IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

فایروال

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

Babuk، تهدید باج افزاری جدید و در حال رشد

 

گروه باج افزاری Babuk که در آغاز سال 2021 کشف شده است، چندین بخش از جمله مراقبت های بهداشت و درمان، تولید و تدارکات را هدف قرار داده است. این شرکت اخیراً بسیار فعال بوده و از قربانیان خود هزاران دلار باج مطالبه کرده است.

takian.ir babuk ransomware locker

 

چرا بابوک یک تهدید رو به رشد است؟

مجرمان پشت پرده این باج افزار، تکنیک اخاذی مضاعف را اجرا می کنند، که در آن اپراتورها پس از سرقت اطلاعات، فایل ها را قفل می کنند. مطالبات پرداختی برای باج این باند بدافزاری از 60،000 تا 85،000 دلار متغیر است.

به گزارش سای‌ور، تنها در طی یک ماه، این باند به چندین سازمان از جمله هیوستون راکتز، فروشگاه تلفن همراه اسپانیا، اداره پلیس متروپولیتن و تلتون بیوتک حمله کرده است.

در این ماه، سازمان های ورزشی، ارتباطی و دولتی دیگر را نیز هدف قرار داده است. پیش از این، اهداف شناخته شده شامل نهادهای تولیدی نیز میبودند.

این باند اخیراً ویژگی های جدیدی را به مرحله اجرا درآورده است تا اطمینان حاصل کند دستگاه های قربانی می توانند قبل از استقرار باج افزار رمزگذاری شوند. علاوه بر این، این گروه وب سایتی را برای درز اطلاعات و فشار به قربانیان برای پرداخت باج و مطالبات مالی از آنها ایجاد کرده است.

 

انتقال دهندگان آلودگی

گروه Babuk از چندین وکتور برای گسترش و انتقال آلودگی استفاده می کند؛ از جمله آنها میتوان به فیشینگ ایمیل اشاره کرد که در آن، گروه ایمیل اولیه ای را که به یک بدافزار متفاوت مانند Trickbot یا Emotet لینک شده است، ارسال می کند و به شکل یک لودر عمل می کند.

باند باج افزار بابوک به سوءاستفاده از آسیب پذیری های افشا شده که پچ نشده و بروزرسانی نشده اند، شناخته میشود. این باج افزار بخصوص برای بهره برداری از نرم افزارهای دسترسی از راه دور، سخت افزارهای شبکه، سرورهای وب و فایروال ها نیز شناخته شده است.

این گروه با استفاده از حساب های معتبر در معرض خطر، در شبکه هدف قربانی رسوخ میکند. این کار معمولاً از طریق دسترسی RDP با محافظت ضعیف و با گواهینامه های معتبری که از طریق فروشندگان اطلاعات بدست می آورد، انجام می شود.

باز بودن درب پشتی بر روی مودم های زایکسل

به گزارش هک رید؛ شرکت امنیت سایبری نیو اسکای (NewSky)، طی گزارشی از وجود بات نت جدید در حوزه اینترنت اشیا خبر داد. این بات نت که نام آن «DoubleDoor» است، فایروال های را نشانه گرفته و از طریق درب پشتی موجود به این فایروال نفوذ می کند.Takian.ir DoubleDoor

این بات نت از طریق دور زدن ویژگی های امنیتی و تأیید های معمول به سیستم قربانی نفوذ می کند.

در این نوع از حمله با توجه به دور زدن تأیید هویت های معمول می توان کنترل کامل تجهیزات هوشمند را در اختیار گرفت.

آسیب پذیری موجود در فایروال های یاد شده با کد آسیب پذیری CVE-2015-7755 شناسایی می شود. همچنین آسیب پذیری دیگری همانند مورد یاد شده در مودم های «Zyxel» شناسایی شده که از طریق درب پشتی موجود در این مودم به سیستم ها نفوذ می کنند و آسیب پذیری مودم های زایکسل با کد CVE-2016-10401 شناسایی می شوند. از طریق این آسیب پذیری از راه دور هم می توان به سیستم نفوذ کرد، گفتنی است از طریق هر نام کاربری با استقاده از گذرواژه « <<< %s(un=’%s’) = %u» می توان به مودم های زاکسل نفوذ کرد.

از طرفی فایروال ها را می توان از طریق نام کاربری «netscreen» و گذر واژه «zyad5001» مورد حمله قرار داد.

در نهایت از طریق آسیب پذیری درب پشتی فایر وال و آسیب پذیری موجود در مودم های زایکسل میتوان حتی از راه دور به سیستم های کامپیوتری نفوذ کرد.

تاثیر نقص پچ نشده کنترل ماشین مجازی بر موتور محاسباتی گوگل

takian.ir unpatched virtual machine takeover bug affects google compute engine

یک آسیب پذیری امنیتی پچ نشده که بر پلتفرم  Compute Engine گوگل تأثیر می گذارد، می تواند توسط مهاجمان مورد سواستفاده قرار گرفته و ماشین های مجازی را از طریق شبکه در اختیار و کنترل بگیرد.

ایمره راد، پژوهشگر امنیتی در تحلیلی که روز جمعه منتشر شد، گفت: "این کار با جعل هویت سرور متادیتا از طریق ماشین مجازی که هدف قرار گرفته است، انجام می شود. با برقراری این بهره برداری، مهاجم می تواند از طریق SSH (کلید عمومی احراز هویت) به خود اجازه دسترسی دهد تا بتواند به عنوان کاربر اصلی و روت وارد سیستم شود".

پلتفرم Google Compute Engine (GCE) یک مولفه infrastructure-as-a-service (IaaS) در پلتفرم Google Cloud  است که کاربران را قادر می سازد ماشین های مجازی (VM) را در صورت تقاضا، ایجاد و راه اندازی کنند. GCE روشی را برای ذخیره و بازیابی متادیتا در قالب سرور متادیتا ارائه می دهد که یک نقطه مرکزی برای تنظیم متادیتا را به شکل جفت key-value ارائه می دهد که سپس در زمان اجرا در اختیار ماشین های مجازی قرار می گیرد.

به گزارش هکرنیوز و به گفته این محقق، این مسئله نتیجه ضعف اعداد شبه تصادفی است که توسط کاربر ISC DHCP استفاده می شود، و در نتیجه سناریویی ایجاد می شود که در آن مهاجم چندین پکت DHCP را با استفاده از مجموعه ای از شناساگرهای تبادلات از پیش محاسبه شده (با نام مستعار XID) را میسازد و کاربر قربانی DHCP تحت هجمه قرار میدهد که در نهایت منتج به جعل هویت سرور متادیتا می شود.

پروتکل پیکربندی فعال میزبان (DHCP) یک پروتکل مدیریت شبکه است که برای خودکار سازی فرآیند پیکربندی دستگاه ها در IP های شبکه استفاده می شود. یک سرور DHCP به صورت پویا یک آدرس IP و سایر پارامترهای پیکربندی شبکه را به هر یک دستگاه سرویس گیرنده در شبکه اختصاص می دهد تا بتوانند با شبکه های دیگر ارتباط برقرار کند.

takian.ir unpatched virtual machine takeover bug affects google compute engine 1

راد در این مقاله فنی توضیح داد: "اگر XID صحیح باشد، دستگاه قربانی پیکربندی شبکه را اعمال می کند. این یک فضایرقابتی ایجاد میکند، اما از آنجا که هجمه و حمله سریع و بصورت همه جانبه است، سرور متادیتا هیچ شانسی برای پیروزی ندارد. در این مرحله مهاجم در موقعیت پیکربندی مجدد استک شبکه قربانی میباشد".

با توجه به اینکه می توان از سرور متادیتا برای توزیع و مدیریت کلیدهای SSH استفاده کرد، کاربر (اکنون اتصال TCP را به سرور ناپایدار برقرار کرده است) می تواند کلید عمومی SSH مهاجم را بازیابی کرده و پس از آن توسط مهاجم می تواند جهت دسترسی shell از راه دور را به عنوان کاربر اصلی و روت مورد استفاده قرار گیرد.

در یک سناریوی بالقوه در دنیای واقعی، زنجیره حمله ای که در بالا ذکر شد، می تواند توسط مهاجم جهت دسترسی کامل به ماشین مجازی هدف، هنگام راه اندازی مجدد یا از طریق اینترنت و در مواردی که فایروال پلتفرم ابری خاموش است، مورد سواستفاده واقع شود.

گوگل در مورد این مسئله در تاریخ 27 سپتامبر سال 2020 مطلع شد، که از آن زمان گزارش را تأیید کرده است و اصطلاحا آن را "کشف خوب" توصیف کرده است؛ اما هنوز هیچ پچی منتشر نکرده و یا جدول زمانی برای اصلاح این نقص ارائه نکرده است.

راد خاطرنشان کرد: "تا زمان برطرف شدن مشکل و حصول اطمینان از اینکه ارتباط DHCP از سرور متادیتا (169.254.169.254) حاصل می شود، از DHCP استفاده نکنید و هیچگونه فایروال با سطح دسترسی هاست را اعمال ننمایید. UDP/68 بین VM ها مسدود کنید تا فقط سرور متادیتا بتواند DHCP را انجام دهد".

این مورد بسیار متفاوت از اولین باری است که راد در Google Cloud Platform، مواردی را شناسایی کرد.

در سپتامبر سال 2020، گوگل یک آسیب پذیری محلی برای افزایش اختیارات را در ابزار پیکربندی سیستم عامل اصلاح کرد که می توانست توسط مهاجمی که دارای اجازه اجرای کد در GCE ماشین های مجازی تحت تاثیر است، برای انجام عملیات غیرمجاز مورد سواستفاده قرار بگیرد.

در اوایل ماه ژانویه سال جاری میلادی، راد همچنین دریافت که دستیابی به امکان اجرای کد دلخواه در یک ماشین مجازی با در دست گرفتن shell در سرویس پایگاه داده Cloud SQL امکان پذیر است. گوگل نهایتا در 16 ماه فوریه سال 2021 به این ورود کرده و آنرا رفع کرد.

جدیدترین سوءاستفاده هکرها از امکانات ویندوز جهت دور زدن فایروال

 

مهاجمان با بهره‌وری از یک تکنیک جدید، روشهایی را برای استفاده از Microsoft Background Intelligent Transfer Service (BITS) به منظور جایگذاری پنهانی داده های مخرب بر روی دستگاه های دارای سیستم عامل ویندوز را کشف کرده اند.

به گزارش سایت هکرنیوز، در سال ۲۰۲۰، بیمارستانها، سازمان های بازنشستگی و مراکز درمانی زیادی، متحمل آسیب و ضررهای بسیار شدیدی بابت یک کمپین فیشینگ همیشه متغیر که از روش Backdoor شخصی سازی شده مانند KEGTAP استفاده میکرده است، قرار گرفته اند، که در نهایت زمینه حملات باج افزار RYUK را فراهم میکرده است.

اما تحقیقات جدید شاخه امنیت سایبری شرکت FireEye اکنون مکانیسم پایداری ناشناخته ای را شناسایی کرده است که نشان می دهد مهاجمان از BITS برای راه اندازی Backdoor استفاده کرده اند.

فناوری BITS در ویندوز XP معرفی شد، که یکی از سرویس های مایکروسافت ویندوز است که از پهنای باند خالی شبکه برای تسهیل در انتقال ناهمگام فایل ها بین دستگاه ها استفاده می کند. این امر با ایجاد یک عملگر (فضایی که شامل فایل های بارگیری یا بارگذاری است) حاصل می شود.

فناوری BITS معمولاً برای ارائه به روزرسانی های سیستم عامل به کاربران و همچنین توسط اسکنر آنتی ویروس Windows Defender برای دریافت به روزرسانی های شناسایی علائم بدافزار استفاده می شود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامه های دیگری مانند موزیلا فایرفاکس نیز استفاده می شود تا امکان دریافت اطلاعات در پس زمینه حتی در صورت بسته بودن مرورگر نیز فراهم گردد.

takian.ir using microsoft bits for phishing hacks

محققان FireEye گفتند: "وقتی برنامه های مخرب عملگر BITS را ایجاد می کنند، فایل ها در چارچوب روند خدمات سرویس کاربر میزبان، روند دریافت یا بارگذاری را انجام می دهند". آنها افزودند: "این امکان می تواند برای جلوگیری از فایروال هایی که ممکن است فرایندهای مخرب یا ناشناخته را مسدود کنند کاربردی باشد و همچنین کمک می کند که مشخص شود کدام برنامه درخواست انتقال اطلاعات را داده است".

بخصوص حوادث مخاطره آمیز قبل که شامل آلوده سازی از طریق Ryuk برای استفاده از سرویس BITS برای ایجاد یک عملگر جدید تحت عنوان "به روزرسانی سیستم" که برای راه اندازی یک فایل اجرایی با نام "mail.exe" برنامه ریزی و پیکربندی شده است، پس از تلاش برای بارگیری URL نامعتبر، باعث ایجاد Backdoor برای KEGTAP شده است.

