امنیت در شبکه‌های کامپیوتری – قسمت اول

0
1542

امنیت در شبکه‌های کامپیوتری شامل کنترل و حفاظت از اطلاعات، حفاظت در برابر آسیب‌های نرم‌افزاری و سخت‌افزاری، جلوگیری از اختلال در سرویس‌ها و … در برابر حمله‌ها و آسیب‌رسانی‌ها است.

آسیب‎‌پذیری

یک آسیب‌پذیری، می‌تواند حساسیت یا نقص یک سامانه باشد که زمینه را برای حمله و سوء استفاده از این نقص فراهم می‌کند.

حمله‌ها

برای نگهداری و بالابردن امنیت، شناخت گونه حمله‌ها بسیار مهم است. از انواع حمله‌ها می‌توان به مواردی اشاره کرد:

  • Backdoor
  • Denial-of-service (اختلال یا محروم‌سازی در سرویس دهی)
  • Direct-access (دسترسی‌های مستقیم غیرمجاز)
  • شنود
  • جعل
  • فیشینگ
  • مهندسی اجتماعی

امنیت مجموعه بزرگی است که از Confidentiality – Integrity – Availability (CIA) تشکیل شده است.

در دوره CCNP Switch به مباحث امنیت در سوئیچ یا همان امنیت در لایه 2 پرداخته می‌شود. در این مورد attack های لایه 2 و روش های جلوگیری از آن بحث خواهد شد.

DHCP Spoofing Attack

اختلال در سرویس دهی DHCP برای هر سازمانی می‌تواند دردسر ساز باشد. به علت broadcast بودن درخواست DHCP، هر سرویس دهنده ایی که در شبکه، broadcast درخواست را سریعتر دریافت کند به سریعتر به کاربر IP تخصیص می‌دهد.

سرویس DHCP جعلی با جایگزین شدن DHCP اصلی می‌تواند با دادن اطلاعات غلط باعث اختلال در کارکرد end-userها شود و یا با هدایت ترافیک به سمت مقصدی خاص، اقدام به بررسی اطلاعات تبادل شده در سطح شبکه بپردازد. هدایت ترافیک می‌تواند به صورت تغییر آدرس gateway به سروری که نقش man in middle را بازی می‌کند برای capture کردن ترافیک داخل شبکه باشد، یا تغییر آدرس سرور DNS است که برای هدایت به یک آدرس خاص (مانند صفحه جعلی ورود به دسترسی اینترنتی حساب بانکی) و سرقت نام کاربری و کلمه عبور باشد.

به دلیل اینکه ترافیک درخواست IP به فایروال نمی رسد، برای مهار این حمله نمی‌توان کاری در فایروال انجام داد و هر تنظیمی مدنظر است بایستی در سوئیچ access اعمال شود.

متد جلوگیری از DHCP Spoofing attack، DHCP Snooping است. DHCP snooping یک متد امنیتی است که مانند یک فایروال بین کاربران غیرقابل اعتماد و سرور(های)قابل اعتماد DHCP قرار می گیرد.

در این متد بروی سوئیچ همه پورت‌ها غیر از پورتی که باید از سرور اختصاص دهنده IP به کاربران آدرس بدهد (که دستی trust می‌شود) untrust می‌شوند. برای دریافت IP توسط کاربر، بسته های (Discovery-Offer-Request-Accept) بین سرور و کاربر رد و بدل می‌شود. پورت‌هایی که untrust می‌شوند حق ارسال بسته های offer را ندراند. اگر از روی پورت untrust ایی بسته های offer دریافت شود پورتش به حالت error disable می‌رود.

با توجه به درخواست کاربر و جوابی که از سمت DHCP داده می‌شود، سوئیچ از روی بسته های DHCP با فعال کردن DHCP Snooping جدولی را درست می‌کند که شامل پورت-VLAN-MACو IP است.

این جدول برای جلوگیری از attack های دیگر نیز مورد استفاده قرار می گیرد. اگر DHCP در شبکه وجود نداشته باشد، سخت می‌توان جلوی برخی از attack ها را گرفت.

