29 هام جدا جدا

السلام عليكم
اولا احب ان اوضح نقطه هامه بخصوص المدونه انه بعض الموضيع التى وجدتها فى موقع networkset
وعجبتنى هى من كتابة م /ايمن وانا حبيت اخلى مسئوليتى امام الله من هذا حيث اننى نقلتها حتى يستفيد الناس والهدف واحد وشكرا لكم

1 هجوم الـ ARP Spoofing وكيفية التصدي له ؟

تدوينتي لهذا اليوم لمحبي الأمن والحماية والتي سوف أتكلم فيها عن نوع جديد من أنواع الهجمات التى تستهدف الشبكات على مستوى الطبقة الثانية وهو هجوم الـ ARP Spoofing أحد أكثر الهجمات شيوعا وخطورة على الشبكة والتى توصلنا إلى مايعرف بي الـ Man In The Middle.

مقدمة
قبل أن يبدأ أي جهازان موجودان على الشبكة الأتصال فيما بينهم يتوجب على كل واحد منهم أن يعلم العنوان الفيزيائي الخاص بالآخر والذي نعرفه بي الماك أدريس لذا ومن هذا السياق تم إيجاد بروتوكول خاص بهذه العملية ويدعى ARP Protocol وظيفة هذا البروتوكول هي أرسال طلب ARP Request إلى الشبكة على شكل Broadcast يسأل فيها عن العنوان الفيزيائي لأيبي معين يريد الأتصال معه وبدوره ينتشر هذا الـ Broadcast على كل الشبكة حتى يصل إلى وجهته المقصودة (الأيبي) وعندما يصل هذا الطلب يرد عليه الجهاز المقصود بالماك أدريس الخاص فيه على شكل ARP Replay لكن هذه المرة يكون الرد Unicast وبتلك الطريقة يبدأ الجهازان التواصل مع بعضهما البعض وهذه صورة توضيحية لسير العملية :

فكرة الهجوم
دائما ما تكون فكرة الهجوم هي أبسط شيء في عملية الأختراق فبعد وصول الرد من الجهاز يتم حفظ هذا الماك أدريس والأيبي الخاص به في جدول يدعى الـ Arp Table حتى لو في حال أراد الأتصال معه مرة آخرى يتم الرجوع إلى الجدول وهي عادة تكون مؤقتة تزول مع عملية أغلاق جهاز الكمبيوتر ومن هنا يبدا المخترق هجومه اللعين فهو ببساطة يقوم بأرسال ARP Replay مزور لأحد الأجهزة الموجودة على الشبكة معلما أياه بأن الماك أدريس الخاص بأحد الأيبيات عنوانه كذا وكآن الموضوع تم من خلال طلب من الجهاز المراد أختراقه والنتيجة سوف تكون التعديل على جدول الـ ARP وتغيير العنوان الفيزيائي لأحد الأيبيات والتى عادة ما تكون الـ Gateway الخاص بالشبكة لذا ومن هذا المنطلق يبدأ الجهاز المخترق بأرسال بياناته وطلباته إلى جهاز المخترق وكأنه هو الروتر ومن ناحية المخترق كل مايقوم به هو أعادة توجيه هذه البيانات إلى وجهتها الحقيقية أي إلى الروتر مستغلا مرور البيانات جميعها من خلال جهازه وبالتالي تمكن من تحويل جهازه إلى MITM وسوف يتمكن من مشاهدة وقراءة كل الترافيك العابر من الجهاز المخترق إلى الروتر وطبعا المخترق لن ينسى أن يرسل طلب مزور آخر إلى الروتر معلما أياه بأن العنوان الفيزيائي للجهاز المخترق هو أيبي الجهاز الخاص به لنشاهد هذه الصورة التوضيحية أولا :

الأدواة المستخدمة في الهجوم
لهذا النوع من الهجمات الكثير من الآدوات وآشهرها آداة ettercap , dsniff وطبعا البرنامج الذي يزعج الكثير من مشتركي الانترنت netcut وأن كان لايقوم بتنفيذ مثل هذا النوع من الهجوم لكن فكرته واحده وهي قطع الأنترنت عن المستخدمين من خلال تغيير العنوان الفيزيائي للـ Gateway والخ…. وأغلب هذه البرامج لاتحتاج إلى أحترافية في الأستخدام مجرد بضع ضغطات وينتهي الأمر.