محققان اظهار داشتند: "عملگر مخرب BITS جهت تلاش برای انتقال HTTP یک فایل موجود از localhost تنظیم شده است. و از آنجا که این فایل هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا می کند، که در این مورد، این دستور به معنی اجرای KEGTAP می باشد".

سازوکار جدید یادآور این نکته است که چگونه استفاده از یک ابزار مفید مانند BITS به نفع مهاجمان میتواند خطرساز باشد. همچنین برای کمک به پاسخگویی سریعتر به این دست حوادث و تحقیقات تیم امنیتی، محققان یک ابزار پایتون به نام BitsParser را در دسترس عموم قرار داده اند، که هدف آن تجزیه فایل های پایگاه داده BITS و استخراج عملگر و اطلاعات فایل ها جهت تجزیه و تحلیل بیشتر است.

راهکارهای امنیتی بیشتر، به معنی امنیت بیشتر نیست!

 

تحقیقات جدید نشان میدهد که در طی سال گذشته اجرا و اعمال چندین راهکار حفاظت و امنیت سایبری به طور همزمان مانع از دست دادن داده ها و اطلاعات، بخصوص در بسیاری از سازمان های بزرگ نشده است.

این یافته بخشی از دومین نظرسنجی سالانه هفته محافظت سایبری است که توسط شرکت فناوری جهانی آکرونیس انجام شده است. محققان از 4،400 کاربر فناوری و امنیت اطلاعات و متخصص در 22 کشور در شش قاره جهان در مورد راهکارهای امنیت سایبری خود سوال کردند.

نتایج نشان داده است در حالی که 80% شرکتها اکنون 10 راهکار مختلف را برای محافظت از داده ها و سیستم های رایانه ای خود اجرا می کنند؛ بیش از نیمی از این سازمانها در سال 2020 بعد از دست دادن داده ها، از کار افتاده و از دسترس خارج شده اند.

سخنگوی آکرونیس گفت: "نه تنها سرمایه گذاری در راهکارهای امنیتی بیشتر باعث حفاظت بیشتر نمی شود، بلکه در بسیاری از موارد تلاش برای مدیریت حفاظت از طریق چندین راهکار و نرم افزار، پیچیدگی بیشتر و دید کمتری را برای تیم فناوری اطلاعات ایجاد می کند، که امکان بروز خطر را افزایش می دهد".

محققان معتقدند زمانی که صحبت از آگاهی متخصصین حوزه فناوری اطلاعات و کاربران از توانایی ارگان های آنها در بحث امنیت سایبری میشود، اختلاف فاحشی بین این دو دسته وجود دارد.

این بررسی نشان داده است که 68% از کاربران فناوری اطلاعات و 20% از متخصصان فناوری اطلاعات قادر به تشخیص این موضوع نیستند که اطلاعات آنها بدون اطلاع آنها تغییر یافته است، زیرا راهکارهای امنیت سایبری آنها تشخیص این نوع تغییرات را دشوار می کند.

تقریباً نیمی از کاربران حوزه فناوری اطلاعات (43%) در ناآگاهی به سر می بردند که از این نکته اطلاع ندارد که آیا نرم افزارهای محافظت در مقابل بدافزار آنها تهدیدات zero-day را متوقف می کند یا خیر؛ زیرا راهکارهای امنیتی آنها چنین اطلاعاتی را به راحتی در دسترس کاربر نمی گذارد.

یک دهم متخصصان فناوری اطلاعات اعتراف کردند که نمی دانند سازمان آنها تحت مقررات حریم خصوصی داده ها قرار دارد یا خیر و به طور بالقوه ای، شرکت و سازمان خود را در معرض جریمه های سنگین به دلیل عدم انطباق قرار می دهند.

محققان رویکردی فردی در زمینه امنیت سایبری را آشکار کردند که از آن با عنوان "به شکل سرسام آوری سست" توصیف کردند.

در حالی که 83% از کاربران حوزه فناوری اطلاعات گفتند که در سال 2020 وقت بیشتری را در دستگاه های خود صرف کرده اند و فقط نیمی از آنها اقداماتی اضافی برای محافظت از این دستگاه ها انجام داده اند. یک سوم (33%) آنها اعتراف کرده اند که پس از اطلاع از انتشار بروزرسانی ها، حداقل یک هفته منتظر مانده اند تا دستگاه های خود را با آن بروزرسانی جدید، به روز نمایند.

یافته های این نظرسنجی نشان می دهد که کاربران حوزه فناوری اطلاعات نمی دانند چگونه از داده های خود به درستی پشتیبان گیری کنند، زیرا 90% گزارش کرده اند که نسخه پشتیبان تهیه می کنند؛ در حالی که 73% آنها گفتند که حداقل یک بار داده های خود را از دست داده اند.

سوءاستفاده هکرها از آسیب پذیری بزرگ در Fortinet VPN

 

طبق گزارش سازمان تحقیقات فدرال (FBI) و آژانس امنیت سایبری و زیرساخت (CISA)، عاملین تهدیدات مداوم پیشرفته ضد دولتی، به طور فعال و فزاینده ای از نقاط ضعف امنیتی شناخته شده در Fortinet FortiOS سوءاستفاده می کنند و محصولات SSL VPN این شرکت را تحت تأثیر قرار داده و به خطر می اندازند.

اداره تحقیقات فدرال و آژانس امنیت سایبری و زیرساخت، یک بیانیه و راهنمایی مشترک برای هشدار به سازمان ها و کاربران در مورد نحوه استفاده هکرها از آسیب پذیری های مهم در Fortinet FortiOS VPN صادر کرده اند.

takian.ir hackers exploiting critical vulnerabilities in fortinet VPN

هدف آنها استقرار یک ساختار ضد دفاعی برای نقض امنیت مشاغل متوسط ​​و بزرگ در آینده است.

بر اساس هشداری که در روز جمعه صادر شده است، عاملین تهدیدات مداوم پیشرفته ضد دولتی، از نقاط ضعف شناخته شده در سیستم عامل امنیتی سایت FortiOS سوءاستفاده کرده و محصولات SSL VPN Fortinet را هدف قرار می دهند. با این حال، آژانس ها جزئیات بیشتری در مورد تهدیدات مدوام پیشرفته به اشتراک نگذاشته اند.

FortiOS SSL VPN در فایروال های مرزی استفاده می شود که مسئول ممانعت از برقراری ارتباط شبکه های حساس داخلی با دیگر اتصالات اینترنتی عمومی هستند.

 

سوءاستفاده چگونه انجام میپذیرد؟

FBI و CISA گزارش دادند كه عاملین تهدیدات مداوم پیشرفته، دستگاه ها را روی پورت های 4443 ، 8443 و 10443 اسكن می كنند تا پیاده سازی های امنیتی Fortinet را كه انجام نشده اند، پیدا كنند. به ویژه موارد مورد توجه در زمینه نقاط آسیب پذیری طبق CVE-2018-13379 ،CVE-2019-5591 و CVE-2020-12812 طبقه بندی شده است.

بسیار مرسوم است که چنین گروه هایی برای انجام حملات DDoS، حملات باج افزاری، کمپین های فیشینگ، حملات نفوذ زبان جستجوی ساختاری، کمپین های اطلاعات نادرست یا دیس اینفورمیشن، تخریب وب سایت و سایر انواع حملات، از نقایص مهم سوءاستفاده می کنند.

 

چند نکته درباره این خطا

CVE-2018-13379 یک خطای عبور از مسیر Fortinet FortiOS است که در آن، پورتال SSL VPN به یک مهاجم غیرمجاز اجازه می دهد تا فایل های سیستم را از طریق درخواست منابع طراحی شده ویژه HTTP، بارگیری کند.

نقص CCVE-2019-5591 یک آسیب پذیری پیکربندی پیش فرض است که به یک مهاجم غیرمجاز در همان ساختار زیرمجموعه شبکه اجازه می دهد اطلاعات حساس را به سادگی و با تقلید از سرور LDAP ضبط و ذخیره کند.

CVE-2020-12812 یک نقص تأیید اعتبار نامناسب در FortiOS SSL VPN است که به کاربر اجازه می دهد حتی در صورت تغییر نام کاربری، بدون اینکه از وی درخواست FortiToken (تایید اعتبار دو مرحله ای) انجام پذیرد، با موفقیت وارد سیستم شود.

 

چه کسانی در معرض خطر است؟

محققان آژانس های امنیتی خاطرنشان کردند که عاملین این تهدیدات گسترده و پیشرفته، می توانند از این آسیب پذیری ها برای دستیابی به رئوس نهادهای دولتی، فناوری و نهادهای تجاری استفاده کنند.

"به دست آوردن دسترسی اولیه، شرایط را برای عاملین این تهدیدات گسترده و پیشرفته جهت انجام حملات در آینده آماده میکند". پس از بهره برداری، مهاجمان به صورت جانبی حرکت کرده و اهداف خود را زیر نظر می گیرند.

"عاملین این تهدیدات مداوم پیشرفته ممکن است از هر کدام یا همه این CVE ها برای دسترسی به شبکه های چندین بخش مهم زیرساختی و متعاقبا دسترسی به شبکه های اصلی به عنوان دسترسی مقدماتی و بنیادی برای دنبال کردن و پیگیری اطلاعات یا حملات رمزگذاری داده ها استفاده کنند. عاملین این تهدیدات مداوم و پیشرفته، ممکن است از CVE های دیگر یا تکنیک های متداول بهره برداری (مانند فیشینگ) برای دستیابی به شبکه های زیرساختی حیاتی برای تعیین موقعیت و جایگاه اولیه برای حملات بعدی استفاده کنند".

ارائه بروزرسانی برای رفع اشکالات به تغییراتی در ساختار اصلی نیاز دارد و شبکه سازمان ها باید بیش از یک دستگاه VPN داشته باشند. ممکن است سیستم برای زمانی غیرفعال شود و ممکن است کار کسانی که به VPN شبانه روزی احتیاج دارند، دچار اختلال شدیدی شود. با این حال، خطر فعالیت های جاسوسی یا باج افزار به مراتب بسیار بیشتر از این دست موارد است.

سوالات متداول

سوالات و پرسش های متداول در محصولات

در این بخش پرسش های رایج در مورد محصولات IPImen مطرح گردیده است ، در صورت داشتن اشکال و یا هرگونه سوال لطفاً قبل از تماس با بخش پشتیبانی موارد زیر را مرور نمایید.

  • تاکیان چیست؟ +

    پاسخ: با توجه به اینکه نام این شرکت "توسعه امن کیان" است لذا از ابتدای حروف اول و دوم این نام استفاده شده و به اختصار به نام "تاکیان" معرفی شده است
  • فایروال چیست؟ +

    پاسخ: يك فايروال از شبكه شما در برابر ترافيك ناخواسته و همچنين نفوذ ديگران به كامپيوتر شما حفاظت مي كند. توابع اوليه يك فايروال به اين صورت هستند كه اجازه مي دهند ترافيك خوب عبور كند و ترافيك بد را مسدود مي كنند! مهمترين قسمت يك فايروال ويژگي كنترل دستيابي آن است كه بين ترافيك خوب و بد تمايز قائل مي شود.فايروال بين کامپيوتر شما (و يا شبکه) و کابل و يا خطDSL و هر ارتباط دیگری با خارج از شبکه شما ، قرار خواهند گرفت. فايروال های سخت افزاری در مواردی نظير حفاظت چندين کامپيوتر (یا یک شبکه بزرگ)مفيد بوده و يک سطح مناسب حفاظتی را ارائه می نمايند. فايروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سيستم عامل اختصاصی خود می باشد . بنابراين بکارگيری آنان باعث ايجاد يک لايه دفاعی اضافه در مقابل تهاجمات می گردد .
  • فایروال نسل بعدی یا Next Generation Firewall چیست؟ +

    پاسخ : فایروال‌های نسل بعدی یا Next Generation Firewalls گونه جدید از فایروال‌ها و تجهیزات امنیتی هستند که برخلاف فایروال‌های معمولی که تنها به پورت‌ها و آدرس‌های مبدأ و مقصد توجه می‌کنند، می‌توانند سطوح بالاتری از شناسه‌های فرستنده پکت را بررسی نموده و امنیت بالاتری را فراهم نمایند، این نسل از فایروال‌ها حتی سطوح امنیت را تا حد نرم‌افزارهای کاربری نصب‌شده بر روی سیستم کلاینت‌ها ارتقاء داده‌اند و تخصص اصلی آن‌ها اعمال محدودیت و بررسی App ها است، کاری که از توان فایروال معمولی خارج است. برخی از ویژگی‌های معمول فایروال‌های NGFW شامل موارد زیر است: امکانات استاندارد یک فایروال ،شناسایی و فیلتر کردن نرم‌افزارها ،واکاوی SSH و SSL ،جلوگیری از نفوذ ،هماهنگی با دایرکتوری سرویس‌ها،فیلتر کردن کدهای مخرب
  • فایروال معمولی با فایروال Next Generation چه تفاوتی دارد؟ +

