برگزاری 9 دوره آموزشی SANS Security | آموزش تخصصی دوره های SANS Security | به روزترین مرجع آموزشی SANS به زبان فارسی | مجموعه دوره های آموزشی SANS | همگی کلیدواژه هایی هستند که شما را به این مقاله می رساند. در این مقاله قصد داریم مجموعه آموزشهای تخصصی امنیتی و نفوذ شرکت SANS Security که بصورت کامل و جامع در وب سایت توسینسو قرار گرفته اند را به شما معرفی کنیم. در ابتدا به معرفی شرکت SANS Security Institute می پردازیم و سپس ، لیستی از بهترین و برترین دوره های آموزشی سنز سکیوریتی به زبان فارسی که در وب سایت توسینسو تدریس شده است را به شما معرفی می کنیم.

سنس سکیوریتی ( SANS Security ) چیست؟ معرفی شرکت SANS

انیستیتو SANS ( سنس یا سنز ) یک مرکز آموزشهای تخصصی امنیت سایبری و تست نفود در ایالات متحده آمریکاست که بصورت یک شرکت آموزشی فوق تخصصی در زمینه آموزش هک و نفوذ  در دنیا فعالیت می کند. انیستیتو SANS Security Institute فعالیت خودش را از سال 1989 در زمینه آموزش امنیت اطلاعات ، آموزش امنیت سایبری و ارائه گواهینامه های امنیت اطلاعات در حوزه آموزش آغاز کرده است.

مهمترین عناوینی که شرکت سنز سکیوریتی در آموزشهای خود در نظر گرفته است به ترتیب آموزشهای فوق تخصصی حوزه امنیت تدافعی شبکه ، امنیت تدافعی سایبری ، تست های نفوذ سنجی ، پاسخگویی به حملات و حوادث سایبری ، کشف جرایم رایانه ای و البته بازرسی های امنیت اطلاعات متمرکز می شود.

دوره های تخصصی امنیت اطلاعاتی که توسط SANS Security تهیه و تدوین می شوند معمولا مخاطبین خاص خودشان را دارند که فعالیتی مرتبط در حوزه امنیت دارند که به ترتیب می توان از مدیران شبکه ، مدیران امنیت ، متخصصین امنیت اطلاعات و تست نفوذسنجی و هکرهای قانونمند را عنوان کرد.

بد نیست بدانید که نام انیستیتو SANS در واقع برگرفته ای  از طیف مخاطبین دوره های آموزشی امنیت اطلاعات این شرکت است که به ترتیب SysAdmins ها ، Auditor ها ، Network Engineer ها و Security Officer ها را شامل می شوند.  مهمترین دوره های تخصصی SANS Security که می توانید به زبان فارسی از آنها نهایت استفاده را بکنید را در ادامه به شما معرفی می کنیم.

هر چند که دوره های SANS هم برای انجام تست های نفوذ و هک های قانونمند است اما دوره با عنوان Ethical Hacking یا CEH یا دوره Certified Ethical Hacking مختص کمپانی EcCouncil است ، پیشنهاد می کنم مطالب زیر را نیز مطالعه کنید :

1. CEH چیست؟ معرفی دوره هک قانومند به زبان بسیار ساده
2. هک قانونمند چیست؟ آشنایی با Ethical Hacking به زبان بسیار ساده
3. تفاوت دوره CEH و SANS 560 در چیست؟ مقایسه SANS 560 و CEH

دوره آموزشی SANS SEC542 (Web Application Penetration Tester )

در دوره SANS 542 یا تست نفوذ اپلیکیشن های تحت وب شما با هنر نفوذ و هک کردن نرم افزارهای تحت وب و پیدا کردن آسیب پذیری های امنیتی وب سایتها ها در سازمان خود آشنا خواهید شد. شما با ابزارها و روشهایی که هکرها برای نفوذ به وب سایت های شما استفاده می کنند آشنا خواهید شد و با این آشنایی ، تبدیل به یک مدافع بسیار خوب در حوزه امنیت خواهید شد.

در دوره آموزش هک وب سایت ها یا SANS 542 شما با جزئیات و بصورت کاملا عملی با تمرین های متنوع و راهنمایی های مدرس می توانید مراحل چهارگانه تست نفوذ به نرم افزارهای تحت وب و وب سایت ها را به خوبی یاد بگیرید. بسیاری از حملات قدرتمند حوزه وب از جمله SQL Injection برای دسترسی و نفوذ به بانک های اطلاعاتی وب سایت ها گرفته تا دسترسی به اطلاعات حساس و البته حملات Cross Site Scripting را همگی آموزش خواهید دید.

در عین حال با تکنیک های جستجو و پیدا کردن ساختار آسیب پذیری های وب نیز آشنا خواهید شد. این دوره آموزشی SANS SEC542 برای اولین بار در ایران بصورت ویدیویی و آنلاین در وب سایت توسینسو بصورت کامل و جامع و با جدیدترین به روز رسانی ها در ادامه در دسترس شما عزیزان است.

سرفصل های دوره SANS 542 ( آموزش تست نفوذ وب )

542.1 : Introduction and Information Gathering
542.2 : Configuration, Identity, and Authentication Testing
542.3 : Injection
542.4 : JavaScript and XSS
542.5 : CSRF, Logic Flaws, and Advanced Tools
542.6 : Capture the Flag

مخاطبین دوره SANS 542 ( آموزش تست نفوذ وب ) چه کسانی هستند؟

چه چیزی در دوره SANS 542 یاد میگیریم؟

• چگونگی شناسایی و Exploit کردن ضعف ها و آسیب پذیری های Web Application
• چگونگی تشریح تهدیدات و آسیب پذیری های وب سایت های و Web Application ها
• شناخت و معرفی و چگونگی استفاده از انواع ابزار های تست نفوذ وب سایت ها و Web Application ها
• آشنایی کامل با انواع آسیب پذیر های وب مانند sqlinjection , XSS, LFI,RFI , Apath injection, XXE , Html Injection به صورت عملی و بر اساس لابراتورا های آسیب پذیر
• آشنایی با اکسپلویت نویسی به زبان هاب javascript, php و Python
• آشنایی با نحوه کد نویسی امن و Secure وب سایت ها و Web Application ها
• بیان راه های مقابله با آسیب پذیری های تحت وب بر اسا کد نویسی
• ارائه تکنیک ها و روش های دور زدن و Bypass کردن مکانیزم ها و کد نویسی های امن و Secure

دوره آموزشی SANS SEC503 ( Intrusion Detection In-Depth )

در دوره آموزشی SANS 503 شما با مفاهیم ، دانش و روشهای فنی تشخیص نفوذ و جلوگیری از حملات بصورت کاملا عملی آشنا می شوید و روشهای دفاع در برابر تهاجم به روش تشخیص نفوذ با IDS و IPS را به خوبی یاد می گیرید. در این دوره آموزشی تشخیص نفوذ در عمق ، شما با پروتکل ها و نحوه عملکرد آنها در شبکه بصورت کاملا کاربردی آشنا می شوید و به درستی مفاهیم و عملکرد TCP/IP را خواهید شناخت ، پس از یادگیری این دوره آموزشی شما می توانید ترافیک شبکه را تجزیه و تحلیل و از درون این ترافیک بصورت کاملا هوشمندانه ، حملات و خرابکاری ها را شناسایی کنید .

سرفصل های دوره SANS 503 ( آموزش تشخیص نفوذ حرفه ای )

503.1: Introduction to Wireshark
503.2: Writing tcpdump filters
503.3: IDS/IPS evasion theory
503.4: Snort rules
503.5: Analysis of three separate incident scenarios
503.6: The entire day is spent engaged in the NetWars: IDS Version challenge

مخاطبین دوره SANS 503 ( آموزش تشخیص نفوذ حرفه ای )

• متخصصین امنیت شبکه و شبکه
• فعالان عرصه امنیت سایبری
• فعالان و دانشجویان عرصه امنیت اطلاعات
• افراد علاقمند به ارتقا دانش خود به سطح SANS 503
• و تمامی افرادی که در حوزه امنیت و شبکه های کامپیوتری فعالیت میکنند

چه چیزی در دوره SANS 503 یاد میگیریم؟

• تسلط کافی بر روی TCP/IP و اجزا آن
• تسلط و آشنایی بر روی مکانیزم و نحوه پیاده سازی حملات مختلف و خطرناک شبکه های کامپیوتری
• تسلط بر روی نحوه Exploit نویسی برای حملات مختلف تحت شبکه
• تسلط بر روی کشف حملات با درک مکانیزم آن‌ها
• تسلط بر روی تجزیه و تحلیل داده ها
• تسلط بر روی IDS/IPS ها و نحوه کار با آن‌ها

دوره آموزشی SANS SEC560 ( Network Penetration Testing and Ethical Hacking )

در دوره آموزشی SANS 560 شما با انجام درست و حرفه ای پروژه های تست نفوذ موفق و هک قانونمند آشنا خواهید شد. شما نحوه انجام دقیق و درست عملیات شناسایی ، نفوذ به سیستم های هدف نفوذ ، دسترسی پیدا کردن به اطلاعات هدف نفوذ ، اندازه گیری میزان ریسک موجود در آسیب پذیری در دنیای واقعی ، اسکن کردن حرفه ای شبکه با استفاده از ابزارهای حرفه ای و انجام تمرین های دنیای واقعی هک و نفوذ به شبکه را آموزش خواهید دید.

در این دوره شما فقط با چهره و قابلیت ها و تنظیمات ابزارها آشنا نمی شوید ، بلکه با استفاده حرفه ای و به روز از ابزارها آشنا خواهید شد . در این دوره شما با لابراتوارهای واقعی دنیای هک ، تمرین های فتح پرچم یا Capture The Flag در تست نفوذ آشنا می شوید و با این روش دانش خود در زمینه هک قانونمند را بسیار حرفه ای تر می کنید.

