🔰همانطور که روتر ها در ipsec،vpn و ایجاد subnet دارای قابلیت هایی هستند، سویچ ها نیز با ایجاد vlan،port aclو قابلیت mirror کردن پورت بسیار مفید هستند. (تجهیزات قابل مدیریت)

به طور معمول دو راه برای بدست آوردن ترافیک شبکه وجود دارد:
✅روش Switch mirror port: (span)
_بهترین روش گرفتن ترافیک از سویچ ها می باشد.
_ارسال همه ترافیک از پورت ها به پورت mirror.
_در صورتی که بسته های تکراری زیاد باشند مصرف cpu را به همراه خواهد داشت.

✅روش network tap:
_در این روش که هزینه بر می باشد، ترافیک از لینک گرفته می شود. یکی از دلایل این کار محدودیت های پهنای باند در روش mirror است.(ترافیک یک لینک، مجموع ترافیک های پورت ها می باشد که در network tap کامل گرفته می شود.)
_در این روش نیاز به یک reaggregator داریم.

برای درک بهتر تفاوت این دو روش از لینک زیر می توانید استفاده کنید.

https://support.ixiacom.com/sites/default/files/resources/whitepaper/915-3534-01-tap-vs-span-ltr.pdf

🔰As routers have capabilities in ipsec, vpn and subnet creation, switches are also very useful with vlan, port acl and port mirroring capabilities. (Manageable equipment)

 There are typically two ways to get network traffic:

✅Switch mirror port method: (span)
_The best way to get traffic is from the switches.
_Send all traffic from the ports to the mirror port.
_If there are many duplicate packets, it will consume cpu.

✅network tap method:
_In this method, which costs money, traffic is taken from the link.
One of the reasons for this is the bandwidth limitations in the mirror method. (The traffic of a link is the sum of the traffic of the ports, which is taken in the complete network tap.)
_In this method, we need a reaggregator.

You can use the link below to better understand the difference between these two methods.

https://support.ixiacom.com/sites/default/files/resources/whitepaper/915-3534-01-tap-vs-span-ltr.pdf

#SOC
#BlueTeam
#port_mirror

T.me/ICTlive

🔰فایروال ها، سیستم کنترل ترافیک مرکزی هر شبکه ای هستند.
فایروال های معمولی مورد استفاده شبکه های کوچک نظیر home:
_قابلیت block کردن ترافیک از wan به lan  و از lan به wan.
_عملکرد در لایه 3 و 4 ( IP و Tcp port)
_درکی از لایه application ندارد.

فایروال های NGFW:
_برقراری انواع دسترسی در Segment های مختلف شبکه.
_کنترل ترافیک از لایه 2 تا 7.
_شناسایی کاربر و رفتار برنامه ها.
 
نمونه ای از Firewall Segmentation Rules  در تصویر بالا ارائه شده.
 
🔰Firewalls are the central traffic control system of any network.
 
Common firewalls used by small networks such as home: 
_Ability to block traffic from wan to lan and from lan to wan. 
_Performance in layer 3 and 4 (IP and Tcp port)
_ It has no understanding of the application layer. 

NGFW firewalls: 
_The ability to establish types of access in different segments of the network. 
_Traffic control from layer 2 to 7.
_User identification and application behavior. 

An example of Firewall Segmentation Rules is presented in the image above.

#blueteam
#SOC

T.me/ICTlive

🔰در طراحی امنیت شبکه معمولا با دو نوع روند کلی مواجه می شویم:

✅حالت ایده آل: Zero-Trust Architecture
_حداقل دسترسی بین سیستم ها جهت برقراری مورد نیاز(فقط تنفس 😄 ).
_استفاده از رمزگذاری و احراز هویت در بالاترین سطح.
_ارائه فیلترینگ در هر سیستم و سرویس.
_زمان راه اندازی و هزینه بالا | امنیت بالا

✅طراحی در واقعیت:
_شبکه به صورت flat( بدون هیچ گونه فیلترینگ در لایه 3 و 4 و 7).
_بدون vlan بندی.
_رمز ادمین بین افراد دست به دست می شود.
_پیکر بندی ضعیف تجهیزات به خصوص فایروال.
_راه اندازی سریع | امنیت بسیار پایین

🔰در شرایطی که شبکه به صورت flat طراحی شده است:
_استفاده از EDR، IDPS، AV، Monitoring و Firewall توصیه اکید می شود.
_زمانی که ترافیک در کل شبکه باز و مجاز باشد، شناسایی و تشخیص دشوارتر است.

✳️به عنوان یک تحلیلگر باید کار با تجهیزات و آشنایی اولیه با سویچ، روتر، فایروال و سرویس های مانیتورینگ امنیت(IDPS، PCAP،Netflow و ... .) را فرا بگیریم.

🔰در قسمت بعد در مورد روش های گرفتن ترافیک از تجهیزات و سرویس های شبکه مطالبی ارائه خواهیم کرد.

🔰In the design of network security, we usually encounter two types of processes:

✅Ideal state: Zero-Trust Architecture
-Minimum access(least privilege) between systems to establish the required. (breathing only).
-Use encryption and authentication at the highest level.
-Providing filtering in every system and service.
- high Setup time and cost | high security

✅Design in reality:
-The network is flat (without any filtering in layer 3, 4 and 7).
-No VLAN.
-The admin password is shared between people.
-Poor equipment configuration, especially the firewall.
-Quick start | Very low security

🔰In the situation where the network is designed as flat:
-It is strongly recommended to use EDR, IDPS, AV, Monitoring and Firewall.
-It is more difficult to identify and detect when traffic is open and permissive across the entire network.

✳️As an analyst, we must learn to work with equipment and basic familiarity with switches, routers, firewalls, and security monitoring services (IDPS, PCAP, Netflow, etc.).

🔰In the next part, we will provide information about the methods of traffic capturing from network equipment and services.

#SOC
#BlueTeam
#Network_Security

T.me/ICTlive

🔰به طور کلی سه روش مرسوم برای گرفتن ترافیک از تجهیزات و سرویس ها داریم:

✅استفاده از netflow:
_لایه 3 و 4 را پشتیبانی می کند.(می توان از Jflow، Sflow و Netstream هم استفاده کرد(
✅استفاده ازService log:
_می توان از zeek bro ، suricataو Snort استفاده کرد. (برای metadata لایه 7 نیز قابل استفاده است).
✅استفاده از Pcap:
_به طور کامل ترافیک شبکه را capture می کند. اما نیاز به منابع سخت افزاری نظیر ذخیره سازی دارد.

⚠️به طور کلی سازمان ها و شرکت ها، تلفیقی از 3 روش را برای دریافت ترافیک استفاده می کنند.

🔰گرفتن ترافیک از طریق Netflow:
_گرفتن ترافیک با نصب agent روی سویچ، روتر و فایروال صورت می گیرد.
_می توان با استفاده از سرویس های Pcap ، Tsharkو مانیتورینگ به تجزیه و تحلیل پرداخت.
_گرفتن ترافیک شامل interface، آدرس IP مبدا و مقصد، port، پروتکل و حجم می باشد.

🔰In general, we have three conventional methods to get traffic from equipment and services:

✅Using netflow:
_supports layer 3 and 4. (Jflow, Sflow and Netstream can also be used).

✅Use of Service log:
_Zeek Bro, Suricata and Snort can be used. (It is also used for layer 7 metadata).

✅Using Pcap:
_completely captures network traffic. But it requires hardware resources such as storage.

⚠️In general, organizations and companies use a combination of 3 methods to receive traffic.

🔰Getting traffic through Netflow:
_Traffic capture is done by installing the agent on the switch, router, and firewall.
_Analysis can be done using Pcap, Tshark and monitoring services.
_Traffic capture includes interface, source and destination IP address, port, protocol and volume.

