نمایش نتایج: از شماره 1 تا 5 , از مجموع 5

موضوع: هفته ١۹ - Security

  1. #1
    Member Shafagh آواتار ها
    تاریخ عضویت
    May 2010
    نوشته ها
    566
    Thanked: 5028

    هفته ١۹ - Security

    برای پرسش یا رفع اشکال از موضوع بعدی استفاده کنید.
    فراموش نشود که هدف انجام تمرین است نه نوشتن گزارش. تمرین ها را انجام دهید و در صورت بروز مشکل سوال بپرسید!

  2. The Following 5 Users Say Thank You to Shafagh For This Useful Post:


  3. #2
    مدیر CCNP Club moghaddas آواتار ها
    تاریخ عضویت
    Sep 2010
    محل سکونت
    Internet
    نوشته ها
    422
    Thanked: 1277
    - جهت macth کردن آدرس های فرد یا زوج توسط ACL؛ بعنوان مثال access-list 1 permit 192.168.1.0 0.0.0.254 جهت زوج ها؛ و access-list 1 permit 192.168.1.1 0.0.0.254 جهت فرد ها.
    - جهت تعیین چگونگی رفتار با بسته های fragmentشده، بجز استفاده از ACL و کلمه ی کلیدی fragments، می توان از set ip df در route-map یا ip virtual-reassembly استفاده کرد.

    - هنگام استفاده از ZBF، یک zone بنام self ساخته می شود که بطور پیشفرض تمام ترافیک های ورودی و خروجی آن allow شده است؛
    - ZBF از engine مربوط به CBAC استفاده می کند، اما هنگامی که قصد firewalling روی چند Interface داریم، نسبت به CBAC بسیار راحت تر و کارامد تر است

    - توسط port-security می توان جلوی حملات مرتبط با MAC را گرفت، مانند MAC flooding, MAC spoofing, rouge DHCP
    - توسط DAI، می توان جلوی برخی حملات MitM را گرفت. (حملات ARP-based)
    - توسط uRPF و غیرفعال سازی Directional-broadcast، می توان جلوی Smurf Attack را گرفت.
    - Fraggle Attack نوعی دیگری از Smurf Attack است که بجای بسته های ICMP، از UDP Echo استفاده می شود
    - توسط TCP Intercept + Watch mode و استفاده از کلمه ی کلیدی established در ACL، می توان تا حدودی جلوی حملات SYN Flood را گرفت.

    - هنگام استفاده از sticky در port-security، پس از ذخیره شدن MACها بصورت static، می بایست running-configuration ذخیره شود تا MACها پس از reload نیز از بین نروند.
    - باید توجه داشته که جهت فعال سازی تنظیمات port-security می بایست دستور switchport port-security فراموش نشود.
    - در پیاده سازی port-security می بایست به تفاوت میان violation modeهای مختلف توجه داشت؛ ضمناً پیشنهاد می شود در دنیای واقعی از protect mode استفاده نشود؛ چرا که در این Mode، یا این حال که bad MAC امکان ارتباط با سوئیچ را از دست می دهد اما هیچگونه notification ارسال نمی گردد.

    - هنگام پیاده سازی CBAC، جهت بررسی ترافیک هایی غیر از TCP و UDP، می بایست یک named inspection rule تعریف شود
    - CBAC ترافیک هاس Self-originated روتر را بررسی نمی کند
    - CBAC نسبت به ترافیک های رمزنگاری شده (encrypted) محدودیت دارد.
    Network Consultant/Solutions Architect
    mohammad [at] moghaddas [dot] com
    [Only registered and activated users can see links. ]

  4. The Following 4 Users Say Thank You to moghaddas For This Useful Post:


  5. #3
    Super Moderator Saeed Alkhamis آواتار ها
    تاریخ عضویت
    Jul 2010
    محل سکونت
    Ahvaz
    نوشته ها
    811
    Thanked: 2151
    Multiple Authentication Method : ما می توانیم چندین سرور Radius یا + Tacacs همزمان برای Authentication داشته باشیم تا در زمان Fail شدن یکی از آنها دیگری

    پاسخگو باشد. اگر هیچ کدام جواب نداد می توانیم از Local که به معنی از یوزر رهایی ساخته شده در روتر را استفاده شود.
    ]
    Smurf Attacks Directed Broadcast and RPF check . این حمله زمانی رخ می دهد که سیستم تعداد زیادی پکت lcmp echo request با ip بفرستد و مقصد آن Broadcast شبکه

    باشد بعنوان یک Directed Broadcast Address شناخته می شود روتر این پکتها را forward می کند بر اساس Routing Tabl تا زمانی که به روتر نهایی که به آن شبکه مقصد

    Connected باشد. روتر نهایی آن را بعنوان Broadcast شبکه Lan می فرستد سیستم ها با دریافت این Icmp به ip مبدأ جواب می دهند و سیستم مقصد مقدار زیادی پکت دریافت

    می کند چندین راه حل برای این مشکل است ابتدا از دستور No ip directed broadcast استفاده می کنیم روتر از فرستادن Broadcast در Lan خودداری می کند راه حل بعدی

    استفاده از (URRF) Unicast Revers Path Forward که با دستور ip verify unicast source reachable فعال می شود این دستور به روتر می گوید ip مبدأ پکتهای رسیده در

    اینترفیس را چک کند که دارای Loose RPF-Strict RPF .

