تقييم أمن المنظمة باستخدام أدوات استطلاع الشبكة الجزء 1 - ProgrammerTech
Language:

Search

تقييم أمن المنظمة باستخدام أدوات استطلاع الشبكة الجزء 1

  • Share this:
تقييم أمن المنظمة باستخدام أدوات استطلاع الشبكة الجزء 1

 يشير التقييم الأمني إلى العمليات والإجراءات والأدوات المستخدمة لكشف ما إذا كانت المنظمة تعاني من بعض نقاط الضعف التي يمكن أن تستغلها Threat actors. حرفيا، التقييم الأمني هو مسح أمني أو عملية دراسة تغطي جميع خدمات المؤسسة، بما في ذلك البنية التحتية Network و Web Applications. من المحتمل أن يكون Threat Victor ضعيفًا، ولست قويًا مثل Penetration Testing Engineer. ويتمثل ناتج التقييم في توصيات تتعلق بنشر الضوابط الأمنية أو تعزيزها أو إعادة هيكلتها للتخفيف من خطر استغلال نقاط الضعف من قبل Threat agent.

يعد reconnaissance  أحد أنشطة التقييم الأمني الفعالة التي ترسم خرائط للبنية التحتية لخدمة المؤسسة من خلال تحديد الاتصالات التي تشكل الشبكة، ونحتاج دائمًا إلى إجراء فحوصات على البنية التحتية للشبكة باستخدام مجموعة من الأدوات التي يمكن أن تكون command line interface  (CLI) أو (GUI) Graphical User Interface  باستخدام هذه الأدوات يمكننا تحليل البيانات التي تمر على الشبكة، ومتابعة حزم البيانات، و Scanning  المفصل على الشبكة، واكتشاف الخدمات التي تعمل في البنية التحتية، وما إذا كانت الخدمة بها ضعف خاص. يجب أن تفهم أيضًا كيف يمكن استخدام الأدوات لصنع Backdoor للمضيف حتى يتم تسريب البيانات سرًا.

Ipconfig, ping, and arp     


 إنها مجموعة من الأدوات التي يمكن استخدامها للاستطلاع والكشف عن نقاط الضعف المحتملة، ويمكن استخدام تقنيات الاستطلاع بواسطة  Threat agent ولكن يتم استخدامها أيضًا من قبل المتخصصين الأمنيين للتحقق من أنظمتهم الأمنية كجزء من التقييم الأمني الفعال والرصد المستمر.


Topology discovery او footprinting   - إنها عملية يتم فيها عمل رسم بياني كامل على مستوى الشبكة. يتم إجراء Scanning على أجهزة مختلفة لغرض الكشف عن الخدمات التي تعمل على تلك الأجهزة بالإضافة إلى نوع النظام سواء كان لينكس أو Windows ومن الطرق Topology discovery  الأخرى الكشف عن البنية التحتية للشبكة بأكملها بما في ذلك جميع الأجهزة الموجودة على الشبكة بما في ذلك الخوادم وأجهزة المستخدمين بالإضافة إلى الأجهزة الواقية بالإضافة إلى نوع الأنظمة التي تعمل على تلك الأجهزة.

 

Network
Topology Network        
 

يمكن استخدام هذه الأدوات للكشف عن Topology discovery ويتم دمج هذه الأدوات مع أنظمة تشغيل مختلفة مثل Linux أو Windows         

ipconfig : إنها أداة تستخدم لعرض جميع (interfaces)، الموجودة على الشبكة بما في ذلك عنوان الجهاز و  Mac Address و IPv4 و IPv6 و IP router Gateway ومعرفة ما إذا كان IP ثابتًا أو مأخوذًا من خادم DHCP (هذا الآمر يعمل على Windows)

C:\Users\Administrator>ipconfig
                
                Windows IP Configuration
                
                
                Ethernet adapter Local Area Connection:
                
                   Connection-specific DNS Suffix  . :
                   Link-local IPv6 Address . . . . . : fe80::88d2:2f90:70ed:6abb%11
                   IPv4 Address. . . . . . . . . . . : 192.168.1.4
                   Subnet Mask . . . . . . . . . . . : 255.255.255.0
                   Default Gateway . . . . . . . . . : 192.168.1.1
                
                Ethernet adapter VirtualBox Host-Only Network:
                
                   Connection-specific DNS Suffix  . :
                   Link-local IPv6 Address . . . . . : fe80::5ce7:800:4626:fdbc%18
                   Autoconfiguration IPv4 Address. . : 169.254.253.188
                   Subnet Mask . . . . . . . . . . . : 255.255.0.0
                   Default Gateway . . . . . . . . . :
                