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰به طور صحیح netflow یک پروتکل سیسکو می باشد که در نسخه های 5 و 9 و 10 و با نام IPFIX نیز میشناسیم. اما شرکت های دیگر نیز پروتکلی شبیه به netflow دارند. مانند Jflow(محصولات جونیپر) و Netstream(محصولات HP).
✅به طور کلی هر جا در مورد netflow صحبت کردیم، منظور همان روش دریافت، تجزیه و تحلیل ترافیک تجهیزات و سرویس ها است.(فارغ از نوع برند).

✅ در نظر بگیرید که netflow لاگ نیست!. Netflow یک پروتکل است که ترافیک را با استفاده از سرویس پورت مشخص(برای مثال در سیسکو روی پورت 2055،9995،9996 ) در شبکه ارسال می کند.

✳️می توان با برخی ابزار ها مانند nfdump اقدام به ساده سازی مشاهده ترافیک و تبدیل آن به text کرد.

✳️با استفاده از ابزار هایی مانند zeek می توان ترافیک حاصله از netflow را برای ابزار های SIEM قابل فهم کرد.
در تصویر ارائه شده نمونه ای از ترافیک شبکه که با استفاده از netflow تهیه شده است را ملاحظه می کنید.

دستور وارد شده جهت نرمال سازی ترافیک:
$tshark –r [pcap file]-z conv , tcp –q -n

🔰Correctly, netflow is a Cisco protocol that we know in versions 5, 9 and 10 and also known as IPFIX. But other companies also have a protocol similar to netflow. such as Jflow (Juniper products) and Netstream (HP products).
✅But in general, wherever we talked about netflow, it means the same method of experimenting and analyzing the traffic of equipment and services (regardless of the type of brand).
✳️Consider that netflow is not logged! Netflow is a protocol that sends traffic using a specific port service (for example, in Cisco on port 2055, 9995, 9996) in the network.

✳️You can use some tools like nfdump to simplify traffic viewing and convert it to text.

✳️By using tools like zeek, the traffic resulting from netflow can be understood for SIEM tools.

In the provided image, you can see an example of network traffic prepared using netflow.

The command entered to normalize the traffic :
$tshark –r [pcap file]-z conv , tcp –q -n

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰روش PCAP and Layer 7 Metadata Collection:
✅با mirror کردن پورت سویچ و یا گرفتن از لینک می توان full packet capture انجام داد.
✅اگر ترافیک توسط SIEM خوانده و قابل فهم نبود، باید با ابزار های متناسب، تحلیل و نرمال سازی شود.
✅بدلیل حجم بالای Pcap ها، می بایست نقاط دریافت ترافیک در محل های خاص و مهم در نظر گرفته شود.
✅برای لایه 7 می توان از ابزار zeek استفاده کرد. (پروتکل های smb، http، dns، smtp و …)

🔰PCAP and Layer 7 Metadata Collection method:
✅Full packet capture can be done by mirroring the switch port or taking it from the link.
✅If the traffic cannot be read and understood by the SIEM, it should be analyzed and normalized with appropriate tools.
✅Due to the high volume of Pcaps, traffic receiving points should be considered in special and important places.
✅For layer 7, zeek tool can be used. (protocols smb, http, dns, smtp and...)

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰گرفتن ترافیک Layer 7 Metadata:

_روشی بین گرفتن کامل ترافیک(Pcap) و گرفتن ترافیک لایه 3 و 4 (netflow).

_بسیار مفید و کاربری به همراه ابزار های فراوان جهت دریافت اطلاعات ترافیک.

_نمونه ای از لاگ های دریافتی با استفاده از ابزار های دریافت اطلاعات ترافیک به روش L7 metadata که با zeek گرفته شده، در تصویر ارائه شده است.

❇️به زودی در مورد پروتکل های مهم شبکه مانند DNS و HTTP مطالبی ارائه خواهیم کرد.

🔰Capturing Layer 7 Metadata traffic:

_A method between full traffic capture (Pcap) and layer 3 and 4 traffic capture (netflow).

_Very useful and easy to use with many tools to get traffic information.

_An example of the received logs using the L7 metadata method of receiving traffic information tools taken with zeek is presented in the image.

❇️We will soon cover important network protocols such as DNS and HTTP.

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰گزارش رسیدگی به رخداد های سال 2022 توسط تیمKaspersky

#Incident_Response
#CERT

T.me/ictlive

🔰وبینار مدیریت رسیدگی به رخداد های سایبری

✅ویژه تیم های CSIRT و SOC.
✅بررسی چالش های موجود در رسیدگی به رخداد و ارائه راهکار.
✅استفاده از متدولوژی های به‌روز در رسیدگی به رخداد.

❇️جهت ثبت نام با Cyberlive2020@gmail.com در ارتباط باشید.

#ICTlive
#Incident_Response
#CSIRT

🔰مطالب مورد بررسی در وبینار مدیریت رسیدگی به رخداد های سایبری

❇️مهلت ثبت نام: تا 26 خرداد ماه

🔰معماری واحد های مستقر در مرکز عملیات امنیت

❇️در تصویر فوق، واحد های مورد نیاز مرکز عملیات امنیت ارائه شده است. (هرچند با توجه به نیاز و سیاست های هر شرکت و سازمان، این معماری می تواند دستخوش تغییر باشد).

🔗در لینک زیر، هر کدام از این قسمت ها به صورت مختصر و مفید توضیح داده شده است.

medium.com/@cyber_kid12/day-76-the-inner-workings-of-soc-architecture-7b774cfcdaee

🔰ابزارهایی همچون SIFT, REMnux, EZTools در فارنزیک و تحلیل بدافزار بسیار مفید هستند.
با مراجعه به سایت sans.org می توانید این ابزارها را به صورت رایگان دانلود کنید.

https://www.sans.org/tools/?focus-area=digital-forensics

❇️هرچند ابزارهای دیگر نیز در حوزه های مختلف Defensive & Offensive در این سایت موجود است.

#ICTlive
#Incident_Response
#Forensic

🔰انواع DNS Server

1️⃣سرور Stub Resolver : همان DNS سیستم local می باشد. می توان با دستور Ipconfig /displaydns آدرس هایی که cache شده اند را مشاهده کرد.
⭕️ در لینوکس، cache شدن dns به صورت پیشفرض فعال نیست.

2️⃣سرور Forwarding : این سرور ها آدرس ها را درون خود cache می کنند.(در صورتی که درخواستی به این سرور ارسال شود، ابتدا با cache بررسی شده و در صورتی که موجود نبود، سپس از لایه بالاتر که Cache server ها هستند پرس و جو می کند.)
سرور Forwarding مانند: روتر خانگی، DC و DNS server شرکت / سازمان.

3️⃣سرور Caching: این سرور ها درخواست های Forwarding server ها را پاسخ می دهند و در صورتی که آدرس موجود نبود، درخواست را جهت مشخص شدن وضعیت به سمت Root server ارسال می کنند.
سرور Caching مانند: ISP ها، 8.8.8.8، 1.1.1.1.

4️⃣سرور Authoritative :سرویس caching در این سرور ها وجود ندارد و نیازی به بازگشت درخواست نیست.(یعنی درخواستی اگر به این سرور ها ارسال شود، این درخواست به سرور دیگری برای پیدا شدن آدرس ارسال نمی شود. چون در root server ها تمامی آدرس ها موجود است.) مانند: ns1.google.com
#SOC
#DNS_Server
T.me/ICTlive

🔰فرآیند DNS Lookup Route

✅مراحلی که یک درخواست(بازدید یک صفحه وب) طی می کند تا آدرس IP مربوط به دامنه نظیر آن مشخص شود.

❇️در ادامه با رکورد های مختلف DNS و حملات موجود در این سرویس آشنا خواهیم شد.

#SOC
#DNS_Server
T.me/ICTlive