SMTP
POP3
IMAP
http://network-black.blog.ir/
حمالت و تهدیدات
حمالت و تهدیدات موجود در سرویس های شبکه به سه
علت می تواند باشد
پروتکل ذاتا دارای ایراد امنیتی می باشد.
مانند پروتکل DNS
سرویس دهنده مورد استفاده دارای حفره امنیتی می
باشد.
سرویس دهنده به شکل نامناسب پیکربندی شده است.
http://network-black.blog.ir/
حمالت و تهدیدات
در صورتی که تعریف پروتکل دارای ضعف باشد سعی
می شود با راهکارهایی مانند نصب نرم افزارهای تکمیلی
جلوی سوء استفاده گرفته شود.
برای جلوگیری از مشکالت سرویس دهنده ،باید از آخرین
نسخه منتشر شده سرویس دهنده استفاده کرد و وصله های
منتشر شده را مرتب دریافت کرد.
سرویس دهنده باید به درستی تنظیم شود.
http://network-black.blog.ir/
http://network-black.blog.ir/
10
Address Resolution Protocol
http://network-black.blog.ir/
11
ARP
Address Resolution Protocol
وظیفه نگاشت آدرس IPبه آدرس فیزیکی ()MAC
کارت شبکه یک کامپیوتر از آدرس فیزیکی برای تشخیص
تعلق یک بسته اطالعاتي استفاده می کند.
،ARPاز جدولي خاص ()ARP Tableبه منظور ذخیره
سازي آدرس هاي IPو MACمربوطه ،استفاده مي نماید
http://network-black.blog.ir/
ARP Request
http://network-black.blog.ir/
ARP Response
http://network-black.blog.ir/
حمالت ARP
از مهمترین حمالت ARPمی توان به ARP Spoofیا
همان ARP Poisonاشاره کرد.
اساس اولیه ARP Spoofفرستادن بسته های جعلی ARP
درون شبکه LANمی باشد معموال حمله کننده آدرس
MACخود را به جای سایر IPها معرفی می کند (
معموال دروازه پیش فرض)
حمله کننده می تواند داده های شبکه محلی را شنود کند ،
آنها را تغییر دهد ،یا همه ترافیک را متوقف کند.
http://network-black.blog.ir/
حمالت ARP
جدول ARPکامپیوتر قبل از مسموم شدن
http://network-black.blog.ir/
حمالت ARP
جدول ARPکامپیوتر بعداز مسموم شدن
همانطور که مشاهده می شود تمام آدرس های MAC
سیستم قربانی یکی شده اند.
http://network-black.blog.ir/
نتیجه حمله
نتیجه این حمله این است که بسته های ارسالی برای آدرس
IPهای مذکور ،به آدرس MACگفته شده که سیستم مهاجم
است ارسال می شود.
به عنوان مثال اگر مهاجم آدرس MACدروازه پیش فرض
را تغییر دهد ،بسته های قربانی که برای خارج شبکه
داخلی می باشد(مثال استفاده از وب) ،به جای ارسال برای
دروازه پیش فرض برای مهاجم ارسال می شود.
می تواند به آشکار شدن اطالعات حساس قربانی شود.
به این حمله که مهاجم در بین قربانی و هدف قرار می
گیرد حمله مردی در میان گویند.
http://network-black.blog.ir/
حمله مردی در میان
http://network-black.blog.ir/
19
راه های مقابله با حمله
داده های ARPثابت
در شبکه های کوچک استفاده از آدرس IPو MACثابت
]arp -s [ip_address] [mac_address
این روش برای شبکه های بزرگ کارایی ندارد
در سیستم عامل ویندوز ،بسته های ARPجعلی جایگزین ورودی
های ثابت می شود
در مجموع این روش ،روشی ناکارآمد است.
http://network-black.blog.ir/
راه های مقابله با حمله
راه حل های نرم افزار
ARPwatch نرم افزاری برای نظارت فعالیت های . ARPاین
نرم افزار برای مقابله با حمالت نیست و تنها برای نظارت جهت
شناسایی حمالت می باشد.
