="right">

Internet باشد این مورد بسیار مهم می باشد .

Router-to-Router این نوع Set up کردن شبکه نیز جلوگیری نمی کند از حمله DoS به همین دلیل کارساز نمی باشد در مورد حمله از Internet به

LAN شما . فقط از حمله از درون LAN شما به Internet می تواند جلوگیری کند .

در آدرس زیر می توانید این نوع Filtering را بامشخصات کامل مشاهده کنید .

This type of filtering also enables the originator to be easily traced to its true source since the attacker would have to use a valid—and legitimately reachable—source address. For more information, see "Network Ingress Filtering: Defeating Denial of Service DoS Attacks Which Employ IP Source Address Spoofing" at http://www.rfc-editor.org/rfc/rfc2267.txt.

2.Screen ICMP Traffic from the Internal Network

ICMP یک Protocol می باشد که ایجاد ارتباط قانونی میان یک سیستم با دیگر سیستم ها را امکان پذیر می کند و یک سری اطلاعات سیستم را نمایان می کند یرای سیستم های دیگر.

Message Description
Echo request Determines whether an IP node (a host or a router) is available on the network
Echo reply Replies to an ICMP echo request
Destination unreachable Informs the host that a datagram cannot be delivered
Source quench Informs the host to lower the rate at which it sends datagrams because of congestion
Redirect Informs the host of a preferred route
Time exceeded Indicates that the time to live (TTL) of an IP datagram has expired

Table 1 Commonly Used ICMP Messages

Blocking ICMP traffic at the outer perimeter router protects you from attacks such as cascading ping floods. Other ICMP vulnerabilities exist that justify blocking this protocol. While ICMP can be used for troubleshooting, it can also be used for network discovery and mapping. Therefore, control the use of ICMP. If you must enable it, use it in echo–reply mode only.

جلوگیری کردن از این ترافیک و در واقع Block کردن آن جلوگیری می کند ازحمله Ping Floods  .این ترافیک را بر روی Router باید Block کرد موارد مهم این

Protocol در Table 1 مشخص شده خوب دقت کنید .زمانی که ICMP فعال باشد به راحتی Attacker می تواند نقشه و MAP شبکه شما را توسط

عمل Network Discovery دراصطلاح بدست آورد .

Prevent TTL Expired Messages with Values of 1 or 0

توسط  فرمان Tracert یا همان Trace Routing که از TTL برای نشان دادن hops های میان Client و Server می باشد فرد می تواند

از Topology و نوع طراحی شبکه شما و تعداد Router ها و مکان آنها باخبرشود .برای جلوگیری کردن از این مورد باید Block کرد این شناخت از مشکلات شبکه و خصوصیات مفید و غیره از محیط شبکه نیز در ایجاد شبکه امن مفید می باشد .

و درآخر دانستن اینکه چه عکس العملی را در برابر حمله های مختلف می توان انجام داد بسیار مهم و مفید می باشد برای یک شبکه امن.  

در این قسمت عملیاتی که بر روی سه Device بنامهای Router, Firewall, Switch را بررسی می کنیم . How to Use this Module

برای انجام این کار و در شروع اصولی وجود دارد که  باید در  یک Scenario آن را انجام دهیم و با آن آشنا شویم .

این اصول و قوانین پایه در چند مرحله زیر خلاصه می شوند:

  1. Read the module, "Threats and Countermeasures." This will give you a better understanding of potential threats to Web applications.
  2. Use the snapshot. Table 3, which is at the end of this module, provides a snapshot of a secure network. Use this table as a reference when configuring your network.
  3. Use the checklist. Use "Checklist: Securing Your Network" to quickly evaluate and scope the required steps. The checklist will also help you complete the individual steps.
  4. Use vendor details to implement the guidance. The guidance in this module is not specific to specific network hardware or software vendors. Consult your vendor's documentation for specific instructions on how to implement the countermeasures given in this module.

برای مشادهد موارد 1 و 3 که در بالا مشاهده می کنید  بر روی Link هر یک Click کنید تا اطلاعات کامل تری را مشاهده کنید .

چهار مورد بالا مهم می باشند با مطالعه و دقت به آنها می توانید به موارد باقی مانده در این صفحه رجوع کنید و استفاده ببرید .

در زیر لیست موارد مانده را مشاهده می کنید و درجه مهم بودن آنها .
Contents

Considerations (Rating)

  Overview -
   Threats and Countermeasures 4/5
     Methodology 4/5
             Router Considerations 5/5
             Firewall Considerations 5/5
             Switch Considerations 5/5
             Additional Considerations 5/5
     Snapshot of a Secure Network 3/5
   Summary -
  Additional Resources
Overview

یک شبکه به هر دلیلی که ایجاد شود یک نقطه ورودی یا خروجی اطلاعات دارد .کار را از اینجا شروع می کنیم .زمانی که این نقطه

در ارتباط با Internet باشد شما نمی توانید مطمن باشید از حمله نکردن به شبکه خصوصی خود از طرف Public Network ها .

