📕 المحور الثالث عشر: تخطي أجهزة الحماية – Bypass FW, IDS & IPS
بسم الله والصلاة والسلام على رسول الله
اليوم ان شاء الله راح اشرح المحور الثالث عشر من سلسلة "مراحل اختبار الاختراق" وهو: -
📕تخطي أجهزة الحماية – Bypass FW, IDS & IPS
🚩 اولاً : ما هو Intrusion Detection System IDS:
📍 انواع الـIDS :-
اليوم ان شاء الله راح اشرح المحور الثالث عشر من سلسلة "مراحل اختبار الاختراق" وهو: -
· Signature-Based: يتم هذا النوع من الكشف من خلال المراقبة والبحث عن أنماط معينة، مثل تسلسل البايت في حركة الحزم، أو تسلسلات التعليمات الضارة المعروفة التي تستخدمها البرامج الضارة ويقارنها بقاعدة بيانات "التواقيع" أو "التهديدات الخبيثة المعروفة".
· Anomaly-based: تم تقديمها بشكل أساسي لاكتشاف الهجمات اللير معروفة. تتمثل الطريقة الأساسية في استخدام التعلم الآلي لإنشاء نموذج للنشاط الجدير بالثقة، ثم مقارنة السلوك الجديد بهذا النموذج. إذا كان سلوك الشبكة ضمن السلوك المحدد مسبقًا، فعندئذٍ يتم قبول الحزم إلى الشبكة وإلا ستطلق التنبيه في نظام اكتشاف الأخطاء.
الملفات:
· العثور على ملف جديد غير إعتيادي او تغير محتوى ملفات النظام
· إحداث تغير صلاحيات في احدى الملفات.
· تغير مفاجئ في حجم ملف ما.
· فقدان في اهم ملفات النظام.
الشبكة:
· تغير المفاجئ في الـ Bandwidth.
· تدفق حزم بيانات بشكل غير إعتيادي.
· ظهور عناوين IP مختلفة عما هو متعارف عليه.
جهز الكمبيوتر:
· ملفات الـ LOGS القصيرة او الغير مكتملة.
· تغير في أداء الجهاز.
· ظهور Processes الغير معتادة
· تعليق الجهاز وتكرر إعادة التشغيل.
|
الدلالة |
الحالة |
|
يجود اختراق – يوجد إنذار |
True-Positive |
|
لا يجود اختراق – لا يوجد إنذار |
True - Negative |
|
لا يوجد اختراق - يجود إنذار |
False - Positive |
|
يجود اختراق - لا يجود إنذار |
False - Negative |
📍 بعض أدوات وبرامج للـIDS:
· SNORT
· TippingPoint
· Alien Vault OSSIM
· NGIPS
· FortiGate IPS
· McAfee HIPS
· AIDE
· Snare
· Cisco IPS
· Peek & Spy
· IBM Security NIPS
🚩 ثانياً : ما هو جدار الناري – Firewall:
· جدار الحماية هو الخط الأول للدفاع عن الشبكات فهو جهاز او برنامج يقوم بمراقبة جميع تحركات الحزم الواردة والصادرة، وبناءً على مجموعة من قواعد الأمان يحدد إما السماح او حظر بمرور تلك الحزم. والغرض الأساسي منه هو إنشاء حاجز بين الشبكة الداخلية والشبكة خارجية (الإنترنت) من أجل منع مرور الأشياء الضارة والخبيثة مثل الفيروسات والمتسللين.
📍 اعمال الجدار الناري:
· الدفاع عن الموارد
· إدارة ومراقبة حركة مرور الشبكة
· سجل وأبلغ عن الأحداث
· العمل كوسيط ما بين الشبكة الداخلية والخارجية
· تصفية الحزم
· يعمل كـ Proxy Server
· TippingPoint
· Alien Vault OSSIM
· NGIPS
· FortiGate IPS
· McAfee HIPS
· AIDE
· Snare
· Cisco IPS
· Peek & Spy
· IBM Security NIPS
🚩 ثانياً : ما هو جدار الناري – Firewall:
· جدار الحماية هو الخط الأول للدفاع عن الشبكات فهو جهاز او برنامج يقوم بمراقبة جميع تحركات الحزم الواردة والصادرة، وبناءً على مجموعة من قواعد الأمان يحدد إما السماح او حظر بمرور تلك الحزم. والغرض الأساسي منه هو إنشاء حاجز بين الشبكة الداخلية والشبكة خارجية (الإنترنت) من أجل منع مرور الأشياء الضارة والخبيثة مثل الفيروسات والمتسللين.
📍 اعمال الجدار الناري:
· الدفاع عن الموارد
· إدارة ومراقبة حركة مرور الشبكة
· سجل وأبلغ عن الأحداث
· العمل كوسيط ما بين الشبكة الداخلية والخارجية
· تصفية الحزم
· يعمل كـ Proxy Server
📍مواقع جدار
الناري في الشبكة:
· Bastion Host: ويكون موقع الجدار الناري امام الشبكة.
· Bastion Host: ويكون موقع الجدار الناري امام الشبكة.
Internet —> FW —> Intranet
· Screened Subnet: ويكون الجدار اناري متصل للشبكة الداخلية و الـDMZ.
Internet —> DMZ/FW —> Intranet
·Multi-Home Firewall : ويكون هناك عدد (2) من الجهاز الناري.
Internet —-> FW —> DMZ —> FW —> Intranet
📍انواع الجدار الناري:
· Hardware
· Software
📍 يمكن تقسيم أنواع جدران الحماية إلى عدة فئات مختلفة بناءً على هيكلها العام وطريقة عملها. فيما يلي بعض أنواع من جدران الحماية:
· Packet-filtering firewalls: بسط وأقدم نوع من جدار الحماية فهو برنامج إدارة "حظر وسماح" بمرور بروتوكول IP وعنوان IP ورقم المنفذ. هذا النوع من جدار الحماية هو الشكل الأساسي للحماية وهو مخصص للشبكات الصغيرة.
· Circuit-Level Gateways: هو الذي يعمل في طبقة الرابعة لنموذج الـOSI، مع مراقبة اتصالات وتتمثل مهمته الأساسية في ضمان سلامة التوصيلات التي تم إنشاؤها. فقد تم تصميم هذا الفحص لتأكيد ان هذه جلسة حقيقية.
· Application-Layer firewall: يمكنه مراقبة وفحص وتصفية الحزم الموجودة في طبقة التطبيق (الطبقة 7).
· Stateful multilayer inspection: وهو يجمع ما بين الأجهزة الثلاثة المذكورة أعلاه في جهاز ناري واحد.
· Proxy Firewalls: يعمل وسيطا ما بين الشبكة الداخلية و الخارجة. يجب على العميل إرسال الطلب عبر هذا الجدار، حيث يتم تقييمه وفقًا لمجموعة من "قواعد الأمان" ثم يتم السماح بها أو حظرها من المرور. وكذلك تراقب حركة المرور لبروتوكولات الطبقة 7 مثل HTTP وFTP.
· Next-generation firewalls: تجمع بين تقنية جدار الحماية التقليدية والوظائف الجديدة، مثل فحص حركة المرور المشفرة وأنظمة منع التطفل ومكافحة الفيروسات. والجدير بالذكر أنه يشمل فحص الحزمة العميق بينما تنظر جدران الحماية الأساسية فقط إلى رؤوس الحزم.
📍 تحتوي جدران الحماية على القيود التالية:
· لا تستطيع جدران الحماية فرض سياسة كلمة المرور الخاصة بك أو منع إساءة استخدام كلمات المرور.
· جدران الحماية غير فعالة ضد مخاطر الأمان غير الفنية مثل الهندسة الاجتماعية.
· لا تستطيع جدران الحماية منع المستخدمين الداخليين من الوصول إلى مواقع الويب التي تحتوي على تعليمات برمجية ضارة، مما يجعل تعليم المستخدم أمرًا بالغ الأهمية.
· لا تستطيع جدران الحماية حمايتك من القرارات السيئة.
· لا تستطيع جدران الحماية حمايتك عندما تكون سياسة الأمان الخاصة بك متساهلة للغاية.
· لا يمكن للجدران النارية الحماية مما تم التصريح به.
· لا يمكن لجدران الحماية إصلاح الممارسات الإدارية السيئة أو سياسات الأمان سيئة التصميم
· لا يمكنه إيقاف الهجمات إذا لم تمر حركة المرور من خلالها
📍 بعض أدوات وبرامج للـFirewall:
· Comodo Firewall
· ZoneAlam PRO
· Firewall Analyzer
· Cisco ASA
· Meraki Cisco
· FortiGate NGF
· Palo Alto Network Wildfire
· PeerBlock
· Sophos XG Firewall
· Watchdog
🚩 ثالثاً: ما هو الـDMZ:
· شبكة فرعية أو منطقية تحتوي على الخدمات الخارجية للمؤسسة وتعرضها لشبكة غير موثوق بها، وعادة ما تكون أكبر، مثل الإنترنت. الغرض من المنطقة هو إضافة طبقة أمان إضافية إلى شبكة المنطقة المحلية للمؤسسة.
