بارك الله فسك يا ابو فهد...بالفعل معلومات وخطوات مهمه جدا
السلام عليكم
موضوعي اليوم هو عن مشكلة واقعية حدثت معي في العمل اليوم صباحا و الحمدلله قمت بحلها و احببت وضعها هنا للفائدة و من باب نشر العلم فدعواتكم لنا يا اخوة ,,,
المشكلة تتلخص بالتالي و هي مفيدة لكلا العاملين في مجال مايكروسوفت و سيسكو
الشبكة المسؤول عنها تحتوي عدة سيرفرات محمية برواتر يحتوي خطان ADSL و الاخر Leased Line
كل خط مسؤول عن تزويد عدد من السيرفرات بخدمة معينة ,,,
ناتي للمشكلة الان
مند فترة واجهتنا مشكلة lock out لعدد من المستخدمين و خاصة Built-In users متل IUSR و IWAM و غيره
طبعا كلما راجعت security log from event viewer وجدت ان هناك بيانات توضح بأن هناك من يحاول ان يستخدم المستخدمين انفي الدكر من قبل اسم جهاز معين غير موجود ضمن الشبكة و طبعا لعدم معرفته بالباسوورد لهؤلاء المستخدمين و بناء على policy الموجودة في الشبكة يتم عمل lock بعد 3 محاولات فاشلة ,,,
اليوم صباحا وجدت ان WSUS لم يعد يعمل و ظهرت عندي عدة رسائل للخطأ بعد تعقب للمشكلة وجدت ان IUSR قد تم عمل Lock له فقررت حينها تعقب من قام باستخدام هدا المستخدم ,,, و ها هي الخطوات للفائدة :
اولا ,,, قمت بمراجعة الملف netlogon.log لمعرفة من دخل على النظام و من اي سيرفر تمت عملية الدخول و استخدام IUSR user ,,, وجدت ان هناك جهاز قام باستخدام اكتر من مستخدم موجودين داخل الاكتيف دايركتوري ,, بناء على هده المعلومات قمت بمعرفة اسم الجهاز و الان بقي علي معرفة الايبي الخاص ب attacker و ماهو البورت المستهدف في السيرفر
الخطوة التانية باستخدام برنامج Tennable Nessus حددت البورتات الممكن ان تكون مناطق ضعف
الخطوة التالتة باستخدام Wireshrk تعقبت المعلومات الداخلة على السيرفر وحددت attacker IP وحددت البورت و بالفعل كان واحد من البورتات ( بورت 135 ) التي حددها لي برنامج Tennable Nessus
كحل سريع اوقفت دخول هدا الشخص باستخدام الامر التالي على السيرفر
ROUTE ADD ATTACKER_IP MASK 255.255.255.255 FAKE_IP METRIC 10
FAKE_IP هنا هو اي اي بي وهمي سيقوم السيرفر بدلا من الرد فيه على attacker بارسال الرد على داك الايبي الوهمي بالتالي لن يجد attacker اي رد و ستفشل عملياته ,,, بالنسبة لي هدا حل مؤقت و كان لابد من وضع حل دائم باستخدام ACL على الراوتر ,,, لكن ما حيرني فعلا هناك ACL مطبقة و قد قمت بتصميمها بطريقة تمنع اي هجوم و لكن لمادا لم تعمل ,,,, هنا السؤال !!!!!!!!!
طيب نرجع للحل المؤقت الدي قمت بتطبيقه ,,, لابد من التاكد هل نجح ام لا
رجعت مرة اخرى لل wireshrak و راقبت الترافيك القادم من attacker IP ووجدت انه قد تم منعه و لم يعد يستطع الدخول للسيرفر ,,, طبعا كيف عرفت انه لم يعد يستطع مهاجمة النظام :
وجدت انه يستخدم بورتات عشوائية لاختراق بورت 135 كل بورت يستخدمه لابد من القيام بعمليه TCP handshaking و هي تبدأ بارسال TCP SYN ,,, طبعا لاحظت ان كل 3 باكتات TCP SYN يقووم attacker بالرد عليها بباكت TCP RST بمعنى ان عملية handshaking قد فشلت و هكدا استمر attacker باستخدام بورتات اخرى للوصول للبورت 135 و لكن نفس الالية 3 SYN يتبعها RST ,,, الحمدلله الان السيرفر محمي لكن هدا لا يكفي ف attacker استطاع تخطي الراوتر ,,, لدا لا بد من مراجعة ACL ???
بيداية قمت باضافة السطر التالي على ACL الخاصة ب inbound
deny tcp any host 192.186.1.1 eq 135
و طبقت بعدها الامر التالي
sh ip access-lists ADSL-IN
الغري لم اجد اي match مقابل اي سطر من سطور ACL و هدا الشيء مستحيل ان لا يكون هنك مطابقة للترافيك مع اي جملة في ACL
طيب رحت سويت الامر التالي
sh ip nat trans
ووجدت من ضمن نواتج عملية NAT ان الايبي الخاص ب attacker موجود وانه يحاول الوصول للبورت 135 على السيرفر طيب ليه ما في اي match مع الجملة الي اضفتها على ACL ؟؟؟؟
قمت رحت طبقت الامر التالي حتى اتاكد ان ان ACL مطبقة على الانترفيس
sh ip int dialer 0 ( طبعا dialer 0 لان الخط الي صاير عليه الهجوم هو خط ADSL )
وجدت ان من المخرجات ان ACL مطبقة و هدا الناتج
Inbound access list is ADSL-In
استرعي انتباهي هنا اسم ACL ( ِADSL-In )
فعليا هو الاسم ADSL-IN ( لاحظو حرف N ) قلت لا يكون IOS في الراوتر case sensitive في تعامله مع اسم ACL و ان الانترفيس يتعامل مع ACL اخرى مفترضا اسمها ADSL-In
طبعا قمت عدلت الاسم على الانتفريس بالامر التالي
no ip access-group ADSL-In in
ip access-group ADSL-IN in
الان رجعت لتطبيق الامر السابق لاتاكد هل نظريتي كانت صحيحة بخصوص الاسم
sh ip access-lists ADSL-IN
بالفعل وقتها وجدت ان هناك match مع جملة deny التي قمت باضافتها مسبقا ,,, و هنا كان مصدر الخطأ من اسم ACL و case sensitive
طيب خطوة اخيرة للتاكد من ان attacker لم يعد يمكنه الوصول للسيرفر و انه بداية من الراوتر يتم منعه ,,,
رجعت لل wireshrk و بالفعل لم اجد اي ترافيك قادم من جهة attacker حتى TCP SYN and TCP RST لم تعد تظهر
و هكدا حلت المشكلة و لله الحمد ,,, و اتمنى من الجميع ان يكون قد استفااد و دعواتكم لنا بظهر الغيب
اخوكم / ابو فهد
بارك الله فسك يا ابو فهد...بالفعل معلومات وخطوات مهمه جدا
ممتاز اخي و ربنا يبارك فيك شكرا شكرا شكرا شكرا
بارك الله فيك و احي روح المشاركة و التعاون فيك
[CENTER][SIZE=4]{[COLOR=red]وَإِذْ يَمْكُرُ بِكَ الَّذِينَ كَفَرُوا لِيُثْبِتُوكَ أَوْ يَقْتُلُوكَ أَوْ يُخْرِجُوكَ وَيَمْكُرُونَ وَيَمْكُرُ اللَّهُ وَاللَّهُ خَيْرُ الْمَاكِرِينَ[/COLOR]}[/SIZE][SIZE=4]…[/SIZE][SIZE=6][SIZE=4](الأنفال:30)
[URL="https://www.facebook.com/pages/yasserauda/215036411882800"]للتواصل معي عبر الفيس بوك اضغط هنا
[/URL][URL="https://www.youtube.com/watch?v=37LoZWjv1HE&feature=player_profilepage"][/URL][URL="https://www.facebook.com/pages/yasserauda/215036411882800"] صفحتي الخاصه على الفيس بوك
[/URL][URL="https://www.facebook.com/pages/Mentored-Learning-New-Horizons-Dubai/234720379925819"]صفحة التعليم الارشادي على الفيس بوك
[/URL][URL="https://www.youtube.com/user/yasserramzyauda"]قناتي على اليوتيوب
[/URL][/SIZE][/SIZE][SIZE=3][URL="https://yasserauda.blogspot.com/"]مدونتي الخاصه[/URL][/SIZE][/CENTER]
جزاك الله كل خير
[SIZE=3][COLOR=red][CENTER][B][I][COLOR=#000000][FONT=Times New Roman][/FONT][/COLOR][/I][/B] [/CENTER]
[CENTER][B][I][FONT=Times New Roman][COLOR=#000000]M [COLOR=blue]@[/COLOR][COLOR=royalblue]┴[/COLOR][COLOR=blue]@ [/COLOR]Z[/COLOR][/FONT][/I][/B][B][I][/I][/B][/CENTER]
[CENTER][/COLOR][/SIZE][SIZE=3][COLOR=red]YES WE CAN[/COLOR][/SIZE][/CENTER]
بارك الله فيك على المساهمة الفعالة , ولاكن أريد أن أسئلك ؟؟؟؟؟ هل ال WSUS هو ال windows update server , وبارك الله فيك .
جزاك الله خيرا
CCNA SECURITYCCNACCSP IN PROGRESS
شكرا ابو فهد
ربنا ظلمنا أنفسنا وان لم تغفر لنا وترحمنا لنكونن من الخاسرين "
اللهم أغفرلى وللمؤمنين والمؤمنات الاحياء منهم والاموات
:ah40:سبحان الله وبحمدة سبحان الله العظيم:ah40:
الحياة sin wave لذيذة
جزاك الله خيرا
الحمد لله finally CCNP
جميل جدا انك شرحت الخطوات والواحد بيتعلم من فكر الغير وترتيب ايجاد الحل للمشكله
شكرا اخي الغالي علي المعلومات القيمه
مشكور اخي الكريم
جزاك الله خيرا أخي أبو فهد، وهذه هي المشاركة الحقيقية للخبرة العملية
أحييك وأتمنى استمرار المشاركات من هذا النوع
رأيت الذنوب تميت القلوب *** وقد يورث الذل إدمانها
وترك الذنوب حياة القلوب *** وخير لنفسك عصيانها
Telecom Engineer
بارك الله فيك على المشاركة
الله يجازيك و هل يمكن أن تشرح
كحل سريع اوقفت دخول هدا الشخص باستخدام الامر التالي على السيرفر
ROUTE ADD ATTACKER_IP MASK 255.255.255.255 FAKE_IP METRIC 10
FAKE_IP هنا هو اي اي بي وهمي سيقوم السيرفر بدلا من الرد فيه على attacker بارسال الرد على داك الايبي الوهمي بالتالي لن يجد attacker اي رد و ستفشل عملياته
الكومند غير مفهوم
اللهم وفقني لحفظ القرآن
موضوعي حول ال virtualisation مع VMware
https://www.arabhardware.net/forum/s...d.php?t=215569
تعرف على شهادة الأنستركتور CCSI
https://www.arabhardware.net/forum/s...54#post1851054
المفضلات