در اینجا شما باید در درجه اول امنیت سرور های خود را تا حد لازم بالا برده اما این کافی نیست چون بیشتر حمله هایی که در لایه 3 شبکه اعمال می شود

می تواند برای سرور ها مشکل ساز شود و بسیار خطر جدی بر شبکه شما می باشند پس شما باید امنیتی در این لایه نیز در شبکه خود اعمال کنید .

بطور خلاصه اینکه باید ترافیک ردوبدل شده میان شبکه Public با Private را تا حد ممکن محدود کنید . و از ترافیک هایی که استفاده نمی کنید جلوگیری کنید .

Figure 1. Network components: router, firewall, and switch

در شکل Figure 1 شما شبکه ای که مد نظر می باشد را ملاحضه می کنید برای محدود کردن ترافیک شبکه بجز عملیاتهایی که بر روی سرور ها انجام می شود

باید بر روی سه Device نام برده شده در شگل نیز کارهایی انجام بگیرد اما قبل از آن با خطر هایی که وجود دارد تا حمله از آن طریق ها انجام شود باید مطلع شد . Threats and Countermeasures

Hacker  به  مواردی که بدون دقت تنظیم شده بر روی Device های شبکه  نظر دارد تا از یک روزنه استفاده کند و حمله کند .

معمولا آسیب پذیری شبکه ها مربوط می شود Configuration غلط و یا استفاده نادرست و اشتباه از ACL ها و یا UPDATE نبودن Device ها

و استفاده نکردن از آخرین Patch ها و Hotfix های موجود برای آن Device مورد نظر .البته استفاده از Device های قدیمی و سیستم هایی

که پشتیبانی نمی شوند  نیز می تواند مشکل ساز شود .

در زیر حمله هایی که بسیار خطر ناک می باشند برای یک شبکه را مشاهده می کنید که به تک تک آن ها می پردازیم:

The following are high-level network threats:

بعد از آشنا شدن با انواع حمله ها باید روشهای مبارزه با آنها را آموخت .

در این قسمت اول  با انواع حمله ها آشنا می وشویم : Information Gathering

جمع آوری اطلاعات از شبکه شما می تواند Attacker را در رسیدن به هدف خود برای حمله به شبکه شما کمک زیادی کند .

جمع آوری اطلاعاتی در مورد Server Information و یا Device Info و  System Information و ...

اطلاعاتی می باشند که نباید به دست Attacker بی افتد .

Vulnerabilities

Common vulnerabilities that make your network susceptible to an attack include:

Attacks

Common information-gathering attacks include:

Countermeasures

You can employ the following countermeasures:

همانطور که در قسمت  Vulnerabilities مشاهده می کنید  طبیعت نا امن بودن TCPIP و نیز لو رفتن

نام سرویس ها و Version توسط نمای Banner و ...

مواردی می باشند که Attacker را راهنمایی می کنند برای حمله کردن به شبکه و ...و نیز وجود سرویسهای  بی پناه و

 باز باید پوشش داده شود و تاحد ممکن مشخص نباشند.

Attacker با کمک گرفتن از برنامه های کمکی و نیز بعضی tools ها مانند Tracert, Telnet می توانند

مواردی همچون Port های باز و Topology استفاده شده در

شبکه را را پیدا کنند و نیز با Scan کردن Port  ها می توانند لیستی از Port های استفاده شده و نشده توسط سرویس ها را داشته باشند و ... و درآخر ارسال

Broadcast Request برای گرفتن اطلاعاتی مانند تعداد Host ها در یک Subnet مشخص .

اما را دفاع کردن برای این موارد رعایت کردن این مورد که نباید توسط Banner سرویسها اطلاعات کلیدی به Attacker ها داد و نیز استفاده از 

Firewall برای محافظت از وجود سرویسهای نامشخص و نیز محافظت از سرویسهای مد نظر که نمی خواهیم نام آنها آشکار شود .   Sniffing

در اصطلاح استراق سمع کردن و جاسوسی کردن اطلاعات ردوبدل شده میان شبکه ها را Sniffing می گویند.

همان Monitor کردن ترافیک شبکه منظور می باشد .از این طریق Clear-text Password ها به راحتی لو می روند و نیز

اطلاعات مهم دیگری که در شبکه نقش مهمی را ایفا می کنند . Clear-TEXT منظور Password هایی می باشند که در شبکه

بدون کمک گیری از Encryption ردوبدل می شود در Packet های IP شبکه.Attacker می تواند توسط نرم افزار هایی که تعدادشان

در جهان کم نیست  به راحتی این اطلاعات را به دام بی اندازد و در واقع Monitor کند و بعد از Decode کردن آن به این اطلاعات دسترسی

پیدا کند .برای پیدا کردن این نرم افزار ها کلمه IP Sniffing و Packet را در Internet جسنجو کنید به  نتایج وحشتناکی خواهید رسید.

