اطلاعیه

Collapse
No announcement yet.

نرم افزارهای تست امنیت در شبکه های کامپیوتری

Collapse
X
 
  • فیلتر
  • زمان
  • Show
Clear All
new posts

    نرم افزارهای تست امنیت در شبکه های کامپیوتری

    Retina Network Security Scanner

    این نرمآ‌افزار که محصولی از شرکت eEye Digital Security است، کاربردی مشابه LANGuard Security Scanner دارد. از آنجاکه در این پایگاه مقدمهآ‌یی از نرمآ‌افزار LANGuard، به عنوان آشنایی با نرمآ‌افزارهای پویش امنیت در شبکه قرار گرفته است، در این متن ضمن معرفی Retina به مقایسه مختصر و اجمالی میان این دو محصول، که تحت Windows رقبای یکدیگر محسوب میآ‌شوند، نیز پرداخته خواهد شد.

    پویشآ‌گر امنیت شبکهآ‌ی Retina، یکی از قویآ‌ترین نرمآ‌افزارها در این دسته از محصولات به شمار میآ‌آید. امکانات و قابلیتآ‌های متنوع، به همراه امکان پویش در شبکهآ‌هایی که از سیستمآ‌های عامل متنوعی، همچون Windows و خانوادهی Linux و Unix استفاده میآ‌کنند، و همچنین امکان نصب اصلاحیهآ‌های امنیتی ویژه ضعفآ‌های امنیتی یافت شده که بهآ‌صورت خودکار توسط Retina انجام میآ‌گیرد، این نرمآ‌افزار را به محصولی خاص و قدرتمند تبدیل میآ‌کند، تا حدی که اغلب مجلات و منابعی که در زمینهآ‌ی بررسی چنین نرمآ‌افزارهایی از اعتباری بالا برخوردارند، آنآ‌را به عنوان محصولی برتر معرفی میآ‌کنند.

    از امکانات ویژه و منحصربهآ‌فرد این نرمآ‌افزار، که در دیگر پویشآ‌گرآ‌های امنیت شبکهآ‌ی مشابه یافت نمیآ‌شود، می توان به امکان Auditing آن اشاره کرد. توسط Auditing Tool این نرمآ‌افزار میآ‌توان در زمان پویش، دستهآ‌یی خاص از ضعفآ‌های امنیتی را برای تعدادی از ایستگاهآ‌های کاری یا خادمآ‌های تعیین شده اعمال کرد. همچنین در این ابزار امکان اضافه نمودن ضعفی جدید، به صورت دستی، توسط مدیر شبکه نیز وجود دارد. به عبارت دیگر، میآ‌توان گزارشی از وضعیت تعدادی رایانهآ‌ی خاص در برابر ضعفآ‌هایی معین،آ‌ تهیه نمود و در صورت نیاز اقدام به نصب خودکار اصلاحیهآ‌های امنیتی نمود.

    این پویشآ‌گر، با استفاده از بازهآ‌یی از آدرسآ‌های IP به پویشآ‌ شبکه میآ‌پردازد و ضعفآ‌های امنیتی را بر اساس بحرانیآ‌بودن آنآ‌ها مرتب میآ‌کند. همانآ‌گونه که گفته شد میآ‌توان بررسی امنیتی شبکه را محدود به دستهآ‌ی خاصی از ضعفآ‌های، نرمآ‌افزارها و یا جنبهآ‌های امنیتی نمود. در این میان شاید تنها ایرادی، آن هم از بعد گزارشآ‌گیری و رابط کاربری، میآ‌توان به این نرمآ‌افزار وارد دانست، نبود امکان مرتبآ‌سازی ایستگاهآ‌های پویشآ‌شده بر اساس نوع سیستمآ‌عامل آنآ‌هاست.

    در هنگام نصب، پویشآ‌گر، اقدام به اتصال به پایآ‌گاه دادهآ‌ی اصلی شرکت سازنده کرده و به بهآ‌روز سازی ضعفآ‌های امنیتی شناخته شده میآ‌پردازد. این اقدام با هدف کاهش احتمال نادیده انگاشتن ضعفآ‌های نوین امنیتی صورت میآ‌گیرد.

    منبع: ircert.com

    #2
    Snort

    Snort، نمونهآ‌ای از یک ابزار تشخیص نفوذ شبکهآ‌ای

    یک نرمآ‌افزار تشخیص نفوذ بهآ‌صورت کدباز است که بر روی محیطآ‌های Linux و Windows عرضه میآ‌گردد و با توجه به رایگان بودن آن، به یکی از متداولآ‌ترین سیستمآ‌های تشخیص نفوذ شبکهآ‌های رایانهآ‌یی مبدل شده است. از آنآ‌جاکه برای معرفی آن نیاز به معرفی کوتاه این دسته از ابزارها داریم، ابتدا به مفاهیمی اولیه دربارهآ‌ی ابزارهای تشخیص نفوذ میآ‌پردازیم، به عبارت دیگر معرفی این نرمآ‌افزار بهانهآ‌یی است برای ذکر مقدمهآ‌یی در باب سیستمآ‌های تشخیص نفوذ.

    Intrusion Detection System (IDS) یا سیستم تشخیص نفوذ به سختآ‌افزار، نرمآ‌افزار یا تلفیقی از هر دو اطلاق میآ‌گردد که در یک سیستم رایانهآ‌یی که میآ‌تواند یک شبکهآ‌ی محلی یا گسترده باشد، وظیفهآ‌ی شناسایی تلاشآ‌هایی که برای حمله به شبکه صورتآ‌ میآ‌گیرد و ایجاد اخطار احتمالی متعاقب حملات، را بر عهده دارد.
    IDSها عملاً سه وظیفهآ‌ی کلی را برعهده دارند : پایش، تشخیص، واکنش. هرچند که واکنش در مورد IDSها عموماً به ایجاد اخطار، در قالبآ‌های مختلف، محدود میآ‌گردد. هرچند دستهآ‌یی مشابه از ابزارهای امنیتی به نام Intrusion Prevention System (IPS) وجود دارند که پس از پایش و تشخیص، بستهآ‌های حملهآ‌های احتمالی را حذف میآ‌کنند. نکتهآ‌یی که در این میان باید متذکر شد، تفاوت و تقابل میان Firewallها و IDSها است. از آنآ‌جاکه ماهیت عملآ‌کرد این دو ابزار با یکدیگر به کلی متفاوت است، هیچآ‌یک از این دو ابزار وظیفهآ‌ی دیگری را به طور کامل برعهده نمیآ‌گیرد، لذا تلفیقی از استفاده از هردو ابزار میآ‌تواند امنیت کلی سیستم را بالا ببرد.

    در حالت کلی IDSها را میآ‌توان به دو دستهآ‌ی کلی تقسیمآ‌بندی نمود :

    - Network IDS (NIDS)

    - Host IDS (HIDS)

    HIDSها، اولین سیستم IDSی هستند که در یک سیستم رایانهآ‌ای باید پیادهآ‌سازی شود. معیار تشخیص حملات در این سیستمآ‌ها، اطلاعات جمعآ‌آوری شده بر روی خادمآ‌های مختلف شبکه است. برای مثال این سیستم با تحلیل صورت عملیات انجام شده، ذخیره شده در پروندهآ‌هایی خاص، سعی در تشخیص تلاشآ‌هایی که برای نفوذ به خادم مذکورد انجام شده است دارد. این تحلیلآ‌ها میآ‌تواند به صورت محلی بر روی خود خادم انجام گردد یا به سیستم تحلیلآ‌گر دیگری برای بررسی ارسال شود. یک HIDS میآ‌تواند تحلیل اطلاعات بیش از یک خادم را بر عهده بگیرد.

    با این وجود، اگر نفوذآ‌گر جمعآ‌آوری صورت عملیات انجامآ‌شده بر روی هریک از خادمآ‌های مورد نظر را به نحوی متوقف کند، HIDS در تشخیص نفوذ ناموفق خواهد بود و این بزرگآ‌ترین ضعف HIDS است.

