همچنین جهت مشاوره پیرامون waf و پیکربندی و راهکار های مربوطه می توانید با @yashar_esmaildokht در ارتباط باشید .
#waf #security @unixmens

این مقوله به لحاظ فنی به مجموعه‌ای از پروتکل‌ها و سرویس‌ها اطلاق می‌شود که برنامه‌ها جهت شناسایی شرکت‌های ارتباطات، تشخیص دسترس‌پذیری منابع و همگام‌سازی ارتباط بین دو طرف، با استفاده از یک برنامه مشابه از آن استفاده می‌نمایند. نمونه‌هایی از پروتکل‌هایApplication-Layer شاملHTTP برای وب، FTP برای انتقال فایل و SMTP برای ایمیل می‌باشد.

این اختلال از تکنولوژی‌های امنیتی بسیار زیادی ناشی می‌شود که با عنوان دارا بودن قابلیت محافظت Application-Layer به بازار عرضه می‌شوند. اگرچه ممکن است این گونه ادعاها به لحاظ فنی دقیق و درست باشند (برای مثال وقتی سیستم پیشگیری از نفوذ به اجرای RFC برای HTTP می‌پردازد) اما متاسفانه به نوعی، گمراه کننده می‌باشند. مشکل اینجاست که محافظت ارائه شده با این راهکارها قادر به پوشش کامل برنامه نمی‌باشد و تنها می‌تواند به طور غیرمستقیم به ایجاد امنیت برای برنامه‌های زیرساختی در لایه‌های بالاتر (مانند وب سرورها و سیستم‌های مدیریت پایگاه‌داده)، برنامه‌های کسب‌و‌کار (مانند Salesforce.com) و داده‌هایی بپردازد که همواره ارائه می‌گردند. (شکل زیر را ملاحظه فرمایید).
#waf #security @unixmens

سازمان‌ها به منظور محافظت کامل از دارایی‌های مهم وب نیاز به تکنولوژی‌های امنیتی دارند که قابلیت‌های زیر را به طور کامل ارائه نماید:

پوشش فیزیکی- از کلیه موارد کاربردی داخلی و خارجی به طور کامل محافظت می نماید.
پوشش کاربردی- نه تنها اجرای Policyها را به شکل کنترل دسترسی جزئیات به صورت Granular ارائه می‌نماید، بلکه امکان شناسایی و پیشگیری ضمنی تهدیدات را نیز فراهم می‌آورد.
پوشش منطقی- محافظت تمامی لایه‌های پشته محاسباتی (Computing Stack) را از پروتکل‌ها و سرویس‌هایApplication-Layer و شبکه تا برنامه‌های زیرساختی، برنامه‌های سفارشی کسب‌و‌کار و حتی داده‌ها را میسر می‌نماید.

ارائه پوشش‌های جامع مستلزم سرمایه‌گذاری بیشتر بر روی مواردی فراتر از فایروال‌های شبکه معمولی و سیستم‌های جلوگیری از نفوذ (IPS) می‌باشد.
#waf #security @unixmens

در اینجا به بررسی معایب استفاده از فایروال، IPS و … در مواردی که از برنامه های تحت وب استفاده می شود، می پردازیم.
#waf #security @unixmens

تکنولوژی‌های برقراری امنیت شبکه

امروزه تکنولوژی‌های معمول پیاده‌سازی‌شده‌ برای امنیت شبکه، به طور واضح نقش مهمی را در محافظت از دارایی‌های مهم وب برای کسب‌و‌کار در سازمان‌ها ایفا می‌نمایند و درک این نکته حائز اهمیت است که این دارایی‌ها دارای محدودیت‌هایی بوده و به تنهایی نمی‌توانند محافظت کافی را به عمل آورند.
#security #waf @unixmens

-فایروال‌های شبکه

عملکرد اصلیِ فایروال‌های معمولی شبکه، کنترل دسترسی‌ها می‌باشد، که درواقع سیاست‌گذاری‌هایی است که در آن تعیین می‌شود کدام ترافیک برنامه، اجازه تردد در محدوده شبکه‌ای را دارد که در آن پیاده‌سازی شده است. قابلیت Stateful، توانایی انطباق به صورت پویا را فراهم نموده و امکان بازگشت ترافیک مربوط به Sessionهای مجاز (و برعکس) را میسر می‌سازد.

