💎 #استخدام_کارشناس_فایروال
📌 تسلط بر روی مفاهیم Networking شامل: Routing و Switching
📌 تسلط بر روی مباحث Firewalling
📌 تسلط بر روی UTMهای شرکت Fortinet و نگهداری آنها
📌 تسلط بر روی مباحث Troubleshooting شبکه و زیرساخت
📌 تجربه کار با سایر فایروال ها و UTMها مزیت محسوب می شود.
⭕️سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناس در یکی از فیلدهای IT
📌ترجیحاً داشتن مدارک CCNA R&S و CCNP R&S و FortiGate
📌 حداقل داشتن 3 سال سابقه کاری در حوزه IT
📌 توانایی و قدرت تحلیل و حل مسأله
📌 توانایی مستندسازی
📌 توانایی تحقیق و بررسی موضوعات جدید در حوزه امنیت شبکه، امنیت اطلاعات و امنیت سایبری
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@CCI30
@iranopensource🐧
📌 تسلط بر روی مفاهیم Networking شامل: Routing و Switching
📌 تسلط بر روی مباحث Firewalling
📌 تسلط بر روی UTMهای شرکت Fortinet و نگهداری آنها
📌 تسلط بر روی مباحث Troubleshooting شبکه و زیرساخت
📌 تجربه کار با سایر فایروال ها و UTMها مزیت محسوب می شود.
⭕️سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناس در یکی از فیلدهای IT
📌ترجیحاً داشتن مدارک CCNA R&S و CCNP R&S و FortiGate
📌 حداقل داشتن 3 سال سابقه کاری در حوزه IT
📌 توانایی و قدرت تحلیل و حل مسأله
📌 توانایی مستندسازی
📌 توانایی تحقیق و بررسی موضوعات جدید در حوزه امنیت شبکه، امنیت اطلاعات و امنیت سایبری
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@CCI30
@iranopensource🐧
Forwarded from Iran Open Source (IOS) (Hossein Rafieekhah)
⭕️ #استخدام FRONT-END DEVELOPER
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
⭕#استخدام Front-End Developer
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 مسلط به زبان های برنامه نویسی مختص Backend Development مانند Ruby، Python، Java و ...
📌 مسلط به HTML/CSS
📌 مسلط به JavaScript
📌 تسلط بر UI Frameworks مانند React.js یا Angular و ...
📌 مسلط به UI/UX
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناس در رشته مهندسی کامپیوتر و IT
📌 حداقل داشتن 1 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 مسلط به زبان های برنامه نویسی مختص Backend Development مانند Ruby، Python، Java و ...
📌 مسلط به HTML/CSS
📌 مسلط به JavaScript
📌 تسلط بر UI Frameworks مانند React.js یا Angular و ...
📌 مسلط به UI/UX
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناس در رشته مهندسی کامپیوتر و IT
📌 حداقل داشتن 1 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
⭕️ #استخدام IOS DEVELOPER
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
⭕#استخدام برنامه نویس IOS
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 مسلط به زبان های برنامه نویسی IOS مانند Objective C یا Swift
📌 درک صحیحی از Framework ها و تکنولوژی های مرتبط مانند Cocoa، UIKit، Xcodeو ...
📌 مسلط به زبان های برنامه نویسی مختص Backend Development مانند Ruby، Python، Java و ...
📌 مسلط به UI/UX
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناس در رشته مهندسی کامپیوتر و IT
📌 حداقل داشتن 1 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 مسلط به زبان های برنامه نویسی IOS مانند Objective C یا Swift
📌 درک صحیحی از Framework ها و تکنولوژی های مرتبط مانند Cocoa، UIKit، Xcodeو ...
📌 مسلط به زبان های برنامه نویسی مختص Backend Development مانند Ruby، Python، Java و ...
📌 مسلط به UI/UX
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناس در رشته مهندسی کامپیوتر و IT
📌 حداقل داشتن 1 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
⭕️ #استخدام ANDROID DEVELOPER
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
⭕#استخدام برنامه نویس اندروید
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 مسلط به برنامه نویسی جاوا
📌 درک صحیحی از Framework ها و تکنولوژی های مرتبط مانند Android SDK، Android Studioو ...
📌 مسلط به زبان های برنامه نویسی مختص Backend Development مانند Ruby، Python، Java و ...