الحماية من هذا النوع من الهجمات
على مستوى المستخدم: لحمايتك من هذا النوع من الهجمات الخبيثة يفضل دائما أن تقوم بعمل Static ARP للـ Gateway الخاص بالشبكة وقد تحدثت عن هذا الموضوع بالتفصيل الممل على الرابط التالي وفيه شرحت كيفية أعدادها على أجهزة سيسكو وجونيبر ومايكروسوفت ولينوكس لذا أحرص دائما على القيام بهذا الأمر لو شككت بالأشخاص الموجودين معك على الشبكة .
ولو في حال اردت الأتصال بأحد الأجهزة أو سيرفرات الموجودة على السيرفر عن بعد بأن تستخدم الـ SSH كخيار يؤمن لك سرية كاملة لكل بياناتك لو في حال تم أعتراضه من قبل أحد المخربين
وهناك بعض الأدوات الأحترافية التى تساعدك في عملية مراقبة الترافيك الخاص بالشبكة وأخص بهم برنامج Snort وبرنامج XARP والذي يؤدي وظيفة مهمة جدا وهي مراقبة عملية الـ Mapping التى تحدث على الـ ARP Cache .

على مستوى الشبكة : قدمت سيسكو لمثل هذا النوع من الهجمات خاصية تدعى dynamic ARP inspection (DAI) والتى يشترط تفعيلها على السويتش تفعيل خاصية الـ DHCP Snooping التى تحدثنا عنها في آخر تدوينة خاصة بالأمن والحماية على الرابط التالي

كيف تعمل خاصية الـ DAI
تعتمد هذه الخاصية كما ذكرت على وجود خاصية الـ DHCP Snooping فعند تفعيل خاصية الـ DAI يلجأ هو بدوره إلى الجدول الخاص بي الـ DHCP Snooping لكي يتأكد ويصادق على الـ ARP Packet الواصلة إلى السويتش من خلال المنفذ المخصص له وبكلام آخر عندما يتم توزيع الأيبي على الأجهزة يقوم الـ DHCP Snooping بعمل جدول يوضح الأيبي الذي تم أرساله من سيرفر الـ DHCP ويربطه برقم المنفذ والماك أدريس الخاص فيه وهذه صورة توضيحية للجدول

والذي يستفيد منه الـ DAI لكي يتأكد من أن الـ ARP Packet مطابقة لهذه المعطيات .

الأعدادات

Cisco's IOS

Switch >en
Switch #conf t
Switch(config)# ip arp inspection vlan 10

أرجو أن تلاحظ أن تفعيل هذه الخاصية يتم على مستوى الـ Vlan ولو في حال أردنا ضم أكثر من Vlan نضع فاصلة ونكتب باقي الـ Vlan مثل 10,11,12,25,112,300 وآخيرا نقوم بكتابة الأمر التالي على المنافذ المتصلة مع اجهزة موثوقة مثل سويتشات آخرى على سبيل المثال

Cisco's IOS

Switch >en
Switch #conf t
Switch(config)#interface fastethernet 0/0
Switch(config)# ip arp inspection trust

وللتأكد من حالة المنافذ والخاصية

Cisco's IOS

show ip arp inspection statistics vlan 10

عند هذه النقطة أودعكم وأتمنى لكم حسن المتابعة ودوام العافية ولاتنسونا من دعواتكم دوما ولي عودة آخرى مع مواضيع الـ Spoofing

1 بروتوكولات الـ Wan القسم الأول (HDLC)

تدوينتي لهذا اليوم تعد من التدوينات الهامة والتى أخصصها لكي أتحدث عن البروتوكولات المستخدمة في الشبكات البعيدة Wan وهي الـPPP والـ HDLC والـ Frame Relay فكما نعلم أن أغلب الشركات لديها أتصال مع  شركات الأنترنت أو لديها أتصال مع شبكات خاصة لفروع آخرى فما هو البروتوكول الذي سوف نستخدمه ؟ لنتعرف اليوم على أول بروتوكول منها وهو الـHDLC