    Strict RPF : از کلید (Rx) به روتر می گوییم که پکتهای ورودی را چک کند و اجازه دهد فقط پکتهایی که Source آنها قابل دسترسی باشد از همان اینترفیس که پکتها وارد

    شده اند.
    Loose RPF : از کلید (َAny)روتر چک می کند روتی که بتواند به Source ip دسترسی پیدا کند.

    TCP Syn flood : یک نوع حمله است که با فرستادن تعداد زیادی TCP connection اما نه کامل به یک سرور یک حمله کننده فقط TCP Syn می فرستد و سرور در جواب TCP Ack

    و TCP Syn می فرستد ولی هکر جوابی نمی دهد که Tree way handshake انجام شود باعث می شود که سرور مقدار زیادی Ram به این TCP های بدون جواب مصرف کند برای جلوگیری

    از این نوع حمله یک Stateful فایروال استفاده می شود در Ios می توان از قابلیت فایروال استفاده کرد با استفاده از Acl از حملات TCP از بیرون از شبکه به داخل جلوگیری

    کرد ولی برای حملات داخلی نمی شود. برای حل مشکل از TCP Intercept می توان استفاده کرد که در 2 حالت Watch Mode و Intercept کار می کند.

    Watch mode : در این حالت وضعیت کانکشن های TCP را چک می کند و هر TCP کانکشنی که کامل نمی شود برای مدت زمان مشخصی اگر کامل نشد یک TCP Reset به سمت سرور می فرستد

    تا Connection را پاک کند و همچنین تعداد کانکشن ها را می شمارد اگر در 1 ثانیه بیشتر از 1100 که پیش فرض است روتر بصورت موقت کانکشن های جدید TCP را فیلتر می کند.

    Intercept mode : روتر به TCP connection ها جواب می دهد بجای اینکه به سرور آنها را بفرستد اگر Tree way کامل شد روتر بین خودش و سرور TCP connection می زند این روش

    بهترین حالت برای محافظت از سرور است اما مراحل آن طولانی است.

    Context Based Access Control : یک قابلیتی است که در فایروال ios است شبه Acl است که بصورت Dynamic ترافیک را Inspect می کند اما بر اساس پروتکل مثل HTTP-FTP.

    محدودیتهای CBAC

    1- CBAC بعد از Acl در اینترفیس کار می کند یعنی اگر Acl ترافیکی را Block کند CBAC نمی تواند آن را ببیند.

    CBAC نمی تواند حمله ای که از داخل شبکه رخ می دهد را تشخیص دهد.

    CBAC فقط می تواند با پروتکل های تعیین شده کار کند.

    Inspect کردن ترافیکی غیر از TCP-UDP باید نام گزاری شود.

    CBAC نمی تواند ترافیک مربوط به خود فایروال روتر است را Inspect کند فقط ترافیکی که از آن عبور می کند را Inspect می کند.

    CBAC : ترافیک Encrypt شده را نمی تواند Inspect کند.

    Zone Based Firewall : در ios 12.4 (6) T به بعد آمده است که عملکرد آن بیشتر یک فایروال Appliance است اینترفیس های روتر در یک Zone قرار داده می شوند.

    ترافیک بین اینترفیس های یک ZONE می تواند رد و بدل شود ترافیک بین Zoneها Block است برای ارتباط بین Zoneها Rule بنویسد. (ZFW) اجازه می دهد که کنترل و

    Inspect کنیم چندین پروتکل مثل HTTP-SMTP-IMAP-POP3 .

    IOS Intrusion Prevention System : یک قابلیت است در ios که بصورت (DPI)Deep Packet inspect کار می کند که ترافیکی که دارای Worm یا Virus و دیگر ترافیک خطرناک

    را بازرسی می کند و می گیرد این قابلیت دارای Signature است که در فلش روتر Load می شود .