سرفصل های دوره SANS 560 ( آموزش تست نفوذ شبکه )

560.1 : Comprehensive Pen Test Planning, Scoping, and Recon
560.2: In-Depth Scanning
560.3: Exploitation
560.4: Password Attacks and Merciless Pivoting
560.5: Domain Domination and Web App Pen Testing
560.6: Penetration Test and Capture-the-Flag Workshop

مخاطبین دوره SANS 560 ( آموزش تست نفوذ شبکه )

• متخصصین امنیت شبکه و شبکه
• کارشناسان شبکه و زیرساخت
• کارشناسان SoC
• فعالان و متخصصین و دانشجویان عرصه امنیت سایبری
• فعالان و متخصصین و دانشجویان عرصه امنیت اطلاعات
• افراد علاقمند به ارتقا دانش خود به سطح SANS 560
• و تمامی افرادی که در حوزه امنیت و شبکه های کامپیوتری فعالیت میکنند

چه چیزی در دوره SANS 560 یاد میگیریم؟

• تسلط و آشنایی کامل با مراحل تست نفوذ در سطح سازمانی براساس استانداردهای بین المللی
• تسلط بر روی تکنیک های Reconnaissance
• تسلط بر روی تکنیک های مختلف بررسی و اسکن و آنالیز ترافیک های شبکه
• تسلط بر روی پیاده سازی تکنیک های Exploitation و گرفتن دسترسی
• تسلط بر روی پیاده سازی تکنیک های Post Exploitation و دور زدن مکانیزم های امنیتی
• تسلط و آشنایی بر روی حملات Password و حمله به پروتکل های احراز هویت تحت شبکه مانند Kerberos و NTLM
• تسلط و آشنایی با حملات Domain Controller و گرفتن دسترسی از آن
• تسلط و آشنایی بر روی مباحث Cloud و استراتژی های امنیتی Cloud Provider ها
• تسلط بر روی تکنیک ها و حملات پیشرفته زیرساختی
• و مباخث دیگری که در این دوره آموزشی گفته شده است

دوره آموزشی SANS SEC580 ( Metasploit Kung Fu for Enterprise Pen Testing )

در دوره آموزشی SANS 580 شما تبدیل به یک غول در استفاده از فریمورک متاسپلویت ( Metasploit ) می شود و از قابلیت های شگفت انگیزی که در این ابزار وجود دارد در حوزه تست نفوذ و ارزیابی آسیب پذیری های امنیتی استفاده خواهید کرد. در این دوره شما با نحوه استفاده از متااسپلویت بصورت روزمره در فرآیند های تست نفوذ آشنا می شوید ، دانش عمیقی نسبت به فریمورک متاسپلویت به دست خواهید آورد و نحوه اکسپلویت کردن انواع آسیب پذیری ها را آموزش خواهید دید.

بصورت مفصل در خصوص فرآیند اکسپلویت کردن ، شناسایی های قبل از استفاده از اکسپلویت ، دستکاری کردن Token ها ، حملات Spear Phishing و بصورت ویژه کار کردن با قابلیت های پیشرفته Meterpreter و دلخواه سازی این Shell برای حملات هدفمند آشنا خواهید شد.

سرفصل های دوره SANS 580 ( آموزش متاسپلویت )

580.1 :Guided Overview of Metasploit's Architecture and Components
580.2 :Deep Dive into the Msfconsole Interface, including Logging and Session Manipulation
580.3 :Careful and Effective Exploitation
580.4 :The Ultimate Payload: The Metasploit Meterpreter In-Depth
580.5 :Metasploit's Integration into a Professional Testing Methodology
580.6 :Automation with Meterpreter Scripts to Achieve More in Less Time with Consistency
580.7 :It's Not All Exploits - Using Metasploit as a Recon Tool
580.8 :Using Auxiliary Modules to Enhance your Testing
580.9 :Ultra-Stealthy Techniques for Bypassing Anti-Virus Tools
580.10 :Client-Side Attacks - Using One-Liners instead of Executables
580.11 :Port and Vulnerability Scanning with Metasploit, Including Integration with Nmap, Nessus, and Qualys
580.12 :Capturing SMB Credentials and Metasploit's awesome PowerShell integration
580.13 :Merciless Pivoting: Routing Through Exploited Systems
580.14 :Exposing Metasploit's Routing Using SOCKS Proxies
580.15 :Privilege Escalation Attacks
580.16 :Metasploit Integration with Other Tools
580.17 :Making the Most of Windows Payloads
580.18 :Advanced Pillaging - Gathering Useful Data from Compromised Machines
580.19 :Evading Countermeasures to Mimic Sophisticated Attackers
580.20 :Scripting Up the Meterpreter to Customize Your Own Attacks
580.21 :Persisting Inside an Environment
580.22 :Carefully Examining Your Attack's Forensic Artifacts
580.23 :Integration with CrackMapExec, a Stand-alone Testing Tool

مخاطبین دوره SANS 580 ( آموزش متاسپلویت )

• متخصصین و مهندسین حوزه امنیت شبکه و فناوری اطلاعات
• کارشناسان تست نفوذ سنجی و هک قانونمند
• مشاورین امنیت اطلاعات و ارتباطات
• کارشناسان ارزیابی آسیب پذیری و مدیریت آسیب پذیری
• متخصصین مراکز SOC ( مرکز مدیریت عملیات امنیت )
• بازرس های امنیت اطلاعات و کارشناسان جرایم رایانه ای
• محققین حوزه امنیت اطلاعات
• کلیه علاقه مندان به حوزه امنیت و هک و نفوذ

چه چیزی در دوره SANS 580 یاد می گیریم؟

• تبدیل به یک فوق تخصص در فریمورک متااسپلویت خواهید شد
• به کلیه بخش ها ، قسمت ها و قابلیت های Metasploit مسلط می شوید
• کار کردن با اسکریپت های متااسپلویت را بصورت کامل آموزش می بینید
• می توانید حملات Client Side را به خوبی انجام دهید
• ساختن انواع Payload با Metasploit را به خوبی یاد می گیرید
• انواع حملات را می توانید براحتی بر روی هدف انجام دهید
• بصورت کامل با Meterpreter آشنا خواهید شد
• به ابزار Armitage مسلط می شوید

دوره آموزشی SANS SEC573 ( Automating Information Security with Python )

در دوره آموزشی SANS 573  هدف اصلی دوره حل کردن چالش های امنیتی حوزه فناوری اطلاعات با استفاده از اسکریپت های زبان پایتون است. اگر همیشه قرار است که منتظر بمانید که یک Vendor یا تولید کننده الزاما برای شما Patch امنیتی بسازد و ارائه بدهد ، یا راهکار امنیتی خاصی به شما ارائه کند

شما همیشه از مسیر و راه امنیت عقب هستید . در واقع این روزها ، کارشناسان حرفه ای حوزه امنیت اطلاعات باید بتوانند برای خودشان ابزارهای خاص منظوره طراحی و توسعه بدهند . در این دوره آموزشی شما توانایی استفاده و توسعه از اسکریپت های حوزه امنیت اطلاعات را پیدا می کنید.

سرفصل های دوره SANS 573 ( اتوماسیون امنیت اطلاعات با پایتون )

573.1: Essentials Workshop with pyWars
573.2: Essentials Workshop with MORE pyWars
573.3: Defensive Python
573.4: Forensics Python
573.5: Offensive Python
573.6: Capture-the-Flag Challenge

مخاطبین دوره SANS 573 ( اتوماسیون امنیت اطلاعات با پایتون )

• متخصصان امنیتی که تمایل دارند کارهای روتین و روزانه خود را بصورت خودکار انجام دهند
• کارشناسان کشف جرائم رایانه ای که میخواهند تجزیه و تحلیل خود را بصورت خودکار انجام دهند
• متخصصان شبکه که تمایل دارند کارهای روزانه و تکراری خودرابصورت خودکارانجام دهند
• تست نفوذگرانی که تمایل دارند به جای کاربا ابزارهای آماده (Script kiddie ) به سمت متخصص حرفه ای هک و نفوذ (هکر برنامه نویس) بروند
• مشاوران امنیتی که قصد دارند ابزارهایی برای انواع راه حل های امنیتی بسازند

چه چیزی در دوره SANS 573 یاد می گیریم؟

• تغییر ابزار های open source موجود و شخصی سازی آنها مطابق با نیاز خود و یا سازمان
• دستکاری انواع log file ها با فرمت های مختلف به جهت سازگاری آنها با ابزارهای مختلف جمع آوری Log
• ساخت ابزار های جدید آنالیز Log فایل ها و پکت های شبکه به منظور کشف هکرها در سازمان
• توسعه ابزار های تخصصی کشف جرائم رایانه ای
• خودکار سازی جمع آوری هوشمندانه اطلاعات به منظور افزایش سطح امنیت شما از منابع آنلاین
• خودکار سازی استخراج داده های حیاتی در بحث کشف جرائم رایانه ای از رجیستری ویندوز و دیگر دیتابیس ها

دوره آموزشی SANS SEC504 ( Hacker Techniques )

هدف اصلی دوره آموزشی SANS 504 آماده شدن و توسعه مهارت های شما با محوریت پاسخگویی به رخدادهای امنیتی است. شما در این دوره آموزشی یاد می گیرید که چگونه برای مقابله با حملات سایبری و تهدیدات امنیت سایبری آماده شوید و نقشه مقابله مناسبی را برای دفاع در برابر این حملات طراحی کنید.  در این دوره آموزشی آخرین تهدیدات امنیتی سازمان ها از جمله تهدیدات سمت کاربر یا تهدیدات امنیتی سمت سرور تجزیه و تحلیل می شود و بر اساس آن راهکارهای امنیتی ارائه می شوند.

دوره SANS SEC504 به شما دانش این را می دهد که متوجه شوید هکرها چگونه اسکن می کنند ، چگونه از اکسپلویت ها استفاده می کنند ، چگونه ارتباطات دائمی با سیستم قربانی برقرار می کنند و اساسا تکنیک های خاص هکری که استفاده می کنند ، شامل چه چیزهایی می شود. بیش از 50 درصد زمان این دوره آموزشی مختص انجام داده تمرین های عملی و کارگاهی برای کار کردن با ابزارها و موضوع های مهم و پیچیده در بحث تکنیک های نفوذ است. یادگیری این دوره آموزشی به شدت به شما در راه اندازی تیم آبی و تیم قرمز در سازمان ها کمک می کند.

سرفصل های دوره SANS 504 ( آموزش تکنیک های پیشرفته هک و نفوذ )

504.1: Incident Handling Step-by-Step and Computer Crime Investigation
504.2: Recon, Scanning, and Enumeration Attacks
504.3: Password and Access Attacks
504.4: Public-Facing and Drive-By Attacks
504.5: Evasion and Post-Exploitation Attacks
504.6: Capture-the-Flag Event

مخاطبین دوره SANS 504 ( آموزش تکنیک های پیشرفته هک و نفوذ )

• متخصصین امنیت شبکه و شبکه
• فعالان عرصه امنیت سایبری
• فعالان و دانشجویان عرصه امنیت اطلاعات
• افراد علاقمند به ارتقا دانش خود به سطح SANS 504
• و تمامی افرادی که در حوزه امنیت و شبکه های کامپیوتری فعالیت میکنند

چه چیزی در دوره SANS 504 یاد می گیریم ؟

• نحوه مدیریت حوادث و پاسخ گویی براساس راهکار های بین اللملی
• تسلط و آشنایی با حملات متنوع بستر سیستم ها و شبکه های کامپیوتری
• تسلط و آشنایی بر روی تکنیک های متنوع جمع آوری اطلاعات
• تسلط و آشنایی بر حملات و نحوه کشف آن‌ها در محیط های Web

دوره آموزش SANS FOR500 و SANS FOR506 ( Windows and Linux Forensics )

دوره آموزش SANS FOR500 و دوره آموزشی SANS FOR506 دو دوره تخصصی سنز سکیوریتی در حوزه کشف جرایم رایانه ای از سیستم عامل های ویندوز و لینوکس می باشند . هدف از این دوره آموزشی تجزیه و تحلیل و احراز صحت داده های جمع آوری شده از سیستم عامل های خانواده ویندوز و لینوکس در جهت بدست آوردن اطلاعات دقیقتر می باشد. در این دوره ها به دانشجویان متدلوژی های مختلف کشف جرم در شکل ها و موقعیت های مختلف در دنیای واقعی آموزش داده می شود. این دوره ویژه کارشناسان امنیت و تیم های آبی و قرمز در سازمان های بزرگ است.