Vulnerabilities

Common vulnerabilities that make your network susceptible to data sniffing include:

Attacks

The attacker places packet sniffing tools on the network to capture all traffic.

Countermeasures

Countermeasures include the following:

استفاده نکردن از Encryption در زمان ارسال اطلاعات مهم در شبکه یکی از دلایل سوء استفاده ها توسط Attacker ها می باشد

ضعف در امنیت سخت افزاری سیستم های استفاده شده در شبکه و نیز استفاده از بر قراری ارتباط با امنیت پایین و استفاده سرویس ها

از ترافیک ساده و بدون Encryption و یا استفاده از  Hashing or Encryption های معمولی و ضعیف .

افراد حمله کنند با استفاده از این ابزار می توانند تمامی ترافیک شبکه شما را Capture کنند و در یک یا چند فایل ذخیره کنند سپس به بررسی

آنها بپردازند  و یا اگر خیلی سریع باشند همان لحظه اطلاعات مد نظر خود را پیدا می کنند .

روش های دفاعی اول از همه و مهمتر از همه استفاده از ترافیک کد شده یا Encrypt شده در زمان ارسال اطلاعات مهم مانند Password ها و ...

می باشد دوم استفده از سیستم ها و Device های می باشد که دارای امنیت سخت افزاری بالا باشند .   Spoofing

استفاده غیره قانونی از اطلاعات Identity برای دسترسی به یک Host و یا سرور را Spoofing می نامند .

زمانی که Attacker توانست خود را به جای فرد اصلی به سرور معرفی کند می تواند از مزایای مربوط به آن فرد استفاده کند .

این کار را با دزدیدن اطلاعات مهم شناسایی مربوط به آن فرد انجام می دهد که برای سرور مهم می باشد و مد نظر قرار می گیرد برای شناسایی افراد.

یکی از روش های رایج حمله ارسال یک Packet به سیستم فرد می باشد که موجب می شود یک پیغام بر روی صفحه فرد ظاهر شود بدون اینکه آن فرد

کنترلی بر روی سیستم خود داشته باشد در رابطه با ظاهر شدن آن منو یا Pop-up و این منو یا پیغام فرد را مجبور به جواب دادن OK ,CANCEL ,GO و...

می کند زمانی که شما جوابی به آن بدهید اطلاعات Active سیستم شما مانند User Pass و اطلاعات مربوط به Session های کاری و Cookie های مهم سیستم

شما برای Attacker ارسال می شود و یا یک کپی آز آنها ساخته می شود و در واقع دزدیده می شوند سپس Attacker از آنها استفاده می کند .

Vulnerabilities

Common vulnerabilities that make your network susceptible to spoofing include:

Attacks

An attacker can use several tools to modify outgoing packets so that they appear to originate from an alternate network or host.

Countermeasures

You can use ingress and egress filtering on perimeter routers.

نا امن بودن طبیعی TCPIP و نیز استفاده نکردن از Filtering برا جلوگیری کردن از Packet های ناشناس که مبدا آنها قابل اعتماد نیست

مواردی می باشد که باید مورد توجه قرار داد .روش دفاع استفاده از Filtering در Router می باشد   Session hijacking

این نوع حمله در میان حمله های دیگر بیشتر انجام می شود .فرد حمله کننده از برنامه هایی برای گول زدن Client/Server ها از ان استفاده می کند .

با گول زدن Client و یا سرور سیستم گول خورده فکر می کند که سیستم مقابل سیستم سالم و Valid می باشد برای برقراری ارتباط در صورتی که سیستم

مقابل سیستم Hacker می باشد ولی بدلیل گول خوردن مثلا سرور : سیستم سرور تشخیص نادرست می دهد و با سیستم Hacker برخوردی را می کند که باید با

سیستم فرد قانونی انجام دهد .افرادی که از طریق Internet به بانک وصل می شوند و پول دریافت می کنند

از این طریق بسیار توسط  Hacker ها  مورد حمله قرار گرفته اند و پول خود را ازدست داده اند .در زمان وصل شدن فرد قانونی به سرور بانک این حمله رخ می دهد .

Vulnerabilities

Common vulnerabilities that make your network susceptible to session hijacking include:

Attacks

An attacker can use several tools to combine spoofing, routing changes, and packet manipulation.

Countermeasures

Countermeasures include the following:

همه مشکل زمانی رخ می دهد که سرور ها از Encryption در ارتباطات خود استفاده نمی کنند در زمان Authentication و ...

Attacker توسط مخلوطی از حمله های Spoofing , Routing Changes , Packet Manipulation این حمله خطرناک را انجام می دهد .

