1 / 20

دانشگاه صنعتی بیرجند

دانشگاه صنعتی بیرجند. درس مبانی امنیّت شبکه های کامپیوتری. فصل پنجم - فایروال. قسمت دوّم. سیّد مهدی رضوی – 1387/08/20. ابزارهای لازم برای تست نفوذ و ارزیابی فایروال. Tracert / Tracerout Firewalking Hpinging پویش پورت های مبدأ(مبتنی بر UDP ) icmpenum ) ( ICMP Enumerating )

ranger
Download Presentation

دانشگاه صنعتی بیرجند

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. دانشگاه صنعتی بیرجند درس مبانی امنیّت شبکه های کامپیوتری فصل پنجم - فایروال قسمت دوّم سیّد مهدی رضوی – 1387/08/20

  2. ابزارهای لازم برای تست نفوذ و ارزیابی فایروال • Tracert/Tracerout • Firewalking • Hpinging • پویش پورت های مبدأ(مبتنی بر UDP) • icmpenum)(ICMP Enumerating) • Nmaping(Network mapping) • Ws_Ping Pro Pack

  3. Tracert/Tracerout فرامين فوق يكي از مجموعه ابزارهاي تست و اشكالزدايي شبكه مي باشد و مي توانند فهرستي از مسيريابهاي موجود(hope) بين ماشين مبدأ و ماشين مقصد را پيدا نموده و بر اساس نتيجه اجرا مجموعه مسير يابها، فايروالها و دروازه هائي كه ستون فقرات يك شبكه را تشكيل مي دهند، را مشخص نمود. نفوذگران غالباً از اين ابزار براي كشف توپولوژي شبكه مورد نظر استفاده نموده و با تحليل نتايج بدست آمده نقشه تقريبي شبكه را بدست مي آورند.

  4. استفاده از دستور Tracert جدول زير گرامر دستورtracertبه همراه عملکرد برخی از سوئيچ های متداول آن را نشان می دهد : گرامر دستورtracertدر ويندوز tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name نام host را به آدرس IP ترجمه نمی نمايد .-dحداکثر تعداد hop برای جستجوی مقصد را مشخص می نمايد . -h maximum_hopsمدت زمان انتظار برای دريافت پاسخ بر حسب ميلی ثانيه را مشخص می نمايد .-w timeout نحوه استفاده از دستورtracert : تايپ دستورC:\>tracertwww.google.com Tracing route to www.google.akadns.net [66.102.11.99] over a maximum of 30 hops: 1 180 ms 170 ms 191 ms x1.y1.z1.w1 2 201 ms 190 ms 190 ms x2.y2.z2.w23 201 ms 180 ms 190 ms x3.y3.z3.w3 4 * 217.218.96.253 reports: Destination net unreachable. Trace complete

  5. Firewalking هدف اصلي استفاده از اين ابزار شناسايي پورت هاي باز موجود در ابزارهاي فيلترينگ مي باشد كه با چك نمودن سيستم هاي فعالي كه در پشت فايروال قرار گرفته و شناسايي اينكه كدام پورت ها بر روي فايروال شبكه جهت عبور ترافيك باز گذاشته شده به بررّسي اينگونه ابزارها مي پردازد. دانستن اينكه چه پورت هايي در سيستم باز مانده هيچ سودي براي نفوذگر ندارد مگر اينكه نقطه ضعف پروسسي كه به آن شماره پورت مشخص گوش مي دهد را يافته و اقدامات لازم جهت نفوذ و حمله به آن انجام مي دهد.

  6. NAT(Network Address Translation) اينترنت با سرعتی باورنکردنی همچنان در حال گسترش است . تعداد کامپيوترهای ارائه دهنده اطلاعات ( خدمات ) و کاربران اينترنت روزانه تغيير و رشد می يابد. با اينکه نمی توان دقيقا" اندازه اينترنت را مشخص کرد ولی تقريبا" يکصد ميليون کامپيوتر ميزبان (Host) و 350 ميليون کاربر از اينترنت استفاده می نمايند. رشد اينترنت چه نوع ارتباطی باNetwork Address Translation) NAT ) دارد؟هر کامپيوتر بمنظور ارتباط با ساير کامپيوترها و سرويس دهندگان وب بر روی اينترنت، می بايست دارای يک آدرس IP باشد. IP يک عدد منحصر بفرد 32 بيتی بوده که کامپيوتر موجود در يک شبکه را مشخص می کند.