HDLC

وتعني High Level Data-Link Control وأول من قام بتطوير هذا البروتوكول هو IBM عام 1974 تحت أسم Synchronous Data Link Control أو SDLC وبعدها أحيل إلى المنظمة العالمية للمقاييس ISO والتى قامت هي أيضا بتطويره وإعادة تسميته إلى الأسم المعروف في وقتنا الحالي HDLC وقبل أن ندخل أكثر في التفاصيل أحب أن أوضح أن جميع البروتوكولات المستخدمة في شبكات الـ WAN تعمل على الطبقة الثانية Data Link لذا يعد هذا البروتوكول أحد بروتوكولات الطبقة الثانية وكما ذكرنا أن منظمة الـ ISO هي أول من قام بتطويره ويعد إستخدامه ينحصر على أتصال نقطتان بشكل مباشر أو كما يعرف بي الـ Point-to-point (PPP) ومن أكثر الأخطاء الشائعة التى يقع فيها بعض المهندسين هو الأعتقاد أن بروتوكول الـHDLC هو بروتوكول لسيسكو فقط لان الـHDLC والـ Cisco-HDLC هما بروتوكولان أثنان يعد الثاني منها خاص بسيسكو ولا يعمل إلا على أجهزتها لذلك عندما تقوم بربط روتر سيسكو مع روتر لشركة آخرى فأن الأتصال بينهم لن يعمل وسوف تطر إلى تغيير البروتوكول إلى بروتوكول آخر لكي نتمكن من الأتصال بينهم والسبب لأن سيسكو لا تدعم البروتوكول الأساسي على أجهزتها وهي تدعم بروتوكول الـ Cisco-HDLC فقط لذا فأول سؤال سوف يخطر على بالك ماذا فعلت أو ماذا طورت سيسكو في هذا البروتوكول ؟ للإجابة على هذا السؤال يجب علينا أن نعلم حقيقية هامة في بروتوكول الـHDLC وهي سلبية هذا البروتوكول وهي عدم دعم أكثر من بروتوكول Layer 3 في نفس الوقت وبكلام آخر لكي يتم الأتصال بين الروترين من خلال الـHDLC يجب عليهم أن يعملوا من خلال أحد بروتوكولات الطبقة الثالثة أي أما IP أو IPX أو AppleTalk وليس أستخدام أثنان منهم أو ثلاثة في نفس الوقت وهذا ماقامت به سيسكو فقد دعمت إستخدام جميع البروتوكولات في نفس الوقت من خلال إضافة قسم جديد للـ Header وهو الـ Type وطبعا هذا لايمنع باقي الشركات المصنعة من الأستفادة من هذه الخاصية أي إتاحة إستخدام اكثر من layer 3 Protocol في نفس الوقت لكن بشرط إضافة نفس القسم للـHeader  وخاص بي الشركة المطورة ويمكن أن نطلق عليها Priority وأن لم تكن لهذه الشركة Priority خاص بها إذا سوف يتوجب عليها إستخدام البروتوكول الأساسي وطبعا سوف تطرأ لإستخدام بروتوكول واحد من بروتوكولات الطبقة الثالثة فقط والتى لم تعد مشكلة في وقتنا الحالي بسبب أعتماد أغلب الشركات على بروتوكول الـ IP وهذه صورة توضيحية لتقريب المعلومة بشكل أكبر

وكون البروتوكول يعمل على الطبقة الثانية فهذا يعطيه مميزة الـ Error Detection أما السلبية الثانية في إستخدام هذا البروتوكول هو عدم وجود أي نوع من أنواع الـ Authentications بين الروترات بغض النظر عن كون البروتوكول هو الخاص بسيسكو أو العادي ويعتمد على آلية واحدة في الضغط والمعروفة بأسم Stacker التى سوف أعود للتحدث عنها في القسم الثاني في بروتوكول الـ PPP وآخيرا لايسعني إلا أن أذكر الميزة الوحيدة لهذا البروتوكول وهي الأعدادات ففي سيسكو لن تحتاج لكتابة أي شيء لتشغيل البروتوكول كون هذا البروتوكول هو الـ Default على أجهزتها وعلى غير أجهزة لن تحتاج أكثر من تحديد نوع الـ Encapsulation بي HDLC أتمنى أن تكون التدوينة قد أفادتكم وقدمت لكم شيء جديدا ولنا عودة لنتحدث عن باقي البروتوكولات

0 أنواع الـ Spanning Tree Protocol (القسم الثاني)

نستكمل اليوم بعون الله القسم الثاني من أنواع الـ Spanning Tree والذي تحدثنا في قسمه الأول عن البروتوكولات الخاصة بي الـ IEEE على الرابط التالي أنواع الـ Spanning Tree Protocol (القسم الأول) أما اليوم فسوف نتحدث عن البروتوكولات التى قامت سيسكو بتطويرها وهي PVST,PVST+,RPVST+وأهم الأختلافات بينها

