کنترل و محدود کردن پویش در شبکه

[secure_krnl]

به نام خدا

سلام

در این مقاله نحوه ی Block کردن بسته های ICMP روی سرور که در نهایت باعث جلوگیری از Ping شدن خود سرور و کلاینت هایی که به سرور متصل هستند میشه رو مورد برسی قرار خواهیم داد.خوب ممکن هست این سئوال برای شما مطرح بشه که این کار چه سودی داره؟ ببینید همونطور که میدونید اولین گام برای نفوذ به شبکه ،شناسایی شبکه ی هدف هست.به عنوان مثال اگر فردی قصد نفوذ به شبکه شما رو داشته باشه اولین چیزی که نیاز داره range IP شبکه ی شما خواهد بود تا کامپیوترهای فعال رو پیدا کنه و نقاط آسیب پذیرشون رو مورد هدف قرار بده.
خوب، range IP شبکه ی شما (مثلاً ISP) برای نفوذگر کاملاً مشخص هست چون range IP تمام شبکه هایی که با valid IP فعالیت دارند در مراکزی مثل "مرکز هماهنگی های RIPE" ثبت میشه و نفوذگر میتونه به راحتی بهشون دسترسی داشته باشه چون دسترسی به این اطلاعات برای عموم آزاد هست.بعد از بدست آوردن range IP نفوذگر بر روی یک چیز تمرکز میکنه و اون هم پیدا کردن کامپیوترهای فعال روی شبکه ی شما هست.برای اینکار برنامه های متعددی مثل NMAP نوشته شدن و این قابلیت رو دارن که با Ping Scan در عرض چند ثانیه با Ping کردن Range IP شبکه شما گزارش آدرسهای IP فعال بر روی شبکه رو به نفوذگر ارائه کنن،نمونه ای از یک Scan که با همین نرم افزار انجام شده رو در زیر میبینید :

Code:

D:\Tools\nmap>nmap -sP 192.168.1.*
Host 192.168.1.1 appears to be up.
Host AClient (192.168.1.2) appears to be up.
Nmap finished: 256 IP addresses (2 hosts up) scanned in 8.360 seconds

حالا به جواب سئوال رسیدیم،جلوگیری از Ping شدن شبکه میتونه راهی باشه برای کوتاه نگاه داشتن دست نفوذگر از پویش در شبکه.در ادامه نحوه ی جلوگیری از Ping شدن شبکه با تعریف یک Policy در IPSec رو با هم مرور میکنیم.
ابتدا در Run عبارت SecPol.msc رو تایپ و Enter کنید.با انجام این عمل پنجره ای مشابه شکل زیر رو مشاهده خواهید کرد.

قبل از انجام هر کاری بهتر هست هدفمون در این کنسول رو بدونیم.هدف ما ایجاد یک Policy یا "سیاست" هست که بر طبق این سیاست تمام ترافیک ICMP روی شبکه Block بشه.برای اینکار باید دو چیز برای IPSec مشخص باشه،اولی پروتکل ICMP و دومی مفهوم Block هست.خوشبختانه IPSec پروتکل ICMP رو به صورت پیش فرض به عنوان Filter داره و تنها چیزی که نیاز به تعریفش داریم یک Filter Action هست که مفهوم Block رو مشخص کنه.
برای تعریف مفهوم Block به صورت زیر بر روی IP Security Policies on Local Machine راست کلیک و گزینه ی Manage IP filter lists and filter actions رو انتخاب کنید.

حالا پنجره ای مقابل شما قرار گرفته که باید سربرگ دومش یعنی Manage Filter Actions رو انتخاب کنید.در این سربرگ بعد از حصول اطمینان از اینکه چک باکس Use AddWizard در پایین پنجره فعال هست بر روی دکمه ی Add کلیک کنید.با انجام این کار پنجره ی Filter Action Wizard باز میشه که در اینجا فقط گذرا گزینه هایی که در هر مرحله باید انتخاب کنید رو عنوان میکنم.
1- در اولین مرحله که مرحله ی خوش آمد گویی! هست Next رو کلیک کنید.
2- در مرحله ی بعد در قسمت مربوط به Name که بالا قرار داره بنویسید "Block" و در قسمت مربوط به Description عبارت "Block Access" رو تایپ کنید و Next رو بزنید.
3- در مرحله ی بعد دکمه ی رادیویی Block رو انتخاب کنید و Next رو بزنید.
4- در آخر هم بر روی Finish کلیک کنید.
تا اینجای کار مفهوم Block مشخص شد،حالا باید پروتکل ICMP رو تابع فیلتر Block بکنیم. این کار با تعریف یک Policy امکان پذیر هست بنابراین برای تعریف این Policy مراحل زیر رو دنبال می کنیم.
دوباره در پنجره ی اصلی روی IP Security Policies on Local Machine راست کلیک کنید اما این بار گزینه ی اول یعنی Create IP Security Policy رو به صورت زیر انتخاب کنید.

