رویترز اعلام کرد: پلیس فدرال آمریکا در حال تحقیق در مورد نفوذ هکرها به Juniper Networks سازنده تجهیزات شبکهای و سختافزاری مختلف است.
اف.بی.آی بیم دارد که این حمله توسط یک دولت خارجی رخ داده باشد و این دولت کدهای معیوب خود را به منظور جاسوسی از تجهیزات شبکهای ساخت این شرکت به کار گرفته باشد.
Juniper Networks روز گذشته از شناسایی دو مشکل امنیتی خبر داد که بر محصولات و پلاتفورمهای مجهز به نرمافزار ScreenOS تاثیر میگذارند.
شرکت مذکور به همین منظور یک وصله امنیتی عرضه کرده و به کاربران محصولات خود توصیه کرده تا سیستمهایشان را به روز کنند و وصلههای مذکور را که دارای بالاترین درجه اولویت هستند نصب نمایند.
مقامات امنیتی آمریکا بیم دارند که هکرها با بهرهگیری از این حفرهها بتوانند به دادههای رد وبدل شده شرکتهای خصوصی و نهادهای دولتی از طریق شبکههای رایانهای دسترسی پیدا کنند.
هیئت مدیره IBM موافقت کرد تعداد زیادی از سهام خود موجود در تالار بورس را به ارزش ۴ میلیارد دلار خریداری کند و علاوه بر این، بهازای هر سهم خود ۱.۳۰ دلار سود نقدی را هم در فصل پیشرو برداشت نماید.
این ۴ میلیارد دلار سهام در کنار ۲.۴ میلیارد دلار سهامی خریداری میشود که از خرید ۵ میلیارد دلاری سهام IBM در سال گذشته جا مانده بود.
شرکت IBM اعلام کرد که قصد دارد سهام خود را در بازار آزاد خریداری کند یا اینکه در فواصل زمان مختلف، با نقل و انتقالات خصوصی این میزان سهام را در اختیار بگیرد که البته این اتفاقات بستگی به شرایط بازار دارد.
لازم به ذکر است پس از آنکه خبر مربوط به خرید سهام IBM توسط خود این شرکت منتشر شد، ارزش هر سهام آن کاهش یافت.
«جینی رامتی» مدیرعامل IBM با انتشار بیانیهای توضیح داد که بازپسگیری سود سهام و خود سهام اتفاقی است که میتواند سود مالی قابل ملاحظهای را برای سهامداران این شرکت به همراه داشته باشد.
در این بیانیه گفته شد: «ما یک استراتژی ارزشمند جدید در نظر گرفتیم که بر اساس آن میکوشیم منابع مالی خود را متمرکز کنیم و نوآوریهای بیشتر را در بازار جهانی ارائه دهیم. ما کسب و کار خود را مدیریت میکنیم تا برای طولانیمدت بتوانیم حضور موفق در بازار جهانی داشته باشیم. با این کار میتوانیم حمایت سهامداران خود را نگه داریم و ارزش هر سهم خود را بالا ببریم.»
مرکز ارائه خدمات سازمانی اچپی موسوم به Hewlett-Packard Enterprise همکاریهای جدیدی را با مایکروسافت آغاز کرد تا به کمک پلتفرم پردازش ابری Azure بتواند سرویسهای خود را به کاربران ارائه دهد.
شرکت مایکروسافت بهترین گزینه برای ارائه خدمات ابری عمومی HPE محسوب میشود و بازوی سازمانی HP با این اتفاق میتواند تمام سرویسهای Azure مایکروسافت را در اختیار بگیرد.
«مِگ ویتمن» مدیرعامل HP در جریان انتشار گزارش مالی مربوط به فصل چهارم سال مالی ۲۰۱۵ توضیح داد که همکاریهای جدید میتواند آغاز ورود جدی HP به بازار جهانی خدمات سازمانی باشد.
