قوّ دفاعات شبكتك بحفرة الإغراق

حفرة الإغراق اسم غريب لإحدى وسائل حماية الشبكة، ولكنّ هذا الاسم له ما يبرّره. من يتابع آخبار البرمجيّات الخبيثة يعرف أنّها في إزدياد مضطرد. ومبرمجوها يزيدون من طرق إخفائها وشركات الحماية بكل تقنيات الحماية لا زالت متأخّرة عن الّلحاق بالمهاجمين. فالمهاجمون اليوم يعملون لعصابات الإجرام الالكتروني والتي تدفع بسخاء لجذب المطوّرين المهرة من أجل انتاج أداوت تساعد في سرقة معلومات المستخدمين.

البرمجيّات الخبيثة تقوم بإرسال معلومات المستخدم إلى خادم بعيد، كذلك تتلقى أوامر من الخادم البعيد أو ما يعرف بمركز السيطرة والتّحكم، إمّا من أجل المشاركة في هجوم، أو في تلقي تحديث…إلخ. حفرة الإغراق تعمل ضمن إطار الدّفاع في العمق. فكرة عملها بسيطة ولكنّها فعّالة بشكل كبير. الحفرة هي عبارة خادم DNS محلّي. يقوم متصفح المستخدم أو أحد البرمجيات الأخرى على حاسوبه بطلب موقع ما. هذا الطلب يذهب الى حفرة الإغراق، حفرة الإغراق تحتوي على قائمة سوداء بالمواقع المشبوهة. إذا كان الطلب لموقع غير مشبوه يتمّ تحويل عنوان الموقع الحقيقي للبرنامج الطالب. أمّا إذا كان العنوان مشبوهاً يتمّ إعطاء الطالب عنوان غير موجود وهذا بدوره يقطع اتصال البرنامج المصاب أو الصفحة المغلومة مع الخادم البعيد (مثل مركز السيطرة والتّحكم). الشكل التالي يظهر هذه العملية

حفرة الإغراق

لن نتناول هنا طريقة تثبيت حفرة الإغراق (إن كان هناك مشمّر لذلك فنحن ندعمه طبعاً :). ولكن عن طريقة تحديثها.

اذهب الى المجلّد scripts


cd ~/scripts

اطلب الأمر التّالي

sinkhole_parser.sh

من القائمة


DNS Sinkhole Menu

A. Manually add single domain to sinkhole
D. Download sinkhole udpates
T. Testing new zone file for errors
F. Empty PowerDNS database of all its records
R. Zone check failed, restore and exit
B. Zone file is good, load it in Bind and exit
P. Zone file is good, load PowerDNS and exit
E. Exit script

What is your choice?

اختر D من أجل تحميل التحديثات لقاعدة الحفرة. ومن ثمّ T لاختبارها. إن نجح الإختبار اختر B من أجل إعادة تشغيل خادم ال DNS بهذه التحديثات.

قم بتغيير خادم ال DNS المحلّي للحواسيب في شبكتك إلى عنوان الحفرة (خادم ال DNS الجديد). الآن أي طلب تقوم بهذه الحواسيب لموقع ما سيذهب للحفرة أولاً إن كان الموقع موجود في قائمة المواقع المشبوهة سيذهب الى لا شيء وبالتّالي يتمّ قطع الاتصال المشبوه. إن كان الموقع سليماً ستظهر الصفحة المطلوبة.

تعديل الأعدادات في ويندوز 7

ملاحظة: هناك مشكلة في حفرة الإغراق حيث انّها تعتمد على مواقع تقوم بمتابعة المواقع والبرمجيّات الضّارة وهذه المواقع في بعض الأحيان تضع خطأ مواقع سليمة ضمن قائمة المواقع المشبوهة. قمنا بمراسلة المطوّر وزوّدنا مشكوراً بتحديث للملف. التحديث يقوم على استخدام ملف يدعى checked_sites يمكننا من إضافة المواقع التي نثق بها والتي تمّ تشخيصها خطأً على أنّها ضارّة.

ملاحظة 2: الموقع الرئيسي للاصدارة لا يعمل حاليّاً لذلك قمنا برفعها على موقعنا لحين عودة الموقع الرّسمي للإصدارة. النّسخة المتوفّرة تدعم معياريّة 64bit فقط.

لتحميل الإصدارة من الموقع الرّسمي اضغط هنا

ملف كيفيّة التّثبيت والاستخدام هنا

نبذة عن الكاتب

التعليقات:

أضف تعليقاً | عدد التعليقات: (9)

  1. السلام عليكم …
    مشكور عالموضوع والبرنامج … لكن أعتقد يمكن بسهولة تجاوزه وذلك بإستعمال DNS خارجي مثل جوجل أو أوبن DNS …

    لو كان هو موجود على الخادم الذي يمرر البيانات للأنترنت مثلا؟ كان ممكن تنفع حتى لو أستعمل DNS خارجي … لكن بالشكل الذي بالأعلى أتوقع ممكن تجاوزه … هذا والله اعلم …

    ألف شكر مرة أخرى …

    • بشار قال:

      وعليكم السلام ورحمة الله وبركاته

      حيّاك الله أبو محمد.