سرفصل های دوره SANS FOR500 و SANS FOR506

FOR500.1:Digital Forensics and Advanced Data Triage
FOR500.2:Shell Items and Removable Device Profiling
FOR500.3:Email Analysis,Windows Timeline,SRUM and Event Logs
FOR500.4:Web Browser Forensics
FOR500.5:Windows Forensics Challenge
FOR500.6:Registry Analysis,Application Execution and Cloud Storage Forensics

مخاطبین دوره SANS FOR500 SANS FOR506

• پزشکان قانونی دیجیتال
• فعالان و کارشناسان حوزه پزشکی قانونی دیجیتال و جرم شناسی دیجیتال
• کارشناسان سطح 1 2 3 مرکز عملیات امنیتی (SoC)
• متخصصین و فعالان عرصه امنیت سایبری
• متخصصین و مهندسین عرصه امنیت اطلاعات
• کارشناسان حوزه امنیت شبکه
• افراد علاقمند به شروع و یادگیری مبحث کامپیوتر فارنزیک
• (Computer Forensic) دانشجویان و علاقمندان حوزه فارنزیک ( Forensic )

چه چیزی در دوره SANS FOR500 SANS FOR506 یاد می گیریم؟

• تسلط بر روی دوره SANS FOR500.1 و FOR500.2
• تسلط بر روی دوره SANS SEC506.6
• تسلط بر روی مباحث و اصول جرم شناسی دیجیتال سیستم ها و سرورهای ویندوزی
• تسلط بر روی مباحث و اصول جرم شناسی دیجیتال سیستم ها و سرورهای لینوکسی
• تسلط بر روی ابزار ها و تکنیک های جرم شناسی و یا فارنزیک سیستم ها و سرورها
• تسلط کافی بر روی قسمت های حساس سیستم ها به منظور کشف شواهد جرم

پس از گرفتن دسترسی غیرمجاز از سمت یک کامپیوتر نیاز است که داده های مربوط به سیستم را از آن استخراج کنیم که این امر را به عنوان Data exfiltration میشناسیم. به واسطه فرآیند Data exfiltration ما توانایی استخراج داده های موجود در یک سیستم را داریم که این امر می‌تواند استخراج داده ها از سمت یک سیستم با دسترسی فیزیکی ما باشد و حتی میتواند یک سیستم و یا یک شبکه بزرگ آلوده شده به بد افزار باشد.

git clone https://github.com/m57/dnsteal

$ dig @8.8.8.8 +short NS exfi.tk

dawn.ns.cloudflare.com.

jack.ns.cloudflare.com.

$ sudo sof -i :53

COMMAND  PID      USER  FD  TYPE DEVICE SIZE/OFF NODE NAME

systemd-r 722 systemd-resolve  12u IPv4 15755   0t0 UDP localhost:domain 

systemd-r 722 systemd-resolve  13u IPv4 15756   0t0 TCP localhost:domain (LISTEN) 

$ sudo nano /etc/systemd/resolved.conf

DNSStubListener=no

$ sudo nano /etc/resolv.conf
nameserver 8.8.8.8

با پیشرفت روزافزون تکنولوژی علاوه بر مزایا و ویژگی های خاص این حوزه، مشکلات جدیدی نیز به وجود می آید که یکی از آنها حملات سایبری است. اخبار مربوط به هک وبسایت ها و انتشار بدافزارها ( از قبیل ویروس، کرم، باج افزارها و ... ) را باید همه شنیده باشند، حال این سوال پیش می آید که اطلاعاتی در رابطه با حملاتی که علیه سیستم های  اینترنت اشیا ( Internet Of things) دارید؟ سیستم های اینترنت اشیا بیش از پیش در صنعت و  خانه های هوشمند استفاده می شوند. با حجم داده های موجود در هر دستگاه و قابلیت کنترل کل سیستم تولید در صنعت، اینترنت اشیا یک بازی خوب برای هکرها و کسانی است که قصد نفوذ دارند.

راهکار SSL Offloading چیست و چگونه کار میکند؟ در اصل این راهکار یکی از روش های کاهش بار بر روی وب سرور میباشد که فرآیند و بار رمزگذاری و رمزگشایی داده های وب سرور هارا کاهش از روی وب سرور ها حذف میکند.
پروتکل SSL (البته این پروتکل منسوخ شده است و نسخه جایگزین آن TLS میباشد اما نام راهکار SSL Offloading تغییری نکرده است برای همان از عنوان SSL استفاده میکنیم) پروتکلی است که به جهت رمزگذاری و رمزگشایی داده ها و ضمانت ارسال داده ها به صورت کامل و کاملا امن را بر روی بستر HTTP میباشد.
انجام محاسبات و الگوریتم SSL به جهت اینکه داده هم رمزنگاری و هم رمزگشایی شود بسیار سخت و سنگین میباشد پس از همین بابت برای کاهش بار موجود بر روی وب سرور و جداسازی ترافیک دریافتی وب و بارمحاسباتی رمزگذاری و رمزگشایی ما از راهکار SSL Offloading استفاده میکنیم.

راهکار SSL Offloading چیست؟

با این راهکار و مفهوم SSL تا حدودی آشنا شدیم اما به صورت کلی SSL پروتکلی است که داده هارا برای ما رمزنگاری میکند و در جلوگیری از حملات متنوعی از جمله Reply Attack و MITM کاربرد دارد و کمک زیادی میکند.
پروتکل SSL باتوجه به خوبی که دارد میزان بار محاسباتی زیادی هم در پی دارد بدین شکل که این فرآیند بر روی سرور(ها) و پردازش CPU آنها بسیار تاثیر گذار میباشد

درکنار اینکه این سرور(ها) میزان ترافیک دریافتی و پردازش درخواست های دریافتی وب راهم باید بررسی کند و پاسخ آن را ارسال کند پس از همین جهت باید راهکاری داشته باشیم که وب سرور ما توانایی این را داشته باشد که به پاسخ های دیگری پاسخ دهد و بار اضافی بر روی آن نباشد.بیشتر ببینید: دوره SANS Security 573 | خودکارسازی امنیت اطلاعات با Python

پس ما یک راهکار را به این جهت استفاده میکنیم که بار محاسباتی SSL که شامل رمزنگاری داده ها و رمزگشایی آنها میشود را از روی وب سرور حذف کنیم و بر روی یک سرور دیگر که به اصطلاح به آن SSL Load Balancer یا SSL Offloading Server گفته میشود قرار دهیم.

نحوه کار SSL Offloading چگونه است؟

توجه داشته باشید این فرآیند و هدف از این راهکار این است که ما پردازش SSL را مستقیما بر روی سرور وب خودمان به انجام نرسانیم و وقتی که ما این پردازش را جداسازی میکنیم و روی یک تجهیز دیگه قرار میدیم بدین شکل میشه که وقتی داده ای از سمت کاربر به سمت وب سرور ارسال میشه در ابتدا داده بر روی پروتکل HTTPS ( به صورت رمزنگاری شده ) در سروری که SSL Offloading را انجام میدهد دریافت میشود و بعد از آن بعد از رمزگشایی کردن داده ها، داده به صورت متن ساده ( Clear Text ) به سمت وب سرور ارسال میشود.بیشتر بخوانید: UBA یا همان User Behavior Analytics چیست؟ به زبان ساده

توجه داشته باشید که این فرآیند صرفا بر روی یک تجهیز خارجی و تهجیز بالا دستی از سرور قابل انجام نیست بلکه این موضوع میتواند بر روی خوده سرور وب انجام شود اما پردازش با یک پردازشگر و سخت‌افزاری دیگری به انجام برسد.

مزیت استفاده از SSL Offloading چیست؟

• قرار گیری میزان بار محاسباتی SSL Handshake بر روی یک دیوایس دیگر با سرعت بالاتر
• افزایش سرعت و میزان توانایی پردازش سرور وب
• افزایش سرعت بارگذاری صفحات وب سایت
• افزایش پایداری و Performance وب سایت
• پیاده سازی راحت تر HTTPS Inspection ( بازرسی HTTPS فرایندی میباشد که در آن بسته های HTTPS کاملا بررسی و بازرسی میشوند که کد های مخرب به صورت رمز شده در آنها قرار نگرفته باشد چون که رمزنگاری و SSL هم میتونه یک شمشیر دو لبه باشه )

• بیشتر ببینید: دوره SANS Security 504 | تکنیک های حرفه ای هکرها

انواع حالت های SSL Offloading کدامند؟

توجه داشته باشید که SSL Offloading دو حالت را شامل میشود که به شرح زیر میباشند:

حالت اول - SSL Termination

این روش همان روشی است که در بالا توضیح دادیم و نحوه کار آن هم بدین شکل است که داده رمزنگاری شده در سرور SSL Offloading دریافت میشود و داده پس از رمزگشایی به سمت وب سرور ارسال و پاسخ آن نیز در سرور SSL Offloading رمزنگاری میشود و به سمت کلاینت و درخواست کننده مورد نظر ارسال میشود.

حالت دوم - SSL Bridging

این حالت با حالت SSL Termination متفاوت میباشد زیرا که داده ها به صورت رمزنگاری شده در سرور SSL Offloading دریافت میشوند و به همان صورت هم به سمت وب سرور ارسال میشوند و فرآیند رمزگشایی آنها به عهده وب سرور میباشد.
دراصل این فرآیند به جهت بررسی های اضافی و داشتن بازرسی بر روی ترافیک های رمزنگاری شده وب میباشد که از لحاظ داشتن محتوا و کد های مخرب بررسی شوند و درصورت داشتن مشکل Drop شوند در غیر این صورت به همان شکل ( کاملا رمز شده ) به سمت وب سرور ارسال شوند به جهت رمزگشایی در وب سرور و پردازش درخواست

موفق باشید

چشم انداز تهدید یا همان Threat Landscape  یکی از اصطلاحتی میباشد که امروزه در حوزه امنیت سایبری ( CyberSecurity ) به گوش میخورد و معنا و مفهوم منحصر به فرد خود را دارد که در این مقاله قصد داریم مفهوم چشم انداز تهدید یا همان Threat Landscape را در امنیت سایبری ( CyberSecurity ) بررسی کنیم‌ ، به صورت کلی چشم انداز تهدید ( Threat Landscape ) شامل تمامی تهدیداتی میباشد که میتوانند بر روی مجموعه ایی از سیستم‌ها، دارای های یک سازمان و افراد و گروه های مختلف تاثیر گذار باشند که این تاثیر گذاری درقالب حملات سایبری و آسیب های متنوع به سمت این منابع میباشد.

چشم انداز تهدید (Threat Landscape) شامل چه چیزی میشود؟

حالا که با مفهوم چشم انداز تهدید آشنا شدیم باید بررسی کنیم که این مفهوم شامل چه تهدیدات و چه آسیب های بر روی منابع ما میشود. باید توجه داشته باشید که منظور از این کلمه یعنی تمامی آسیب پذیری ها، اشکالات امنیتی، افراد مهاجم و هکر ها، بد افزار میباشد که با تکنیک های مشخص زمینه مشخصی از یک سازمان و منابع مارا به خطر میندازند.
عنوان و مفهوم زمینه یا Context در Threat Landscape به معنای بخشی از ویژگی ها و دارایی های یک‌سازمان یا یک شخص خاص میباشد که از جمله این ویژگی ها عبارتند از:

• سطح و میزان امنیت
• میزان و ارزش بالا دارایی ها و اطلاعات
• دارا بودن اطلاعات و دارایی ها مهم و ارزشمند برای افراد مهاجم
• موقعیت جغرافیایی ( برخی گروه های APT براساس موقعیت های مکانی اهداف خود را که ممکن است افراد و سازمان ها از یک منطقه جغرافیایی خاص و یا یک کشور خاص باشند انتخاب میکند. )

  چه عواملی بر روی چشم انداز تهدید (Threat Landscape) تاثیر گذار هستند؟

  توجه داشته باشید که چشم انداز تهدید به مرور زمان میتواند تغییر کند به آن اضافه شود و یا از آن کم شود که این موضوع بستگی به موقعیت و عوامل مختلفی دارد، به عنوان مثال از سال 2020 که شرایط بیماری کرونا و ایجاد شدن بستر های دورکاری مثله Remote Access توانسته که چشم انداز تهدید را به این سمت بکشاند و افراد مهاجم تمرکزشان را بر روی این سیستم ها و این افراد که از خانه به سمت سازمان متصل میشوند و دسترسی دارند بزارند و راهی به داخل سازمان و‌ پیاده سازی کردن حملات داشته باشند که از این رو از سال 2020 به اینور این حملات بر روی بستر های Remote Access و کاربرانی که از خانه به سازمان وصل میشوند زیاد شده است.

  عوامل دیگری نیز وجود دارند که میتوانند تاثیر گذاری خودشان را بر روی چشم انداز تهدیدات داشته باشند که عبارتنداز:

  • ظهور و کشف آسیب پذیری های جدید فرصت جدید و خوبی را برای هکرها ایجاد میکنند که بتوانند اهداف خود را پیاده سازی کنند.
  • ظهور تجهیزات جدید و تکنولوژی های جدید مثله Cloud Computing
  • به وجود آمدن رخداد های طبیعی مثله کرونا که سبب ایجاد تغییرات مختلف در زیرساخت سازمان ها شده است.

  چرا باید از چشم انداز تهدید (Threat Landscape) استفاده کنیم؟

  درواقع چشم انداز تهدید این امکان را به ما میدهد که تهدیدات و مشکلات و ضرر های احتمالی که بر روی سازمان ها و شرکت ها و یا افراد و منابع مختلف تاثیر گذار هستند را در اسرع وقت شناسایی و به منظور‌ جلوگیری از روی دادن آن اقدامات پیشگیرانه را به انجام برسانیم.

• بصورت مقدماتی تا پیشرفته تکنیک های هک و نفوذ حرفه ای را به شما آموزش می دهد. دوره SANS 504 یا تکنیک های هک یکی از مهمترین دوره های هک و نفوذ می باشد که با هدف تکمیل کردن مباحث تست نفوذ پیشرفته ، از شما یک کارشناس هک قانونمند حرفه ای می سازد. دوره آموزشی SANS SEC 504 به عنوان برترین دوره آموزشی امنیت | هک و تست نفوذ در دنیا مطرح می باشد که بصورت تخصصی بر روی آموزش مباحث Incident Response و تکنیک های خاص تست نفوذ می پردازد.

یکی از حملات پر استفاده و رایج بر روی بستر Active Directory و Domain Controller حمله DCSync میباشد که به واسطه این حمله فرد مهاجم توانایی دریافت اطلاعات مربوط به یک نام کاربری بر روی DC را دارد که این اطلاعات شامل اطلاعات حساس مانند مقدار Hash رمز عبور می‌شود. حمله DCSync با تکیه بر روی دستورات پروتکل MS-DRSR حمله خود را پیاده سازی میکند.

lsadump::dcsync /domain:tosinso.local /user:Username

source = XmlWinEventLog : Security EventCode =4624
[ search source = XmlWinEventLog : Security EventCode =4662
Properties ="*1131 f6aa -9 c07 -11 d1 - f79f -00 c04fc2dcd2 *" OR
Properties ="*1131 f6ad -9 c07 -11 d1 - f79f -00 c04fc2dcd2 *" OR
Properties ="*1131 f6ab -9 c07 -11 d1 - f79f -00 c04fc2dcd2 *"
| fields SubjectLogonId
| rename SubjectLogonId AS TargetLogonId ] NOT
[ inputlookup domain_controllers . csv
| fields ip
| rename ip AS IpAddress ]

سنس سکیوریتی ( SANS Security ) چیست؟ معرفی شرکت SANS

انیستیتو SANS ( سنس یا سنز ) یک مرکز آموزشهای تخصصی امنیت سایبری و تست نفود در ایالات متحده آمریکاست که بصورت یک شرکت آموزشی فوق تخصصی در زمینه آموزش هک و نفوذ  در دنیا فعالیت می کند. انیستیتو SANS Security Institute فعالیت خودش را از سال 1989 در زمینه آموزش امنیت اطلاعات ، آموزش امنیت سایبری و ارائه گواهینامه های امنیت اطلاعات در حوزه آموزش آغاز کرده است.

مهمترین عناوینی که شرکت سنز سکیوریتی در آموزشهای خود در نظر گرفته است به ترتیب آموزشهای فوق تخصصی حوزه امنیت تدافعی شبکه ، امنیت تدافعی سایبری ، تست های نفوذ سنجی ، پاسخگویی به حملات و حوادث سایبری ، کشف جرایم رایانه ای و البته بازرسی های امنیت اطلاعات متمرکز می شود.

دوره های تخصصی امنیت اطلاعاتی که توسط SANS Security تهیه و تدوین می شوند معمولا مخاطبین خاص خودشان را دارند که فعالیتی مرتبط در حوزه امنیت دارند که به ترتیب می توان از مدیران شبکه ، مدیران امنیت ، متخصصین امنیت اطلاعات و تست نفوذسنجی و هکرهای قانونمند را عنوان کرد.

بد نیست بدانید که نام انیستیتو SANS در واقع برگرفته ای  از طیف مخاطبین دوره های آموزشی امنیت اطلاعات این شرکت است که به ترتیب SysAdmins ها ، Auditor ها ، Network Engineer ها و Security Officer ها را شامل می شوند.  مهمترین دوره های تخصصی SANS Security که می توانید به زبان فارسی از آنها نهایت استفاده را بکنید را در ادامه به شما معرفی می کنیم.

آیا دوره های SANS Security همان دوره های هک قانونمند است؟

هر چند که دوره های SANS هم برای انجام تست های نفوذ و هک های قانونمند است اما دوره با عنوان Ethical Hacking یا CEH یا دوره Certified Ethical Hacking مختص کمپانی EcCouncil است ، پیشنهاد می کنم مطالب زیر را نیز مطالعه کنید :

1. CEH چیست؟ معرفی دوره هک قانومند به زبان بسیار ساده
2. هک قانونمند چیست؟ آشنایی با Ethical Hacking به زبان بسیار ساده
3. تفاوت دوره CEH و SANS 560 در چیست؟ مقایسه SANS 560 و CEH
4. مطالعه این مطلب توصیه می شود : چگونه هکر شویم؟ 50 نکته محرمانه از 0 تا 100 تبدیل شدن به یک هکر

دوره آموزشی SANS SEC542 (Web Application Penetration Tester )

در دوره SANS 542 یا تست نفوذ اپلیکیشن های تحت وب شما با هنر نفوذ و هک کردن نرم افزارهای تحت وب و پیدا کردن آسیب پذیری های امنیتی وب سایتها ها در سازمان خود آشنا خواهید شد. شما با ابزارها و روشهایی که هکرها برای نفوذ به وب سایت های شما استفاده می کنند آشنا خواهید شد و با این آشنایی ، تبدیل به یک مدافع بسیار خوب در حوزه امنیت خواهید شد.

در دوره آموزش هک وب سایت ها یا SANS 542 شما با جزئیات و بصورت کاملا عملی با تمرین های متنوع و راهنمایی های مدرس می توانید مراحل چهارگانه تست نفوذ به نرم افزارهای تحت وب و وب سایت ها را به خوبی یاد بگیرید. بسیاری از حملات قدرتمند حوزه وب از جمله SQL Injection برای دسترسی و نفوذ به بانک های اطلاعاتی وب سایت ها گرفته تا دسترسی به اطلاعات حساس و البته حملات Cross Site Scripting را همگی آموزش خواهید دید.

در عین حال با تکنیک های جستجو و پیدا کردن ساختار آسیب پذیری های وب نیز آشنا خواهید شد. این دوره آموزشی SANS SEC542 برای اولین بار در ایران بصورت ویدیویی و آنلاین در وب سایت توسینسو بصورت کامل و جامع و با جدیدترین به روز رسانی ها در ادامه در دسترس شما عزیزان است.

