امنیت شبکه :چگونه می توان شبکه  تسخیر شده  توسط نفوذگران و هکرها   تشخیص دهیم

شما مدیر شبكه یك سازمان هستید و با خیال راحت پشت سیستم خودتان امنیت شبکه :چگونه می توان شبکه تسخیر شده توسط نفوذگران و هکرها تشخیص دهیمنشسته و مشغول وب‌گردی (!!!) هستید، در همین حال نفوذگران از طریق درپشتی، كانال‌های مخفی و ... در حال رفت و آمد به شبكه شما هستند بدون این كه روح شما از این موضوع خبردار باشد یا حتی به این موضوع شك كنید.یكی از مهم ترین نكاتی كه شما به عنوان مدیر شبكه یك سازمان باید مدنظر داشته باشید این است كه چگونه می توان فهمید ماشینی مورد نفوذ قرار گرفته است.

روش‌های زیادی برای تشخیص این كه ماشینی مورد نفوذ قرار گرفته است وجود دارد ولی متاسفانه فقط تعداد كمی از این روش‌ها دارای قابلیت اطمینان در حد قابل قبول می‌باشند.در این نوشتار قصد داریم نگاهی به قابلیت اطمینان روش‌های كشف ماشین‌های تسخیر شده در سازمان بیندازیم. در واقع نكته كلیدی و مهم در این جا قابلیت اطمینان است.

امنیت شبکه :چگونه می توان شبکه  تسخیر شده  توسط نفوذگران و هکرها   تشخیص دهیم

شما مدیر شبكه یك سازمان هستید و با خیال راحت پشت سیستم خودتان امنیت شبکه :چگونه می توان شبکه تسخیر شده توسط نفوذگران و هکرها تشخیص دهیمنشسته و مشغول وب‌گردی (!!!) هستید، در همین حال نفوذگران از طریق درپشتی، كانال‌های مخفی و ... در حال رفت و آمد به شبكه شما هستند بدون این كه روح شما از این موضوع خبردار باشد یا حتی به این موضوع شك كنید.

یكی از مهم ترین نكاتی كه شما به عنوان مدیر شبكه یك سازمان باید مدنظر داشته باشید این است كه چگونه می توان فهمید ماشینی مورد نفوذ قرار گرفته است.

روش‌های زیادی برای تشخیص این كه ماشینی مورد نفوذ قرار گرفته است وجود دارد ولی متاسفانه فقط تعداد كمی از این روش‌ها دارای قابلیت اطمینان در حد قابل قبول می‌باشند.

در این نوشتار قصد داریم نگاهی به قابلیت اطمینان روش‌های كشف ماشین‌های تسخیر شده در سازمان بیندازیم. در واقع نكته كلیدی و مهم در این جا قابلیت اطمینان است.

 

یك ماشین، تسخیر شده

ابتدا ببینیم به چه ماشینی تسخیر شده می‌گویند. یك ماشین، تسخیر شده گفته می‌شود اگر:

1- به طور موفقیت آمیز توسط نفوذگر و با استفاده از كدهای مخرب تحت كنترل درآمده و مورد استفاده قرار گیرد.

2- یك درپشتی یا دیگر ابزارهای مخرب بدون اطلاع صاحب ماشین، بر روی آن اجرا شود.

3- ماشین بدون اطلاع صاحب آن به‌گونه‌ای پیكربندی شود كه به افراد غیرمجاز اجازه دسترسی بدهد.

 

چگونه یك ماشین، تسخیر می شود

برخی از مواردی كه ممكن است در دنیای واقعی رخ دهد به شرح زیر است:

1- یك سیستم كه توسط یك كرم (worm) آلوده شده و سپس شروع به ارسال مقادیر زیادی ترافیك مخرب به بیرون می‌كند و سعی می‌كند آلودگی را در سازمان و خارج از آن گسترش دهد.

2- امتیازات دسترسی سیستم به یك سرور FTP بدون حفاظ مورد سوءاستفاده قرار گرفته وسپس توسط نفوذگران برای ذخیره كردن و به اشتراك گذاشتن تصاویر پورنو، نرم‌افزارهای غیرمجاز و ... استفاده شود.

3- یك سرور كه توسط نفوذگران تسخیر شده و روی آن rootkit نصب شده است. برای ایجاد كانال‌های پنهان بیشتر به منظور دسترسی راحت‌تر نفوذگر، بر روی چندین سیستم، تروجان نصب شده است. همچنین یك IRC bot نصب شده است كه از یك كانال مشخص برای اجرای دستورات استفاده می‌ شود.