    پاسخ: به سوال قبلی مراجعه کنید
  • فایروال برنامه های کاربردی یا WAF چیست؟ +

    پاسخ : یک WAF یا Web Application Firewall یک لایه امنیتی و کنترلی ما بین مشتریان و برنامه یا سرویس شما فراهم می کند.یک WAF تمامی دسترسی‌ها به برنامه وب را با ابزارهای امنیتی و کنترلی ترافیک ورودی به برنامه وب‌سایت و ترافیک پاسخ از سمت برنامه وب شما را فیلتر می‌کند. WAF با امن کردن ساختار برنامه و همچنین کاربر برنامه، مکمل فایروال در شبکه شما می‌باشد و لایه دیگری از امنیت را به ارمغان می‌آورد. برنامه ها و نرم افزارهای وبی می توانند با تهدیدات زیادی آسیب پذیر شوند که به وسیله فایروال ها در شبکه قابل تشخیص نمی باشند. برنامه ها می توانند در مقابل بسیاری از تهدیدات که قابل شناسایی به وسیله فایروال ها نیستند آسیب پذیر باشند تأثیر این نوع حملات می تواند بسیار شدید باشد. پروژه امنیت برنامه کاربردی وب باز (Open Web Application Security Project) که آن را OWASP می گویند لیست ۱۰ ریسک و خطر مهمتر که هنوز برنامه های کاربردی وب را مورد تهدید قرار می دهند آورده است.
  • منظور از IPImen چیست؟ +

    پاسخ:شرکت تاکيان محصولات توليدي خود در زمينهء فايروال و امنيت را با نام IPImen به بازار ارائه مينمايند. که IP به معني Internet Protocol و Imen به معناي رايج ايمن است و در کل مفهوم امن سازي پروتکل IP را ميرساند.
  • محصولات IPImen چگونه ارائه میگردند؟(سخت افزاری یا نرم افزاری یا مجازی؟) +

    پاسخ:تمامي محصولات ارائه شده توسط اين شرکت بصورت سخت افزاري و مجازي ارائه ميگردند. براي سخت افزار از سخت افزارهاي بومي توليد شده توسط شرکت سيماوا و يا سخت افزارهاي ارائه شده توسط شرکت نکسکام تايوان استفاده ميگردد. سخت افزارهاي تايواني شرکت نکسکام تقريبا تنها برند مطمئن و امني هستند که در ايران توسط اکثريت توليدکنندگان مورد استفاده قرار ميگيرد و بسياري از توليد کنندگان در خارج از ايران نيز از اين سخت افزارها استفاده مينمايند. درصورت درخواست مشتري محصولات اين شرکت بصورت مجازي نيز ارائه ميگردند و قابل ارائه بر روي سرويس هاي مجازي سازي مختلف از جمله ESX، Oracle Virtual Box، Open Stack و... ميباشند که نيازي به نصب هيچگونه قفل سخت افزاري جانبي وجود ندارد.
  • آیا میتوان از سایر سخت افزارها استفاده نمود؟ +

    پاسخ: بله - اما تمامي سخت افزارهاي به اصطلاح Appliance در بازار از يک مشکل بزرگ رنج ميبرند يعني در هنگام کرش کردن قفل شده و بايد مجددا بصورت دستي احيا شوند. شرکت تاکيان در اين زمينه با کمک گرفتن از طراحان متخصص در حوزه الکترونيک اقدام به طراحي يک بورد سخت افزاري کوچک نموده است که در داخل سخت افزارهاي شرکت نکسکام نصب ميگردند و در صورت بروز مشکلات خاص از جمله کرش کردن، بصورت اتوماتيک سخت افزار را به آخرين حالت پايدار احياء مينمايد. در صورتي که شما بخواهيد از سخت افزاري غير از سخت افزارهاي نکسکام استفاده نماييد (مثلا از سخت افزارهاي Advantech، Portwell و...)، بديهي است که از اين قابليت بي بهره خواهيد بود و از طرفي نگهداري و پشتيباني اين سخت افزارها بر عهده خود مشتري خواهد بود.
  • ما خودمان محصولات خارجي Sophos ، Cyberoam و چند محصول بومي ديگر را داريم که ديگر قصد استفاده از آنها را نداريم، آيا ميتوان از اين سخت افزارها استفاده کرد؟ +

    پاسخ: بله - در صورتي که شما در سازمان خود محصولات سخت افزاري از برند هاي ايراني يا خارجي (Sophos، Cyberoam و...) را داريد و قصد خريد محصولات شرکت تاکيان را داريد، ديگر نيازي به خريد سخت افزار نداريد. نصب محصولات تاکيان بر روي سخت افزارهاي ارائه شده توسط شما (به شرط سالم بودن و 64بيتي بودن) هزينه هاي شما را تا حد بالايي کاهش خواهد داد.
  • آیا میتوان سخت افزارهای خریداری شده را ارتقاء داد؟ +

    پاسخ: بله - البته بهتر است که شما قبل از خريد محصولات تاکيان، با کمي آينده نگري سخت افزاري متناسب تر و قوي تر را انتخاب نماييد. هرچند که سخت افزارهاي ارائه شده در 99% مواقع قابليت ارتقاء CPU، RAM، HDD را دارند.
  • این محصولات برای چه سازمان هایی مناسبند؟ +

    پاسخ: تمامي سازمان ها - اين محصولات با توجه به قابليت هاي ارائه شده، امکان نصب در تمامي شرکت هاي دولتي، خصوصي، هتل ها، بيسمارستان ها، داروخانه ها، کتابخانه ها، ماشين هاي حمل و نقل مثل اتوبوس و قطار، برج ها، مراکز فروش و... را دارند. فرقي ندارد که کوچک باشيد يا بزرگ، تقريبا براي تمامي رده ها، محصولات مناسب ارائه شده است و فقط کافي است که با کارشناسان فروش مشورت نماييد.
  • آیا این محصول واقعا بومی است؟ +

    پاسخ: بله - بومي سازي محصولات در 3 سطح مطرح است. سطح اول Engine محصولات است که 99% اهميت را بر عهده دارد و در محصولات شرکت تاکيان Engine محصولات بصورت صفر تا صد يا در اصطلاح From Scratch توسط متخصصين ايراني تهيه شده است. يعني بدون استفاده از کدهاي متن باز و و بدون استفاده از محصولات متن باز فراواني که در منابع اينترنتي از جمله Source Forge وجود دارند زيرا همانطور که ميدانيد شرکت هايي که قصد توليد محصولات تخصصي و Enterprise را دارند بايد به سمت طراحي هاي اختصاصي بروند تا بتوانند در سناريو هاي تخصصي قابليت عملکرد داشته باشند زيرا محصولات متن باز بدليل نداشتن يکپارچي، بيشتر مناسب پروژه ها وسناريو هاي معمولي و کوچک يا پروژه هاي دانشجويي هستند هرچند که توليد کنندگان بزرگي نيز وجود دارند (البته نه در حوزه امنيت) که محصولات متن باز را توسعه داده و در سطح تخصصي فعاليت ميکنند. سطح دوم در محصولات بومي مربوط به توليد سيستم عامل بومي است، که بسيار اغراق گونه و بيشتر به يک مدينه فاضله تشبيه ميگردد. توليد کنندگان بزرگ دنيا اقدام به توليد سيستم عامل بومي نميکنند بلکه اقدام به سفارشي سازي سيستم عامل هاي تخصصي از جمله Unix ميکنند بطور مثال شرکت جونيپر از سيستم عامل يونيکس توزيع FreeBSD استفاده مينمايد و آنرا با نام ScreenOS و Jonuse سفارشي سازي نموده است. شرکت تاکيان نيز محصولات خود را بر روي سيستم عامل يونيکس ارائه مينمايد البته اين سيستم عامل بصورت اختصاصي سفارشي سازي شده و با نام ImenOS ارائه ميگردد. سطح سوم در بومي سازي، مربوط به ارائه سخت افزارهاي بومي است، تا قبل از اين تنها از سخت افزارهاي خارجي از جمله Nexcom استفاده ميشد زيرا امکان توليد اين نوع سخت افزارها در کشور وجود نداشت، اما با توجه به اينکه اخيراً شرکت هاي ايراني از جمله سيماوا اقدام به توليد بعضي از رده هاي اين سخت افزارها بصورت بومي مي نمايند، لذا محصولات اين شرکت قابليت ارائه بر روي سخت افزارهاي بومي را دارا ميباشند.  
  • آیا بومی بودن یا نبودن یک محصول تاثیری در انتخاب مشتری دارد؟ +

    پاسخ : اولین تاثیر خرید محصولات بومی، حمایت از تولید داخلی و ارتقای فضای کسب و کار در ایران است. از طرفی این محصولات شامل تحریم ها نشده و دارای پشتیبانی داخلی هستند که مشکلات مشتری را براحتی مرتفع خواهند کرد. تولید کننده اینگونه محصولات نیز در کشور قابل دسترس است و مشتری میتواند درخواست های خود را با تولید کننده درمیان بگذارد. با توجه به هزینه های پهنای باند ، الزامات افتا ، رویکردهای سازمانی و حراستی در نوع استفاده کاربران از اینترنت و...محصولات بومی متناسب با نیازهای کشور طراحی شده اند و بدیهی است که بسیاری از این نیازها در محصولات خارجی تعبیه نشده است.همچنین در بسیاری از سازمان ها مخصوصا سازمان های دولتی الزاماتی در این زمینه وجود دارد
  • آیا این محصولات رقبای داخلی یا خارجی دارد؟ +

    پاسخ : در زمینه امنیت همیشه رقبای بسیاری در دنیا وجود دارد که همین رقبا با ارائه قابلیت های جدید در محصولات خود عاملی برای رقابت و توسعه محصولات هر تولید کننده خواهند بود. در ایران نیز شرکت های بسیاری محصولات امنیتی را تولید میکنند که البته محصولات تاکیان از جمله NGFW-UTM و App Control دارای هیچ رقیب داخلی نمیباشند. شرکت های خارجی نیز محصولات خوبی را در زمینه امنیت ارائه داده اند هر چند که محصول App Control در بین تولید کنندگان خارجی نیز بی رقیب است
  • لایسنس ارائه شده برای این محصولات به چه صورت است؟ +

    پاسخ : برخلاف محصولات خارجی و بسیاری از محصولات ایرانی، محصولات این شرکت با لایسنس مادام العمر ارائه میگردند
  • برای خرید این محصولات چگونه باید اقدام کنم؟ +

    پاسخ : میتوانید با بخش فروش شرکت تاکیان ارتباط برقرار نموده و درخواست پیش فاکتور داشته باشید. همچنین میتوانید از نسخه دموی محصولات استفاده کنید تا از همه نظر از عملکرد محصول اطمینان حاصل نمایید
  • آیا این محصولات پشتیبانی دارند؟ +

    پاسخ : تمامی محصولات دارای یکسال پشتیبانی رایگان بوده و در سال های بعدی مشتری میتواند به اختیار وبا پرداخت هزینه ای ناچیز اقدام به تمدید پشتیبانی بنماید
  • پشتیبانی این محصولات چگونه است؟ +

    پاسخ : شامل نصب رایگان در محل مشتری، آموزش رایگان به مشتری، ارائه نسخ جدید و باگ فیکس ها، رفع اشکالات تلفنی و در موارد اضطراری رفع مشکل بصورت حضوری
  • این محصولات چه مدل بندی هایی دارند؟ +

    پاسخ : این محصول در رده های مختلف SOHO، Medium و Enterprise ارائه میگردند
  • آیا این محصولات بصورت یکپارچه ارائه میشوند؟ +

    پاسخ : بزرگترین مزیت و مهم ترین نکته در این محصولات یکپارچه بودن انها است که بدلیل طراحی محصول بصورت From Scratch این مزیت فراهم شده است
  • آیا برای کار با این محصولات نیاز به گذراندن دوره های تخصصی شبکه است؟ +

    پاسخ : خیر، نیازی به هیچ دوره خاصی نبوده و تمامی موارد مرتبط با محصول بصورت رایگان به متری اموزش داده خواهد شد. همچنین راهنمای کاربری مفصلی به زبان فارسی در اختیار مشتری قرار خواهد گرفت
  • این محصول چگونه در محل مشتری نصب میگردد؟ +