    NIDSها، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بستهآ‌ها و پروتکلآ‌های ارتباطات فعال، به جستجوی تلاشآ‌هایی که برای حمله صورت میآ‌گیرد میآ‌پردازند. به عبارت دیگر معیار NIDSها، تنها بستهآ‌هایی است که بر روی شبکهآ‌ها رد و بدل میآ‌گردد. از آنآ‌جاییآ‌که NIDSها تشخیص را به یک سیستم منفرد محدود نمیآ‌کنند، عملاً گستردهآ‌گی بیشآ‌تری داشته و فرایند تشخیص را به صورت توزیعآ‌شده انجام میآ‌دهند. با این وجود این سیستمآ‌ها در رویایی با بستهآ‌های رمزشده و یا شبکهآ‌هایی با سرعت و ترافیک بالا کارایی خود را از دست میآ‌دهند.

    با معرفی انجام شده در مورد دو نوع اصلی IDSها و ضعفآ‌های عنوان شده برای هریک، واضح است که برای رسیدن به یک سیستم تشخیص نفوذ کامل، بهآ‌ترین راه استفادهآ‌ی همزمان از هر دو نوع این ابزارهاست.

    Snort، در کاملآ‌ترین حالت نمونهآ‌یی از یک NIDS است. این نرمآ‌افزار در سه حالت قابل برنامهآ‌ریزی میآ‌باشد :


    حالت Sniffer:

    در این حالت، این نرمآ‌افزار تنها یک Sniffer ساده است و محتوای بستهآ‌های ردوبدل شده بر روی شبکه را بر روی کنسول نمایش میآ‌دهد.


    حالت ثبتآ‌کنندهآ‌ی بستهآ‌ها:

    Snortدر این وضعیت، اطلاعات بستهآ‌های شبکه را در پروندهآ‌یی که مشخص میآ‌شود ذخیره میآ‌کند.


    سیستم تشخیص نفوذ:

    در این پیکربندی، بر اساس دو قابلیت پیشین و با استفاده از قابلیت تحلیل بستهآ‌ها و قوانینی که تعیین میآ‌گردد، Snort امکان پایش و تحلیل بسته و تشخیص نفوذ را یافته و در صورت نیاز واکنش تعیین شده را بهآ‌روز میآ‌دهد.

    حالت پیشآ‌فرض خروجی این ابزار فایلی متنی است که میآ‌تواند در آن ابتدای بستهآ‌ها را نیز درج کند. با این وجود در صورتیآ‌که این ابزار در حال فعالیت بر روی ارتباطات شبکهآ‌یی با سرعت بالا میآ‌باشد بهآ‌ترین راه استفاده از خروجی خام باینری و استفاده از ابزاری ثانویه برای تحلیل و تبدیل اطلاعات خروجی است.

    بُعد دیگر از پیکربندی Snort به عنوان یک سیستم تشخیص نفوذ، استفاده از قوانین برای ایجاد معیار نفوذ برای Snort است. برای مثال میآ‌توان با قانونی، Snort را مکلف ساخت که نسبت به دسترسیآ‌های انجام شده مبتنی بر پروتکلی تعیین شده از/به یک پورت خاص و از/به یک مقصد معین با محتوایی شامل رشتهآ‌یی خاص، اخطاری یا واکنشی ویژه را اعمال کند.

    نکتهآ‌یی که باید در نظر داشت اینآ‌ است که از آنآ‌جاکه Snort را میآ‌توان به گونهآ‌یی پیکربندی نمود که قابلیت تشخیص حمله توسط ابزارهای پویش پورت را نیز داشته باشد، لذا با وجود استفاده از Snort نیازی به استفاده از ابزاری ثانویه برای تشخیص پویشآ‌گرهای پورت وجود ندارد.
    همانآ‌گونه که گفته شد، Snort با قابلیتآ‌های نسبتاً کاملی که در خود جای دادهآ‌است، به همراه رایگان بودن آن و قابلیت نصب بر روی محیطآ‌ها و سیستمآ‌های عامل متدوال، به یکی از معمولآ‌ترین IDSهای کنونی مبدل شده است. برای دریافت این نرمآ‌افزار و همچنین اطلاعات جامعی در مورد آن میآ‌توانید به پایآ‌گاه اصلی آن، www.snort.org، مراجعه کنید.

    دیدگاه


      #3
      نرمآ‌افزار LANGuard

      نرمآ‌افزار LANGuard

      دستهآ‌ی مهمی از نرمآ‌افزارهای امنیتی را ابزارهای پویش و کشف و تعیین ضعفآ‌های امنیتی تشکیل میآ‌دهند. این ابزارها مدتآ‌های بسیاری است که وجود دارند، ولی از آنجا که مقولهآ‌ی امنیت در سالآ‌های اخیر اهمیتی ویژه یافته است، تنها به تازهآ‌گیآ‌ است که تولیدکنندهآ‌گان آنآ‌ها، با هدف سادهآ‌سازی استفاده از این نرمآ‌افزارها اقدام به ویرایش مجدد رابطآ‌های کاربری کردهآ‌اند، تا تمایل استفادهآ‌ی عمومی از این ابزارها افزایش یابد.
      آمارها نشان میآ‌دهند که اغلب حملات موفق، بر مبنای ضعفآ‌های امنیتی بسیار پیشآ‌پاافتاده، انجام میآ‌گیرند که ابزارهای پویش امنیت، میآ‌توانند تقریباً تمامی این ایرادها را شناسایی کرده و گزارشی از آنآ‌ها ارایه دهند.
      یکی از این ابزارها، نرمآ‌افزار LANGuard، محصول شرکت نرمآ‌افزاری GFI است، که بیشآ‌تر بر روی ضعفآ‌های امنیتی معمول در سطوح پایین و متوسط تمرکز دارد. این نرمآ‌افزار که برای خانوادهآ‌ی سیستمآ‌عاملآ‌های Windows نوشته شده است، عملاً در سطوحی که نرمآ‌افزارهای مشابهی همچون Retina محصول eEye Digital Security، موثر هستند، قابلیتآ‌های چندانی از خود نشان نمیآ‌دهد، لذا میآ‌توان آنآ‌را به عنوان ابزاری برای کاربران عادی شناخت.
      در این نرمآ‌افزار برای بررسی و پویش شبکه، آدرس IP یا بازهآ‌ی آدرسآ‌های مورد نظر را وارد میآ‌کنیم و نرمآ‌افزار شروع به پویش شبکه و شناسایی دستگاهآ‌های فعال بر روی شبکه میآ‌کند. پارامترهای این پویش را میآ‌توان از قبل مشخص نمود. برای مثال تعیین استفاده از بستهآ‌های ICMP برای پویش یا پویش پورتآ‌های سیستمآ‌های فعال و یا بهآ‌روز بودن اصلاحیهآ‌های امنیتی موجود بر روی سیستمآ‌های عامل از جمله پارامترهای مذکور است.
      بدون داشتن حقوق مدیریت شبکه، میآ‌توان نام دستگاهآ‌ها، آدرس MAC، پورتآ‌های باز، نوع سیستمآ‌عامل و نگارش آن و برخی از اصلاحیهآ‌های موجود را بهآ‌همراه دستهآ‌یی دیگر از اطلاعاتی که توسط SNMP در اختیار قرار میآ‌گیرد استخراج کرد.
      با داشتن حقوق مدیریت، اطلاعات نسبتاً کاملی همچون نام کاربران، سیاستآ‌های امنیتی، شاخهآ‌های و پروندهآ‌های به اشتراک گذارده شده، سرویسآ‌های در حال کار بر روی سیستمآ‌ها و همچنین اطلاعاتی کامل در مورد اصلاحیهآ‌های نصب شده بر روی سیستمآ‌های عامل بهآ‌دست آورد.
      با توجه به اینآ‌که این نرمآ‌افزار در حین پویش سیستمآ‌های موجود بر روی شبکه، امکان تعیین اصلاحیهآ‌های نصب شده بر روی سیستمآ‌ها را نیز دارد، لذا امکانی به نرمآ‌افزار اضافه شده است که بر مبنای ضعفآ‌های امنیتی به روز شده از سوی شرکت Microsoft و اصلاحیهآ‌های ارایه شده از سوی این شرکت، دستهآ‌یی از آنآ‌ها که باید بر روی هر یک از سیستمآ‌های پویش شده نصب گردند را نیز تعیین کرد.
      نرمآ‌افزار LANGuard با توجه به امکانات مذکور، ابزاری مناسب برای شرکتآ‌های کوچک و متوسط است تا با استفاده از آن ایرادها و ضعفآ‌های متداول امنیتی را کشف کرده و در صدد رفع آنها برآییم.