PVST: أو Per Vlan Spanning Tree هو عبارة عن بروتوكول قامت سيسكو بتطويره لصالح أجهزتها فقط ولا يعمل إلا عليها وهو عبارة عن إمتداد للبرتوكول المعروف STP ويقوم بنفس الوظائف ,وكما ذكرنا في الموضوع السابق أن الـ STP يقوم بعمل Instance واحدة لكل الشبكة وبما فيها الـ Vlans إلا أن سيسكو فكرت بطريقة آخرى وهي لماذا لانتيح Instance لكل Vlan التى سوف تتيح بدورها Load Balancing بين السويتشات وتحديدا بين الـ Vlan وعلى نفس فكرة الـ MSTP لكن هنا الوضع مختلف قليلا لان العزل هنا سوف يكون على مستوى Vlan  واحدة بينما هناك العزل كان على شكل مجموعات ومن عيوب هذا البروتوكول  أنه يعمل من خلال الـ ISL أو Inter Switch Link فقط وكما هو معروف عن هذا البروتوكول أنه يعمل على أجهزة سيسكو فقط لذلك أي BPDU نصل إلى سويتشات سيسكو قادمة من أنواع آخرى تستخدم بروتوكول 802.1Q مثل الـ CST سوف يتم تجاهلها مباشرة ولتمكين هذا البروتوكول من نخصيص Instance لكل Vlan قامت سيسكو بعمل بعض التغييرات على الـHeader الخاص بي الـ BPDU لكي يتم التعرف أيضا على رقم الـ Vlan فنحن نعلم أن الـ Header مؤلف من 8 بايت  اثنان منها للـ Bridge Priority وستة منها للماك أدريس وما فعلته سيسكو انها قامت بتقسيم الأثنان بايت الخاصة بي الـ Bridge إلى قسمان بحيث يكون للـ Bridge أربعة بت فقط بينما خصصت الأثنا عشر بت الباقية لكي تكون للـ Vlan-ID وهذه صورة توضيحية للفكرة

وهذه صورة توضح فكرة عمل هذا ابروتوكول بشكل عام ويتضح من خلال الصورة كيف أصبح لدينا Instance لكل Vlan وكيف تم أغلاق بعض المنافذ في VlanA بينما نفس المنفذ مفتوح بالنسبة للـ VlanB

كما يدعم هذا البروتوكول الخواص التالية التى تحدثنا عنها في القسم الأول BackboneFast, UplinkFast, PortFast.

PVST+: نفس فكرة البروتوكول السابق لكن هنا أتاحت سيسكو أمكانية الربط بين الـ PVST والـ CST والـ MSTP وذلك من خلال PVST+ الذي يدعم بروتوكول الـ 802.1Q والـ ISL وللقيام بهذه العملية يلعب السويتش الذي يعمل من خلال الـPVST+ دور المترجم بين الـ PVST الذي يتصل معه من خلال الـ ISL وبين الـ CST الذي يتصل معه من خلال الـ 802.1Q عملية الترجمة مازالت تحتاج بعض الجهد والبحث لكي أستطيع أن أقدمها لكم لانها تعتمد

ملاحظة هامة : الـ PVST و الـ PVST+ ليستا وضعيتان مختلفتان ويمكن تطبيقهما متى نشاء لان موديل السويتش ونظام التشغيل الخاص به هو الذي يحدد أي الوضعيات مدعومة وهي أما الأولى أو الثانية وليسا الأثنان مع بعضهما لان فكرة الأثنان واحدة والفرق الوحيد  دعم الـ 802.1Q

RPVST+: لن أضيف شيء جديدا بالنسبة لهذا البروتوكول لان الفكرة نفسها لكن هنا تم الأعتماد على خصائص ومميزات الـ RSTP

خلاصة هذا الموضوع الـ STP موضوع له تفرعات كثيرة ومهم جدا أن تكون فاهم المادة النظرية فيه بشكل جيد ومتقن للأوامر الخاصة بكل بروتوكول كما يحتاج تصميم الشبكة أستنادا إلى موضوع الـ STP بعض الدراسات والتى تشكل عدد الأجهزة توزيع الـ VLAN كيفية الربط بينها والكثير من التفاصيل الدقيقة حتى تكون نظره شاملة تستطيع من خلالها تحديد البروتوكولات التى يجب إستخدامها أتمنى أن نكون قد قدمنا شيء جديد لكم

منقول