The Quieter you become , The more you are able to hear


در این پست سعی دارم به بررسی سناریوهای INE که بصورت lab ارائه می شود بپردازم و بررسی بیشتری روی اون ها انجام بدم و در مورد بعضی از نکات امنیتی در برقراری امنیت در لایه 2 و همچنین چند مثال روی سوییچ های کاتالیست جهت یاداوری بحث کنیم. هدف از بحث نحوه کانفیگ و کامندهای مورد استفاده نیست بلکه به بررسی مفهوم این چند مورد خواهم پرداخت.



یکی از سناریو هایی که برای یکی از مدیران شبکه پیش اومده بود این بود که در اون سازمان علاوه بر سرور DHCP اصلی ، یک کاربر یک DHCP در اون سازمان راه اندازی کرده بود و چیزی در حدود 100 کلاینت تمامی مسیریابی ها و ترافیک آنها از طریق سیستم اون کاربر صورت می گرفت ، اگر چه امروزه راههای زیادی برای جلوگیری از مطرح شدن حتی این گونه سناریوهای مخرب وجود دارد اما کمتر ادمین شبکه ای به این گونه تهدیدات امنیتی توجه ای می کند و سعی به پیاده سازی آنها دارد. 


برای مثال میتوان در این سناریوی مطرح شده می توان راهکار DHCP snooping را معمول ترین روش برای جلوگیری از این گونه تهدیدات عنوان کرد که مکانیزم کاری ان بدین صورت می باشد که جز پورتی که به سرور DHCP اصلی متصل است ، بقیه پورت ها را درحالت Untrust قرار می دهد. حال مشخص است که تمامی پیغام های مربوط به DHCP که روی پورت های untrust باشد را دراپ می کند و از انتشار آنها جلوگیری می کند و این عمل دراپ کردن پکت با ارسال یک لاگ به سمت سرور syslog هم می تواند همراه باشد.
نکته ای که در اینجا باید رعایت شود این است که پورتی که به درخواست های DHCP پاسخ می دهد باید در حالت trust قرار گیرد.



در سناریوی ما sw1 ، R1 ، R2 و R3 به ترتیب به پورت های Fa0/1 ، Fa0/2 و Fa0/3 سوییچ متصل شده اند و همین طور R1 یک سرور اصلی DHCP می باشد که همان طور که گفته شد از طریق پورت Fa0/1 به سوییج متصل شده است.
می توان گفت که یکی از مهمترین مزیت استفاده از DHCP snooping ، مکانیزم جلوگیری از پاسخگویی این گونه سرورها با اهداف مخرب هستند. البته استفاده از این مکانیز مزیت های دیگری نیز دارد و در مکانیزم های دیگری هم مورد استفاده قرار می گیرد که در ادامه نیز بحث خواهد شد.

۰ نظر موافقین ۰ مخالفین ۰ ۲۴ دی ۹۵ ، ۱۳:۱۹
حسین لاجوردی

AlienVault  یک محصول  شناخته شده در زمینه سیستم های متن باز مدیریت امنیت اطلاعات (SIM)  و یا OSSIM به شمار می آید. این سامانه از اجزای اصلی زیادی تشکیل شده است که برای فعالان در زمینه امنیت اطلاعات ابزاری شناخته شده هستند. در این مقاله سعی داریم برخی از این ویژگی ها و مزایا و معایب آن را مورد بررسی قرار دهیم.

برخی از این اجزای این سیستم که در نسخه USM آن وجود دارد عبارتند از 

1-ArpWatch که برای تشخیص ناهمگونی ادرس های مک در ترافیک شبه مورد استفاده قرار میگیرد.

2-P0f ، این ماژول بصورت فعال به بررسی ، تشخیص و آنالیز سیستم عامل می پردازد.

3-PADS که بعنوان یک سیستم تشخیص اجزای شبکه عمل می کند و برای تشخیص ناهمگونی در زمینه سرویس های ارائه شده نیز به کار می رود.

4-OpenVas ، وظیفه ارزیابی آسیب پذیری ها و Correlation  با استفاده از لاگ های سیستم های تشخیص نفوذ و اسکنرهای تشخیص آسیب پذیری را بر عهده دارد.

۰ نظر موافقین ۰ مخالفین ۰ ۲۹ آذر ۹۵ ، ۱۸:۲۲
حسین لاجوردی