استفاده  از SSL تا حد زیادی کمک به دفع این حمله ها می کند ولی در تعداد محدودی امکان Hack وجود دارد پس  باید ازFirewall نیز استفاده شود .   Denial of service

این نوع حمله از روشهای مختلفی برخوردار می باشد و هدف از آن از کار انداختن یک سرویس یا یک سرور می باشد تا نتواند به User های خود

سرویس دهی کند این کار را با ارسال طوفانی از Packet ها برای سرور و مجبور کرد سرور به جواب دادن تک تک آنها انجام می شود که موجب

از کار افتادن سرور می شود به دلیل وجود ترافیک بیش از حد ورودی و خروجی  کارت شبکه .

برای اطلاعات بیشتر به قسمت How To Harden the TCP Stack رجوع کنید در بخش TCPIP در Part2 سایت.

برای درک منطق ارتباطات سیستم ها توسط SYN Packet به قسمت Decoding TCPIP  رجوع کنید .

Vulnerabilities

Vulnerabilities that increase the opportunities for denial of service include:

Attacks

Countermeasures

Countermeasures include:

بدلیل مشکلاتی که TCPIP v4 دارد این مشکا همیشه وجود دارد دلیل دوم می توان استفاده نکردن از ارتباطات Encrypt شده نام برد

و نیز درست پیکربندی نکردن Router , Switch و یکسری Bug های سیستم ها و یا سرویس های مختلف .

Attacker با ارسال ترایک Broadcast می تواند این حمله را شروع کند و نیز استفاده از Tools هایی که به SYN Attack معروفند

می تواند این نوع مشکل را ایجاد کنند و روشهای مختلف دیگر .راه دفاع در برابر این حمله ها بستن ترافیک Broadcast توسط Filtering می باشد

و نیز بستن ICMP Request و استفاده از Hotfix ها و Patch ها و Update کردن سیستم ها نیز کمک می کند.  

Methodology

Security از آنجایی شروع می شود که اول ما متوجه بشویم چرا و چگونه باید یک شبکه یا یک سیستم امن داشت .

در این جا شرح داده می شود که چگونه امنیت شبکه را توسط Device هایی بالا برده و خطر را تا حد امکان کم کرد .

در این بخش شرح داده می شود که چگونه  باید Router , Switch , Firewall را تنظیم کرد برای شبکه .در این بخش همچنین

بررسی می کنیم روشهای مختلف حمله و نیز روش دفاع آنها .بدون Analyse کردن موارد خطر برای شبکه ها نمی توان شبکه امن ایجاد کرد .

یک شبکه را می توان از نظر زیربنایی به 3 لایه یا بخش تقسیم کرد بنام های Access , Distribution , Core .

این سه لایه همیشه در شبکه هایی که یک سر آن LAN یا Intranet شما می باشد و یک سر آن Internetبرای کنترل کردن ترافیک

شبکه ها و انواع دسترسی ها به شبکه وجود دارد .

سه لایه که در بالا گفته شد را می توان به سه Device که در زیر نام های آنها را مشاهده می کنید ربط داد.

Router

The router is the outermost security gate. It is responsible for forwarding IP packets to the networks to which it is connected. These packets can be inbound requests from Internet clients to your Web server, request responses, or outgoing requests from internal clients. The router should be used to block unauthorized or undesired traffic between networks. The router itself must also be secured against reconfiguration by using secure administration interfaces and ensuring that it has the latest software patches and updates applied.

Firewall

The role of the firewall is to block all unnecessary ports and to allow traffic only from known ports. The firewall must be capable of monitoring incoming requests to prevent known attacks from reaching the Web server. Coupled with intrusion detection, the firewall is a useful tool for preventing attacks and detecting intrusion attempts, or in worst-case scenarios, the source of an attack.

Like the router, the firewall runs on an operating system that must be patched regularly. Its administration interfaces must be secured and unused services must be disabled or removed.

Switch

The switch has a minimal role in a secure network environment. Switches are designed to improve network performance to ease administration. For this reason, you can easily configure a switch by sending specially formatted packets to it. For more information, see "Switch Considerations" later in this module

Router

این Device اولین Component می باشد از طرف Internet و دورترین سیستم از داخل LAN ما می باشد برای ایجاد امنیت.

درواقع دروازه ما می باشد به شبکه Internet .وظیفه آن Forward کردن IP Packet های شبکه ها می باشد که به یکدیگر متصل می باشند .

این Packet می تواند Inbound Request باشد از طرف سیستم های Internet برای Web Server شما در LAN و یا

یک Packet از نوع Outgoing Request باشد برای برقراری ارتباط سیستم های LAN شما با Internet.

یک Router می تواند جلوگیری کند از ترافیک های  نامطلوب بنا به تشخیص خود یا Admin و همچنین جلوگیری کند از ترافیک های ناشناس بین دو شبکه.

برای این منظور باید یک Router دارای Security بالایی برای خود باشد تا از حمله به خود بتواند بخوبی دفاع کند و باید همیشه Update باشد از نظر Patch های موجود . Firewall

این Device برای اجرای قانون استفاده از ترافیکهایی که از Port های مجاز عبور می کنند و جلوگیری از ترافیکی که از Port های غیره مجاز عبور می کنند می باشد.