برخی از کارهایی که می‌توان از طریق ویژگی DHCP snooping انجام داد:

  • فیلتر کردن پیغام‌های نامعتبر DHCP از کاربران غیرقابل اعتماد
  • محدود کردن ترافیک DHCP بروی پورت‌ها
  • ساخت و نگهداری دیتابیس IP و MAC
  • استفاده از دیتابیس ساخته شده به منظور ارزش گذاری درخواست‌ها
  • استفاده متدهای دیگر امنیت مانند DAI از دیتابیس گردآوری شده

برای فعال کردن snooping از دستور ip dhcp snooping استفاده می‌کنیم.

DHCP Starvation (قطحی dhcp)

مهاجم با MAC های مختلف تمام IP ها را رزرو می‌کند. به همین خاطر برای کاربر اصلی IP وجود ندارد. برای مقابله با این حمله می‌توان بروی پورت سوئیچ، ماکزیموم میزان درخواست IP را تنظیم کنیم. به این صورت که مشخص کنیم در ثانیه حق ندارد بیشتر از 3 پکت درخواست DHCP ارسال کند. در صورتیکه از پورتی درخواست‌های زیادی برای DHCP ارسال شود پورت به حالت غیرفعال یا همان error disable می‌رود. پیش فرض این روش 3 در خواست در ثانیه از یک پورت است. پیش از فعال کردن میزان درخواست، بایستی dhcp snooping بروی پورت فعال باشد.

روش دیگری که می‌تواند کمک کند تا تاحدی بتوان جلوی حمله DHCP starvations گرفته شود portsecurity است.

باید توجه کرد بعضا یک متد امنیتی کاملا نمی‌توانند جلوی یک حمله را بگیرد و بایستی برای جلوگیری از برخی حمله‌ها از چندین روش استفاده نمود تا ضعف های همدیگر را پوشش دهند. به عنوان مثال در port security که با آدرس MAC کار می‌کند مهاجم می‌تواند MAC مجاز را بروی سیستم خود تنظیم کند و از متد امنیتی port security عبور کند.

IP Spoofing Attack

بسیاری از فایروال‌ها فقط به IP های مشخص اجازه فعالیت در یک رنج یا یک شبکه را می‌دهند. در این نوع حمله، مهاجم با استفاده از تکنیک‌هایی، از IP آدرس‌هایی که مجاز هستند برای پیش برد فعالیت مخربشان استفاده می‌کنند.

در کل به attack هایی که IP جعل می‌شود IP spoofing گفته می‌شود. برای تشخیص اینکه source جعلی است یا نه از جدول DHCP Snooping استفاده می‌شود. با توجه به آن جدول می‌توان تشخیص داد که IP بروی پورت باید چه باشد و در صورت تغییر داده شدن متوجه spoof می شویم.

Smurf attack

با source جعل شده به مقصد broadcast ترافیک ارسال شود.

DOS attack

در این روش از یک سیستم میزان بالایی ترافیک به سمت هدف ارسال می‌شود تا سیستم یا کامپیوتر مورد حمله، به دلیل پر شدن پهنای باند، یا حداکثر شدن پردازش از کار بیافتد.

برای جلوگیری از DOC attack در زیرساخت اینترنت کشور، زمانی که حجم زیادی از ترافیک به سمت کاربری در ایران ارسال شود، قبل از ورود ترافیک به داخل کشور، ترافیک با استفاده از تکنیک black hole مسدود می‌شود. (با برنامه ایی به نام hping3 می‌توان هر نوع داده ایی که بخواهیم به سمت مقصد با حجم بالا برای از کار انداختن کاربر انجام داد)

برای این attack با source یک آدرس دیگر (source spoofing) به مقصد حمله می‌شود.

ARP Spoofing (Poisoning) Attack

در این نوع حمله، سیستم مهاجم شروع به ارسال ARP های جعلی در شبکه می‌کند. به اینصورت که اگر دنبال IP مفروض می گردید MAC آن BBBB-BBBB-BBBB است. به همین علت زمانی که کاربری با سیستم مقصد کار داشته باشد، ترافیکش ابتدا به دست سیستم مهاجم می رسد و پس از آن سیستم مهاجم ترافیک را به سیستم مقصد پاس می‌دهد. در این حالت سیستم مهاجم تمام ترافیک منتهی به مقصد را می‌تواند شنود کند.

روش جلوگیری از این حمله، dynamic ARP inspection یا همان DAI است.

ارسال یک پاسخ

لطفا دیدگاه خود را وارد کنید!
لطفا نام خود را در اینجا وارد کنید