·Multi-Home Firewall : ويكون هناك عدد (2) من الجهاز الناري.
Internet —-> FW —> DMZ —> FW —> Intranet
📍انواع الجدار الناري:
· Hardware
· Software
📍 يمكن تقسيم أنواع جدران الحماية إلى عدة فئات مختلفة بناءً على هيكلها العام وطريقة عملها. فيما يلي بعض أنواع من جدران الحماية:
· Packet-filtering firewalls: بسط وأقدم نوع من جدار الحماية فهو برنامج إدارة "حظر وسماح" بمرور بروتوكول IP وعنوان IP ورقم المنفذ. هذا النوع من جدار الحماية هو الشكل الأساسي للحماية وهو مخصص للشبكات الصغيرة.
· Circuit-Level Gateways: هو الذي يعمل في طبقة الرابعة لنموذج الـOSI، مع مراقبة اتصالات وتتمثل مهمته الأساسية في ضمان سلامة التوصيلات التي تم إنشاؤها. فقد تم تصميم هذا الفحص لتأكيد ان هذه جلسة حقيقية.
· Application-Layer firewall: يمكنه مراقبة وفحص وتصفية الحزم الموجودة في طبقة التطبيق (الطبقة 7).
· Stateful multilayer inspection: وهو يجمع ما بين الأجهزة الثلاثة المذكورة أعلاه في جهاز ناري واحد.
· Proxy Firewalls: يعمل وسيطا ما بين الشبكة الداخلية و الخارجة. يجب على العميل إرسال الطلب عبر هذا الجدار، حيث يتم تقييمه وفقًا لمجموعة من "قواعد الأمان" ثم يتم السماح بها أو حظرها من المرور. وكذلك تراقب حركة المرور لبروتوكولات الطبقة 7 مثل HTTP وFTP.
· Next-generation firewalls: تجمع بين تقنية جدار الحماية التقليدية والوظائف الجديدة، مثل فحص حركة المرور المشفرة وأنظمة منع التطفل ومكافحة الفيروسات. والجدير بالذكر أنه يشمل فحص الحزمة العميق بينما تنظر جدران الحماية الأساسية فقط إلى رؤوس الحزم.
📍 تحتوي جدران الحماية على القيود التالية:
· لا تستطيع جدران الحماية فرض سياسة كلمة المرور الخاصة بك أو منع إساءة استخدام كلمات المرور.
· جدران الحماية غير فعالة ضد مخاطر الأمان غير الفنية مثل الهندسة الاجتماعية.
· لا تستطيع جدران الحماية منع المستخدمين الداخليين من الوصول إلى مواقع الويب التي تحتوي على تعليمات برمجية ضارة، مما يجعل تعليم المستخدم أمرًا بالغ الأهمية.
· لا تستطيع جدران الحماية حمايتك من القرارات السيئة.
· لا تستطيع جدران الحماية حمايتك عندما تكون سياسة الأمان الخاصة بك متساهلة للغاية.
· لا يمكن للجدران النارية الحماية مما تم التصريح به.
· لا يمكن لجدران الحماية إصلاح الممارسات الإدارية السيئة أو سياسات الأمان سيئة التصميم
· لا يمكنه إيقاف الهجمات إذا لم تمر حركة المرور من خلالها
📍 بعض أدوات وبرامج للـFirewall:
· Comodo Firewall
· ZoneAlam PRO
· Firewall Analyzer
· Cisco ASA
· Meraki Cisco
· FortiGate NGF
· Palo Alto Network Wildfire
· PeerBlock
· Sophos XG Firewall
· Watchdog
🚩 ثالثاً: ما هو الـDMZ:
· شبكة فرعية أو منطقية تحتوي على الخدمات الخارجية للمؤسسة وتعرضها لشبكة غير موثوق بها، وعادة ما تكون أكبر، مثل الإنترنت. الغرض من المنطقة هو إضافة طبقة أمان إضافية إلى شبكة المنطقة المحلية للمؤسسة.
📍 بعضأدوات وبرامج للـDMZ:
· KFSensor
· Specter
· HoneyBOT
· UML
· Nova
· DCEPT
· Glastopf
· Cowrie
· Mysql-honeypotd
🚩 رابعاً: ما هو Network Address Translator NAT:
· يقوم NAT بترجمة عناوين IP لأجهزة الكمبيوتر في شبكة المحلية إلى عنوان IP واحد وهو الخارجي. وغالبًا ما يستخدم هذا العنوان بواسطة جهاز الـ Router الذي يصل أجهزة الكمبيوتر بالإنترنت. تم تصميم الـ NAT لحل مشكلة الــ IPv4الذي أوشك على النفاذ فبهذي الطريق يمكن توزيع One Public IP إلى Router واحد ويتم تحويله إلى Many Private IP Address ليتمكن الجميع من الاتصال بالإنترنت.
🚩خامساً : ما هو Honeypot:
· هي عبارة عن مجموعة من الأجهزة تحاكي النظام او السيرفر الحقيقي، وبها تطبيقات وبيانات مزيفة، تهدف إلى خداع مجرمي الإنترنت ليعتقدوا أنه الهدف الحقيقي. ومن خلال مراقبة حركة الحزم والبيانات في هذه الأنظمة، يمكن للمسؤول أن يفهم بشكل أفضل من أين يأتي مجرمو الإنترنت وكيف يعملون وماذا يريدون.
📍 انواع الـHoneypots:
· Low-interaction: مصممة لمحاكاة الثغرات الأمنية التي تستخدمها الديدان والفايروسات.
· Medium-interaction: مصممة لمحاكاة النظام او السيرفر الحقيقي بجميع النظم التشغيلية.
· High-interaction: مصممة بأجهزة واقعية للنظام والسيرفر والتطبيقات
· Production Honeypots: مصممة لمحاكة الشبكة الفعلية من اجل دراسة مراحل الاختراق وتعديل الشبكة الأسيسة قبل وقوع الاختراق الحقيقي.
· Research Honeypots: مصممه من اجل دراسة وتحليل مراحل الاختراق وغالبا ما تكون من اجل دراسات وبحوث مستخدمة في الجهات الحكومية والمراكز الدفاع.
🚩 اساليب التخطي أدوات وبرامج الحماية: "أرجوا مراجعة هذا القسم في الكتاب لفهمها بشكل عملي"
أولاً: اسالب تخطي الـIDS:
· Insertion Attack
· DoS Attack
· Obfuscation
· False Positive Generation
· Session Splicing
· Unicode Evasion
· Fragment Attack
· Overlapping Fragments
· Time-to-live
· Invalid RST Packets
· Urgency Flag
· Polymorphic Shellcode
· ASCII Shellcode
· Application-Layer Attacks
· Desynchronization
ثانياً: اسالب تخطي الـFirewalls:
· Post Scanning
· Firewalling
· Banner Grabbing
· IP Address Spoofing
· Source Routing
· Tiny Fragments
· Proxy Server
· HTTP/SSH Tunneling
📍 البرامج المستخدمة لتخطي أدوات وبرامج الحماية:
· Traffic IQ Professional
· Hotspot Shield
· Your Freedom
· FTester
· VPN One Click
· 1.1.1.1
· Lodine
· Proxy Chaining/Server
📍 برامج لعمل Packet Fragmentation:
· Colasoft Packet Builder
· CommView
· Tiny Fragments
· Proxy Server
· HTTP/SSH Tunneling
📍 البرامج المستخدمة لتخطي أدوات وبرامج الحماية:
· Traffic IQ Professional
· Hotspot Shield
· Your Freedom
· FTester
· VPN One Click
· 1.1.1.1
· Lodine
· Proxy Chaining/Server
📍 برامج لعمل Packet Fragmentation:
· Colasoft Packet Builder
· CommView
· NetScanTools Pro
· WAN Killer
· Hping3
· Fping
· Pktgen
· Net-Inspect
هكذا ولله الحمد انهيت شرح مبسط لتعريف أجهزة الحماية وانواعها وما هي طرق تخطي أجهزة الحماية – Bypass FW, IDS & IPS والبرامج المستخدمة.
ملخص من مادة CEHv10
واسال الله لي ولكم التوفيق والنجاح
تحياتي لكم جميعاً 🌹 IronHulk
· WAN Killer
· Hping3
· Fping
· Pktgen
· Net-Inspect
هكذا ولله الحمد انهيت شرح مبسط لتعريف أجهزة الحماية وانواعها وما هي طرق تخطي أجهزة الحماية – Bypass FW, IDS & IPS والبرامج المستخدمة.
ملخص من مادة CEHv10
واسال الله لي ولكم التوفيق والنجاح
تحياتي لكم جميعاً 🌹 IronHulk
👍👍👍جميل جدا ما قصرت
ReplyDelete