: Xarp یک برنامه امنیتی برای تشخیص حمالت Xarp. ARP
با استفاده از تکنیک های پیشرفته به تشخیص حمالت ARPمی
پردازد و در صورت هرگونه تهدیدی به کاربر هشدار می دهد.
: Anti ARP spoof با اجرای این برنامه اگر حمله ARP
spoofرخ دهد ،برنامه سیستم مهاجم را شناسایی کرده و
حمالت آنرا خنثی می کند.
http://network-black.blog.ir/
Dynamic Host Configuration Protocol
http://network-black.blog.ir/
22
DHCP
Dynamic Host Configuration Protocol
پروتکلی برای تنظیم خودکار اجزای شبکه
به دلیل اینکه این پروتکل اجزای مهمی مانند آدرس ،IP
سرویس دهنده پیش فرض نام و دروازه پیش فرض را
مشخص می کند ،اطمینان از صحت عملکرد پروتکل مهم
می باشد.
23
http://network-black.blog.ir/
حمالت DHCP
: DHCP Starvation Attacks نوعی حمله که مهاجم با
تغییر MACخود دائما از سرویس دهنده تقاضای آدرس IP
می کند.
اگر حمله موفقیت آمیز باشد ،سبب تخصیص یافتن همه
آدرس های سرویس دهنده DHCPبه حمله کننده می شود و
دیگر سیستم ها از گرفتن IPمحروم می شوند
24
http://network-black.blog.ir/
حمالت DHCP
: DHCP Spoofing Attacks مهاجم خود را به جای یک
سرویس دهنده DHCPمعرفی می کند و این DHCPجعلی
به درخواست های کاربران پاسخ می دهد.
از آنجایی که سرویس گیرندگان خود سرویس دهنده را
مشخص نمی کنند ،سرویس دهنده جعلی اطالعات کاربران
از قبیل آدرس ، IPدروازه پیش فرض و آدرس سرویس
دهنده نام را خود در اختیار سرویس گیرندگان قرار می
دهد.
25
http://network-black.blog.ir/
راه های مقابله با حمله
راه حل های سخت افزاری
: DHCP snoop یک تکنولوژی الیه 2می باشد و با اطالعات
سرویس دهنده DHCPکار می کند
در مورد اعتبار بسته های ARPبر اساس اعتبار آدرس های
IP-MACکه در یک پایگاه داده معتبر ذخیره شده است ،تصمیم
گیری می کند
تضمین می کند که تنها بسته های پرسش و پاسخ معتبر ARPدر
شبکه رد و بدل می شوند
http://network-black.blog.ir/
DHCP snoop
27
http://network-black.blog.ir/
در DHCP snoopتنها لیست سفیدی از IPها اجازه
دسترسی به شبکه را دارند .این لیست روی پورت های سوئیچ
تعریف می شود و توسط سرویس دهنده DHCPمدیریت می
شود .
اگر بسته ARPروی یک اینترفیس معتبر دریافت شود ،
سوئیچ بسته را بدون بررسی فوروارد می کند .روی اینترفیس
های غیر قابل اعتماد تنها اگر بسته معتبر باشد سوئیچ آنرا
فورواد می کند.
در یک شبکه معموال پورت هایی که به میزبان ها متصل
هستند به عنوان غیرقابل اعتماد و پورت هایی که به دیگر
سوئیچ ها متصل شدند را به عنوان قابل اعتماد معرفی می کنیم
DHCP snoop
http://network-black.blog.ir/
28
DHCP snoop
اینترفیس های قابل اعتماد را مشخص می کنیم زیرا به
صورت پیش فرض اینترفس ها غیرقابل اعتمادند
بسته هایی که از اینترفیس های غیرقابل اعتماد می رسند
بررسی می شوند و بسته هایی که از اینترفیس های قابل
اعتماد می رسند بدون بررسی فوروارد می شوند.
