كيفكم حبايبي اليوم معانا موضوع مهم جدا وعاجبني بصراحه فحبيت تستفيدون منه مثل ماأستفت انا ...
من الضرورى لمهندس الشبكات ان يكون ملم ببعض التقنيات و الاستراتيجيات المهمه التى تستخدم فى صد الهجمات واشهر الطرق التى من الممكن ان يتبعها للتعرف على نوع الهجمات الموجهه الى شبكته ,خلال هذا الموضوع نتعرف على عدد من هجمات الشبكه و كيف يتصرف الشخص المسئول عنها فى حاله استهداف الشبكه بهجوم معين .
الشبكه التى سنعتمد عليها فى الشرح التصدى لهجمات ال
Fragmentation-Based Attack عدد كبير من الهجمات تعتمد على عملية ال Fragmentation اى تقسيم ال Packets الى أجزاء صغيرة يتم إرسالها بشكل متتابع فيتم تجميعها مرة اخرى عند الوصول , وهناك برامج يمكنها استغلال بعض الثغرات فى هذه العمليه لتنفيذ غرض خبيث فى نظام التشغيل او حمل الجهاز الى أشياء غير محسوبه مما يؤدى الى حدوث خلل ,ويمكن ايضا استخدام ال Fragmentation بغرض اخفاء هجوم كبير يتم تنفيذه فعن طريقه يتمكن المخترق من المرور عبر انظمه الحمايه مثل ال IPS و ال IDS وبعض الجدران الناريه ,باختصار ال Fragmentation يمكن ان يؤدى الى الكثير من المشاكل و الثغرات ,مثال على اشهر الهجمات التى تعتمد على مبدأ ال Fragmentation فى تنفيذ شىء معين :
IP fragment overlapped
IP fragmentation buffer full
IP fragment overrun
IP fragment overwrite
IP fragment too many datagrams
IP fragment incomplete datagram
IP fragment too small
وبما ان الهدف من التدوينة هو طريقه الحمايه فلن اتطرق الى الحديث عن هذه الطرق , ففى حاله أنه تم اخبارك أن هناك من يعتمد على هذه الطرق لعمل هجوم و طلب منك منع ذلك فالامر بسيط كل مع عليك هو تنفيذ إحدى هذه الطرق الأتيه :
الطريقه الاولى (عن طريق الروتر)
R1(config)#access-list 101 deny ip any any fragments
R1(config)#access-list 101 permit ip any any
R1(config)#interface f0/1
R1(config-if)#ip access-group 101 in
عن طريق الاوامر السابقة تم إنشاء ACL تقوم بمنع أى fragment من المرور عن طريق ال keyword التى اضفناها فى نهايه الامر fragments وهى تقوم بعمل match لل Non Initial Fragments ولكن ما الفرق بين ال Initial fragment وال Non Initial fragments ؟
ال Initial fragments هى التى تحتوى على كل القيم المطلوبه والمهمه فى ال Headers , فهى تحتوى على Layer 3 &4 Information وبهذا يمكن لل ACL العاديه التعرف عليها .
ال Non Intial fragments هى التى لا تحتوى على معلومات كافيه فى ال Header وفى الغالب لا تحتوى على اى معلومات خاصه ب Layer 4 , لذلك لا يمكن لل ACL العاديه التعرف عليها الا عن طريق كلمه fragments .
الطريقه الثانيه (عن طريق الروتر)
R4(config)#int fa0/1
R4(config-if)#ip virtual-reassembly drop-fragments
هذه الطريقه تعتمد على خاصيه تسمى Virtual-reassembly , وظيفة هذه الخاصية فى الأصل أنها تقوم بتجميع كل ال Fragments على شكل Packet واحدة وتعيدها إلى شكلها الأصلى فيستطيع ال Router عمل Inspect لها وفحصها فى حالة اذا كان الروتر يعمل كجدار نارى ,ولكننا هنا استخدمنا هذه الخاصيه لمنع ال Fragments بشكل نهائى من المرور.