📌 مسلط به UI/UX
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناسی در رشته مهندسی کامپیوتر و IT
📌 حداقل داشتن 1 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 مسلط به برنامه نویسی جاوا
📌 درک صحیحی از Framework ها و تکنولوژی های مرتبط مانند Android SDK، Android Studioو ...
📌 مسلط به زبان های برنامه نویسی مختص Backend Development مانند Ruby، Python، Java و ...
📌 مسلط به UI/UX
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناسی در رشته مهندسی کامپیوتر و IT
📌 حداقل داشتن 1 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
⭕️ #استخدام طراح UI / UX
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
⭕#استخدام طراح UI/UX
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 مسلط به اصول طراحی مانند سلسله مراتب اطلاعات ، Layout، تایپوگرافی ،رنگ
📌 مسلط به ابزارهای طراحی مانند Sketch، Adobe Creative Suiteو ...
📌 مسلط به دستورالعمل های طراحی مانند Material Design
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناسی در رشته مهندسی کامپیوتر و IT
📌 حداقل داشتن 1 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 مسلط به اصول طراحی مانند سلسله مراتب اطلاعات ، Layout، تایپوگرافی ،رنگ
📌 مسلط به ابزارهای طراحی مانند Sketch، Adobe Creative Suiteو ...
📌 مسلط به دستورالعمل های طراحی مانند Material Design
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناسی در رشته مهندسی کامپیوتر و IT
📌 حداقل داشتن 1 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
⭕️ #استخدام کارشناس DevOps
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
⭕#استخدام DevOps Engineer
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 آشنایی با یکی از زبان های برنامه نویسی مختص Backend Development مانند Ruby، Python، Java و ...
📌 دانش Linux and System Administration
📌 مسلط به تکنولوژی های پایگاه داده مانند PostgreSQL یا MongoDB و ...
📌 مسلط به اصول مدیریت پیکربندی (Configuration Management) مانند Ansible، Puppetو ...
📌 مسلط به ابزارهای نظارتی Monitoring مانند Zabbix ، ELK و ...
📌 مسلط به ابزارهای Containerization مانند Docker ، Swarm، Kubernetes، Rancher و ...
📌 دانش CI/CD مانند Jenkins، GitLab CI و ...
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناسی در رشته مهندسی کامپیوتر و IT یا رشته های مرتبط
📌 حداقل داشتن 4 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
❗️ تعدد نام زبان ها و ابزار ها در متن زیر به مفهوم تسلط بر تمام آنها نیست تخصص کامل بر یکی از موارد هر بند کفایت می کند.
📌 آشنایی با یکی از زبان های برنامه نویسی مختص Backend Development مانند Ruby، Python، Java و ...
📌 دانش Linux and System Administration
📌 مسلط به تکنولوژی های پایگاه داده مانند PostgreSQL یا MongoDB و ...
📌 مسلط به اصول مدیریت پیکربندی (Configuration Management) مانند Ansible، Puppetو ...
📌 مسلط به ابزارهای نظارتی Monitoring مانند Zabbix ، ELK و ...
📌 مسلط به ابزارهای Containerization مانند Docker ، Swarm، Kubernetes، Rancher و ...
📌 دانش CI/CD مانند Jenkins، GitLab CI و ...
⭕سایر موارد:
📌 پیگیر و مسئولیت پذیر
📌 حداقل مدرک کارشناسی در رشته مهندسی کامپیوتر و IT یا رشته های مرتبط
📌 حداقل داشتن 4 سال سابقه کاری در حوزه IT
🌀 لطفاً در صورت تمایل به همکاری، آخرین رزومه آپدیت شده خود را در تلگرام به ID زیر ارسال فرمایید:
@rafieekhah
@iranopensource🐧
🐧 لینک گروه جامعه متن باز (لینوکس) ایران
@IRAN_Open_Source_Community
#Mastering Linux Security and Hardening
@IRAN_Open_Source_Community
#Mastering Linux Security and Hardening
Mastering_Linux_Security_and_Hardening,_Second_Edition_by_Donald.epub
13.9 MB
Book Description
From creating networks and servers to automating the entire working environment, Linux has been extremely popular with system administrators for the last couple of decades; however, security has always been a major concern. With not many resources available in the Linux security domain, this book will be an invaluable guide to help you get your Linux systems properly secured.
From creating networks and servers to automating the entire working environment, Linux has been extremely popular with system administrators for the last couple of decades; however, security has always been a major concern. With not many resources available in the Linux security domain, this book will be an invaluable guide to help you get your Linux systems properly secured.