بدیهی است که HPE برای آغاز فعالیتهای خود در عرصه خدمات پردازش ابری سراغ مایکروسافت رفت و دو شرکت رقیب یعنی گوگل و آمازون را کنار گذاشت. هر دو شرکت مایکروسافت و HP تخصص ویژه در عرصه رایانه و سرور دارند و هر دوی آنها میکوشند مجموعهای از ابزارهای کاربردی و سرویسهای پردازش ابری را در اختیار مشتریان خود بگذارند.
ویمتن در این خصوص توضیح داد: «مایکروسافت میتواند تمام اهداف ما در زمینه ارائه خدمات ابری چندگانه به سازمانها را محقق کند.»
البته باید توجه داشت این همکاری به آن معنی نیست که HPE در آینده سراغ شرکتهای گوگل و آمازون نرود. زیرا شرکتهای مذکور امکاناتی دارند که HPE به کمک آن میتواند نیاز بخش دیگر مشتریان خود را پاسخ دهد.
شرکت سیسکو اوایل ماه جاری اعلام کرد که میخواهد گامهای بلندتری در عرصه اینترنت اشیاء(IoT) بردارد و در این زمینه محصولات تخصصی خود را برای کارخانهها، سیستمهای حمل و نقل، مراکز خدماتی و صنایع نفت و گاز ارائه دهد.
سیسکو به منظور انجام بخشی از این سرمایهگذاری بزرگ روز گذشته اعلام کرد شرکت ParStream را خریداری کرده است. این شرکت به صورت ویژه محصولات تخصصی در زمینه مراکز داده تحلیلی را ارائه میدهد و شرکتهای مختلف امکان میهد تا حجم وسیع اطلاعات را در آن واحد تحقیق کنند و بتوانند نتایج آن را در زمینههای گوناگون مورد استفاده قرار دهند.
به گفته سیسکو، این خرید هماکنون مراحل پایانی خود را به سر میبرد و پیشبینی شده است که واگذاری کامل در پایان فصل دوم سال مالی ۲۰۱۶ انجام شود.
«راب سالوانیو» مدیر سرمایهگذاری سیسکو توضیح داد که خرید شرکت ParStream به آنها کمک میکند تا بتوانند سریعتر و وسیعتر از قلب کلان دادهها را تحلیل کنند، از این تحلیلها نتایج دقیقتری ارائه دهند و میلیونها داده را در آن واحد فیلتر کنند تا کسب و کارهای مختلف بتوانند از اطلاعات موجود به صورت کاربردی استفاده کنند.
به گفته سالوانیو، سیسکو بر این باور است که ارزش IT را دادهها تعیین میکنند و هرچه این دادهها بهتر و دقیقتر تحلیل شوند، خدمات بهتری در این زمینه ارائه شده است.
استراتژی جدید سیسکو این است که بتواند در عرصه اینترنت اشیاء گامهای گسترده بردارد و تقویت خدمات تحلیل کلان داده نیز بخشی از این استراتژی بزرگ محسوب میشود.
سرویس DHCP یکی از مهمترین سرویس هایی است که در یک شبکه ارائه میشود، از این رو برقراری امنیت این سرویس از اهمیت ویژه ای برخوردار است. در این مقاله به بررسی حملات و روش های جلوگیری از DHCP(Dynamic Host Configuration Protocol) Starvation، راه اندازی Rough DHCP و حمله Man in the Middle به وجود آمده از طریق DHCP Starvatiom میپردازیم. سرویس DHCP بیان کننده نحوه اختصاص دادن IP به سیستم هایی که برای متصل شدن به شبکه درخواست IP می کنند، است. سروری را که سرویس DHCP بر روی آن فعال شده باشد را سرور DHCP گویند. هر سرور DHCP دارای یک سری رنج IP است که با توجه به توپولوژی شبکه توسط مدیر سرور مشخص می شود.
نحوه تخصیص دادن یک IP به یک سیستم کامپیوتری به این گونه است که در ابتدا هنگامی که یک سیستم (کامپیوتر رومیزی، سرور، پرینتر، روتر و …) از لحاظ فیزیکی به شبکه متصل باشد، یک درخواست DHCP Discover را به صورت Broadcast از پورت UDP 67 به شبکه میفرستد.
در مرحله دو سرور DHCP با دریافت پیغام DHCP Discover یک IPبه دستگاه مورد نظر پیشنهاد میدهد. این پیشنهاد تحت پیغام DHCP Offer به وسیله پورت ۶۸ UDP به صورت Unicast به دستگاه مورد نظر فرستاده میشود.
در مرحله سوم که سرور DHCP و دستگاهی که درخواست IP کرده است ارتباطی نظیر به نظیر (Point to Point ) ایجاد کردهاند، دستگاه مورد نظر درصورت تمایل به تخصیص IP پیشنهاد شده، پیغام DHCP Request را به صورت Unicast به سرور DHCP اعلام میکند.
نهایتا در مرحله چهارم پیغام DHCP ACK از طرف سرور DHCP به دستگاه داده میشود که مبنی بر این است که IP به آن سیستم تخصیص داده شده و در پایگاه داده DHCP ذخیره میشود.
چالشهای پیش روی پروتکل DHCP:
در مورد نحوه کار پروتکل DHCP و مراحل پاسخ دادن به درخواست یک سیستم خاص
در قسمت قبلی توضیح داده شد. در این بخش تمرکز این مقاله را بر روی
چالشهای امنیتی که پیش روی این پروتکل است میگزاریم. همانطور که گفته شد
پیغام DHCP Discovery یک پیغام Broadcast است، از این رو در صورتی که بیش
از یک سرور DHCP در شبکه موجود باشند، هرکدام از آن سرورها به صورت مجزا به
سیستم درخواست کننده پاسخ میدهند.در این حالت، سیستمی که پیغام DHCP
Discovery را فرستاده است با آن سروری عملیات را ادامه میدهد که پیغام
DHCP Offer آن زودتر به دستش رسیده باشد. از این رو در صورتی که یک سرور
DHCP تقلبی یا به اصطلاح Rogue DHCP در شبکه وجود داشته باشد درخواست DHCP
Discovery به آن میرسد و شروع به ادامه دادن مراحل سرویس DHCP میکند.
در صورتی که DHCP Offer پیشنهاد شده از سمت سرور تقلبی، زودتر از پیغام DHCP Offer پیشنهاد شده از سمت سرور اصلی DHCP برسد، سیستمی که در ابتدا درخواست IP کرده بوده است از یک سرور DHCP مخرب IP را دریافت کرده است.
دریافت IP از سمت سرور تقلبی به خودی خود مشکلی را ایجاد نمیکند، اما حالتی را در نظر بگیریم که حمله کننده تغییراتی را در رنج IP که میخواهد به کاربران پیشنهاد بدهد ایجاد کند. تغییرات می تواند به یکی از حالت های زیر به وجود آید:
در این نوع حمله رنج شبکه اشتباهی به کاربر داده میشود. به طور مثال
در صورتی که رنج شبکه ما ۱۰.۱۰.۱.۰/۲۴ است، حمله کننده یک IP از رنج
۱۷۲.۱۶.۳۲.۰/۲۶ به آن میدهد.
با به وجود آوردن این تغییر این سیستم خاص امکان برقراری ارتباط با شبکه داخلی خود را ندارد و کار کردن با آن مختل میشود.
این حمله یکی از انواع حمله های ترکیبی به حساب میآید. نحوه کار شخص حمله کننده در این روش به این گونه است که در IP پیشنهاد شده به کاربر، IP خودش را به عنوان Default Gateway قرار میدهد. در مرحله بعدی حمله کننده با نصب کردن نرم افزارهای جاسوسی شبکه (Wireshark و …) می تواند تمامی ارتباطات آن سیستم را مانیتور کند و از اطلاعات مورد نظر در راستای اهداف غیر قانونی خود استفاده کند.
این روش حمله کردن را میتوان خطرناک ترین نوع حمله در بین این دسته از حملات به شمار آورد. ماهیت حمله به این صورت است که حمله کننده در مرحله اول حمله یک Website تقلبی مالی، اجتماعی، ایمیل و … همانند وب سایت های دیگر را طراحی کرده است. مرحله بعد راه اندازی یک DNS سرور تقلبی است بدین صورت که به جای برگرداندن IP واقعی سایت مورد نظر کاربر(مثل Gmail.com، bank.com و …) IP وبسایت خود را به کاربر انتقال میدهد. در این صورت تمامی اطلاعات اکانت کاربر به دست حمله کننده میرسد.
روش دیگر مورد استفاده حمله کننده برای تخریب سرویس DHCP
در روشهای حملهای که در مرحله قبل صحبت شد، فرض بر وجود داشتن همزمان هر دو سرور مخرب و اصلی در شبکه داخلی بود. در این حالت با توجه به زودتر رسیدن یا نرسیدن پیغام DHCP Offer سرور مخرب به کاربران، اطلاعات آن کاربران خاص توسط حمله کننده جاسوسی (Sniff) میشود. آیا از دید حمله کننده این روش یک روش بهینه است؟ آیا راه حلی برای sniff تمامی سیستم ها وجود دارد؟ پاسخ این جاست که در صورتی که سرور اصلی DHCP به گونهای مورد حمله قرار گیرد که قادر به سرویس دهی نباشد، تمامی سیستم های درون شبکه را میتوان تحت کنترل خود داشت.
از این رو از روشی به نام Flooding برای از کار انداختن سرویس DHCP استفاده میشود. روش کار به این گونه است که حمله کننده با فرستادن درخواستهای DHCP Discovery متوالی با MAC Address های تولید شده به صورت تصادفی پایگاه داده IPهای سرور DHCP را خالی می کند. حالا هنگامی که یک کاربر عادی DHCP Discovery را Broadcast می کند، دیگر سرور DHCP اصلی به دلیل موجود نداشتن IP پیغام DHCP Offer را نمی فرستد و تنها جواب از سمت سرویس DHCP راه اندازی شده توسط حمله کننده به دست کاربر می رسد.
نحوه دفاع در برابر حملات به سرور DHCP
حال که از دید حمله کننده با نحوه حمله به سرور DHCP آشنا شدیم، نوبت به بررسی راه حل های دفع حمله است. بدین منظور از دو روش Port-security و DHCP Snooping استفاده میشود.
Port-Security
از Port-security به منظور جلوگیری از حمله Flooding به سرور DHCP استفاده می شود. روش کار به این گونه است که تعداد MAC-Address محدودی اجازه دسترسی به شبکه بر روی یک پورت خاص سوئیچ ازتباطی را خواهند داشت. بدین ترتیب دیگر حمله کننده توانایی فرستادن DHCP Discovery با چندین MAC-Address را نخواهد داشت.روش کانفیگ کردن Port-security بر روی سوئیچ های Cisco به شرح زیر است:
توضیحات | دستورها |
جهت وارد شدن به مد کانفیگ | Switch# configure terminal |
با توجه به توپولوژی تمامی پورت ها غیر از پورت ۲۴ انتخاب می شود | Switch(config)# int r f 0/1-23 |
حالت کاری این پورت ها را user می گزاریم | Switch(Config-if-range)# switchport mode access |
Port-security را بر روی پورت ها فعال می کنیم | Switth(config-if-range)# switchport port-security |
حالت violation را بر روی protected می گزاریم | Switth(config-if-range)# switchport port-security violation protected |
Mac-address هایی که اجازه ارتباط در شبکه را دارند را بر اساس MAC-Address های فعلی تعریف می کنیم | Switth(config-if-range)# switchport port-security mac-address sticky |