صفحة 1 من 2 1 2 الأخيرةالأخيرة
النتائج 1 إلى 15 من 26

الموضوع: غلطة بسيطة في ACL كادت ان تكلفنا النظام

  1. #1
    عضو
    تاريخ التسجيل
    Jun 2006
    المشاركات
    835
    الدولة: France
    معدل تقييم المستوى
    15

    غلطة بسيطة في ACL كادت ان تكلفنا النظام



    السلام عليكم

    موضوعي اليوم هو عن مشكلة واقعية حدثت معي في العمل اليوم صباحا و الحمدلله قمت بحلها و احببت وضعها هنا للفائدة و من باب نشر العلم فدعواتكم لنا يا اخوة ,,,

    المشكلة تتلخص بالتالي و هي مفيدة لكلا العاملين في مجال مايكروسوفت و سيسكو

    الشبكة المسؤول عنها تحتوي عدة سيرفرات محمية برواتر يحتوي خطان ADSL و الاخر Leased Line
    كل خط مسؤول عن تزويد عدد من السيرفرات بخدمة معينة ,,,
    ناتي للمشكلة الان
    مند فترة واجهتنا مشكلة lock out لعدد من المستخدمين و خاصة Built-In users متل IUSR و IWAM و غيره
    طبعا كلما راجعت security log from event viewer وجدت ان هناك بيانات توضح بأن هناك من يحاول ان يستخدم المستخدمين انفي الدكر من قبل اسم جهاز معين غير موجود ضمن الشبكة و طبعا لعدم معرفته بالباسوورد لهؤلاء المستخدمين و بناء على policy الموجودة في الشبكة يتم عمل lock بعد 3 محاولات فاشلة ,,,

    اليوم صباحا وجدت ان WSUS لم يعد يعمل و ظهرت عندي عدة رسائل للخطأ بعد تعقب للمشكلة وجدت ان IUSR قد تم عمل Lock له فقررت حينها تعقب من قام باستخدام هدا المستخدم ,,, و ها هي الخطوات للفائدة :
    اولا ,,, قمت بمراجعة الملف netlogon.log لمعرفة من دخل على النظام و من اي سيرفر تمت عملية الدخول و استخدام IUSR user ,,, وجدت ان هناك جهاز قام باستخدام اكتر من مستخدم موجودين داخل الاكتيف دايركتوري ,, بناء على هده المعلومات قمت بمعرفة اسم الجهاز و الان بقي علي معرفة الايبي الخاص ب attacker و ماهو البورت المستهدف في السيرفر

    الخطوة التانية باستخدام برنامج Tennable Nessus حددت البورتات الممكن ان تكون مناطق ضعف
    الخطوة التالتة باستخدام Wireshrk تعقبت المعلومات الداخلة على السيرفر وحددت attacker IP وحددت البورت و بالفعل كان واحد من البورتات ( بورت 135 ) التي حددها لي برنامج Tennable Nessus
    كحل سريع اوقفت دخول هدا الشخص باستخدام الامر التالي على السيرفر
    ROUTE ADD ATTACKER_IP MASK 255.255.255.255 FAKE_IP METRIC 10
    FAKE_IP هنا هو اي اي بي وهمي سيقوم السيرفر بدلا من الرد فيه على attacker بارسال الرد على داك الايبي الوهمي بالتالي لن يجد attacker اي رد و ستفشل عملياته ,,, بالنسبة لي هدا حل مؤقت و كان لابد من وضع حل دائم باستخدام ACL على الراوتر ,,, لكن ما حيرني فعلا هناك ACL مطبقة و قد قمت بتصميمها بطريقة تمنع اي هجوم و لكن لمادا لم تعمل ,,,, هنا السؤال !!!!!!!!!

    طيب نرجع للحل المؤقت الدي قمت بتطبيقه ,,, لابد من التاكد هل نجح ام لا
    رجعت مرة اخرى لل wireshrak و راقبت الترافيك القادم من attacker IP ووجدت انه قد تم منعه و لم يعد يستطع الدخول للسيرفر ,,, طبعا كيف عرفت انه لم يعد يستطع مهاجمة النظام :

    وجدت انه يستخدم بورتات عشوائية لاختراق بورت 135 كل بورت يستخدمه لابد من القيام بعمليه TCP handshaking و هي تبدأ بارسال TCP SYN ,,, طبعا لاحظت ان كل 3 باكتات TCP SYN يقووم attacker بالرد عليها بباكت TCP RST بمعنى ان عملية handshaking قد فشلت و هكدا استمر attacker باستخدام بورتات اخرى للوصول للبورت 135 و لكن نفس الالية 3 SYN يتبعها RST ,,, الحمدلله الان السيرفر محمي لكن هدا لا يكفي ف attacker استطاع تخطي الراوتر ,,, لدا لا بد من مراجعة ACL ???
    بيداية قمت باضافة السطر التالي على ACL الخاصة ب inbound
    deny tcp any host 192.186.1.1 eq 135

    و طبقت بعدها الامر التالي

    sh ip access-lists ADSL-IN

    الغري لم اجد اي match مقابل اي سطر من سطور ACL و هدا الشيء مستحيل ان لا يكون هنك مطابقة للترافيك مع اي جملة في ACL
    طيب رحت سويت الامر التالي

    sh ip nat trans
    ووجدت من ضمن نواتج عملية NAT ان الايبي الخاص ب attacker موجود وانه يحاول الوصول للبورت 135 على السيرفر طيب ليه ما في اي match مع الجملة الي اضفتها على ACL ؟؟؟؟

    قمت رحت طبقت الامر التالي حتى اتاكد ان ان ACL مطبقة على الانترفيس
    sh ip int dialer 0 ( طبعا dialer 0 لان الخط الي صاير عليه الهجوم هو خط ADSL )
    وجدت ان من المخرجات ان ACL مطبقة و هدا الناتج
    Inbound access list is ADSL-In
    استرعي انتباهي هنا اسم ACL ( ِADSL-In )
    فعليا هو الاسم ADSL-IN ( لاحظو حرف N ) قلت لا يكون IOS في الراوتر case sensitive في تعامله مع اسم ACL و ان الانترفيس يتعامل مع ACL اخرى مفترضا اسمها ADSL-In

    طبعا قمت عدلت الاسم على الانتفريس بالامر التالي
    no ip access-group ADSL-In in
    ip access-group ADSL-IN in
    الان رجعت لتطبيق الامر السابق لاتاكد هل نظريتي كانت صحيحة بخصوص الاسم

    sh ip access-lists ADSL-IN

    بالفعل وقتها وجدت ان هناك match مع جملة deny التي قمت باضافتها مسبقا ,,, و هنا كان مصدر الخطأ من اسم ACL و case sensitive

    طيب خطوة اخيرة للتاكد من ان attacker لم يعد يمكنه الوصول للسيرفر و انه بداية من الراوتر يتم منعه ,,,
    رجعت لل wireshrk و بالفعل لم اجد اي ترافيك قادم من جهة attacker حتى TCP SYN and TCP RST لم تعد تظهر

    و هكدا حلت المشكلة و لله الحمد ,,, و اتمنى من الجميع ان يكون قد استفااد و دعواتكم لنا بظهر الغيب

    اخوكم / ابو فهد

  2. #2
    عضوية جديدة الصورة الرمزية c i s c o
    تاريخ التسجيل
    Jul 2008
    المشاركات
    71
    معدل تقييم المستوى
    0

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    بارك الله فسك يا ابو فهد...بالفعل معلومات وخطوات مهمه جدا

  3. #3
    عضو
    تاريخ التسجيل
    Feb 2009
    المشاركات
    22
    الدولة: Tunisia
    معدل تقييم المستوى
    0

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    ممتاز اخي و ربنا يبارك فيك شكرا شكرا شكرا شكرا

  4. #4
    عضو برونزي الصورة الرمزية one-zero
    تاريخ التسجيل
    Jul 2007
    المشاركات
    8,296
    معدل تقييم المستوى
    59