🐧 لینک گروه جامعه متن باز (لینوکس) ایران
@IRAN_Open_Source_Community
#Mastering Linux Security: Step by Step Practical Guide
@IRAN_Open_Source_Community
#Mastering Linux Security: Step by Step Practical Guide
Mastering Linux Security.pdf
20.6 MB
Linux is an open-source operating system that provides various utilities that help professionals to perform their tasks in an efficient and simple way, Linux has been known in the industry as one of the most stable operating systems. Linux OS provides a useful set of preinstaled utilities that allows the user to perform the required tasks easily, it also provides multiple applications and packages that can be installed to be used for different purposes. Using these utilities without limitations and restrictions would allow many of the breakthroughs that can be prevented by applying simple security standards Securing a Linux machine is an important task and the security issue becomes one of the main priorities when dealing with the machine as a server. Security should be one of the first considerations at al stages of setting up a Linux computer. Securing a Linux machine is a primary responsibility and maintaining a secure environment becomes one of the main priorities when dealing with Log files.
💎 #مقاله: بهترین ابزارهای متنباز برای تیم قرمز
#Red_Team_Tools
#Metasploit #Wireshark #Nmap #Shodan #DNSrecon #Slurp #SET #Aircracnk_ng #Hashcat #Mimikats #MITRE_ATT&K #Dradis
@iranopensource🐧
#Red_Team_Tools
#Metasploit #Wireshark #Nmap #Shodan #DNSrecon #Slurp #SET #Aircracnk_ng #Hashcat #Mimikats #MITRE_ATT&K #Dradis
@iranopensource🐧
Iran Open Source (IOS)
💎 #مقاله: بهترین ابزارهای متنباز برای تیم قرمز #Red_Team_Tools #Metasploit #Wireshark #Nmap #Shodan #DNSrecon #Slurp #SET #Aircracnk_ng #Hashcat #Mimikats #MITRE_ATT&K #Dradis @iranopensource🐧
💎 بهترین ابزارهای متنباز برای تیم قرمز (بخش اول)
یکی از بهترین ویژگیهای انجمنهای امنیت سایبری تعداد زیاد ابزارهای رایگان و متنباز در دسترس است. بسیاری از هکرهای ماهر ابزارهایی را برای اهداف مختلف ایجاد کرده و آنها را در دسترس انجمن قرار دادهاند. درنتیجه، گزینههای متعددی از ابزارهای متنباز برای تیم قرمز وجود دارد. حتی برای انتخاب ابزاری که در کار مختص به خود بهترین باشد، فهرستی از گزینههای متعدد ارائهشده است.
در این مقاله در مورد برخی از بهترین ابزارهای متنباز که برای تیم قرمز سازماندهی شدهاند، بحث خواهد شد. بسیاری از این ابزارها بهصورت پیشفرض در Kali Linux وجود دارند.
⭕️ تیم قرمز چیست؟
تیم قرمز (Red Team) گروهی از متخصصین امنیت اطلاعات و شبکه هستند که بهمنظور شبیهسازی حملات واقعی بر روی سیستمهای کامپیوتری گرد هم جمع میشوند. سازمانها میتوانند با شبیهسازی حملات دنیای واقعی و تمرین تدابیر امنیتی، تکنیکها و روشها که معمولاً مهاجمان از آنها بهره میبرند، خود را برای حملات واقعی آماده سازند.
تمرکز این تیم بیشتر بر روی برنامههای امنیتی و تست نفوذ سازمانهای مختلف است. یک تیم قرمز حملاتی را که میتوانند به یک سازمان یا شرکت در دنیای واقعی لطمه بزنند، شبیهسازی میکنند و تمام مراحلی را که مهاجمان برای حمله استفاده میکنند را انجام میدهد.
⭕️ ابزارهای شناسایی
اولین گام در ارزیابیهای تیم قرمز شناسایی مقدماتی است. تیم قرمز معمولاً بدون شناخت یا با شناخت کم از محیط هدف، وارد فرآیند ارزیابی میشود. بااینوجود طیف گستردهای از ابزارهای متنباز برای رفع این مشکل وجود دارد.
📌 ابزار Nmap تقریباً شناختهشدهترین ابزار برای شناسایی به شمار میرود و یک اسکنر شبکهای با دامنهای گسترده از ویژگیهای مفید است. با استفاده از Nmap، تیم قرمز میتواند اطلاعات زیادی را درباره هر کامپیوتر قابلدستیابی در شبکه به دست آورد. هرچند که اسکن شبکه باید با دقت انجام شود.
