در عملیات ردتیم شما بین اوپریشن‌هایی که انجام می‌دهید فقط یک Delay در حدود 48 ساعت قرار بدهید. به قول معروف، اتمیک و توزیع شده کار خود را پیش ببرید تا جای پای خودتان را محکم کنید. همین یک مورد موجب خواهد شد، 90 درصد افراد تحلیلگر SOC نتوانند زنجیره کارهای شما را شناسایی کنند.

یکی از دلایل مهم که اکنون وجود دارد و عملا T1 و T2 را در معرض حذف قرار داده است، همین باگ در نظارت انسانی است که توانایی Correlation اتفاقات را در محدوده زمانی گسترده ندارد. حال شما فرض کن، از زمانی که بدافزار روی ماشین دراپ می‌شود، تا زمانی که پیلود خود را اجرا کند، دو هفته دیلی تعریف شده باشد. بین هر اکشن تا اکشن بعدی 48 ساعت زمان تعریف شده باشد. بازه فعالیت ها در ساعت 2 تا 4 صبح تنظیم شده باشد آن هم نه به صورت منظم، ترافیک استخراج داده بین نرخ بالا و پایین ترافیک شبکه مقصد Fade شده باشد.

تقریبا مطمئن هستم هیچ تحلیلگر سطح یکی نمی‌تواند متوجه ناهنجاری شود مگر اینکه واقعا از کنار هیچ اتفاقی به سادگی نگذرد که در بین آن حجم از لاگ و ... شدنی نیست. به هر صورت، دیفنس خیلی خیلی مشکلات متعدد دارد که فناوری‌های نوظهور از جمله رویکرد مثلا هارپون تقریبا توانسته است این مشکلات را بدون دخیل کردن نیروی انسانی حل کند ولی خب باز هم مشکلات زیاد است.

این را صرفا مطرح کردم تا در آینده یک موضوعی از سمت آزمایشگاه امنیت سایبرنتیک آیو دراپ شود که خب مرتبط با همین مسئله است.

@aioooir | #anomaly_against_anomaly

خیلی از شرکت‌های بزرگ دنیا از سونی بگیرید تا علی بابا و یاهو و ... حتی برخی از وب سایت‌های مهم مانند فیسبوک و توئیتر و لینکدین و حتی اشلی مدیسون هک شدند و اطلاعات میلیون‌ها کاربر نشت شد که هیچ، برخی از ساختارهای مرتبط با پروژه‌ها و اطلاعات داخلی این شرکت‎ها هم نشت داده شد. دلیل هم کامل واضح است، امنیت در نگاه مهندسی سیستم‌ها، یک مسئله کاملا نسبی است. شما تحت هیچ شرایطی نمی‌توانید مدعی شوید زیرساخت من ایمن است مگر اینکه از همان ابتدا با نگاه امنیتی آن سیستم و زیست بوم آن را توسعه داده باشید. امنیت یکی از بزرگترین چالش‌های توسعه سیستم‌های‌ دینامیک و استاتیک از همان ابتدا بوده است، چون همانطور که بلوغ امنیتی رخ می‌دهد، شیوه‌های نفوذگری جدید هم ابداع می‌شوند (مایکل سیکروسکی آن را مانند بازی موش و گربه تمثیل کرده است). چه آن زمانی که سیستم‌های سایبرنتیک عمومیت نداشتند چه الان که همه چیز به آن‌ها گره خورده است، بسیاری از متخصصان سال‌ها تلاش کردند تا به مفاهیم ابتدایی مانند Bell-LaPadula Formalism در سیستم‌ها به ایمنی برسند. با این حال، هنوز که هنوزه زیرساخت‌ها مورد نفوذ قرار می‌گیرند و تمامی رویکردها و استانداردهای گذشته تقریبا Failed شدند. به عنوان مثال، الان اگر NSA تصمیم بگیرد، زیرساخت XXXXXX ایران را مورد نفوذ قرار بدهد، هزینه‌اش خرید یک زیرودی Exchange است. البته NSA نیاز به خرید ندارد، چون خودشان توسعه می‌دهند و همواره شاه کلید دست آن‌ها است. اخیرا، یعنی تقریبا از سال 2017 به بعد (مخصوصا بعد ماجرای اوبر و سولارویندز)، نهادهای نظامی در مرحله اول و بعدها ساختارها و شرکت‌های مهم تجاری به سمت رویکرد جدیدی رفته‌اند که آن را می‌توانیم Behavioral Anomaly Detection & Response نامگذاری کنیم. در این رویکرد، دیگر خبری از نگاه‌های سنتی SOC/CSIRT نیست، بلکه همه چیز در فرآیندهای استاندارد و البته خودکار شده است. در این رویکرد جدید تمرکز روی شناسایی انومالی‌ها در تمامی سطوح رفتاری و سیستمی است که این آنومالی هم به ازای هر محیط متفاوت است (Case Study مجزا دارد)، و در نهایت بهینه‌سازی فرآیندها برای واکنش و رفع تهدیداتی که رخ می‌دهد با توجه به سنجه زمان که هر چقدر R(T) کمتر باشد، بهتر است. شخصا در ایران هیچ جا نتوانستم این مسئله را به دلیل وجود تداخل‌هایی که در تصمیم گیری وجود داشت و همچنین عدم دنبال کردن نگاه مهندسی سیستمی توسط مدیران پیاده‌سازی کنم. ولی چه الان چه صد سال دیگر جبر روزگار همه را وادار می‌کند که به این سمت حرکت کنیم و متوجه شویم دیگر با ابزار، محصول و حتی هزاران نیروی متخصص نمی‌توان به امنیت رسید وقتی زیرساخت و فرآیند و Pipelineها مشکل دارد. البته با احترام به تمام متخصصان عزیز، من صرفا نظر خودم را گفتم.