29
http://network-black.blog.ir/
DHCP snoop
DHCP snoop موارد امنیتی زیر را فراهم می کند
30
محدودیت نرخ پیغام های DHCPروی یک پورت
اعتبار بخشیدن به پیغام های DHCPصادر شده
مشخص شدن پورت تخصیص داده شده به کاربر
تصدیق پیغام DHCP
جلوگیری از حمله DoSدر سرویس دهندهDHCP
http://network-black.blog.ir/
Access List استفاده از
راDHCP snoop روش دیگر برای سوئیچ هایی که
استaccess list پشتیبانی نمی کنند استفاده از
در این روش مشخص می شود چه آدرس هایی مجازند که
بفرستندDHCP rely
set security acl ip ROGUE-DHCP permit udp host 192.0.2.1 any eq 68
set security acl ip ROGUE-DHCP permit udp host 10.1.1.99 any eq 68
set security acl ip ROGUE-DHCP deny udp any any eq 68
set security acl ip ROGUE-DHCP permit ip any any
http://network-black.blog.ir/
31
استفاده از Access List
زمانی که کاربری تازه وارد شبکه می شود اتفاقات زیر
رخ می دهد
32
یک dhcp requestبه آدرس مبدا 0.0.0.0و آدرس مقصد
255.255.255.255می فرستد
سرویس دهنده dhcpغیرمجاز و مجاز هر دو جواب می دهند
سرویس دهنده غیرمجاز پاسخ را ارسال می کند اما از آنجا که
آدرس مبدا از آدرس های مجاز گفته شده نیست ،پاسخ توسط
access switchحذف می شود
سرویس دهنده مجاز پاسخ کاربر را می دهد
کاربر به شبکه وصل می شود
http://network-black.blog.ir/
Port Security
در ساده ترین حالت Port Securityآدرس MACمتصل
به سوئیچ را به خاطر می سپارد و فقط به همان آدرس
MACاجازه برقراری ارتباط با پورت سوئیچ را می دهد.
اگر آدرس MACدیگری بخواهد از طریق همان پورت به
شبکه متصل شود پورت مذکور غیرفعال می شود
33
http://network-black.blog.ir/
Port Security
http://network-black.blog.ir/
34
Domain Name System
http://network-black.blog.ir/
35
DNS
Domain Name System
پروتکلی برای ترجمه اسامي کامپیوترهاي میزبان و دامنه
به آدرسهاي IP
به عنوان مثال نگاشت نام دامنه nsec.irبه آدرس IP
80.191.139.21
36
http://network-black.blog.ir/
حمالت DNS
: DNS spoof عملیاتی برای تغییر دادههای سرویسدهنده
DNSبه IPغیر از IPواقعی
: DNS Cache poisoning هنگاميکه سرویس دهنده
DNSجوابي براي یک درخواست نداشته باشد ،درخواست
را براي سایر سرویس دهندهها ارسال ميکند تا به جواب
برسد ،اگر براي سرویس دهنده DNSپاسخ اشتباهي برسد
(مثال IPیک دامنه اشتباه ارسال شود) سرویس دهنده
DNSجواب دریافتي را براي مدتي cacheميکند و در
این مدت اطالعات اشتباهي دارد.
37
http://network-black.blog.ir/
امنیت DNS
گام های امنیت DNS
38
توسعه امنDNS
امن سازی سرویس DNS
امن سازی حوزه ها
امن سازی رکوردهای منابع
http://network-black.blog.ir/
توسعه امن DNS
http://network-black.blog.ir/
فضای نام DNSداخلی را روی سرویس دهنده های
DNSداخلی و فضای نام DNSبیرونی را روی سرویس
دهنده های بیرونی میزبانی کنید .در این صورت برای
تحلیل پرس و جوهای نام های بیرونی که توسط میزبان
داخلی درخواست می شود ،سرویس دهنده های داخلی
پرس و جو ها را به سرویس دهنده های بیرونی ارسال می
کند .میزبان های بیرونی نیز فقط از دیگر سرویس دهنده
های بیرونی برای تحلیل نام های اینترنتی استفاده می کند
دیوار آتش را طوری پیکربندی کنید که تنها پورت 53
( TCPو )UDPمیان سرویس دهنده های داخلی و بیرونی
39
امن سازی سرویس DNS
محدود کردن شنود سرویس دهنده DNS
با محدود کردن آدرس های IPکه سرویس دهنده DNSآنها را
شنود می کند ،از میزان حمالت روی این سرویس دهنده کاسته
می شود.