ممكن است با خواندن مثال‌های فوق، فكر كنید كه "خوب، در این موارد می‌دانم چگونه سیستم‌های تسخیر شده را تشخیص دهم" ولی ما مساله را در حالت كلی بررسی خواهیم كرد نه برای چند مثال خاص.

 

چگونه سیستم‌های تسخیر شده را تشخیص دهم

ابتدا نگاهی می‌اندازیم به تكنولوژی‌های موجود برای تشخیص فعالیت نفوذگران. سیستم‌های تشخیص حمله (كه از آن‌ها به عنوان سیستم‌های تشخیص نیز یاد می‌شود) وجود دارد كه جستجوها و تلاش‌ها برای حملات گوناگون را تشخیص می‌دهد. سپس سیستم‌های تشخیص نفوذ قرار دارند كه روش‌های نفوذ شناخته شده مورد استفاده نفوذگران را تشخیص می‌دهد. البته در اینجا ما در مورد روش های قابل اطمینان تشخیص ماشین های تسخیر شده صحبت می‌كنیم: تشخیص ماشین‌هایی كه مورد حمله قرار گرفته‌اند، مورد نفوذ قرار گرفته‌اند و اكنون توسط نفوذگران یا دستیاران خودكارشان (aids) استفاده می‌شوند.

 

 

همان‌گونه كه اشاره شد، قابلیت اطمینان تشخیص مهم است. هشدارهایی كه تولید می‌كنیم برخلاف سیستم‌های تشخیص نفوذ بر مبنای شبكه كاملا كاربردی و عملیاتی است. به عنوان مثال به جای هشدار "به نظر می‌رسد كسی در حال حمله به سیستم شما است. اگر تمایل دارید با دقت بیش‌تری آن را بررسی كنید." از هشدار "ماشین شما مورد نفوذ قرار گرفته و در حال استفاده توسط نفوذگران است، به آنجا بروید و این كارها را انجام دهید"

 

چگونه می‌توانیم تشخیص دهیم كه ماشینی واقعا تسخیر شده است؟

پاسخ این سوال تا حد زیادی به این كه چه اطلاعات و ابزارهایی با توجه به موقعیت كاربر در دسترس است، بستگی دارد. این كه فقط توسط اطلاعات مربوط به فایروال بخواهیم ماشین تسخیر شده را تشخیص دهیم یك چیز است و این كه دسترسی كامل به سخت‌افزار، سیستم‌عامل و برنامه‌های كاربردی ماشین داشته باشیم مساله ای كاملا متفاوت است.

بدیهی است تحقق بخشیدن به این اهداف نیازمند داشتن افراد متخصص با مهارت computer forensics در سازمان و صرف زمان كافی است.

برای پیش‌زمینه به طور خلاصه برخی فعالیت‌هایی كه توسط نفوذگران روی سیستم‌های تسخیر شده انجام می‌شود را بررسی می‌كنیم. البته واضح است كه این فعالیت‌ها توسط نفوذگران بیرونی است نه نفوذگران درون سازمان.

1- یك daemon درپشتی توسط نفوذگر روی یك درگاه با شماره بالا به كار گرفته می‌شود یا یك daemon موجود به تروجان آلوده می‌شود. این مورد در اغلب حالت‌های تسخیر شده مشاهده می‌شود.

2- یك انتخاب مرسوم نفوذگران، نصب یك IRC bot یا bouncer است. چندین كانال IRC توسط یك گروه خاص برای ارتباط با سروری كه تسخیر شده اختصاص می‌یابد. این مورد نیز در خیلی از حالت ها مشاهده می‌شود.

3- در حال حاضر برای انجام حملات DDoS و DoS، معمولا از تعداد زیادی ماشین تسخیر شده برای ضربه زدن به مقصد استفاده می شود.

4- بسیاری از نفوذگران از ماشین ‌های تسخیر شده برای پویش آسیب‌ پذیری‌ های دیگر سیستم ها به طور گسترده استفاده می‌كنند. پویشگرهای استفاده شده قادر به كشف آسیب پذیری ها و نفوذ به تعداد زیادی سیستم در زمان كوتاهی می‌باشند.

