پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی

پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی
پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی پریسا دل پرستاران کارشناس ارشد سرویس های پایه شبکه تیم سرویس های پایه و کاربردی مرکز تخصصی آپا دانشگاه صنعتی اصفهان پاییز 1388 مرکز تخصصی آپا - دانشگاه صنعتی اصفهان

فهرست سرویس های شبکه بررسی موردی چند سرویس شبکه ARP DHCP DNS FTP SMB

سرویس های شبکه

پروتکل/سرویس قوانینی که برای تبادل اطلاعات بین دو دستگاه در شبکه ها وجود دارد را پروتکل می گویند. از مهمترین پروتکل های شبکه می توان به TCP ، IP ، DNS و ... اشاره کرد. پیاده سازی نرم افزاری پروتکل را سرویس گوییم. مثلا سرویس DNS پیاده سازی از پروتکل DNS می باشد. در ادامه به بررسی برخی پروتکل های مهم و مشکلات امنیتی موجود در آن ها و راهکارهای امنیتی می پردازیم. مثال پروتکل: صحبت کردن انسان مرکز تخصصی آپا - دانشگاه صنعتی اصفهان

لایه های شبکه

مروری بر پروتکل ها از جمله پروتکل های شبکه می توان به موارد زیر اشاره کرد ARP HTTP SMB FTP TFTP DNS NTP CUPS MAIL SMTP POP3 IMAP

حملات و تهدیدات حملات و تهدیدات موجود در سرویس های شبکه به سه علت می تواند باشد پروتکل ذاتا دارای ایراد امنیتی می باشد. مانند پروتکل DNS سرویس دهنده مورد استفاده دارای حفره امنیتی می باشد. سرویس دهنده به شکل نامناسب پیکربندی شده است.

حملات و تهدیدات در صورتی که تعریف پروتکل دارای ضعف باشد سعی می شود با راهکارهایی مانند نصب نرم افزارهای تکمیلی جلوی سوء استفاده گرفته شود. برای جلوگیری از مشکلات سرویس دهنده، باید از آخرین نسخه منتشر شده سرویس دهنده استفاده کرد و وصله های منتشر شده را مرتب دریافت کرد. سرویس دهنده باید به درستی تنظیم شود.

بررسی موردی سرویس های شبکه

ARP Address Resolution Protocol

ARP Address Resolution Protocol
وظیفه نگاشت آدرس IP به آدرس فیزیکی (MAC) کارت شبکه یک کامپیوتر از آدرس فیزیکی برای تشخيص تعلق يک بسته اطلاعاتي استفاده می کند. ARP، از جدولي خاص (ARP Table)به منظور ذخيره سازي آدرس هاي IP و MAC مربوطه ، استفاده مي نمايد

ARP Request

ARP Response

حملات ARP از مهمترین حملات ARP می توان به ARP Spoof یا همان ARP Poison اشاره کرد. اساس اولیه ARP Spoof فرستادن بسته های جعلی ARP درون شبکه LAN می باشد معمولا حمله کننده آدرس MAC خود را به جای سایر IP ها معرفی می کند ( معمولا دروازه پیش فرض) حمله کننده می تواند داده های شبکه محلی را شنود کند ، آنها را تغییر دهد ، یا همه ترافیک را متوقف کند.

حملات ARP جدول ARP کامپیوتر قبل از مسموم شدن

حملات ARP جدول ARP کامپیوتر بعداز مسموم شدن
همانطور که مشاهده می شود تمام آدرس های MAC سیستم قربانی یکی شده اند. اجرای لیست ettercap مرکز تخصصی آپا - دانشگاه صنعتی اصفهان

نتیجه حمله نتیجه این حمله این است که بسته های ارسالی برای آدرس IP های مذکور، به آدرس MAC گفته شده که سیستم مهاجم است ارسال می شود. به عنوان مثال اگر مهاجم آدرس MAC دروازه پیش فرض را تغییر دهد، بسته های قربانی که برای خارج شبکه داخلی می باشد(مثلا استفاده از وب) ، به جای ارسال برای دروازه پیش فرض برای مهاجم ارسال می شود. می تواند به آشکار شدن اطلاعات حساس قربانی شود. به این حمله که مهاجم در بین قربانی و هدف قرار می گیرد حمله مردی در میان گویند.

حمله مردی در میان

راه های مقابله با حمله داده های ARP ثابت
در شبکه های کوچک استفاده از آدرس IP و MAC ثابت arp -s [ip_address] [mac_address] این روش برای شبکه های بزرگ کارایی ندارد در سیستم عامل ویندوز، بسته های ARP جعلی جایگزین ورودی های ثابت می شود در مجموع این روش، روشی ناکارآمد است.

راه های مقابله با حمله راه حل های نرم افزار
ARPwatch نرم افزاری برای نظارت فعالیت های ARP . این نرم افزار برای مقابله با حملات نیست و تنها برای نظارت جهت شناسایی حملات می باشد. Xarp : یک برنامه امنیتی برای تشخیص حملات ARP . Xarp با استفاده از تکنیک های پیشرفته به تشخیص حملات ARP می پردازد و در صورت هرگونه تهدیدی به کاربر هشدار می دهد. Anti ARP spoof : با اجرای این برنامه اگر حمله ARP spoof رخ دهد، برنامه سیستم مهاجم را شناسایی کرده و حملات آنرا خنثی می کند. راه حل سخت افزاری بعدا بحث می شود مرکز تخصصی آپا - دانشگاه صنعتی اصفهان

DHCP Dynamic Host Configuration Protocol

DHCP Dynamic Host Configuration Protocol
پروتکلی برای تنظیم خودکار اجزای شبکه به دلیل اینکه این پروتکل اجزای مهمی مانند آدرس IP، سرویس دهنده پیش فرض نام و دروازه پیش فرض را مشخص می کند، اطمینان از صحت عملکرد پروتکل مهم می باشد.

حملات DHCP DHCP Starvation Attacks : نوعی حمله که مهاجم با تغییر MAC خود دائما از سرویس دهنده تقاضای آدرس IP می کند. اگر حمله موفقیت آمیز باشد، سبب تخصیص یافتن همه آدرس های سرویس دهنده DHCP به حمله کننده می شود و دیگر سیستم ها از گرفتن IP محروم می شوند

حملات DHCP DHCP Spoofing Attacks: مهاجم خود را به جای یک سرویس دهنده DHCP معرفی می کند و این DHCP جعلی به درخواست های کاربران پاسخ می دهد. از آنجایی که سرویس گیرندگان خود سرویس دهنده را مشخص نمی کنند، سرویس دهنده جعلی اطلاعات کاربران از قبیل آدرس IP ، دروازه پیش فرض و آدرس سرویس دهنده نام را خود در اختیار سرویس گیرندگان قرار می دهد.

راه های مقابله با حمله راه حل های سخت افزاری
DHCP snoop : یک تکنولوژی لایه 2 می باشد و با اطلاعات سرویس دهنده DHCP کار می کند در مورد اعتبار بسته های ARP بر اساس اعتبار آدرس های IP-MAC که در یک پایگاه داده معتبر ذخیره شده است ، تصمیم گیری می کند تضمین می کند که تنها بسته های پرسش و پاسخ معتبر ARP در شبکه رد و بدل می شوند

DHCP snoop در DHCP snoop تنها لیست سفیدی از IP ها اجازه دسترسی به شبکه را دارند . این لیست روی پورت های سوئیچ تعریف می شود و توسط سرویس دهنده DHCP مدیریت می شود . اگر بسته ARP روی یک اینترفیس معتبر دریافت شود ، سوئیچ بسته را بدون بررسی فوروارد می کند. روی اینترفیس های غیر قابل اعتماد تنها اگر بسته معتبر باشد سوئیچ آنرا فورواد می کند. در یک شبکه معمولا پورت هایی که به میزبان ها متصل هستند به عنوان غیرقابل اعتماد و پورت هایی که به دیگر سوئیچ ها متصل شدند را به عنوان قابل اعتماد معرفی می کنیم .