در زیر به بررسی معایب استفاده از فایروال‌های معمولی شبکه می پردازیم:

از آنجاییکه این مقوله صرفا بر اساس ویژگی‌های Application-Layer (مانند پورت، پروتکل و IP آدرس‌های منبع و مقصد) می‌باشد، قابلیت کنترل دسترسی برای یک فایروال معمولی به صورت توسعه‌پذیر فراهم نخواهد بود؛ در نتیجه فایروال نمی‌تواند همواره ایجاد تمایز کند، بنابراین برنامه‌های مجزا را با استفاده از یک پروتکل و یا پورت مورد نظر (مانند آرایه‌ای از برنامه‌های تحت وبِ HTTP، که از TCP پورت 80 استفاده می‌نماید) کنترل می‌نماید.
فایروال‌های معمولِ شبکه برای شناسایی یا جلوگیری صریح و مستقیم تهدیدات، تجهیز نشده‌اند. تنها محافظتی که در برابر بدافزارها (Malware)، حملات و سایر فعالیت‌های غیرمجاز ارائه می‌دهند، پیامد سیاست‌های کنترل دسترسی می‌باشد که برای اجرا شدن، پیکربندی شده‌اند. به عنوان مثال، اگر برای یک تهدید از مجرای ارتباطی که Open نیست، استفاده شود به صورت پیش‌فرض (و بدون انجام فرآیند شناسایی) از آن جلوگیری خواهد شد.

در نتیجه با توجه به موارد فوق، فایروال‌های معمولی شبکه می‌توانند محافظت نسبتا محدودی را برای دارایی‌های تحت وب در سازمان‌ها ارائه نمایند.
-سیستم‌های جلوگیری از نفوذ شبکه (IPS)

تکنولوژی IPS در شبکه به ارائه موارد اندکی در زمینه قابلیت‌های کنترل دسترسی پرداخته و بیشتر بر روند شناسایی تهدیدات تمرکز می‌نماید. طیف وسیعی از مکانیسم‌های مورد استفاده در این تکنولوژی شامل Signature برای تهدیدات و آسیب‌پذیری‌های شناخته شده، شناسایی ناهنجاری‌های رفتاری برای فعالیت‌های مخرب و مشکوک و همچنین تهدیدات ناشناخته است. معمولا پوشش تا حد زیادی ارائه و شامل لایه‌ی سرویس‌های برنامه می‌شود و برای تمامی پروتکل‌های معمول اینترنت از قبیل HTTP، DNS، SMTP، SSH، Telnet و FTP می‌باشد.

از آنجاییکه وجود Signatureهایی برای تهدیدات و آسیب‌پذیری‌های شناخته شده و مرتبط با برنامه‌های کسب‌و‌کار و همچنین زیرساخت‌های متداول اجرا شده در سازمان‌ها غیرمعمول نمی‌باشد، پوشش پراکنده در لایه‌های بالاترِ پشته‌ی محاسباتی نیز در دسترس می‌باشد. این پوشش اضافی علی‌رغم گام برداشتن در مسیر صحیح، کافی نبوده و تکنولوژی IPS را در رابطه با دو موضوع در میانه راه نگه‌می‌دارد:

False Negative یا منفی کاذب- به دلیل عدم درک و قابلیت دید دقیق برنامه نسبت به اکثر تهدیدات در لایه‌های بالاتر (مانند مواردی که از طریق دستکاری منطق فرآیند برنامه کار می‌کند) نامناسب می‌گردد.
False Positive یا مثبت کاذب- همگام با تلاش برای ایجاد Signatureهای کاربردی و مورد استفاده برای طیف وسیعی از تهدیدات مربوط به لایه بالاتر در برنامه‌های تحت وب استاندارد و سفارشی، همواره به ایجاد تعداد بسیار زیادی هشدار کاذب منجر می‌شود.