یک Firewall با قدرت این را داشته باشد که Incoming Request ها که برای دسترسی به Web Server می باشد را Monitor کند تا اگر حمله در این

ترافیک ها وجود داشت آن را شناسایی کند و جلوگیری کند از Access آن حمله به سیستم ها .این Device بهترین انتخاب برای دفاع از حمله های خطر ناک می باشد . Switch

اما یک Switch کمترین نقش را می تواند در امنیت یک شبکه ایفا کند .برای اطلاعات بسشتر در مورد امنیت در Switch به بخش Switch Considerations رجوع کنید.   Router Considerations

Router اولین راه و روش برای محافظت شبکه از حمله ها می باشد و معمولی ترین روش بحساب می آید .

اولین خط دفاعی برای عبور Hacker ها همین Router می باشد عمل مهم Routing تمامی IP Packet ها توسط همین Device انجام می شود .

اما نقش مهم دیگری که ایفا می کند Block کردن و جلوگیری کردن از عبور ترافیک های مشکوک و ناشناس مد نظر Admin می باشد.

در واقع این دستگاه می تواند عمل Block , Filtering را بر روی نوع Packet ها انجام دهد . انواع Packet هایی که می شناسد و ممکن است

هر فردی ازجمله Hacker ها از آنها سوء استفاده کنند منظور می باشد.مانند ICMP Packet و SNMP Packet ها و ....

اگر شما از یک Router نتوانید استفاده کنید شما درصد بسیار کمی می تواند از شبکه دفاع کنید .اما موارد زیر را برای یک Router باید مدنظر قرار داد.

The configuration categories for the router are:
Patches and updates

تعهدی که شرکت مربوطه به Router برای داشتن امنیت محصول خود به شما می دهد موجوب می شود که شما در رابطه با نقاط ضعف Router خود

دچار مشکل نشوید و از آخرین Patch های مربوط به Device خود استفاده کنید  تا امنیت را همیشه داشته باشید .این Hotfix ها را از طریق Site

و یا از طریق Email می توانید از شرکت مربوطه دریافت کنید . Protocols

Denial of Service یک نوع از حمله هایی می باشد که شما را مجبور می کند که در Router خود دو مورد زیر را رعایت کنید .

اول اینکه ورود و خروج  ترافیک را توسط Filtering کنترل کنید و دوم جدا کردن ترافیک ICMP از Internal Network خود  .

حمله دیگری همچون Spoofing نیز موجب می شود که شما از Filtering استفاده کنید .

  1. Use ingress and egress filtering.

  2. Screen ICMP traffic from the internal network

1.Use Ingress and Egress Filtering

Spoofed Packet نمایان کننده یک نوع جستجو و در واقع حمله زیرکانه می باشد افرادی که از این طریق به شبکه حمله می کنند

افرادی کاردان و حرفه ای می باشند .Incoming Packets می تواند برای هر شبکه ای یا سیستمی دچار مشکل کند و دربردارنده یک حمله باشد

به همین دلیل باید این ترافیک در LAN تا حد ممکن زیر نظر باشد و غیره قابل دسترس برای افراد درون Internet تا نتوانند از این راه استفاده سوء کنند.

دلیلی ندارد وقتی شبکه شخصی شما یک سرویس Web به Internet می دهد دیگر سیستم های درون شبکه شما بجز IIS شما در دسترس User های

Internet باشد این مورد بسیار مهم می باشد .

Router-to-Router این نوع Set up کردن شبکه نیز جلوگیری نمی کند از حمله DoS به همین دلیل کارساز نمی باشد در مورد حمله از Internet به

LAN شما . فقط از حمله از درون LAN شما به Internet می تواند جلوگیری کند .

در آدرس زیر می توانید این نوع Filtering را بامشخصات کامل مشاهده کنید .

This type of filtering also enables the originator to be easily traced to its true source since the attacker would have to use a valid—and legitimately reachable—source address. For more information, see "Network Ingress Filtering: Defeating Denial of Service DoS Attacks Which Employ IP Source Address Spoofing" at http://www.rfc-editor.org/rfc/rfc2267.txt.

2.Screen ICMP Traffic from the Internal Network

ICMP یک Protocol می باشد که ایجاد ارتباط قانونی میان یک سیستم با دیگر سیستم ها را امکان پذیر می کند و یک سری اطلاعات سیستم را نمایان می کند یرای سیستم های دیگر.

Message Description
Echo request Determines whether an IP node (a host or a router) is available on the network
Echo reply Replies to an ICMP echo request
Destination unreachable Informs the host that a datagram cannot be delivered
Source quench Informs the host to lower the rate at which it sends datagrams because of congestion
Redirect Informs the host of a preferred route
Time exceeded Indicates that the time to live (TTL) of an IP datagram has expired

Table 1 Commonly Used ICMP Messages

Blocking ICMP traffic at the outer perimeter router protects you from attacks such as cascading ping floods. Other ICMP vulnerabilities exist that justify blocking this protocol. While ICMP can be used for troubleshooting, it can also be used for network discovery and mapping. Therefore, control the use of ICMP. If you must enable it, use it in echo–reply mode only.