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    بارك الله فيك و احي روح المشاركة و التعاون فيك
    [CENTER][SIZE=4]{[COLOR=red]وَإِذْ يَمْكُرُ بِكَ الَّذِينَ كَفَرُوا لِيُثْبِتُوكَ أَوْ يَقْتُلُوكَ أَوْ يُخْرِجُوكَ وَيَمْكُرُونَ وَيَمْكُرُ اللَّهُ وَاللَّهُ خَيْرُ الْمَاكِرِينَ[/COLOR]}[/SIZE][SIZE=4]…[/SIZE][SIZE=6][SIZE=4](الأنفال:30)
    [URL="http://www.facebook.com/pages/yasserauda/215036411882800"]للتواصل معي عبر الفيس بوك اضغط هنا
    [/URL][URL="http://www.youtube.com/watch?v=37LoZWjv1HE&feature=player_profilepage"][/URL][URL="http://www.facebook.com/pages/yasserauda/215036411882800"] صفحتي الخاصه على الفيس بوك
    [/URL][URL="http://www.facebook.com/pages/Mentored-Learning-New-Horizons-Dubai/234720379925819"]صفحة التعليم الارشادي على الفيس بوك
    [/URL][URL="http://www.youtube.com/user/yasserramzyauda"]قناتي على اليوتيوب
    [/URL][/SIZE][/SIZE][SIZE=3][URL="http://yasserauda.blogspot.com/"]مدونتي الخاصه[/URL][/SIZE][/CENTER]

  5. #5
    عضو برونزي الصورة الرمزية moataz1983
    تاريخ التسجيل
    Oct 2008
    المشاركات
    1,389
    معدل تقييم المستوى
    11

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    جزاك الله كل خير
    [SIZE=3][COLOR=red][CENTER][B][I][COLOR=#000000][FONT=Times New Roman][/FONT][/COLOR][/I][/B] [/CENTER]
    [CENTER][B][I][FONT=Times New Roman][COLOR=#000000]M [COLOR=blue]@[/COLOR][COLOR=royalblue]┴[/COLOR][COLOR=blue]@ [/COLOR]Z[/COLOR][/FONT][/I][/B][B][I][/I][/B][/CENTER]
    [CENTER][/COLOR][/SIZE][SIZE=3][COLOR=red]YES WE CAN[/COLOR][/SIZE][/CENTER]

  6. #6
    عضو
    تاريخ التسجيل
    Nov 2007
    المشاركات
    153
    الدولة: Palestinian Territory
    معدل تقييم المستوى
    0

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    بارك الله فيك على المساهمة الفعالة , ولاكن أريد أن أسئلك ؟؟؟؟؟ هل ال WSUS هو ال windows update server , وبارك الله فيك .

  7. #7
    عضو
    تاريخ التسجيل
    Jun 2008
    المشاركات
    135
    معدل تقييم المستوى
    0

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    جزاك الله خيرا
    CCNA SECURITY
    CCNA
    CCSP IN PROGRESS

  8. #8
    عضو
    تاريخ التسجيل
    Jun 2006
    المشاركات
    835
    الدولة: France
    معدل تقييم المستوى
    15

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    اقتباس المشاركة الأصلية كتبت بواسطة الفاروقان مشاهدة المشاركة
    بارك الله فيك على المساهمة الفعالة , ولاكن أريد أن أسئلك ؟؟؟؟؟ هل ال WSUS هو ال windows update server , وبارك الله فيك .
    WSUS هو Windows Server Update Services
    و اعتقد هو ما عنيته لكن يمكن انت اخطات في كتابة معنى المصطلح

  9. #9
    عضو الصورة الرمزية mhmsaber1
    تاريخ التسجيل
    Jun 2009
    المشاركات
    166
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    شكرا ابو فهد
     ربنا ظلمنا أنفسنا وان لم تغفر لنا وترحمنا لنكونن من الخاسرين "
    اللهم أغفرلى وللمؤمنين والمؤمنات الاحياء منهم والاموات