سرفصل های دوره SANS 542 ( آموزش تست نفوذ وب )

542.1 : Introduction and Information Gathering
542.2 : Configuration, Identity, and Authentication Testing
542.3 : Injection
542.4 : JavaScript and XSS
542.5 : CSRF, Logic Flaws, and Advanced Tools
542.6 : Capture the Flag

مخاطبین دوره SANS 542 ( آموزش تست نفوذ وب ) چه کسانی هستند؟

چه چیزی در دوره SANS 542 یاد میگیریم؟

• چگونگی شناسایی و Exploit کردن ضعف ها و آسیب پذیری های Web Application
• چگونگی تشریح تهدیدات و آسیب پذیری های وب سایت های و Web Application ها
• شناخت و معرفی و چگونگی استفاده از انواع ابزار های تست نفوذ وب سایت ها و Web Application ها
• آشنایی کامل با انواع آسیب پذیر های وب مانند sqlinjection , XSS, LFI,RFI , Apath injection, XXE , Html Injection به صورت عملی و بر اساس لابراتورا های آسیب پذیر
• آشنایی با اکسپلویت نویسی به زبان هاب javascript, php و Python
• آشنایی با نحوه کد نویسی امن و Secure وب سایت ها و Web Application ها
• بیان راه های مقابله با آسیب پذیری های تحت وب بر اسا کد نویسی
• ارائه تکنیک ها و روش های دور زدن و Bypass کردن مکانیزم ها و کد نویسی های امن و Secure

دوره آموزشی SANS SEC503 ( Intrusion Detection In-Depth )

در دوره آموزشی SANS 503 شما با مفاهیم ، دانش و روشهای فنی تشخیص نفوذ و جلوگیری از حملات بصورت کاملا عملی آشنا می شوید و روشهای دفاع در برابر تهاجم به روش تشخیص نفوذ با IDS و IPS را به خوبی یاد می گیرید. در این دوره آموزشی تشخیص نفوذ در عمق ، شما با پروتکل ها و نحوه عملکرد آنها در شبکه بصورت کاملا کاربردی آشنا می شوید و به درستی مفاهیم و عملکرد TCP/IP را خواهید شناخت ، پس از یادگیری این دوره آموزشی شما می توانید ترافیک شبکه را تجزیه و تحلیل و از درون این ترافیک بصورت کاملا هوشمندانه ، حملات و خرابکاری ها را شناسایی کنید .

سرفصل های دوره SANS 503 ( آموزش تشخیص نفوذ حرفه ای )

503.1: Introduction to Wireshark
503.2: Writing tcpdump filters
503.3: IDS/IPS evasion theory
503.4: Snort rules
503.5: Analysis of three separate incident scenarios
503.6: The entire day is spent engaged in the NetWars: IDS Version challenge

مخاطبین دوره SANS 503 ( آموزش تشخیص نفوذ حرفه ای )

• متخصصین امنیت شبکه و شبکه
• فعالان عرصه امنیت سایبری
• فعالان و دانشجویان عرصه امنیت اطلاعات
• افراد علاقمند به ارتقا دانش خود به سطح SANS 503
• و تمامی افرادی که در حوزه امنیت و شبکه های کامپیوتری فعالیت میکنند

چه چیزی در دوره SANS 503 یاد میگیریم؟

• تسلط کافی بر روی TCP/IP و اجزا آن
• تسلط و آشنایی بر روی مکانیزم و نحوه پیاده سازی حملات مختلف و خطرناک شبکه های کامپیوتری
• تسلط بر روی نحوه Exploit نویسی برای حملات مختلف تحت شبکه
• تسلط بر روی کشف حملات با درک مکانیزم آن‌ها
• تسلط بر روی تجزیه و تحلیل داده ها
• تسلط بر روی IDS/IPS ها و نحوه کار با آن‌ها

دوره آموزشی SANS SEC560 ( Network Penetration Testing and Ethical Hacking )

در دوره آموزشی SANS 560 شما با انجام درست و حرفه ای پروژه های تست نفوذ موفق و هک قانونمند آشنا خواهید شد. شما نحوه انجام دقیق و درست عملیات شناسایی ، نفوذ به سیستم های هدف نفوذ ، دسترسی پیدا کردن به اطلاعات هدف نفوذ ، اندازه گیری میزان ریسک موجود در آسیب پذیری در دنیای واقعی ، اسکن کردن حرفه ای شبکه با استفاده از ابزارهای حرفه ای و انجام تمرین های دنیای واقعی هک و نفوذ به شبکه را آموزش خواهید دید.

در این دوره شما فقط با چهره و قابلیت ها و تنظیمات ابزارها آشنا نمی شوید ، بلکه با استفاده حرفه ای و به روز از ابزارها آشنا خواهید شد . در این دوره شما با لابراتوارهای واقعی دنیای هک ، تمرین های فتح پرچم یا Capture The Flag در تست نفوذ آشنا می شوید و با این روش دانش خود در زمینه هک قانونمند را بسیار حرفه ای تر می کنید.

سرفصل های دوره SANS 560 ( آموزش تست نفوذ شبکه )

560.1 : Comprehensive Pen Test Planning, Scoping, and Recon
560.2: In-Depth Scanning
560.3: Exploitation
560.4: Password Attacks and Merciless Pivoting
560.5: Domain Domination and Web App Pen Testing
560.6: Penetration Test and Capture-the-Flag Workshop

مخاطبین دوره SANS 560 ( آموزش تست نفوذ شبکه )

• متخصصین امنیت شبکه و شبکه
• کارشناسان شبکه و زیرساخت
• کارشناسان SoC
• فعالان و متخصصین و دانشجویان عرصه امنیت سایبری
• فعالان و متخصصین و دانشجویان عرصه امنیت اطلاعات
• افراد علاقمند به ارتقا دانش خود به سطح SANS 560
• و تمامی افرادی که در حوزه امنیت و شبکه های کامپیوتری فعالیت میکنند

چه چیزی در دوره SANS 560 یاد میگیریم؟

• تسلط و آشنایی کامل با مراحل تست نفوذ در سطح سازمانی براساس استانداردهای بین المللی
• تسلط بر روی تکنیک های Reconnaissance
• تسلط بر روی تکنیک های مختلف بررسی و اسکن و آنالیز ترافیک های شبکه
• تسلط بر روی پیاده سازی تکنیک های Exploitation و گرفتن دسترسی
• تسلط بر روی پیاده سازی تکنیک های Post Exploitation و دور زدن مکانیزم های امنیتی
• تسلط و آشنایی بر روی حملات Password و حمله به پروتکل های احراز هویت تحت شبکه مانند Kerberos و NTLM
• تسلط و آشنایی با حملات Domain Controller و گرفتن دسترسی از آن
• تسلط و آشنایی بر روی مباحث Cloud و استراتژی های امنیتی Cloud Provider ها
• تسلط بر روی تکنیک ها و حملات پیشرفته زیرساختی
• و مباخث دیگری که در این دوره آموزشی گفته شده است

دوره آموزشی SANS SEC580 ( Metasploit Kung Fu for Enterprise Pen Testing )

در دوره آموزشی SANS 580 شما تبدیل به یک غول در استفاده از فریمورک متاسپلویت ( Metasploit ) می شود و از قابلیت های شگفت انگیزی که در این ابزار وجود دارد در حوزه تست نفوذ و ارزیابی آسیب پذیری های امنیتی استفاده خواهید کرد. در این دوره شما با نحوه استفاده از متااسپلویت بصورت روزمره در فرآیند های تست نفوذ آشنا می شوید ، دانش عمیقی نسبت به فریمورک متاسپلویت به دست خواهید آورد و نحوه اکسپلویت کردن انواع آسیب پذیری ها را آموزش خواهید دید.

بصورت مفصل در خصوص فرآیند اکسپلویت کردن ، شناسایی های قبل از استفاده از اکسپلویت ، دستکاری کردن Token ها ، حملات Spear Phishing و بصورت ویژه کار کردن با قابلیت های پیشرفته Meterpreter و دلخواه سازی این Shell برای حملات هدفمند آشنا خواهید شد.

سرفصل های دوره SANS 580 ( آموزش متاسپلویت )

580.1 :Guided Overview of Metasploit's Architecture and Components
580.2 :Deep Dive into the Msfconsole Interface, including Logging and Session Manipulation
580.3 :Careful and Effective Exploitation
580.4 :The Ultimate Payload: The Metasploit Meterpreter In-Depth
580.5 :Metasploit's Integration into a Professional Testing Methodology
580.6 :Automation with Meterpreter Scripts to Achieve More in Less Time with Consistency
580.7 :It's Not All Exploits - Using Metasploit as a Recon Tool
580.8 :Using Auxiliary Modules to Enhance your Testing
580.9 :Ultra-Stealthy Techniques for Bypassing Anti-Virus Tools
580.10 :Client-Side Attacks - Using One-Liners instead of Executables
580.11 :Port and Vulnerability Scanning with Metasploit, Including Integration with Nmap, Nessus, and Qualys
580.12 :Capturing SMB Credentials and Metasploit's awesome PowerShell integration
580.13 :Merciless Pivoting: Routing Through Exploited Systems
580.14 :Exposing Metasploit's Routing Using SOCKS Proxies
580.15 :Privilege Escalation Attacks
580.16 :Metasploit Integration with Other Tools
580.17 :Making the Most of Windows Payloads
580.18 :Advanced Pillaging - Gathering Useful Data from Compromised Machines
580.19 :Evading Countermeasures to Mimic Sophisticated Attackers
580.20 :Scripting Up the Meterpreter to Customize Your Own Attacks
580.21 :Persisting Inside an Environment
580.22 :Carefully Examining Your Attack's Forensic Artifacts
580.23 :Integration with CrackMapExec, a Stand-alone Testing Tool

مخاطبین دوره SANS 580 ( آموزش متاسپلویت )

• متخصصین و مهندسین حوزه امنیت شبکه و فناوری اطلاعات
• کارشناسان تست نفوذ سنجی و هک قانونمند
• مشاورین امنیت اطلاعات و ارتباطات
• کارشناسان ارزیابی آسیب پذیری و مدیریت آسیب پذیری
• متخصصین مراکز SOC ( مرکز مدیریت عملیات امنیت )
• بازرس های امنیت اطلاعات و کارشناسان جرایم رایانه ای
• محققین حوزه امنیت اطلاعات
• کلیه علاقه مندان به حوزه امنیت و هک و نفوذ

چه چیزی در دوره SANS 580 یاد می گیریم؟

• تبدیل به یک فوق تخصص در فریمورک متااسپلویت خواهید شد
• به کلیه بخش ها ، قسمت ها و قابلیت های Metasploit مسلط می شوید
• کار کردن با اسکریپت های متااسپلویت را بصورت کامل آموزش می بینید
• می توانید حملات Client Side را به خوبی انجام دهید
• ساختن انواع Payload با Metasploit را به خوبی یاد می گیرید
• انواع حملات را می توانید براحتی بر روی هدف انجام دهید
• بصورت کامل با Meterpreter آشنا خواهید شد
• به ابزار Armitage مسلط می شوید

دوره آموزشی SANS SEC573 ( Automating Information Security with Python )

در دوره آموزشی SANS 573  هدف اصلی دوره حل کردن چالش های امنیتی حوزه فناوری اطلاعات با استفاده از اسکریپت های زبان پایتون است. اگر همیشه قرار است که منتظر بمانید که یک Vendor یا تولید کننده الزاما برای شما Patch امنیتی بسازد و ارائه بدهد ، یا راهکار امنیتی خاصی به شما ارائه کند

شما همیشه از مسیر و راه امنیت عقب هستید . در واقع این روزها ، کارشناسان حرفه ای حوزه امنیت اطلاعات باید بتوانند برای خودشان ابزارهای خاص منظوره طراحی و توسعه بدهند . در این دوره آموزشی شما توانایی استفاده و توسعه از اسکریپت های حوزه امنیت اطلاعات را پیدا می کنید.

