نظرة عامة على أمن الشبكات الداخلية Network security

نظرة عامة على أمن الشبكات الداخلية Network security

نظرة عامة على أمن الشبكات الداخلية Network security

المقولة “A chain is no stronger than its weakest link” والتي تعني "السلسلة ليست أقوى من أضعف حلقاتها" قد صيغت في 1786 ومع ذلك فإنها صارت ذات صلة وثيقة بأمن المعلومات أكثر من أي وقت مضى، فبمجرد إكتشاف نقطة ضعف صغيرة في الأنظمة التقنية عادة ما يتم تصعيدها لإستغلالات أكثر خطورة واحداً تلو الآخر وصولاً للأهداف الأكثر أهمية، وأحد أهم الحلقات في الأنظمة التقنية هي الشبكات والتي سنلقي نظرة عامة على الهجمات المتعلقة بها للوقاية منها.

الحافز والدوافع لدي مهاجمي الشبكات الداخلية

الدوافع التي تكون لدى المهاجم للوصول للشبكة الداخلية الخاصة بك قد تكون أكثر مما تظن ، فالبعض يظن أن الدافع يقتصر على إستخدام الإنترنت وإستهلاك الباندويدث مجاناً، حسناً بينما يعد هذا أحد الدوافع إلا أن أكثرها أهمية هو إكتساب الوصول المباشر للشبكة الداخلية والذي يختلف كثيراً عن الإتصال بها من الإنترنت فكما ناقشنا في الشبكات الداخلية والمفاهيم المرتبطة بها تمثل NAT طبقة من الحماية لأجهزة الشبكة حتى ولو كانت الخدمات الداخلية مصابة بثغرات خطيرة فلا يمكن الوصول إليها عبر الإنترنت (ما لم يتم تحويل المنافذ يدوياً)، ويعد إكتساب هذا السطح الجديد للهجوم هام للغاية فأجهزة الشبكة مفيدة للمهاجم في كل الحالات فإن وجد بيانات هامه يمكنه إستغلالها مباشرة أو طلب فدية مقابلها بعد تشفيرها بـ Ransomware وإن لم يجد بيانات هامه قد يستغل البنية الفيزيائية للحاسوب في تعدين العملات الرقمية Crypto Mining وإن كانت ضعيفة لا عائد منها سيظل بإمكان المهاجم إستخدام الأجهزة كجزء من Botnet لتنفيذ هجمات DOS أو لإخفاء أنشطته الغير قانونية أو في التمحورعبر الشبكات الداخلية الأخرى.

أبرز التهديدات للشبكات الداخلية

تعد أجهزة IoT أبرز التهديدات في الشبكات الداخلية وعلى رأسها الموجهات Routers حيث تمثل نقطة تقاطع بين الإنترنت والشبكات الخاصة وبالرغم من أن معظم مزودي خدمة الإنترنت ISP يقومون بتعديل النظام الداخلي للموجه Firmware بحيث يسمح بالوصول لواجهة الإعدادات فقط من الشبكة الداخلية منعاً لتنفيذ هجمات Brute force أو إستغلال بيانات الدخول الإفتراضية إلا أن هذا غير كافي تماماً ففي هذه الحالة لايزال الموجه يعمل عبر بروتوكولات إتصال أخرى والتي قد تكون عرضة للإستغلال.

من الجوانب المهملة أيضاً إسم المستخدم وكلمة المرور لإتصال الإنترنت PPPoE فأحياناً يتم تعيينهم لقيمة قصيرة الطول لتسهييل الإعداد على المستخدمين وهو ما يسهل أيضاً عملية التخمين على المهاجم خاصة إن كان إسم المستخدم يمثل معلومات عامه (مثل رقم الخط الأرضي).

وكذلك تمثل الهجمات الفيزيائية تهديداً آخر على سبيل المثال يمكن إستغلال منافذ Console الغير مؤمنة بكلمات مرور في تعديل إعدادات المحولات أو الموجهات بما يسمح للوصول لأجهزة وبيانات غير مصرح بها أو قد يقوم المهاجم بإستغلال الوصول الفيزيائي بوضع أجهزة تنصت بين مكونات الشبكة والتي قد ترسل له البيانات المجمعه عبر الإنترنت أو تحتفظ بها على ذاكرة داخلية لحين عودته.