      دیدگاه


        #4
        WinDump

        WinDump
        بخش اول : Snifferها

        این ابزارWinDump که نسخهآ‌ی تحت Windows نرمآ‌افزار قدیمی و مشهور tcpdump تحت سیستمآ‌های عامل خانوادهآ‌ی Unix میآ‌باشد، عملاً یک تحلیلآ‌گر ترافیک شبکه است. از آنآ‌جاکه اغلب استفاده کنندهآ‌گان سیستمآ‌های کامپیوتری خانهآ‌گی در کشورمان را کاربران سیستمآ‌های عامل خانوادهآ‌یWindows تشکیل میآ‌دهند، معرفی WinDump را به بررسی tcpdump ترجیح دادهآ‌ایم.
        یک تحلیلآ‌گر ترافیک شبکه، که عموماً با نام Sniffer از آن یاد میآ‌گردد، وظیفهآ‌ی بررسی بستهآ‌های رد و بدل شده بر روی شبکه را برعهده دارد که نرمآ‌افزار Ethereal که بهآ‌زودی در همین پایآ‌گاه به معرفی آن خواهیم پرداخت نمونهآ‌ی متداول و پرطرفداری از یک Sniffer است. از آنآ‌جاکه در معرفی نرمآ‌افزار پیشین بصورت اجمالی به این دسته از ابزارها پرداخته بودیم، در معرفی WinDump نیاز به ذکر مقدمات بیشآ‌تری از Snifferها داریم.
        با استفاده از یک Sniffer، با تعیین یک رابط شبکهآ‌ی خاص، میآ‌توان به پایش و تحلیل بستهآ‌های اطلاعاتی رد و بدل شده بر روی شبکهآ‌یی که رابط شبکهآ‌ی مورد نظر به آن متصل است پرداخت. به عبارت دیگر یک Sniffer را میآ‌توان به یک سیستم پایش تشبیه کرد که تمامی اطلاعات منتقل شده بر روی بستر فیزیکی را بررسی و ذخیره میآ‌کند. در نهایت با به دست آوردن این اطلاعات دو عمل میآ‌توان بر روی محتوای بستهآ‌های بررسی شده انجام داد :

        تحلیل کلی ترافیک شبکه
        این عمل توسط تحلیلآ‌گر انجام میآ‌گردد و از آنآ‌جاکه حجم اطلاعات رد و بدل شده بر روی شبکه بسیار زیاد است، تحلیلآ‌گر باید توانایی تمیز دادن اطلاعات مربوط به پروتکلآ‌های مختلف با مبدأآ‌ و مقصدهای مختلف را داشته باشد.

        فیلتر کردن بستهآ‌هایی با محتوایی خاص

        با فیلترکردن بستهآ‌هایی خاص و نمایش اختصاصی آنآ‌ها توسط Sniffer، میآ‌توان تمیزدادن بستهآ‌های مربوط به یک پروتکل خاص، از/به مبدأ/مقصد خاص، با محتوایی از رشتهآ‌یی تعیین شده و دیگر ویژهآ‌گیآ‌ها را به نرمآ‌افزار Sniffer سپرد. پس از به دست آوردن خروجی دلآ‌خواه تحلیل آن بسیار آسانآ‌تر است.
        قابلیت پایش بستهآ‌های رد و بدل شده بر روی شبکه، قابلیتی مختص سختآ‌افزار است. به عبارت دیگر رابط شبکه در حالتی خاص قرار میآ‌گیرد که تمامی بستهآ‌هایی که مقصد آدرس فیزیکی آنآ‌ها رابط مورد نظر نیست نیز مانند بستهآ‌های مربوط دریافت شده و محتوای آنها را میآ‌توان ذخیره کرد. در حالت عادی، سختآ‌افزار و لایهآ‌ی Datalink بستهآ‌هایی که به رابط مورد نظر با آدرس فیزیکی خاص، ارتباطی ندارند را از روی شبکه بر نمیآ‌دارد.
        با این وجود، از آنآ‌جاکه هدف از استفاده از Snifferها بررسی تمامی ترافیک شبکه، با استفاده از پایش تمامی بستهآ‌هایی که از مبدآهای مختلف به مقاصد دیگر ارسال میآ‌شوند میآ‌باشد، لذا پیشآ‌نیاز استفاده از این دسته از ابزارها اساساً وجود نسخهآ‌یی از تمامی ترافیک شبکه بر روی بستر متصل به رابط شبکهآ‌ی مورد نظر است.
        این پیشآ‌نیاز، پیشآ‌نیازی سختآ‌افزاری را به استفاده کننده از Sniffer تحمیل میآ‌کند، زیرا با استفاده از سوییچآ‌ها، که در حال حاضر تقریباً در تمامی موارد جای Hubآ‌ها را گرفتهآ‌اند، ترافیکی که بر روی هریک از درگاهآ‌های سوییچ به سمت سیستم مورد نظر فرستاده میآ‌شود، تنها مختص آن سیستم است و ترافیک دیگر گرهآ‌های شبکه بر روی آن قرار ندارد. لذا در شبکهآ‌یی که بر اساس سوییچ عملآ‌ میآ‌کند، عملاً امکان استفاده از Sniffer در شرایط معمول وجود ندارد.
        با اینآ‌وجود بسیاری از سوپپچآ‌ها با هدف در اختیار گذاردن درگاهی خاص، امکان قرار دادن تمامی ترافیک شبکه بر روی یک کانال را فراهم میآ‌کنند و سیستمی که به این درگاه متصل باشد میآ‌تواند به پایش ترافیک شبکه بپردازد. امکان استفاده از این قبیل درگاهآ‌ها بر روی سوییچآ‌ها، در صورت وجود، محدود بوده و تنها مختص مدیران شبکه میآ‌باشد. این امکان تنها برای جامهآ‌ی عمل پوشانیدن به یکی از اهدف استفاده از Snifferها، یعنی استفاده توسط مدیران شبکه برای تحلیل ترافیک فعال، در برخی از سوییچآ‌ها وجود دارد.

        در استفاده از این دسته از Snifferها دو کاربرد خاص مد نظر بوده است :
        -استفاده توسط مدیران و تحلیلآ‌گران شبکه برای عیبآ‌یابی و رفع کاستیآ‌های شبکه
        -استفاده توسط نفوذگران به شبکهآ‌ها و سیستمآ‌ها
        -شناسایی تلاشآ‌ها برای نفوذ


        هدف اول، عملآ‌کردی است که در مورد آن صحبت شد. کاربرد بعدی، استفاده از قابلیت این دسته از نرمآ‌افزارها توسط نفوذگران به شبکهآ‌ها است. نفوذگران با پایش دادهآ‌ها، به تلاش برای تحلیل دادهآ‌های شبکه و بهآ‌دستآ‌آوردن اطلاعاتی هرچه بیشتر در مورد شبکه میآ‌پردازند. دستهآ‌ی مهمی از این اطلاعات کدهای کاربری و کلمات عبور نرمآ‌افزارهای مختلفی است که بهآ‌صورت رمزنشده بر روی شبکه در حال انتقال هستند. یک نفوذگر، با تحلیل ترافیک، ابتدا به نوع نرمآ‌افزارهای فعال بر روی شبکه پیآ‌برده و سپس در پی شناخت بیشآ‌تر یک نرمآ‌افزار نمونه و تشخیص حفرهآ‌های امنیتی موجود در آن، به فیلترکردن بستهآ‌های مختص آن نرمآ‌افزار پرداخته و سعی در گردآوری اطلاعات بیشآ‌تر در مورد آن میآ‌کند. با به دست آوردن اطلاعات مورد نظر، اقدامات بعدی برای حمله، توسط اطلاعات حیاتی به دست آمده، انجام میآ‌گیرد.
        استفاده از سوییچآ‌ها، علاوه بر بالابردن کارایی استفاده از سختآ‌افزار و بستر شبکه، به بالابردن امنیت موجود نیز کمک شایانی کرده و احتمال پایش ترافیک توسط نفوذگران، بر روی سیستمآ‌های متفرقهآ‌ی موجود بر روی شبکه را پایین میآ‌آورد. هرچند که باید به خاطر داشت که روشآ‌هایی نیز وجود دارد که میآ‌توان این امکان سوییچآ‌ها را غیرفعال کرد و یا سوییچ را مجبور ساخت که کلیهآ‌ی ترافیک را به یک درگاه خاص بفرستد. لذا استفاده از سوییچ تضمین قطعی جلوگیری از پایش ناخواستهآ‌ی ترافیک نیست.