DHCP snoop

DHCP snoop اینترفیس های قابل اعتماد را مشخص می کنیم زیرا به صورت پیش فرض اینترفس ها غیرقابل اعتمادند بسته هایی که از اینترفیس های غیرقابل اعتماد می رسند بررسی می شوند و بسته هایی که از اینترفیس های قابل اعتماد می رسند بدون بررسی فوروارد می شوند.

DHCP snoop DHCP snoop موارد امنیتی زیر را فراهم می کند
مشخص شدن پورت تخصیص داده شده به کاربر تصدیق پیغام DHCP جلوگیری از حمله DoS در سرویس دهنده DHCP

استفاده از Access List روش دیگر برای سوئیچ هایی که DHCP snoop را پشتیبانی نمی کنند استفاده از access list است در این روش مشخص می شود چه آدرس هایی مجازند که DHCP rely بفرستند set security acl ip ROGUE-DHCP permit udp host any eq 68 set security acl ip ROGUE-DHCP permit udp host any eq 68 set security acl ip ROGUE-DHCP deny udp any any eq 68 set security acl ip ROGUE-DHCP permit ip any any

استفاده از Access List زمانی که کاربری تازه وارد شبکه می شود اتفاقات زیر رخ می دهد یک dhcp request به آدرس مبدا و آدرس مقصد می فرستد سرویس دهنده dhcp غیرمجاز و مجاز هر دو جواب می دهند سرویس دهنده غیرمجاز پاسخ را ارسال می کند اما از آنجا که آدرس مبدا از آدرس های مجاز گفته شده نیست، پاسخ توسط access switch حذف می شود سرویس دهنده مجاز پاسخ کاربر را می دهد کاربر به شبکه وصل می شود

Port Security در ساده ترین حالت Port Security آدرس MAC متصل به سوئیچ را به خاطر می سپارد و فقط به همان آدرس MAC اجازه برقراری ارتباط با پورت سوئیچ را می دهد. اگر آدرس MAC دیگری بخواهد از طریق همان پورت به شبکه متصل شود پورت مذکور غیرفعال می شود

Port Security

DNS Domain Name System

DNS Domain Name System پروتکلی برای ترجمه اسامي‌ کامپيوترهاي ميزبان و دامنه به آدرس‌هاي IP به عنوان مثال نگاشت نام دامنه nsec.ir به آدرس IP

حملات DNS DNS spoof : عملیاتی برای تغییر داده‏های سرویس‏دهنده DNS به IP غیر از IP واقعی DNS Cache poisoning : هنگامي‌که سرويس دهنده DNS جوابي براي يک درخواست نداشته باشد ، درخواست را براي ساير سرويس دهنده‌ها ارسال مي‌کند تا به جواب برسد ، اگر براي سرويس دهنده DNS پاسخ اشتباهي برسد (مثلا IP يک دامنه اشتباه ارسال شود) سرويس دهنده DNS جواب دريافتي را براي مدتي cache مي‌کند و در اين مدت اطلاعات اشتباهي دارد.

امنیت DNS گام های امنیت DNS توسعه امن DNS امن سازی سرویس DNS
امن سازی حوزه ها امن سازی رکوردهای منابع

توسعه امن DNS فضای نام DNS داخلی را روی سرویس دهنده های DNSداخلی و فضای نام DNS بیرونی را روی سرویس دهنده های بیرونی میزبانی کنید. در این صورت برای تحلیل پرس و جوهای نام های بیرونی که توسط میزبان داخلی درخواست می شود، سرویس دهنده های داخلی پرس و جو ها را به سرویس دهنده های بیرونی ارسال می کند. میزبان های بیرونی نیز فقط از دیگر سرویس دهنده های بیرونی برای تحلیل نام های اینترنتی استفاده می کند دیوار آتش را طوری پیکربندی کنید که تنها پورت 53 (TCP و UDP) میان سرویس دهنده های داخلی و بیرونی مجاز باشد