Start Administrative Tools DNS
راست کلیک روی سرویس دهنده DNSو انتخاب Properties
از پنجره باز شده در سربرگ Interfacesگزینه Only the
following IP addressesرا انتخاب کنید
40
http://network-black.blog.ir/
امن سازی cacheسرویس دهنده در برابر آلودگی
نام ها
از طریق امن سازی کش سرویس دهنده DNSدر برابر
آلودگی ،مهاجم قادر نخواهد بود تا کش سرویس دهنده را
آلوده کند.
Start Administrative Tools DNS
راست کلیک روی سرویس دهنده DNSو انتخاب Properties
Advanced Server Options Secure cache
against pollutions
41
http://network-black.blog.ir/
غیرفعال کردن جستجوی بازگشتی
بطور پیش فرض سرویس دهنده های DNSپرس و
جوهای بازگشتی را از طرف سرویس گیرنده ها و دیگر
سرویس دهنده های DNSانجام می دهد .پرس و جوهای
بازگشتی می تواند توسط مهاجمان مورد سوء استفاده قرار
گیرد
؟؟؟ غیر فعال شود
Start Administrative Tools DNS
راست کلیک روی سرویس دهنده DNSو انتخاب Properties
Advanced Servers options Disable Recursion
42
http://network-black.blog.ir/
پیکربندی Root Hintها
از ریشه DNSداخلی برای ایجاد فضای نام DNS
خصوصی استفاده می شود تا این فضای نام برای همگان
افشا نشود Root Hint .ها کمکی برای سرویس دهنده
DNSمی باشد تا اطالعاتی در مورد دامنه DNSای سطح
باال (مثال ) .com ، .netجستجو کند
اگر یک ریشه DNSداخلی داشته باشید ،باید Root Hint
های دیگر سرویس دهنده های داخلی طوری پیکربندی
شوند تا به سرویس دهنده مزبور ،اشاره کنند.
43
http://network-black.blog.ir/
پیکربندی Root Hintها
Start Administrative Tools DNS
44
راست کلیک روی سرویس دهنده DNSو انتخاب Properties
از پنجره باز شده به سربرگ Root Hintsبروید
روی هر یک از سرویس دهنده های DNSلیست شده در قسمت
Name Serversکلیک کرده و جهت حذف آنها روی Remove
کلیک کنید
برای هریک از سرویس دهنده های DNSای که نقش ریشه داخلی
می باشد روی دکمه Addکلیک کرده سپس نام و آدرس IPمتعلق
به سرویس دهنده DNSرا وارد کنید
http://network-black.blog.ir/
http://network-black.blog.ir/
DNS مدیریت کنترل دسترسی به سرویس
45
مدیریت کنترل دسترسی به سرویس DNS
Start Administrative Tools DNS
راست کلیک روی سرویس دهنده DNSو انتخاب
Properties
از پنجره ظاهر شده به سربرگ Securityلیست کنترل
دسترسی مطابق جدول گفته شده تنظیم شود.
46
http://network-black.blog.ir/
پیکربندی فایل ثبت سرویس DNS
نیاز است رویدادهای مربوط به سرویس DNSروی سرویس
دهنده به میزان کافی ثبت شود
Start Administrative Tools Computer Management
در پنل سمت چپ از پنجره ، Computer Managementبه System
Tools Event Viewer
در پنل سمت چپ از پنجره ،Computer Management
به System Tools Viewer Eventرفته و از پنل سمت
راست روی DNS Serverراست کلیک کرده و Properties
را انتخاب کنید
در سربرگ Generalاز پنجره ظاهر شدهMaximum log ،
sizeرا با حداقل 16 Mتنظیم کنید
47
امن سازی حوزه ها
پیکربندی به روزرسانی های پویا به صورت امن :به
روزرسانی پویا قابلیتی است که از طریق آن کامپیوترهای
سرویس گیرنده DNSخواهند بود .این قابلیت منجر به کاهش
لزوم مدیریت دستی رکوردهای حوزه می شود .به روزرسانی
پویای امن قابلیتی است که فقط به روزرسانی پویای بی خطر
را برای یک حوزه اجازه می دهد(مخصوص )AD
Start Administrative Tools DNS
48
راست کلیک روی حوزه مورد نظر و انتخاب Properties
در سربرگ Generalنوع حوزهActive Directory Integrated
سپس در قسمت Dynamic Updatesگزینه Security onlyانتخاب
شود.