جلوگیری کردن از این ترافیک و در واقع Block کردن آن جلوگیری می کند ازحمله Ping Floods  .این ترافیک را بر روی Router باید Block کرد موارد مهم این

Protocol در Table 1 مشخص شده خوب دقت کنید .زمانی که ICMP فعال باشد به راحتی Attacker می تواند نقشه و MAP شبکه شما را توسط

عمل Network Discovery دراصطلاح بدست آورد .

Prevent TTL Expired Messages with Values of 1 or 0

توسط  فرمان Tracert یا همان Trace Routing که از TTL برای نشان دادن hops های میان Client و Server می باشد فرد می تواند

از Topology و نوع طراحی شبکه شما و تعداد Router ها و مکان آنها باخبرشود .برای جلوگیری کردن از این مورد باید Block کرد این Type از Packet ها

با این کار Details شبکه شما به دست Attacker نمی رسد.

Do Not Receive or Forward Directed Broadcast Traffic

ترافیک Broadcast وسیله ای برای Attacker می باشد تا با آن بتواند تعداد Host های شبکه Private شما را بدست آورد .

و البته حمله DoS را نیز می تواند با کمک گرفتن از این ترافیک انجام دهد .با Filtering آدرسهای مشخص شده در شبکه LAN می توانید

جلوگیری کنید از این موارد برای سوء استفاده افراد درون Internet .برای این کار Echo Request موجود در آدرس های زیر باید Block شوند.
Source address Description
0.0.0.0/8 Historical broadcast
10.0.0.0/8 RFC 1918 private network
127.0.0.0/8 Loopback
169.254.0.0/16 Link local networks
172.16.0.0/12 RFC 1918 private network
192.0.2.0/24 TEST-NET
192.168.0.0/16 RFC 1918 private network
224.0.0.0/4 Class D multicast
240.0.0.0/5 Class E reserved
248.0.0.0/5 Unallocated
255.255.255.255/32 Broadcast

Table 2 Source Addresses That Should be Filtered

For more information on broadcast suppression using Cisco routers,

see "Configuring Broadcast Suppression" on the Cisco Web site at

http://www.cisco.com/en/US/products/hw/switches/ps708/
products_configuration_guide_chapter09186a00800eb778.html
Administrative Access

از هرکجا که بخواهیم از طریق Administrator به Router متصل شویم باید تصمیم گیری کنیم برای  مواردی همچون اینکه از کدام Network or Host

و کدام Port و کدام Interface مربوط به Router می خواهیم متصل شویم .Interface مربوط به Internet بهتر می باشد که مد نظر Admin نباشد .

  1. Disable unused interfaces.

  2. Apply strong password policies.

  3. Use static routing.

  4. Audit Web facing administration interfaces.

1.Disable unused interfaces

هر Interface که در Router مورد استفاده قرار نمی گیر را بهتر می باشد که Disable کرد چون عمل Monitoring بر آنها اعمال نمی شود و همچنین

کنترل خاصی بر روی آن نمی شود و نیز ممکن نی باشد که Update نیز نشده باشد و... 2.Apply strong password policies

استفاده کردن از Password کوتاه و ضعیف خطرناک می باشد و به راحتی Crack می شوند مثلا رمزی مانند P4ssw0rd به راحتی Crack می شود

استفاده که از حداقل 8 کارکتر که محلولی از اعداد و علامتها و حروف باشد مفید می باشد مانند رمز R@0t_We$t%adm!n1 این رمز 16 کارکتر می باشد. 3.Use static routing

معرفی جدول Routing  بصورت Staticجلوگیری می کند از حمله Routing Change که ممکن است رخ دهد .

Attacker با حمله به Routing Table می تواند مقدمه حمله DoS را ایجاد کند برای ارسال کلیه  Packet به یک Server . 4.Audit Web facing administration interfaces

Also determine whether internal access can be configured. When possible, shut down the external administration interface and use internal access methods with ACLs.

  Services

سرویسهایی که مورد نیاز نمی باشد و استفاده ای ندارد باید توسط Router آنها Shutdown شوند مانند Finger , Bootps.   Auditing and Logging

بصورت Default تمامی Router ها Log می کنند تمامی Deny Action های خود را این تنظیم را نباید تغییر داد تا در صورت لزوم بتوان از Log ها

استفاده کرد برای شناسایی موارد حمله و نفوذ .   Intrusion Detection

با محدود کردن های تعریف شده در بالا برای یک Router و اعمال موارد امنیتی موجود باید وقتی که یک Attack رخ  می دهد منظور حمله هایی می باشد

که  ما آنها را تعریف کرده ایم در Router باید یک سیستم Alarm باشد که در زمانی که حمله شروع شد به Administrator اعلام کند حمله و نوع آن را .