@aioooir | #snapfood

روت‌کیت‌های سخت‌افزاری:

وقتی صحبت از بد افزار ها می‌شه، معمولاً همه ذهنشون میره سمت ویروس‌ها، بدافزارها و باج‌افزارهایی که سیستم‌عامل رو آلوده می‌کنن. اما یه لایه عمیق‌تر و خطرناک‌تر هم هست که خیلی‌ها اصلاً بهش فکر نمی‌کنن: روت‌کیت‌های سخت‌افزاری. اینا مثل جاسوس‌هایی هستن که نه فقط توی سیستم‌عامل، بلکه توی خود سخت‌افزار یا firmware جا خوش می‌کنن. بیاید با هم ببینیم اینا دقیقاً چی هستن، کجا قایم می‌شن و چطوری کار می‌کنن.

کجا قایم می‌شن؟ (حافظه‌های قابل‌نویس سخت‌افزاری)

روت‌کیت‌های سخت‌افزاری برخلاف بدافزارهای معمولی، خودشون رو توی فایل‌های سیستمی یا رم نمی‌ندازن. نه، اونا یه‌جورایی خودشونو "جا می‌کنن" تو دل سخت‌افزار — جایی که معمولاً هیچ‌کس سر نمی‌زنه:

UEFI یا BIOS
این بخش پایه‌ترین فریمور مادربورده که اولین کدی هست که موقع روشن شدن سیستم اجرا می‌شه. حمله‌کننده می‌تونه فریمور UEFI رو دستکاری کنه و کدی رو توش بنویسه که قبل از بوت سیستم‌عامل اجرا بشه. این یعنی حتی اگه ویندوز رو کامل فرمت کنی، روت‌کیت سر جاش می‌مونه.

Firmware دستگاه‌های جانبی
مثلاً کارت شبکه، SSD یا کارت گرافیک هم یه چیپ مخصوص برای firmware دارن. روت‌کیت می‌تونه اونجا تزریق بشه. برای نمونه، حملاتی مثل USBevil یا SSD firmware rootkit دقیقاً از همین راه وارد شدن.