                Tunnel adapter isatap.{9BBD4417-E04C-4CA1-849D-0023BBAE2EB6}:
                
                   Media State . . . . . . . . . . . : Media disconnected
                   Connection-specific DNS Suffix  . :
                
                Tunnel adapter isatap.{455F6785-017B-4B36-AFDF-3EB13A27900B}:
                
                   Media State . . . . . . . . . . . : Media disconnected
                   Connection-specific DNS Suffix  . :
                
                C:\Users\Administrator>
        
 

ifconfig : يقوم بنفس العمل مثل ipconfig ولكن هذا يعمل على أنظمة Linux     

Linux: ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.6  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::a00:27ff:fe50:4c14  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:50:4c:14  txqueuelen 1000  (Ethernet)
        RX packets 1140  bytes 93894 (91.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 227  bytes 22088 (21.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 5  bytes 560 (560.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 5  bytes 560 (560.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ping : تستخدم هذه الأداة لضمان الاتصال بين الأجهزة المختلفة أو عنوان الكمبيوتر وتستخدم بروتوكول (ICMP) Internet Control Message Protocol. يتم استخدام هذه الأداة إلى حد كبير من قبل مهندسي الشبكات حتى يتمكنوا من تأكيد الاتصال بين الأجهزة على الشبكة دون مشاكل. يتم طباعة (Destination host unreachable) اذا كان الاتصال بهي مشاكل او هذا العنوان ليس موجود.    

Linux: ping 192.168.1.4 -c 4
            PING 192.168.1.4 (192.168.1.4) 56(84) bytes of data. 
            64 bytes from 192.168.1.4: icmp_seq=1 ttl=128 time=0.361 ms 
            64 bytes from 192.168.1.4: icmp_seq=2 ttl=128 time=0.359 ms	 //True
            64 bytes from 192.168.1.4: icmp_seq=3 ttl=128 time=0.374 ms
            64 bytes from 192.168.1.4: icmp_seq=4 ttl=128 time=0.398 ms
            
            --- 192.168.1.4 ping statistics ---
            4 packets transmitted, 4 received, 0% packet loss, time 3053ms
            rtt min/avg/max/mdev = 0.359/0.373/0.398/0.015 ms

            ┌──(kali㉿kali)-[~]
            └─$ ping 192.168.1.88    
            PING 192.168.1.88 (192.168.1.88) 56(84) bytes of data.
            From 192.168.1.6 icmp_seq=1 Destination Host Unreachable
            From 192.168.1.6 icmp_seq=2 Destination Host Unreachable      //False
            From 192.168.1.6 icmp_seq=3 Destination Host Unreachable
            ^C
            --- 192.168.1.88 ping statistics ---
            5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4081ms
            pipe 4

Arp : يمكن استخدام هذه الأداة لعرض جداول Arp على الكمبيوتر. هناك جميع عناوين الأجهزة التي يتم الاتصال بها بالكمبيوتر. هذا مفيد جدًا ويمكنك معرفة ما إذا كان هناك IP منتحل شخصية متصل بهذا الكمبيوتر.    


            C:\Users\Administrator>arp -a
            
            Interface: 192.168.1.4 --- 0xb
              Internet Address      Physical Address      Type
              192.168.1.1           74-da-88-7f-c1-84     dynamic
              192.168.1.6           08-00-27-50-4c-14     dynamic
              192.168.1.255         ff-ff-ff-ff-ff-ff     static
              224.0.0.22            01-00-5e-00-00-16     static
              224.0.0.251           01-00-5e-00-00-fb     static
              224.0.0.252           01-00-5e-00-00-fc     static
              239.255.255.250       01-00-5e-7f-ff-fa     static
              255.255.255.255       ff-ff-ff-ff-ff-ff     static
            
            Interface: 169.254.253.188 --- 0x12
              Internet Address      Physical Address      Type
              169.254.255.255       ff-ff-ff-ff-ff-ff     static
              224.0.0.22            01-00-5e-00-00-16     static
              224.0.0.251           01-00-5e-00-00-fb     static
              224.0.0.252           01-00-5e-00-00-fc     static
              239.255.255.250       01-00-5e-7f-ff-fa     static
              255.255.255.255       ff-ff-ff-ff-ff-ff     static
            
            C:\Users\Administrator>
        

Route and traceroute

يمكن استخدام الأدوات لمعرفة طرق التوجيه بمعني اخر الأجهزة الوسيطة بين عمليات الاتصال مثال علي ذلك PC1 يريد الاتصال PC2 ما هي الأجهزة التي تمر علية الاتصال حتي تصلا لي PC2 يمكن استخدام الأدوات التالية لمعرفة عناوين تلك الأجهزة الوسيطة.

tracert : تُستخدم هذه الأداة لاستخراج الأجهزة الوسيطة في عمليات الاتصال حيث تتتبع أداة بروتوكول ICMP ذهابًا وإيابًا أو ما يُعرف (Round Trip Time (RTT  وتستخرج تلك الأداة عناوين الأجهزة الوسيطة على الشبكات البعيدة أو ما يسمى hops والشبكة البعيدة من المفترض أن تكون شبكات غير موجودة في نفس جهاز router. و (الأداة تعمل علي Windows).     