  6. The Following 5 Users Say Thank You to Saeed Alkhamis For This Useful Post:


  7. #4
    Member
    تاریخ عضویت
    Apr 2011
    نوشته ها
    52
    Thanked: 97
    از روشهاي زير براي درست كردن authentication استفاده مي شود:
    ١-local كه از database ، *داخلي براي تعريف كردن username , password استفاده مي شود
    ٢- local case مثل روش بالا مي باشد كه نسبت به password ها case-sensitive است
    ٣- line است كه روي line ها كه مشهور به vty هستند password مي گذاريم*
    ٤- enable كه روي level ها روتر password مي گذاريم
    ٥- استفاده از radius , tacacs است كه از سرور AAA استفاده مي شود
    ٦- none كه از user identity استفاده نمي شود

    به وسيله دستورات زير مي شود به user ها دست رسي اجراي بعضي command ها را داد
    Privilege exec level 7 configure terminal
    Privilege configure level 7 interface
    Privilege interface level 7 shutdown*
    Privilege interface level 7 no shutdown*
    Privilege interface level 7 ip
    س standard ACL فقط روي source ip address مي شود تنظيم انجام داد permit/denay*
    س extended ACL مي شود Ip address source/destination را كنترل كرد و هم ports source/destination *را هم كنترل كرد . همچنين مي شود icmp message type , dscp values ,port range, tcp flags....

  8. The Following 5 Users Say Thank You to alimor For This Useful Post:


  9. #5
    مدیر بخش نشر دانش Yousef Naimi آواتار ها
    تاریخ عضویت
    Aug 2010
    محل سکونت
    Tehran
    نوشته ها
    788
    Thanked: 3844

    Lightbulb

    • لازم نیست شماره ی پروتکل ها را حفظ کنیم .
      برای پیدا کردن protocol number در امتحان ، می توان از DC استفاده کرد ؛ به این ترتیب که در ASA 5500 در بخش Reference با مراجعه به زیر بخش Address , Protocols & Ports جدولی مشاهده می کنیم که شماره ی پروتکل ها در ان نوشته شده است .

      راه دیگر برای فهمیدن شماره پروتکل ها ، اینست که یک ACL بنویسیم و در آن یک شماره پروتکل خاص بگذاریم :
      R1(config)#access-list 100 permit 1 any any
      R1(config)#access-list 100 permit 2 any any
      R1(config)#access-list 100 permit 4 any any

      سپس با استفاده از دستور show access-list ، می توان فهمید که شماره ی 1 مربوط به icmp و شماره ی 2 مربوط به igmp می باشد . همچنین پروتکل شماره ی 4 مربوط به ipinip است که جایگزینی برای GRE tunnel می باشد .
      Untitled.jpg



    • Standard TCP application طی یک پروسه ی 3way handshake انجام می شود :

      1- ابتدا client (یا همان source) یک TCP syn ارسال می کند که در آن source port number یک عدد تصادفی و Destination port number شماره ی پورت مشخص پروتکل است .

      2- سپس server (یا همان destination) در پاسخ به این پیام ، یک Syn Ack می فرستد که در آن جای پورت های مبدا و مقصد عوض شده است و در واقع establish flag دارد ؛ چنانچه روتر بخواهد inbound traffic را فیلتر کند ، می گوید فقط ترافیکی که establish شده را permit کن . لذا این یک راه اساسیست که می توان چک کرد آیا این source در واقع از inside network تولید شده یا از شبکه ی خارجی originate شده است .

      3- در نهایت source یک ACK به مقصد ارسال می کند .



    • نکته ی مهم در مورد establish flag اینست که به راحتی می توان آن را spoof کرد ، زیرا تنها کاری که باید انجام داد اینست که بیت آن در TCP header را به سادگی set نماییم .



    • چنانچه روی روترمان از Debug استفاده کنیم و پیغام Administrativeli prohibited را مشاهده کنیم ، اساسا به این معناست که پکت بر اساس یک ACL موجود drop شده است .



    • هنگامیکه از establish در یک ACL استفاده می کنیم ، روتر برای هر پکتی که می خواهد بر آن اساس drop کند ، یک ICMP unreachable تولید می نماید که نه تنها processor intensive است ، بلکه به host ها اطلاعاتی در مورد Firewall Filtering Policy روتر نیز می دهد ؛ یعنی host ها میتوانند بفهمند که چه ترافیکی مجاز و چه ترافیکی غیر مجاز می باشد .
      در این حالت در پاسخ پینگ ، جواب UUUUU را مشاهده می نماییم .

      برای اینکه روتر پیامهای icmp unreachable را صادر نکند ، روی اینترفیس مورد نظر می زنیم :
      R1(config-if)#no ip unreachables

      در این حالت در پاسخ پینگ ....... را مشاهده می کنیم که حاکی از آنست که پکت ها به آرامی drop می گردند ، بدن اینکه اطلاعاتی به host داده شود .



    • در حالت واقعی ، استفاده از establish روش خیلی مفیدی نیست و همانطور که گفته شد به راحتی قابل spoof شدن است . لذا در روتر ها نیاز به روشی هوشمندتر برای matching داریم تا بفهمیم آیا session در درون یا بیرون تولید شده است (CBAC).



    • اگر بخش زیادی ترافیک وجود داشته باشد که logging کنیم ، یک CPU utilization خیلی بالا روی روتر بوجود می آید (زیرا مسیر عادی CEF switching را skip می کند) . لذا اگر دستورات زیر را زدیم و utilization خیلی بالایی ببینیم :
      R1#show processes cpu extended
      R1#show processes cpu history

      اگر از سمت ip input process بود ، این نشانه ی خوبیست که روی process switching است .



    • اگر در زمان امتحان روی یک روتر ACL نوشتیم برای log-input و سپس debug را فعال نمودیم ، و این امر باعث شد که حجم زیادی ترافیک Debug شود و امکان no debug را هم نداشتیم ، می توانیم روی یک device دیگر برویم و از آن به این روتر telnet بزنیم . سپس در enable mode ، کنسول را clear کنیم :
      R1#clear line console 0

      هنگامیکه Session پاک شد و debug نیز حذف گردید ، اگر به دستور زیر توجه کنیم :
      R1#show processes cpu history

      در خروجی میبینیم که آن debug تقریبا 100% کل cpu روتر را اشغال کرده بود.



    • با استفاده از دستور زیر می توان گفت که می خواهیم هر چند وقت یکبار log تولید شود :
      R1(config)#ip access-list logging interval

      لذا مثل اگر هر 10 ثانیه یک log تولید شود ، دیگر cpu دچار مشکل نمی شود .



    • دستور زیر می گوید که یک ACL باید چند بار hit شود تا یک log تولید شود :
      R1(config)#ip access-list log-update threshold



    • دستور زیر به جای اینکه یک tagخاص که ما به آن میدهیم را log کند ، خودش یک MD5-hash تولید می کند :
      R1(config)#ip access-list logging hash-generation



    • Correlation Tag طراحی شده برای اینکه بگوید log message از کدام device آمده ، به کدام اینترفیس مربوط است ، و کدام entry این log message را تولید نموده است .



    • مشکل autocommand اینست که اجازه ی کمک گرفتن برای تکمیل دستور را به ما نمی دهد . لذا مثلا اگر دستور زیر را بزنیم :
      R1(config)#username yousef autocommand ?

      میبینیم که هیچ کمکی برای تکمیل دستور به ما نمی کند و باید کل syntax را بلد باشیم .
      Untitled2.jpg



    • از یک سیستم آدرسی را telnet می کنیم و آن telnet نا موفق است . از کجا متوجه می شویم که یک ACL دسترسی telnet به آن آدرس را فیلتر کرده ، یا اینکه اصلا آن آدرس وجود ندارد ؟

      چنانچه یک ACL دسترسی را محدود کرده باشد ، با telnet کردن بلافاصله پاسخ می شنویم که :
      %Destination unreachable ; gateway or host down
      زیرا TCP 3-way Handshake به سرعت انجام می شود و بر اساس ICMP unreachable است و روتر می فهمد که باید session را سریعا terminate کند .

      اما چنانچه آدرس telnet تعریف نشده باشد ، روتر منتظر TCP syn می ماند ؛ یعنی به اندازه ی زمان expire شدن TCP syn timeout طول می کشد تا telnet پاسخ بدهد . نتیجه ی این فرایند معمولا اینست که telnet session هنگ می کند یا در نهایت پاسخ می دهد که :
      %Connection timed out ; remove host not responding

      لذا این یک راه سریع است برای اینکه بفهمیم آیا ACL ترافیک را کنترل می کند یا مشکل دسترسی دیگیری داریم .

      اگر در پاسخ telnet دیدیم که :
      %Connection refused by remote host
      این یک TCP reset message است که از روتر مقصد دریافت نمودیم و به این معناست که آن روتر اجازه ی telnet را دقیقا به source ما نمی دهد . لذا باید روی آن روتر مقصد ببینیم چه چیزی این فیلتر را بوجود آورده است ؛ مثلا در line vty چک کنیم تا شاید یک ACL به آن اعمال شده است .
    ویرایش توسط Yousef Naimi : 02-17-2013 در ساعت 09:10 PM
    It's OK to fail, as long as you keep trying

    CCNA - CCNA Security - CCNP R&S - CCNP Security

  10. The Following 5 Users Say Thank You to Yousef Naimi For This Useful Post:


موضوعات مشابه

  1. security +
    توسط brh در انجمن مدارک بین المللی شبکه
    پاسخ ها: 1
    آخرين نوشته: 10-13-2011, 09:22 AM
  2. Os های security
    توسط Komeil در انجمن Security و امنیت شبکه به پارسی
    پاسخ ها: 3
    آخرين نوشته: 04-11-2011, 03:52 AM

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •