اطلاعیه

Collapse
No announcement yet.

استفاده از یک سیستم به عنوان فایروال در شبکه

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • استفاده از یک سیستم به عنوان فایروال در شبکه

    با سلام و عرض ادب و خسته نباشید .

    ببینید ما یه سازمان دولتی داریم که چند تا سرور هم تو خودش داره که سایت ها و ساب دامین ها رو پشتیبانی میکنه یعنی سرور تو خوده سازمانه .

    حالا یه فایروال نرمافزاری مبتنی بر لینوکس و IPtable نوشتیم که جلو خیلی از حملات به وب سرور رو میگیره مثل حملات XSS , SQl injection و دیداس و . . .

    الان ایدمون اینه که یه سیستم بزاریم واسه این کار که فایروال رو هم روش نصب کنیم و کاری کنیم که اطلاعات هر کدوم از سرور ها از این فایروال بگزره که اگر حمله ای بود بتونه واکنش نشون بده .

    منطورم اینه که دیگه لازم نباشه روی تک تک سرور ها این فایروال رو نصب کنیم .


    حالا سوالم اینجاست که چطوری میشه همچین کاری انجام داد . یعنی کاری کرد که درخواست های ارسالی توسط کاربر اول به سیستمی که فایروال روش هست بره و بعد اگر مشکلی نداست و حمله ای نبود به رور اصلی بره و صفحه درخواست شده واسه کاربر باز بشه .


    ممنون میشم اگر اطلاعاتی دارید در اختیار اینجانب قرار بدید .

    با تشکر

  • #2
    حالا یه فایروال نرمافزاری مبتنی بر لینوکس و IPtable نوشتیم که جلو خیلی از حملات به وب سرور رو میگیره مثل حملات XSS , SQl injection و دیداس و . . .
    اینکه جلوی حملات مبتنی بر آسیب پذیری های تحت وب (حالا منظور ما کلاً Top 10 Owasp میتونه باشه) گرفته شه، بحث استفاده از Web Application Firewall هست و کلاً دیتا هایی که در لایه ی 7 رد و بدل میشه رو مورد پوشش قرار میده و میتونه عملیات گزارش و جلوگیری از Exploitation رو خودکار سازی کنه؛ که البته این مورد الان در WAF های متعارف و سلبریتی، شکل RegExp based و وابسته به Rule هایی که شما واسش تعریف میکنی پایه گذاری شده.
    پس با این تعاریف اینکه شما اومدی و فایروال نرم افزاری مبتنی بر IPTable لینوکس نوشتی رو میشه مثل CSF در نظر گرفت که میاد و روی سرویس های نصب شده و درخواست هایی که به این سرویس ها میشه مانیتورینگ اعمال کرد (که بیشتر استفادش واسه همون قضیه ی جلوگیری از اختلال در سرویس ها و Crashing هست)

    الان ایدمون اینه که یه سیستم بزاریم واسه این کار که فایروال رو هم روش نصب کنیم و کاری کنیم که اطلاعات هر کدوم از سرور ها از این فایروال بگزره که اگر حمله ای بود بتونه واکنش نشون بده
    شما بهترین کاری که میتونی انجام بدی (اگر قصدت فقط دیتاهای لایه ی 7 هست و صرفاً جلوگیری از حملات DoS) اینه که روی هرکدوم از سرور ها یک WAF متعارف مثل ModSec نصب کنی و بیای واسش Rule تعریف کنی (که الحمدلله فراوان خود owasp واسش owasp rule set رو بصورت رایگان قرار داده) و یک سری کانفیگ ها واسه گزارش دهی که خیلی راحت هم پیاده سازی میشه رو کاستُمایز کنی
    منطورم اینه که دیگه لازم نباشه روی تک تک سرور ها این فایروال رو نصب کنیم .
    اولاً اینکه نیازی نیست همچین موردی؛ اگرم واقعاً ضروری هست، میتونم دلیلش رو بدونم؟ فکر نمیکنم هیچ راهکار بهینه سازی از لحاظ استفاده از منابع رو بشه واسش تخصیص داد.
    تا کی بجای خود ما، نقاب ما حرف بزنه؟ تا کی سکوت و رج زدن، نقش نمایش منه؟

    Comment


    • #3
      سلام
      احتمالا شما وف نوشتی ...درسته ؟

      Comment


      • #4
        ممنون از دوستان

        میخواستم بدونم با Snort تا چه حد میشه رو حملات لایه 7 مانور داد (آسیب پذیری های تحت وب)

        اگر رول یا چیزی واسه نمونه دارید ممنون میشم معرفی کنید

        Comment


        • #5
          بله به نحوی waf هست با یه سری چیزای دیگه !