با انجام این عمل پنجره ی IP Security Policy Wizard باز میشه.مراحلی که در این Wizard باید انجام بدید رو هم در ادامه به صورت مرحله به مرحله و سریع عرض میکنم خدمتتون.
1- در مرحله ی اول که همون پنجره ی خوش آمد گویی هست و اول همه Wizard ها وجود داره دکمه ی Next رو انتخاب کنید.
2- در مرحله ی بعد در قسمت Name عبارت "Block ICMP" و در قسمت Description عبارت "Preventing ICMP Echo Replies" رو تایپ کنید و Next رو بزنید.
3- در مرحله ی بعد چک باکس Active the Default response rule رو غیر فعال کنید و Next رو کلیک کنید.
4- در مرحله ی آخر چک باکس Edit Properties رو فعال نگه دارید تا بعد از کلیک روی دکمه ی Finish پنجره ی Properties مربوط به Policy باز بشه.روی Finish کلیک کنید!
حالا میرسیم به آخرین بخش،در پنجره ای زیر که الان رو به روی شما قرار داره پس از حصول اطمینان از فعال بودن چک باکس Use Add Wizard روی دکمه ی Add کلیک کنید.

پنجره ای که بعد از کلیک روی دکمه ی Add مقابل شما قرار میگیره آخرین Wizard ای هست که باید اطلاعات لازم رو بهش بدید.این Wizard رو هم مرحله به مرحله دنبال می کنیم.
1- در مرحله ی اول روی دکمه ی Next کلیک کنید.
2- در مرحله ی بعد هم بدون انجام تغییرات روی Next کلیک کنید.
3- در مرحله ی سوم، اولین دکمه ی رادیویی که All Network Connections هست رو انتخاب کنید و روی Next کلیک کنید.(با انتخاب این گزینه ی ترافیک ICMP بر روی تمام گذرگاههای Block خواهد شد.)
4- در مرحله ی بعد هم نیاز به انجام تغییری نیست،روی Next کلیک کنید.با کلیک روی Next در صورتی که کامپیوتر جزو یک Domain نباشه پنجره ای باز میشه که در اون Yes رو انتخاب کنید.
5- در این مرحله دکمه ی رادیویی All ICMP Traffic رو انتخاب کنید و Next رو بزنید.
6- در مرحله بعد دکمه ی رادیویی Block رو انتخاب کنید و روی Next کلیک کنید.
7- در مرحله ی آخر هم دکمه ی Finish رو بزنید و تمام...
اگر پنجره های اضافه رو ببندید و به پنجره ی اصلی توجه کنید میبینید که به صورت زیر یک Policy به نام Block ICMP به پنل راست صفحه اضافه شده.

حالا در مرحله نهایی باید این Policy رو فعال کنیم.برای فعال کردن هر Policy باید به صورت زیر روی اون راست کلیک و گزینه ی Assign رو انتخاب کنید.

بعد از انتخاب Assign در سطر مربوط به Block ICMP در ستون Policy Assigned کلمه ی Yes نوشته میشه بدین معنا که این Policy فعال هست.حالا اگر از روی هر کامپیوتری اقدام به Ping کردن کامپیوتر شما و یا کامپیوترهایی که از طریق کامپیوتر شما به شبکه متصل هستند بکنند تنها پاسخی که دریافت میکنند Request timed out هست.بدین معنا که بر روی IP ای که در حال Ping کردنش هستید کامپیوتری جهت پاسخگویی وجود نداره.
حالا اگر دوباره مایل باشید ICMP رو فعال بکنید می تونید روی Policy ای که درست کردید راست کلیک کنید و گزینه ی Un-assign رو انتخاب کنید.

[aka]

خیلی باحال بود ممنون !
منبعش خودتی ؟

[secure_krnl]

نقل قول:

نقل از aka

خیلی باحال بود ممنون !
منبعش خودتی ؟

نظر لطف شماست...
بخشی از مطالب مربوط میشد به مطالعات گذشته و بخشی رو هم از ایــــنجا کمک گرفتم.