  7. NAT(Network Address Translation) اولين مرتبه ای که مسئله آدرس دهی توسط IP مطرح گرديد، کمتر کسی به اين فکر می افتاد که ممکن است خواسته ای مطرح شود که نتوان به آن يک آدرس را نسبت داد. با استفاده از سيستم آدرس دهی IP می توان 4.294.976.296 (232) آدرس را توليد کرد. ( بصورت تئوری ). تعداد واقعی آدرس های قابل استفاده کمتر از مقدار ( بين 3.2 ميليارد و 3.3 ميليارد ) فوق است . علت اين امر، تفکيک آدرس ها به کلاس ها و رزو بودن برخی آدرس ها برای multicasting ، تست و موارد خاص ديگر است .

  8. NAT(Network Address Translation) همزمان با انفجار اينترنت ( عموميت يافتن) و افزايش شبکه های کامپيوتری ، تعداد IP موجود، پاسخگوی نيازها نبود. منطقی ترين روش، طراحی مجدد سيستم آدرس دهی IP است تا امکان استفاده از آدرس های IP بيشَتری فراهم گردد. موضوع فوق در حال پياده سازی بوده و نسخه شماره شش IP ، راهکاری در اين زمينه است . چندين سال طول خواهد کشيد تا سيستم فوق پياده سازی گردد، چراکه می بايست تمامی زيرساخت های اينترنت تغيير واصلاح گردند. NAT با هدف کمک به مشکل فوق طراحی شده است . NAT به يک دستگاه اجازه می دهد که بصورت يک روتر عمل نمايد. در اين حالت NAT بعنوان يک آژانس بين اينترنت ( شبکه عمومی ) و يک شبکه محلی ( شبکه خصوصی ) رفتار نمايد. اين بدان معنی است که صرفا" يک IP منحصر بفرد بمنظور نمايش مجموعه ای از کامپيوترها( يک گروه ) مورد نياز خواهد بود. كم بودن تعداد IP صرفاً يكي از دلايل استفاده از NAT مي باشد.

  9. NAT(Network Address Translation) يک ISP ( مرکز ارائه دهنده خدمات اينترنت ) يک محدوده از آدرس های IP را برای شرکت شما در نظر می گيرد. آدرس های فوق ريجستر و منحصر بفرد خواهند بود . آدرس های فوق Inside global ناميده می شوند. آدرس های IP خصوصی و غيرريچستر شده به دو گروه عمده تقسيم می گردند : يک گروه کوچک که توسط NAT استفاده شده (Outside local address) و گروه بزرگتری که توسط حوزه محلی استفاده خواهند شد ( Inside local address) . آدرس های Outside local بمنظور ترجمه به آدرس های منحصربفرد IP استفاده می شوند.آدرس های منحصر بفرد فوق، outside global ناميده شده و اختصاص به دستگاههای موجود بر روی شبکه عمومی ( اينترنت) دارند. - اکثر کامپيوترهای موجود در حوزه داخلی با استفاده از آدرس های inside local با يکديگر ارتباط برقرار می نمايند. - برخی از کامپيوترهای موجود در حوزه داخلی که نيازمند ارتباط دائم با خارج از شبکه باشند ،از آدرس های inside global استفاده و بدين ترتيب نيازی به ترجمه نخواهند داشت . - زمانيکه کامپيوتر موجود در حوزه محلی که دارای يک آدرس inside local است، قصد ارتباط با خارج شبکه را داشته باشد بسته های اطلاعاتی وی در اختيار NAT قرار خواهد گرفت . - NAT جدول روتينگ خود را بررسی تا به اين اطمينان برسد که برای آدرس مقصد يک entry در اختيار دارد. در صورتيکه پاسخ مثبت باشد، NAT بسته اطلاعاتی مربوطه را ترجمه و يک entry برای آن ايجاد و آن را در جدول ترجمه آدرس (ATT) ثبت خواهد کرد. در صورتيکه پاسخ منفی باشد بسته اطلاعاتی دور انداخته خواهد شد. - با استفاده از يک آدرس inside global ، روتر بسته اطلاعاتی را به مقصد مورد نظر ارسال خواهد کرد. - کامپيوتر موجود در شبکه عمومی ( اينترنت )، يک بسته اطلاعاتی را برای شبکه خصوصی ارسال می دارد. آدرس مبداء بسته اطلاعاتی از نوع outside global است . آدرس مقصد يک آدرس inside global است . - NAT در جدول مربوطه به خود جستجو و آدرس مقصد را تشخيص و در ادامه آن را به کامپيوتر موجود در حوزه داخلی نسبت خواهد کرد. - NAT آدرس های inside global بسته اطلاعاتی را به آدرس های inside local ترجمه و آنها را برای کامپيوتر مقصد ارسال خواهد کرد.

  10. NAT(Network Address Translation)

  11. NAT(Network Address Translation)

  12. NAT(Network Address Translation)

  13. NAT & Security

  14. NAT(Network Address Translation) اغلب اوقاتNAT بگونه ای پيکربندی مي گردد که بتواند آدرس های غير ريجستر شده IP ( داخلی و محلی ) که بر روی شبکه خصوصی ( داخلی ) می باشند را به آدرس های IP ريجستر شده ترجمه نمايد.

  15. NAT & Proxy NATدربرخی موارد با سرويس دهندگان Proxy ، اشتباه در نظر گرفته می شود. NAT و Proxy دارای تفاوت های زيادی می باشند. NAT بی واسطه بين کامپيوترهای مبداء و مقصد قرار می گيرد. Proxy بصورت بی واسطه نبوده و پس از استقرار بين کامپيوترهای مبداء و مقصد تصور هر يک از کامپيوترهای فوق را تغيير خواهد داد. کامپيوتر مبداء می داند که درخواستی را از Proxy داشته و می بايست بمنظور انجام عمليات فوق ( درخواست ) پيکربندی گردد. کامپيوتر مقصد فکر می کند که سرويس دهنده Proxy بعنوان کامپيوتر مبداء می باشد. Proxy در لايه چهارم (Transport) و يا بالاتر مدل OSI ايفای وظيفه می نمايد در صورتيکه NAT در لايه سوم (Network) فعاليت می نمايد. Proxy ، بدليل فعاليت در لايه بالاتر در اغلب موارد از NAT کندتر است.

  16. NAT & Proxy در سیستم NAT ، موجودیتی که وظیفه NAT کردن را بر عهده دارد ، درخواست یا Request را می گیرد ، IP شما را با IP خودش عوض می کند و می فرستد . NAT زمانی به کار میرود که شما IP Invalid دارید و می خواهید از طریق IP Valid به اینترنت وصل شوید. در سیستم Proxy ، موجودیتی که این وظیفه را بر عهده می گیرد؛ درخواست را از شما می گیرد، بر طبق این درخواست، یک درخواست مشابه خودش Generate می کند و به سمت مقصد می فرستد . پس از دریافت جواب آن را برای شما می فرستد.در معنای واضح تر این سیستم نقش دلّال را ایفا می کند.

  17. NAT & Proxy بزرگترین ترین تفاوت این دو در این هست که ، برای proxy ما باید دستی port یک آدرس را سِت کنیم و عمل Translation به صورت Transparentانجام نمی شود. در ضمن شما می توانید هم با داشتن آی پیValid و هم بدون با داشتن آی پیValid عمل ترجمة آی پی را انجام دهید. ولی از NAT شما زمانی می توانید استفاده کنیدکه یک شبکه (LAN) با IP Invalid دارید و می خواهید که از IP Invalidاستفاده کنید . در این حالت عمل Translation به صورت کاملاً Transparent انجام می شود.

  18. Proxy Server

  19. Cache Server  Cache Server در حقيقت Proxy Server ای است که بتواند هنگام کارکردن کاربران، سايتهای بازديد شده توسط آنها را در خود نگهداري کرده و در صورتی که کاربر ديگری بخواهد همان سايتها را بازديد نمايد با سرعت بيشتر و صرفه جويی در پهنای باند پاسخ خود را ازطريقCache Server   دريافت کند. وجود Cache Server در شبکه می تواند تا 50 درصد در اندازه پهنای باند صرفه جويي کند و راندمان شبکه را بالا ببرد. در شرايط بهينه اين ميزان تا 60 درصد هم افزايش می يابد.

  20. Cache Server

More Related