📌 ابزار Dnsrecon یکی دیگر از ابزارهای مفید برای شناسایی است که به تیم قرمز اجازه میدهد تا نامهای مختلف دامنه در شبکه مورد هدف و آدرسهای IP مرتبط که میتوانند برای هدف قرار دادن انواع مختلف حملات مفید باشد را شناسایی کند. همچنین این ابزار دارای قابلیتهای اضافی مرتبط با سرور DNS مانند تست انتقال ناحیه (zone transfer) است.
📌 ابزار Shodan یک موتور جستجو برای دستگاههای متصل به اینترنت است. استقرار گسترده دستگاههای IOT و امنیت ضعیف آنها، در مجموع دستگاههای IOT را به نقطه ورود اولیه امیدوار کننده برای تیم قرمز تبدیل میکند. ابزار Shodan میتواند در یافتن و شناسایی این دستگاهها کمک کند.
📌 ابزار Slurp برای کمک به کشف استقرارهای ابری AWS ناامن طراحیشده است که در این ابزار امکان اسکن در دامنه خاص یا با کلمات کلیدی وجود دارد و به تیم قرمز اجازه میدهد حسابهای AWS که متعلق به مشتریان بوده و احتمالاً آسیبپذیر هستند را کشف کند.
⭕️ دستیابی و حفظ دسترسی
هنگامیکه تیم قرمز نشانههایی از وجود شبکه هدف داشته باشد، زمان تلاش برای بهرهبرداری کردن از آن خواهد بود. این مرحله شامل دسترسی اولیه به محیط هدف و ایجاد راه و روشی برای حفظ و بهرهبرداری کردن از این دسترسی است.
📌 پلتفرم Metasploit در درجه اول بهعنوان یک ابزار تجاری در نظر گرفته میشود اما نسخه غیرتجاری آن هنوز هم بسیار قدرتمند است. Metasploit با بیش از ۱۵۰۰ کد بهرهبرداری، توانایی در توسعه و ادغام موارد دلخواه در جهان در میان چارچوبهای exploit در رأس قرار دارد.
📌 ابزار Ncat بهعنوان سلاح امنیت اطلاعات ارتش سوئیس شناخته میشود. هدف اصلی ایجاد اتصال از طریق پروتکلهای TCP/UDP روی هر پورتی است که امکانپذیر باشد. میتوان از آن برای اسکن پورت و دریافت اطلاعات اولیه از سرویس (banner grabbing) و فیلتر کردن دادهها و به دست آوردن دسترسی Shell از راه دور و بسیاری از اهداف دیگر استفاده کرد.
📌 ابزار Social Engineering Toolkit – SET ابزاری برای ایجاد حملات فیشینگ جهت تست انعطافپذیری و مقاومت مشتری در برابر مهندسی اجتماعی است که میتواند با ایجاد ایمیلها، وبسایتها و پیوستهای مخرب این کار را انجام دهد.
@iranopensource🐧
یکی از بهترین ویژگیهای انجمنهای امنیت سایبری تعداد زیاد ابزارهای رایگان و متنباز در دسترس است. بسیاری از هکرهای ماهر ابزارهایی را برای اهداف مختلف ایجاد کرده و آنها را در دسترس انجمن قرار دادهاند. درنتیجه، گزینههای متعددی از ابزارهای متنباز برای تیم قرمز وجود دارد. حتی برای انتخاب ابزاری که در کار مختص به خود بهترین باشد، فهرستی از گزینههای متعدد ارائهشده است.
در این مقاله در مورد برخی از بهترین ابزارهای متنباز که برای تیم قرمز سازماندهی شدهاند، بحث خواهد شد. بسیاری از این ابزارها بهصورت پیشفرض در Kali Linux وجود دارند.
⭕️ تیم قرمز چیست؟
تیم قرمز (Red Team) گروهی از متخصصین امنیت اطلاعات و شبکه هستند که بهمنظور شبیهسازی حملات واقعی بر روی سیستمهای کامپیوتری گرد هم جمع میشوند. سازمانها میتوانند با شبیهسازی حملات دنیای واقعی و تمرین تدابیر امنیتی، تکنیکها و روشها که معمولاً مهاجمان از آنها بهره میبرند، خود را برای حملات واقعی آماده سازند.
