كيفية عمل شبكات LAN و انواع البروتوكولات بالتفصيل .
- المخاطرة الملازمة للوسائط المشتركة .
- الهجوم الصامت على الشبكات .
- Sniffing for Sniffers .
- مضادات الـ Sniffer .
- كاشف الـ Sniffer .
- إغلاق الخط المشترك .
- حلول شبكات LAN ضد الهاكرز و الإختراق .
......................................
......................................
ما المقصود بكلمة LAN ?
تقصد بشبكات الـ LAN هي الشبكات المحلية و هو اختصار لـ Local Area Network .
من المعروف ان الشبكات الـرقمية للمؤسسات هي خطا جماعيا يعتمد على المشاركة في استخدام الأجهزة , اذا يستطيع الهاكرز
التصنت على البيانات الخاصة لدى مرورها عبر الشبكة , ثم يستعمل الهاكر هذه البيانات بهدف شن الهجمات الرقمية .
تعتمد معظم شبكات الـ LAN على بروتوكول يعرف ببروتوكول Ethernet و هو عبارة عن تقنية تسمح ببث المعلومات , فإذا
رغبت محطة كومبيوتر في الحصول على بيانات من محطة اخرى ( او من الخادم نفسه ) تقوم هذه المحطة بتشكيل بيانات تحتوي
على جزء خاص بالإتصالات اللازمة , ثم ترسل المحطة هذا الجزء الى الخادم مما يسمح بإرسال الطلب الى الوجهة المطلوبة , في
المقابل يبقى المخدم و المحطات الأخرى في انتظار ما يمكن ان يرد اليهم من بيانات و تباشر المحطة بإستقبال الحزمة المرسلة اليها
, بينما تتجاهل المحطات الأخرى الحزمة التى لا تعنيهم .
المشكلة هنا انه بإستطاعة اي محطة موجودة على خط LAN ان تتصنت على ما تتبادله المحطات الأخرى الموجودة على نفس
الخط , في الواقع ما يحدث عادة هو ان المحطة تتجنب الإطلاع على ما لا يعينها في خط الـ LAN مما يسمح للشبكة بأداء عملها
على أكمل وجه ... يقوم الهاكرز بإفساد هذه العملية .
هناك بروتوكول آخر شائع في تقنية الـ LAN و هو بروتوكول Token Ring لكنه يعاني من نفس المشاكل السابقة ...
تتكفل كل محطة في شبكات الـ Token Ring ب:
- استلام الرسالة مع البيانات المرافقة .
- تحديد وجهة البيانات .
- نسخ البيانات اذا كانت موجهة في دائرة الشبكة .
- ارسال الحزمة الى المحطات التالية في دائرة الشبكة . .
(( في كثير من العمليات اللي تقوم بيها الشبكات .. بس هذا يكفي حتى تفهموا فكرتها بس ))
و عشان احنا بنستخدم بروتوكولين اللي هم Ethernet & token Ring في الشبكات , فمهمة المحطة تنحصر في استلام
الحزمة الموجهة اليها ...
اما اذا لم تكن الحزمة موجهة اليها فلا تقوم المحطة بتفحص الحزمة .. لكن هناك طريقة عمل اخرى للمحطات , و تعرف ب، "
الوضع المختلط " ., في الوضع المختلط تقوم المحطة بنسخ جميع الحزم التى تراها , اي انها لا تكتفي بنسخ الحزم الموجهة اليها ,
و يتم التحويل بين الوضع المختلط و العادي بواسطة برمجيات تعمل على المحطات ,
الحين .. ممكن واحد يسأل سؤال و يقول وش فايدة هذي المحولات دام انها تسوي ثغرات امنية ؟
الجواب على هذا السؤال يكمن في الحاجة لهذا الوضع بهدف اجراء بعض العمليات الشرعية مثل مراقبة الشبكة مما يمكنهم من
فحص الأداء و تحديد المشاكل , و ينم اعادة تسمية الأدوات التي تستخدم في ذلك بـ Sniffing Machine " جهاز الإشتمام "
مما يتكون جهاز الإشتمام ؟
يتكون من حاسوب " محمول ان امكن " يحتوي على مخرج LAN يعمل في الوضع المختلط , بالإضافة الى بعض البرامج التى
تسمح بتحليل البيانات المارة في الشبكة , قد يقوم هذا الجهاز بتصنيف البيانات تبعا لبروتوكول الشبكة او المحطات الموجودة و حجم
البيانات و ... الخ . كما انه يقوم بتحليل البيانات عبر مراقبة كل بايت يمر عبر الشبكة , مما يساعد على تشخيص الأخطاء في حزمة
ما .
اذا وقعت هذه المعلومات في يد الهاكرز .. و يقدر يجيب محول LAN في الوضع المختلط مع شوية برامج للتحكم في الشبكة .. يقدر
يتجول في الشبكة براحته و ياخد اي معلومات يبغاها ..
......................................
Silent Attack .. الهجوم الصامت :
......................................
الحين ممكن واحد يقول .. طيب انا هكر .. و مو مسموح لي توصيل اي جهاز يخصني داخل الشبكة .. وش الحل ؟
اقوله الحل بإيدك .. تعالي معي و انت تعرف كيف .. :
اولا : تحاول توصل لأي محطة او خادم حتى لو كان صغير وماله فايدة .. و بعد كده تثبت اي برامج سنيفر تشتغل في الخلفية بدون
ما تكون ملحوطة ...طيب كيف أسوي هذه المرحلة و انا بعيد عن الجهاز ؟
بصراحة تقدر تسويه و انت بامريكا و الجهاز هنا بالمنصوره ..
و ذلك اما عن طريق الـ Torjans او الـ RAT=Remote Acess Torjan عبر إيميل الضحية و قد يبدو الـ RAT و كأنه
برنامج برئ او بطاقة معايدة متحركة , و يتثبت في الجهاز و يبعتلك التفاصيل عن طريق ايميلك ..
مثلا .. تقدر تعرف باسورد الـ TELNET و تدخل منه على جهاز الضحية ..
و هذا هجوم صامت لأن ما حد يقدر يحس فيك ..
......................................
كشف أجهزة الـ Sniffers :
......................................
لا نستطيع اكتشاف تشغيل الوضع المختلط في المحطات الأخرى , لكننا نستطيع التنبؤ بوجود برنامج سنيفر عن طريق ملاحظة
بعض الإشارات التخاطبية التى يتركها برنامج السنيفر .
......................................
مضادات الإشتمام .. Antisniff :
......................................
على سبيل المثال ممكن تاخد هذا البرنامج Antisniff من مجموعة الـ The SpyNet Sniffer ..
يحتوي هذا البرنامج عن عدة وسائل لكشف السنيفر , و هي تفحص الأنظمة لدى مساورتنا الشك بوجود استعمال غير شرعي
للأسلوب المختلط , تبحث Antisniff عن بعض الخصائص المحددة في نظام التشغيل و التى تدل على استعمال الوضع المختلط
, فمثلا يمكن الكشف عبر الوضع المختلط في بعض اصدارات نظام التشغيل LINUX عبر استعمال الأمر PING
eg. PING xxx.x.xx.x
xxxxxxxx= رقم الأي بي للمحطة المشبوهة ..
سيتم تجاهل الطلب من قبل جميع المحولات التى لا تعمل في الوضع المختلط .. اما المحول صاحب الوضع المختلط فسيقوم كالعادة
بنسخ جميع البينانات العابرة و بالتالي يصل للأمر PING " ههههه هنا وقعنا في الفخ " و تجيب على الطلب ..
و اذا حصل ال Antisniff على جواب فإنه يستنتج وجود برامج سنيفر في المحطة .
و هناك اكثر من هذه الطريقة .. و لكن لن نتعرض اليها الآن ..
......................................
وسائل الدفاع ضد الـ Sniffer :
......................................
اولا : تشفير البيانات عبر استخدام تقنية الـ VPN ....
تشفير البيانات .. هذا هو الحل الأمثل اذا تم استخدام طريقة تشفير متينة
العيوب : وجود صعوبة في اعداد و ادارة الـ VPN ..
ثانيا : المقاطع المتعدد في الـ LAN ..
بالإمكان عزل المحطة عن المحطات المجاورة عبر ادخال لوحات التوصيل "hub" مما يسمح بوضع كل محطة في مقطع خاص
بها .. قد تبدو هذه الطريقة مرتفعة الثمن اذا دعت الحاجة لإستبدال الأجهزة الحالية ...
لكن عندما تغادر الحزمة المقطع لتدخل في المخدم او الشبكة ... قد يستطيع الهاكرز استخدام البرامج السنيفر ..
ثالثا : استخدام برامج الـ Antisniff ..
رابعا : الحفاظ على حراسة امنية جيدة حول الشبكة و منع خروج او دخول اجهزة جديدة الى الشبكة حتى لا تثبت عليها برامج