امن سازی سرویس DNS محدود کردن شنود سرویس دهنده DNS
با محدود کردن آدرس های IP که سرویس دهنده DNS آنها را شنود می کند، از میزان حملات روی این سرویس دهنده کاسته می شود. Start  Administrative Tools  DNS راست کلیک روی سرویس دهنده DNS و انتخاب Properties از پنجره باز شده در سربرگ Interfaces گزینه Only the following IP addresses را انتخاب کنید

امن سازی cache سرویس دهنده در برابر آلودگی نام ها
از طریق امن سازی کش سرویس دهنده DNS در برابر آلودگی، مهاجم قادر نخواهد بود تا کش سرویس دهنده را آلوده کند. Start  Administrative Tools  DNS راست کلیک روی سرویس دهنده DNS و انتخاب Properties Advanced  Server Options  Secure cache against pollutions

غیرفعال کردن جستجوی بازگشتی
بطور پیش فرض سرویس دهنده های DNS پرس و جوهای بازگشتی را از طرف سرویس گیرنده ها و دیگر سرویس دهنده های DNS انجام می دهد. پرس و جوهای بازگشتی می تواند توسط مهاجمان مورد سوء استفاده قرار گیرد ؟؟؟ غیر فعال شود Start  Administrative Tools  DNS راست کلیک روی سرویس دهنده DNS و انتخاب Properties Advanced  Servers options Disable Recursion

پیکربندی Root Hint ها از ریشه DNS داخلی برای ایجاد فضای نام DNS خصوصی استفاده می شود تا این فضای نام برای همگان افشا نشود. Root Hint ها کمکی برای سرویس دهنده DNS می باشد تا اطلاعاتی در مورد دامنه DNSای سطح بالا (مثلا .net ، .com ) جستجو کند اگر یک ریشه DNS داخلی داشته باشید، باید Root Hint های دیگر سرویس دهنده های داخلی طوری پیکربندی شوند تا به سرویس دهنده مزبور، اشاره کنند.

پیکربندی Root Hint ها Start  Administrative Tools  DNS
راست کلیک روی سرویس دهنده DNS و انتخاب Properties از پنجره باز شده به سربرگ Root Hints بروید روی هر یک از سرویس دهنده های DNS لیست شده در قسمت Name Servers کلیک کرده و جهت حذف آنها روی Remove کلیک کنید برای هریک از سرویس دهنده های DNSای که نقش ریشه داخلی می باشد روی دکمه Add کلیک کرده سپس نام و آدرس IP متعلق به سرویس دهنده DNS را وارد کنید

مدیریت کنترل دسترسی به سرویس DNS

مدیریت کنترل دسترسی به سرویس DNS
Start  Administrative Tools  DNS راست کلیک روی سرویس دهنده DNS و انتخاب Properties از پنجره ظاهر شده به سربرگ Security لیست کنترل دسترسی مطابق جدول گفته شده تنظیم شود.

پیکربندی فایل ثبت سرویس DNS
Start  Administrative Tools  Computer Management در پنل سمت چپ از پنجره Computer Management ، به System Tools  Event Viewer در پنل سمت چپ از پنجره Computer Management، بهEvent System Tools Viewer  رفته و از پنل سمت راست روی DNS Server راست کلیک کرده و Properties را انتخاب کنید در سربرگ General از پنجره ظاهر شده، Maximum log size را با حداقل 16 M تنظیم کنید

امن سازی حوزه ها پیکربندی به روزرسانی های پویا به صورت امن : به روزرسانی پویا قابلیتی است که از طریق آن کامپیوترهای سرویس گیرندهDNS خواهند بود. این قابلیت منجر به کاهش لزوم مدیریت دستی رکوردهای حوزه می شود. به روزرسانی پویای امن قابلیتی است که فقط به روزرسانی پویای بی خطر را برای یک حوزه اجازه می دهد(مخصوص AD) Start  Administrative Tools  DNS راست کلیک روی حوزه مورد نظر و انتخاب Properties در سربرگ Generalنوع حوزه Active Directory Integrated سپس در قسمت Dynamic Updates گزینه Security only انتخاب شود.

