🔰در طراحی امنیت شبکه معمولا با دو نوع روند کلی مواجه می شویم:

✅حالت ایده آل: Zero-Trust Architecture
_حداقل دسترسی بین سیستم ها جهت برقراری مورد نیاز(فقط تنفس 😄 ).
_استفاده از رمزگذاری و احراز هویت در بالاترین سطح.
_ارائه فیلترینگ در هر سیستم و سرویس.
_زمان راه اندازی و هزینه بالا | امنیت بالا

✅طراحی در واقعیت:
_شبکه به صورت flat( بدون هیچ گونه فیلترینگ در لایه 3 و 4 و 7).
_بدون vlan بندی.
_رمز ادمین بین افراد دست به دست می شود.
_پیکر بندی ضعیف تجهیزات به خصوص فایروال.
_راه اندازی سریع | امنیت بسیار پایین

🔰در شرایطی که شبکه به صورت flat طراحی شده است:
_استفاده از EDR، IDPS، AV، Monitoring و Firewall توصیه اکید می شود.
_زمانی که ترافیک در کل شبکه باز و مجاز باشد، شناسایی و تشخیص دشوارتر است.

✳️به عنوان یک تحلیلگر باید کار با تجهیزات و آشنایی اولیه با سویچ، روتر، فایروال و سرویس های مانیتورینگ امنیت(IDPS، PCAP،Netflow و ... .) را فرا بگیریم.

🔰در قسمت بعد در مورد روش های گرفتن ترافیک از تجهیزات و سرویس های شبکه مطالبی ارائه خواهیم کرد.

🔰In the design of network security, we usually encounter two types of processes:

✅Ideal state: Zero-Trust Architecture
-Minimum access(least privilege) between systems to establish the required. (breathing only).
-Use encryption and authentication at the highest level.
-Providing filtering in every system and service.
- high Setup time and cost | high security

✅Design in reality:
-The network is flat (without any filtering in layer 3, 4 and 7).
-No VLAN.
-The admin password is shared between people.
-Poor equipment configuration, especially the firewall.
-Quick start | Very low security

🔰In the situation where the network is designed as flat:
-It is strongly recommended to use EDR, IDPS, AV, Monitoring and Firewall.
-It is more difficult to identify and detect when traffic is open and permissive across the entire network.

✳️As an analyst, we must learn to work with equipment and basic familiarity with switches, routers, firewalls, and security monitoring services (IDPS, PCAP, Netflow, etc.).

🔰In the next part, we will provide information about the methods of traffic capturing from network equipment and services.

#SOC
#BlueTeam
#Network_Security

T.me/ICTlive

🔰به طور کلی سه روش مرسوم برای گرفتن ترافیک از تجهیزات و سرویس ها داریم:

✅استفاده از netflow:
_لایه 3 و 4 را پشتیبانی می کند.(می توان از Jflow، Sflow و Netstream هم استفاده کرد(
✅استفاده ازService log:
_می توان از zeek bro ، suricataو Snort استفاده کرد. (برای metadata لایه 7 نیز قابل استفاده است).
✅استفاده از Pcap:
_به طور کامل ترافیک شبکه را capture می کند. اما نیاز به منابع سخت افزاری نظیر ذخیره سازی دارد.

⚠️به طور کلی سازمان ها و شرکت ها، تلفیقی از 3 روش را برای دریافت ترافیک استفاده می کنند.

🔰گرفتن ترافیک از طریق Netflow:
_گرفتن ترافیک با نصب agent روی سویچ، روتر و فایروال صورت می گیرد.
_می توان با استفاده از سرویس های Pcap ، Tsharkو مانیتورینگ به تجزیه و تحلیل پرداخت.
_گرفتن ترافیک شامل interface، آدرس IP مبدا و مقصد، port، پروتکل و حجم می باشد.

🔰In general, we have three conventional methods to get traffic from equipment and services:

✅Using netflow:
_supports layer 3 and 4. (Jflow, Sflow and Netstream can also be used).

✅Use of Service log:
_Zeek Bro, Suricata and Snort can be used. (It is also used for layer 7 metadata).

✅Using Pcap:
_completely captures network traffic. But it requires hardware resources such as storage.

⚠️In general, organizations and companies use a combination of 3 methods to receive traffic.

🔰Getting traffic through Netflow:
_Traffic capture is done by installing the agent on the switch, router, and firewall.
_Analysis can be done using Pcap, Tshark and monitoring services.
_Traffic capture includes interface, source and destination IP address, port, protocol and volume.

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰به طور صحیح netflow یک پروتکل سیسکو می باشد که در نسخه های 5 و 9 و 10 و با نام IPFIX نیز میشناسیم. اما شرکت های دیگر نیز پروتکلی شبیه به netflow دارند. مانند Jflow(محصولات جونیپر) و Netstream(محصولات HP).
✅به طور کلی هر جا در مورد netflow صحبت کردیم، منظور همان روش دریافت، تجزیه و تحلیل ترافیک تجهیزات و سرویس ها است.(فارغ از نوع برند).

✅ در نظر بگیرید که netflow لاگ نیست!. Netflow یک پروتکل است که ترافیک را با استفاده از سرویس پورت مشخص(برای مثال در سیسکو روی پورت 2055،9995،9996 ) در شبکه ارسال می کند.

✳️می توان با برخی ابزار ها مانند nfdump اقدام به ساده سازی مشاهده ترافیک و تبدیل آن به text کرد.

✳️با استفاده از ابزار هایی مانند zeek می توان ترافیک حاصله از netflow را برای ابزار های SIEM قابل فهم کرد.
در تصویر ارائه شده نمونه ای از ترافیک شبکه که با استفاده از netflow تهیه شده است را ملاحظه می کنید.

دستور وارد شده جهت نرمال سازی ترافیک:
$tshark –r [pcap file]-z conv , tcp –q -n

🔰Correctly, netflow is a Cisco protocol that we know in versions 5, 9 and 10 and also known as IPFIX. But other companies also have a protocol similar to netflow. such as Jflow (Juniper products) and Netstream (HP products).
✅But in general, wherever we talked about netflow, it means the same method of experimenting and analyzing the traffic of equipment and services (regardless of the type of brand).
✳️Consider that netflow is not logged! Netflow is a protocol that sends traffic using a specific port service (for example, in Cisco on port 2055, 9995, 9996) in the network.

✳️You can use some tools like nfdump to simplify traffic viewing and convert it to text.

✳️By using tools like zeek, the traffic resulting from netflow can be understood for SIEM tools.

In the provided image, you can see an example of network traffic prepared using netflow.

The command entered to normalize the traffic :
$tshark –r [pcap file]-z conv , tcp –q -n

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰روش PCAP and Layer 7 Metadata Collection:
✅با mirror کردن پورت سویچ و یا گرفتن از لینک می توان full packet capture انجام داد.
✅اگر ترافیک توسط SIEM خوانده و قابل فهم نبود، باید با ابزار های متناسب، تحلیل و نرمال سازی شود.
✅بدلیل حجم بالای Pcap ها، می بایست نقاط دریافت ترافیک در محل های خاص و مهم در نظر گرفته شود.
✅برای لایه 7 می توان از ابزار zeek استفاده کرد. (پروتکل های smb، http، dns، smtp و …)

🔰PCAP and Layer 7 Metadata Collection method:
✅Full packet capture can be done by mirroring the switch port or taking it from the link.
✅If the traffic cannot be read and understood by the SIEM, it should be analyzed and normalized with appropriate tools.
✅Due to the high volume of Pcaps, traffic receiving points should be considered in special and important places.
✅For layer 7, zeek tool can be used. (protocols smb, http, dns, smtp and...)

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰گرفتن ترافیک Layer 7 Metadata:

_روشی بین گرفتن کامل ترافیک(Pcap) و گرفتن ترافیک لایه 3 و 4 (netflow).

_بسیار مفید و کاربری به همراه ابزار های فراوان جهت دریافت اطلاعات ترافیک.

_نمونه ای از لاگ های دریافتی با استفاده از ابزار های دریافت اطلاعات ترافیک به روش L7 metadata که با zeek گرفته شده، در تصویر ارائه شده است.

❇️به زودی در مورد پروتکل های مهم شبکه مانند DNS و HTTP مطالبی ارائه خواهیم کرد.

🔰Capturing Layer 7 Metadata traffic:

_A method between full traffic capture (Pcap) and layer 3 and 4 traffic capture (netflow).

_Very useful and easy to use with many tools to get traffic information.

_An example of the received logs using the L7 metadata method of receiving traffic information tools taken with zeek is presented in the image.

❇️We will soon cover important network protocols such as DNS and HTTP.

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰گزارش رسیدگی به رخداد های سال 2022 توسط تیمKaspersky

#Incident_Response
#CERT

T.me/ictlive

🔰وبینار مدیریت رسیدگی به رخداد های سایبری

✅ویژه تیم های CSIRT و SOC.
✅بررسی چالش های موجود در رسیدگی به رخداد و ارائه راهکار.
✅استفاده از متدولوژی های به‌روز در رسیدگی به رخداد.

❇️جهت ثبت نام با Cyberlive2020@gmail.com در ارتباط باشید.

#ICTlive
#Incident_Response
#CSIRT

🔰مطالب مورد بررسی در وبینار مدیریت رسیدگی به رخداد های سایبری

❇️مهلت ثبت نام: تا 26 خرداد ماه

🔰معماری واحد های مستقر در مرکز عملیات امنیت

❇️در تصویر فوق، واحد های مورد نیاز مرکز عملیات امنیت ارائه شده است. (هرچند با توجه به نیاز و سیاست های هر شرکت و سازمان، این معماری می تواند دستخوش تغییر باشد).

🔗در لینک زیر، هر کدام از این قسمت ها به صورت مختصر و مفید توضیح داده شده است.

medium.com/@cyber_kid12/day-76-the-inner-workings-of-soc-architecture-7b774cfcdaee

🔰ابزارهایی همچون SIFT, REMnux, EZTools در فارنزیک و تحلیل بدافزار بسیار مفید هستند.
با مراجعه به سایت sans.org می توانید این ابزارها را به صورت رایگان دانلود کنید.

https://www.sans.org/tools/?focus-area=digital-forensics

❇️هرچند ابزارهای دیگر نیز در حوزه های مختلف Defensive & Offensive در این سایت موجود است.

#ICTlive
#Incident_Response
#Forensic

🔰انواع DNS Server

1️⃣سرور Stub Resolver : همان DNS سیستم local می باشد. می توان با دستور Ipconfig /displaydns آدرس هایی که cache شده اند را مشاهده کرد.
⭕️ در لینوکس، cache شدن dns به صورت پیشفرض فعال نیست.

2️⃣سرور Forwarding : این سرور ها آدرس ها را درون خود cache می کنند.(در صورتی که درخواستی به این سرور ارسال شود، ابتدا با cache بررسی شده و در صورتی که موجود نبود، سپس از لایه بالاتر که Cache server ها هستند پرس و جو می کند.)
سرور Forwarding مانند: روتر خانگی، DC و DNS server شرکت / سازمان.

3️⃣سرور Caching: این سرور ها درخواست های Forwarding server ها را پاسخ می دهند و در صورتی که آدرس موجود نبود، درخواست را جهت مشخص شدن وضعیت به سمت Root server ارسال می کنند.
سرور Caching مانند: ISP ها، 8.8.8.8، 1.1.1.1.

4️⃣سرور Authoritative :سرویس caching در این سرور ها وجود ندارد و نیازی به بازگشت درخواست نیست.(یعنی درخواستی اگر به این سرور ها ارسال شود، این درخواست به سرور دیگری برای پیدا شدن آدرس ارسال نمی شود. چون در root server ها تمامی آدرس ها موجود است.) مانند: ns1.google.com
#SOC
#DNS_Server
T.me/ICTlive

🔰فرآیند DNS Lookup Route

✅مراحلی که یک درخواست(بازدید یک صفحه وب) طی می کند تا آدرس IP مربوط به دامنه نظیر آن مشخص شود.

❇️در ادامه با رکورد های مختلف DNS و حملات موجود در این سرویس آشنا خواهیم شد.

#SOC
#DNS_Server
T.me/ICTlive

🔰رکورد های DNS:

🔸رکورد A: آدرس Ip داده شده به یک دامنه با این رکورد مشخص می شود.
🔸رکورد NS: این رکورد به سروری اشاره می کند که رکورد های DNS در آن ذخیره شده اند. به عبارتی هر دامنه دارای ns می باشد که در آن اطلاعات مربوط به دامنه جهت مشخص شدن آدرس IP سرور وجود دارد.
🔸رکورد MX: این رکورد مشخص می کند که چطور پیام های ایمیل با توجه به پروتکل smtp به mail server هدایت شوند. این رکورد همیشه به یک دامنه(همان دامنه ایمیل) اشاره دارد.
🔸رکورد PTR: با استقاده از این رکورد دامنه های مربوط به آدرس IP مشخص می شود.(معکوس رکورد A). در این رکورد یک عملیات Reverse Lookup صورت می گیرد.
🔸رکورد TXT: در این رکود اطلاعاتی مربوط به ادمین و توضیحاتی که در برخی مواقع برای امن سازی سرویس DNS صورت می گیرد، قرار دارد.(در ادامه در مورد SPF و DKIM صحبت خواهیم کرد).
🔸رکورد Cname: انتقال یک دامنه و یا زیردامنه به یک دامنه دیگر توسط این رکورد صورت می گیرد.
🔺برای مثال وقتی یک DNS سرور به دامنه a.b.com برخورد می کند، برای پیدا کردن آدرس ip، یک جست و جوی دیگر برای b.com ایجاد می کند(و نه برای کل زیردامنه) که در نتیجه آدرس IP مربوط به b.com توسط رکورد A مشخص می شود. در این حالت می گوییم b.com همان cnameای برای a.b.com است.

#DNS_Server
T.me/ICTlive

🔰رکورد A:
موارد مهمی که در این رکورد وجود دارد:

✅ضبط درخواست ها و پاسخ های DNS بسیار مهم است. برای مثال یک وب سایت فعالیت مشکوکی داشته(وجود بدافزار) و شما بدنبال آدرس IP آن برای اقدامات بعدی هستید ولی با بررسی که انجام می دهید، آدرس تغییر کرده و دامنه آلوده با آدرس ip دیگری مشاهده می شود. در صورتی که درخواست ها ضبط شوند(لاگ گیری در سرویس dns) بررسی موارد مشکوک میسر است.
🔹برخی مواقع با ارسال یک درخواست lookup، چندین آدرس ip در پاسخ دریافت می شود.(Load Balancing, CDN ,Geographic Distribution و ... .)
🔹برخی مواقع با ارسال چند درخواست مختلف(دامنه های متفاوت)، یک آدرس IP دریافت می شود.(هاست های اشتراکی، زیردامنه ها و ... .)
🔹اگر در پاسخ رکورد A، با Nxdomainمواجه شدید، یعنی رکوردی برای دامنه درخواست شده وجود ندارد.

✅یکی از وب سایت های خوب در زمینه مشاهده رکورد های DNS، وب سایت Robtex.com می باشد.
#DNS_Server
T.me/ICTlive