سرفصل های دوره SANS 573 ( اتوماسیون امنیت اطلاعات با پایتون )

573.1: Essentials Workshop with pyWars
573.2: Essentials Workshop with MORE pyWars
573.3: Defensive Python
573.4: Forensics Python
573.5: Offensive Python
573.6: Capture-the-Flag Challenge

مخاطبین دوره SANS 573 ( اتوماسیون امنیت اطلاعات با پایتون )

• متخصصان امنیتی که تمایل دارند کارهای روتین و روزانه خود را بصورت خودکار انجام دهند
• کارشناسان کشف جرائم رایانه ای که میخواهند تجزیه و تحلیل خود را بصورت خودکار انجام دهند
• متخصصان شبکه که تمایل دارند کارهای روزانه و تکراری خودرابصورت خودکارانجام دهند
• تست نفوذگرانی که تمایل دارند به جای کاربا ابزارهای آماده (Script kiddie ) به سمت متخصص حرفه ای هک و نفوذ (هکر برنامه نویس) بروند
• مشاوران امنیتی که قصد دارند ابزارهایی برای انواع راه حل های امنیتی بسازند

چه چیزی در دوره SANS 573 یاد می گیریم؟

• تغییر ابزار های open source موجود و شخصی سازی آنها مطابق با نیاز خود و یا سازمان
• دستکاری انواع log file ها با فرمت های مختلف به جهت سازگاری آنها با ابزارهای مختلف جمع آوری Log
• ساخت ابزار های جدید آنالیز Log فایل ها و پکت های شبکه به منظور کشف هکرها در سازمان
• توسعه ابزار های تخصصی کشف جرائم رایانه ای
• خودکار سازی جمع آوری هوشمندانه اطلاعات به منظور افزایش سطح امنیت شما از منابع آنلاین
• خودکار سازی استخراج داده های حیاتی در بحث کشف جرائم رایانه ای از رجیستری ویندوز و دیگر دیتابیس ها

دوره آموزشی SANS SEC504 ( Hacker Techniques )

هدف اصلی دوره آموزشی SANS 504 آماده شدن و توسعه مهارت های شما با محوریت پاسخگویی به رخدادهای امنیتی است. شما در این دوره آموزشی یاد می گیرید که چگونه برای مقابله با حملات سایبری و تهدیدات امنیت سایبری آماده شوید و نقشه مقابله مناسبی را برای دفاع در برابر این حملات طراحی کنید.  در این دوره آموزشی آخرین تهدیدات امنیتی سازمان ها از جمله تهدیدات سمت کاربر یا تهدیدات امنیتی سمت سرور تجزیه و تحلیل می شود و بر اساس آن راهکارهای امنیتی ارائه می شوند.

دوره SANS SEC504 به شما دانش این را می دهد که متوجه شوید هکرها چگونه اسکن می کنند ، چگونه از اکسپلویت ها استفاده می کنند ، چگونه ارتباطات دائمی با سیستم قربانی برقرار می کنند و اساسا تکنیک های خاص هکری که استفاده می کنند ، شامل چه چیزهایی می شود. بیش از 50 درصد زمان این دوره آموزشی مختص انجام داده تمرین های عملی و کارگاهی برای کار کردن با ابزارها و موضوع های مهم و پیچیده در بحث تکنیک های نفوذ است. یادگیری این دوره آموزشی به شدت به شما در راه اندازی تیم آبی و تیم قرمز در سازمان ها کمک می کند.

سرفصل های دوره SANS 504 ( آموزش تکنیک های پیشرفته هک و نفوذ )

504.1: Incident Handling Step-by-Step and Computer Crime Investigation
504.2: Recon, Scanning, and Enumeration Attacks
504.3: Password and Access Attacks
504.4: Public-Facing and Drive-By Attacks
504.5: Evasion and Post-Exploitation Attacks
504.6: Capture-the-Flag Event

مخاطبین دوره SANS 504 ( آموزش تکنیک های پیشرفته هک و نفوذ )

• متخصصین امنیت شبکه و شبکه
• فعالان عرصه امنیت سایبری
• فعالان و دانشجویان عرصه امنیت اطلاعات
• افراد علاقمند به ارتقا دانش خود به سطح SANS 504
• و تمامی افرادی که در حوزه امنیت و شبکه های کامپیوتری فعالیت میکنند

چه چیزی در دوره SANS 504 یاد می گیریم ؟

• نحوه مدیریت حوادث و پاسخ گویی براساس راهکار های بین اللملی
• تسلط و آشنایی با حملات متنوع بستر سیستم ها و شبکه های کامپیوتری
• تسلط و آشنایی بر روی تکنیک های متنوع جمع آوری اطلاعات
• تسلط و آشنایی بر حملات و نحوه کشف آن‌ها در محیط های Web

دوره آموزش SANS FOR500 و SANS FOR506 ( Windows and Linux Forensics )

دوره آموزش SANS FOR500 و دوره آموزشی SANS FOR506 دو دوره تخصصی سنز سکیوریتی در حوزه کشف جرایم رایانه ای از سیستم عامل های ویندوز و لینوکس می باشند . هدف از این دوره آموزشی تجزیه و تحلیل و احراز صحت داده های جمع آوری شده از سیستم عامل های خانواده ویندوز و لینوکس در جهت بدست آوردن اطلاعات دقیقتر می باشد. در این دوره ها به دانشجویان متدلوژی های مختلف کشف جرم در شکل ها و موقعیت های مختلف در دنیای واقعی آموزش داده می شود. این دوره ویژه کارشناسان امنیت و تیم های آبی و قرمز در سازمان های بزرگ است.

سرفصل های دوره SANS FOR500 و SANS FOR506

FOR500.1:Digital Forensics and Advanced Data Triage
FOR500.2:Shell Items and Removable Device Profiling
FOR500.3:Email Analysis,Windows Timeline,SRUM and Event Logs
FOR500.4:Web Browser Forensics
FOR500.5:Windows Forensics Challenge
FOR500.6:Registry Analysis,Application Execution and Cloud Storage Forensics

مخاطبین دوره SANS FOR500 SANS FOR506

• پزشکان قانونی دیجیتال
• فعالان و کارشناسان حوزه پزشکی قانونی دیجیتال و جرم شناسی دیجیتال
• کارشناسان سطح 1 2 3 مرکز عملیات امنیتی (SoC)
• متخصصین و فعالان عرصه امنیت سایبری
• متخصصین و مهندسین عرصه امنیت اطلاعات
• کارشناسان حوزه امنیت شبکه
• افراد علاقمند به شروع و یادگیری مبحث کامپیوتر فارنزیک
• (Computer Forensic) دانشجویان و علاقمندان حوزه فارنزیک ( Forensic )

چه چیزی در دوره SANS FOR500 SANS FOR506 یاد می گیریم؟

• تسلط بر روی دوره SANS FOR500.1 و FOR500.2
• تسلط بر روی دوره SANS SEC506.6
• تسلط بر روی مباحث و اصول جرم شناسی دیجیتال سیستم ها و سرورهای ویندوزی
• تسلط بر روی مباحث و اصول جرم شناسی دیجیتال سیستم ها و سرورهای لینوکسی
• تسلط بر روی ابزار ها و تکنیک های جرم شناسی و یا فارنزیک سیستم ها و سرورهای ویندوزی و لینوکسی
• تسلط کافی بر روی قسمت های حساس سیستم ها به منظور کشف شواهد جرم

ماکروها (Macro) یکی از کاربردی ترین روش های مورد استفاده توسط هکرها جهت اجراسازی و توزیع کد های مخرب،بدافزارها، کرم ها و نقض های امنیتی میباشد که تاریخچه این موضوع به سال 1990 برمیگردد و در این سال بود که سو استفاده از ماکروها (Macro) شروع شد اما با گذشت زمان کوتاهی و آموزش کاربران برای مقابله با این نوع حملات به‌ راحتی جلوی این سو استفاده ها گرفته شد. دراصل این روش بدین شکل میباشد که با استفاده از زبان VBScript و و نوشتن ماکرو (Macro) در فایل های Microsoft Office (مانند فایل های Excel و Word) سبب انتشار و توزیع بد افزارها و کدهای مخرب میشوند.

sudo -H pip install -U oletools

فایروال (Firewall) چیست و به زبان ساده چگونه کار می کند؟ چرا به آن دیواره آتش می گویند؟ فایروال چگونه کار می کند و چند نوع دارد؟ اگر بخواهیم به زبان ساده صحبت کنیم باید بگوییم بعد از سویچ در انواع تجهیزات شبکه ، واژه فایروال را می توانیم یکی از پرکاربردترین واژه ها در حوزه کامپیوتر و شبکه معرفی کنیم. خیلی اوقات از اینور و آنور این جملات آشنا را می شنویم که فایروالت رو عوض کن ، برای شبکه فایروال بگیر ، توی فایروال فلان رول رو اضافه کنید ، فایروالتون رو خاموش کنید و ... امروز در این مقاله می خواهیم به ساده ترین شکل ممکن و البته با بیان تجربیات خودم در مورد فایروال و سیر تا پیاز این نرم افزار یا سخت افزار با هم صحبت کنیم. با ما تا انتهای مقاله باشید.

معنی لغوی فایروال چیست؟ بررسی مفهوم و تئوری دیواره آتش

فایروال که به انگلیسی از ترکیب دو کلمه Fire به معنی آتش و Wall به معنی دیوار تشکیل شده است ، به زبان فارسی به عنوان دیواره آتش ترجمه شده است. با توجه به اینکه ماهیت دیواره آتش جلوگیری از تهدیدات و به نوعی پاکسازی ترافیک شبکه است ، می توان چنین تفسیر کرد که این نامگذاری با توجه به ماهیت پاکسازی و ضدعفونی کننده آتش در تاریخ ، برگرفته ای از همین مفهوم باشد

به زبان ساده تر آتش پاکسازی می کند و ضدعفونی می کند و دیواره آتش در شبکه هم ترافیک آلوده و خطرناک را پاکسازی می کند. بد نیست بدانید که آتش نماد پاکی در ایران باستان هم بوده است. در ادامه این مقاله ما فرض را بر این می گذاریم که شما تعریف شبکه چیست را به خوبی می دانید و با مفاهیم شبکه آشنایی دارید.

