الأربعاء، 22 يناير 2020

Cisco SPAN

سيسكو  SPAN








هي خاصية متوفرة في سويتشات سيسكو وهي نفسها المتعارف عليها ب port  mirroring والتي تتيح لمدير الشبكة امكانية نسخ البيانات المارة بجهاز السويتش لأغراض متعددة منها مثلا تسجيل المكالمات أو اكتشاف الملفات الضارة المحمولة في البيانات المرسلة عبر الشبكة.

يمكن تهئية السويتش ليقوم بنسخ تلك البيانات وارسلها لجهاز تسجيل المكالمات او مثلا نسخ البيانات وارسلها لجهاز تحليل Intrusion Detection System
.(IDS)

نقوم بتحديد مصدر تلك البيانات بناء على المنافذ أو ال VLANs معينة وارسالها عبر منفذ من منافذ السويتش ليكون هذا المنفذ هو ال destination لتلك البيانات المنسوخة.

الاثنين، 20 يناير 2020

IP SLA













سيسكو  IP SLA


هي خاصية متوفرة في أجهزة نقوم من خلال بارسال رسائل للتأكد من امكانية الوصول reachability لنقطة معينة في إحدى الشبكات أو التـاكد من مستوى الاداء لخدمة معنية أو زمن المستغرق لنقل بينات خدمة  معينة.
هذه الخاصية متاحة على أجهزة سيسكو فقط، وبالتالي يمكن تشغيلها بنمطين:
-          الأول Source-responder وهنا يجب انا يكون الجهازين المعنيين بالفحص من أجهزة سيسكو بحيث يقوم الطرف الأول بارسال رسالة فحص probe مرتبطة بخدمة  معينة مثل DNS او HTTP او غيرها، ويقوم الطرف الأخر بالرد على رسالة الطرف الأول بحيث تحمل هذه الرسائل اختام الاوقات للوصول والمغادرة وغيرها ليستفاد منها بحسابات مختلفة متعلقة بالأزمان.
-          الثاني يكون الطرف الأخر من غير أجهزة سيسكو وهنا يتم استخدام رسائل من نوع ICMP-echo بحيث يتم فحص الوصولية والزمن المستغرق بنقل البيانات عبر الشبكات بين الطرفين.

يمكن ربط نتائج الفحص بعدة عمليات مثل routing أو بروتوكول HSRP وغيرها.

الاثنين، 2 سبتمبر 2019

ثغرات شبكات الحاسوب ذات العلاقة بالطبقة الثانية

تعتبر ثغرات(Layer 2)  من أخطر الثغرات على الشبكة الداخلية والتي قد تسبب عطل الشبكة نهائيا. من هذه الاخطار:
·        MAC address Spoofing
·        STP Manipulation
·        MAC address Table Overflows
·        LAN Storms
·        LAN Attacks
·        MAC Address Spoofing
يحصل عندما يقوم المخترق بتغيير MAC address لجهازه بحيث يوافق عنوان جهاز آخر أو نقطة أخرى بالشبكة، بحيث تتحول البيانات المرسلة لتتجه للجهاز المخترَق.

STP Manipulation
يقوم المخترق من خلال جهازه الموصول بالشبكة الداخليةLAN  بإرسال BPDU وكأن جهازه عبارة عن جهاز سويتش، بحيث تحتوي ال BPDU على BID مع افضلية أقلLower priority  على بقية السويتشات. إذ يصبح جهاز المخترِق هو root bridge بطريقة ماكرة وبالتالي فإن البيانات المرسلةtransmitted data  لا بد من أن تسلك من خلال ال root bridge المحتال. وهنا يعرف المخترق الكثير من المعلومات للشبكة الداخلية مثل كلمات المرور (Passwords).

MAC Address Table Overflow
يقوم الشخص المخترق بارسال عدد كبير من frames بحيث يقوم بتغيير ال MAC address لكل frame مرسل وذلك من أجل يملأ ال MAC table  للسويتش بعدد كبير من العناوين وبالتالي الوصول للحد الأقصى لل MAC table. إذ أن لكل سويتش سعة محددة لل MAC table وعند الوصول لهذا الحد فإنه يتعذر على السويتش التعرف علىMAC address  جديدة موصولة بالشبكة. وبالتالي يقوم السويتش بارسال البيانات بطريقة الإغراق (flooding)  للأجهزة غير المعروفة (اي التي ليس لها عنوان في الMAC table) وهنا تصل كل البيانات المرسلة لجهاز المخترق.

LAN Storms
هناك شكل من اشكال ارسال البيانات يتم بطريقة ال (broadcast)،اذ تستخدم عدد من البروتوكولات مثل ARP و DHCPوغيرها من البروتوكولات هذه الطريقة كما تستخدم كأساليب تخريب بحيث يقوم المخترق (المهاجم) بارسال عدد كبير من (broadcast frames)  والتي تعمل على ابطاء الشبكة .

VLAN Attacks
الأجهزة الطرفية تكون عضو ب VLAN واحدة وتكون وضعية المنفذ لها (access mode)، يقوم المخترق بتحويل جهازه ليعمل عمل السويتش من خلال برمجيات خبيقة مثبتة على جهاز الحاسوب، فيقوم بارسال بيانات مغلفة بتغليف إما (ISL) أو(dot1q)  وذلك لعمل هجوم يسمى(VLAN Hopping) .
وهذا يتم بطريقتين، إما عن طريق استغلال بروتوكول
DTP الفعال على مداخل السويتش أو عن طريق double tagging .
في الطريقة الأولى يقوم المخترق بارسال رسائل DTP لتحويل منفذ السويتش الموصول عليه جهاز المخترق ليصبح بوضع (Trunk mode)، وهنا يتمكن جهاز المخترق من ارسال رسائل tagged frames مثبت عليه رقم VLAN معينة تمكنه من الوصول للأجهزة في الشبكات الافتراضية VLANs الأخرى دون المرور بجهاز gateway.
أما الطريقة الأخرى فتتم من خلالdouble tagging ، فيقوم الجهاز المخترق بارسال بيانات مغلفة بغلاف يحمل رقمين مختلفين للشبكات الافتراضية double tags ، يحمل الرقم الداخليVLAN ID  المراد الوصول للجهاز بداخلها، ويحمل الرقم الخارجي VLAN ID آخر بحيث يكون رقم ال VLAN  الذي يتبع له جهاز المخترق ويجب أن تكون هذه ال VLAN  هي نفس ال native VLAN على منفذ ال Trunk الواصل بين السويتشين.