5- استفاده از یك ماشین تسخیر شده، برای یافتن یك ابزار یا نرم‌افزار غیرمجاز، فیلم و ... خیلی معمول است. روی سرورهای با پهنای باند بالا، افراد قادرند در هر زمانی با سرعتی در حد گیگابایت download و upload كنند. قابل توجه این كه اغلب لازم نیست كسی برای ذخیره داده‌ها، سروری را exploit كند زیرا به اندازه كافی سرورهایی وجود دارند كه به علت عدم پیكربندی صحیح اجازه دسترسی كامل را می‌دهد.

6- به‌دست‌آوردن مقدار زیادی پول با دزدیدن اطلاعات كارت‌های اعتباری یكی دیگر از فعالیت‌هایی است كه نفوذگران انجام می‌دهند و در سال های اخیر رشد فزاینده ای داشته است.

7- یكی دیگر از فعالیت‌های پول‌ساز فرستادن هرزنامه یا واگذاركردن ماشین ‌های تسخیرشده به ارسال كنندگان هرزنامه ها در ازای دریافت پول است.

8- یكی دیگر از این نوع فعالیت‌ها، استفاده از ماشین تسخیر شده برای حملات phishing است. نفوذگر یك سایت بانك جعلی (مشابه سایت اصلی) می‌سازد و با فرستادن email ای كه ظاهرا از طرف بانك فرستاده شده است، كاربر را وادار به وارد كردن اطلاعات دلخواه خود می كند.

حتی اگر اعلام شود كه سیستم شما دارای كدهای مخرب است، ممكن است همه چیز سر جایش باشد و واقعا هیچ خطری وجود نداشته باشد. دلیل آن خیلی ساده است: هشدارهای نادرست (و به طور خاص نوع مشهورتر آن یعنی false positiveها)

توجه داشته باشید كه حتی آنتی ویروس هم ممكن است دارای هشدارهای false positive باشد. بنابراین حتی اگر آنتی ویروس هشدار داد كه سیستم شما دارای درپشتی یا تروجان است ممكن است یك هشدار نادرست باشد.

دقت كنید كه بسیاری از موارد فوق با ارتباط دادن داده های NIDS با داده های دیگر (مثل داده های دیواره آتش، داده های میزبان، یا داده های یك NIDS دیگر) تسهیل می شود و از طریق خودكار كردن بر مبنای rule این ارتباط می توان نتیجه گرفت كه ماشین موردنظر تسخیر شده است. هم چنین تكنولوژی ارتباط می تواند با در نظر گرفتن دیگر فعالیت های مرتبط كه در زمان حمله رخ می دهد، فرایند تحقیق و بررسی را خودكار كند. در نتیجه با این روش می توان با قابلیت اطمینان بیشتری سیستم های تسخیر شده را تشخیص دهیم در مقایسه با زمانی كه فقط از داده های یك NIDS استفاده می كنیم. حتی اگر یك موتور ارتباط خوب وجود نداشته باشد، هنوز هم تحلیل گر می تواند این مراحل را به طور دستی انجام دهد هر چند این كار بلادرنگ نباشد.

 

چگونه روش های امنیتی را در محیط عملیاتی به كار گیریم

حال به این مساله می پردازیم كه چگونه روش های فوق را در محیط عملیاتی به كار گیریم. روش ایده‌آل به كارگرفتن راهنمایی‌های فوق به طور خودكار كه شامل استفاده از رخدادها، هشدارها و logهای ابزارهای امنیتی مختلف نصب شده و سپس اعمال قوانین مشخص به این داده ها (شامل داده هایی كه از قبل روی سیستم ذخیره شده اند و داده های بلادرنگ)

 

سخن آخر

اگر سازمان شما بودجه چندانی برای امنیت ندارد می توانید خودتان با استفاده از ابزارهای متن باز این كار را انجام دهید. روش های چندی برای كشف ماشین های تسخیر شده وجود دارد كه یك ابزار سودمند برای مقابله با نفوذگران با سطوح مختلف مهارت فراهم می كند.

بر خلاف آن چه كه اكثر افراد فكر می كنند، برای انجام این كار همیشه نیاز به سرویس های پی جویی گران نیست و می توان با اطلاعات جمع آوری شده از شبكه، logهای سیستم، ... این كار را انجام داد.

