چرا باید پورت ها access بشن و دلیل این کار از نظر امنیتی چیست؟  ( و تفاوت interface access و trunk چیست؟ )

سلام ،‌امروز توی اولین پستم میخام راجب این موضوع صحبت کنم که چرا باید پورت ها access بشن و دلیل این کار از نظر امنیتی چیست؟
خب اول از همه توضیح ساده تفاوت اینتر فیس ترانک و اکسس اینه که اینتر فیس های ترانک ترافیک vlan هارو بر اساس taging protcol ها مثل ISL و ieee 802.1Q  در مبدا  tag گزاری میکنن و در مقصد untag  میکنن یعنی vlan id هر ویلن با این پروتکل ها درسویچ مبدا مشخص میشه و در سویچ مقصد خونده میشه و مشخص میشه که به کدام ویلن تحویل داده بشه.
و توضیح ساده اینتر فیس های access اینترفیس هایی هستند که به کامپیوتر ها یا ... متصل میشن و ترافیک کامپیوتر ها یا ... تحویل سویچ میدن ( تصویر بالارو نگاه کنید متوجه میشید )
ما یه پروتکولی داریم بنام
DTP ( Dynamic trunking protocol ) 
پروتکل DTP توسط شرکت سیسکو ارائه شده است و در لایه Data Link از مدل TCP/IP کار می کند سویچ از طریق این پروتکل فراید ترانک شدن اینتر فیس را خودکار انجام میدهد .  DTP دو MODE دارد
Dynamic Desirable
Dynamic auto

که حالت پیش فرض سویچ Dynamic auto هستش
که تا وقتی که بسته   DTP Hello Message دریافت نکند تبدیل به اینترفیس ترانک نمیشود و خودش هم هیچ درخاستی ارسال نمیکند  و اگه درخاستی دریافت نکنه اینترفیش اکسس میشود / برای همون وقتی ما دوسر لینک رو وصل میکنیم به دو سویچ یا روتر یا کامپیوتر اینترفیس خودکار اکسس میشود
--------------‐-------
حالا از نظر امنیتی مشکلی که به وجود میاد اینه که اگه اتکر بیاد خودش رو به حالت Dynamic Desirable قرار بده درخاست ترانک شدن ارسال میشه به سویچ و چون حالت پیش فرض سویچ  Dynamic auto هستش اکسپت میکنه و اینتر فیسی که درخاست ترانک شدن داده تبدیل به اینتر فیس ترانک میشه و کل ترافیک vlan ها از این اینتر فیس عبور میکند و اتکر میتواند دیتای مارو بخوند یا تعقیراتی ایجاد کند و ارسال کند
و راحل این مشکل اینه که اینتر فیس هایی که ادمین متما هست که ترانک نیست و متصل به کامپیوتر های کلاینت هاست باید با دستور access کند
SW-1(config)#interace  ethernet 0/1
SW-1(config-if)#switchport mode access

Chanel telegram : https://news.1rj.ru/str/ViperNull🕷

سایت برای تمرین تایپ و بالا بردن سرعت تایپ 💻

https://monkeytype.com/ 🕷


Chanell: @sec_netw🕷

اردک پلاستیکی یا Rubber Ducky چیه؟

یک USB ظاهرا ساده به شکل فلش با باطنی متفاوت!
USB Rubber Ducky
یک ابزار برای تزریق کلیدواژه است درواقع فلش خودشو به عنوان صفحه کلید به سیستم میشناسونه و بخاطر اینه که سیستم‌نمیتونه تشخصیش بده .
کاری که میکنه پسورد های ذخیره شده در صفحه کلید رو به سرقت میبره
کلیدواژه‌های از پیش برنامه‌ریزی شده را با ظرفیت 1000 کلمه یا همون payload در هر دقیقه به کامپیوتر تزریق می‌کنه
``````````````````````````
صفحه کلید ها با استاندارد HID کار میکنند این usb ادعا میکند که یک صفحه کلید با استاندار HID هست و سیستم را به این روش فریب میدهد
درنتیجه مراقب فلش های خریداری شده از مکان های نامعتبر و پسورد های ذخیره شده خودتون باشید !

⚙️همچنین اگه قصد نفوذ دارین میتونین یا اماده‌ی این Usb رو تهیه کنید یا اگه به برنامه نویسی روی بردها مسلط هستین میتونید خودتون هم این  Bad Usb رو طراحی کنید.

Chanel telegram : @sec_netw🕷

@Sec_networks
لینک گروه

♨️ پروژه CVE2CAPEC  با هدف ارتباط دادن شناسه‌های آسیب‌پذیری‌های امنیتی (CVE) با شناسه‌های الگوهای حمله (CAPEC) جهت کمک به تحلیلگران تهدیدات، توسعه داده شده تا به طور موثر درک بهتری از تکنیک‌ها و روش‌های حملاتی که امکان بهره‌برداری از آسیب‌پذیری‌ها وجود دارند، پیدا کنند

⚒️ پایگاه داده CVE یک فهرست جامع از آسیب‌پذیری‌های امنیتی هستند که به هر آسیب پذیری شناسه‌ای منحصر به فرد اختصاص می‌دهد. اما این پایگاه اطلاعاتی درباره چگونگی بهره‌برداری یا حملات ممکن را ارائه نمی‌دهد، از طرف دیگر، CAPEC الگوهای رایج حملات و نحوه‌ی بهره‌برداری از آن‌ها را توصیف می‌کند.

🔗 ابزار CVE2CAPEC این دو منبع را به هم متصل می‌کند تا مشخص کند که چه الگوهای حمله‌ای می‌توانند از هر آسیب‌پذیری استفاده کنند

🔰 این ابزار به تیم‌های امنیتی کمک می‌کند تا با مشاهده CAPEC مرتبط با یک CVE خاص، بهتر متوجه شوند که چگونه مهاجمان ممکن است از یک آسیب‌پذیری بهره‌برداری کنند و بدین ترتیب بتوانند تصمیمات امنیتی بهتری بگیرند و اقدامات پیشگیرانه مناسب‌تری داشته باشند

🌐 https://github.com/Galeax/CVE2CAPEC
⚙️ galeax.github.io/CVE2CAPEC/

@sec_netw🕷

⭕ منظور از،شماره port چیست و از نظر امنیتی چه خطراتی وجود دارد؟
سلام‌، امروز میخام راجب شماره پورت ها صحبت کنم و دقیقا وظیفه پورت چیه؟ توی کدوم لایه قرار داره و از نظر امنیتی چه مشکلاتی وجود داره رو بهتون بگم

خب اول از همه port چیه و کاربردش چیه؟
فرض کنید ما قراره یه دیتای به یه کامپیوتر ارسال کنیم ! خب نیاز به ادرس های اون کامپیوتر مقصد داریم
iP address   --> network address
Mac address  --> host address
حالا وقتی اون دیتا به مقصد میرسه برای اینکه مشخص بشه اون دیتا  دقیقا قراره به چه سروریسی تحویل داده بشه ، با شماره پورت مشخص میشه.
Ip address + port number = socket
تصویر بالا رو نگاه کنید
برای مثال شماره پورت یسری هاشون رو پاین میگم ؛
Http : 80   ssh : 22   telnet : 23
Dns : 53    ftp : 20,21 کلاینت
حالا این شماره پورت ها توی لایه ۴ یا همون لایه transport از مدل ارتباطی tcp/ip انتخاب میشن، که توی این لایه،دو هدر source port و destination port وجود داره که نشون دهنده اینه که دیتای ما از چه سرویسی استفاده میکنه و قراره به چه سرویسی تحویل داده بشه .
کاربرد دیگش اینه که ما اگه بخاییم اجازه عبور ترافیک یه سرویس خاصیو ندیم داخل فایروال با شماره پورت اون سروریس،اجاره خارج شدن یا ورود ترافیک اون سرویس رو میبندیم
🔥خطرات و آسیب‌پذیری‌های پورت‌ها🔥
شناسایی کردن پورت های باز روی یک سرور میتونه مشخص کنه که دقیقا چه سرویسی روی سرور وجود داره. ابزار های پورت اسکنر وجود دارن که میتونن پورت های باز یه سرور رو بما نشون بدن
اگه روی یه سرور برای مثال پورت 20 باز باشه یعنی روی سرور از سرویس ftp روی اون سرور وجود داره یا مثلا پورت 3389 فعال باشه یعنی قابلیت ریموت دسکتاپ وجود داره و به همین ترتیب...
جمع اوری این اطلاعات در فراید های هک و نفوذ باعث شناسایی سیستم عامل ، نسخه های سرویس ها و حتی اسیب پذیری های مورد نظر هر سرویس روی سرور شما بشه و دراخر ممکنه که باعث نفوذ به سرور شما بشه

Chanel telegram : @sec_netw🕷

💢چطور میتونیم مک فیلترینگ مودم ها رو دور بزنیم؟

🔹برای جواب به این سوال اول از همه باید بدونیم حملات spoofing چیه؟ در این نوع حملات نفوذگر سعی میکنه با جعل کردن اطلاعات، خودش رو مخاطب معتبر معرفی کنه تا بتونه دسترسی های مورد نظرش رو بدست بیاره. این اطلاعات میتونن ایپی جعلی، مک ادرس جعلی، ایمیل جعلی و حتی وب سایتهای جعلی (که امروزه با عنوان فیشینگ شناخته میشن) باشن.

🔹همونطور که گفتیم یکی از زیر شاخه های spoof، جعل مک آدرس یا Mac Spoofing هست. حالا کاربردش چیه ؟ با جعل مک آدرس میتونیم خودمونو بجای کاربر دیگه ای جا بزنیم و کارهای زیادی مثل «دور زدن مک فیلترینگ مودم ها، دریافت بسته های خاص در لایه دو سوییچ، تظاهر به بودن برند خاصی از دستگاه ها و...» رو انجام بدیم.

🔹چجوری میتونیم این کارو انجام بدیم؟
- راه حل اول (⚠️توجه کنید این راه برای همه ی کارت شبکه ها جوابگو نیست) :
کلیدهای Win+R رو فشار بدید
توی کادر باز شده بنویسید devmgmt.msc و ok کنید
در پنجره باز شده روی کارت شبکه مورد نظرتون که قصد تغییر مک اون رو دارید دابل کلیک کنید و به تب advance رفته و روی گزینه locally adminstered address کلیک میکنیم و در کادر Value مک ادرس جدید رو وارد میکنیم بعد یبار سیستم رو ریستارت میکنیم و در نهایت با دستور getmac در CMD شاهد مک ادرس جدیدمون خواهیم بود .
- راه حل دوم (که همیشه جوابگو هست) :
باید نرم افزار Technitium Mac Address Changer رو دانلود کنید و از قسمت Mac Address Connection کارت شبکه مورد نظر رو انتخاب و در کادر پائین یک مک آدرس بطور رندوم و یا به دلخواه به اون اختصاص بدید

🔹حالا شاید سوال پیش بیاد که به عنوان متخصص امنیت چطوری باید از این حمله جلوگیری کنیم؟ پاسخ فعال کردن Port Security در سوئیچ و یا دستگاه مورد نظر هست‌

Chanel telegram : @sec_netw🕷

Chanel telegram : @sec_netw🕷

حمله ARP Spoofing چیه؟ معرفی ARP Poisoning و روش مقابله با ان

❗️پروتکول ARP) Address resolation protocol) پروتکلی برای تبدیل ادرس ip به مک‌ادرسه و مهاجم از این پروتکول برای اهداف  مخربانه خود استفاده میکند در این حمله مهاجم با ارسال بسته های ARP Gratuitous) GARP ) خود را برای مثال بعنوان gateway شبکه اعلام میکنه سیستم های موجود در شبکه اطلاعات دریافت شده از بسته arp را در arp table خود ذخیره و بروزرسانی میکنند
پس کامپیوترها ترافیک خارج از شبکه خود را تحویل مهاجم می دهند و اگر مهاجم بعد از بدست آوردن اطلاعات مورد نیاز خود ترافیک به گیت وی اصلی ارسال کند کاربران از این اتفاق بی خبر خواهند بود این حمله را(men in the middle)می نامند
برای جلوگیری از این نوع حمله ما با استفاده از  Dynamic ARP inspection باعث میشود DHCP Snooping کار کند تا جلوی این حمله را بگیرد
در Dynamic ARP inspection پورت های trusted و untrusted مشخص می شود پورت های Access باید به عنوان untrusted و پورت های متصل به روتر یا سویچ و دستگاه های که نمی خواهد بسته های ARP آنها چک نشوند را در حالت trusted قرار میدیم
با استفاده از دستور زیر پورت را در حالت trusted قرار داده می شود.
Switch(config)# ip arp inspection vlan 1
Switch(config-if)# ip arp inspection trust

Chanel telegram : @sec_netw🕷

Chanel telegram : @sec_netw🕷

منظور از hashing چیه ؟
سلام امروز میخام‌راجب این‌موضوع که hashing چیه صحبت کنم
خب اول از همه hashing چیه؟ Hashing یا درهم سازی به تبدیل کردن یک رشته داده ورودی متغیر و خروجی ثابت میگن که بر اساس هر الگوریتم خروجی  hasing متفاوت است. برای مثال ما یه فایل ۱۰ هزار خطی داریم وقتی اون رو با یه الگوریتم hashing مثل md5 اون‌رو hash میکنیم یه خروجی ab7b6da7342ea2599198c3ba396984b55 شبیه این دریافت خاهیم کرد و حتی ما اگه یه فایل متنی ۵ خطی هم وارد کنیم با همین تعداد کارکتر یه خروخی دریافت خاهیم کرد .
فرض کنید ما پسورد ۱۲۳۴۵۶ رو داریم و خب بسیار حدس زدنش سادس و به راحتی کرک میشود  ولی اگه هش کنیم یه خروجی ab7b6da7342ea2599198c3ba3e884b55
به این شکل تحویلمون میده خب سخت شد کار.

آشپزی، Hashing به معنی خرد و سپس مخلوط کردن یک چیزه در علوم کامپیوتر، هشینگ معنی تقریبا یکسانی داره در اینجا یک کامپیوتر قطعه‌‌ای داده را بدون توجه به طولش دریافت کرده و با استفاده از فرمول‌های ریاضی، اون رو خرد و مخلوط می‌کنه. نتیجه همیشه دارای طول ثابت است و به اندازه ورودی بستگی ندارد. به همین دلیل طول هش شش کاراکتر "123456" با هش متن ۱۰ هزار خطی یکسان شد.
از تقریبا هر محتوای دیجیتال نظیر یک سند، یک تصویر، یک فایل صوتی نظیر موزیک یا هر چیز دیگر می‌توان یک هش تولید کرد. هر محتوای دیجیتال در عمل و در پایین‌ترین سطح، چیزی به جز یک مشت 0 و 1 نیست. با در نظر گرفتن این شباهت، تولید هش هر نوع داده امکان‌پذیر می‌شود.
کاربردترین استفاده های یک تابع درهم سازی یا Hashing Function در پایگاه داده های وب سایت ها یا حتی سیستم خود شما برای نگهداری رمزهای عبور است. تمامی رمزهای عبوری که در پایگاه داده یک وب سایت ذخیره می شوند به حالت Hash شده نگهداری می شوند ، این یعنی اینکه اگر رمز عبور شما 1 کاراکتر باشد و یا اینکه 100 کاراکتر باشد در نهایت بصورت مثلا یک رشته داده 128 بیتی در پایگاه داده بصورت درهم سازی شده نگهداری می شود. هر بار که شما می خواهید به وب سایت وارد شوید ، رمز عبور شما دریافت می شود و تبدیل به مقدار یا Hash Value می شود و با پایگاه داده مورد نظر مقایسه می شود ، اگر مقادیر برابر بود یعنی رمز شما درست است ، دیگر فرقی نمی کند رمز شما یک کاراکتر باشد یا ده ها کاراکتر در نهایت سرعت جستجو در چنین حالتی بسیار بالا خواهد رفت.