        C:\Users\Administrator>tracert google.com
        Tracing route to google.com [142.251.37.206]
        over a maximum of 30 hops:
          1     1 ms    <1 ms    <1 ms  192.168.1.1
          2     7 ms     6 ms     7 ms  10.45.10.23
          3     7 ms     6 ms     7 ms  10.38.20.217
          4     7 ms     7 ms     7 ms  10.37.93.42
          5    10 ms    10 ms    10 ms  10.38.157.1
          6    12 ms    10 ms    10 ms  10.39.13.89
          7    12 ms    11 ms    10 ms  10.39.15.217
          8    11 ms     9 ms    10 ms  10.37.123.241
          9    43 ms    48 ms    43 ms  72.14.196.84
         10    44 ms    43 ms    43 ms  108.170.227.139
         11    43 ms    43 ms    44 ms  142.251.78.81
         12    43 ms    43 ms    43 ms  mrs09s15-in-f14.1e100.net [142.251.37.206]
        Trace complete.
        C:\Users\Administrator>
 

traceroute : إنها أداة تعمل على أنظمة Linux لأنها تقوم بنفس أعمال tracert حيث يمكنها أيضًا استخراج عناوين القفز hops باستخدام بروتوكول UDP افتراضيًا بدلاً من ICMP المستخدم مع tracert

Linux: traceroute google.com
        traceroute to google.com (142.251.37.174), 30 hops max, 60 byte packets
         1  192.168.1.1 (192.168.1.1)  0.608 ms  0.815 ms  0.780 ms
         2  10.45.10.23 (10.45.10.23)  7.754 ms  7.720 ms  7.414 ms
         3  10.35.36.106 (10.35.36.106)  8.597 ms 10.35.36.146 (10.35.36.146)  8.428 ms 10.35.36.90 (10.35.36.90)  8.299 ms
         4  10.37.93.42 (10.37.93.42)  9.644 ms  8.865 ms  8.742 ms
         5  10.38.157.1 (10.38.157.1)  12.275 ms  12.134 ms 10.39.13.93 (10.39.13.93)  9.500 ms
         6  10.39.13.89 (10.39.13.89)  12.917 ms 10.39.15.157 (10.39.15.157)  12.417 ms 10.39.15.142 (10.39.15.142)  12.344 ms
         7  10.38.112.57 (10.38.112.57)  12.308 ms 10.39.15.209 (10.39.15.209)  11.351 ms 10.38.112.57 (10.38.112.57)  11.277 ms
         8  10.38.249.90 (10.38.249.90)  11.766 ms 10.38.226.250 (10.38.226.250)  11.615 ms 10.37.98.61 (10.37.98.61)  12.013 ms
         9  72.14.196.84 (72.14.196.84)  45.282 ms  45.249 ms  45.473 ms
        10  * * *
        11  72.14.232.162 (72.14.232.162)  48.083 ms mrs09s14-in-f14.1e100.net (142.251.37.174)  47.300 ms 142.251.78.76 (142.251.78.76)  44.039 ms

 

pathping : توفر هذه الأداة الكشف عن الاتصالات بالإضافة إلى استخراج الأجهزة الوسيطة أثناء الاتصال وتعمل تلك الأداة على نظام Windows، حيث توجد أداة مماثلة على أنظمة Linux وهي mtr.         

 

        C:\Users\Administrator>pathping google.com
        Tracing route to google.com [142.251.37.174]
        over a maximum of 30 hops:
          0  1AHDHMCEIGTEVLW [192.168.1.4]
          1  192.168.1.1
          2  10.45.10.23
          3  10.35.36.146
          4  10.37.93.42
          5  10.38.157.1
          6  10.39.13.89
          7  10.39.15.213
          8  10.38.249.90
          9  72.14.196.84
         10  108.170.227.139
         11  142.251.78.89
         12  mrs09s14-in-f14.1e100.net [142.251.37.174]
        Computing statistics for 300 seconds...
        

Ahmed Kaissar

Ahmed Kaissar

From Egypt from Giza Governorate a web programmer and information security expert a lover of technology and information security a trainer for languages ​​Python HTML  CSS PHP  JS  Laravel and a CTF test trainer. I hope to communicate everything I have to everyone and do not skimp on any information.