Post by rabia222 on Nov 10, 2024 23:20:31 GMT -5
دستگاه های آلوده در شبکه و همدستان بات نت ها عمدتاً به دستگاه های خانه هوشمند تبدیل می شوند: با توجه به این واقعیت که آنها قبلاً در محیط داخلی شبکه قرار دارند و عملکرد برای تجارت مهم تر است. جنبههای امنیتی معمولا نادیده گرفته میشوند یا کنار گذاشته میشوند. در نتیجه، دستگاهها از سطح امنیتی پایینی برخوردار هستند، اغلب بدون بهروزرسانیهای امنیتی: با آسیبپذیریهای قدیمی و شناختهشده، با لاگینها و رمزهای عبور استاندارد، یا بدتر از آن، با کلیدهای دسترسی استاندارد. معمولاً این دستگاهها به سیستمهای شبکهای مانند ذخیرهسازی NAS و روترهای کنسول بازی تبدیل میشوند.
چنین دستگاه هایی نیز باید با حمله به سرور خود یا از داخل شبکه آلوده شوند. در مورد عفونت از داخل، این اغلب از طریق رایانه های کاربران انجام می شود، اما آنها هدف نهایی نیستند، زیرا به دلیل وجود آنتی ویروس ها و سایر اقدامات امنیتی، کنترل آنها در دراز مدت دشوارتر است. بهعلاوه، آنها مانند دستگاههایی مانند دستگاههای خانه هوشمند 24/7 کار نمیکنند.
بنابراین، استراتژی اصلی برای نظارت و محافظت در برابر باتنتهای داخلی، جداسازی و تجزیه و تحلیل ترافیک است
تشخیص ربات
استراتژی نظارت اولیه، تجزیه و تحلیل حجم و مقصد ترافیک خروجی از دستگاههای مشکوک است.
به عنوان مثال، یک کتری هوشمند باید با سرورهای خود که از طریق آنها دستورات کنترلی انجام می شود و با هیچ کس دیگری ارتباط برقرار کند. به طور معمول، سازندگان زیرشبکه های سرورهای خود را منتشر می کنند یا می توانید از طریق پشتیبانی فنی آنها را درخواست کنید. به این ترتیب می توانید ترافیکی که به سرورها می رود را تجزیه و تحلیل کنید و تشخیص دهید که چه زمانی ترافیک اضافی به هاست های ناشناسخرید لید شماره تلفن همراه وجود دارد. معنای معمول باتنتهای بزرگ، حملات DDoS به شکل اضافهبار درخواست است، یعنی دستگاه دائماً ترافیک را به سرورهای غیرشرکتی اسپم میکند. چنین ترافیکی به راحتی قابل تشخیص و درک این است که دستگاه ممکن است آلوده باشد. با این حال، وظایف دیگری وجود دارد که به چنین باتنتهایی محول میشود. به عنوان مثال، تماسهای هرزنامه به پایگاههای اطلاعاتی تلفن، اسکن زیرشبکههای بزرگ برای یافتن پورتهای باز و سرویسهای فعال، گذرواژههای بیرحمانه برای برخی میزبان (بروت فورس)، یا به سادگی رلههای ترافیکی برای پنهان کردن مهاجم.
گزینه دیگر برای نظارت یا به دست آوردن بلوک های استاندارد آدرس ها، بررسی پرس و جوهای DNS است
برای انجام این کار، می توانید از یک سرور DNS داخلی استفاده کنید و در مورد درخواست های دستگاه ها از آن آمار جمع آوری کنید. به طور کلی تمام درخواست ها باید برای دامنه های شرکتی باشد. اگر دستگاه شروع به ارسال درخواستهای هرزنامه به میزبانهای تصادفی کند، ممکن است مشکوک باشد.
یکی دیگر از رفتارهای مشخصه برای دستگاههای آلوده ممکن است اسکن مداوم پورتهای ابزار در شبکه برای جستجوی آسیبپذیریهای استاندارد باشد. همه این الگوهای رفتاری به راحتی با نظارت بر ترافیک روی روتر با استفاده از پروتکل های SNMP و همچنین نظارت DNS شناسایی می شوند.
راه اصلی برای تمیز کردن دستگاه های آلوده، بازنشانی آنها به تنظیمات کارخانه است. با این حال، این اغلب کمکی نمی کند، زیرا بدافزار می تواند تنظیمات اولیه سیستم را تغییر داده و بخشی از آن شود. یک گزینه قابل اطمینان تر فلش کردن کامل دستگاه است، زیرا در این حالت حافظه اغلب به طور کامل پاک می شود.
دفاع ساختمان
اقدامات حفاظتی اصلی، همانطور که قبلا ذکر شد، تقسیم شبکه به بخش هایی برای جداسازی دستگاه ها است. همه دستگاههای کاربر در یک زیرشبکه، همه دستگاههای هوشمند در دیگری، سیستمهای شبکه اضافی در یک شبکه سوم قرار دارند. به عنوان مثال، این کار را می توان با استفاده از VLAN (شبکه محلی مجازی) انجام داد و دستگاه های متصل را به بخش های شبکه ایزوله تخصیص داد. اگر ارتباط بین بخش ها ضروری است، توصیه می شود حداقل های لازم را در نظر بگیرید. به عنوان مثال، اگر یک فضای ذخیرهسازی شبکه NAS دارید، اجازه برقراری ارتباط را فقط در پورت پروتکلی که از طریق آن به آن وصل میشوید و فقط از بخش کاربر شبکه است.
چنین جداسازی می تواند باعث ناراحتی قابل توجهی در زندگی روزمره شود، زیرا عملکرد پروتکل های ساخته شده بر اساس تشخیص خودکار، مانند Chromecast / Apple AirPlay و موارد مشابه را مسدود می کند. بله، این محدودیت را می توان با اجازه دادن به پروکسی درخواست های ARP دور زد، اما پس از آن شما در واقع تمام بخش های شبکه را به یک بخش متصل خواهید کرد و ایزوله تمام معنا را از دست خواهد داد.
در عین حال، باید به نظارت بر بخشهای شبکه و دستگاههای موجود در آنها ادامه دهید، زیرا هنوز گزینههایی برای آلوده شدن دستگاهها در محیط داخلی وجود دارد و میخواهید در اسرع وقت از آنها مطلع شوید تا آنها را تمیز کنید.
بنابراین، میتوان نتیجه گرفت که راه اصلی برای محافظت از دستگاههای شما، حفظ بهداشت شبکه و اجازه حداقل ارتباطات لازم حتی در داخل آن است. به علاوه، نظارت کار خود را انجام می دهد و به شما امکان می دهد به سرعت متوجه شوید که برخی از دستگاه ها آلوده شده اند. چنین دستکاریهایی عملاً در شبکههای شرکتی ضروری هستند، جایی که امنیت یکی از مهمترین اولویتها است. از سوی دیگر، برای شبکه های خانگی، چنین تمایزی باعث ایجاد مزاحمت قابل توجهی و حجم کار اولیه می شود. بنابراین در این مورد، کار با نظارت آسان تر است، اگرچه باید به این موضوع نیز مسئولانه برخورد کرد.
چنین دستگاه هایی نیز باید با حمله به سرور خود یا از داخل شبکه آلوده شوند. در مورد عفونت از داخل، این اغلب از طریق رایانه های کاربران انجام می شود، اما آنها هدف نهایی نیستند، زیرا به دلیل وجود آنتی ویروس ها و سایر اقدامات امنیتی، کنترل آنها در دراز مدت دشوارتر است. بهعلاوه، آنها مانند دستگاههایی مانند دستگاههای خانه هوشمند 24/7 کار نمیکنند.
بنابراین، استراتژی اصلی برای نظارت و محافظت در برابر باتنتهای داخلی، جداسازی و تجزیه و تحلیل ترافیک است
تشخیص ربات
استراتژی نظارت اولیه، تجزیه و تحلیل حجم و مقصد ترافیک خروجی از دستگاههای مشکوک است.
به عنوان مثال، یک کتری هوشمند باید با سرورهای خود که از طریق آنها دستورات کنترلی انجام می شود و با هیچ کس دیگری ارتباط برقرار کند. به طور معمول، سازندگان زیرشبکه های سرورهای خود را منتشر می کنند یا می توانید از طریق پشتیبانی فنی آنها را درخواست کنید. به این ترتیب می توانید ترافیکی که به سرورها می رود را تجزیه و تحلیل کنید و تشخیص دهید که چه زمانی ترافیک اضافی به هاست های ناشناسخرید لید شماره تلفن همراه وجود دارد. معنای معمول باتنتهای بزرگ، حملات DDoS به شکل اضافهبار درخواست است، یعنی دستگاه دائماً ترافیک را به سرورهای غیرشرکتی اسپم میکند. چنین ترافیکی به راحتی قابل تشخیص و درک این است که دستگاه ممکن است آلوده باشد. با این حال، وظایف دیگری وجود دارد که به چنین باتنتهایی محول میشود. به عنوان مثال، تماسهای هرزنامه به پایگاههای اطلاعاتی تلفن، اسکن زیرشبکههای بزرگ برای یافتن پورتهای باز و سرویسهای فعال، گذرواژههای بیرحمانه برای برخی میزبان (بروت فورس)، یا به سادگی رلههای ترافیکی برای پنهان کردن مهاجم.