کمی راجع به تاریخچه فایروال و نسل های فایروال

در ابتدا چیزی به نام فایروال در انواع شبکه های کامپیوتری وجود نداشت. بعد از به وجود آمدن روترها یا مسیریاب های شبکه ، این نیاز احساس شد که بایستی بتوانیم ترافیک را در برخی شرایط محدود کنیم. در این شرایط چیزی به نام Access Rule یا ACL در روترها معرفی شدند که پایه و اساس خیلی از فایروال های امروزی هستند.

• برای مطالعه بیشتر :

  به زبان ساده تر آتش پاکسازی می کند و ضدعفونی می کند و دیواره آتش در شبکه هم ترافیک آلوده و خطرناک را پاکسازی می کند. بد نیست بدانید که آتش نماد پاکی در ایران باستان هم بوده است. در ادامه این مقاله ما فرض را بر این می گذاریم که شما تعریف شبکه چیست را به خوبی می دانید و با مفاهیم شبکه آشنایی دارید.

  کمی راجع به تاریخچه فایروال و نسل های فایروال

  در ابتدا چیزی به نام فایروال در انواع شبکه های کامپیوتری وجود نداشت. بعد از به وجود آمدن روترها یا مسیریاب های شبکه ، این نیاز احساس شد که بایستی بتوانیم ترافیک را در برخی شرایط محدود کنیم. در این شرایط چیزی به نام Access Rule یا ACL در روترها معرفی شدند که پایه و اساس خیلی از فایروال های امروزی هستند.

  • برای مطالعه بیشتر : ACL چیست و چگونه با کمک آن شبکه را کنترل و فیلتر کنیم؟

  Access Rule ها تعریف می کردند که چه آدرسهایی از کجا به کجا بتوانند بروند و یا نروند. مکانیزم کاری فایروال های اولیه هم بر همین اساس بود و فیلترینگی که بر روی ترافیک ها انجام می شد با عنوان فیلترینگ بسته یا Packet Filtering می توانست مسیر بسته های اطلاعاتی شبکه را تعیین کند.

  اولین نسل از فایروال های شبکه در اواخر دهه 1980 میلادی به دنیا معرفی شدند. با توسعه و پیشرفته تکنولوژی های فایروال نسل های مختلفی از فایروال به دنیا معرفی شدند که در ادامه نسل های فایروال ها را با هم مرور می کنیم :

  نسل اول از فایروال چیست؟ اضافه شدن ضد ویروس

  این نسل از فایروال ها به عنوان Generation 1 Virus هم شناخته می شوند. فایروال هایی که قبل از نسل یک فایروال ها کار می کردند صرفا بصورت فیلترینگ بسته های اطلاعاتی یا Packet Filtering کار می کردند.

Access Rule ها تعریف می کردند که چه آدرسهایی از کجا به کجا بتوانند بروند و یا نروند. مکانیزم کاری فایروال های اولیه هم بر همین اساس بود و فیلترینگی که بر روی ترافیک ها انجام می شد با عنوان فیلترینگ بسته یا Packet Filtering می توانست مسیر بسته های اطلاعاتی شبکه را تعیین کند.

اولین نسل از فایروال های شبکه در اواخر دهه 1980 میلادی به دنیا معرفی شدند. با توسعه و پیشرفته تکنولوژی های فایروال نسل های مختلفی از فایروال به دنیا معرفی شدند که در ادامه نسل های فایروال ها را با هم مرور می کنیم :

نسل اول از فایروال چیست؟ اضافه شدن ضد ویروس

این نسل از فایروال ها به عنوان Generation 1 Virus هم شناخته می شوند. فایروال هایی که قبل از نسل یک فایروال ها کار می کردند صرفا بصورت فیلترینگ بسته های اطلاعاتی یا Packet Filtering کار می کردند.

این اولین نسلی از فایروال ها بود که جلوی ورود و خروج انواع بدافزار هایی مثل ویروس های کامپیوتری و تهدیدات بدافزاری را نیز می گرفت. این نوع فایروال ها انقلابی در صنعت امنیت سایبری ایجاد کردند و اولین نسل فایروال ها در اواخر دهه 1980 به بازار ارائه شدند.

نسل دوم از فایروال چیست؟ جلوگیری از حملات اینترنتی

این نسل از فایروال ها به عنوان Generation 2 Networks هم شناخته می شوند. این نوع فایروال ها در اواسط دهه 1990 معرفی شدند و با گسترش ارتباطات و اینترنت و به تبع آن گسترش حملات تحت شبکه و حملات اینترنتی به بازار معرفی شدند و با همین هدف ، یعنی جلوگیری از تهدیدات شبکه اینترنت و مدیریت امنیتی ترافیک اینترنت به بازار ارائه شدند.

نسل سوم از فایروال چیست؟ جلوگیری از تهدیدات نرم افزاری و تشخیص نفوذ

این نسل از فایروال ها به عنوان Generation 3 Applications هم شناخته می شوند. در نسل سوم از فایروال ها ، اینبار هدف حملات هکرها و بدافزار نویس ها اپلیکیشن ها یا برنامه ها بودند و به تبع همین نوع تهدیدات ، مکانیزم های جلوگیری از حملات به اپلیکیشن ها یا نرم افزارهای کاربردی نیز به فایروال ها اضافه شدند . این نوع فایروال ها از اوایل سال 2000 به بازار معرفی شدند و در خودشان مکانیزم های سیستم های تشخیص نفوذ ( Intrusion Detection Systems ) یا IDS ها را برای اولین بار معرفی کردند.

• برای مطالعه بیشتر : IDS چیست؟ معرفی سیستم تشخیص نفوذ و انواع آن به زبان بسیار ساده

نسل چهارم از فایروال چیست؟ جلوگیری از حملات رباتیک

این نسل از فایروال ها به عنوان Generation 4 Payload هم شناخته می شوند.حملات روز به روز پیشرفته تر می شوند ، در سال 2010 فایروال های نسل چهارم با محوریت مقابله با حملات رباتیک ( زامبی ها و ... ) طراحی شدند ، حملاتی که چند منظوره ، هدفمند ، ناشناخته و ترسناک بودند و به شدت در حال رشد بودند. محصولات ضد ربات در فایروال ها از این نسل اضافه شدند.

• جهت مطالعه بیشتر : معرفی 14 نوع حمله هکری به زبان ساده که باید بشناسید

نسل پنجم از فایروال چیست؟ جلوگیری از ابرحملات

این نسل از فایروال ها به عنوان Generation 5 Mega هم شناخته می شوند. این نسل را می توان تقریبا نسل فعلی اکثر فایروال های امروزی دانست که از سال 2017 به دنیا معرفی شدند. هدف این نوع فایروال ها مقابله با حملات با مقیاس های بزرگ و چند بعدی بود . در حال حاضر اکثر مکانیزم های کاری فایروال های نسل های قبلی در این نوع فایروال ها وجود دارند.

مکانیزم کاری فایروال چیست؟ بررسی نحوه کار دیواره آتش

هدف من این نیست مکانیزم پیچیده ای برای شما از نحوه کارکرد فایرولها ارائه کنم و سعی می کنم به ساده ترین شکل این روند را توضیح بدهم. فایروال یک ترافیک ورودی دارد و یک ترافیک خروجی که در اصطلاح به ورودی Inbound و به خروجی Outbound گفته می شود.

فایروال ها دارای پا یا در اصطلاح Leg هستند که یک قسمت از شبکه یا سیستم عامل را به قسمت دیگری مرتبط می کنند. به زبان ساده تر اتصالات به شبکه های مختلف است. فایروال ها ترافیک را تجزیه و تحلیل می کنند و بر اساس قوانینی که بر روی آنها تعریف شده است تصمیم می گیرند که اجازه عبور ترافیک مربوطه را بدهند یا ندهند.

طبیعی است که ترافیک شبکه دارای قالب Packet است. بنابراین زمانیکه فایروال می خواهد تصمیم گیری کند ، بعد از باز کردن بسته اطلاعاتی به آدرس مبدا ( Source ) و آدرس مقصد ( Destination ) و محتوای بسته اطلاعاتی ( Data ) توجه می کند و بر اساس آن تصمیم می گیرد که ترافیک مجاز را عبور بدهد یا آن را مسدود کند.

به عنوان یک متخصص امنیت شبکه شما باید بتوانید در برابر حملات Enumeration و درج اطلاعاتی هویتی از سرور یا سرویس هایتان ، آنها را امن کنید. در این مقاله می خواهیم به روشهای مقابله با حملات Enumeration بپردازیم و ایمن سازی شبکه در برابر اینگونه حملات را با هم مرور کنیم.

معرفی روشهای مقابله با LDAP Enumeration به زبان بسیار ساده

دقت کنید که جلوگیری از LDAP Enumeration اصلا به سادگی جلوگیری از Enumeration در سایر سرویس ها نیست به دلیل اینکه اگر به درستی این سرویس کار نکند کل فعالیت شبکه داخلی شما که بعضا مبتنی بر Active Directory است دچار اختلال می شود.

در واقع بهترین راهکار جلوگیری از LDAP Enumeration بدون اینکه مشکلی برای کاربران به وجود بیاید استفاده از مکانیزم Application Virtualization ای مثل Citrix است که به شما یک Remote Session می دهد که بتوانید کارهای خودتان را انجام بدهید اما طبیعتا هر کسی نمی تواند با استفاده از این مکانیزم همه کاربران شبکه را به استفاده از این ابزار هدایت کند.

جلوگیری از LDAP Enumeration بایستی خیلی با احتیاط انجام شود و از جمله مواردی است که شما به خیلی چیزها باید توجه کنید که دچار مشکل نشوند. اما بصورت کلی استفاده کردن از پروتکل NTLM و به ویژه NTLMv3 در شبکه برای برقراری ارتباط با Active Directory و همچنین استفاده از Basic Authentication در ارتباطات باعث کاهش ریسک این تکنیک می شود ،

شما باید سعی کنید که ترافیک عبوری را محدود به کاربران عضو دومین و از طریق پروتکل های امنی مثل SSL یا IPsec رد و بدل کنید. و آخرین گزینه که یک قابلیت مبهم سازی هم می باشد این است که از همان ساختار نامگذاری ایمیل ها برای نامگذاری کاربران شبکه استفاده نکنید.