Intel Management Engine (IME) / AMD PSP
اینا چیپ‌هایی هستن که مستقل از CPU اصلی کار می‌کنن و دسترسی خیلی گسترده به سیستم دارن. یه روت‌کیت اگه وارد این ناحیه بشه، دیگه پاک کردنش تقریباً غیرممکنه چون این چیپ حتی وقتی سیستم خاموشه هم تا حدی فعاله.

چطوری کار می‌کنن؟ (مکانیزم اجرایی)

فرض کن داری کامپیوترتو روشن می‌کنی. قبل از اینکه سیستم‌عامل لود بشه، اول فریمور UEFI اجرا می‌شه. حالا اگه یه روت‌کیت اونجا نشسته باشه، می‌تونه یه سری کدهای مخرب اجرا کنه و مثلاً یه hypervisor ساختگی بارگذاری کنه که کل سیستم‌عامل روی اون اجرا بشه — بدون اینکه سیستم‌عامل حتی بفهمه داره زیرنظر گرفته می‌شه.
روت‌کیت‌های سخت‌افزاری می‌تونن:

خودشون رو از هر آنتی‌ویروس یا اسکنری مخفی کنن.

داده‌ها رو شنود کنن یا تغییر بدن (مثلاً keylogger در سطح سخت‌افزار).

سیستم‌عامل رو با نسخه‌ی آلوده جایگزین کنن.

حتی توی شبکه backdoor باز کنن برای کنترل از راه دور.

نمونه‌های واقعی از این نوع حملات

LoJax
اولین روت‌کیت UEFI کشف‌شده که توسط یک گروه APT (تهدید پایدار پیشرفته) به سیستم‌ها نفوذ کرد. حتی با نصب مجدد ویندوز هم از بین نمی‌رفت.

Thunderstrike
حمله‌ای به فریمور مک‌بوک‌ها از طریق پورت Thunderbolt. با یه درایو دستکاری‌شده، می‌شد فریمور رو آلوده کرد.

BadUSB
USBهایی که firmware داخلشون تغییر کرده بود و مثل یه کیبورد یا شبکه عمل می‌کردن تا کد مخرب تزریق کنن — بدون اینکه آنتی‌ویروس بتونه تشخیصش بده.

چرا انقدر خطرناک هستن؟

پاک‌نشدنی هستن؛ مگر اینکه با ابزار خاصی firmware رو بازنویسی کنی (که خیلی وقت‌ها ممکن نیست).

در سطحی کار می‌کنن که آنتی‌ویروس‌ها دسترسی ندارن.

می‌تونن سال‌ها بدون شناسایی باقی بمونن.

به سخت‌افزار آسیب دائمی بزنن یا اطلاعات حیاتی رو به بیرون نشت بدن.

چطور باید محافظت کرد؟

Secure Boot رو فعال کن تا فقط کدهای امضاشده اجرا بشن.

فریمور مادربورد، SSD و دستگاه‌ها رو همیشه آپدیت نگه‌دار.

سیستم‌هایی که امنیت حیاتی دارن (مثل سرورهای دولتی) بهتره از سیستم‌عامل‌هایی با UEFI Secure Mode و امکانات امنیتی بیشتر استفاده کنن.

از ابزارهای پیشرفته مثل CHIPSEC برای تحلیل فریمور استفاده کن (برای کاربران پیشرفته).


https://news.1rj.ru/str/ViperNull

⭕سیستم تشخیص نفوذ (IDS) چیه و چجوری کار می‌کنه؟
یکی از اجزای مهم امنیت شبکه، چیزی نیست جز سیستم تشخیص نفوذ یا همون IDS (Intrusion Detection System)

کار اصلی IDS اینه که نفوذ یا حمله‌های احتمالی رو شناسایی کنه و هشدار بده. البته خودش مستقیماً جلو حمله رو نمی‌گیره (اون کار وظیفه‌ی IPS هست) ولی به‌عنوان دیده‌بان شبکه، می‌تونه حسابی مفید باشه
سیستم IDS چطوری کار می‌کنه؟
برای اینکه IDS بتونه کاری انجام بده باید یه کپی از ترافیک شبکه رو بگیره و بررسیش کنه. این سیستم معمولاً با استفاده از یک پایگاه داده از الگوها یا رفتارها، تصمیم می‌گیره که آیا ترافیکی مشکوک هست یا نه‼

انواع IDS
سیستم IDSها به طور کلی به دو دسته تقسیم می‌شن:
۱. Signature-based IDS
این نوع IDS بر اساس الگوها ( پترن حملات) یا امضاهای حملات شناخته‌شده کار می‌کنه. مثل وقتی که آنتی‌ویروس یه ویروس خاص رو از رو امضاش می‌شناسه. سیستم‌هایی مثل Snort و Suricata از این دسته هستن
ابزار های Snort و Suricata هر دو اوپن‌سورس و رایگان هستن
ولی نکته اینه که رول‌های دقیق و آپدیت‌شده برای Snort معمولاً پولی‌ان
و رول‌های Snort رو می‌تونیم توی Suricata هم استفاده کنیم
۲. Behavior-based IDS
این سیستم‌ها بر اساس تحلیل رفتار ترافیک کار می‌کنن مثلاً اگه یه سیستم معمولاً روزی ۱۰۰ پکت می‌فرسته ولی یهو شد ۱۰ هزار تا، این ممکنه نشونه‌ای از حمله باشه
وIDSهای رفتاری می‌تونن کمک زیادی توی شناسایی حملات Zero-day بکنن
یه مثال خوبش Zeek هست که خیلی هم محبوبه این ابزار
⬇️
چجوری ترافیک رو به IDS می‌دیم؟
خب، IDS خودش ترافیک رو sniff نمی‌کنه، باید یه کپی از ترافیک بهش داده بشه
برای این کار چند تا روش وجود داره:
۱. Port Mirroring یا SPAN
توی سوییچ‌های سیسکو بهش می‌گن SPAN، یعنی ترافیک یه پورت یا VLAN رو کپی می‌کنیم می‌فرستیم برای IDS.
ولی این روش یه مشکل اساسی داره: به منابع سوییچ فشار میاره و ممکنه باعث افت کارایی بشه.
۲. استفاده از TAP
میاییم از TAP (Test Access Point) استفاده میکنیم 
یه سخت‌افزار لایه یکه که بدون فشار به سوییچ، یه کپی از ترافیک رو به IDS می‌ده.

     ‼یه مشکل اساسی: ترافیک رمز‌شده‼

سیستم های IDS تا وقتی می‌تونه مفید باشه که بتونه محتوای بسته‌ها رو ببینه اگه ترافیک رمز شده باشه (SSL/TLS) IDS عملاً نمی‌تونه چیزی بفهمه

راهکار چیه؟
برای این موضوع هم راه‌حل هست:
از Forward Proxy یا Reverse Proxy استفاده می‌کنیم که بتونن ترافیک رو رمزگشایی کنن و یه کپی رمز نشده بدن به IDS

مثلاً روی دستگاه‌هایی مثل Gigamon TAP می‌تونیم کلید رمزگشایی SSL رو بدیم تا یه نسخه‌ی رمزگشایی‌شده برای IDS داده بشه
حتی توی فایروال‌های جدید، قابلیتی به نام SSL Decryption Mirroring داریم که همین کارو انجام میده
ذخیره‌سازی پکت‌ها: IDS پکت رو نگه نمی‌داره، پس چی کار کنیم؟
نکته مهم اینه که IDS ترافیک رو ذخیره نمی‌کنه، فقط تحلیل میکنه
ولی اگه بخوایم برای بررسی‌های فارنزیک یا بعد از حمله پکت‌ها رو داشته باشیم، باید از ابزارهایی برای ذخیره‌سازی استفاده کنیم

راه‌حل: FPC یا Full Packet Capture
با استفاده از سیستم‌هایی مثل Arkime (قبلاً به اسم Moloch بودش) می‌تونیم پکت‌ها رو به‌طور کامل ذخیره کنیم

حالا اگه با روش‌هایی که بالا گفتیم ترافیک رمزگشایی شده باشه، می‌تونیم نسخه‌ی قابل تحلیلش رو هم ذخیره کنیم، و بعداً برای بررسی‌های دقیق‌تر استفاده کنیم

اگه بخوام جمع‌بندی کنم
سیستم IDSوظیفش تحلیل و هشدار دادنه نه جلوگیری
ترافیک باید براش کپی بشه، با TAP بهتر از SPAN
موضوع رمزنگاری رو با ابزارهایی مثل proxy و SSL mirroring حلش میکنیم
برای ذخیره‌سازی دقیق‌تر FPC مثل Arkime استفاده میکنیم

https://news.1rj.ru/str/ViperNull

🌟 نمونه سوالات مصاحبه ی #امنیت #Cybersecurity

کتاب "Practical Malware Analysis" یه جورایی حکم قرآن هکرها و تحلیل‌گرای بدافزارو داره! اگه بخوای یاد بگیری یه بدافزار چطوری کار می‌کنه، از کجا میاد، چی کار می‌کنه، یا چطوری جلوی خرابکاریش رو بگیری، این کتاب یه مرجع توپ و حسابیه.

از اولش باهات راه میاد؛ یعنی فرض نمی‌کنه همه چی بلدی. از ابزارهای پایه مثل IDA Pro، OllyDbg، PEview گرفته تا تحلیل دستی و استاتیک و داینامیک (یعنی چه قبل اجرا چه بعد اجرا بررسی‌شون.
بهت یاد می‌ده چطور یه بدافزارو تو محیط امن اجرا کنی و رفتارشو ببینی.
مثال زیاد داره؛ یعنی فقط تئوری نمی‌گه، می‌گه "بیا اینو نگاه کن، ببین این بدافزار چه مرگشه.

@kali_signal

تفاوت بین EtherChannel در لایه دوم و لایه سوم چیه ؟


لایه ۲  EtherChannel

در سناریوهای مربوط به لایه دوم  وقتی چند لینک فیزیکی بین دو دستگاه (مثلاً سوئیچ‌ها) داریم، می‌تونیم اونها رو در قالب یک اتصال منطقی تجمیع کنیم این اتصال می‌تونه به عنوان یک Access یا Trunk تعریف بشه و تمام ترافیک‌های مربوط به VLAN و Broadcast از طریق همین گروه منتقل میشن
مبنای ارسال داده‌ها هم در این سطح معمولاً بر اساس آدرس MAC مقصد هست.
کاربردهاش چیه؟

اتصال دو سوئیچ در بستر لایه ۲

ارتباط به سرورهایی که NIC تیمینگ دارن

نمونه پیکربندی:

interface range fa0/1 - 4 channel-group 1 mode active interface port-channel 1 switchport mode trunk
با این تنظیمات، یه گروه EtherChannel در لایه ۲ ساختیم که به صورت trunk عمل میکنه

لایه ۳ و EtherChannel

در مدل لایه سوم عملکرد کمی متفاوت می‌شه اینجا لینک‌های فیزیکی دوباره یکی میشن، ولی نه به عنوان سوییچ پورت، بلکه به عنوان رابط مسیردهی (Routed Port)
در اینجا دیگه بحث VLAN وجود نداره و ترافیک بر اساس IP Routing مدیریت میشه می‌تونی مستقیم روی اینترفیس IP بدیم
موقعیت‌هایی که استفاده می‌شه:

ارتباط بین سوئیچ‌های core که وظیفه روتینگ دارن

اتصال بین سوئیچ و روتر

دیتاسنترهایی که لایه سوم رو مستقیم پیاده‌سازی می‌کنن

مثال کانفیگ:
interface range gi0/1 - 2 no switchport channel-group 2 mode active interface port-channel 2 no switchport ip address 192.168.100.1 255.255.255.0

تفاوت‌ها؛

برای ایجاد EtherChannel، دو پروتکل در دسترسه:

LACP (استاندارد IEEE)

PAgP (اختصاصی سیسکو)

اگه از من بپرسین، همیشه استفاده از LACP گزینه بهتر و قابل اعتمادتره، چون با تجهیزات مختلف سازگارتره

https://news.1rj.ru/str/ViperNull

⭕ویندوز ۱۱ هک شد! سه آسیب‌پذیری خطرناک در کمتر از یک روز کشف شد ‼

در مسابقات امنیتی Pwn2Own که همیشه پای ثابت خبرهای هیجان‌انگیز دنیای سایبره، امسال ویندوز ۱۱ دوباره تیتر اول شد
این رویداد در برلین و در تاریخ ۱۵ تا ۱۷ مه ۲۰۲۵ برگزار شد و در همون روز اول، سه آسیب‌پذیری بسیار مهم در ویندوز ۱۱ کشف و با موفقیت مورد بهره‌برداری قرار گرفت
این آسیب‌پذیری‌ها به محققان اجازه میداد تا دسترسی خودشون رو تا سطح SYSTEM بالا ببرن یعنی همون سطحی که تقریباً کنترل کامل سیستم رو در دستشون میذاره
حالا بیایید ببینیم چه کسانی پشت این ماجرا بودن و چطور تونستن این کار رو بکنن:

چن له چی (Chen Le Qi)
از تیم STARLabs SG با ترکیبی از دو آسیب‌پذیری (یکی use-after-free و یکی هم سرریز عدد صحیح) تونست سیستم رو هک کنه و بابتش ۳۰ هزار دلار جایزه گرفت.

مارسین ویازوفسکی (Marcin Wiązowski) هم با یک حمله نوشتن خارج از محدوده (Out-of-bounds write) موفق شد همین سطح دسترسی رو به دست بیاره و همون ۳۰ هزار دلار رو به جیب بزنه.

هیونجین چوی (Hyeonjin Choi) از تیم Out Of Bounds هم با استفاده از آسیب‌پذیری نوع‌پریشی (type confusion) ویندوز ۱۱ رو دور زد و ۱۵ هزار دلار دریافت کرد
جمع کل جایزه‌هایی که فقط برای این سه حمله داده شد: ۷۵ هزار دلار!
مسابقه Pwn2Own توسط شرکت Trend Micro و برنامهٔ Zero Day Initiative برگزار میشه و هدفش اینه که محققان امنیتی بتونن آسیب‌پذیری‌های مهم رو کشف کنن و به‌جای اینکه در اختیار هکرها قرار بدن، اون‌ها رو به صورت مسئولانه به شرکت‌های نرم‌افزاری مثل مایکروسافت گزارش بدن تا قبل از اینکه تبدیل به تهدیدی جدی بشه، اصلاح بشن.
در مجموع، فقط توی همین رویداد امسال بیش از ۱ میلیون دلار جایزه به محققان پرداخت شد. تیم STAR Labs SG هم با اختلاف به عنوان Master of Pwn یا همون "استاد نفوذ" امسال معرفی شد.
مایکروسافت احتمالاً توی ماه‌های آینده (معمولاً کمتر از ۹۰ روز) وصله‌های امنیتی لازم رو برای این آسیب‌پذیری‌ها منتشر می‌کنه. پس اگر ویندوز ۱۱ دارین، به‌خصوص اگر نسخه‌تون به‌روز نیست، بهتره که حتماً آپدیت‌ها رو جدی بگیرین.

https://news.1rj.ru/str/ViperNull

WAF چیه و چطور کار می‌کنه؟

⭕WAF یا Web Application Firewall⭕
یه فایروال مخصوص لایه ۷ از مدل OSI هست که دقیقاً برای محافظت از اپلیکیشن‌های تحت وب طراحی شده. برخلاف فایروال‌های معمولی که روی ترافیک شبکه یا لایه‌های پایین‌تر تمرکز دارن، WAF مستقیماً با پروتکل‌های HTTP و HTTPS تخصصی کارمیکنه داره.
هدف اصلی WAF اینه که جلوی حملات تحت وب مثل SQL Injection، Cross-Site Scripting (XSS)، File Inclusion، و کلی تهدید دیگه رو بگیره.

WAF دقیقاً چه کاری می‌کنه؟

وقتی ترافیک وب از سمت کاربر (کلاینت) به سمت وب‌سایت ما ارسال می‌شه، WAF وارد عمل میشه

تمام requestها و responseها رو بررسی می‌کنه

مقدار تمام inputهایی که کاربر فرستاده رو تحلیل میکنه

دنبال الگوهای مخرب، کدهای مشکوک، و رفتارهای غیرعادی می‌گرده

اگه چیزی مشکوک باشه، اون درخواست رو بلاک می‌کنه یا هشدار میده

برای اینکه بتونه این کار رو انجام بده، WAF باید ترافیک رو بخونه و تحلیل کنه. اما چطور این امکان رو پیدا می‌کنه؟ اینجاست که بحث پروکسی‌ها مطرح میشه.

پروکسی و نقش اون در WAF

WAF
معمولاً خودش رو جای وب‌سرور جا میزنه. یعنی وقتی کاربر از بیرون می‌خواد به سایت ما وصل بشه، در واقع اول به WAF وصل میشه
چرا؟ چون WAF به صورت یه Reverse Proxy وسط قرار میگیره.

پروکسی چیه؟

پروکسی یه واسطه‌ست که بین کلاینت و سرور قرار می‌گیره و ترافیک رو دریافت، تحلیل و بعداً ارسال میکنه. این وسط، پروکسی ترافیک رو:

Decapsulate (بازش می‌کنه و می‌خونه)

بعد از پردازش، دوباره Encapsulate می‌کنه (بسته‌بندیش می‌کنه و می‌فرسته جلو)

دو حالت کلی برای استفاده از پروکسی داریم:

1. Reverse Proxy (پروکسی معکوس):

برای وقتی که یه کلاینت از بیرون شبکه می‌خواد به سایت ما دسترسی داشته باشه.
در این حالت:

ادرس IP پابلیک ما روی WAF تنظیم شده

کلاینت فکر میکنه داره به سرور ما وصل می‌شه، ولی در واقع WAF درخواست رو می‌گیره ‼

بعد از بررسی، WAF خودش درخواست رو به سرور داخلی می‌فرسته، با IP خودش به عنوان مبدا

یعنی لایه ۳ و ۴ تغییر میکنه، در نتیجه این روتینگ نیست، پروکسیه

2. Forward Proxy (پروکسی مستقیم):

برای وقتی که کاربر داخل شبکه ما می‌خواد به یه سایت بیرونی وصل بشه.

اینجا WAF یا یه پراکسی دیگه میاد بین کاربر و اینترنت قرار میگیره

می‌تونه ترافیک خروجی رو هم بررسی و محدود کنه

چرا WAF ترافیک رو می‌تونه بخونه؟

به خاطر اینکه در این سناریو، WAF پایان ارتباط TLS هست SSL Termination یعنی

گواهی SSL روی WAF نصب شده

ترافیک HTTPS به WAF میرسه و اون می‌تونه دیکریپتش کنه

بعد از تحلیل، دوباره به صورت رمزنگاری‌شده یا غیررمزنگاری‌شده به سرور فرستاده می‌شه

قابلیت‌های مهم WAF:

جلوگیری از حملات OWASP Top 10

بررسی دقیق Request/Response

فیلتر بر اساس IP، Geo، User-Agent و ...

قابلیت Rate Limiting و جلوگیری از Brute Force

گزارش‌گیری و لاگ‌برداری از ترافیک مشکوک

بعضی‌هاش حتی قابلیت Bot Management دارن

انواع WAF:

Cloud-based WAF
مثل Cloudflare, AWS WAF، نیاز به نصب نداره، مقیاس‌پذیر و راحت

Host-based WAF
نصب روی همون سروری که اپلیکیشن هست (مثل ModSecurity روی Apache/NGINX)

Network-based WAF
به صورت فیزیکی یا مجازی روی شبکه قرار می‌گیره و ترافیک رو مستقیم بررسی میکنه
https://news.1rj.ru/str/ViperNull