    پاسخ : محصولات توسط کارشناسان شرکت تاکیان و بصورت حضوری نصب میگردند و بدیهی است که قبل از نصب، وضعیت شبکه سازمان بررسی شده و نقشه نهایی با همکاری مدیرشبکه سازمان فراهم میگردد
  • من بلد نیستم این محصول رادر شبکه نصب کنم و از اعمال تغییرات جدید در شبکه ترس دارم +

    پاسخ : محصولات توسط کارشناسان شرکت تاکیان و بصورت حضوری نصب میگردند و آموزش های نصب محصول نیز در اختیار مشتری قرار خواهد گرفت
  • آیا با این محصولات میتوان جلوی استفاده از فیلترشکن ها را گرفت؟ +

    پاسخ : بله، نه تنها میتوان جلوی اجریا انها را گرفت بلکه میتوان پهنای باند خاصی را بر روی انها اعمال نموده و حتی لاگ گزارش کاربران نیز ثبت خواهد شد تا مدیرشبکه بتواند گزارش کاملی از سایت ها و ارتباطات برقرار شده کاربر توسط فیلترشکن ها را مشاهده نماید
  • آیا این محصولات امکانات WiFi نیز ارائه میدهند؟ +

    پاسخ : بله، در برخي از سخت افزارها که دارای انتن وايرلس هستند، امکان ارائه خدمات Wi-Fi وجود داشته و شما میتوانید بدون استفاده از Access Point به کاربران خود خدمات اینترنت بیسیم را ارائه بدهید
  • آیا برای این محصولات Update های آنلاین ارائه میشود؟ +

    پاسخ : بله، تمامی آپدیت های این محصول بصورت انلاین از روی سرورهای این شرکت مستقر در پارس آنلاین با امنیت بالا قابل دسترس خواهند بود. همچنین امکان ارائه آپدیت ها بصورت آفلاین و بروزرسانی دستی نیز فراهم شده است
  • 1

کشف آسیب پذیری احراز هویت در فایروال مورد تایید ناتو و اتحادیه اروپا

 

یک عامل مهاجم و تهدید کننده با دسترسی شبکه به سطح ادمین، توانست به سادگی از این آسیب پذیری سو استفاده کرده و به صفحه مدیریت وارد شود و در نهایت بدون وارد کردن اطلاعات مورد نیاز ورودی سیستم، به عنوان کاربر خود را تعریف نماید.

شرکت مشاوره امنیت سایبری مستقر در اتریش با نام سِک کانسولت، یک آسیب پذیری بزرگ را در سیستم فایروال ساخته و توسعه داده شده توسط شرکت امنیت سایبری آلمانی Genua، شناسایی کرده است.

این سیستم با نام گنوآ گنوگِیت، وظیفه محافظت از ارتباطات بین تجهیزات، تامین امنیت شبکه داخلی در برابر تهدیدات خارجی و تقسیم بندی شبکه های داخلی را دارد.

گنوگیت تنها فایروال در جهان است که رتبه "بسیار مقاوم" را از دولت آلمان دریافت کرده است.

علاوه بر این، با مقررات امنیت اطلاعات NATO Restricted و EU’s RESTRIENT UE/EU RESTRICTED مطابقت و همخوانی دارد. این آسیب پذیری، تمامی نسخه های گنوگِیت را تحت تاثیر قرار داده است.

جنبه حائز اهمیت

طبق گزارش سِک کانسولت، رابط های مدیریت فایروال در برابر آسیب پذیری جانبی احراز هویت طبقه بندی شده و محرمانه با عنوان CVE-2021-27215 آسیب پذیر هستند.

یک عامل مهاجم به راحتی با دسترسی شبکه به سطح ادمین، توانست از این آسیب پذیری سو استفاده کرده و به صفحه مدیریت وارد شود و به متعاقب آن، بدون وارد کردن اطلاعات مورد نیاز ورودی سیستم، به عنوان کاربر خود را تعریف نماید.

سِک کانسولت توضیح میدهد که پس از دستیابی دسترسی به سطح مدیر و روت، برای مهاجم امکان پیکربندی مجدد فایروال، شامل "تنظیمات فایروال، تنظیمات فیلترهای ایمیل، تنظیمات فایروال برنامه تحت وب، تنظیمات پروکسی و غیره" به راحتی وجود دارد.

به عنوان مثال، مهاجمان میتوانند برای دسترسی به یک سیستم غیرقابل دسترسی، کل پیکربندی فایروال را تغییر داده و یا ترافیک سازمان را به "سرور پروکسی کنترل شده مهاجمان"، تغییر مسیر دهند.

توصیه سِک کانسولت

سِک کانسولت در توصیه خود، بر لزوم اصلاح هر چه سریعتر این آسیب پذیری تاکید دارد:

"در محیط های دارای مجوز و تایید شده، لازم است که رابط کاربری مدیر فقط از طریق یک شبکه کاملا مجزا در دسترس باشد. با این وجود، این یک آسیب پذیری امنیتی بسیار مهم و حیاتی است که باید بلافاصله اصلاح گردد".

این شرکت همچنین ویدئویی را برای توضیح نحوه کار این حمله منتشر کرده است (برای مشاهده ویدئو در یوتوب، بر روی این لینک کلیک کنید).

بهترین فایروال جهان دارای نقص بود!

محصولات گنوآ به طور گسترده ای توسط دولت، ارتش، کارخانجات و سازمان های مختلف مورد استفاده قرار میگیرد. با این حال، کشف این آسیب پذیری ثابت میکند که حتی بهترین نرم افزار جهان نیز بی عیب و نقص نیست.

سِک کانسولت توسط یکی از غول های بخش فناوری اطلاعات با نام Atos در سال 2020 خریداری شد. شرکت Armin Stock کمپانی Atos آلمان این آسیب پذیری را کشف کرد. یافته و مستندات در ژانویه 2021 به گنوآ گزارش شد و این شرکت طی چند روز فایل و یک پچ را برای اصلاح این مشکل منتشر کرد.

کشف بدافزار جدید ماینینگ ارز دیجیتالی با قدرت بسیار بالا بنام ZombieBoy

به گزارش سایت ambcrypto.com، یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از ماینرهای ارز دیجیتالی را کشف کرده است. این ماینرکه ZombieBoy نام گذاری شده است، طبق تحلیل‌های این کارشناس، دارای سرعت کاوش 43 KH/s 43000) Hash در ثانیه) است که قادر به استخراج 1000 دلار در ماه است. این ماینر یا همان کاوشگر از زبان چینی استفاده می‌کند که از این رو احتمالا در کشور چین توسعه داده شده است.Takian.ir ZombieBoy Malware Threatens The Security of Cryptocurrency Worldwide
Quinn در بلاگ خود توضیح داده است که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. بدلیل استفاده این بدافزار از ZombieBoyTools، آنرا ZombieBoy نامگذاری کرده‌اند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh0st است.
بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار می‌دهد. علاوه بر این، Quinn ادعا می‌کند که این کرم از اکسپلویت‌های مختلف برای گسترش در سیستم استفاده می‌کند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده می‌کند. نکته قابل توجه و البته نگران کننده این بدافزار بروزرسانی آن بصورت مداوم است. علاوه بر این، بدافزار می‌تواند از CVEهای مختلفی برای دور زدن برنامه‌های امنیتی بهره ببرد. این CVEها شامل یک آسیب‌پذیری RDP یعنی CVE-2017-9073 و اکسپلویت‌های CVE-2017-0143 و CVE-2017-0146 هستند.Takian.ir ZombieBoy
بدافزار از اکسپلویت‌های DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده می‌کند. از آنجایی که بدافزار می‌تواند چندین درپشتی ایجاد کند، بنابراین راه ورود سایر برنامه‌های مخرب مانند keyloggerها، باج‌افزارها و بدافزارهای دیگر باز می‌شود.

محصول IPImen NG-Firewall-UTM

سامانه بومی فایروال نسل بعدی آیپی ایمن  (IPImen NGFirewall-UTM)

راه‌حل تخصصی شرکت تاکیان درزمینهٔ امنیت شبکه با عنوان فایروال نسل بعدی (IPImen Next Generation Firewall) به‌صورت کاملاً تخصصی بر بستر سیستم‌عامل سفارشی‌سازی شده توسط این شرکت بانام ImenOS ارائه می‌گردد.
این محصول بصورت سخت افزاری و مجازی قابل ارائه میباشد.


 

  • معرفی
  • مشخصات عمومی و تخصصی
  • دلایل مهاجرت به این محصول
  • مدل بندی
  • دانلود فایل ها
  • دمو آنلاین

امروزه، روند گسترش محیط شبکه‌‌ی سازمانی تا حدی است که شناسایی کامل آن امکان‌پذیر نبوده و یا به‌راحتی قابل شناسایی نمی‌باشد.سازمان‌های بزرگ‌ علاوه بر اندازه‌ی شبکه، باید نیازهای کاربران و الزامات پیاده‌سازی‌ را نیز مدنظر قرار دهند. سطح حملات در تجهیزات سیار و دیتاسنترها، Public Cloud و Private Cloud و همچنین اینترنت اشیا (IoT) به طرز چشمگیری افزایش یافته و تعریف سازمان‌های گسترده و برقراری امنیت در آن‌ها را با چالش مواجه نموده است. عوامل تهدید، با هدف کسب درآمد به نقاط ضعف شبکه‌های سازمانی حمله نموده و با فرآیندهای حمله خودکار از اطلاعات حساس به دست‌آمده جهت باج‌خواهی یا فروش در بازار سیاه استفاده می‌کنند.IPImen NGFirewall UTM

کمبود قابلیت‌ دید (Visibility) و قابلیت کنترل در یک محیط نامحدود با برخورداری از امکان توسعه شبکه، برنامه‌های کاربردی، داده‌ها و کاربران از دغدغه‌ها‌ی متخصصین حوزه‌ی امنیت به شمار می‌رود. این دغدغه ناشی از آن است که سطح پایین عملکردهای امنیتی در یک فایروال واحد ممکن است منجر به پیکربندی نامناسب و از دست رفتن Event Logها گشته و علاوه بر آن احتمال عدم‌ شناسایی نقض‌های امنیتی را نیز افزایش دهد.
کارشناسان امنیت سازمان، علاوه بر افزایش اثربخشی امنیت به دنبال سازگاری و انطباق بیشتر در حین ارائه فاکتورها، تجمیع حوزه‌های امنیتی، سطح بالای عملکرد قابل‌اطمینانِ شبکه‌‌ و ساده‌‌سازی روند مدیریت امنیت ترجیحاً در یک کنسول واحد می‌باشند. امنیت فایروال شبکه باید به گونه‌ای تکمیل گردد که قادر به تأمین امنیت درسازمان‌های بزرگ باشد.
با توجه به اینکه سازمان‌ها، نیازمند یک راهکار امنیت شبکه از نوع End-to-End می‌باشند، باید تمامی سطوح آسیب‌پذیری از اینترنت اشیاء (IoT) گرفته تا سرویس Cloud و از کاربران گرفته تا داده‌ها را محافظت کرد. راهکار IPImen NGFirewall-UTM با استفاده از یک رویکرد مشترک در سراسر زیرساخت شبکه این کار را انجام داده و مدیران امنیتی را قادر به پیاده‌سازی یک استراتژی گسترده و پویای دفاعی در بلندمدت می‌نماید.

معرفی محصول امنیتی IPImen NGFirewall-UTM:

محصول فایروال یوتی‌ام نسل بعدی (Next Generation Firewall-UTM) با نام IPImen یک محصول تخصصی در زمینه امن سازی شبکه است که به دست توانای متخصصان داخلی تولید گردیده است و قابلیت های مختلف تعبیه شده در آن متناسب با نیازهای سازمان های ایرانی است که ماحصل کسب نظرات، پیشنهادات، انتقادات و راهکارهای ارائه شده توسط مدیران شبکه در سراسر کشور می باشد. در واقع این محصول از نظر قابلیت، گام های بلندتر و موفق تری را نسبت به بسیاری از تولید کنندگان برداشته است و امروزه در نقش یک محصول Next Generation عرض اندام می نماید. 

محصول IPImen NGFirewall-UTM می‌تواند قابلیت دفاع لحظه‌ای،Responsive و هوشمند را در مقابل بدافزارها و تهدیدات پیش رو فراهم نماید. قابلیت های تعبیه شده در این محصول اساس زیرساخت امنیتی شبکه سازمانی را تشکیل می‌دهند.
ویژگی انعطاف‌پذیری در فایروال‌ها این امکان را فراهم می‌نماید تا روند پیاده‌سازی‌ متناسب با نیازهای خاص امنیتی در قسمت خاصی از سازمان بدون خطا در عملکرد صورت گیرد. تمامی تجهیزات فایروال در IPImen NGFirewall-UTM از طریق کنسول مدیریتی واحد به یکدیگر مرتبط می‌شوند. این ارتباط متقابل به ارائه اثربخش‌ترین نوع محافظت پرداخته و علاوه بر تسهیل پیاده‌سازی، موجب کاهش نقاط تماس متعدد و Policy‌ها در سراسر سازمان می‌گردد.علاوه بر این، راهکار فوق به منظور فراهم آوردن بهترین نوع محافظت دربرابر حملات هدفمند و پیشرفته‌ترین تهدیدات امنیتی به ارائه‌ی مواردی همچون امنیت شبکه‌ به صورت End-to-End از طریق یک پلتفرم، یک سیستم‌عامل امنیت شبکه و مدیریت یکپارچه Policy با یک کنسول واحد می‌پردازد.