آشنایی با روشهای مقابله با SNMP Enumeration به زبان بسیار ساده

دقت کنید که ساده ترین و موثرترین اقدام در خصوص آسیب پذیری های یک سرویس این است که اگر این سرویس مورد نیاز نیست ! پس آن را غیرفعال کنید ! یعنی چیزی که وجود نداشته باشد آسیب پذیری هم نخواهد داشت بنابراین شما باید سرویس یا Agent ای که برای SNMP استفاده نمی شود را از روی سرورها و کلاینت ها و سایر تجهیزاتی که از آن استفاده نمی کنید غیرفعال کنید و به کلی حذف کنید. اگر توانایی حذف کردن این سرویس را ندارید سرویس آن را در سیستم عامل ها غیرفعال یا Disable کنید.

اگر امکان این وجود ندارد که سرویس را غیرفعال کنید یا حذف کنید شما باید Community String های پیشفرضی که برای این سرویس مورد استفاده قرار می گیرد را تغییر بدهید. در واقع با تغییر دادن Default Community String شما خطری به نام Default Passwords را از روی این سرویس حذف کرده اید و امنیت این سرویس را بالا برده اید.

اگر در شبکه های مبتنی بر سیستم عامل های سرور و کلاینت مایکروسافت کار می کنید و امکان استفاده از قابلیت های Group Policy را دارید قابلیتی به نام Additional restrictions for anonymous connections را فعال کنید و بر روی کلاینت ها نیز اعمال کنید از طرفی دسترسی به انواع null session ها از جمله pipe ها و share ها را محدود کنید و در ضمن IPsec را نیز می توانید در شبکه برای رمزنگاری داده ها و ارتباطات استفاده کنید.

فراموش نکنید خواه ناخواه مسدود کردن دسترسی به پورت های مورد استفاده توسط SNMP نیز بسیار موثر است زیرا در صورت عدم امکان غیرفعال کردن این سرویس پورت مورد نظر توسط فایروال حفاظت می شود بنابراین دسترسی به پورت 161 هم بصورت UDP و هم بصورت TCP را مسدود کنید. همچنین به عنوان نکته آخر ، قبل از نصب کردن Component های ویندوز بررسی کنید که آیا همزمان SNMP را نیز نصب می کنند یا خیر اگر اینطور است این Component ها را نصب نکنید.

الان می خواهیم در خصوص نحوه جلوگیری از SMB Enumeration توضیح بدهیم. سرویس SMB سرویسی است که بصورت ذاتی از نظر امنیتی بسیار می تواند خطرناک باشد هرچند که ماهیت برخی از سرویس های حیاتی شبکه نیز بر عهده این سرویس می باشد. اکثر سرویس هایی که در شبکه وابسته به ماهیت اشتراک گذاری هستند اعم از اشتراک گذاری فایل و پرینتر از این سرویس استفاده می کنند.

این روزها به غیر از بحث Enumeration حملات بسیار زیادی در حوزه Ransomware یا باج افزارها نیز بر روی این سرویس انجام می شود که این سرویس را هر روز خطرناکتر از روز قبل می کند اما خواه ناخواه دو حالت وجود دارد برای امن کردن این سرویس ، اگر شما سروری دارید که دارای سرویس های خاصی اعم از DNS یا Web است و ماهیت اشتراک گذاری مثل فایل و پرینتر بر روی آن وجود ندارد می توانید سرویس SMB را به کلی از روی آن حذف کنید.

در سیستم عامل های ویندوزی می توانید از طریق تنظیمات کارت شبکه قابلیت File and Printer Sharing For Microsoft Networks را غیرفعال و Uninstall کنید یا در ویندوزهای سرور می توانید در قسمت Component های موجود SMB را حذف کنید.

بر روی سرورهایی که بصورت مستقیم بر روی اینترنت سرویس دهی می کنند حتما این سرویس را غیرفعال کنید و بصورت کامل از روی سرور حذف کنید ، پورت های 139 و 445 بصورت TCP را از طریق فایروال سیستم مسدود کنید و در نهایت در سیستم عامل های خانواده ویندوز از طریق تنظیمات رجیستری تنظیمات مربوط به جلوگیری از Null Sessions را از طریق RestrictNullSessAccess انجام بدهید تا از خطرات ناشی از Enumeration در امان باشید.

معرفی روشهای مقابله با SMTP Enumeration به زبان بسیار ساده

نوبت به روش های جلوگیری از این حملات و امن کردن سرویس SMTP می رسد. امن کردن سرویس SMTP به نسبت سایر سرویس ها تقریبا ساده تر است در وهله اول بررسی کنید که اصلا شما نیاز به سرویس SMTP دارید یا خیر ؟

در بسیاری از موارد شما می توانید پروتکل IMAP را جایگزین این سرویس کرده و بصورت آنلاین همه کارهایتان را انجام بدهید اما اگر مجبور به استفاده از SMTP هستید حتما ارسال ایمیل به گیرندگان ناشناس یا Unknown Receipts را در تنظیمات ایمیل سرور خودتان غیرفعال کنید یعنی تا زمانیکه اعتبار درخواستی که به سمت ایمیل سرور می آید تعیین نشود ایمیل پاسخ به این دومین های ناشناس را ارسال نکنید.

معمولا نرم افزارهای ایمیل سرور اطلاعاتی از نوع ایمیل سرور و نسخه ایمیل سرور را در هر ایمیلی که ارسال می کنند با پیام ها ارسال می کنند که می تواند باعث افشای نسخه ایمیل سرور و در نتیجه انجام حملات مبتنی بر نسخه ایمیل سرور شود ، در تنظیمات هر ایمیل سروری این امکان وجود دارد که از ارسال و در اصطلاح Sign کردن ایمیل ها با نام ایمیل سرور خودداری شود که اینکار را باید در تنظیمات ایمیل سرور انجام بدهید.

در نهایت قابلیت Open Relay را در تنظیمات SMTP سرور غیرفعال کنید. ایمیل سرورها قابلیتی دارند که می توانند چندین آدرس Domain مختلف را بر روی خودشان سرویس دهی کنند و همچنین به عنوان یک Third Party یا نرم افزار جانبی برای ارسال ایمیل سایر دومین ها نیز مورد استفاده قرار بگیرند که به اینکار در اصطلاح فنی Relay کردن گفته می شود. هر تلاشی که برای ارسال کردن ایمیل با آدرس های دومینی به غیر از آدرس های Local خود سرور انجام شود به عنوان Relay نیز شناخته می شود که این قابلیت در ایمیل سرور شما باید غیرفعال شود.

معرفی روشهای مقابله با DNS Enumeration به زبان بسیار ساده

نوبت به ارائه راهکارها برای امنیت بیشتر این سرویس در مقابل حملات DNS Enumeration است . در اولین گام سعی کنید تا زمانیکه به این سرویس مسلط نشده اید و دقیقا مکانیزم کاری آن را درک نکرده اید سرویس DNS عمومی راه اندازی نکنید. این یک پیشنهاد دوستانه از طرف خودم بود

اما بصورت کلی زمانیکه DNS سرور در سیستم عامل های مختلف را نصب و راه اندازی می کنید قابلیت یا گزینه ای وجود دارد که امکان Zone Transfer را فعال یا غیرفعال می کند و در عین حال شما سرورهایی که مجاز به دریافت Zone Transfer هستند را نیز مشخص می کنید. اگر قرار نیست DNS سرور شما Zone Transfer داشته باشد این قسمت را غیرفعال کنید و اگر قرار است با سرورهای خاصی ارتباط و Zone Transfer داشته باشد حتما آدرس های IP آنها را در این میان تعریف کنید.

اگر در شبکه های مبتنی بر سیستم عامل های مایکروسافت هستید و DNS سرور شما ویندوز سرور است و بر روی یک Doman Controller قرار دارد مطمئن شوید که Replication بین Domain Controller ها برای سرویس DNS حتما از طریق اکتیودایرکتوری انجام می شود به زبان ساده تر هیچوقت گزینه نگهداری Zone در قالب فایل در تنظیمات DNS سرور را فعال نگه ندارید مگر در زمانیکه نیاز به کپی کردن Zone داشته باشید. اگر از ترکیب دو نوع DNS سرور داخلی و خارجی یا مکانیزم DNS Split در شبکه استفاده می کنید مطمئن شوید که آدرس های IP Private شما در DNS سرور Public شما قرار نگرفته و بصورت عمومی در دسترس نباشند.

نوع خاصی از رکوردهای DNS به نام HINFO وجود دارد که اطلاعاتی از قبلی نوع سیستم عامل سرور و حتی اطلاعاتی مربوط به نوع CPU و ... را در خود نگه می دارد. شما باید مطمئن باشید که در DNS سرور شما HINFO Record یا چیزی مشابه آن وجود نداشته باشد و چنین رکوردهایی را از مجموعه فایل Zone حذف کنید. در فرآیند مدیریتی DNS هیچوقت رکوردها یا اطلاعات تماسی قرار ندهید که از طریق آن مهاجم بتواند حملات مهندسی اجتماعی را تدارک ببیند و تا جای ممکن اطلاعات هویتی و تماس را از سرویس DNS حذف کنید.

حتما از فرآیند مبهم سازی در رکوردها استفاده کنید و یک الگوریتم مبهم سازی برای خودتان بصورت درون سازمانی و برون سازمانی تعریف کنید برای مثال Accounting.tosinso.com بصورت واضحی نشان می دهد که سرور حسابداری در پشت زمینه این اسم قرار دارد اما وقتی با اسمی مثل 00989121.tosinso.com مواجه شوید مهاجم نمی تواند سرویس پس زمینه را تشخیص بدهد و شناخت شبکه داخلی برایش مبهم تر خواهد شد.

پیش زمینه های ورود به دنیای هک و امنیت قطعا دوره های آموزش شبکه های کامپیوتری و به صورت ویژه دوره آموزش نتورک پلاس است. در دوره آموزش هک قانونمند و یا دوره CEH شما به خوبی با نحوه پیاده سازی چنین حملاتی آشنا می شوید و صد البته مفاهیم مربوط به ماهیت و مفاهیم امنیت شبکه و هک و نفوذ را نیز در دوره آموزش سکیوریتی پلاس آموزش خواهید دید. پیشنهاد می کنم اگر هنوز در خصوص دنیای هک و نفوذ دارای ابهام هستید حتما مقاله چگونه هکر شویم در این لینک را مطالعه کنید. امیدوارم مورد توجه شما عزیزان قرار گرفته باشد. با تشکر محمد نصیری

فراموش نکنید که هم Public Community String و هم Private Community String را تغییر بدهید. با توجه به آسیب پذیری هایی که در نسخه های قدیمی SNMP وجود داشت حتما در صورت امکان و پشتیبانی نرم افزارها یا سیستم عامل های خود ، نسخه SNMP خودتان را حتما به Version 3 ارتقاء بدهید زیرا این نسخه از این سرویس دارای رمزنگاری در لایه پسورد و پیام هایی است که در شبکه منتقل می کند وهمین مورد باعث می شود که امکان شنود اطلاعات توسط مهاجمین به حداقل برسد.