گزینه دیگر برای نظارت یا به دست آوردن بلوک های استاندارد آدرس ها، بررسی پرس و جوهای DNS است
برای انجام این کار، می توانید از یک سرور DNS داخلی استفاده کنید و در مورد درخواست های دستگاه ها از آن آمار جمع آوری کنید. به طور کلی تمام درخواست ها باید برای دامنه های شرکتی باشد. اگر دستگاه شروع به ارسال درخواستهای هرزنامه به میزبانهای تصادفی کند، ممکن است مشکوک باشد.
یکی دیگر از رفتارهای مشخصه برای دستگاههای آلوده ممکن است اسکن مداوم پورتهای ابزار در شبکه برای جستجوی آسیبپذیریهای استاندارد باشد. همه این الگوهای رفتاری به راحتی با نظارت بر ترافیک روی روتر با استفاده از پروتکل های SNMP و همچنین نظارت DNS شناسایی می شوند.
راه اصلی برای تمیز کردن دستگاه های آلوده، بازنشانی آنها به تنظیمات کارخانه است. با این حال، این اغلب کمکی نمی کند، زیرا بدافزار می تواند تنظیمات اولیه سیستم را تغییر داده و بخشی از آن شود. یک گزینه قابل اطمینان تر فلش کردن کامل دستگاه است، زیرا در این حالت حافظه اغلب به طور کامل پاک می شود.
دفاع ساختمان
اقدامات حفاظتی اصلی، همانطور که قبلا ذکر شد، تقسیم شبکه به بخش هایی برای جداسازی دستگاه ها است. همه دستگاههای کاربر در یک زیرشبکه، همه دستگاههای هوشمند در دیگری، سیستمهای شبکه اضافی در یک شبکه سوم قرار دارند. به عنوان مثال، این کار را می توان با استفاده از VLAN (شبکه محلی مجازی) انجام داد و دستگاه های متصل را به بخش های شبکه ایزوله تخصیص داد. اگر ارتباط بین بخش ها ضروری است، توصیه می شود حداقل های لازم را در نظر بگیرید. به عنوان مثال، اگر یک فضای ذخیرهسازی شبکه NAS دارید، اجازه برقراری ارتباط را فقط در پورت پروتکلی که از طریق آن به آن وصل میشوید و فقط از بخش کاربر شبکه است.
چنین جداسازی می تواند باعث ناراحتی قابل توجهی در زندگی روزمره شود، زیرا عملکرد پروتکل های ساخته شده بر اساس تشخیص خودکار، مانند Chromecast / Apple AirPlay و موارد مشابه را مسدود می کند. بله، این محدودیت را می توان با اجازه دادن به پروکسی درخواست های ARP دور زد، اما پس از آن شما در واقع تمام بخش های شبکه را به یک بخش متصل خواهید کرد و ایزوله تمام معنا را از دست خواهد داد.
در عین حال، باید به نظارت بر بخشهای شبکه و دستگاههای موجود در آنها ادامه دهید، زیرا هنوز گزینههایی برای آلوده شدن دستگاهها در محیط داخلی وجود دارد و میخواهید در اسرع وقت از آنها مطلع شوید تا آنها را تمیز کنید.
بنابراین، میتوان نتیجه گرفت که راه اصلی برای محافظت از دستگاههای شما، حفظ بهداشت شبکه و اجازه حداقل ارتباطات لازم حتی در داخل آن است. به علاوه، نظارت کار خود را انجام می دهد و به شما امکان می دهد به سرعت متوجه شوید که برخی از دستگاه ها آلوده شده اند. چنین دستکاریهایی عملاً در شبکههای شرکتی ضروری هستند، جایی که امنیت یکی از مهمترین اولویتها است. از سوی دیگر، برای شبکه های خانگی، چنین تمایزی باعث ایجاد مزاحمت قابل توجهی و حجم کار اولیه می شود. بنابراین در این مورد، کار با نظارت آسان تر است، اگرچه باید به این موضوع نیز مسئولانه برخورد کرد.