        هدف دیگری که میآ‌توان برای استفاده از Snifferها متصور بود امکان تشخیص تلاشآ‌های در حال انجام برای نفوذ است. تلاشآ‌هایی از قبیل حمله به آدرس یا درگاه خاص بر روی یک پروتکل خاص، و یا حمله به یک نرمآ‌افزار خاص، توسط یک تحلیلآ‌گر شبکهآ‌ی ماهر و با استفاده از یک Sniffer، قابل تشخیص است. با در نظر گرفتن این هدف، از Snifferها میآ‌توان بر روی یک سیستم منفرد، به منظور پایش ارتباطات انجام گرفته با سیستم، و تشخیص حملات احتمالی در حال انجام، استفاده کرد، هرچند که در این قبیل موارد استفاده از دیوارهای آتش، حتی انواع شخصی آن، کمک شایانی به کاربر میآ‌کنند.

        با توجه به آنآ‌چه بهآ‌صورت پراکنده در خلال متن گفته شد، راهآ‌های مقابله با Snifferها را میآ‌توان به سه دسته تقسیم نمود :
        -استفاده از ابزارهای رمزنگاری دادهآ‌ها

        -استفاده از سوییچ در شبکه به جای Hub

        -استفاده از ابزارهای ضد Sniff که امکان تشخیص رابطآ‌های شبکهآ‌یی که در حال Sniff قرار دارند را به وجود میآ‌آورد.

        ---
        این نرمآ‌افزار عملاً نسخهآ‌ی تحت سیستمآ‌هایآ‌عامل سری Windows ابزار tcpdump است. tcpdump که نرمآ‌افزاری قدیمی و متداول تحت سیستمآ‌عامل خانوادهآ‌ی Unix میآ‌باشد، جزو اولین و سادهآ‌ترین Snifferها است.

        دریافت و نصب نرمآ‌افزار:
        برای دسترسی به این نرمآ‌افزار و دریافت آن میآ‌توانید به آدرس http://windump.polito.it مراجعه کنید. این نرمآ‌افزار از کتابخانهآ‌یی سازگار با libpcab استفاده میآ‌کند که نگارش تحت Windows آن به WinPcap موسوم است. این نرمآ‌افزار را میآ‌توانید از همان سایت دریافت کنید. پس از نصب آخرین نگارش WinPcap، نرم افزار WinDump عملیاتی می شود. نکتهآ‌یی که باید بهآ‌خاطر داشته باشید این است که برای آنکه این نرمآ‌افزار تمامی و یا اغلب بستهآ‌های در حال انتقال بر روی شبکه را شناسایی و دریافت کند، باید از آخرین نگارش آن استفاده کنید، هرچند که این نرمآ‌افزار مدتآ‌هاآ‌ست که به روز نشده، با این وجود اگر بهآ‌طریقی نگارشی دیگر و قدیمی از این نرمآ‌افزار را به دست آوردید، برای کارایی بهتر، نسخهآ‌ی جدیدتر را دریافت کنید.

        قابلیتآ‌های WinDump:
        محیط استفاده از این نرمآ‌افزار، محیطی ساده و متنی است. در واقع وجود این محیط بهآ‌منظور سادگی بیشتر و تشابه هرچه بیشآ‌تر آن با نرم افزار tcpdump است. با وجود این سادگی، WinDump دارای قابلیتآ‌های متنوعی است.
        پس از اجرای این نرمآ‌افزار، با تعیین رابط شبکهآ‌یی که WinDump میآ‌باید بهآ‌دریافت بستهآ‌های رد و بدل شده بر روی شبکهآ‌ی مرتبط با رابط مورد نظر بپردازد، این نرمآ‌افزار، Header تمامی بستهآ‌های دریافت شده را بر روی صفحهآ‌ی نمایش داده و زمان و تاریخ هریک را نیز نشان میآ‌دهد.

        شناسایی و تعیین پروتکلآ‌ها:
        WinDump، بسیاری از پروتکلآ‌ها را شناسایی میآ‌کند و در این صورت نام پروتکل مورد نظر را بر روی صفحه نشان میآ‌دهد. با این وجود این امکان وجود دارد که تنها پروتکلی خاص برای تحلیل و شناسایی مورد نظر قرار گیرد و WinDump تنها بستهآ‌های پروتکل تعیین شده را در گزارش نشان دهد.
        از سوی دیگر، این نرمآ‌افزار امکان شناسایی بستهآ‌هایی با انواع خاص، مانند بستهآ‌هایی متعلق به VLANهای تعریف شده بر روی شبکه، یا بستهآ‌های متعلق به ارتباطات VPN را دارد. در مورد بستهآ‌های متعلق به VPN، امکان رمزگشایی آنها با تعیین الگوریتم رمزنگاری و تعیین کلید مربوطه نیز وجود دارد.

        تعیین مبدأ و مقصد خاص:
        در صورت نیاز، با استفاده از کلیدآ‌هایی، میآ‌توان بستهآ‌هایی را مشاهده کرد که از مبدأ(هایی) به مقصد(هایی) خاص در حال گذر هستند.

        خروجیآ‌های مختلف:
        این نرمآ‌افزار، بر اساس پروتکلآ‌های مختلف خروجیآ‌های مختلفی را نشان میآ‌دهد. بهآ‌عبارت دیگر، برای هر بسته، بر اساس اینکه متعلق به چه نوع پروتکلی است، نوع خروجی، یا خط گزارش مورد نظر، مستقل از زمان و تاریخ دریافت بسته، متفاوت است. هرچند که برای اکثر آنها، نام یا آدرس و شمارهآ‌ی پورت مورد نظر بسته، نمایش داده میآ‌شود.
        در صورت نیاز و به منظور بالاتر رفتن سرعت پردازش WinDump، میآ‌توان قابلیت استخراج اسامی سیستمآ‌ها در قالب مبدأ و مقصد را، حذف نمود و تنها به مشاهدهآ‌ی آدرس اکتفا کرد. در این صورت، تأخیری که صرف به دست آوردن نام سیستم مبدأ یا مقصد میآ‌شود از بین میآ‌رود.

        فیلترهای متنوع خروجی:
        یکی از قابلیتآ‌های خاص این نرمآ‌افزار، امکان استفاده از فیلترهای مختلف برای تعیین خروجی و بررسی بستهآ‌های ویژه است. برای تعیین نوع گزارش، میآ‌توان پارامترهای مختلفی را تعیین نمود که بر اساس آنها، WinDump گزارش بستهآ‌های خاصی را نمایش میآ‌دهد و بستهآ‌های دیگر را نادیده می گیرد.
        نمونهآ‌یی از این فیلترها، فیلتر اندازهآ‌ی بسته و یا نوع بسته در قالب یک پروتکل واحد است. به عبارت دیگر، توسط این فیلترها، میآ‌توان بستهآ‌هایی با اندازهآ‌هایی خاص را مورد نظر قرار داد و یا برای مثال میآ‌توان بستهآ‌های خاصی از پروتکل TCP را بررسی کرد و دیگر بستهآ‌ها را نادیده گرفت.
        برای تعیین فیلترها، علاوه بر عباراتی که بهآ‌صورت پیشآ‌فرض در این نرمآ‌افزار قابل دسترسی هستند، عباراتی جدید را نیز با ترکیب عبارات ساده میآ‌توان بهآ‌دست آورد. عبارات پایه، برای تعیین پارامترهای ابتدایی مانند مبدأ، مقصد، پورت، پروتکل و دیگر پارامترها هستند.