اگرچه تکنولوژی IPS با فرآیند شناسایی و جلوگیریِ صریح و مستقیم تهدیدات، به یک مولفه ارزشمند برای فایروال‌های معمولی شبکه تبدیل می‌گردد، پوشش ناهماهنگ (Spotty Coverage) در بالای لایه‌ی سرویس‌های برنامه، صرفا موجب افزایش تدریجی در روند محافظت از دارایی‌های تحت‌وب در سازمان می‌شود.
-فایروال‌های نسل بعدی (NGFW)

فایروال‌های نسل بعدی (NGFW) به ترکیب قابلیت‌های فایروال‌های شبکه و IPSها در یک راهکار واحد می‌پردازند. NGFW جهت کنترل دسترسی به شبکه و یا از شبکه، معمولا هویت برنامه و کاربر را هم به این قابلیت‌ها اضافه می‌نماید. یک راهکار ترکیبی با چندین زنگ و هشدار اضافی برای مقیاس‌ و ارزیابی‌ مطلوب به عنوان نتیجه‌ای برای موارد کاربردی با تمام و بالاترین توان عملیاتی (به عبارتی بیش از چندین Gbps) می‌باشد. بهرحال آگاهی و اطلاع از برنامه (Application Awareness) در رابطه با محافظت از برنامه‌های تحت ‌وب همچنان به عنوان یک کاستی مهم باقی می‌ماند. قابلیت شناسایی درست برنامه‌ها، صرف نظر از پورت و پروتکل مورد استفاده در آن که تحت عنوان آگاهی از برنامه (Application Awareness) نام برده می‌شود، با روان بودن برنامه، یکسان نمی باشد.

با آگاهی از برنامه، تکنیک‌هایی مانند رمزگشایی پروتکل برنامه و Signatureهای برنامه به شناسایی درست برنامه‌های کسب‌و کار و زیرساخت‌های ویژه‌ای می‌پردازند که مسئولیت تمامی ترافیک شبکه را به عهده دارند.
#security #waf @unixmens

در صورتیکه هنگام استفاده‌ی چندین سرویس و برنامه از پروتکل‌ها و پورت‌های مشابه، Policyهای جداگانه‌ای تدوین و تنظیم شوند، آگاهی از برنامه موجب دقت بیشتر در کنترل دسترسی می‌گردد. برای مثال می‌توان Web Bucket ترافیک را بخش‌بندی نمود تا دسترسی به تعداد انگشت‌شماری از برنامه‌های تحت وبِ سودمند و مهم برای کسب‌و‌کار فراهم گردد، در حالی که می‌توان برنامه‌های تحت ‌وب با مطلوبیت کمتر مانند Web Mail، سرویس‌های File-Sharing و بازی‌های فیس‌بوک را به صورت انتخابی محدود نموده یا به طور کامل Block کرد.

روان بودن برنامه به عنوان یکی از پیش‌شرط‌ها برای شناسایی واضح و مستقیم تهدیدات در لایه‌های بالاتر مستلزم درک عمیق‌تری از برنامه‌های محافظت‌شده بوده و در برگیرنده مواردی از این قبیل است که کدام ورودی و توالی‌های جهت‌یابی (Navigation Sequence) معتبر بوده و اینکه برنامه باید چگونه کارکند.

نکته آخر اینکه، اگرچه NGFW می‌تواند قابلیت کنترل دسترسی را ارتقا بخشیده و فرصتی را برای حذف تعداد زیادی از تجهیزات با تکنولوژی واحد فراهم نماید، سازمان‌ها همچنان با قابلیت‌های شناسایی و یا محافظت صریح و مستقیم تهدیدات مربوط به یک IPS معمولی، باقی می‌مانند. این در حالی است که عرض و عمق این پوشش برای محافظت از دارایی‌های وب (خصوصا موارد سفارشی‌شده) در مقابل حملات پیچیده و هدفمندی که در حال حاضر بخش عمده‌ای از تهدیدات را تشکیل می‌دهند، کافی نمی‌باشند.
#waf #security @unixmens

ویژگی استفاده از Web Application Firewall

Web Application Firewall یا به اختصار WAF، با کنار گذاشتن سایر تکنولوژی‌های امنیتی می‌تواند مورد استفاده قرار گیرد و همچنین محافظت در برابر تهدیدات فعال در بالاترین لایه‌های پشته‌ی محاسباتی (Computing Stack) را نیز میسر می‌سازد. روندهای معمول یادگیری خودکار به واسطه‌ Policyهای پیکربندی شده به صورت دستی تکامل یافته و درک کاملی از نحوه عملکرد هر یک از برنامه‌های محافظت‌شده‌ی تحت وب ایجاد می‌کند که شامل تمامی ویژگی‌های سفارشی و منطق کسب‌و‌کار را می‌گردد.
#security #waf @unixmens

انحرافات شناسایی شده در ادامه، نشانگر یک ترافیک مخرب و مشکوک است که طبق سیاست‌های مدیریت محور به صورت خودکار در وضعیتی مانند Block، ایجاد محدودیت (Restriction) و یا Logged قرار می‌گیرد.