مدیریت کنترل دسترسی به حوزه

مدیریت کنترل دسترسی به حوزه
Start  Administrative Tools  DNS راست کلیک روی حوزه مورد نظر و انتخاب Properties از پنجره ظاهر شده به سربرگ Security لیست کنترل دسترسی مطابق جدول گفته شده تنظیم شود.

محدود کردن انتقال حوزه ها
به دلیل اهمیت حوزه ها در DNS لازم است حوزه ها از طریق بیش از یک سرویس دهنده در دسترس باشند. اگر سرویس دهنده بیشتری، یک حوزه را میزبانی کنند، انتقال حوزه مستلزم نسخه برداری و همزمان سازی تمامی کپی های حوزه برای هر یک از سرویس دهنده هایی که مسزبانی حوزه را بر عهده دارند می باشد سرویس دهنده ای که مشخص نمی کند چه کسی می تواند انتقال حوزه را درخواست کند، در برابر انتقال کل حوزه DNS به هر کسی که آن را درخواست کند آسیب پذیر است

محدود کردن انتقال حوزه ها
Start  Administrative Tools  DNS راست کلیک روی حوزه مورد نظر و انتخاب Properties در سربرگ Zone Transfers برای فعال کردن انتقال های حوزه گزینه Allow zone transfer را انتخاب و برای غیرفعال کردن انتقال حوزه آن را از حالت انتخاب خارج کنید در صورت فعال کردن انتقال های حوزه به سرویس دهنده های DNS مشخص گزینه Only the following servers را انتخاب کرده و سپس آدرس IP سرویس دهنده های DNS را مشخص کنید

امن سازی رکوردهای منابع

امن سازی رکوردهای منابع
Start  Administrative Tools  DNS راست کلیک روی رکورد مورد نظر و انتخاب Properties به سربرگ Security رفته و لیست کنترل دسترسی را مطابق جدول گفته شده تنظیم کنید

FTP File Transfer Protocol

FTP File Transfer Protocol
یکی از ساده ترین پروتکل های انتقال فایل که از TCP استفاده می کند DoS و BOF از حملات رایج به سرویس دهنده FTP هستند برای امنیت بیشتر این سرویس دهنده نام کاربری و رمزعبور سرویس دهنده باید در اختیار افراد معتبر قرار گیرد هر کاربر دسترسی های مورد نیاز را داشته باشد اگر دسترسی نوشتن لازم نیست، کاربر اجازه نوشتن نداشته باشد از سرویس دهنده های معتبر استفاده شود

SMB Server Message Block

SMB Server Message Block
یکی از پروتکل‌های مرسوم که کاربرد اصلی آن انتقال فایل و استفاده از چاپگر در داخل شبکه است. توسط این پروتکل می‌توان منابعی که فایل‌ها را به اشتراک گذاشته‌اند و همچنین سرویس‌گیرنده‌ها را مدیریت کرد. در صورتی که سیستمی منابع اشتراکی برای سایر کاربران دارد ، نیاز است که دسترسی ها به درستی اعمال شوند.

امنیت در SMB برای اعمال دسترسی های مناسب
روی پوشه اشتراکی راست کلیک کرده قسمتand Security Sharing با رفتن به قسمت Permissions می توان دسترسی های مناسب برای کاربران استفاده کننده را تنظیم کرد

با تشکر از توجه شما www.nsec.ir www.ircert.cc delparastaran@nsec.ir
? با تشکر از توجه شما

پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی

Similar presentations

Presentation on theme: "پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی"— Presentation transcript:

Similar presentations

About project

Feedback

Log in

Auth with social network:

پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی

Similar presentations

Presentation on theme: "پروتکل ها و سرویس های شبکه تهدیدها و راهکارهای امنیتی"— Presentation transcript:

Similar presentations

About project

Feedback