IDS یا همان Intrusion Detection Systems این عمل را انجام می دهد .

Example 1 KFSensor - IDS Application

دراینجا یک نمونه مثال از یک IDS که Windows Base نیز می باشد مشاهده می کنید یک IDS Application توانایی این را دارد که هشدار خود را توسط یک

 صدا یا Sound به Admin بدهد در همان لحظه حمله و یا اینکه به یک یا چند Email تعریف شده Alarm خود را ارسال کند با تمام موارد ریز حمله و ...   Firewall Considerations

یک Firewall هرکجا که باشید برای محافظت شبکه شما از یک شبکه غیره فابل اعتماد مشخصا Internet باید وجود داشته باشد .

بعد از Router همانند Figure 1 یک Firewall وجود دارد که دومین مانعی می باشد که Attacker باید از آن عبور کند .

در برخی از موارد حمله  Router توانایی شناسایی آنها را ندارد در برخی نه در همه موارد  این مورد ممکن است بوجود آید .Firewall این موارد

را نیز که از Router کمکی بر نمی آید را پوشش می دهد و مفید واقع می شود .  

مواردی که در یک Firewall باید مد نظر قرار گیرد را در زیر مشاهده می کنید تک تک آنها را بررسی می کنیم .

The configuration categories for the firewall include:

Patches and updates

مانند دیگر Device ها باید همیشه آخرین Patch ها بر روی Firewall نصب باشد و سیستم Update باشد تا آخرین مشکلات

سیستم رفع شده باشد این مورد بسیار مهم می باشد . Filters

مجموعه ای از Port هایی که باید توسط Firewall بر روی آنها نظارت داشت و Block کرد تا Malicious User نتوانند

از آنها Packet های خود و Payload های موجود در Packet ها را عبور دهند را Filtering می نامند.

Filtering چون در لایه 3 شبکه اعمال می شود می تواند Payload هر Packet را بررسی و یا در واقع بازرسی کند و این نوع

دفاع و یا مراقبت کردن از ترافیک شبکه بسیار کارا و مفید می باشد در واقع بسیار قوی می باشد .

مواردی همچون Source and Destination IP و Port های هریک نیز مدنظر قرار می گیرد در Filter و این مهم می باشد .

زمانی که شما در چند لایه  شبکه دفاع از شبکه خود را انجام دهید یک معبر قوی در مقابل حمله Attacker خواهید داشت .  

6 نوع یا Type در مورد Filter ها وجود دارد که در زیر شرح داده شده . 1.Packet filters

می توان عبور ترافیک Packet های بر اساس مواردی همچون Source Port , Destination Port  و یا Source Addr و

یا Destination Addr و یا Computer Name فیلتر کرد و در واقع Block کرد .

دفاع در Network Layer یک دفاع در عمق در اصطلاح می باشد و کاملا  کاری و قوی می باشد در این لایه

یک خطر دیگر و جود دارد و آن محتویاط Payload یک Packet می باشد که اگر ناشناس باشد درجه خطر آن Packet بالا می باشد .

یک دفاع هوشمندانه و یا در واقع یک Filtering هوشمندانه باید بتواند Payload تک تک Packet ها

را نیز سرکشی کند بر اساس Rule ها تعریفی و مشخص شبکه .با این کار Firewall شما بسیار هوشمند تر از قبل

می شود . 2.Circuit-level filters

این نوع بجای سرکشی در درون Payload های یک Packet بدین صورت عمل می کند رابطه منطقی بین دو Connection را

بر اساس تعداد Frame های ردوبدل شده بین دو طرف ارتباط یعنی Source و Destination را برقرار می کند ساده تر

اینکه تعداد Frame شمارش کرده بر اساس قوانین خاصی و از Frame های اشتباه یا مشکوک جلوگیری می کند

این نوع دفاع جلوگیری می کند از حمله Session Hijacking and Replying.در این حالت سیستم

مراقب این می باشد که میان دو سیستم سرور و Client یک فرد ناشناس و یا سیستم ناشناس ظاهر نشود .

3.Application filters

4.Stateful inspection

در این نوع هم از حالت بازرسی Payload  استفاده می شود و هم از Application Rule ها برای بر قراری ارتباط

قانونی بین مبدا و مقصد که در حالت Circuit-level شرح داده شد . 5.Custom application filters

These filters ensure the integrity of application server/client communication.

When you use filters at multiple levels of the network stack, it helps make your environment more secure. For example, a packet filter can be used to block IP traffic destined for any port other than port 80, and an application filter might further restrict traffic based on the nature of the HTTP verb. For example, it might block HTTP DELETE verbs.

 
Logging and Auditing

استفاده از Log File حتی زمانی که یک Firewall باشد لازم می باشد برای مطلع شدن از تعداد و نوع حمله ها و یا بدتر

از آن حمله ای که با موفقیت انجام شده  و شما متوجه آن نشدید و از طریق Log ها متوجه آن شدید که موجب می شود که Admin

نسبت به پیکربندی Firewall خود یک بازنگری کند .

Apply the following policies for logging and log auditing.

برای Auditing و Log File بهتر می باشد که کلیه ترافیک Incoming و Outgoing را در بر بگیرد .   Perimeter Networks

A firewall should exist anywhere your servers interact with an untrusted network. If your Web servers connect to a back-end network, such as a bank of database servers or corporate network, a screen should exist to isolate the two networks. While the Web zone has the greatest degree of exposure, a compromise in the Web zone should not result in the compromise of downstream networks.

By default, the perimeter network should block all outbound connections except those that are expected.

Advantages of a Perimeter Network

The perimeter network provides the following advantages:

Disadvantages of a Perimeter Network

The disadvantages of a perimeter network include:

  Switch Considerations

یک Switch وظیفه اش ارسال Packet های به سوی یک Host و یا یک Network Segment می باشد .

یک Attacker می تواند به سادگی Configuration یک Switch را دستکاری کند و تغییر دهد برای

دسترسی به Host ها و یا Subnet ها و Segment های مختلف .برای جلوگیری از کار باید تا حد ممکن

موارد امنیتی یک Switch را رعایت کرد که در زیر این موارد را مشاهده می کنید .

  1. Patches and updates

  2. Virtual Local Area Networks (VLANs)

  3. Insecure defaults

  4. Services

  5. Encryption

2.VLANs

VLAN به شما این امکان را می دهد که برای Segment های متفاوت ACL تعریف کنید .

هرچند VLAN سرعت کاری شبکه را بالا می برد اما لزوما برای Security شبکه نمی باشد .

For more information about VLANs, see the article "Configuring VLANS" on the Cisco Web site. 5.Encryption

استفاده کردن از Secure Traffic در یک Switch می تواند جلوگیری کند از هرگونه حمله زیرکانه به Switch برای

دسترسی به Segment ها و Host اطلاعات بهتر می باشد که در داخل Switch بصورت Encrypt شده باشد .  

استفاده ننکردن از Service هایی که لازم نمی باشد مانند TFTP یکی دیگر از مواردی می باشد که باید مد نظر قرار بگیرد .  

Snapshot of a Secure Network

Table 3 provides a snapshot of the characteristics of a secure network. The security settings are abstracted from industry security experts and real-world applications in secure deployments. You can use the snapshot as a reference point when evaluating your own solution.

Table 3: Snapshot of a Secure Network

Component Characteristic
Router  
Patches and Updates Router operating system is patched with up-to-date software.
Protocols Unused protocols and ports are blocked.
Ingress and egress filtering is implemented.
ICMP traffic is screened from the internal network.
TTL expired messages with values of 1 or 0 are blocked (route tracing is disabled).
Directed broadcast traffic is not forwarded.
Large ping packets are screened.
Routing Information Protocol (RIP) packets, if used, are blocked at the outermost router.
Administrative access Unused management interfaces on the router are disabled.
A strong administration password policy is enforced.
Static routing is used.
Web-facing administration is disabled.
Services Unused services are disabled (for example bootps and Finger).
Auditing and logging Logging is enabled for all denied traffic.
Logs are centrally stored and secured.
Auditing against the logs for unusual patterns is in place.
Intrusion detection IDS is in place to identify and notify of an active attack.
Firewall  
Patches and updates Firewall software and OS are patched with latest security updates.
Filters Packet filtering policy blocks all but required traffic in both directions.
Application-specific filters are in place to restrict unnecessary traffic.
Logging and auditing All permitted traffic is logged.
Denied traffic is logged.
Logs are cycled with a frequency that allows quick data analysis.
All devices on the network are synchronized to a common time source.
Perimeter networks Perimeter network is in place if multiple networks require access to servers.
Firewall is placed between untrusted networks.
Switch  
Patches and updates Latest security patches are tested and installed or the threat from known vulnerabilities is mitigated.
VLANs Make sure VLANs are not overused or overly trusted.
Insecure defaults All factory passwords are changed.
Minimal administrative interfaces are available.
Access controls are configured to secure SNMP community strings.
Services Unused services are disabled.
Encryption Switched traffic is encrypted.
Other  
Log synchronization All clocks on devices with logging capabilities are synchronized.
Administrative access to the network TACACS or RADIUS is used to authenticate administrative users.
Network ACLs The network is structured so ACLs can be placed on hosts and networks.

Summary

Network security involves protecting network devices and the data that they forward to provide additional security for host servers. The primary network components that require secure configuration are the router, firewall, and switch.

This module has highlighted the top threats to your network infrastructure and has presented security recommendations and secure configurations that enable you to address these threats.

 

Additional Resources

For more information, see the following articles:

Last Updated: October 01, 2006
Winteacher.com
Secure Your Network

 © 2003-2006 Winteacher.com . All rights reserved