|
دورة المنطقة الأمنية II (الدفاع المضاد)
- الحلقة الدراسية الأولى : الثغرات
الأمنية بالمؤسسة
من خلال التجربة المذكورة في تقديم هذة
الدورة الدراسية نرى أن عمليات اختراق الأنظمة تتخللها كثير من
المهام والترتيبات المتلازمة وهي – اي عمليات الاختراق – تستند على
مبداء قياسي واحد هو اخطاء برمجية يخلفها البشر . فالشيفرات والاكواد
البرمجية هي الاساس الذي يتعقبه المخترق ويبحث في تفاصيلة عن ثغرة
هنا او خطأ هناك وهذا يتطلب كثير من الجهد والمثابرة وتكرار المحاولة
عقب المحاولة وهي طريقة شائعة بل لنقل متعارف عليها عند كلا الطرفين
الخبراء الامنيون والمخترقون المحترفيون.
دراسة المؤسسة
إن كل محاوله للأختراق تعتمد من اساسها على
طريقة المخترق هذة الطريقة ترمز بالخطوة الأولى ، إن مبداء الخطوة
الأولى منشأه الأول المعلومات او بصيغة اخرى تجميع اكبر قدر ممكن من
المعلومات عن الهدف قبل القيام بمحاولة الأختراق الفعلي حيث ان تلك
المعلومات على قدر من الاهمية عند تنفيذ الأختراق كما سنرى لاحقا.
ولتقريب هذة الصروة اكثر الي ذهن القارى فإن دراسة المؤسسة يمكن
تشبيهها بعملية اقتحام البنوك بقصد السرقة ، إن اللصوص في هذة الحالة
لايذهبون ويطلبون النقود ، بل إنهم عوضا عن ذلك يعانون مشقة في تجميع
اكبر قدر ممكن عن البنك المستهدف ، كموقع البنك وعدد المخارج به وعدد
كميرات المراقبة ووقت تسليم النقود من الخزينه المركزية للبنك وعدد
العاملين به واي شئ اخر يمكن ان يساعدهم في القيام بعملية سرقة
ناجحة. إن كل تلك المعلومات تأخذ جهدا ووقتا مضنيين وهذه المتطلبات
نفسها تنطبق على كل حال على المخترقين الناجحين إلا انهم يجمعون اكبر
كمية لازمة من المعلومات حول مظاهر امن الأنظمة الخاصة بالهدف .
تحصيل الهدف (الخطوة الأولى)
تستند الخطوة الاولى مبدئيا على ثلاثة اسس
مترابطة فيما بينها هي على التوالي :
- تقفي الأثر Traceroute
- المســح Scanning
- التعداد Enumeration
تقفي الأثر Traceroute
يسمح تقفي الأثر المنظم للمخترقين إنشاء
تكوين عام عن المؤسسة الهدف ، ويخلصون من ذلك الي تحديد اسماء
النطاقات وكتل الشبكات وعناوين IP الفردية للأنظمة المتصلة بشكل
مباشر بالأنترنت . ومع أن هناك انواع عديدة لتقنيات تقفي الأثر، فهي
تهدف اساسا لإكتشاف المعلومات المتعلقة بالهدف والوصول اليها عن بعد
وهذة التقنيات لاتختص بالأنترنت وحدها لعمليات الوصول تلك ولكنها
تتجاوزها عبر تقنيات أخرى تشمل الإنترانت والأكسترانت والوصول عن بعد
Remote وفيما يلي تلخصيا لهذة التقنيات ويقابلها التعرف على خصائصها
بواسطة خاصية تقفي الأثر Traceroute :
1) الإنترنت
- يستخدم تقفي الإثر في الإنترنت لإستخلاص
الأمور التالية:
- أسماء الميادين
- كتل الشبكات
- عناوين IP محددة لأنظمة قابلة للوصول عبر
الإنترنت
- خدمات TCP تعمل على كل نظام تم التعرف
علية
- بنية النظام
- تعداد النظام (اسماء المستخدمين
والمجموعات ومعلومات snmp )
2) الإنترانت
- بروتوكولات الشبكة المستخدمة ( على سبيل
المثال IP ، IPX ، DecNET )
- اسماء الميادين الداخلية
- كتل الشبكات
- عناوين IP محددة للأنظمة القابلة للوصول
عبر خدمات TCP/UDP للإنترانت التي تعمل على كل نظام تعمل عليه
- بنية النظام
- اليات التحكم بالوصول ولوائح التحكم
بالوصول المتعلقة
- انظمة التقاط الدخلاء
- تعداد النظام ( اسماء المستخدمين
والمجموعات وملصقات النظام وجدول التوجيه و معلومات SNMP )
3) الوصول عن بعد
- ارقام الهواتف الرقمية
- نوع النظام البعيد
- اليات التحقق من صحة المعلومات
4) الإكسترانت
- مصدر ووجهة الوصلة
- نوع الوصله
- الية التحكم بالوصول
1) تقفي الإثر على الإنترنت
تذكر هنا بأن عنوان هذه الدورة الدراسية
(الدفاع المضاد) ويقصد به الدفاع عن عمليات الاختراق التي تغزوا
بريدك الإلكتروني ، كمبيوترك الشخصي بالبيت او المكتب ، موقعك الخاص
على الشبكة العالمية، متجرك الإلكتروني على الإنترنت وأخيرا شخصيتك
الحقيقية التي تخفيها خلف قناع الإنترنت بأختراق مضاد للمخترق . ومن
هنا وإبتداء من السطر القادم بهذة الدورة الدراسية سأبداء بخطوات
(الدفاع المضاد) والتي من خلالها سيخرج القراء بحصيلة تقنية متشعبة
تمدهم بالمعلومات اللازمة للحماية ولكن ليس من اجل الوقاية كما سبق
تعلمه بالدورتين الدراستين السابقتين ، وإنما كأساس للنيل من
المخترقين وصد إختراقاتهم المنظمة والعشوائية عليهم.