تمرکز این تیم بیشتر بر روی برنامههای امنیتی و تست نفوذ سازمانهای مختلف است. یک تیم قرمز حملاتی را که میتوانند به یک سازمان یا شرکت در دنیای واقعی لطمه بزنند، شبیهسازی میکنند و تمام مراحلی را که مهاجمان برای حمله استفاده میکنند را انجام میدهد.
⭕️ ابزارهای شناسایی
اولین گام در ارزیابیهای تیم قرمز شناسایی مقدماتی است. تیم قرمز معمولاً بدون شناخت یا با شناخت کم از محیط هدف، وارد فرآیند ارزیابی میشود. بااینوجود طیف گستردهای از ابزارهای متنباز برای رفع این مشکل وجود دارد.
📌 ابزار Nmap تقریباً شناختهشدهترین ابزار برای شناسایی به شمار میرود و یک اسکنر شبکهای با دامنهای گسترده از ویژگیهای مفید است. با استفاده از Nmap، تیم قرمز میتواند اطلاعات زیادی را درباره هر کامپیوتر قابلدستیابی در شبکه به دست آورد. هرچند که اسکن شبکه باید با دقت انجام شود.
📌 ابزار Dnsrecon یکی دیگر از ابزارهای مفید برای شناسایی است که به تیم قرمز اجازه میدهد تا نامهای مختلف دامنه در شبکه مورد هدف و آدرسهای IP مرتبط که میتوانند برای هدف قرار دادن انواع مختلف حملات مفید باشد را شناسایی کند. همچنین این ابزار دارای قابلیتهای اضافی مرتبط با سرور DNS مانند تست انتقال ناحیه (zone transfer) است.
📌 ابزار Shodan یک موتور جستجو برای دستگاههای متصل به اینترنت است. استقرار گسترده دستگاههای IOT و امنیت ضعیف آنها، در مجموع دستگاههای IOT را به نقطه ورود اولیه امیدوار کننده برای تیم قرمز تبدیل میکند. ابزار Shodan میتواند در یافتن و شناسایی این دستگاهها کمک کند.
📌 ابزار Slurp برای کمک به کشف استقرارهای ابری AWS ناامن طراحیشده است که در این ابزار امکان اسکن در دامنه خاص یا با کلمات کلیدی وجود دارد و به تیم قرمز اجازه میدهد حسابهای AWS که متعلق به مشتریان بوده و احتمالاً آسیبپذیر هستند را کشف کند.
⭕️ دستیابی و حفظ دسترسی
هنگامیکه تیم قرمز نشانههایی از وجود شبکه هدف داشته باشد، زمان تلاش برای بهرهبرداری کردن از آن خواهد بود. این مرحله شامل دسترسی اولیه به محیط هدف و ایجاد راه و روشی برای حفظ و بهرهبرداری کردن از این دسترسی است.
📌 پلتفرم Metasploit در درجه اول بهعنوان یک ابزار تجاری در نظر گرفته میشود اما نسخه غیرتجاری آن هنوز هم بسیار قدرتمند است. Metasploit با بیش از ۱۵۰۰ کد بهرهبرداری، توانایی در توسعه و ادغام موارد دلخواه در جهان در میان چارچوبهای exploit در رأس قرار دارد.
📌 ابزار Ncat بهعنوان سلاح امنیت اطلاعات ارتش سوئیس شناخته میشود. هدف اصلی ایجاد اتصال از طریق پروتکلهای TCP/UDP روی هر پورتی است که امکانپذیر باشد. میتوان از آن برای اسکن پورت و دریافت اطلاعات اولیه از سرویس (banner grabbing) و فیلتر کردن دادهها و به دست آوردن دسترسی Shell از راه دور و بسیاری از اهداف دیگر استفاده کرد.
📌 ابزار Social Engineering Toolkit – SET ابزاری برای ایجاد حملات فیشینگ جهت تست انعطافپذیری و مقاومت مشتری در برابر مهندسی اجتماعی است که میتواند با ایجاد ایمیلها، وبسایتها و پیوستهای مخرب این کار را انجام دهد.
@iranopensource🐧
Iran Open Source (IOS)
💎 #مقاله: بهترین ابزارهای متنباز برای تیم قرمز #Red_Team_Tools #Metasploit #Wireshark #Nmap #Shodan #DNSrecon #Slurp #SET #Aircracnk_ng #Hashcat #Mimikats #MITRE_ATT&K #Dradis @iranopensource🐧
💎 بهترین ابزارهای متنباز برای تیم قرمز (بخش دوم - پایانی)
⭕️ تجزیه و تحلیل شبکه
اگر تیم قرمز بتواند به شبکه داخلی مشتری دسترسی پیدا کند، میتواند دادههای ارزشمند زیادی را به دست آورد. حتی شناسایی غیرفعال شبکه میتواند در صورت استفاده از پروتکل ناامن، اطلاعاتی را در مورد زیرساخت شبکه، سرویسهای در حال استفاده توسط دستگاههای مختلف و حتی اعتبارنامههای (Credentials) کاربر ارائه دهد.
📌 ابزار Aircrack-ng ابزاری برای تحلیل ترافیک شبکه است که بر امنیت Wi-Fi تمرکز دارد. این ابزار برای نظارت بر ترافیک ارسالشده از طریق Wi-Fi، انجام حملات متمرکز از طریق Wi-Fi و کرک رمز عبور برای پروتکلهای ضعیف امنیتی وایرلس (WEP و WPA) ساختهشده است.
📌 ابزار Wireshark بهترین ابزار شناختهشده برای تجزیهوتحلیل ترافیک شبکه است که قابلیت ضبط ترافیک از طریق سیم یا بارگیری ترافیک ضبطشده را دارد.
⭕️ کرک پسورد
هنگامیکه تیم قرمز به دستگاهی در شبکه مشتری دسترسی پیدا میکند، کرک پسورد یک روش امیدوارکننده برای حرکت در سراسر شبکه است.
📌 ابزار Hashcat یک ابزار مشهور کرک hash است که توسط تیم قرمز استفاده میشود. از GPU پشتیبانی کرده که این امکان را میدهد هر پسورد ۸ کاراکتری ویندوز را (که حداقل طول پیشفرض است) در چند ساعت از طریق حمله brute-force پیدا کند.
📌 ابزار Mimkatz یک ابزار متنباز برای جمعآوری اطلاعات پسورد ویندوز از یک دستگاه به خطر افتاده است. همچنین میتواند حملات مبتنی بر اعتبار (credential-based) مثل pass-the-hash و golden tickets را ارائه دهد.
⭕️ برنامه ریزی و گزارش
برخی از کمارزشترین ابزارها برای تیم قرمز آنهایی هستند که برای کمک به برنامهریزی و گزارشگیری طراحیشدهاند. درحالیکه تیم قرمز بیشترین بهره را از مراحل حمله برده باشد، مشتری بیشترین سود را از دریافت گزارش جامع در مورد آسیبپذیریهای کشفشده در شبکه خود میبرد.
📌 چارپوب MITRE ATT&CK: چارچوبی است که چرخه حمله سایبری را به اجزای آن شکسته و متدهای مختلفی را که در هر مرحله میتواند انجام شود، بیان میکند. این کار برای مراحل برنامهریزی ارزیابی، باارزش است؛ چون اطمینان حاصل میشود کهتیم قرمز همیشه از یک روش حمله استفاده نکرده و شرایط دیگری را در رابطه با آسیبپذیریهای کشفشده برای مشتری فراهم میسازد.
📌 ابزار Dradis: ابزاری برای گزارش دهی و همکاری برای متخصصان امنیت اطلاعات است. میتوان از آن برای تهیه گزارشهای one-click و پیگیری فعالیتهایتیم قرمز در طول یک ارزیابی استفاده کرد. همچنین توانایی ادغام مستقیم با ابزارهایی مانند Nmap و Nessus را دارد.
⭕️ نتیجهگیری: ساختن یک جعبه ابزار تیم قرمز
ارزیابیهای تشخیص تیم قرمز میتواند بسیار سریع بوده و داشتن ابزار مناسب میتواند به معنای تفاوت بین یک ارزیابی موفقیتآمیز و شکست در شناسایی یا بهرهبرداری کردن از آسیبپذیری، مهم باشد.
یک نقطه شروع خوب برای ساخت ابزارتیم قرمز، دانلود و نصب Kali Linux است؛ چون بسیاری از ابزارهای اشارهشده بهطور پیشفرض در آن گنجاندهشدهاند.
🌀 منبع: Infosys
@iranopensource🐧
⭕️ تجزیه و تحلیل شبکه
اگر تیم قرمز بتواند به شبکه داخلی مشتری دسترسی پیدا کند، میتواند دادههای ارزشمند زیادی را به دست آورد. حتی شناسایی غیرفعال شبکه میتواند در صورت استفاده از پروتکل ناامن، اطلاعاتی را در مورد زیرساخت شبکه، سرویسهای در حال استفاده توسط دستگاههای مختلف و حتی اعتبارنامههای (Credentials) کاربر ارائه دهد.
📌 ابزار Aircrack-ng ابزاری برای تحلیل ترافیک شبکه است که بر امنیت Wi-Fi تمرکز دارد. این ابزار برای نظارت بر ترافیک ارسالشده از طریق Wi-Fi، انجام حملات متمرکز از طریق Wi-Fi و کرک رمز عبور برای پروتکلهای ضعیف امنیتی وایرلس (WEP و WPA) ساختهشده است.
📌 ابزار Wireshark بهترین ابزار شناختهشده برای تجزیهوتحلیل ترافیک شبکه است که قابلیت ضبط ترافیک از طریق سیم یا بارگیری ترافیک ضبطشده را دارد.
⭕️ کرک پسورد
هنگامیکه تیم قرمز به دستگاهی در شبکه مشتری دسترسی پیدا میکند، کرک پسورد یک روش امیدوارکننده برای حرکت در سراسر شبکه است.
📌 ابزار Hashcat یک ابزار مشهور کرک hash است که توسط تیم قرمز استفاده میشود. از GPU پشتیبانی کرده که این امکان را میدهد هر پسورد ۸ کاراکتری ویندوز را (که حداقل طول پیشفرض است) در چند ساعت از طریق حمله brute-force پیدا کند.
📌 ابزار Mimkatz یک ابزار متنباز برای جمعآوری اطلاعات پسورد ویندوز از یک دستگاه به خطر افتاده است. همچنین میتواند حملات مبتنی بر اعتبار (credential-based) مثل pass-the-hash و golden tickets را ارائه دهد.
⭕️ برنامه ریزی و گزارش
برخی از کمارزشترین ابزارها برای تیم قرمز آنهایی هستند که برای کمک به برنامهریزی و گزارشگیری طراحیشدهاند. درحالیکه تیم قرمز بیشترین بهره را از مراحل حمله برده باشد، مشتری بیشترین سود را از دریافت گزارش جامع در مورد آسیبپذیریهای کشفشده در شبکه خود میبرد.
📌 چارپوب MITRE ATT&CK: چارچوبی است که چرخه حمله سایبری را به اجزای آن شکسته و متدهای مختلفی را که در هر مرحله میتواند انجام شود، بیان میکند. این کار برای مراحل برنامهریزی ارزیابی، باارزش است؛ چون اطمینان حاصل میشود کهتیم قرمز همیشه از یک روش حمله استفاده نکرده و شرایط دیگری را در رابطه با آسیبپذیریهای کشفشده برای مشتری فراهم میسازد.
📌 ابزار Dradis: ابزاری برای گزارش دهی و همکاری برای متخصصان امنیت اطلاعات است. میتوان از آن برای تهیه گزارشهای one-click و پیگیری فعالیتهایتیم قرمز در طول یک ارزیابی استفاده کرد. همچنین توانایی ادغام مستقیم با ابزارهایی مانند Nmap و Nessus را دارد.
⭕️ نتیجهگیری: ساختن یک جعبه ابزار تیم قرمز
ارزیابیهای تشخیص تیم قرمز میتواند بسیار سریع بوده و داشتن ابزار مناسب میتواند به معنای تفاوت بین یک ارزیابی موفقیتآمیز و شکست در شناسایی یا بهرهبرداری کردن از آسیبپذیری، مهم باشد.
یک نقطه شروع خوب برای ساخت ابزارتیم قرمز، دانلود و نصب Kali Linux است؛ چون بسیاری از ابزارهای اشارهشده بهطور پیشفرض در آن گنجاندهشدهاند.
🌀 منبع: Infosys
@iranopensource🐧
🐧 لینک گروه جامعه متن باز (لینوکس) ایران
@IRAN_Open_Source_Community
#101 Labs - Cisco CCNA: Hands-on Practical Labs for the 200-301 - Implementing and Administering Cisco Solutions Exam
@IRAN_Open_Source_Community
#101 Labs - Cisco CCNA: Hands-on Practical Labs for the 200-301 - Implementing and Administering Cisco Solutions Exam