ډیری شرکتونه نن ورځ د خپلو زیربناوو د معلوماتو امنیت ډاډمن کولو په اړه اندیښمن دي، ځینې یې دا د تنظیمي اسنادو په غوښتنه کوي، او ځینې یې د لومړۍ پیښې څخه وروسته دا کار کوي. وروستي رجحانات ښیي چې د پیښو شمیر مخ په ډیریدو دی، او بریدونه پخپله خورا پیچلي کیږي. مګر تاسو اړتیا نلرئ لرې لاړ شئ، خطر ډیر نږدې دی. دا ځل زه غواړم د انټرنیټ چمتو کونکي امنیت موضوع پورته کړم. په هابري کې پوسټونه شتون لري چې پدې موضوع یې د غوښتنلیک په کچه بحث کړی. دا مقاله به د شبکې او ډیټا لینک کچې امنیت باندې تمرکز وکړي.
دا څنګه پیل شو
څه موده وړاندې، په اپارتمان کې د نوي چمتو کونکي څخه انټرنیټ نصب شو؛ مخکې، د ADSL ټیکنالوژۍ په کارولو سره اپارتمان ته انټرنیټ خدمتونه وړاندې شوي. څرنګه چې زه په کور کې لږ وخت تیروم، د کور انټرنیټ په پرتله د ګرځنده انټرنیټ غوښتنه ډیره وه. لیرې کار ته د لیږد سره، ما پریکړه وکړه چې د کور انټرنیټ لپاره د 50-60 Mb/s سرعت په ساده ډول کافي نه و او پریکړه یې وکړه چې سرعت زیات کړم. د ADSL ټیکنالوژۍ سره، د تخنیکي دلایلو لپاره، دا ممکنه نه ده چې سرعت له 60 Mb/s څخه لوړ شي. پریکړه وشوه چې بل چمتو کونکي ته د مختلف اعلان شوي سرعت سره او د خدماتو چمتو کولو سره چې د ADSL له لارې نه وي.
دا ممکن یو څه توپیر درلود
د انټرنیټ چمتو کونکي استازي سره اړیکه ونیوله. نصب کونکي راغلل، په اپارتمان کې یې سوري واچوله، او د RJ-45 پیچ کارډ یې نصب کړ. دوی ماته د شبکې تنظیماتو سره یو تړون او لارښوونې راکړې چې په روټر کې تنظیم کولو ته اړتیا لري (وقف شوي IP ، ګیټ وے ، د دوی د DNS IP پتې) ، د کار د لومړۍ میاشتې لپاره تادیه وکړه او لاړ. کله چې ما د خپل کور روټر ته د شبکې تنظیماتو ته ننوتم، انټرنیټ اپارتمان ته راوتلی. شبکې ته د نوي پیرودونکي لومړني ننوتلو طرزالعمل زما لپاره خورا ساده ښکاري. هیڅ لومړنی اجازه نه وه ترسره شوې، او زما پیژندونکی هغه IP پته وه چې ما ته راکړل شوې وه. انټرنیټ په چټکۍ او ثبات سره کار کاوه. په اپارتمان کې د وائی فای روټر و او د بار وړونکي دیوال له لارې د ارتباط سرعت یو څه راټیټ شو. یوه ورځ، ما اړتیا درلوده چې د دوه درجن ګیګابایټ اندازه کولو فایل ډاونلوډ کړم. ما فکر وکړ چې ولې RJ-45 اپارتمان ته مستقیم کمپیوټر ته نه وصل کړئ.
خپل ګاونډی پیژنئ
د ټولې فایل ډاونلوډ کولو سره ، ما پریکړه وکړه چې د سویچ ساکټونو کې ګاونډیان ښه وپیژنم.
په اپارتمان ودانیو کې، د انټرنیټ اتصال اکثرا د چمتو کونکي څخه د آپټیکل فایبر له لارې راځي، د تارونو المارۍ ته یو یو سویچ ته ځي او د ایترنیټ کیبلونو له لارې د ننوتلو او اپارتمانونو ترمنځ ویشل کیږي، که موږ د ارتباط خورا ابتدايي ډیاګرام په پام کې ونیسو. هو، لا دمخه یوه ټیکنالوژي شتون لري چیرې چې آپټیکس مستقیم اپارتمان (GPON) ته ځي، مګر دا لاهم پراخه نه ده.
که موږ د یو کور په پیمانه خورا ساده ټوپولوژي واخلو، دا یو څه داسې ښکاري:
دا معلومه شوه چې د دې چمتو کونکي پیرودونکي، ځینې ګاونډی اپارتمانونه، په ورته محلي شبکه کې د ورته سویچ کولو تجهیزاتو کې کار کوي.
په مستقیم ډول د چمتو کونکي شبکې سره وصل شوي انٹرفیس کې د اوریدلو وړ کولو سره ، تاسو کولی شئ په شبکه کې د ټولو کوربه څخه د نشراتي ARP ترافیک الوتنه وګورئ.
چمتو کونکي پریکړه وکړه چې د شبکې په کوچنیو برخو ویشلو کې ډیر زحمت و نه کړي، نو د 253 کوربه څخه د نشراتو ترافیک کولی شي په یو سویچ کې تیر شي، د هغو کسانو شمیرل نه کوي چې بند شوي، په دې توګه د چینل بینډ ویت بندوي.
د nmap په کارولو سره د شبکې سکین کولو سره، موږ د ټول پته حوض، د سافټویر نسخه او د اصلي سویچ خلاص بندرونو څخه د فعال کوربه شمیره معلومه کړه:
او هلته ARP چیرته دی او د ARP-spoofing
د نورو کړنو د ترسره کولو لپاره، د ettercap-ګرافیکي افادیت څخه کار اخیستل شوی؛ نور عصري انلاګونه هم شتون لري، مګر دا سافټویر د خپل لومړني ګرافیکي انٹرفیس او د کارولو اسانتیا سره جذبوي.
په لومړي کالم کې د ټولو روټرونو IP پتې دي چې پینګ ته یې ځواب ورکړی، په دویمه برخه کې د دوی فزیکي پتې دي.
فزیکي پته ځانګړې ده؛ دا د روټر د جغرافیایي موقعیت په اړه د معلوماتو راټولولو لپاره کارول کیدی شي، او داسې نور، نو دا به د دې مقالې موخو لپاره پټ شي.
هدف 1 د 192.168.xxx.1 پته سره اصلي دروازه اضافه کوي، هدف 2 یو له نورو پته اضافه کوي.
موږ ځان د 192.168.xxx.204 پته سره د کوربه په توګه ګیټ ویز ته معرفي کوو، مګر زموږ د خپل MAC پتې سره. بیا موږ خپل ځان د کارونکي روټر ته د دې MAC سره 192.168.xxx.1 پته سره د دروازې په توګه وړاندې کوو. د دې ARP پروتوکول زیان منونکي توضیحات په نورو مقالو کې په تفصیل سره بحث شوي چې ګوګل ته اسانه دي.
د ټولو لاسوهنو په پایله کې، موږ د کوربه څخه ټرافيک لرو چې زموږ له لارې تیریږي، مخکې له دې چې د پاکټ فارورډ کولو فعاله وي:
هو، https لا دمخه په هر ځای کې کارول کیږي، مګر شبکه لاهم د نورو غیر خوندي پروتوکولونو څخه ډکه ده. د مثال په توګه، ورته DNS د DNS-spoofing برید سره. دا حقیقت چې د MITM برید ترسره کیدی شي ډیری نورو بریدونو ته وده ورکوي. شیان خرابیږي کله چې په شبکه کې څو درجن فعال کوربه شتون ولري. دا په پام کې نیولو سره چې دا خصوصي سکتور دی، د کارپوریټ شبکه نه ده، او هرڅوک د اړوندو بریدونو د کشف او مخنیوي لپاره محافظتي تدابیر نلري.
څنګه یې مخنیوی وکړو
چمتو کوونکی باید د دې ستونزې په اړه اندیښمن وي؛ د ورته سیسکو سویچ په صورت کې د ورته بریدونو په وړاندې د محافظت تنظیم کول خورا ساده دي.
د متحرک ARP تفتیش (DAI) فعالول به د ماسټر ګیټ وے MAC پته د جعل کیدو مخه ونیسي. د خپرونې ډومین په کوچنیو برخو کې ماتول لږترلږه د ARP ټرافیک مخه نیسي چې په یوه قطار کې ټولو کوربه ته خپریږي او د کوربه شمیر کموي چې برید کیدی شي. پیرودونکی، په بدل کې، کولی شي په مستقیم ډول د خپل کور روټر کې د VPN په ترتیب کولو سره د داسې لاسوهنو څخه ځان وساتي؛ ډیری وسایل لا دمخه د دې فعالیت ملاتړ کوي.
موندنو
ډیری احتمال، وړاندیز کونکي دې ته پام نه کوي؛ ټولې هڅې د پیرودونکو شمیر زیاتولو په موخه دي. دا مواد د برید ښودلو لپاره ندي لیکل شوي ، مګر تاسو ته د یادولو لپاره چې حتی ستاسو د چمتو کونکي شبکه ممکن ستاسو د معلوماتو لیږدولو لپاره خورا خوندي نه وي. زه ډاډه یم چې ډیری کوچني سیمه ایز انټرنیټ خدمت چمتو کونکي شتون لري چې د لومړني شبکې تجهیزاتو چلولو لپاره اړین ندي.
سرچینه: www.habr.com