ویژگی های منحصر به فرد WAF در مقایسه با سایر تکنولوژی‌های امنیتی به شرح زیر می باشد:

تایید اعتبار ورودی‌ها که در نتیجه ورود خطرناک SQL، Cross-Site Scripting و حملات پیمایشی دایرکتوری‌ها (Directory Traversal Attack) متوقف می‌گردد.
شناسایی Cookie، Session یا حملات Parameter Tampering
Block نمودن حملاتی که آسیب‌پذیری‌های موجود در دارایی‌های سفارشی تحت‌وب را Exploit می‌کنند.
جلوگیری از انتقال غیرمجاز داده‌های حساس از طریق شناسایی و Block کردن در سطح Object
بررسی کامل ترافیک رمزگذاری‌شده‌ی SSL برای تمامی تهدیدات
جلوگیری از تهدیدات فعال به واسطه Exploit نمودن نقاط ضعف منطقی در برنامه‌های سفارشی کسب‌و‌کار
محافظت در برابر حملات Application-Layer Denial و حملات DDoS
پنهان نمودن اطلاعات واکنشی سرور که به طور بالقوه برای هکرها مفید می‌باشند.
ایجاد محافظت جامع و کامل از XML که در برگیرنده اعتبار Schema برای پیام‌های SOAP و دفاع‌های ورودی XPath و همچنین شناسایی یا Block نمودن فایل‌های ضمیمه XML با محتوای مخرب است.
ایجاد انطباق و سازگاری با شرایط 6.6 مربوط به Payment Card Industry Data Security Standard یا به اختصار PCI DSS

WAFهای پیشرو در بازار از قبیل NetScaler AppFirewall، علاوه‌بر ارائه تمامی حفاظت‌های برنامه محور، پشتیبانی از قواعد مربوط به کنترل دسترسی به Network-Layer و اجزای مبتنی بر Signature جهت شناسایی تهدیدات شناخته‌شده را نیز در بر می‌گیرند. تیم‌های امنیتی باید تشخیص دهند که دفاع‌های WAF به واسطه‌ی طراحی که دارند عمدتا بر پروتکل‌‌های تحت‌وب نظیر HTTP، HTTPS، XML و SOAP تمرکز می‌نمایند.
مجموعه تکنولوژی‌های امنیتی

در جدول ارائه شده در این مقاله، تکنولوژی‌های امنیتی ذکر‌شده در قیاس با یکدیگر ارائه می‌شوند. نکات مهم شامل موارد زیر می‌باشد:

اگرچه آنها برای نظارت و غربالگری حجم زیادی از تهدیدات در لایه پایین مفید می‌باشند، تکنولوژی‌های امنیتی پیاده‌سازی شده به صورت معمول نظیر فایروال‌های شبکه و IPSها نمی‌توانند محدوده بزرگی را در هنگام محافظت از برنامه‌های تحت‌وب پوشش ‌دهند.
اگرچه هیچ یک از تکنولوژی‌های امنیتی به تنهایی قادر به محافظت کامل از برنامه‌های تحت‌وب نمی‌باشند، WAFها بیشترین محافظت را به عمل می‌آورند.
ترکیب NGFWها با WAFها، به عنوان یکی از شیوه‌های موثر برای ایجاد محافظت کامل و قدرتمند از دارایی‌های مهم تحت‌وب سازمانی، در مقابل تهدیدات به شمار می‌رود.
#security @unixmens #waf