اجزای اصلی راهکار امنیتی IPImen NGFirewall-UTM:

در زیر به بررسی اجزای اصلی راهکارهای امنیتی ارائه شده توسط شرکت تاکیان می پردازیم.

1 - ارائه‌ی مؤثر امنیتی توسط آزمایشگاه تاکیان:

کسب دانش جامع در مورد چشم‌انداز تهدیدات به همراه توانایی پاسخگویی سریع به سطوح متعددی از این تهدیدات می‌تواند مبنایی برای ایجاد امنیت اثربخش در شبکه باشد. بر همین اساس، بروزرسانی های آنلاین به عنوان بخش مهمی از راهکار امنیتی IPImen NGFirewall-UTM بشمار می‌رود. این بروزرسانی ها توسط متخصصان این شرکت بصورت انلاین ارائه میگردد و به منظور اثربخشی بهتر، تیم تحقیقات امنیت به بررسی بروزرسانی های ارائه شده توسط سایر تولیدکنندگان مطرح در ایران و جهان می‌پردازد تا با بالاترین سطح از امنیت ارائه شده در دنیا همگام باشد.


2 - کنسول واحد با یک سیستم‌عامل امنیت شبکه:

صرف نظر از جایگاه پیاده‌سازی تجهیزات IPImen NGFirewall-UTM یا پلتفرم آن (سخت‌افزاری، مجازی‌سازی‌شده،Public Cloud و یا Hybrid Cloud)، قابلیت دید و کنترل با یک سیستم‌ عامل سازگار برای امنیت شبکه تأمین می‌گردد. ImenOS با هدف کاهش پیچیدگی‌ها‌ به تجمیع تمامی سرویس‌های امنیت و شبکه می‌پردازد. ضمن اینکه قابلیت دید ۳۶۰ درجه به ترافیک شبکه را میسر می‌سازد و کاربران با یک کلیک می‌توانند ترافیک را از طریق برنامه‌های کاربردی، تهدیدات، تجهیزات، کشورها و سایر فاکتورها مشاهده نمایند.
ImenOS به اِعمال Policyهای ارزشمند در سراسر شبکه می‌پردازد. با وجود امکانات فوق، مدیران حوزه‌ی امنیت می‌توانند بر ترافیک شبکه نظارت داشته و Policy‌های تجمیع‌ یافته‌ای را تدوین نمایند که این موضوع شامل کنترل‌های امنیتی بصورت جزئی‌تر می‌باشد. در عین حال مدیران امنیتی با در اختیار داشتن یک کنسول واحد می‌توانند از قابلیت دید و کنترل در سراسر سازمان‌ها بهره‌مند شده و به این ترتیب انجام فرآیندهای مدیریت مرکزی، گزارش‌گیری و Logging به صورت مقیاس‌پذیر را میسر نمایند.

3 - ارائه راهکار فایروالی در سراسر سازمان‌های بزرگ:

مجموعه تجهیزات شبکه IPImen به ارائه طیف بسیار وسیعی از پلتفرم‌های فایروال در بازار می‌پردازد IPImen NGFirewall-UTMبرمبنای یک معماری یکپارچه و هدفمند ایجاد شده که به ایجاد توان عملیاتی بسیار بالا و تأخیر بسیار کم می‌پردازد و در عین حال باعث ایجاد اثربخشی امنیتی بیشتر می‌گردد.
مجموعه تجهیزات IPImenشامل یک مجموعه از پلتفرم‌های انعطاف‌پذیر می‌گردد که به عنوان فایروال‌های نسل بعدی (NGFW) در Edge، به عنوان فایروال‌های دیتاسنتر در Edge مربوط به دیتاسنتر و بخش‌های داخلی یا سازمان‌های توزیع‌شده پیاده‌سازی شوند. تجهیزات IPImen که توسط یک سیستم‌عامل امنیت شبکه مدیریت می‌شوند، یک Policy‌‌ امنیتی یکپارچه را در تمامی موقعیت‌ها عرضه می‌نمایند.

4 - ارائه یک راهبرد دفاعی گسترده و دینامیک برای بلند‌مدت:

محصول IPImen NGFirewall-UTMبا پشتیبانی از تمام انواع پیاده‌سازی‌ها می‌تواند آزادی عمل بی‌نظیری را در اختیار متخصصان امنیتی در سراسر شبکه‌های سازمانی بزرگ قرار ‌دهند. مدیران امنیتی از قابلیت دید و کنترل لازم برای مقابله با مهاجمان از طریق یک سیستم‌عامل امنیت شبکه در سراسر مجموعه تجهیزات FortiGate برخوردارند. مدیران امنیتی با استفاده از یک داشبورد واحد که بصورت GUI یا WUI ارائه میگردد، می‌توانند دیدگاه‌های مدیریتی مختلف را گردآوری نموده و Policy‌های امنیتی را به شکلی دقیق اجرا نمایند.

 

چرا این محصول یک   Next Generation Firewall است؟

طبق تعاریف بین‌المللی، هر دو محصول NGFW و UTM دارای همپوشانی بالایی هستند و بیشتر به زمان ارائه آن‌ها برمی‌گردد زیرا درگذشته برای رفع نیازهای امنیتی سازمانی، پکیجی باقابلیت‌های متنوع به نام UTM ارائه‌شده بود و هیچ‌گاه تصور نمی‌شد که در آینده‌ای نزدیک، پهنای باند سازمان‌ها تا این حد افزایش‌یافته و نیازها تخصصی‌تر شود لذا محصولات NGFW قابل‌درک نبودند و دستگاه‌هایی که به‌عنوان UTM ها به فروش می‌رسند معمولاً دارای رتبه بازده پایین هستند و برای کسب‌وکارهای کوچک و متوسط ​​به بازار عرضه می‌شوند، درحالی‌که دستگاه‌هایی که دارای رتبه بازدهی بالاتری هستند معمولاً به‌عنوان NGFW ها به فروش می‌رسند(مرجع). اما امروزه با افزایش پهنای باند سازمان‌ها، گسترش پروتکل‌های امنی مانند SSL و SSH ، پیچیده‌تر شدن ساختار شبکه‌ها و نیاز به ارتباطات چندگانه با سایر شعب سازمانی، توانایی و عملکرد NGFW ها کاملاً قابل‌درک بوده و استفاده از آن‌ها ضروری می‌نماید.

امروز، بااین‌حال، ما شاهد ترکیب قابل‌توجه مفهوم این دو سبک از محصول هستیم. شکاف عملکرد ناپدیدشده است و راه‌حل‌هایی به بازار عرضه می‌شود که دستگاه‌های NGFW و UTM با خدمات امنیتی مشابه تولیدشده و به بازار عرضه می‌شوند زیرا بسیاری از UTM های مطرح سعی دارند توانایی‌های یک NGFW را نیز تا حد امکان پشتیبانی کنند. هرچند که در سطحی کلان‌تر دستگاه‌های UTM پالیسی‌های محدودتر، مدیریت، گزارش‌های غیرخطی و توانایی‌های امنیتی ثابتی را ارائه می‌کنند و باهدف سهولت در نصب و استقرار و مدیریت مداوم طراحی‌شده‌اند و بیشتر مناسب سازمانی است که مدیر امنیت فناوری اطلاعات نداشته و کارشناس شبکه قصد دارد در کمترین زمان تنظیمات ثابتی را اعمال نماید، درحالی‌که دستگاه‌های NGFW برای سازمان‌هایی که مایل به سفارشی کردن سیاست‌های امنیتی خود هستند و نیازهای امنیتی پویا دارند، ترجیح داده می‌شوند و تأکید عملکردی بیشتری بر روی تکنیک‌های مدیریتی و گزارش‌های فنی قوی‌تر دارند(مرجع).

ازنظر فنی نیز، محصولات NGFW، در سطح کلان سعی دارند که تأکید زیادی بر قابلیت‌هایی فانتزی ازجمله آنتی‌ویروس و وب پراکسی نداشته باشند، زیرا علاوه بر قدیمی شدن این تکنولوژی‌ها، سربار زیادی را به ترافیک شبکه تحمیل نموده و کارایی را تا سطح غیرقابل قبولی پایین میاورند درحالی‌که ترجیح NGFW ها بر این است که با بازرسی دقیق پکت ها، حتی در پروتکل‌های امن، مشکلات امنیتی را از پایه پیگیری و رفع نمایند(مرجع).

بعضی از محصولات مانند فورتی‌گیت نیز، سعی دارند که هم‌زمان قابلیت‌های UTM و NGFW را ارائه کنند و مشتری متناسب با نیاز سازمانی خود، سیستم را دریکی از این مدهای عملیاتی مستقر نماید یعنی UTM را فقط برای Small Business ها یا  و NGFW را برای  Enterprise & Midsize Business و حتی Small business ها در نظر بگیرد (مرجع)  و محصول IPImen نیز با همین رویکرد به بازار ارائه‌شده است.

همچنین لازم به ذکر است که محصولات NGFW علاوه بر ارائه خدمات محصولات دیگر این حوزه، توانایی‌های خاص‌تری را نسبت به سایرین عرضه می‌کنند که این توانایی‌ها بخشی از نیازهای ضروری یک سازمان است و در زیر به بعضی از آن‌ها به‌صورت کاربردی اشاره‌شده است(مرجع):

  • این رده از محصولات توانایی بررسی و واکاوی پروتکل‌های امنی مانند SSLو SSH را دارند که مزایای زیادی را به همراه دارد ازجمله، امکان ثبت لاگ سایت‌های HTTPS، احراز هویت بر روی سایت‌های HTTPS، فیلتر نمودن تفکیکی این آدرس‌ها، تشخیص و کنترل نرم‌افزارهایی که خدمات خود را بروی این پروتکل ارائه می‌دهند و...
  • شناسایی و فیلتر کردن نرم افزارها و امکان تشخیص پروتکل‌ها در لایه کاربرد مهم‌ترین توانایی یک NGFW است، زیرا می‌توان فارغ از نوع پورت یا پروتکل، ترافیک آن را رصد و پایش نمود. یعنی  به جای اینکه صرفاً پورت یا پروتکل خاصی را فیلتر کنند ، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر نمایند. این قابلیت موجب میگردد که نرم افزارهای مخرب، فیلترشکن ها و نرم افزارهای غیرمجاز در سطح سازمان، نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند . مثلاً اگر ترافیک RDP بر روی پروتکل SSH ردوبدل شود، به‌راحتی تشخیص داده شد و می‌توان تصمیم لازم را اتخاذ نمود و قطعاً در جریان هستید که اکثر حملات باج افزاری و تخریبی منطبق بر RDP ، طی ماه‌های گذشته به سرویس‌های ایرانی، بایت نبود این قابلیت در زیرساخت‌های سازمانی بوده است.
  • این رده از محصولات توانایی خوبی درزمینه تعامل با دامین های متنوع سازمانی دارند و مخصوصاً در شبکه‌های بزرگ می‌توانند با تمامی دامین های Trusted و Untrusted به‌طور هم‌زمان تعامل داشته باشند.
  • بطور اختصاصی در محصول IPImen، امکان تشخیص کامل نرم‌افزارها یکی دیگر از نکات مهم است که موجب می‌گردد به‌راحتی بتوان بدون وابستگی به Port، IP، DNS و Pattern نرم‌افزارها را شناسایی کرده و علاوه بر اعمال پهنای باند بر روی آن‌ها، لاگ ارتباطی و سایت مشاهده‌شده توسط آن‌ها را نیز ثبت نمود. به‌طور مثال مدیر سیستم می‌تواند دسترسی به نرم‌افزار فیلترشکن Psiphon را قطع نموده اما FreeGate را باز بگذارد و در لاگ ها مشاهده کند که کاربر توسط فیلترشکن فری گیت چه سایت‌هایی را مشاهده کرده و چه ارتباطاتی را برقرار نموده است. بدیهی است که این گزارش‌ها نه باهدف رصد غیرمنطقی، بلکه امروزه یکی از نیازهای اصلی پلیس فتا در مواجه با شکایات و مشکلات است.
  • این رده از محصولات همچنین توانایی زیادی در رصد سایت‌های مخرب دارند و با تشخیص آدرس‌های حاوی انواع بدافزارها، باج افزارها، بات ها، صفحات فیشینگ و... امنیتی بالایی را فراهم نمایند.
  • بطور اختصاصی در محصول IPImen، امکان رمزنگاری داده‌ها در سطح شبکه LAN، بدون وابستگی به تانل و بدون سربارهای اضافی نیز قابلیتی جالب در این محصول است که امنیت داده‌ها در سطح شبکه سازمان را تأمین می‌نماید.
  • قابلیت ویژه دیگر در محصول IPImen، امکان تفکیک ترافیک شبکه داخلی از اینترنت (قطع دسترسی به شبکه داخلی در هنگام اتصال به اینترنت) است، که درگذشته نه‌چندان دور تنها سناریوهایی مانند VPN یا Parallels و 2X در کنار محصولات برند سایبروم و سوفوس یا Thin client های جانبی امکان ارائه آن را داشتند اما در این محصول بدون وابستگی به هیچ محصول و هزینه جانبی می‌توان به این مهم دست‌یافت.

مشخصات عمومی محصول:

این محصول دارای قابلیت های مختلفی است که در زیر به بعضی از قابلیت عمومی آن اشاره شده است و جهت آشنایی با سایر قابلیت ها می‌توانید به فایل معرفی محصول مراجعه نمایید:

  • طراحی و توسعه یکپارچه داخلی توسط متخصصان ایرانی بدون وابستگی به محصولات جانبیTakian NGFW intelligence
  • راه‌حل مجازی و امکان ارائه به‌صورت ماشین مجازی قابل‌استفاده درمجازی سازهای مختلف
  • راه‌حل سخت‌افزاری یکپارچه و ارائه بر روی Appliance های مختلف (امکان نصب بر روی سخت افزار سایر محصولات بومی و یا محصولات خارجی Sophos، Cyberoam، Netasq، Astaro ، Gate Protect و...)
  • سیستم مدیریت یکپارچه از طریق واسط کاربری ساده(GUI، WUI وCLI)
  • پشتیبانی از قابلیت SMS جهت تعیین دسرتسی کاربران و ارسال رویدادها به مدیران
  • عدم نیاز به هیچ‌گونه تنظیم و نصب نرم‌افزار در سمت Clientها
  • قابلیت تعریف Firewall Policyهـــای نـامحدود
  • توانایی تعریف Security-Zoneهای نـامحدود
  • رعایت حقوق معنوی و حق تکثیر CopyRight
  • پشتیبانی از حالات مختلف قرارگیری در شبکه
  • ثبت لاگ سایت های SSL و احراز هویت آنها
  • قابلیت سفارشی‌سازی بر مبنای نیاز مشتری
  • یکپارچگی(Consistency)بین سیستم‌هـا
  • دارای امکانات، راهنما و تقویم فارسی
  • امکان به‌روزرسانی آنلاین و آفلاین
  • پشتیبانی کامل از پروتکل IPv6
  • پشتیبانی کامل برای مشتریان
  • تعدد و تنوع زیرسیستم‌ها
  • مانیتورینگ قوی و پویا
  • و بسیاری قابلیت های مهم دیگر...

قابلیت های تخصصی محصول:

IPImen NGFW UTM Features

چرا لازم است که به سمت این محصول مهاجرت نمایید:

IPImen NGFW UTM Migration

عدم وابستگی به تحریم ها : با توجه به اینکه این محصول بصورت بومی طراحی و پیاده سازی شده است لذا هیچ نگرانی بایت تحریم ها شامل حال این محصول نخواهد شد.

پشتیبانی داخلی: کارشناسان بخش پشتیبانی این شرکت، محصول را بصورت رایگان نصب و راه اندازی کرده و خدمات دائمی پشتیبانی را به همراه مستندات فارسی و امکان ثبت تیکتها، ارائه می‌نمایند.

لایسنس زمانی نامحدود : این محصول به همراه کلیه قابلیت های درخواستی (از جمله Firewall ، IDPS و...) از نظر زمانی،لایسنس مادام‌العمر داشته و در تمام مدت، تمامی قابلیت های محصول تحویلی قابل اجرا و استفاده می باشند. لذا مدیر شبکه سازمان هر سال اجباری به پرداخت هزینه های کلان برای تمدید مجدد لایسنس ندارد.

نصب بر روی سخت افزارهای مشتری : در صورتی که مشتری قبلاً از سایر محصولات بومی یا بعضی از محصولات خارجی(از جمله سایبروم، آستارو، سوفوس) استفاده نموده است، میتواند بدون پرداخت هزینه های جانبی بابت سخت افزار، بر روی همین سخت افزارها، محصول IPImen را دریافت نماید. 

پشتیبانی از تاریخ شمسی: این محصول علاوه بر پشتیبانی از تاریخ شمسی، امکان ثبت لاگ ها به تاریخ شمسی را نیز فراهم می‌نماید.

مدیریت گواهینامه ها: این محصول امکان ساخت و ذخیره سازی Certificate های از پیش تعریف شده یا Self-Sign را فراهم می‌نماید.

بروزرسانی آنلاین و آفلاین : این محصول امکان بروزرسانی آنلاین بصورت دستی و خودکار را فراهم مینماید و مدیر شبکه سازمان نیازی به هماهنگی های تلفنی و ارائه ریموت جهت بروزرسانی دستی محصول را ندارد.

ذخیره بکاپ ها در زیرساخت ابری : این محصول امکان ذخیره بکاپ تنظیمات سیستم را بر روی IPImen Cloud فراهم نموده است تا همیشه توسط رمزاختصاصی شما قابل دسترس باشند.

ثبت لاگ SSL و TLSبا توجه به اینکه سایت های اینترنتی به سمت HTTPS شدن مهاجرت نموده اند، لذا بسیار مهم است که محصول بتواند لاگ مرتبط با این سایت ها را ثبت نماید درصورتیکه این قابلیت تقریباً در سایر محصولات تعبیه نشده است.

قابلیت فیلترینگ بر روی پروتکلTLS وSSL: این محصول میتواند ترافیک های عبوری تحت SSL و در فرم جدید تر TLS را حداقل توسط TLS Server Name ، فیلتر نماید در صورتی که سایر محصولات یا این قابلیت را نداشته و یا تنها به SSL Common name اکتفا نموده اند.

قابلیت فیلترینگ بر روی پروتکلSMTP: این محصول میتواند ترافیک های عبوری بر روی پروتکل SMTP را به تفکیک From و RCPT فیلتر نماید که در سایر محصولات تعبیه نشده است

قابلیت فیلترینگ بر رویROW Packet Data : این محصول میتواند ترافیک های عبوری را حسب String و HEX Byte پکت ها فیلتر نماید که در سایر محصولات تعبیه نشده است

قابلیت فیلتر نمودن دائمی و کامل کلیه نرم‌افزارهای فیلترشکن (ازجملهFree gate ،Ultra-surfو...)، پیام رسان های اجتماعی مانندTelegram و...: براي بستن اين نرم‌افزارها روش هاي رايج (ازجمله بستن پورت، بستن آدرس URL ، بستن Pattern ، بستن DNS و...) كفايت نميكند زيرا هوشمندي فراوان آن‌ها و گستردگي سرورهاي خدمات دهنده موجب فعاليت مجدد آن‌ها خواهد شد. در محصول IPImen به اين راهكار به عنوان يك Total Solution نگاه می‌شود و با در نظر گرفتن تمامي راه هاي جاري و ساير روش هاي انحصاري (مانند Name، Path، MD5 Hash، Cert Subject و Cert Serial No) تعبيه شده در محصول، ميتوان اين نرم‌افزارها را فيلتر كرد. بديهي است كه اين فيلترينگ بر روي تمامي نسخه هاي قديمي و جديد اين نرم‌افزارها اعمال شده و قابل دورزدن نمیباشد.

ثبت لاگ ارتباطی برنامه های کاربر:  این محصول امکان ثبت لاگ های ارتباطی برنامه های کاربردی را فراهم می نماید تا مدیر شبکه بتواند گزارشی از سایت ها و آدرس های استفاده شده توسط کاربر با استفاده از فیلترشکن ها و... را داشته باشد.

قابلیت جلوگیری از ورودMalware ها و بروزرسانی دائمی و انلاین آدرس ها

قابلیت جلوگیری از حملاتPhishing و بروزرسانی دائمی و انلاین آدرس ها

قابلیت جلوگیری ازRansomware ها و بروزرسانی دائمی و انلاین آدرس ها

قابلیتDLP سمتGateway: این محصول قابلیت جلوگیری از نشت اطلاعات تحت پروتکل های FTP، HTTP، TFTP و... را فراهم می نماید.

ارائه خدماتWi-Fi Access point: این محصول میتواند در مدل های سخت افزاری دارای Wi-Fi، خدمات ارائه اینترنت بیسیم را فراهم می نماید.

پشتیبانی ازVirtual IP : جهت پایلیش نمودن آدرس های چندگانه سایت های داخلی

قابلیت احراز هویت در پروتکلSSLوTLS: با توجه به فراگیر شدن سایت های HTTPS، این محصول میتواند حتی سایت های HTTPS را نیز احراز هویت نموده و حتی لاگ های مرتبط با مشاهده سایت های HTTPS توسط کاربران را نیز ثبت نماید.

استفاده از كانال امن برای انتقال اطلاعات هویتی: این محصول میتواند ترافيك هاي مرتبط با انتقال اطلاعات هويتي كاربران در شبكه را امن نمايد (SSL ، TLS و...). در یک توضیح ساده تر، صفحه hotspot بصورت HTTPS ارائه میگردد تا امکان شنود رمزعبور کاربران در شبکه وجود نداشته باشد.

قابلیت تغییر عنوان و لوگوی صفحه احراز هویت توسط مدیر سیستم: این محصول امکانی را در کنسول مدیریتی سیستم تعبیه نموده تا مدیر سیستم بصورت دستی و بدون دخالت تولیدکننده بتواند تغییرات لازم در عنوان و لوگوی صفحات احراز هویت را اعمال نماید.

یکپارچگی محصول با قابلیتAccounting: در این محصول نیازی به استفاده از محصولات جانبی جهت اکانتینگ کاربران وجود ندارد و تمامی قابلیت ها در یک محصول بصورت یکپارچه ارائه میگردند.

امکان اتصال به انواعRadius NAS Server ها: قابلیت Accounting تعبیه شده در سیستم  میتواند این خدمت را به سایر محصولات (مثل فایروال ها، VPN سرور ها، میکروتیک و...) نیز ارائه نماید بگونه ای که کاربران سایر سیستم ها را نیز اکانتینگ کند.

امکانMulti Database: این محصول جهت نگهداری و مدیریت لیست کاربران و گروه ها، امکان اتصال به دیتابیس داخلی و یا دیتابیس خارجی را فراهم نموده است در صورتی که در سایر محصولات به دیتابیس داخلی بسنده شده است و با زیاد شدن لاگ ها و اطلاعات، دیتابیس کند شده و در عملکرد محصول اختلال ایجاد مینماید.

قابلیتZone بندی اختیاری: این محصول امکانی را فراهم می نماید تا مدیر سیستم هیچ اجباری در استفاده از Zone بندی نداشته باشد اما در صورت نیاز بتواند بر اساس انواع مختلف حداقل شامل LAN، WAN و DMZ اقدام به تعریف و بکارگیری از Zone ها بنماید.

جلوگیری ازBig IP ها: این محصول قابلیت جلوگیری اتوماتیک از دسترسی کلاینت ها به آدرس های مخرب (معرفی شده به عنوان Banned) لیست شده را فراهم می نماید.

قابليت پشتيباني کامل و نامحدود از IPsec VPN

قابلیت پشتیبانی از  SSL tunnel اختصاصی : تانل های SSL در سایر محصولات نیز ارائه میشوند اما در این محصول، کاربر میتواند توسط Drag drop کردن، تعیین کند که ترافیک کدام نرم افزارها از طریق تانل ارسال شود.

امکان ارائهToken سخت افزاری:این محصول امکان استفاده از Token را بصورت Optional برای SSL Tunnel ها فراهم می نماید و مدیر سیستم میتواند بدون دخالت تولید کننده اقدام به تولید این توکن ها بنماید.

 

 

مدل بندی محصول:

این محصول دارای 7 مدل اولیه است که در 4 کلاس دسته بندی شده است و در جدول زیر به انواع مدل های محصول و تفاوت های آنها با یکدیگر اشاره شده است.

