يا عم ما تعمل فيديوهات بدل الخط الصغير اوى ده يعنى اعملك فيديوهين تلاته و يتثبتوا عشان عينيا وجعتنى
السلام عليكم ورحمة الله,
خلينا نشوف التبولوجي هذه
في web server إسمه www.cisco.com و IP تبعه 10.0.0.100
في عندنا inside users وبيستخدموا DNS server موجود على الإنترنت وهو 20.20.20.3
في موجود على الفايروال static translation عشان outside users يقدروا يتواصلوا مع web server
outside users بيدخلوا ل web server عن طريق public ip وهو 20.20.20.100static (inside,outside) 20.20.20.100 10.0.0.100 netmask 255.255.255.255
outside users بيقدر يتواصل مع web server بدون أي مشاكل
outside#ping www.cisco.com
Translating "www.cisco.com"...domain server (20.20.20.3) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/45/136 ms
outside#
بس inside users ما بيقدروا لأنه بيجيهم IP 20.20.20.100 بدلا من 10.0.0.100
inside#ping www.cisco.com
Translating "www.cisco.com"...domain server (20.20.20.3) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.100, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
inside#
في pix واضح هذا الشئ أنه inside users بيحاولوا يوصلوا لي 20.20.20.100
%PIX-7-609001: Built local-host outside:20.20.20.100
%PIX-6-305011: Built dynamic ICMP translation from inside:10.0.0.2/3 to outside:20.20.20.1/1
%PIX-6-302020: Built outbound ICMP connection for faddr 20.20.20.100/0 gaddr 20.20.20.1/1 laddr 10.0.0.2/3
%PIX-6-302021: Teardown ICMP connection for faddr 20.20.20.100/0 gaddr 20.20.20.1/1 laddr 10.0.0.2/3
الحل هو بإضافة كلمة DNS ل static translation
static (inside,outside) 20.20.20.100 10.0.0.100 netmask 255.255.255.255 dns
ping نجح لأنه firewall صار يشوف request dns هي جايه من أي إتجاه وبيغيرها إذا كانت من inside ل 10.0.0.100inside#ping www.cisco.com
Translating "www.cisco.com"...domain server (20.20.20.3) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/36/124 ms
inside#
ما في شئ يوضح انه inside users حاولوا يوصلوا ل 20.20.20.100
%PIX-7-609001: Built local-host inside:10.0.0.2
%PIX-7-609001: Built local-host outside:20.20.20.3
%PIX-6-305011: Built dynamic UDP translation from inside:10.0.0.2/62412 to outside:20.20.20.1/1028
%PIX-6-302015: Built outbound UDP connection 14 for outside:20.20.20.3/53 (20.20.20.3/53) to inside:10.0.0.2/62412 (20.20.20.1/102
%PIX-6-302016: Teardown UDP connection 14 for outside:20.20.20.3/53 to inside:10.0.0.2/62412 duration 0:00:00 bytes 78
%PIX-7-609002: Teardown local-host outside:20.20.20.3 duration 0:00:00
%PIX-6-305012: Teardown dynamic UDP translation from inside:10.0.0.2/62412 to outside:20.20.20.1/1028 duration 0:00:30
%PIX-7-609002: Teardown local-host inside:10.0.0.2 duration 0:00:30
CCIE Security #25719, CCNA Voice
يا عم ما تعمل فيديوهات بدل الخط الصغير اوى ده يعنى اعملك فيديوهين تلاته و يتثبتوا عشان عينيا وجعتنى
ولا تزعل يا عم , كبرت الخط علشانك.
صراحة ما عندي وقت أعمل فيديوهات عشان بأذاكر ل CCIE وما احس نفسي قوي في هذه الناحية (التدريس)
شكرا اخي minimax
ومجهودك يجزيك الله خير و بالتوفيق في الامتحان
[CENTER][SIZE=4]{[COLOR=red]وَإِذْ يَمْكُرُ بِكَ الَّذِينَ كَفَرُوا لِيُثْبِتُوكَ أَوْ يَقْتُلُوكَ أَوْ يُخْرِجُوكَ وَيَمْكُرُونَ وَيَمْكُرُ اللَّهُ وَاللَّهُ خَيْرُ الْمَاكِرِينَ[/COLOR]}[/SIZE][SIZE=4]…[/SIZE][SIZE=6][SIZE=4](الأنفال:30)
[URL="https://www.facebook.com/pages/yasserauda/215036411882800"]للتواصل معي عبر الفيس بوك اضغط هنا
[/URL][URL="https://www.youtube.com/watch?v=37LoZWjv1HE&feature=player_profilepage"][/URL][URL="https://www.facebook.com/pages/yasserauda/215036411882800"] صفحتي الخاصه على الفيس بوك
[/URL][URL="https://www.facebook.com/pages/Mentored-Learning-New-Horizons-Dubai/234720379925819"]صفحة التعليم الارشادي على الفيس بوك
[/URL][URL="https://www.youtube.com/user/yasserramzyauda"]قناتي على اليوتيوب
[/URL][/SIZE][/SIZE][SIZE=3][URL="https://yasserauda.blogspot.com/"]مدونتي الخاصه[/URL][/SIZE][/CENTER]
جزاك الله خيراً يابطل ووفقك في امتحان CCIE
CCNA SECURITYCCNACCSP IN PROGRESS
هو طبعا في غلط في التوبولجي والمفروض www server يكون في DMZ
حنغير الأمر ل
static (dmz,outside) 20.20.20.100 192.168.2.100 netmask 255.255.255.255 dns
-----------------------------------------------------------------------------------------------
في نقطة ثانية وهي كيف ممكن نخدع الهاكر ونخليه ما يعرف نوع www server لأنه لو الهاكر عرف نوع www server سواء كان apache أو Microsoft فممكن يعرف أنواع Exploits المتوفرة ويستغلها
Router#telnet www.cisco.com 80
Trying www.cisco.com (20.20.20.100, 80)... Open
HTTP/1.1 400 Bad Request
Date: Fri, 01 Mar 2002 00:03:25 GMT
Server: cisco-IOS
Accept-Ranges: none
400 Bad Request
[Connection to www.cisco.com closed by foreign host
عرفنا أنه Cisco Router
----------------------------------------------------------
الحل بإستخدام ASA أو PIX
حنعرف Access-list عشان نحدد نوع الترافيك
access-list 140 extended permit tcp any host 20.20.20.100 eq www
حنستخدم هذه Access list في class-map من نوع layer 3
class-map www-spoof
match access-list 140
في class-maps و policy-maps خاصة ب inspection وهي موجودة في ASA/PIX و IOS Routers وهم من نوع layer 7
حددنا نوع policy-map وخليناه http وبعدين حنغير قيمة server إلى إسم ثاني (minimax)
policy-map type inspect http spoof
parameters
spoof-server "minimax"
حنربط class-map إلي من نوع layer 3 في global policy map و نعمل inspection ل http عن طريق layer 7 policy-map
policy-map global_policy
class www-spoof
inspect http spoof
لما نجرب مرة ثانية, طلع عندنا إسم minimaxRouter#telnet www.cisco.com 80
Trying www.cisco.com (20.20.20.100, 80)... Open
HTTP/1.1 400 Bad Request
Date: Fri, 01 Mar 2002 00:06:15 GMT
Server:minimax
Accept-Ranges: none
400 Bad Request
"
بارك الله فيك ولو انى حاسس انى مش فاهم حاجة خاااااااالص
* متى وجدت الإرادة والصبر زالت الصعاب.
* احسن وسيلة للتغلب على الصعاب اختراقها.
المفضلات