      وهناك عدّة طرق لكي تمنع ذلك في شبكتك. 1- تفرض ال DNS عبر GPO
      2- تقوم بمنع الوصول الى خوادم ال DNS الخارجيّة عبر الجدار النّاري. 3- تقوم بمنع الاتصال بمنفذ 53 الى الخارج من أي حاسوب داخلي سوى خادم ال DNS المحلّي عبر الجدار النّاري.

  2. الله يحييك هلا أخوي بشار …
    GPO على جماعة ويندوز وفهمناها، لكن على جماعة لينُكس شلون ؟ 🙂
    كذلك عملية منع الوصول للخوادم تلك بواسطة الجدار الناري يمكن تجاوزها وأنت سيد العارفين …

    صدقاً إن لم يكن هذا النظام هو الجدار الناري ويعمل Packet Inspection، فإنني أتوقع يمكن تجاوزه … هذا والله أعلم …

    بالمناسبة، هناك أجهزة أكتشفتها من فترة ليست طويلة من شركة Cyberoam صدقاً عقدني ولم أتمكن من تجاوزه بتاتاً 🙁

    • بشار قال:

      يا ابو محمد انت بدّك تفترض إنّه هناك شخص داخل الشبكة ضليع في الأمور الأمنيّة حتى يتجاوز ال DNS المخصص لمستخدمين الشّبكة، لا مستخدم عادي كل ما يهمّه هو أن يكون متصل بالانترنت. إذا كان لديك مثل هذا الشخص (الضليع أمنيّاً) فاعطه وظيفة أمنيّة داخل الشركة :).

      نحن نتحدّث عن إجراء يمكن لمدير الشّبكة استخدامه لحماية شبكته في العمل. أو مستخدم منزلي يريد حماية شبكته المنزليّة باستخدام أداة مجّانيّة.

      هناك أداة تقوم على نفس الفكرة ثمنها يزيد قليلاً على ال 500 ألف دولار إذا كانت لديك الميزانيّة فسيكون لديك حل مثالي 😀

  3. بشار أنا أحب أفترض الأسوء … وهو ليس شرط إن هناك موجود شخص أمني وخبير، وإنما عابثين … يارجل أعرف صديق لي يعاني في عمله من مثل هؤلاء وأقول “هؤلاء” يعني ليس واحد، ولا ثنين ولا ثلاثة بل تقريباً جُل الموظفين !!!

    يارجل لو معي 500 ألف دولار؟ كان أختفيت من الأنترنت كله هههههه

    • بشار قال:

      دعنا نفترض الأسوأ. لماذا يودّ شخص تغيير ال DNS إذا كان قادر على الوصول إلى الغالبيّة العظمى من المواقع؟ هو مثلاً غير ممنوع من زيارة فسيبوك (على سلبياته في بيئة عمل).

      السّؤال الآخر لماذا يعاني صديقك؟ على فرض كل الموظفين محترفين. هل كل الموظفين لديهم صلاحيّات تعديل على الجدار النّاري؟ وعلى الموجّه (router)؟ إذا كان الجواب بلا، فلن يستطيع هؤلاء الموظفين تجاوز الحماية الموجودة إذا كانت الإعدادت سليمة وهناك مراقبة مستمرة لما يحدث داخل الشّبكة.

      إذا كان الجواب نعم، فموضوعنا هنا بل والحماية بشكل عام لا تتطرق لهؤلاء لأنّه لا يمكن حماية بيئة الكل فيها قادر على التعديل والتجاوز ولا توجد مراقبة ومحاسبة.

      بخصوص ال 500 ألف دولار، إذا توفّر لدي هذا المبلغ فسأستثمره في عدّة مشاريع كلّها في الإنترنت ستدّر عليّ عشرة أضعاف المبلغ على الأقل :).

  4. في الحالة الأولى، لن يحتاج وقتها للتغيير أكيد …

    بخصوص الشخص، نعم لا يملكون صلاحيات التعديل لا على الموجه ولا على الجدار الناري … ولكن لكونه لازال الى اليوم يستعمل ISA الكل يتجاوز بسهولة من خلال إستعمال HTTPS والذي لا تغلقه ISA لسبب مجهول !

    يارجل خليها تجي الـ 500 بالأول وبعدين نفكر بماذا نستثمرهم أو ماذا نعمل بهم :$

  5. Raimond قال:

    شكرا أخواني، لكن اذا اعتمد على IP ثابت ما العمل؟

أكتب تعليق