عرض سلام مجدد
یکبار دیگه شانسم رو برای آپدیت کردن فایروال امتحان کردم که در کمال تعجب دیدم که با بالاترین سرعت ممکن فایروال به کل آپدیت شد!!!
خب، خدا را شکر آپدیت های جدید را از طریق برنامه با سرعت مناسب دریافت کردید.
در تنظیمات فایروال میشه بگید که این گزینه هایی که نام میبرم بهتره که تیک خورده باشن یا خیر؟
اون گزینه های که ذکر کردید، بهتره همه شون تیک داشته باشند و فعال باشند. دو تای اول نظارت فایروال را روی برخی کانکشنها فعال میکنه و سه تای دیگه از سیستم در برابر برخی حملات که ذکر میکنم محافطت میکنه...
ترافیک IPv6 را نظارت و فیلتر کن
-ترافیک loopback رو نظارت و فیلتر کن
اول نظارت روی پروتکا IPv6 هست و دومی نطارت روی ترافیک loopback که فکر فکر میکنم قبلا توضیح دادم اینجا.
-ترافیک های تکه شده و پراکنده شده را مسدود کن (این گزینه یعنی چی دقیقا؟!)
ابتدا باید با Maximum Transmission Unit آشنا بشیم، در ارتباطات بین دو دستگاه در شبکه یک حداکثر واحد انتقال تعریف شده بهش میگن Maximum Transmission Unit یا MTU؛ که بسته ها-packets اگر بزرگتر از این میزان تعیین شده باشه قبل از ارسال باید شکسته بشوند به بسته های کوچکتر، یعنی broken up میشن که بهشون میگن (Fragmented IP Packets (Fragmented IP Traffic
اگر این بسته ها شکته نشوند به مقصد نمیرسند ولی با شکسته شدن به مقصد میرسند. منتها در کومودو با فعال بودن این گزینه این بسته های شکسته شده یعنی fragmented packets ها مسدود میشن. یعنی فایروال کومودو بین سیستم شما و شبکه قرار داره و فایروال این بسته های تکه شده را مسدود میکنه و اصلا اجازه نمیده که به سیستم برسند.
علتش این هست که این ترافیک شکسته شده به بسته های کوچکتر؛ تهدیداتی نظیر denial-of-service attacks را منجر میشن. مثلا در یکی از این روشهای حمله بسته های بزرگتری فرستاده میشود که شکسته میشوند ولی دوباره یکپارچه کردن این بسته ها توسط سیستم دریافت کننده مشکل هست اتفاقاتی نظیر crash یا buffer overflow رخ میده.... فعال بودن گزینه جلوی حملاتی نطیر حملات زیر را خواهد گرفت:
Unnamed Attack, Overlapping Fragment Attack, Teardrop Attack, Tiny Fragment Attack, Ping O’ Death Fragmentation Attack, UDP Fragmentation attack
-پروتکل ها رو بررسی و آنالیز کن
عمل Protocol Analysis برای تشخیص بسته های جعلی صورت می گیرد، که در حملات DOS و DDOS از این بسته های جعلی استفاده میشه.
در واقع بررسی میشه ترافیک موجود مطابق با استاندارهای تعریف شده برای هر پروتکل نظیر hyper-text transfer protocol (HTTP) , file transfer protocol (FTP) , transmission control protocol / internet protocol (TCP/IP) و غیره باشد... در غیر این صورت ترافیک و packet خارج از استاندار پروتکل مورد نطر شناسایی و در نتیجه مسدود میشه.
-فعال بودن این گزینه از ARP cache در برابر آپدیتهای خطرناک جلوگیری میکنه....
آدرس IP و آدرس MAC در آدرس روی شبکه برای برقراری ارتباط هستند و و یک دستگاه این دو آدرس را دارد. و ARP وطیفه تبدیل و آدرس آیپی به مک را دارد.... به عنوان مثال برای ارتباط با یک دستگاه روی شبکه دستگاه شما وقتی درخواست اتصال به دستگاه مورد نطر با آدرس آیپی مشخص را دارد یک ARP Request میفرسته که این آدرس آیپی مربوط به کدوم دستگاه است؟ و دستگاه مورد نظر اعلام میکند مربوط به من است و اینم آدرس مک من هست و آدرس مک را میفرسته..... مشکلاینجاست که سیستم نمیتونه تشخیص بده ARP reply جعلی است یا نه و هر پاسخی را درست درنظر میگیره..... اونوقت یک هکر با یک پیغام ARP reply جعلی میتونه از این مورد استفاده بکنه و دستگاه خودشو وارد شبکه بکنه با آپدیت ARP cache و مک آدرس خودشو با آیپی یکسان معرفی بکنه..... اونوقت ترافیک از دستگاه مهاجم هم عبور میکنه و در واقع مهاجم قابیت شنود ترافیک را پیدا میکنه.....
در واقع ARP spoofing بستر حملاتی نظیر Denial of Service و Man in the Middle و Session Hijacking و... را فراهم میکنه.
-فعال بودن حالت حفاظت بیشتر برای سیستم های 64-بیتی
در یک جمله کارکرد و حفاظت بهتره HIPS و بخش حفاطت پیشرفته روی سیستمهای 64 بیتی است..... من فعال میکنم.
گزینه ی "انتخاب پیغام های هشدار به حالت پروگو" چیه؟!!!
تعداد سوالات HIPS را بیشتر میکنه و بیشتر وارد جزییات حرکات یک فایل میشه...... من فعال فعال میکنم.
نسخه های قبلی کومودو لیست فایلهای سند باکس شده رو میشد پالایش کرد اما در نسخه جدید این امکان حذف شده؟
سلام جناب Parseh38 عزیز و ممنون بابت توجه به این مورد.
اتفاقا این موردی بود که توی نسخه بتای داخلی که داشتیم بهش اشاره کرده بودم و حتی مورد را در دیتابیس کومودو ثبت کردم و تایید هم گرفت..... ولی متاسفانه فعلا ما فاقد این ابزار هستیم. البته طبق نظر تیم کومودو در نسخه بعدی شاهد این قابلیت مفید خواهیم بود.....
جواب بصورت نقل قول
نوشته شده توسط S0R3N4
محتوای مخفی: عکس 