 

Takian IPImen NGFW UTM Model throughput

 

مستندات و فایل های ارائه شده:

 

جهت آشنایی بیشتر با این محصول و کسب اطلاعات کامل تر در زمینه نصب و راه اندازی میتوانید فایل های زیر را دانلود نمایید:
(برای دسترسی به فایل های زیر باید سطح دسترسی کافی داشته باشید، در غیراینصورت با بخش فروش یا پشتیبانی تماس حاصل نمایید)

 

راهنمای معرفی قابلیت ها (پروپوزال) IPImen NGFW-UTMراهنمای معرفی قابلیت ها (پروپوزال) IPImen NGFW-UTM

راهنمای کاربری محصول IPImen NGFW-UTMراهنمای کاربری محصول IPImen NGFW-UTM

راهنمای نصب و راه اندازی محصول IPImen NGFW-UTMراهنمای نصب و راه اندازی محصول IPImen NGFW-UTM

راهنمای آشنایی با کلمات رایج IPImen NGFW-UTMراهنمای آشنایی با کلمات رایج IPImen NGFW-UTM

پرزنت IPImen NGFW-UTMپرزنت معرفی محصول IPImen NGFW-UTM

 

دموی محصول:

جهت مشاهده دموی محصول با بخش فروش تماس حاصل فرمایید.

محصول IPImen NGFWaaS

سامانه بومی فایروال بر حسب سرویس  (IPImen NGFirewall as a Service)

این فایروال نسل بعدی که خدمات خود را بصورت سرویس محور ارائه میدهد، به عنوان یک Next Generation Firewall نام IPImen NGFWaaS ارائه شده است و به‌ صورت کاملاً تخصصی بر بستر سیستم‌عامل سفارشی‌سازی شده توسط این شرکت بانام ImenOS  و بصورت مجازی ارائه می‌گردد.


 

  • معرفی
  • مشخصات عمومی و تخصصی
  • دلایل مهاجرت به این محصول
  • دانلود فایل ها
  • دمو آنلاین

این محصول در واقع نوعی متفاوت از ارائه محصول IPImen NGFW-UTM است که با راهکاری جدید و با فرمی متفاوت به مشتریان ارائه میگردد.

روش عملکردی محصول امنیتی IPImen NGFWaaS:

این محصول بر پایه مدل سرویس اجاره ای (Firewall as a Service) اختصاص به مشتریان اراه میگردد. IPImen NGFWaaSاین راهکار در واقع یک فایروال نسل بعدی است که بستری امن و تخصصی جهت ارائه این محصول بصورت مجازی و آنلاین فراهم شده است تا مشتریان بتوانند براحتی و بدون نیاز به صرف هزینه های کلان بابت لایسنس محصولات و سخت افزار آنها، این محصول را بصورت ماهانه از طریق سایت شرکت تاکیان خریداری نموده و هزینه آن را بصورت ماهانه پرداخت نمایند تا علاوه بر برخورداری از امکانات امنیتی که بعدا به انها اشاره خواهد شد بدون نگرانی از مناسب نبودن محصول در آینده و یا بدون نگرانی بایت صرف هزینه جهت سخت افزار و بدون نگرانی بابت نحوه ارتقاء توان خروجی محصول، اقدام به استفاده از محصول بنماید.

در واقع مشتری با مراجعه به بخش خرید آنلاین، میتواند با طی مراحل زیر، فایروال دلخواه خود را داشته باشد:

1 - مشتری ابتدا مشخصات خود را وارد مینماید

2 - سپس قابلیت های مورد نیاز خود را از بین قابلیت های ارائه شده در این محصول، انتخاب نموده

3 - تعداد سشن های آنلاین را تعیین میکند

4 - تعداد کلاینت های انلاین را تعیین میکند

5 - تعداد کاربران آنلاین را تعیین می نماید

6 - مدت زمان لایسنس را انتخاب می نماید (بطور مثال یک ماهه، دو ماهه،...)

7 - هزینه لایسنس محصول محاسبه گردیده و مشتری هزینه را بصورت آنلاین پرداخت می نماید

8 - لینک دانلود محصول بصورت فایل مجازی (اختصاصی فقط برای همان مشتری) نمایش داده میشود و مشتری میتواند فایل را دانلود نماید

9 - فایل مجازی دانلود شده را میتواند بر روی انواع مجازی سازها(از جمله ESX یا VMWare یا VirtualBox یا KVM و...) پیاده سازی نماید

10 - تعداد کارت شبکه های دلخواه، مقدار CPU، مقدار RAM و... را تعیین نموده و شروع به استفاده از محصول در شبکه خود بنماید.

11 - پس از گذشت مدت زمان تعیین شده توسط کاربر و پایان لایسنس، مشتری میتواند دوباره به سایت تاکیان مراجعه نموده و با تمدید سفارش، لایسنس جدید را دانلود نموده و در محصول Upload نماید.

این محصول چگونه نگرانی های شما را رفع می نماید:

  • اجباری به خرید این محصول بصورت سخت افزاری توسط مشتری نیست و در نتیجه فضایی از رک را اشغال نکرده و هزینه بیشتر مالی را تحمیل نخواهد کرد
  • این محصول دارای کنسول مدیریتی کاربر پسند می باشد تا مشتری بتواند با حداقل دانش، پالیسی های امنیتی دلخواه را پیاده سازی نماید
  • بصورت رایگان، یک نسخه به عنوان HA نصب میگردد تا پایداری افزایش یابد
  • هزینه استفاده از یک متخصص دائمی، برای مدیریت فایروال، به مشتری تحمیل نشده و تنها شارژ ماهانه پرداخت میگردد
  • مشکلات سخت افزاری حذف شده و در صورت وجود اشکال نرم افزاری در این محصول، رفع اشکال توسط کارشناسان به راحتی مقدور است
  • مشتریان میتوانند ، در صورت علاقمندی به محصول و تایید صحت توان عملکردی آن، این محصول را بصورت On-Premise سخت افزاری یا مجازی نیز خریداری نمایند
  • این فایروال بصورت From Scratch طراحی شده و از هیچ engine متن بازی استفاده نمی نماید لذا با عملکرد در لایه Kernel Space توان پردازش و مدیریت ترافیک های سنگین را داراست
  • قابلیت های امنیتی تخصصی مهمی در محصول تعبیه شده است که بصورت انتخابی قابل فعال سازی است
  • این فایروال توان بسیار بالایی در مقابله با حملات سیل آسا و سایر حملات مطرح و خطرناک دارد
  • بار کاری بخش پشتیبانی را کاهش میدهد

در نهایت میبینم که با IPImen  علاوه بر این که مشتری نیازی به سرمایه گذاری هنگفت نخواهد داشت، حتی برای جمع آوری آن هم هیچ ضرر و زیانی متحمل نمی شود و هر زمان که بخواهد می تواند اشتراک خود را ملغی کند. کاری که تصور آن هم برای شرکتهای کوچک و بزرگ که سخت افزارها و نرم افزاری متعدد با انبوهی از متخصصان گرانقیمت دور خود جمع کرده اند محال است.

چرا این محصول یک فایروال مجازی Next Generation  است؟

فایروال های نسل بعدی یا Next Generation Firewalls گونه جدیدی از فایروال ها و تجهیزات امنیتی هستند که برخلاف فایروال های معمولی که تنها به پورت ها و آدرس های مبدا و مقصد توجه میکنند، میتوانند سطوح بالاتری از شناسه های فرستنده پکت را بررسی نموده وامنیت بالاتری را فراهم نمایند، این نسل از فایروال ها حتی سطوح امنیت را تا حد نرم افزارهای کاربری نصب شده بر روی سیستم کلاینت ها ارتقاء داده اند و تخصص اصلی انها اعمال محدودیت و بررسی App های است، کاری که از توان فایروال معمولی خارج است.

در اینجا به برخی از ویژگیهای معمول فایروال های NGFW اشاره خواهیم کرد:

  • امکانات استاندارد یک فایروال : در این نوع فایروال ها، تمامی قابلیت های فایروال های قدیمی تر( نسل اولی ) از قبیل مسدود کردن پورت ها و پروتکل ها و سرویس های شبکه ای ماننند NAT، route و... وجود دارد .
  • شناسایی و فیلتر کردن نرم افزارها : این قابلیت در واقع بزرگتری نقظه قوت اینگونه فایروال ها است ، آنها می توانند به جای اینکه صرفا پورت یا پروتکل خاصی را فیلتر کنند ، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر نمایند. این قابلیت موجب میگردد که نرم افزارهای مخرب، فیلترشکن ها و نرم افزارهای غیرمجاز در سطح سازمان، نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند .
  • واکاوی SSH و SSL: این نسل از فایروال ها میتوانند ترافیک رمزنگاری شده پروتکل های SSL و SSH را نیز واکاوی کنند . آنها توانایی رمزگشایی ترافیک را داشته و پس از رمز گشایی و اطمینان از سالم بودم و عدم وجود ترافیک غیر مجاز با توجه به خط مشی تعیین شده برای آن، مجددا رمزگذاری کرده یا بصورت ساده ارسال می کنند . این قابلیت از مخفی شدن کد های مخرب در درون ترافیک رمزنگاری شده توسط نرم افزارهای مخرب جلوگیری کرده و از ورود اینگونه ترافیک به درون شبکه جلوگیری کند.
  • جلوگیری از نفوذ : با هوشمندی خاصی که برای اینگونه از فایروال ها در نظر گرفته شده است و توانایی واکاوی فوق العاده ای که در آنها دیده شده است ، این NGFW ها توانایی جلوگیری و تشخیص نفوذ را در خود جای داده اند .برخی از NGFW ها قابلیت های تشخیص و جلوگیری از سطحی از نفوذ را دارند که حتی یک دستگاه IPS مجزا هم این ویژگیها را به تنهایی ارائه نخواهد داد.
  • هماهنگی با دایرکتوری سرویس ها : از قابلیت های جدید اینگونه NGFW ها هماهنگی کامل با ساختار های دایرکتوری مانند اکتیودایرکتوری است و با این روش دیگر نیازی به تعریف کاربر در فایروال نبوده و از همان گروه ها و کاربرانی که در اکتیودایرکتوری های Trust یا حتی Untrusted وحود دارند می توان در فایروال نیز استفاده کرد .
  • فیلتر کردن کدهای مخرب : این نسل از فایروال ها میتوانند بر اساس نوع فعالیت یک نرم افزار و مخرب بودن آن از ادامه کار یا حتی شروع به کار یک کد مخرب جلوگیری کنند ، اینگونه NGFW ها میتوانند بوسیله شناسایی سایت های مخرب و ذخیره آنها در دیتابیس خود از بروز حمله از طریق آنها جلوگیری کنند ، همچنین یعضی از آنها توانایی شناسایی حملات از نوع Phishing را دارند .

قابلیت های تخصصی محصول:

IPImen NGFWaaS Features

 

مشخصات عمومی محصول:

این محصول دارای قابلیت های مختلفی است که در زیر به بعضی از قابلیت عمومی آن اشاره شده است و جهت آشنایی با سایر قابلیت ها میتوانید به فایل معرفی محصول مراجعه نمایید:

  • طراحی و توسعه یکپارچه داخلی توسط متخصصان ایــرانی بدون وابستگی به محصــــــولات جانبیTakian NGFW intelligence
  • راه‌حل مجازی و ارائه به‌صورت ماشین مجازی قابل‌استفاده درمجازی سازهای مختلف
  • عدم نیاز به هیچ‌گونه تنظیم و نصب نرم‌افزار در سمت Clientها
  • سیستم مدیریت یکپارچه از طریق واسط کاربری ساده
  • قابلیت تعریف Firewall Policyهـــای نــــامحدود
  • توانایی تعریف Security-Zoneهای نـــامحدود
  • رعایت حقوق معنوی و حق تکثیر Copyright
  • پشتیبانی از حالات مختلف قرارگیری در شبکه
  • قابلیت سفارشی‌سازی بر مبنای نیاز مشتری
  • یکپارچگی(Consistency)بین سیستم‌هـا
  • پشتیبانی از قابلیت SMS Registration
  • دارای امکانات، راهنما و تقویم فارسی
  • امکان به‌روزرسانی آنلاین و آفلاین
  • پشتیبانی کامل از پروتکل IPv6
  • پشتیبانی کامل برای مشتریان
  • تعدد و تنوع زیرسیستم‌ها
  • مانیتورینگ قوی
  • سایر موارد...

چرا لازم است که به سمت این محصول مهاجرت نمایید:

IPImen NGFWaaS Migration

عدم وابستگی به تحریم ها : با توجه به اینکه این محصول بصورت بومی طراحی و پیاده سازی شده است لذا هیچ نگرانی بایت تحریم ها شامل حال این محصول نخواهد شد

پشتیبانی داخلی: کارشناسان بخش پشتیبانی این شرکت، محصول را بصورت رایگان نصب و راه اندازی کرده و خدمات دایمی پشتیبنی را به همراه مستندات فارسی ارائه مینمایند.

کاهش هزینه های جانبی : با توجه به خرید این محصول بصورت مدت دار ماهانه و مجازی، نیازی به خرید سخت افزارهای گرانقیمت و پرداخت هزینه های کلان بابت لایسنس های بلندمدت وجود ندارد.