        ذخیرهآ‌ی گزارش:
        این نرمآ‌افزار قابیلت ذخیرهآ‌ی گزارش مورد نظر به صورت یک پرونده را نیز دارد. پرونده بهآ‌صورت خام و پردازش نشده ذخیره میآ‌شود و برای پردازش بر روی آن، میآ‌توان از همین نرمآ‌افزار، با تعیین از پارامتری خاص، استفاده نمود که در آن صورت عملاً گزارش اولیه تولید میآ‌شود.
        با توجه به قابلیتآ‌هایی که در مورد این نرمآ‌افزار، بهآ‌اختصار، مورد اشاره قرار گرفت، این ابزار را میآ‌توان ابزاری قوی برای کاربرانی که به ابزار متداول و قدیمی tcpdump عادت داشتهآ‌اند دانست. با این وجود از آنجاکه روش کار با آن برای کاربران عادی، به دلیل نبود رابط کاربری گرافیکی مناسب، کمی خسته کننده است، میآ‌توان از Snifferهای دیگری همچون نرمآ‌افزار Ethereal استفاده کرد، که با استفاده از رابط کاربری آنها، تحلیل و تعیین روش کار بهآ‌راحتی صورت گرفته، و خروجی تولید شده خوانایی بیشآ‌تری دارد.
        نکتهآ‌یی که علاوه بر ذکر در بخش اول در اینآ‌جا نیز مجدداً بر روی آن تأکید میآ‌کنیم این است که تقریباً در تمامی موارد، Snifferها تنها در شرایطی کاربرد دارند که در شبکهآ‌ی مورد نظر از سوییچ استفاده نشده باشد یا در صورت استفاده از سوییچ، درگاهی خاص برای تحلیل تمامی ترافیک در حال پردازش توسط سوییچ بر روی درگاهآ‌های دیگر، قابل تعریف باشد.

        دیدگاه


          #5
          Ethereal

          Ethereal ابزاری کد-باز و رایگان است، که آنآ‌را میآ‌توان در دستهآ‌ی Snifferها جای داد. این نرمآ‌افزار با توجه به ویژگیآ‌هایش، یکی از متداولآ‌ترین ابزارهای آنالیز ترافیک شبکه است، هرچند که در حال حاضر، با وجود گذشت زمان نسبتاً زیادی از معرفی آن، هنوز در مرحلهآ‌ی تست قرار داشته و در زمان نگارش این مطلب آخرین نگارش آن نگارش 0.10.4 است که از پایآ‌گاه www.ethereal.com قابل دریافت است. لازم به ذکر است که سورس این نرمآ‌افزار را نیز میآ‌توانید از همین آدرس دریافت کنید.
          این نرمآ‌افزار نیز مانند WinDump، پس از نصب، از کتابخانهآ‌ی Winpcap برای دریافت اطلاعات بستهآ‌ها استفاده میآ‌کند، لذا پیش از نصب Ethereal، آخرین نسخهآ‌ی نرمآ‌افزار Winpcap را نصب کنید. همانآ‌طور که گفته شد این بسته امکان دریافت بستهآ‌ها و استخراج اطلاعات از آنآ‌ها را، تحت سیستمآ‌عامل Windows، فراهم میآ‌کند.
          اگر برای اولین بار است که قصد نصب و کار با این دسته از نرمآ‌افزارها (Snifferها) را دارید، پیشآ‌نهاد میآ‌کنیم ابتدا قسمت اول مقالهآ‌ی مربوط به WinDump را، که به مقدمهآ‌یی در باب Snifferها پرداخته است، مطالعه کنید.

          Ethereal، به عنوان نمونهآ‌یی از یک Sniffer، وظیفهآ‌ی ثبت رخدادها، اطلاعات و بستهآ‌های رد و بدل شده بر روی لایهآ‌هاآ‌ی شبکه را بر عهده دارد. با ثبت دادهآ‌های در حال انتقال بر روی شبکه و تجزیهآ‌ی آنها، میآ‌توان بستهآ‌های اطلاعاتی مربوط به پروتکلآ‌های متفاوت را از یکدیگر تفکیک نمود و ارتباطات مجزا را شناسایی نمود. همانآ‌گونه که در معرفی این دسته از نرمآ‌افزارها گفته شد، این قبیل تحلیلآ‌ها، میآ‌توانند به شناسایی ارتباطات خطرناک، تلاشآ‌های پیاپی برای دستآ‌یابی به منابع شبکه و نفوذ به آن و یا از کار انداختن نرمآ‌افزارها و سختآ‌افزارها فعال بر روی شبکه، بیانجامد. با این وجود از آنجاکه خروجی اینآ‌ دسته از نرمآ‌افزارها به حدی پیچیدهآ‌اند که کاربران عادی قادر به تحلیل آنها نیستند، لذا اینآ‌گونه نتیجهآ‌گیریآ‌ها و تحلیلآ‌ها عموماً توسط متخصصین شبکه انجام میآ‌پذیرد.

          نرمآ‌افزار Ethereal بر روی سه بستر اصلی Windows، Linux و Solrais ارایه میآ‌شود که نسخهآ‌یی که ما بررسی میآ‌کنیم، نسخهآ‌ی تحت Windows آن است

          تواناییآ‌های این دسته از ابزارها را عموماً میآ‌توان به بخشآ‌های زیر تقسیم کرد :
          - انواع پروتکلآ‌ها و انواع رابطآ‌های شبکهآ‌یی که توسط ابزار شناسایی شده و تفکیک میآ‌گردند.
          - روشآ‌ها و قالبآ‌های ذخیرهآ‌سازی خروجی برداشت و تحلیل اطلاعات شبکه
          - امکان بازخوانی اطلاعات ذخیره شده توسط نرمآ‌افزارهای Sniffer مشابه دیگر
          - امکان استفاده از فلیتر برای پروتکلآ‌های مختلف
          - قابلیت نصب بر روی محیطآ‌ها و سیستمآ‌های عامل متنوع

          البته سادهآ‌گی کار با نرمآ‌افزار، به عنوان قابلیتآ‌های ویژهآ‌ی رابط کاربری، نیز یکی دیگر از قابلیتآ‌هایی است که اغلب برای کاربران نیمهآ‌حرفهآ‌یی و مبتدی اهمیت ویژهآ‌یی دارد.

          قابلیتآ‌های خاص Ethereal را، با توجه به تقسیمآ‌بندی فوق، میآ‌توان به شرح دستهآ‌بندی نمود :

          - شناسایی پروتکلآ‌ها و رابطآ‌آ‌های شبکهآ‌ی متنوع:
          این نرمآ‌افزار قابلیت شناسایی حدود ۵۰۰ نوع پروتکل مجزا را دارد. تنوع این پروتکلآ‌ها به این نرمآ‌افزار قدرتی ویژه بخشیده است.
          از باب ارتباطات نیز این نرمآ‌افزار قابلیت دریافت اطلاعات بستهآ‌های فعال ارتباطات Ethernet، FDDI، Token-Ring، IEEE 802.11، IP over ATM و رابطآ‌های loopback را دارد.

          - ذخیرهآ‌سازی اطلاعات:
          Ethereal با ایجاد فایلآ‌های خروجی قابل ویرایش در قالبآ‌های lippcap(tcpdump)، Sun snoop، Microsoft Network Monitor و Network Associate Sniffer از نظر ذخیرهآ‌سازی اطلاعات نیز ابزاری قدرتآ‌مند محسوب میآ‌شود.
          - سازگاری با خروجی نرمآ‌افزارها و سیستمآ‌های دیگر

          Ethereal قابلیت بازخوانی پروندهآ‌های اطلاعاتی نرمآ‌افزارهای مشابه دیگری همچون TCPDump، NAI’s Sniffer & Sniffer Pro، NetXray، MS Network Monitor، Novell LANanalyser، Cisco Secure IDS iplog و غیره را دارد.

          - فیلترها:
          این ابزار، با محدود سازی روش دریافت و تحلیل اطلاعات جمعآ‌آوری شده از بستهآ‌ها، در بسیاری از حالات امکان استفاده از فیلترهای پرقدرتی را به کاربر میآ‌دهد. در عین حال با استفاده از این فیلترهای میآ‌توان به جستآ‌وجوی بستهآ‌ها در میان اطلاعات ذخیره شده نیز پرداخت.

          - قابلیتآ‌ها رابط کاربری:
          رنگآ‌های متنوع برای تغییر روش نمایش اطلاعات بسته به فیلتر انتخاب شده، منوهای متنوع و دیگر امکانات رابط کاربری، که بیشتر در بخشآ‌ها آتی در حین معرفی چگونگی استفاده از این نرمآ‌افزار به آنها اشاره خواهیم کرد، به تحلیل و شناسایی بستهآ‌ها کمک شایانی میآ‌کند. همانآ‌طور که ذکر شد، این قابلیت جذابیت ویژهآ‌یی برای کاربران مبتدی و نیمهآ‌حرفهآ‌یی دارد.
          ---
          بررسی قابلیتآ‌های این نرمآ‌افزار بر اساس جنبهآ‌های مختلف و متنوعی صورت گرفت که در مورد این دسته از ابزارها مد نظر قرار میآ‌گیرد.
          شکل زیر، رابط کاربری این نرمآ‌افزار پیش از شروع عملیات را نشان میآ‌دهد :

          همانآ‌گونه که مشاهده میآ‌کنید، رابط کاربری این نرمآ‌افزار بسیار شبیه به رابطآ‌های گرافیکی متداول سیستمآ‌های عامل Linux است، محیطآ‌هایی همچون KDE و GNOME.
          در منوی فایل، میآ‌توان خروجی عملیات انجام شده را در قالبآ‌های مختلف درون فایل ذخیره کرد یا فایلآ‌های ذخیره شده در قالبآ‌های مختلف، ایجاد شده توسط نرمآ‌افزارهای گوناگون، را باز کرد و تحلیل نمود
          شروع عمکرد این نرمآ‌افزار با استفاده از منوی Capture صورت میآ‌گیرد. شکل زیر صفحهآ‌ی مربوط به این منو را نشان میآ‌دهد :

          در قسمت بالا، رابط شبکهآ‌یی که عملیات دریافت بستهآ‌ها بر روی آن انجام میآ‌گیرد مشخص میآ‌شود. این رابط شبکه میآ‌تواند به ارتباط مودم ما با اینترنت نیز اشاره کند. به عبارت دیگر توسط چنین نرمآ‌افزارهایی، میآ‌توان به بررسی وضعیت ارسال و دریافت بستهآ‌ها و تحلیل آنآ‌ها در ارتباطات میان مودمآ‌ها و ارایهآ‌کنندآ‌هآ‌گان سرویس اینترنت نیز پرداخت. خروجی این عملیات میآ‌تواند اطلاعات مفیدی از حملات احتمالی در حال انجام به سیستم ما را نشان دهد.
          قسمتآ‌های دیگر این صفحه شامل تعیین نام فایلی که بستهآ‌های دریافت شده در آنآ‌ها قرار میآ‌گیرد و همچنین شرایط که در صورت حصول آنآ‌ها عمل Capture خاتمه میآ‌پذیرد. سمت راست این صفحه نیز یکی از ویژهآ‌گیآ‌های مهم عمل Capture را تعیین میآ‌کند که تعیین نام مترادف آدرسآ‌ها در شبکه است. این عمل، ضمن آنآ‌که اطلاعات جامع و مفیدی را در اختیار ما قرار میآ‌دهد، عمل دریافت و جمعآ‌آوری بستهآ‌ها را کند میآ‌کند.
          شکل زیر، وضعیت پس از آغاز عملیات Capture را نشان میآ‌دهد. رابط شبکهآ‌ی مورد استفاده، ارتباط PPP برقرار شده است :

          همانآ‌گونه که در شکل نیز مشخص است، انواع پروتکلآ‌ها در خروجی مورد نظر دستهآ‌بندی شدهآ‌اند و در مقابل نام آنها تعداد دریافت شده از آن پروتکل درج میآ‌شود.
          پس از قطع عمل Capture، فهرستی از بستهآ‌های دریافت شده در پنجرهآ‌ی اصلی نمایش داده میآ‌شود :

          بستهآ‌های دریافت شده، به ترتیب و بر اساس زمان دریافت مرتب شدهآ‌اند. این فهرست شامل شمارهآ‌ی بسته، زمان دریافت/ارسال آن، آدرسآ‌های مبدأ و مقصد و نوع بسته نمایش داده شده است. در قسمت پایینآ‌تر، نوع بسته و اطلاعاتی که از ابتدای بسته استخراج شدهآ‌اند، مانند مبدأ و مقصد، پورت و دیگر اطلاعات درج میآ‌شود و در قسمت پایین پنجرهآ‌ی اصلی محتوای خام بسته نمایش داده شده است.
          خروجی به دست آمده را میآ‌توان با تعیین قالب مورد نظر برای دسترسیآ‌های آتی ذخیره نمود. شکل زیر صفحهآ‌یی که در آن امکان ذخیره سازی پرونده با تعیین قالب مورد نظر وجود دارد را نشان میآ‌دهد :

          شکل بالا، تعدادی از قالبآ‌های قابل استفاده برای ذخیرهآ‌ی پرونده توسط این نرمآ‌افزار را نشان میآ‌دهد. انواع این قالبآ‌ها در بخش اول از بررسی این نرمآ‌افزار معرفی شدهآ‌اند.

          دیدگاه


            #6
            پاسخ : نرم افزارهای تست امنیت در شبکه های کامپیوتری

            به معرفی امکان استفاده از Filterهای این نرمآ‌افزار، و چگونهآ‌گی انجام تحلیل بر اساس خروجیآ‌های بهآ‌دست آمده میآ‌پردازیم.
            در این نرمآ‌افزار، عملاً سه نوع فیلتر قابل تعریف است :
            -فیلترهای Capture
            -فیلترهای نمایش
            -فیلترهای رنگی

            برای استفاده از فیلترهای Capture، در منوی Capture، گزینهآ‌ی Capture Filters را انتخاب میآ‌کنیم. پنجرهآ‌یی به شکل زیر باز میآ‌شود :

            با انتخاب گزینهآ‌ی New، فیلتر جدیدی تعریف میآ‌کنیم. این نرمآ‌افزار برای تعریف فیلتر رابط کاربری بهآ‌صورت گرافیکی ندارد، لذا با استفاده از گزینهآ‌ی Help در پایین همین پنجره، میآ‌توان از روش تعریف فیلترها بهآ‌صورت متنی گاه شد. در این مثال، فیلتری به نام Simple تعریف میآ‌کنیم که توسط آن، Ethereal تنها به دریافت بستهآ‌هایی مبادرت میآ‌کند که آدرس فرستنده آن 192.168.0.1 باشد. فیلتر را ذخیره میآ‌کنیم پنجره را میآ‌بندیم. اکنون عمل Capture را آغاز میآ‌کنیم :

            همانآ‌گونه در شکل بالا مشخص است، در قسمت Capture Filters میآ‌توان فیلتری را تعریف کرد و یا از فیلترهای تعریف شدهآ‌ی پیشین استفاده کرد. پس از انجام عمل Capture، Ethereal تنها بستهآ‌هایی را دریافت خواهد کرد که آدرس مبدأ آنها 192.168.0.1 باشد.
            برای استفاده از فیلترهای نمایشی، میآ‌توان از خروجیآ‌های پیشین و عملیات Capture قبلی استفاده کرد. به این منظور یکی از پروندهآ‌های قبلی را باز میآ‌کنیم :

            این پرونده بهآ‌عنوان نمونهآ‌یی از عمل دریافت بستهآ‌ها تهیه شده است. پس از باز کردن این پرونده، بستهآ‌های موجود در آخرین عمل دریافت، در پنجرهآ‌ی اصلی ظاهر خواهند شد :