 

 

------ .:شناسنامه مقاله :. -----------------------------------------

برداشت آزاد : مطالب با رنگ n در متن مقاله به صورت توضیح مطلب به متن نویسنده اضافه شده است ؛ وبلاگ  فن آوری اطلاعات یزد  Yazdit در حذف یا اضافه با رعایت قانون کپی رایت CopyRight  آزاد است

منبع : وب سایت  آژانس امنیت شبکه پرشین هک

 نویسنده: مدیر وبسایت

تاریخ انتشار: 23 شهریور ماه 1385

منبع وبلاگ  : وب سایت  آژانس امنیت شبکه پرشین هک

عنوان اصلی مقاله : شناسایی ماشین تسخیرشده

لینک مستقیم  مقاله اصلی : http://www.persianhack.com/show.aspx?id=862

کلمات کلیدی عمومی وبلاگ : وبلاگ+ فن آوری اطلاعات+ فا + یزد + وب سایت + یزد فاوا+  Yazd + IT+ Weblog   + فن آوری اطلاعات و ارتباطات + فاوا + ICT

کلمات کلیدی مقاله : امنیت + شبکه + تسخیر شده + مدیر شبكه + سازمان + ماشین + تسخیر شده+ سیستم + نفوذ + هک + Hack + شناسایی + تشخیص

---------------------------------------------------------------------------

 

مقالات مرتبط در وبلاگ فن آوری اطلاعات یزد

مقالات مرتبط  : آشنایی با خطرات آنلاین -  کاربری با کامپیوتر و اینترنت

»» روشهای نفوذ هکرهاHacker :چگونه كلمه عبور Password مناسب و مطمئن انتخاب كنیم ؟ ( قسمت دوم)

»» زنگ تفریح( طنز) : آداب استفاده از فن آوری گوشی همراه ؛ موبایل باهم مرور کنیم

»» راهنما والدین کودک و نوجوان تا 18 سالگی برای برای حفاظت از خطرات اینترنتی( قسم اول)

»» روشهای نفوذ هکرها Hacker و نفوذگران به شناسه کاربری ID و پست الکترونیکی Email

»» کاربران اینترنت تا چه چه از دانش فن آوری اطلاعات سر در می آورند و چه میزان باید بدانند

»» محافظت درمقابل خطرات ایمیل؛ مقابله با حملات ویروسها در پست الکترونیکی ( قسمت دوم)

»» آشنایی با خطرات احتمالی کاربری و سو کاربری که در کمین کاربران نوجوان و جوان اینترنت

»» محافظت در مقابل خطرات ایمیل ؛ آشنایی با روشهایی بهره گیری هکر از پست الکترونیکی

»» آیا هدفون سلامتی حلق و گوش کاربران را به خطر می اندازد!

»» اعتیاد به اینترنت یا اعتیاد اینترنتی را جدی بگیرید ؛ خطرات و عوارض اینترنت ( قسمت سوم)

»» نگاهی به تحقیق در مورد تولید محتوا اطلاعات برای اینترنت در نزد کاربران آمریکایی

 

 

مقالات مرتبط  : آشنایی با نرم افزار آنتی ویروس Anti Virus انواع کدهای مخرب

»» قابلیت‌های نرم‌افزارهای ضدویروس ، تفاوت بین نسخه‌های آنتی ویروس ها باهم چیست

»» نرم افزار آنتی ویروس Anti Virus یا ویروس کش چیست؟ همه چیر در موردویروس کش قوی

»» راهنمایی گام به گام جستجو و یافتن نرم افزارهای جاسوسی و جاسوس‌افزار( قسمت سوم)

»» راهنمای گام به گام جستجو و یافتن نرم افزارهای جاسوسی و جاسوس‌افزار( قسمت دوم)

 »» راهنمای گام به گام جستجو و یافتن نرم افزارهای جاسوسی و جاسوس‌افزار (قسمت اول)

»» آشنایی با نرم‌افزار جاسوسی ، نرم‌افزار جاسوسی چیست؟( قسمت دوم)

»» آشنایی با نرم‌افزار جاسوسی ، نرم‌افزار جاسوسی چیست؟ ( قسمت اول)  

»» اسب تروا، تروجان،(Trojan Horse) یا نرم افزارهای جاسوس اینترنتی و راههای مقابله با آن

»» مقابله با نرم افزارهای تبلیغات یا تبلیغ‏افزار Adware جاسوسی یا جاسوس‌افزار

نوشته شده در تاریخ پنجشنبه بیست و سوم آذر 1385    | توسط: مدیر وبلاگ فن آوری اطلاعات یزد - م . تقوایی زحمتكش    | طبقه بندی: هک - هکر - کراک،     | نظرات()
ارسال به ارسال به 100 درجه کلوب دات کام
=================================================================== ------------------------------------------------------------------------------------------------------------------------------------------------------- ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^