بالإضافة لما سبق جميع الأجهزة الداخلية قد تعرض الشبكة للخطر بشكل غير مباشر إذا وقع إختراقها بطريقة ما فيتسلل المهاجم من خلالها إلى باقي الشبكة.

وكما نعلم المزيد من قابلية الإستخدام والأداء غالباً ما يقابله نقص في الحماية ..

نظرة عامة على أمن الشبكات الداخلية Network security

فلا عجب أن الشبكات اللاسلكية تعرض الشبكة لأساليب هجوم إضافية أبرزها ما يلي:

- كسر مفاتيح التشفير Cracking

لكي يتمكن الحاسوب من إجراء المصادقة يقوم بإرسال حزم Handshake تحتوي على نص مشفر (هاش) بإستخدام مفتاح التشفير الذي أدخله المستخدم وتستقبل نقطة الإتصال تلك الحزمة وتقوم هي الأخرى بإنشاء نص مشفر بنفس الخوارزمية ثم تقارن الهاش الناتج بالهاش المستقبل من المستخدم فإن تطابقا تتم المصادقة.

هذا الأسلوب في المصادقة لابد منه، لا يمكن للجهاز الذي يحاول الإتصال إرسال كلمة المرور في صورتها الأصلية لأن بإمكان الحواسيب الأخرى إستقبال ذلك الملف لا نقطة الإتصال فحسب لذلك تتم عملية التشفير من كلا الجانبين وتتم مقارنة الناتج للتأكد من الأصل وبالتالي تستطيع كافة الحواسيب رؤية الحزم المرسلة أثناء المصادقه Handshakes ولكن لا يمكن إستخراج كلمة المررو منها لأنها في صورة Hash.

نظرياً لا يمكن إعادة الهاش لأصلة ولكن يمكن محاكاة العملية التي تقوم بها نقطة الإتصال، يمكننا مثلاً تحويل "12345678" إلى هاش ثم نقارنه بالهاش الموجود في ملف المصادقة (والذي يمكن لأي حاسوب إستقباله ما دام على بعد مناسب من الجهاز المرسل) فإن تطابقا علمنا أن كلمة المرور هي 12345678 وبالتالي يمكن إستخدام أدوات لأتمتة هذه العملية مثل aircrack-ng فتقوم بتجربة كافة الإحتمالات الممكنة ولا يقف في وجه هذه الطريقة شئ عدا قوة كلمة المرور، فمثلا أي كلمة مرور مكونة من 8 أرقام يمكن كسرها في غضون سويعات بإستخدام حاسوب شخصي عام الإستخدام أما تضمين الحروف والرموز في كلمة المرور يزيد من الإحتمالات المطلوب تجربتها وبالتالي يضاعف المدة الزمنية وقوة المعالجة المطلوبة لكسرها.

في الواقع الكثير من أنظمة التشفير تعتمد بشكل أساسي على مفاتيح التشفير التي لا يستحيل كسرها نظرياً ولكنها معقدة بما يكفي لتستغرق سنوات من الحوسبة بإستخدام أقوى المعالجات التي تم تصنيعها في العالم، ولكن ثمة مخاوف حول إمكانية تطوير الحواسيب الكمية الفائقة لكسر أعقد مفاتيح التشفير في وقت قصير.

ملاحظة
إذا كانت خوارزمية التشفير المستخدمة غير قياسية مما ثبت إمكانية إعادة الهاش الناتج عنها إلى أصله فلن يستغرق الهجوم سوى دقائق معدودة وكذلك الحال عند إستخدام بروتوكول مصادقة إتضحت عيوبه الأمنية مثل بروتوكول WEP.

- هجوم التوأم الشرير Evil Twin Attack

يعتمد هجوم التوأم الشرير على تضليل المستخدم حيث يقوم المهاجم بإنشاء نقطة إتصال جديدة تحمل إسم الشبكة المستهدفة (بلا كلمة مرور) وعلى التوازي يقوم بتشغيل سكربت برمجي يرسل الكثير من حزم المصادقة لنقطة الإتصال الأصلية فتتوقف عن العمل نتيجة لإغراق كافة مواردها في معالجة تلك الحزم، لذلك يجد المستخدم نفسه خارج نقطة الإتصال الأصلية ولا يستطيع الدخول إليها مجدداً بينما ويحاول نظامه تلقائياً الإتصال بالنقطة المزيفة كونها نقطة إتصال مفتوحة وتحمل الإسم ذاته ولكن عند محاولة تصفح الإنترنت من خلالها سيحصل المستخدم على صفحة تشبه صفحة إعدادات الموجه الخاص به تطلب منه إعادة إدخال كلمة المرور لتثبيت تحديث أمني أو لتصفح الإنترنت وهو أمر غريب يجب أن يثير الشكوك إلا أن كثير من المستخدمين لا يملكون خلفية تقنية مناسبة لإستدراك الأمر ويقعون فريسة هذا الهجوم.

ملاحظة

في السيناريو السابق لا يمكن إنشاء شبكة محمية بكلمة مرور ثم تخزين كلمات المرور التي سيستخدمها الهدف في الإتصال كبديل لتزييف صفحة ويب لنقطة الإتصال الأصلية. وذلك ببساطة لأنه عند إنشاء شبكة محمية بكلمة مرور لا يمكن لنظام المهاجم معرفة كلمات المرور (الخطأ) التي حاول أحدهم الإتصال بإستخدامها ذلك لأن كلمة المرور لا يتم إرسالها في صورة واضحة كما ذكرنا بل سيستقبل نظام المهاجم هاش وعندما يتضح أنه غير مطابق للهاش الصحيح كل ما يمكن للمهاجم معرفته أنه تم إدخال كلمة مرور خطأ ولكن لا يمكن معرفتها إلا إذا تم كسر التشفير وإذا كان المهاجم ينوي كسر التشفير فيمكنه إلتقاط الهاش من حزم المصادقة الأصلية للهدف بلا حاجة لإنشاء نقطة إتصال زائفة محمية بكلمة مرور. وهذه الطريقة في المصادقة تحدث بسبب البروتوكولات القياسية التي تستخدمها الأنظمة المختلفة بالتالي لكي يتم تنفيذ الهجوم بإستخدام نقطة إتصال محمية زائفة يجب أولاً تعديل النظام المستهدف لإرسال كلمة المرور بشكل يسمح لنقطة الإتصال بفك تشفيرها مثل إستخدام RSA أو غيرها من أنظمة التشفير المعتمدة على المفتاح العام Public-Key cryptosystems.

- هجمات KRACK

في 2017 أعلن Mathy Vanhoef عن هجمات Key Reinstallation والتي يمكن إستغلالها لكسر تشفير WPA2 وهو تشفير قياسي مطبق في كافة الشبكات حول العالم وقد تم العمل على أدوات إكتشاف وإستغلال هذه الهجمات مع مجتمع البرمجيات الحرة يمكنك الوصول لهذه الأدوات في مستودع جت هاب.


ومن الجدير بالذكر أن الباحث Mathy Vanhoef إكتشف عدة أخطاء أمنية في بروتوكول WPA3 أيضاً والذي لم يتم تطبيقه بعد وقد سميت بـ Dragon Blood.

الحماية

- دائماً تأكد من تثبيت التحديثات الأمنية في أقرب وقت.
- تأكد من إستخدامك خوارزميات التشفير القياسية.
- قم بعزل الأجهزة الداخلية التي لا تثق بمستوى حمايتها بإستخدام Subnetting أو .dmz
- لا تثق بالأنظمة الإلكترونية بشكل مطلق وإبق مطلعاً على أخبار أمن المعلومات بشكل دوري فدائماً ما نكتشف أنواع جديدة من الهجمات ونقاط الضعف والتي تعرف بـ 0-day.