الطريقه الثالثه (عن طريق ASA)
ASA(config)# fragment chain 1 outside Fragment
الامر السابق يقوم بتحديد اقصى عدد من ال Fragment يمكن السماح به لل Packet الواحدة , وبما اننا قمنا بجعل هذه القيمه تساوى 1 فيما معناه “لا تسمح بمرور اكثر من Fragment واحدة لكل Packet” أى أننا بهذا قمنا بمنع ال Fragmentation من الأساس .
التصدى لهجمات
IP Options-Based Attack فى كل IP Header يكون هناك جزء خاص بال IP options ويكون بعد ال Destination IP address , وهذه صوره لل Header للتوضيح
فى اغلب الأحيان يكون هذا الجزء فارغ فهو يستخدم فى حالات قليله مثل رسائل ال BGP التى تستخدم IP option 19 , لكن هناك بعض الاستخدامات الخبيثة فى هذه الجزئيه تمكن المخرب من عمل Spoof واشياء أخرى يمكنك التعرف عليها أكثر بالبحث اذا أردت , ولمنع حدوث ذلك يمكنك استخدام الطريقة التالية :
R1(config)#ip options drop
هذا الامر يقوم بعمل Drop لهذا ال Traffic .
التصدى لهجمات الاستطلاع
Reconnaissance أى عمليه اختراق منظمة تبدأ بهذه الخطوة ,و هى تساعد فى معرفة معلومات عن الشبكه مثل نطاق العناوين المستخدم والمنافذ المفتوحه الخ.. من هذه الامور ,من أشهر البرامج التى تقوم بهذه العمليه البرنامج الشهير nmap , اذا كنت تشك ان هناك من يقوم باستطلاع شبكتك فأدخل هذا الامر فى ال ASA
ASA(config)# threat-detection scanning-threat shun duration 1800
خاصيه Threat-detection هى خاصيه مهمه فى ال ASA لها استخدامات عديدة , ولا يقتصر هذا الأمر على التعرف على هجمات الاستطلاع فقط , بل يقوم بعمل block لأى جهاز يصدر منه هذا النشاط لمده معينة من الثوانى تقوم بتحديدها .
ملحوظة مهمة للحماية من هجمات الاستطلاع وهى ألا تسمح بأكثر من ما تحتاجه الشبكه للعمل ,فاذا سمحت بأكثر من ذلك ستجد الباب مفتوح للعديد من الهجمات , فمثلا إذا كان عندك ويب سيرفر تسمح لأى شخص من الانترنت بالولوج اليه ,فلا تستخدم ال ACL على الانترفيس المواجه للانترنت بهذه الطريقة
access-list 101 permit tcp any any eq 80
بل اجعلها بهذه الطريقة لانها الأفضل من منظور تحديد الصلاحيات وتقيدها
access-list 101 permit tcp any SERVER-IP eq 80
التصدى لهجمات التزوير
IP Spoofing فى الغالب يلجأ المخربين الى تزوير عناوين ال IP الخاصة بهم سواء من أجل التخفى أو أى غرض اخر , ومن مبادىء الحماية ان لا تسمح مطلقا بأى عنوان ضمن RFC1819 بالدخول إلى شبكتك عن طريق الانترنت , لان هذه العناوين خاصه بال Private Host لذلك اذا كان مصدرها ال Outside فحتما ولابد انها عناوين غير حقيقية , لذلك يفضل ان يكون الانترفيس المواجه للانترنت عليه ACL بهذا الشكل
R1(config)#access-list 101 deny ip 192.168.0.0 0.0.255.255 any
R1(config)#access-list 101 deny ip 172.16.0.0 0.15.255.255 any
R1(config)#access-list 101 deny ip 10.0.0.0 0.255.255.255 any
R1(config)#access-list 101 permit ip any any