چطور از روترها و فایروال‌های سازمانی در مقابل هک محافظت کنیم؟

20 آذر 1402 چطور از روترها و فایروال‌های سازمانی در مقابل هک محافظت کنیم؟

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ دستگاه‌هایی که مرز بین اینترنت و شبکه سازمانی داخلی هستند –خصوصاً آن‌هایی که وظیفه‌شان امنیت و مدیریت ترافیک شبکه است- اغلب اولویتِ مجرمان سایبری هستند. آن‌ها موقع ارسال حجم بالایی از ترافیک خارجی شک‌ها را برنمی انگیزند و در عین حال به منابع سازمان و نیز بخش قابل‌توجهی از ترافیک داخلی دسترسی دارند. برای همین است که دستکاری روتر به طعمه چرب و نرمی برای aptهای سرشناسی چون Slingshot، APT28 و Camaro Dragon تبدیل شده است. اما این روزها عاملین کمتر پیچیده هم می‌توانند از آن استفاده کنند؛ خصوصاً اگر شرکت مورد هدف از مدل‌های رده خارج روترهای کوچک/خانگی/اداری استفاده کنند که به طور غیررسمی پشتیبانی می‌شوند. حملات به این روترها و فایروال‌ها معمولاً آسیب‌پذیری‌هایی را اکسپلویت می‌کند که صد افسوس با ترتیب و نظم ثابتی کشف می‌شوند.

گاهی چنین آسیب‌پذیری‌هایی بسیار جدی هستند و در عین حال برای مهاجمین ساده به نظر می‌رسند. تا جایی که متخصصین می‌مانند آیا بک‌درها به طور خودخواسته در سفت‌افزارها قرار گرفته‌اند. اما حتی اگر همه آسیب‌پذیری‌های شناخته‌شده فیکس شوند، برخی خطاهای پیکربندی یا صرفاً برخی ویژگی‌های غیرقابل درمان روترهای مدل پایین می‌توانند به چنین آلودگی منتج شوند. آژانس‌های امنیت سایبری آمریکا و ژاپن اخیراً توصیه‌ای مفصل منتشر کردند در مورد یک حمله پیشرفته از این نوع که محوریت فعالیت‌هایش گروه aptBlackTech بوده است (منظور T-APT-03، Circuit Panda و Palmerworm است). این تحلیل ttp گروه را در شبکه آلوده پوشش می‌دهد اما تمرکز ما روی جذاب‌ترین وجه این گزارش توصیه‌محور است: سفت‌افزار آلوده.

حمله BlackTech به لینک ضعیف در لایه‌های دفاعی سازمانی

حمله با هجوم به شرکت تارگت با نفوذ به یکی از شعبات منطقه‌ای‌اش آغاز می‌شود. عاملین BlackTech تاکتیک‌های سنتی را برای این امر انتخاب می‌کنند –از فیشینگ گرفته تا اکسپلویت آسیب‌پذیری‌ها- و اینها درحالیست که هنوز حمله به روتر صورت نگرفته. آن‌ها از این حقیقت که دفاتر شعبه اغلب از سخت‌افزار استفاده می‌کنند و خط‌مشی امنیت اطلاعات و آی‌تی سفت و سختی را دنبال نمی‌کنند بهره می‌برند. BlackTech سپس حضورش را در شبکه شعبه پررنگ‌تر کرده و امتیازات ادمین را برای روتر و فایروال بدست می‌آورد. مهاجمین که حالا چنین تجهیز شدند سفت‌افزار را آلوده کرده و از آن بعنوان وضعیتی قابل اعتماد برای شروع حمله‌ به مقرهای اصلی شرکت استفاده می‌نمایند.

ساز و کار دستکاری روتر

سفت‌افزار قانونی اما از رده خارج در دستگاه لود می‌شوند. درست بعد از ریبوت، هکرها برنامه لودشده در رم دستگاه را دستکاری کرده (با پچ نکردن) تا قابلیت‌های امنیتی را که در حالت نرمال جلوی لود اجزای دستکاری‌شده (ROMmon) می‌گرفتند غیرفعال کنند. برای پیاده‌سازی این ترفند است که نسخه قدیمی سفت‌افزار باید ابتدا اجرا گردد. بعد از غیرفعال کردن ROMmon سفت‌افزار دستکاری‌شده (و در برخی موارد بوت‌لودر دستکاری‌شده دستگاه) در روتر آپلود می‌شود. بعد از یک ریبوت دیگر، روتر تماماً در اختیار مهاجمین قرار می‌گیرد. سفت‌افزار دستکاری‌شده به ترافیک داخل بسته جادویی که بک‌در را بیدار می‌کند گوش می‌دهد. به محض دریافت بسته، دستگاه به مهاجمین دسترسی کامل به قابلیت‌هایش را می‌دهد؛‌ علی‌رغم اینکه این قابلیت‌ها در فهرست Access Control نیستند. این اتصال به سشن ssh را با نام کاربری خاص اما بدون نیاز به پسورد ممکن می‌سازد.