http://network-black.blog.ir/
http://network-black.blog.ir/
مدیریت کنترل دسترسی به حوزه
49
مدیریت کنترل دسترسی به حوزه
Start Administrative Tools DNS
راست کلیک روی حوزه مورد نظر و انتخاب Properties
از پنجره ظاهر شده به سربرگ Securityلیست کنترل دسترسی مطابق
جدول گفته شده تنظیم شود.
50
http://network-black.blog.ir/
محدود کردن انتقال حوزه ها
به دلیل اهمیت حوزه ها در DNSالزم است حوزه ها از
طریق بیش از یک سرویس دهنده در دسترس باشند .اگر
سرویس دهنده بیشتری ،یک حوزه را میزبانی کنند ،انتقال
حوزه مستلزم نسخه برداری و همزمان سازی تمامی کپی
های حوزه برای هر یک از سرویس دهنده هایی که
مسزبانی حوزه را بر عهده دارند می باشد
سرویس دهنده ای که مشخص نمی کند چه کسی می تواند
انتقال حوزه را درخواست کند ،در برابر انتقال کل حوزه
DNSبه هر کسی که آن را درخواست کند آسیب پذیر است
51
http://network-black.blog.ir/
محدود کردن انتقال حوزه ها
Start Administrative Tools DNS
راست کلیک روی حوزه مورد نظر و انتخاب Properties
در سربرگ Zone Transfersبرای فعال کردن انتقال های حوزه گزینه
Allow zone transferرا انتخاب و برای غیرفعال کردن انتقال حوزه
آن را از حالت انتخاب خارج کنید
در صورت فعال کردن انتقال های حوزه به سرویس دهنده های DNS
مشخص گزینه Only the following serversرا انتخاب کرده و سپس
آدرس IPسرویس دهنده های DNSرا مشخص کنید
52
http://network-black.blog.ir/
http://network-black.blog.ir/
امن سازی رکوردهای منابع
53
امن سازی رکوردهای منابع
Start Administrative Tools DNS
راست کلیک روی رکورد مورد نظر و انتخاب Properties
به سربرگ Securityرفته و لیست کنترل دسترس ی را مطابق
جدول گفته شده تنظیم کنید
54
http://network-black.blog.ir/
File Transfer Protocol
http://network-black.blog.ir/
55
FTP
http://network-black.blog.ir/
File Transfer Protocol
یکی از ساده ترین پروتکل های انتقال فایل که از TCPاستفاده
می کند
DoSو BOFاز حمالت رایج به سرویس دهنده FTPهستند
برای امنیت بیشتر این سرویس دهنده
نام کاربری و رمزعبور سرویس دهنده باید در اختیار افراد معتبر
قرار گیرد
هر کاربر دسترسی های مورد نیاز را داشته باشد اگر دسترسی نوشتن
الزم نیست ،کاربر اجازه نوشتن نداشته باشد
از سرویس دهنده های معتبر استفاده شود
56
Server Message Block
http://network-black.blog.ir/
57
SMB
Server Message Block
یکی از پروتکلهای مرسوم که کاربرد اصلی آن انتقال
فایل و استفاده از چاپگر در داخل شبکه است .توسط این
پروتکل میتوان منابعی که فایلها را به اشتراک گذاشتهاند
و همچنین سرویسگیرندهها را مدیریت کرد.
در صورتی که سیستمی منابع اشتراکی برای سایر
کاربران دارد ،نیاز است که دسترسی ها به درستی اعمال
شوند.
58
http://network-black.blog.ir/
امنیت در SMB
برای اعمال دسترسی های مناسب
روی پوشه اشتراکی راست کلیک کرده
قسمت Sharing and Security
با رفتن به قسمت Permissionsمی توان دسترسی های مناسب
برای کاربران استفاده کننده را تنظیم کرد
59
http://network-black.blog.ir/