    :ah40:سبحان الله وبحمدة سبحان الله العظيم:ah40:

    الحياة sin wave لذيذة

  10. #10
    عضو الصورة الرمزية qobtan_3005
    تاريخ التسجيل
    Sep 2006
    المشاركات
    475
    معدل تقييم المستوى
    0

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    جزاك الله خيرا
    الحمد لله finally CCNP



  11. #11
    عضوية جديدة الصورة الرمزية zodiac84
    تاريخ التسجيل
    Jan 2009
    المشاركات
    37
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    جميل جدا انك شرحت الخطوات والواحد بيتعلم من فكر الغير وترتيب ايجاد الحل للمشكله
    شكرا اخي الغالي علي المعلومات القيمه

  12. #12
    عضو الصورة الرمزية alisaed
    تاريخ التسجيل
    Dec 2006
    المشاركات
    308
    الدولة: Palestinian Territory
    معدل تقييم المستوى
    12

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    مشكور اخي الكريم

  13. #13
    عضو الصورة الرمزية abo Abdullah
    تاريخ التسجيل
    Jul 2008
    المشاركات
    211
    معدل تقييم المستوى
    0

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    جزاك الله خيرا أخي أبو فهد، وهذه هي المشاركة الحقيقية للخبرة العملية

    أحييك وأتمنى استمرار المشاركات من هذا النوع
    رأيت الذنوب تميت القلوب *** وقد يورث الذل إدمانها
    وترك الذنوب حياة القلوب *** وخير لنفسك عصيانها


    Telecom Engineer

  14. #14
    عضو الصورة الرمزية chikou
    تاريخ التسجيل
    Dec 2006
    المشاركات
    232
    معدل تقييم المستوى
    0

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام

    بارك الله فيك على المشاركة

  15. #15
    عضو الصورة الرمزية BENDAOUD7
    تاريخ التسجيل
    Jul 2007
    المشاركات
    793
    الدولة: Algeria
    معدل تقييم المستوى
    11

    رد: غلطة بسيطة في ACL كادت ان تكلفنا النظام



    الله يجازيك و هل يمكن أن تشرح

    كحل سريع اوقفت دخول هدا الشخص باستخدام الامر التالي على السيرفر
    ROUTE ADD ATTACKER_IP MASK 255.255.255.255 FAKE_IP METRIC 10
    FAKE_IP هنا هو اي اي بي وهمي سيقوم السيرفر بدلا من الرد فيه على attacker بارسال الرد على داك الايبي الوهمي بالتالي لن يجد attacker اي رد و ستفشل عملياته

    الكومند غير مفهوم

    اللهم وفقني لحفظ القرآن
    موضوعي حول ال virtualisation مع VMware
    http://www.arabhardware.net/forum/sh...d.php?t=215569
    تعرف على شهادة الأنستركتور CCSI
    http://www.arabhardware.net/forum/sh...54#post1851054

صفحة 1 من 2 1 2 الأخيرةالأخيرة

المواضيع المتشابهه

  1. هل هذه غلطة قراءة ولا ايه ram bus
    بواسطة hazemsagherh في المنتدى مشاكل الحاسب وحلولها
    مشاركات: 28
    آخر مشاركة: 05-02-2010, 20:04
  2. النظام الامثل للنسخ الاحتياطي لشبكة بسيطة
    بواسطة himoo_72 في المنتدى الأرشيف
    مشاركات: 0
    آخر مشاركة: 16-11-2008, 01:42
  3. مشكلة كادت أن تكلفني غاليا...
    بواسطة فني صيانة في المنتدى الأرشيف
    مشاركات: 20
    آخر مشاركة: 06-02-2006, 02:58
  4. شباب ساعدوني غلطت غلطت عمري
    بواسطة maddogq8 في المنتدى الأرشيف
    مشاركات: 6
    آخر مشاركة: 13-02-2004, 23:46

الكلمات الدلالية لهذا الموضوع

المفضلات

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •