آخرین مطالب
امکانات وب
تجزیه و تحلیل خدمات پسیو شبکه چیست توسط استفان باریش
در ورزش ، این کاملاً پذیرفته شده است که تیم های خانگی از این مزیت برخوردار هستند. به همین دلیل تیم های دارای رکورد برنده در بازی در پلی آف بسیار خوب عمل می کنند. اما به دلایلی وقتی به دفاع از شبکه های خود نگاه می کنیم ، بندرت در مورد "برتری میدان داخلی" فکر می کنیم. از این گذشته ، بهترین روش در معماری یک شبکه ایمن ، یک استراتژی لایه ای عمیق و دفاعی است. ما از فایروال ها ، DMZ ها ، VPN ها و پیکربندی VLAN ها روی سوئیچ های خود برای کنترل جریان ترافیک به داخل و از طریق محیط استفاده می کنیم و از شبکه و فن آوری IDS مبتنی بر میزبان به عنوان سنسور برای هشدار به ما در مورد نفوذ استفاده می کنیم.
اینها همه اقدامات امنیتی عالی است - و به همین دلیل "بهترین روش" در صنعت به حساب می آیند - اما همه آنها در همان محافظتی قرار می گیرند که قلعه ای در قرون وسطی انجام داده است. در حالی که آنها به عنوان موانعی برای جلوگیری و رد دسترسی به افراد بد شناخته شده و قابل شناسایی عمل می کنند ، اما برای محافظت در برابر تهدیدهای ناشناخته یا مهاجمانی که از قبل در داخل شرکت هستند بسیار کم کار می کنند و کمک چندانی به ما نمی کنند تا بتوانیم شبکه های خود را درک کنیم تا بتوانیم بهتر عمل کنیم. از آنها دفاع کنید این مهمترین مزیت بازی در میدان بازی خانگی است - شناختن شبکه های ما بهتر از دشمنان ممکن ، و معکوس کردن فنون آنها.
پارانوئید؟ یا شاید فقط محتاطانه ...
هدف ما شناخت هرچه بیشتر شبکه های خودمان است. در حالت ایده آل ، ما فقط می توانیم به پایین قدم بزنیم و از افراد IT یک توپولوژی دقیق شبکه ، شناسایی دامنه آدرس و پورت ها و پروتکل های معمول استفاده شده در شبکه را بخواهیم. به نظر می رسد ضد شهودی است ، اما شرکت های کوچک تر در واقع نسبت به شرکت های چند ملیتی غول پیکر در زمینه ردیابی این نوع اطلاعات بهتر عمل می کنند ، بخشی به این دلیل که داده های کمتری برای ردیابی وجود دارد و همچنین به دلیل اینکه امنیت و فناوری اطلاعات در سازمانهای کوچکتر بهتر کار می کنند.
در واقع ، شرکت های بزرگ در این زمینه یک مشکل واقعی دارند ، به خصوص اگر مدل کسب و کار آنها شامل رشد با خرید شرکت های دیگر باشد. گاهی اوقات کارمندان فناوری اطلاعات حتی از همه مسیرهای دسترسی به اینترنت اطلاع ندارند و دفاع از این شرکتهای ادغام شده را بسیار سخت می کند. این امر بخصوص در سازمانهایی که از طریق ادغام و ادغام رشد می کنند ، معمول است.
اولین ، اساسی ترین اطلاعاتی که ما در مورد شبکه های خود به آن نیاز داریم تا بتوانیم از آنها به خوبی دفاع کنیم ، نقشه شبکه است. به طور سنتی ، مهاجمان و مدافعان از فناوری های نگاشت شبکه مانند nmap [1] استفاده می کنند ، که برای تأیید وجود یک میزبان (بسته به گزینه های استفاده شده) از یک روش محرک-پاسخ برای شناسایی سیستم عامل و درگاه های باز آن استفاده می کنند. این روش به پاسخهای سازگار با غیر RFC به بستههای "عجیب" وابسته است و مدتهاست که وجود دارد. (فیودور مقاله بسیار خوبی در مورد این روش ارائه می دهد و تقریباً در زمینه شناسایی سیستم عامل فعال پیشگام است.) نقشه برداری شبکه فعال یک تکنیک بسیار قدرتمند است ، اما محدودیت های خود را دارد. مقدار قابل توجهی از ترافیک در شبکه را برای یک نفر معرفی می کند و برخی از این ترافیک می تواند برای برنامه های شبکه مشکل ایجاد کند. در برخی موارد ، nmap می تواند باعث بی ثباتی سیستم عامل شود ، اگرچه این مورد در سالهای اخیر کمتر مشاهده شده است. آنها همچنین فقط یک عکس فوری در زمان توپولوژی و ترکیب شرکت ارائه می دهند. همچنین ، ابزارهای فعال نقشه برداری معمولاً در برخورد با فایروال ها ، NAT و روترهای فیلترشکن بسته ، مشکل یا محدودیت دارند. خوشبختانه روشهای تجزیه و تحلیل غیرفعال وجود دارد که نتایج مشابهی را ایجاد می کند.
نظریه تحلیل غیرفعال
تجزیه و تحلیل شبکه غیرفعال بسیار بیشتر از تشخیص نفوذ است ، اگرچه این شکل معمولاً مورد استفاده قرار می گیرد. تکنیک های غیرفعال می توانند ارتباطات را ترسیم کنند ، پورت ها و خدمات مورد استفاده در شبکه را شناسایی کنند و حتی می توانند سیستم عامل ها را شناسایی کنند. لنس اسپیتزنر از پروژه هانی نت [3] و مایکل زالوسکی [4] به پیشگامان تکنیک های اثر انگشت منفعل کمک کردند که به طور قابل اعتماد سیستم عامل ها را از رد TCP / IP شناسایی می کند. Zalewski's p0f v 2.0.8 [5] یکی از بهترین ابزارهای اثر انگشت منفعل سیستم عامل موجود است و یکی از مواردی است که در این مقاله برای نشان دادن برخی از قابلیت های این روش استفاده شده است.
نکته کلیدی در تجزیه و تحلیل شبکه غیرفعال ، درک این مسئله است که تقریباً مشابه نقشه برداری فعال و اثر انگشت سیستم عامل عمل می کند. تمام تکنیک های منفعل به یک سناریو پاسخ محرک متکی هستند. آنها فقط به محرک شخص دیگری اعتماد می کنند و سپس پاسخ را جمع می کنند (شکل 1). شکل 1 - تحلیل فعال و غیرفعال شبکه
در سناریوی فعال ، هدف (A) به محرک ارائه شده توسط موتور نقشه برداری ما پاسخ می دهد ، که مفید است ، اما یک شرط مشاهده مصنوعی است که ما فقط برای انجام تمرین نقشه برداری ایجاد کردیم. در سناریوی منفعل ، هدف (A) به محرک های حاصل از استفاده طبیعی پاسخ می دهد. در هر دو مورد ما می توانیم پورت ها و سرویس های درگیر ، جریان اتصال ، اطلاعات زمان بندی را ببینیم و می توانیم در مورد ویژگی های عملکرد شبکه ما از داده های حاصل حدس بزنیم.
آخرین خبر...ما را در سایت آخرین خبر دنبال میکنید
برچسب: نویسنده: جواد یاسمی بازدید: 97