מתעניינים בקורס גאמא סייבר?
צרו איתנו קשר
Whatsapp Facebook

DoS, FireWall, IDS, Aircrack, ng

המדריך שלפניכם מציג מבט ממוקד על האיומים וההגנות המרכזיים בעולם הסייבר הארגוני.
תגלו כיצד מתקפות DoS ו-DDoS מנצלות חולשות זמינות כדי להשבית שירותים, ואילו טכניקות Rate Limiting מסייעות לצמצם את הסיכון.
נסקור סוגי Firewall חיוניים – החל ב-Packet Filtering בסיסי ועד Stateful Inspection ו-Application Firewall מתקדם – ונראה כיצד הגדרות Timeout משפיעות על ביצועים וביטחון.
בנוסף נכיר מערכות IDS ו-IPS למניעת חדירות בזמן אמת, ונלמד לאבחן חריגות באמצעות אנליטיקה חכמה.
לבסוף נתעמק בכלי Aircrack-ng לבדיקת רשתות אלחוט, נדגים מדוע WPA2-Enterprise חזק יותר מרשתות PSK, ונבין כיצד שילוב Reverse Proxy ותצורת DMZ מוסיפים חוסן נוסף לארכיטקטורת השרתים.

DoS, FireWall, IDS, Aircrack, ng - מבחנים רמה קלה
DoS, FireWall, IDS, Aircrack, ng - מבחנים רמה בינונית

מבוא

בעולם אבטחת המידע יש חשיבות עצומה להגנה מפני מתקפות הפוגעות בזמינות השירות, בשלמות המידע ובסודיותו.
אחת המתקפות הנפוצות היא מתקפת ‪DoS‬ (Denial of Service), שבה התוקף מנסה למנוע ממשתמשים לגיטימיים גישה לשירות או לשרת מסוים.
בד בבד, ישנן שיטות נוספות כמו ‪DDoS‬ שבהן נעשה שימוש במספר גדול של מכונות תקיפה במקביל.
הכנה למיונים גאמא סייבר יכולה לסייע למי שמעוניין להיכנס לעולם האבטחה ולהבין לעומק מתקפות מסוג זה.

יחידה 8200 ידועה כמקום שבו מתמקצעים בהגנה ובהתקפה בסייבר ברמה גבוהה.
בעזרת ידע טכני וכלים מתאימים, ניתן לבנות מערך הגנה יעיל המשלב ‪Firewall‬, מערכות ‪IDS‬ ו-‪IPS‬, הגדרות נכונות של ‪Timeout‬, והטמעה נכונה של כלי אלחוט דוגמת ‪Aircrack-ng‬.

הבנת מתקפות ‪DoS‬ ו-‪DDoS‬

מתקפת ‪DoS‬ מכוונת להפיל או לעכב שרת באמצעות הצפה של בקשות.
לדוגמה, מתקפת ‪SYN‬ Flood עושה שימוש בחלק ממהלך יצירת החיבור בפרוטוקול ‪TCP‬, כך שהתוקף שולח בקשות ‪SYN‬ רבות מבלי להשלים את תהליך ה-‪Handshake‬.
זה מוביל לצריכת משאבים גבוהים בשרת, הממתין להשלמת החיבור.
מתקפת ‪DDoS‬ דומה במהותה, אך מבוצעת ממספר גדול של מקורות שונים, מה שמקשה על חסימה יעילה ומגביר את עוצמת ההצפה.
שימוש בטכניקות כמו Rate Limiting עוזר להקטין את עוצמת ההתקפה על ידי הגבלת קצב הבקשות לפרק זמן נתון.

חומות אש ‪Firewall‬ וההגנה על הרשת

‪Firewall‬ הוא כלי חשוב למניעת גישה לא מורשית ולסינון תעבורה מזיקה.
‪Packet‬ ‪Filtering‬ הוא סוג בסיסי של ‪Firewall‬ שבוחן כתובת מקור, כתובת יעד ופורטים לפני שהוא מחליט אם להעביר את התעבורה.
‪Stateful‬ ‪Inspection‬ ‪Firewall‬ מתקדם יותר, מפני שהוא שומר בזיכרון את מצב החיבור ועוקב אחר רצף התעבורה.
יש גם ‪Application‬ ‪Firewall‬, הפועל בשכבת האפליקציה (שכבה 7 במודל ‪OSI‬), ובודק את תוכן התעבורה עצמה, כמו ‪HTTP‬ או פרוטוקולים אחרים, כדי לאתר דפוסי התקפה מתוחכמים יותר.

אזור ‪DMZ‬ (Demilitarized Zone) מייצג רשת חיצונית למחצה שבה נהוג למקם שרתים שצריכים להיות נגישים מהאינטרנט, כמו שרתי ווב או ‪FTP‬.
כך, גם אם שרת ב-‪DMZ‬ נפרץ, הפולש לא מקבל גישה ישירה לרשת הפנימית.
בנוסף, הגדרת ‪Timeout‬ נכונה חשובה מאוד ב-‪Firewall‬.
‪Timeout‬ קצר מדי עלול לנתק חיבורים לגיטימיים, בעוד ‪Timeout‬ ארוך מדי תופס משאבים יקרים על סשנים שאולי כבר אינם פעילים.

שימוש ב-‪Reverse Proxy‬ יכול גם הוא לשפר את ההגנה על שרתי ווב.
‪Reverse Proxy‬ מסתיר את השרתים הפנימיים, בודק לעומק את הבקשות המגיעות מהאינטרנט, ומאפשר חלוקה חכמה של עומסים בין מספר שרתים.
בכך הוא מוסיף שכבת אבטחה ומקטין את הסיכון שיגיעו בקשות זדוניות ישירות אל שרתי האפליקציה.

מערכות ‪IDS‬ ו-‪IPS‬

‪IDS‬ (‪Intrusion Detection System‬) מזהה פעילות חשודה או התקפית ברשת ומתריעה למנהלי האבטחה.
לעומת זאת, ‪IPS‬ (‪Intrusion Prevention System‬) לא רק מזהה אלא גם מסוגל לעצור ולחסום בזמן אמת את התעבורה החשודה.
מערכות אלה יכולות לפעול בשתי שיטות עיקריות: ‪Signature-based‬ או ‪Anomaly-based‬.

בשיטת ‪Signature-based‬, המערכת בודקת אם המנה תואמת לחתימה ידועה של תקיפה מסוימת.
שיטה זו יעילה לזיהוי מתקפות מוכרות, אך עשויה לייצר ‪False Positives‬ כאשר דפוס לגיטימי דומה לחתימה קיימת.
דרך להפחית זאת היא על ידי עדכון החתימות באופן שוטף, הגדרת חריגות (Exceptions) והתאמה לסביבת הרשת.

בשיטת ‪Anomaly-based‬, המערכת לומדת את ה"נורמה" ברשת ובודקת חריגות על בסיס מודל סטטיסטי.
בתחילת השימוש עלולים להיווצר ‪False Positives‬ רבים, כי המערכת עדיין לומדת את התנהגות הרשת.
ניהול המודל והעדכונים שלו מורכבים יותר, אך הוא מסוגל לזהות מתקפות חדשות שטרם קיימת להן חתימה.

במקרה של מתקפת ‪DoS‬ או ‪DDoS‬, מערכת ‪IPS‬ יכולה להפעיל סינון אוטומטי של כתובות או להגביל את קצב המנות (‪Rate Limiting‬).
כך נמנע עומס גדול שמגיע ממקור בודד או מקבוצת מקורות.

מתקפות מתוחכמות וטכניקות עקיפה

‪Slowloris‬ היא מתקפה שבה התוקף שולח בקשות ‪HTTP‬ חלקיות בצורה איטית, מה שגורם לשרת להחזיק חיבורים פתוחים ולחכות להמשך הבקשה.
כך נוצרת הצפה "שקטה", הקשה לגילוי על ידי ‪Firewalls‬ מסורתיים, מכיוון שהקצב נראה לכאורה תקין.

‪Tor‬ מקשה על זיהוי המקור של מתקפות, כי התעבורה מוצפנת ומועברת דרך מספר צמתים אנונימיים.
כך קשה לאתר את כתובת ה-‪IP‬ האמיתית של התוקף ולנתח את התעבורה ברמת הארגון.
כלי הגנה צריכים להביא זאת בחשבון ולחפש מאפייני התנהגות חריגים, במקום להתבסס רק על כתובות או על מקור ישיר.

כלי ‪Aircrack-ng‬ ואבטחת רשתות אלחוט

‪Aircrack-ng‬ הוא סט כלים פופולרי לבדיקת אבטחה ברשתות אלחוטיות.
הוא כולל את ‪airodump-ng‬ המסוגל לסרוק תדרים, לזהות רשתות ‪Ad-Hoc‬ (רשתות עמית לעמית ללא נקודת גישה מרכזית) וללכוד מידע ראשוני לניתוח.
ברשתות ‪Ad-Hoc‬, לעיתים יש הגדרות לא מאובטחות או הצפנה חלשה, ועל כן חשוב לבדוק פגיעויות ייחודיות למודל אלחוטי זה.

בהקשר של פרוטוקולי הצפנה, ‪WPA2-Enterprise‬ מאתגר יותר לפריצה בהשוואה ל-‪WPA2-Personal‬ משום שהוא משתמש במערכת אימות מבוססת ‪RADIUS‬ ו-‪EAP‬.
במקום סיסמה משותפת אחת (‪PSK‬), לכל משתמש יש פרטי התחברות ייחודיים.
אם אין שגיאת הגדרה או נקודת חולשה בהגדרות, כלי כמו ‪Aircrack-ng‬ יתקשה מאוד לחדור למערכת כזאת.

סיכום

אבטחה מפני מתקפות ‪DoS‬ ו-‪DDoS‬ מחייבת הבנה של טכניקות הצפה, ניהול משאבים, ופריסה נכונה של ‪Firewall‬, ‪IDS‬ ו-‪IPS‬.
חשיבות מיוחדת ניתנת להגדרת ‪Timeout‬ תקין, שימוש ב-‪Reverse Proxy‬ בעת הצורך, הקמת ‪DMZ‬ לשרתים חיצוניים, ושמירה על קצבי תעבורה מאוזנים.
במישור האלחוטי, כלים כמו ‪Aircrack-ng‬ והצפנה חזקה יכולים למנוע חדירות, אך הגדרה נכונה של ‪WPA2-Enterprise‬ מספקת שכבת הגנה נוספת.
מערכות ‪IDS‬/‪IPS‬ מהוות חוליה חיונית בניטור ואיתור התנהגות חשודה, תוך אפשרות לחסימה מידית.
בסופו של דבר, אבטחה היא תהליך מתמשך שדורש עדכונים שוטפים, תחזוקה, ושילוב מאוזן בין טכנולוגיה, נהלים ארגוניים והכשרת כוח אדם.

תודה! בזכותכם נוכל להשתפר