مع أن العديد من تقنيات تقفي الأثر متماثلة
عبر التكنولوجيا المتعددة (الإنترنت والإنترانيت) فأننا هنا سنركز
على تقفي الأثر لوصلات الإنترنت فقط .
إن البند الأول الذي يجب أن تعالجه هو
تحديد مدى نشاط تقفي الأثر الذي تريده. هل ستتقفى اثر منظمة بكاملها
ام أنك ستكتفي بتحديد نشاط معين على مواقع محددة ( على سبيل المثال
البريد الإلكتروني )
أ) عملية البحث المفتوح
كنقطة بداية استخدم بشكل جيد صفحة بدء
المؤسسة الهدف ، تقدم صفحة البدء مقدارا لابأس به من المعلومات يمكن
ان تساعد المهاجمين ، لقد رأينا فعلا بعض الشركات تسرد خيارات إعداد
الأمن لجدران النار الخاصة بهم مباشرة على ملقم ويب الإنترنت الخاص
بهم . بعض المواد المهمة الأخرى تضم التالي:
الأماكن - الشركات او الكينونات المرتبطة
- اخبار الدمج والتحصيل
- ارقام الهواتف
- اسماء الإتصال وعناوين البريد الإلكتروني
- سياسات الأمن والخصوصية التي تشير الي
انواع اليات الأمن الموضوعة
- ارتباطات الي ملقمات ويب اخرى مرتبطة
بالمؤسسة
بالإضافة الي ذلك راجع شيفرة مصدر HTML ،
إن عرض شيفرة المصدر بدون اتصال قد تكون اوضح من عرضها اثناء الإتصال
، لذا من المفيد دوما عكس موقع بأكمله من اجل عرضه بدون اتصال، إن
الحصول على نسخة من الموقع محليا قد تسمح لك بأن تبحث برمجيا عن
البنود المهمة الأخرى وتجعل بذلك عملية تقفي الأثر اكثر فعاليه.
إنWget (ftp://gnkilux.ce.fer.hr/pub/unix/util/wget) من اجل UNIX و
teleport Pro
http://www.tenmax.com/teleport/home.htm
من اجل ويندوز هما اداتان عظيمتان لعكس مواقع ويب بأكملها.
وبعد دراسة صفحات الويب ، تستطيع أن تؤدي
عمليات بحث مفتوحة من اجل المعلومات المتعلقة بالهدف، ويمكن أن تقدم
مقالات الأخبار وإصدارات الصحف وغيرها دلائل إضافية حول وضع المؤسسة
ومخطط الأمن بها . تقدم مواقع مثل www.finance.yahoo.com
وwww.companysleuth.com بحرا من المعلومات. بل إنك يمكنك أن تتعقب
شركة تعتمد على الإنترنت بشكل اساسي حيث تجد بأن لديها حوادث أمنية
متعدده عن طريق البحث عن قصص الأخبار المتعلقة بها ويكفيك في هذة
الحالة محرك البحث الذي تختاره من اجل هذة المهمة وعلى كل حال هناك
ادوات بحث متقدمه اكثر ومعايير تستطيع ان تستخدمها لكي تكشف معلومات
اضافية ومن هذة الأدوات مجموعة FerretPRO www.ferretsoft.com اخيرا
تستطيع أن تستخدم إمكانات البحث المتقدمة لبعض محركات البحث المعروفة
مثل ياهو والتافيستا وهوتبوت وغيرها.
ب) تعداد الشبكة
تستخدم عملية تعداد الشبكة في التعرف على
اسماء الميادين حيث تمثل اسماء الميادين حضور المؤسسة على الإنترنت
وهي المكافئ على الإنترنت لأسم المؤسسة .
لكي تقوم بتعداد هذة الميادين وتبداء
بأكتشاف الشبكات المقترنه بها يجب ان تجوب الإنترنت. يوجد هناك قواعد
بيانات whois متعدده تستطيع أن تستعملها وسوف تقدم لك ثروة من
المعلومات حول كينونة تحاول ان تقتفي اثرها . يوجد هناك اليات مختلفة
عديدة لإستعلام قواعد البيانات whois المتنوعة من اهم هذة المصادر
http://www.allwhois.com/ يمكن أن
يتم الكشف عن معلومات مختلفة مع كل استعلام حيث تقدم انواع
الإستعلامات التالية معظم المعلومات التي يستخدمها المخترقون لبدء
هجومهم:
شركة التسجيل: تعرض معلومات شركة تسجيل
محدوده وملقمات whois المقترنة بها. التنظيمية: تعرض كل المعلومات
المتعلقة بالمنظمة المحددة. الميدان: يعرض كل المعلومات المتعلقة
بميدان محدد. الشبكة: تعرض كل المعلومات المتعلقة بشبكة محددة او
عنوان IP مفرد. نقطة الإتصال: POC تعرض كل المعلومات المتعلقة بشخص
محدد ، عادة مسؤول الإتصال الإداري.
ج) إستجواب DNS
بعد التعرف على كل الميادين المقترنه
تستطيع أن تبدأ بإستعلام DNS ، إن إستعلام DNS هو قاعدة بيانات موزعة
تستخدم لتقابل عناوين IP مع اسماء مضيفين والعكس بالعكس . إذا كان
DNS معدا اصلا بشكل غير امن ، من الممكن الحصول على معلومات مهمة حول
المؤسسة. إن احد اكثر الأخطاء الشائعة التي يمكن أن يرتكبها مدير
النظام هي السماح لمستخدمي إنترنت غير الموثوقين بأداء عملية نقل
منطقة Zone Transfer.
يسمح نقل المنطقة لملقم ثانوي بأن يحث
قاعدة بيانات منطقته. إن هذا يتسبب عند تشغيل DNS في وجوب عدم اتاحة
الأسم الأولي وعلى كل حال فإن العديد من ملقمات DNS معدة بشكل سئ
وتقدم نسخة من منطقة لأي شخص يطلبها حيث تعطي هذة النتيجة اسماء
المضيفات الداخلية وعناوين IP وهي الهدف الذي ينشده المخترق لأن
إعطاء عناوين IP الداخلية لمستخدم غير موثوق عبر الإنترنت هو مماثل
لتقديم مخطط عمل كامل او مخطط الطريق للشبكة الداخلية في الشركة.
الخلاصة
كما رأيت توجد هناك طرق عديدة يستطيع أن
يتعرف بها المخترقون على الشبكات والمواقع ويتقفون اثرها ، لقد حددنا
في نقاشنا الأدوات والتقنيات الشائعة فقط وهناك ادوات جديدة تصدر كل
يوم ، وأكثر من ذلك لقد اخترنا مثالا بسيطا لتوضيح مفاهيم تقفي الأثر
وهو بطبيعة الحال قد رسم صورة ذهنية لما يقوم به المخترقون لرصد هدف
معين ( بريد اليكتروني ، موقع على الإنترنت ، شبكة محلية Intranet
مرتبطة بالأنترنت) قبل المباشرة بمهاجمته . إن الفكرة العامه تعني أن
عمليات الإختراق الناجحة تتقدمها عمليات رصد مضنية ولايكتب النجاح
للإختراق إلا عبر عمليات الرصد المسبوقة تلك.
سنتطرق في الحلقة الدراسية القادمة الي
الأساس الثاني من الخطوة الأولى للدفاع المضاد :
2) المسح Scanning
تـقـــديـــم
- الحلقة الدراسية الأولى : الثغرات الأمنية بالمؤسسة
- المســــح
- التـعـــداد
- الحلقة الدراسية الثانية : الــدفــــاع
المــضــــاد
- تعرف على أهداف مخترق جهازك
- رد الاعتبار
- التطبيقات الخاصة : التطبيق الأول
. التطبيقات الخاصة : التطبيق الثاني
عودة إلى الصفحة الرئيسية للحماية و الهاكرز |