          حالا به نظر شما میشه من این waf رو روی یه سرور نصب کنم و کاری کنم که درخواست های ورودی سرور های دیگه از این سرور که waf روش نصب هست بگذره و اگر حمله ای بود دیتکت کنه و اگه نه که درخواست ها رو از خودش عبور بده .

          شاید سوال احمقانه ای به نظر بیاد

          Comment


          • #6
            میخواستم بدونم با Snort تا چه حد میشه رو حملات لایه 7 مانور داد (آسیب پذیری های تحت وب)
            !
            قبل از هرچیز بهتره در مورد "تفاوت بین IDS و IPS و WAF" ریسرچ و سرچ کنی کمی
            Snort یک پلتفرم و سیستم تشخیص و جلوگیری Realtime از حملات براساس آنالیز ساینِچِر های پکت های ورودی در شبکه و پروتکل های ران شده روی سرور هست.
            خب الان مثلاً میگی این همونیه که من میخوام!
            اما در حالیکه کار اصلی Snort مانور روی حملات مبتنی بر پروتکل هاست؛ بطور مثال عرض میکنم، شما یک وب سرور آپاچی ران کردید روی سرورتون، که در واقع آسیب پذیر به سرریز بافر هم هست. وقتی نفوذگر میاد و عملیات فازینگ و اکسپلویت آپاچی رو (که حالا میخواد ریموت باشه یا لوکال) انجام میده. اسنورت این وسط میاد محتوا و ساینچر های پکت های ورودی به پروتکل رو کاملاً پوشش میده و اگر سناریوی اکسپلویت یا فازینگی بود تشخیص میده و نهایتاً اگر کانفیگ شده باشه پروتکت میکنه (کار اصلی اسنورت بیشتر دیتکت هست)
            یا در حالت کلیِ دیگه وقتی تلقی بشه که Port Scanning داره روی IP شکل میگیره، با توجه به درخواست های متعدد حمله کننده روی پورت های مشخص (TCP , UDP و یا ...) میاد و آپشن های مشخص با این سری حملات و پویش ها رو Match میکنه با اون چیزی که شما براش تعریف کردی در قالب کانفیگ، رول و یا هر فیلم و سیانس دیگه ای


            اگر رول یا چیزی واسه نمونه دارید ممنون میشم معرفی کنید
            سعی کن بجای اینکه از کسی اینارو درخواست کنی، اول زیر و روی گوگل رو درآورده باشی؛ خب؟ هست. بگرد

            حالا به نظر شما میشه من این waf رو روی یه سرور نصب کنم و کاری کنم که درخواست های ورودی سرور های دیگه از این سرور که waf روش نصب هست بگذره و اگر حمله ای بود دیتکت کنه و اگه نه که درخواست ها رو از خودش عبور بده .
            خب چرا همچین کاری میخوای بکنی؟!!
            اولاً اینکه منطقی نیست و با عقل جور در نمیاد. چون وقتی پلتفرم رو روی یک سرویس نصب میکنی، از یک سرور دیگه نمیشه درخواست بدی به این سرویس که از یک پلتفرمش استفاده کنه!!
            باید روی هر سرور یک پلتفرم رو بر مبنای اون سرویس نصب کنی

            شاید سوال احمقانه ای به نظر بیاد
            دقیقاً

            خلاصه ی کلام اینکه شما همون ModSec رو نصب کن، Rule ها رو براساس نیازمندی و ژانر وبسایت ها از Owasp Rule Set انتخاب کن، واسش بذار. طوری نشه که بری همرو Ctrl + A و Ctrl + C و در نهایت Ctrl + V بزنی
            درخواست ها رو هم محدود کن و بر طبق تعداد/ زمان/ طول و ... مدیریت کن
            Last edited by Mr.M4st3r; 02-05-2014, 07:19 AM.
            تا کی بجای خود ما، نقاب ما حرف بزنه؟ تا کی سکوت و رج زدن، نقش نمایش منه؟

            Comment


            • #7
              اقا واقعا ممنون و متشکر که با حوصله پاسخ دادید !

              تا حدی گرفتم چی شد .

              ولی بازم مطالعه لازمه

              یا علی

              Comment

              Working...
              X