Chanel telegram : @sec_netw🕷

Chanel telegram : @sec_netw🕷

چه جوری میشه فهمید ک یه سوییچ سیسکو واقعا full poe هستش؟

#جواب

به چند روش امکان‌پذیره
۱. بررسی مشخصات دستگاه:
اولین و ساده‌ترین روش، (datasheet) سوییچ
سیسکو معمولاً نوع PoE پشتیبانی شده رو تو مشخصات فنی دستگاه مشخص میکنه اگر سوییچ Full PoE باشه تو مشخصات به
PoE+ (802.3at) یا UPOE (Universal Power over Ethernet)
اشاره میکنه ، Full PoE به معنای تأمین برق تا 30 وات برای هر پورته (در PoE+)

۲. دستور نمایش قابلیت‌های PoE:

میتونی به سوئیچ CLI بزنی با دستور زیر  ببینی که سوییچ از Full PoE پشتیبانی می‌کنه یا نه
# show power inline

با زدن این دستور  اطلاعاتی در مورد توان هر پورت و وضعیت PoE رو میتونی ببینی حالا  اگه مقدار Max Power برای هر پورت نزدیک به 30 وات یا بیشتر بود نشون نیده سوییچ شما Full PoE هستش

۳. بررسی مدل و سری سوییچ:

حالا بعضی مدل‌های سوییچ سیسکو به‌طور خاص برای Full PoE شاخته شده  مثلا ، سوییچ‌های سری Cisco Catalyst 9000 و بعضی مدل‌های Cisco Catalyst 2960X و Cisco Catalyst 3650 از Full PoE پشتیبانی می‌کنه

اگر‌تو اسم‌مدل، عبارات P یا UPoE دیدی نشون میده که پشتیبانی از PoE+ یا UPOE داره

۴. بررسی لیبل روی دستگاه:

معمولاً سوییچ‌هایی که PoE پشتیبانی می‌کنن، برچسبی روی بدنه دارن که مشخص می‌کنه این سوییچ PoE یا PoE+ هست

۵. بررسی توان کلی (Total Power Budget):
یه راه حل دیگه م‌هست
سوییچ‌های Full PoE یه توان کلی مشخصی برای پشتیبانی از تعداد پورت‌های PoE دارن مثلا ، یه سوییچ Full PoE باید توان کافی برای تأمین برق تمامی پورت‌های PoE+ (30 وات) داشته باشه

Chanel telegram : @sec_netw🕷

هکرهای کره شمالی چگونه به سیستم های امنیتی و سایبری میخندند؟

هکرهای کره شمالی، به ویژه گروه‌های معروف مانند Lazarus Group، با استفاده از روش‌های پیچیده و هدفمند به سیستم‌های امنیتی نفوذ می‌کنند. آن‌ها اغلب از تکنیک‌هایی مانند فیشینگ هدفمند، بدافزارهای پیچیده، سوءاستفاده از ضعف‌های امنیتی روز صفر (zero-day vulnerabilities)، و تزریق بدافزار در به‌روزرسانی‌های نرم‌افزارهای معتبر استفاده می‌کنند.

این هکرها به‌خوبی در حملات زنجیره تامین (supply chain attacks) مهارت دارند. در این حملات، به جای حمله مستقیم به هدف نهایی، به یک شرکت تأمین‌کننده نرم‌افزار یا سخت‌افزار نفوذ می‌کنند و با وارد کردن بدافزار، آن را به سیستم‌های بیشتری انتقال می‌دهند.

به دلیل استفاده از این تاکتیک‌ها و پیش‌بینی‌نشدنی بودن حملات، برخی از کارشناسان معتقدند که هکرهای کره شمالی "به سیستم‌های امنیتی می‌خندند"، چرا که به‌راحتی می‌توانند اقدامات امنیتی پیچیده را دور بزنند و به اهداف خود دست پیدا کنند. همچنین این گروه‌ها از پروتکل‌های مبهم، شبکه‌های ناشناس و سرورهای پروکسی متعدد استفاده می‌کنند تا شناسایی و ردگیری آن‌ها دشوار شود.
@sec_netw

ابزار تشخیص نفوذ به شبکه وای فای خانگی و شرکت های کوچک

برنامه NetAlertX یک ابزار تشخیص نفوذ به Wi-Fi/LAN است که دستگاه‌های متصل به شبکه را اسکن و در صورت شناسایی دستگاه‌های جدید یا ناشناخته، هشدار می‌دهد و مناسب محیط‌های کوچک مثل «خانه» است.

🟢یک ویژگی باحال آن، امکان طراحی Kill Switch برای قطع همه چیز است!

@sec_netw🕷