            طبیعیآ‌ست که برای دستهآ‌بندی بستهآ‌ها بر اساس یکی از پارامترهای زمان دریافت، آدرس مبدأ یا مقصد و نوع پروتکل میآ‌توان به کلیک کردن بر روی برچسب هریک از ستونآ‌ها، اطلاعات را بر حسب آن ستون مرتبآ‌کرد. عمل تعریف فیلتر و اعمال آن بر روی اطلاعات، متفاوت از این مرتبآ‌سازی است. به بیان دیگر، با استفاده از فیلتر میآ‌توان شروط پیچیدهآ‌تری برای مشاهدهآ‌ی بستهآ‌ها تعریف کرد.
            اکنون میآ‌خواهیم با استفاده از تعریف فیلترها نمایش در این نرمآ‌افزار، بستهآ‌های مورد نظر خود را جدا کنیم. برای اینآ‌کار میآ‌توان فیلتر را مستقیماً در قسمت Filter، پایین Toolbar اصلی، در پنجرهآ‌ی اصلی تعریف کرد :

            همانآ‌گونه که مشاهده میآ‌کنید، در این محل، برای تعریف فیلتری که تنها بستهآ‌هایی با مبدأ 192.168.0.1 را نمایش دهد از نوع دیگری از تعریف فیلتر استفاده میآ‌کنیم. به بیان دیگر، زبان تعریف فیلتر برای دو نوع Capture و نمایش (Analyze) با یکدیگر متفاوت است. با مراجعه به سایت این نرمآ‌افزار، میآ‌توانید با هر دو زبان آشنا شوید.
            روش دیگر استفاده از فیلترهای نمایش استفاده از منوی Analyze و انتخاب Display Filters در این منو است. با این انتخاب پنجرهآ‌ای مشابه پنجرهآ‌ی Capture Filters نمایش داده میآ‌شود :

            در مثال بالا، مجدداً فیلتری، از نوع نمایشی، با نام Simple تعریف کردهآ‌ایم که زبان تعریف آن همان زبان فیلترهای نمایش است. با فشار دکمهآ‌ی Apply، فیلتر مورد نظر اعمال میآ‌شود و شکل پنجرهآ‌ی اصلی تنها بستهآ‌های با آدرس مبدأ 192.168.0.1 را نمایش میآ‌دهد. باید توجه داشت که بقیهآ‌ی بستهآ‌ها در این مرحله از میان نمیآ‌روند و استفاده از فیلترها تنها نمایش را به بازهآ‌ی مورد درخواست کاربر محدود میآ‌کند.
            از دیگر قابلیتآ‌های مفید این نرمآ‌افزار، فیلترهای رنگی آن است. این فیلترها را میآ‌توان در منوی View با انتخاب Coloring Rules تعریف کرد. زبان و روش تعریف این فیلترها مشابه فیلترهای نمایش است. شکل زیر پنجرهآ‌ی اصلی را پس از تعیین فیلتر رنگی ip.src=192.168.0.1 و تغییر رنگ بستهآ‌هایی که آدرس مبدأ آنها 192.168.0.1 است، نشان میآ‌دهد :

            طبیعی است که میآ‌توان از چند فیلتر رنگی بهآ‌طور همآ‌زمان استفاده کرد.
            با توجه به سه قسمت ارایه شده در باب معرفی این نرمآ‌افزار که حاکی از قابلیتآ‌ها متنوع آن است، Ethereal را میآ‌توان به جرأت قدرتآ‌مندترین نرمآ‌افزار از سری ابزارهای Sniffer به حساب آورد. لازم به ذکر است که این ابزار امکانات دیگری نیز دارد که با مراجعه به منوهای Analyze و Statistics میآ‌توانید از آنآ‌ها استفاده کنید.

            دیدگاه


              #7
              SuperScan، تعیین میزان آسیبآ‌پذیری

              یکی از اولین قدم ها برای تعیین میزان آسیبآ‌پذیری یک سیستم رایانهآ‌یی، استفاده از ابزارها و روشآ‌هایی است که به ما امکان می دهد خود به بررسی وضعیت امنیتی سیستم، از دید یک کاربر بیرونی، و در برخی شرایط از دید یک نفوذگر به شبکه و سیستمآ‌های رایانهآ‌یی، بپردازیم. به عبارت دیگر، چنانچه امکان بررسی وضعیت امنیتی سیستم مان، با چنین روشآ‌هایی وجود داشته باشد، چارهآ‌اندیشی برای مقابله با شرایط خطیر و برطرف نمودن ضعفآ‌های سیستم، آسان میآ‌شود.
              در معرفی ابزارهای گوناگون در این بخش، جدا از معرفی ابزارهایی که بهآ‌محافظت در برابر حملات احتمالی به سیستمآ‌مان به ما یاری میآ‌رسانند، تاکنون نرمآ‌افزارهایی را نیز معرفی کردهآ‌ایم که امکان بررسی وضعیت امنیتی سیستم مورد نظر را فراهم میآ‌کنند. در این دسته از نرمآ‌افزارها، پویشآ‌گرهای امنیتی، به عنوان راهآ‌کارهای جامعی که به کلیهآ‌ی ابعاد امنیتی یک سیستم میآ‌پردازند جایآ‌گاهی ویژه دارند. همانآ‌گونه که در مرورهای پیشین مشاهده کردهآ‌اید، هدف از استفاده از این پویشآ‌گرها، مجتمعآ‌سازی امکان بررسی امنیتی یک سیستم، بدون نیاز به استفاده از چند ابزار همآ‌زمان است. در پویشآ‌گرهای امنیتی، وضعیت امنیتی سیستم از ابعاد مختلفی همچون پویش سیستمآ‌های موجود بر روی شبکه، تعیین سیستمآ‌هایآ‌عامل موجود، وضعیت اصلاحیهآ‌های امنیتی، وضعیت درگاهآ‌های باز و غیره بررسی میآ‌گردد.
              با وجود امکان استفاده از این دسته از پویشآ‌گرها امنیتی، در مواردی که تنها به پویش وضعیت امنیتی یک سیستم، از جنبهآ‌یی خاص، داریم، میآ‌توانیم تنها از دستهآ‌یی از نرمآ‌افزارها استفاده کنیم که بررسی امنیتی را به ابعادی خاص محدود میآ‌کنند. برای مثال یک پویشآ‌گر درگاه (که در این متن قصد معرفی یکی از متداولآ‌ترین نرمآ‌افزارهای این دسته ابزارها را داریم)، تنها به بررسی بازبودن درگاهآ‌های یک سیستم میآ‌پردازد.
              پویشآ‌گرهای درگاه، بهآ‌همراه پویشآ‌گرهای آدرس، دو دسته ابزاری هستند که اغلب توسط نفوذگران، برای بررسی اولیهآ‌ی وضعیت سیستم مورد نظر استفاده میآ‌گردند. از آنآ‌جایی که ارتباطات مبتنی بر پروتکل TCP/IP بر اساس شمارهآ‌ی درگاه TCP/UDP مورد نظر انجام میآ‌گیرد، لذا هر درگاه عملاً نمایندهآ‌ی نرمآ‌افزار خاصی است. برای مثال درگاه استاندارد Web Serverها درگاه شمارهآ‌ی 80 است، لذا در صورتی که نفوذگر از باز بودن این درگاه مطلع شود، میآ‌تواند نوع Web Server را نیز مشخص کرده و با اطلاعاتی که در مورد ضعفآ‌های امنیتی آن دارد به حمله از طریق این درگاه مبادرت نماید. روند کار در مورد دیگر درگاهآ‌ها نیز مشابه است.
              با توجه به اهمیتی که درگاهآ‌های باز روی سیستم در بالا رفتن خطر حملات دارند، یکی از قدمآ‌های اولیه برای تعیین میزان امنیت کنونی سیستم، اطلاع یافتن از درگاهآ‌های باز است. همانآ‌گونه که گفته شد، این نوع پویش قسمتی از وظایف پویشآ‌گرهای امنیت است و در صورت استفاده از آنها میآ‌توان برای اطلاع یافتن از وضعیت درگاهآ‌های باز، به گزارشآ‌های حاصل از پویش جزئیآ‌ی این نرمآ‌افزارهای رجوع کرد.
              برای پویش درگاهآ‌های یک سیستم نرمآ‌افزارهای متعددی وجود دارند که نرمآ‌افزار SuperScan یکی از متداولآ‌ترین این ابزارهاست. این نرمآ‌افزار که محصول شرکت Foundstone است و امکان پویش آدرسآ‌های IP را نیز دارد، را میآ‌توانید به صورت رایگان از پایآ‌گاه این شرکت در آدرس www.foundstone.com دریافت کنید. نسخهآ‌یی که در این متن به آن پرداخته میآ‌شود، نگارش ۴ است.
              این نرمآ‌افزار که دارای حجم بسیار کمی است، تنها شامل یک فایل است و گزارشآ‌های خود را نیز در قالب HTML تولید می کند. شکل زیر صفحهآ‌ی اصلی این نرمآ‌افزار در ابتدای اجرا را نشان میآ‌دهد :

              در قسمت اول، امکان ورود اسم یا آدرس IP یا بازهآ‌یی از آدرسآ‌های IP وجود دارد. در شکل زیر بازهآ‌یی از IPها برای عمل پویش تعیین شدهآ‌اند :

              در قسمت دوم، امکان تعیین پارامتر برای تعیین نوع پویش وجود دارد. مقادیر پیش فرض در شکل زیر نمایش داده شدهآ‌اند :

              برای تعیین پارامترها، سه بخش مجزا وجود دارد که به عنوان سه وظیفهآ‌ی اصلی این ابزار است. در قسمت اول، امکان استفاده از این ابزار به عنوان یک پویشآ‌گر آدرس IP وجود دارد. در دو قسمت دیگر، پویش یا عدم پویش درگاهآ‌های پروتکلآ‌های TCP یا UDP و همچنین بازهآ‌ی درگاهآ‌های مورد نظر تعیین میآ‌گردد. بازهآ‌های تعیین شده بهآ‌صورت پیشآ‌فرض، اختصاص به درگاهآ‌های متداول و مورد استفاده دارد. در صورت نیاز میآ‌توان به این بازه از درگاهآ‌ها، شمارهآ‌های دیگری را نیز اضافه کرد. در قسمت درگاهآ‌های TCP/UDP، امکان تعیین درگاهی به عنوان درگاه مبدأ، به صورت ثابت، نیز وجود دارد.
              در هریک از این سه بخش، زمانی که ابزار منتظر پاسخ از سوی سیستم مورد نظر میآ‌ماند، بر حسب میلی ثانیه، تعیین میآ‌شود. البته باید بهآ‌خاطر داشت که این اعداد بهآ‌معنای فاصله میان بستهآ‌های ارسالی نیست. این عدد در بخش دیگری قابل تنظیم است.
              شکل زیر پنجرهآ‌ی بعدی، یعنی Scan Options، برای تعیین پارامترهای دیگر این ابزار را نشان میآ‌دهد :

              در این بخش امکان تعیین تعداد دفعاتی که پویش، چه برای آدرس و چه برای درگاه، انجام میآ‌گردد، وجود دارد. با تکرار پویش، نتایج دقت بیشتری میآ‌یابند، خصوصاً اگر در حال پویش بر روی شبکهآ‌یی با سرعت پایین هستیم.
              پارامتر مهم دیگر در این میان امکان Banner Grabbing است که برای سرویسآ‌هایی که اصطلاحاً Banner نشان میآ‌دهند، همچون Web Serverها و FTP Server، کاربرد دارد. معمولاً با استفاده از Banner، میآ‌توان از نوع و سازندهآ‌ی Server مورد نظر گاه شد.
              در قسمت سمت راست، سرعت پویش تعیین میآ‌گردد. این سرعت که با تعیین فاصلهآ‌ی میان بستهآ‌های تولیدی قابل تنظیم است، در صورتی که در حال پویش تعداد زیادی سیستم، بر روی شبکهآ‌یی گسترده با سرعتی قابل قبول هستیم، در کوتاه کردن زمان اجرای ابزار نقش بهآ‌سزایی دارد.

              در پنجرهآ‌ی زیر، بخش ابزارهای همراه با این نرمآ‌افزار را مشاهده میآ‌کنید :

              این نرمآ‌افزار، با در اختیار قراردادن ابزارهای کوچک و متداول، که در بررسی وضعیت شبکهآ‌ها استفاده میآ‌شود، عملاً امکانی مجتمع برای استفادهآ‌های متداول محسوب میآ‌گردد. در این بخش امکان به دست آوردن آدرس IP از نام، Ping کردن یک ایستگاه، استفاده از امکانات HTTP، بررسی مالکیت یک دامنهآ‌ی اینترنتی و حتی بررسی مالکیت یک آدرس IP نیز وجود دارد. شکل زیر مثالی از اجرای RIPE Whois IP برای یکی از آدرسآ‌های متعلق به شرکت مخابرات ایران را نشان می دهد. خروجی این ابزار، اطلاعات جامعی در مورد آدرس IPی مورد نظر و مالک آن است :

              از دیگر امکانات ویژهآ‌ی این نرمآ‌افزار، امکان بررسی سیستمآ‌های مبتنی بر Windows است. بررسیآ‌هایی که در این راستا انجام میآ‌گیرد تمامی ابعاد معمول یک سیستم را در بر میآ‌گیرد، از جمله نام NetBIOS، گروهآ‌ها و کاربران آن سیستم، دامنهآ‌های محلیآ‌یی که سیستم به آن متصل است، منابع به اشتراک گذارده شده و دیگر ابعاد.
              شکل زیر صفحهآ‌یی نمونه از اجرای آزمایشی این بررسی بر روی یک سیستم نمونه با آدرس IP محلی 192.168.0.4 را نشان میآ‌دهد :

              در سمت چپ این پنجره، امکان تعیین بررسیآ‌های ویژهآ‌یی که مد نظر است نیز امکانآ‌پذیر است. برای مثال می توان تنها به بررسی نام NetBIOS و یا تنها گروهآ‌ها و کاربران پرداخت.
              در همین قسمت، امکان تعیین پارامترهایی، مجزا از نوع عملآ‌کرد ابزار وجود دارد. با انتخاب گزینهآ‌ی Options، میآ‌توان آنآ‌ها را تعیین کرد :

              مهمآ‌ترین پارامتر قابل تعیین در این میان، تعیین نام کاربری است که برای بررسی یک سیستم مبتنی بر سیستم عامل خانوادهآ‌ی Windows بهآ‌کار میآ‌رود. بهآ‌عبارت دیگر با تعیین کاربری که اختیارات کاملی دارد، مانند Administrator، میآ‌توان تمامی اطلاعات مورد نظر دربارهآ‌ی سیستم راه دور را بهآ‌دست آورد. نکتهآ‌یی که در این میان اهمیت دارد این است که در اغلب موارد، بررسی انجام شده توسط کاربر Administrator یا کاربران دیگری که اختیار تام در سیستم مورد نظر دارند، هدف نیست. بهآ‌بیان دیگر هدف اصلی از استفاده از این امکان ویژه، بررسی امکان دسترسی به اطلاعات سیستم توسط یک کاربر نوعی بدون داشتن دسترسیآ‌های ویژه است. در واقع وجود امکان دسترسی به اطلاعات حیاتی در مورد سیستم، برای کاربران متفرقه است که امکان وجود خطر حملات به سیستم را بالا میآ‌برد و نه امکان دسترسی برای کابران در سطوح مدیریتی.
              امکان فوق را، با توجه به سبکی این نرمآ‌افزار از نظر حجمی، و سادهآ‌گی آن از نظر استفاده، میآ‌توان بهآ‌نوعی یک امکان پویش امنیتی بهآ‌حساب آورد. استفادهآ‌ی اغلب کاربران خانهآ‌گی از سیستمآ‌های عامل سری Windows نیز بهآ‌ اهمیت این امکان ویژه افزوده و آن را بیشآ‌تر به عنوان یک پویشآ‌گر امنیتی ساده مطرح میآ‌کند.

              دیدگاه

              لطفا صبر کنید...
              X