دلایل استفاده از WAF

در گذشته، این امکان برای فایروال های معمول شبکه و سیستم‌های جلوگیری از نفوذ (IPS) وجود داشت که بتوانند از تعداد انگشت‌شماری از برنامه‌های مهم وب در سازمان‌های متوسط حفاظت کافی را به عمل بیاورند. در حال حاضر این موضوع، با افزایش وابستگی سازمان‌ها به دارایی‌های تحت‌وب و همچنین تغییر جهت قابل توجه هکرها به سمت حملات هدفمند و مختص برنامه، بیش از این مطرح نمی‌باشد. حتی فایروال‌های نسل بعدی هم در این زمینه با کاستی روبرو می‌باشند، زیرا بهبودهای ارائه شده عمدتا در ادغام زیرساخت و افزایش توسعه‌پذیری جزء به جزء جهت تدوین و اجرای سیاست‌های کنترل دسترسی ارائه شده‌اند.
#security #waf @unixmens

#snat @unixmens #dnat #port_forwarding #Masquerading

امروز مصادف است با زادروز Elisa Leonida Zamfirescu اولین مهندس زن در جهان ، یادش گرامی باد . https://en.wikipedia.org/wiki/Elisa_Leonida_Zamfirescu

👈‌‏متوسط درصد پروژه های انجام شده توسط سازمان های فناوری اطلاعات براساس #نظرسنجی انجام گرفته توسط موسسه #MuleSoft
👈👈‏براساس این نظرسنجی، علیرغم تلاش مدیران فناوری اطلاعات(ITDM) در تحویل بموقع تمامی پروژه های خواسته شده، اما شکاف بین تعداد پروژه های آیتی خواسته شده و انجام گرفته توسط سازمان ها با نرخ هشدار دهنده ای در حال گسترش است بطوریکه 👈دو سوم از مدیران، عدم توانایی لازم برای انجام همه ی پروژه های خواسته شده را دلیل اصلی این روند نزولی در سال گذشته ذکر گردند.

#jobs #security @unixmens

✔️ #آسیب‌پذیری نشت آی‌پی در تلگرام دسکتاپ
-> شناسه ثبت شده این اسیب پذیری به صورت زیر میباشد:
(CVE-2018-17780 )

آسیب پذیری نشت آی پی‌ در تلگرام
با شناسه CVE-2018-17780

تلگرام باگی را که منجر به نشت اطلاعات آی پی آدرس ها،از طریق کلاینت دسکتاپ این نرم‌افزار می‌شد را ترمیم کرد.
به کاربران تلگرام توصیه شده است تا کلاینت دسکتاپ خود را حتما در اولین فرصت به‌روز کنند تا باگی را که منجر به نشت اطلاعات آی پی آدرس ها در بعضی از سناریو‌ها می‌شد وصله شود.
این باگ توسط یک محقق امنیت هندی کشف شده و توسط تلگرام برای ورژن های تلگرام دسکتاپ۱.۴.۰ و تلگرام دسکتاپ ۱.۳.۱۷ بتا وصله شده است.
در شرایط عادی ویژگی تماس صوتی تلگرام از طریق برقراری یک ارتباط نظیر به نظیر (در این مورد آی پی - به - آی پی) ارتباط دو کاربر را برقرار می‌کند و بسته‌های اطلاعاتی این دو را منتقل می‌کند.
از لحاظ طراحی یک ارتباط نظیر-به-نظیر (peer-to-peer) یک ارتباط محرمانه نیست، چرا که آدرس آی پی های دو طرف ارتباط را آشکار می‌کند.
انتخاب پیش‌فرض برای برقراری تماس صوتی در تلگرام، یک ارتباط نظیر-به -نظیر با همه مخاطبان کاربر است چراکه این نوع ارتباط کارایی بسیار خوبی دارد، پس این بدان معناست که تلگرام آدرس آی پی کاربران را به کسانی که تاکنون به عنوان مخاطب خود اضافه کرده اند از طریق تماس صوتی نشان می‌دهد.
اما از آنجا که تلگرام اسمی تحت عنوان «اپلیکیشن چت ایمن ناشناس» را یدک می کشد، این شرکت مکانیزمی برای پوشاندن (maskکردن) آدرس آی پی کاربران وقتی با یکدیگر تماس می‌گیرند، اضافه کرده است (این مکانیزم تحت عنوان آپشن "nobody" وجود دارد که با فعال شدن به اپ تلگرام می‌گوید هرگز از یک ارتباط نظیر-به نظیر برای برقراری تماس صوتی استفاده نکند.)
حال این محقق هندی گفته است که آپشن"nobody"‌ فقط در کلاینت موبایل تلگرام موجود است و نه در کلاینت دسکتاپ آن به این معنی که تمامی تماس هایی که از طریق کلاینت دسکتاپ این اپ برقرار می‌شوند آدرس آی پی کاربرها را نشت می‌دهند.
این باگ خطرناکی محسوب می‌شود بخصوص برای کسانی (همچون سیاستمداران،روزنامه نگاران و فعالان حقوق بشر) که از تلگرام به خاطر مسائل حریم شخصی و ناشناس بودن استفاده می‌کنند.


#security @unixmens

انتشار چندین آسیب پذیری در میکروتیک

مهاجمین اخیرا از یک تکنیک جدید برای نفوذ به دستگاه های میکروتیک استفاده می کنند؛ این تکنیک به مهاجمان این امکان را می دهند که کدمخرب دلخواه خود را بصورت راه دور اجرا کنند. این تکنیک جدید توسط محققان Tenable کشف گردیده است که این آسیب پذیری مرتبط با ضعف امنیتی Directory traversal (با شناسه CVE-2018-14847 ) وصله شده در ماه آپریل است. آسیب پذیری قبلی (CVE-2018-14847) با درجه اهمیت متوسط عنوان شد و Winbox را تحت تاثیر خود قرار می داد.
آسیب پذیری هایی که توسط محققان Tenable کشف شده است در جدول ذیل ذکر گردیده است.
*آسیب پذیری Authenticate Remote Command Execution با شناسه CVE-2018-1156 و درجه اهمیت بحرانی
*آسیب پذیری File Upload Memory exhaustion با شناسه CVE-2018-1157
*آسیب پذیری www Memory Corruption با شناسه CVE-2018-1159
*آسیب پذیری Recursive Parsing Stack Exhaustion با شناسه CVE-2018-1158
از میان آسیب پذیری های انتشار یافته ، آسیب پذیری با شناسه CVE-2018-1156 با درجه اهمیت بحرانی ذکر گردیده و تست این آسیب پذیری بر روی RouterOS نسخه 6.42.3 (تاریخ انتشار 2018-25-05 ) و با معماری X86 iso با موفقیت انجام شده است.
فاکتورهای کلیدی مربوط به این آسیب پذیری عبارتند از
1-تاثیر آن بر سازمان ها:
مهاجمین با سواستفاده از آسیب پذیری RCE ( همراه با فرایند احرازهویت) و نام کاربری و رمز عبور پیشفرض می توانند دسترسی کامل به دستگاه میکروتیک مورد نظر گرفته و اعمالی نظیر دستکاری route ها و یا دسترسی به تمامی سیستم های داخلی که از میکروتیک آسیب پذیر استفاده می کنند را انجام دهند.
2-راهکار مقابله:
میکروتیک نیز با انتشار نسخه های جدید 6.40.9، 6.42.7 و همچنین 6.43 تمامی آسیب پذیری های فوق را رفع کرده است.
آنالیز مربوط به آسیب پذیری ها
تمامی آسیب پذیری های منتشر شده نیازمند اجرای فرایند احرازهویت هستند که در پایه ترین حالت می تواند نام کاربری و رمز عبور پیشفرض مورد استفاده قرار گیرد. در آسیب پذیری های مشابهی که هکرها از آنها سواستفاده های زیادی کرده اند میتوان وسعت مربوط به حملات را تعیین کرد. بعنوان مثال اخیرا هکرهای روسیه (بعنوان مثال APT28/ Sofacy/ FancyBear) با استفاده از بدافزار VPNFilter حملات مخرب خود را در سطح وسیعی انجام داند که این حملات نیز با سواستفاده از نام کاربری و رمز عبور پیشفرض صورت می گرفت. فایل باینری Licupgr دارای یک Sprintf است که یک کاربر تایید شده می تواند با سواستفاده از آن باعث سرریز بافر (Stack Buffer Overflow) شود. لازم به ذکر است که Sprintf در رشته ی ذیل مورد استفاده قرار می گیرد.
GET /ssl_conn.php?usrname=%s&passwd=%s&softid=%s&level=%d&pay_typ'e=%d&board=%d HTTP/1.0

https://blog.mikrotik.com/security/security-issues-discovered-by-tenable.html

#security @unixmens