چطور مهاجمین روتر را اکسپلویت می‌کنند؟

سفت‌افزار روترهای مخرب نه تنها بستر امنی را در شبکه هدف برای متجاوزان فراهم می‌کند، بلکه به حل طیف وسیعی از مشکلات تاکتیکی نیز کمک می‌کند:

  •         پنهان کردن تغییرات پیکربندی؛
  •         عدم ثبت دستورات و اقدامات مهاجم؛
  •         مسدود کردن اجرای برخی از دستورات قانونی در کنسول روتر، مانع از بررسی رخداد.

این گزارش بر روی سیستم‌افزار مخرب روترهای سیسکو در پلتفرم IOS تمرکز دارد، اما اشاره می‌کند که BlackTech سایر مدل‌های تجهیزات شبکه را به روشی مشابه به خطر می‌اندازد. باید اضافه کنیم که رخدادهای قبلی دستکاری، Fortinet، SonicWall، TP-Link و Zyxel را تحت‌الشعاع قرار داد.  

مقابله با حملات به روترها و فایروال‌ها

واضحاً سازمان اگر از مدل‌های رده خارج دستگاه‌های شبکه‌ای، سفت‌افزار مدل پایین یا غیررسمی (این فقط مختص تجهیزات Cisco نیست) استفاده کند در خطر است. اما حتی اگر روتر جدید با سفت‌افزار نو هم استفاده شود باز می‌تواند ابزاری کارا برای مهاجم باشد پس توصیه‌های مختلف نویسندگان توصیه‌نامه ارزش این را دارد که در هر شبکه‌ای اجرایی شوند.

  •         سیستم‌های ادین را روی VLAN (شبکه مجازی منطقه لوکال) جداگانه بگذارید.
  •         همه ترافیک‌های غیرقانونی دستگاه‌های شبکه که مقصودشان VLAN غیرادمینی است بلاک کنید.
  •         دسترسی به خدمات ادمین را در آدرس‌های آی‌پی ادمین‌های قانونی محدود سازید.
  •         به فهرست‌هایی که می‌توانند روی همه خطوط تله‌تایپ مجازی (VTY)  و خدمات خاص ادمین پیاده‌سازی شوند دسترسی داشته باشید. برای روترهای Cisco توصیه می‌شود ارتباط با سیستم‌های خارجی برای VTYها را با استفاده از فرمان transport output none محدود کنید.
  •         هر دو اقدام موفق و ناموفق به دسترسی ادمین روتر را تحت نظارت قرار دهید.
  •         به طور منظم گزارش‌های دستگاه شبکه را برای رویدادهایی مانند راه‌اندازی مجدد غیرمنتظره، تغییرات نسخه سیستم عامل، تغییرات پیکربندی یا تلاش‌های به‌روزرسانی میان‌افزار بررسی کنید. برنامه‌های به‌روزرسانی نرم‌افزار بخش فناوری اطلاعات را بررسی کنید تا مطمئن شوید که هر رویداد مجاز است.
  •         اتصالات شبکه ورودی و خروجی "عجیب" را از دستگاه‌ها نظارت کنید. به طور معمول، دستگاه‌های شبکه اطلاعات مسیریابی و توپولوژی شبکه را فقط با دستگاه‌های نزدیک به اشتراک می‌گذارند و مدیریت، نظارت، احراز هویت و همگام‌سازی زمانی تنها با تعداد کمی از رایانه‌های اداری انجام می‌شود.
  •         همه پسوردها و کلیدهایی که ذره‌ای مشکوک هستند تغییر دهید.
  •         سخت‌افزار را آپگرید کنید. شاید این از همه توصیه‌های دیگر سخت‌تر و مأیوس‌کننده‌تر باشد.
  •         به سازمان‌هایی که از مدل‌های رده پایین استفاده می‌کنند و فناوری‌های بوت امن را پشتیبانی نمی‌دهند توصیه می‌شود برای آپگرید سخت‌افزار در کوتاه‌ترین زمان ممکنه برنامه طرح کرده و بودجه تخصیص دهند.
  •         موقع انتخاب تجهیزات جدید، باید اولویت با فروشندگانی باشد که متودولوژی‌های امن را پیاده‌سازی کرده و رویکردشان «امنیت در همان لحظه طراحی» است.

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد