بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
5 روش جلوگیری از حملات IP Spoofing یا جعل آدرس IP در شبکه
خوب تا اینجای کار در خصوص انواع و اقسام روشهای شناسایی حمله IP Spoofing در ITPRO صحبت کرده ایم ، اما به عنوان یک هکر کلاه سفید یا هکر قانونمند شما باید راهکارهای مقابله با این حمله را نیز یاد بگیرید. در فرآیند هک قانونمند ، هکر به عنوان کارشناس تست نفوذ یا Pen Tester هم شناخته می شود و باید کارهایی را انجام بدهد که یک هکر واقعی در دنیا واقعی انجام نمی دهد ، یعنی باید بتواند علاوه بر شناسایی آسیب پذیری ها راهکارهای مقابله و درست کردن آنها را نیز ارائه بدهد. در واقع این منطق کاری یک هکر قانومند است ، شناسایی و پیدا کردن آسیب پذیری های امنیتی بدون اینکه برای آنها بتوانیم راهکاری ارائه بدهیم عملا بلااستفاده و بیهوده است ، در واقع شما باید کاری کنید که هکر واقعی نتواند از آنها استفاده کند.در این سری از نکات در خصوص راهکارهای مقابله با حملات IP Spoofing صحبت خواهیم کرد اولین راهکار آن اجتناب کردن از Trust Relationship های اضافه و بیهوده است.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
روش اول : اجتناب کردن از Trust Relationship ها
همانطور که گفتیم هکرها برای اینکه خودشان را از دید شما پنهان کنند هویت خودشان را با هویت کامپیوترها و دستگاه هایی که در شبکه شما قابل اعتماد هستند جعل یا Spoof می کنند و بسته های مخرب یا Malicious Packet های خودشان را به سمت شما هدایت می کنند. اگر شما این بسته های آلوده که به نظر از Source های قابل اعتمادی هستند را قبول کنید به احتمال زیاد شبکه و سیستم های شما نیز آلوده خواهند شد. بنابراین پیشنهاد می شود که حتی اگر شبکه هایی دارید که برای شبکه شما قابل اعتماد تعریف شده اند .
برای مثال دو شبکه در ساختار اکتیودایرکتوری دو شرکت مختلف Trust متقابل ایجاد کرده اند ، بسته های شبکه های قابل اعتماد را نیز واکاوی کنید. یکی از مهمترین مکانیزم های امنیتی که برای جلوگیری از ورود بسته های مخرب از شبکه های قابل اعتماد پیشنهاد می شود راه اندازی مکانیزم احراز هویت با پسورد برای کامپیوترهایی است که از شبکه های Trusted به شبکه شما بسته ارسال می کنند است ، طبیعی است که تا کامپیوتری برای شبکه شما احراز هویت نشود قابلیت ارسال بسته های جعل شده را نیز نخواهد داشت. به اینکار در اصطلاح فنی Password Authentication در میان Trust Relationship گفته می شود.
روش دوم : استفاده از فایروال و مکانیزم های فیلترینگ Packet
خوب روش قبلی که در آن شبکه های Trusted را بررسی کنیم را معرفی کردیم اما در روش بعدی شما باید کلیه ترافیک های ورودی و خروجی به شبکه را با استفاده از فایروال ها و تجهیزات Packet Filtering مناسب مانیتور کنید. ترافیک ورودی به شبکه ممکن است ترافیک آلوده ای باشد که هکر به سمت شبکه شما ارسال کرده است ، اگر شما هیچگونه مکانیزم فیلترینگ Packet ای برای ورود ترافیک به شبکه داخلی ندارید احتمال زیاد وجود دارد که شما به IP Spoof دچار شوید. شما می توانید در فایروالها و تجهیزات امنیتی خودتان با استفاده از Access Control List ها یا ACL هایی که می نویسید دسترسی های غیرمجاز به شبکه داخلی را مسدود کنید.
اما در همین لحظه یک امکان دیگر حمله وجود دارد و آن هم وجود مهاجم از داخل شبکه است ، اینگونه افراد ممکن است از طریق شبکه داخلی اطلاعات حساسی در خصوص سازمان یا شرکت شما را از شبکه خارج کنند. اینکار هم می تواند از نظر غیرفنی اعتبار و آبروی سازمان شما را ببرد و از طرفی امکان ارسال و هدایت Packet آلوده توسط هکر به داخل شبکه را نیز ممکن است باعث شود. ( خیلی کتابی شد ولی مطمئنم متوجه شدید ) اینکه هکر بتواند با استفاده از یک ابزار آلوده ترافیک شبکه داخلی شما را شنود کند ریسک افشاء اطلاعات محرمانه سازمانی شما را بسیار بالا می برد و به همین دلیل پیشنهاد می شوند که شما حتی برای ترافیک های خروجی از شبکه نیز Access Control List طراحی کنید و به هر کس و هر ترافیکی اجازه عبور غیرمجاز از شبکه داخلی به سمت بیرون را ندهید. این مکانیزم امنیتی معمولترین مکانیزمی است که در خصوص جلوگیری از حملات IP Spoof در اکثر سازمان ها در حال حاضر در حال اجرا می باشد.
روش سوم : استفاده از Random Initial Sequence Number
بسیاری از تجهیزات هستند که ISN یا Initial Sequence Number بسته های اطلاعاتی خودشان را بر اساس وهله های زمانی تعیین می کنند. این روش باعث می شود که مهاجمین براحتی بتوانند نحوه تولید کردن ISN ها را پیدا کنند و از آنها برای تولید کردن ISN های جعلی در TCP Connection بعدی استفاده کنند و خودشان را درون Session قرار بدهند.اگر هکر بتواند الگوریتم ایجاد کردن ISN شما را پیدا کند می تواند وارد شبکه شما شده و یک ارتباط مخرب ایجاد کرده و بعضا ترافیک سرور و شبکه شما را شنود کند ، برای جلوگیری از این مشکل شما می توانید از مکانیزم صدور تصادفی ISN ها در ارسال و دریافت بسته ها استفاده کنید.
روش چهارم : تعریف فوانین ترافیک های معین ورودی و خروجی
شما می توانید در فایروال های خودتان چه برای ترافیک ورودی و چه برای ترافیک خروجی مقاصد معین تعیین کنید ، برای مثال مشخص کردن آدرسهای وب سایتی که کاربران شما صرفا می توانند به آنها متصل شوند یا اینکه مشخص کردن آدرسهای داخلی که از بیرون درخواست ها باید به آنها ارسال شود ، با این روش اگر هکر بخواهد ترافیکی را از شبکه داخلی شما به آدرس دلخواه خودش ارسال کند این امکان برایش وجود نخواهد داشت ، اینکار با استفاده از تعریف ACL در روترها و فایروال ها قابل اجرا می باشد.
روش پنجم : رمزنگاری یا Encryption
اگر می خواهید به بالاترین درجه امنیت در شبکه برسید بایستی برای کلیه ترافیک شبکه خودتان از یک مکانیزم رمزنگاری قوی استفاده کنید ، منظور از هرگونه ترافیک یعنی فارق از بحث نوع و محل ترافیک ، این بهترین روش برای مقابله با حملات IP Spoofing است. هکرها همیشه به دنبال راه هایی هستند که به سادگی بتوانند ورود کنند ، اگر هکر بتواند وارد یک شبکه رمزنگاری شده شود ، متوجه می شود که کلیه ترافیک ها بصورت رمزنگاری شده رد و بدل می شوند و کار هکر به شدت در این موارد سخت می شود و به همین دلیل هکر به دنبال تکنیک های دیگری برای نفوذ خواهد گشت یا نقطه آسیب پذیر دیگری را پیدا می کند که الگوریتم ضعیف تری داشته باشید. به عنوان حسن ختام این مقاله توجه کنید که اکثر تکنیک های جلوگیری از حملات SYN Flood در مقابل IP Spoofing هم می توانند موثر باشند.