لایسنس با زمان نامحدود : این محصول به همراه کلیه قابلیت های درخواستی (از جمله Firewall ، IDPS و...) از نظر زمانی، به دلخواه مشتری میتواندلایسنس نامحدود داشته باشد و در تمام مدت، تمامی قابلیت های محصول تحویلی قابل اجرا و استفاده می باشند. لذا مدیر شبکه سازمان هر سال مجبور به پرداخت هزینه های کلان برای تمدید مجدد لایسنس ندارد.

پشتیبانی از تاریخ شمسی: این محصول علاوه بر پشتیبانی از تاریخ شمسی، امکان ثبت لاگ ها به تاریخ شمسی را نیز فراهم مینماید.

مدیریت گواهینامه ها: این محصول امکان ساخت و ذخیره سازی Certificate های از پیش تعریف شده یا Self-Sign را فراهم مینماید.

بروزرسانی آنلاین و آفلاین : این محصول امکان بروزرسانی انلاین بصورت دستی و خودکار را فراهم مینماید و مدیر شبکه سازمان نیازی به هماهنگی های تلفنی و ارائه ریموت جهت بروزرسانی دستی محصول را ندارد.

قابلیت فیلترینگ بر روی پروتکلTLS وSSL: این محصول میتواند ترافیک های عبوری تحت SSL و در فرم جدید تر TLS را حداقل توسط TLS Server Name ، فیلتر نماید در صورتی که سایر محصولات یا این قابلیت را نداشته و یا تنها به SSL اکتفا نموده اند.

قابلیت فیلترینگ بر روی پروتکلSMTP: این محصول میتواند ترافیک های عبوری بر روی پروتکل SMTP را به تفکیک From و RCPT فیلتر نماید که در سایر محصولات تعبیه نشده است

قابلیت فیلترینگ بر رویROW Packet Data : این محصول میتواند ترافیک های عبوری را حسب String و HEX Byte پکت ها فیلتر نماید که در سایر محصولات تعبیه نشده است

قابلیت فیلتر نمودن دائمی و کامل کلیه نرم‌افزارهای فیلترشکن (ازجملهFree gate ،Ultra-surfو...)، پیام رسان های اجتماعی مانندTelegram و...: براي بستن اين نرم‌افزارها روش هاي رايج (ازجمله بستن پورت، بستن آدرس URL ، بستن Pattern ، بستن DNS و...) كفايت نميكند زيرا هوشمندي فراوان آن‌ها و گستردگي سرورهاي خدمات دهنده موجب فعاليت مجدد آن‌ها خواهد شد. در محصول IPImen به اين راهكار به عنوان يك Total Solution نگاه می‌شود و با در نظر گرفتن تمامي راه هاي جاري و ساير روش هاي انحصاري (مانند Name، Path، MD5 Hash، Cert Subject و Cert Serial No) تعبيه شده در محصول، ميتوان اين نرم‌افزارها را فيلتر كرد. بديهي است كه اين فيلترينگ بر روي تمامي نسخه هاي قديمي و جديد اين نرم‌افزارها اعمال شده و قابل دورزدن نمیباشد.

ثبت لاگ ارتباطی برنامه های کاربر:  این محصول امکان ثبت لاگ های ارتباطی برنامه های کاربردی را فراهم می نماید تا مدیر شبکه بتواند گزارشی از سایت ها و آدرس های استفاده شده توسط کاربر با استفاده از فیلترشکن ها و... را داشته باشد.

قابلیت جلوگیری از ورودMalware ها و بروزرسانی دائمی و انلاین آدرس ها

قابلیت جلوگیری از حملاتPhishing و بروزرسانی دائمی و انلاین آدرس ها

قابلیت جلوگیری ازRansomware ها و بروزرسانی دائمی و انلاین آدرس ها

قابلیتDLP سمتGateway: این محصول قابلیت جلوگیری از نشت اطلاعات تحت پروتکل های FTP، HTTP، TFTP و... را فراهم می نماید.

ارائه خدماتWi-Fi Access point: این محصول میتواند در مدل های سخت افزاری دارای Wi-Fi، خدمات ارائه اینترنت بیسیم را فراهم می نماید.

پشتیبانی ازVirtual IP : جهت پایلیش نمودن آدرس های چندگانه سایت های داخلی

قابلیت احراز هویت در پروتکلSSLوTLS: با توجه به فراگیر شدن سایت های HTTPS، این محصول میتواند حتی سایت های HTTPS را نیز احراز هویت نموده و حتی لاگ های مرتبط با مشاهده سایت های HTTPS توسط کاربران را نیز ثبت نماید.

استفاده از كانال امن برای انتقال اطلاعات هویتی: این محصول میتواند ترافيك هاي مرتبط با انتقال اطلاعات هويتي كاربران در شبكه را امن نمايد (SSL ، TLS و...). در یک توضیح ساده تر، صفحه hotspot بصورت HTTPS ارائه میگردد تا امکان شنود رمزعبور کاربران در شبکه وجود نداشته باشد.

قابلیت تغییر عنوان و لوگوی صفحه احراز هویت توسط مدیر سیستم: این محصول امکانی را در کنسول مدیریتی سیستم تعبیه نموده تا مدیر سیستم بصورت دستی و بدون دخالت تولیدکننده بتواند تغییرات لازم در عنوان و لوگوی صفحات احراز هویت را اعمال نماید.

یکپارچگی محصول با قابلیتAccounting: در این محصول نیازی به استفاده از محصولات جانبی جهت اکانتینگ کاربران وجود ندارد و تمامی قابلیت ها در یک محصول بصورت یکپارچه ارائه میگردند.

امکان اتصال به انواعRadius NAS Server ها: قابلیت Accounting تعبیه شده در سیستم  میتواند این خدمت را به سایر محصولات (مثال فایروال ها، VPN سرور ها، میکروتیک و...) نیز ارائه نماید بگونه ای که کاربران سایر سیستم ها را نیز اکانتینگ کند.

امکانMulti Database: این محصول جهت نگهداری و مدیریت لیست کاربران و گروه ها، امکان اتصال به دیتابیس داخلی و یا دیتابیس خارجی را فراهم نموده است در صورتی که در سایر محصولات به دیتابیس داخلی بسنده شده است و با زیاد شدن لاگ ها و اطلاعات، دایتابیس کند شده و در عملکرد محصول اختلال ایجاد مینماید.

قابلیتZone بندی اختیاری: این محصول امکانی را فراهم می نماید تا مدیر سیستم هیچ اجباری در استفاده از Zone بندی نداشته باشد اما در صورت نیاز بتواند بر اساس انواع مختلف حداقل شامل LAN، WAN و DMZ اقدام به تعریف و بکارگیری از Zone ها بنماید.

جلوگیری ازBig IP ها: این محصول قابلیت جلوگیری اتوماتیک از دسترسی کلاینت ها به آدرس های مخرب (معرفی شده به عنوان Banned) لیست شده را فراهم می نماید.

قابليت پشتيباني کامل و نامحدود از IPsec VPN

قابلیت پشتیبانی از  SSL tunnel اختصاصی : تانل های SSL در سایر محصولات نیز ارائه میشوند اما در این محصول، کاربر میتواند توسط Drag drop کردن، تعیین کند که ترافیک کدام نرم افزارها از طریق تانل ارسال شود.

امکان ارائهToken سخت افزاری:این محصول امکان استفاده از Token را بصورت Optional برای SSL Tunnel ها فراهم می نماید و مدیر سیستم میتواند بدون دخالت تولید کننده اقدام به تولید این توکن ها بنماید.

ثبت لاگSSL وTLS:با توجه به اینکه سایت های اینترنتی به سمت HTTPS شدن مهاجرت نموده اند، لذا بسیار مهم است که محصول بتواند لاگ مرتبط با این سایت ها را ثبت نماید درصورتیکه این قابلیت تقریبا در سایر محصولات تعبیه نشده است.

 

مستندات و فایل های ارائه شده:

 

جهت آشنایی بیشتر با این محصول و کسب اطلاعات کامل تر در زمینه نصب و راه اندازی میتوانید فایل های زیر را دانلود نمایید:
(برای دسترسی به فایل های زیر باید سطح دسترسی کافی داشته باشید، در غیراینصورت با بخش فروش یا پشتیبانی تماس حاصل نمایید)

 

راهنمای معرفی قابلیت ها (پروپوزال) IPImen NGFW-UTMراهنمای معرفی قابلیت ها (پروپوزال) IPImen NGFWaaS

راهنمای کاربری محصول IPImen NGFW-UTMراهنمای کاربری محصول IPImen NGFWaaS

راهنمای نصب و راه اندازی محصول IPImen NGFW-UTMراهنمای نصب و راه اندازی محصول IPImen NGFWaaS

راهنمای آشنایی با کلمات رایج IPImen NGFW-UTMراهنمای آشنایی با کلمات رایج IPImen NGFWaaS

پرزنت IPImen NGFW-UTMپرزنت معرفی محصول IPImen NGFWaaS

 

دموی محصول:

جهت مشاهده دموی محصول با بخش فروش تماس حاصل فرمایید.

نقص رفع نشده SonicWall VPN و حملات روز صفر

 

یک آسیب پذیری بحرانی و حیاتی در تجهیزات مرتبط با Sonicwall VPN که تصور میشد در سال گذشته پچ شده است، در حال حاضر و با توجه به اینکه این شرکت این نقص نشت حافظه را رفع نکرده، به عنوان یک خرابکاری و خطای بزرگ سر برآورده است. تا به اکنون، این نقص اجازه دسترسی به اطلاعات حساس برای مهاجم از راه دور فراهم می آورد.

در 22 ماه ژوئن (روز گذشته)، این نقص در پی یک بروزرسانی برای Sonicos Rundified، اصلاح شد.

نقصی که تحت عنوان CVE-2021-20019 و با نمره CVSS برابر 5.3 از آن یاد شده است، آسیب پذیری ای است که نتیجه نشت حافظه در هنگام ارسال یک درخواست HTTP غیر مجاز میباشد که به طور خاص ساخته شده است، که به طبع از طریق افشای اطلاعات به دست می آید.

لازم به ذکر است که تصمیم Sonicwall برای متوقف کردن پچی که در میان افشای چند باره روز-صفر، بر روی دسترسی از راه دور VPN و محصولات امنیتی ایمیل که در یک سری از حملات بسیار شدید به منظور اجرای Backdoor و نیز یک باج اقزار جدید با نام FIVEHANDS مورد سوء استفاده قرار گرفته اند، بسیار تاثیر گذار است.

هرچند هیچ شواهدی مبنی بر اینکه این نقص در فضای سایبری مورد سوءاستفاده قرار گرفته باشد، وجود ندارد.

takian.ir sonicwall left vpn flaw partially unpatched

 

مجموعه Sonicwall اعلام کرد: "فایروال های فیزیکی و مجازی Sonicwall که در حال اجرا نسخه های بخصوصی از SonicOS هستند، ممکن است حاوی این آسیب پذیری که در پی آن پاسخ HTTP سرور از حافظه جزئی نشت می کند، باشند. این مسئله به طور بالقوه می تواند به آسیب پذیری افشای اطلاعات حساس داخلی منجر شود".

نقص اصلی، شناسایی شده با عنوان CVE-2020-5135 و با نمره CVSS برابر 9.4، مربوط به آسیب پذیری سرریز بافر در SonicOS  میباشد که می تواند مهاجم از راه دور را قادر به ایجاد Denial-of-Service یا DoS  و به طور بالقوه اجرای کد دلخواه با ارسال درخواست مخرب به فایروال، نماید.

در حالی که Sonicwall در اکتبر سال 2020 یک پچ را ارائه کرد، اما آزمایش های بیشتری که توسط شرکت سایبری تریپ وایر انجام شده است، یک نشت حافظه را به گفته پژوهشگر امنیتی کرگ یانگ، که مشکل جدید Sonicwall را در 6 اکتبر 2020 گزارش کرد، با عنوان "ماحصل یک اصلاح نامناسب برایCVE-2020-5155" نشان داده است.

یانگ در روز سه شنبه اشاره کرد: "در حد یک یا دو خط کد نویسی رفع مشکل با حداقل میزان تاثیر، من انتظار داشتم که یک پچ احتمالا به سرعت بیرون می آید، اما ما به سرعت به ماه مارس نزدیک میشویم و هنوز هیچ خبری از آن شنیده نشده است. من مجددا به PSIRT آنها در تاریخ 1 ماه مارس 2021 برای بروزرسانی متصل شدم، اما در نهایت تا ماه ژوئن و قبل از آن زمانی که مشاوره امنیتی میتوانست منتشر شود، همه چیز خوب پیش رفت".

هشدار! حمله سایبری فعال به فایروال ها و VPN های شرکت Zyxel

 takian.ir zyxel firewalls and vpns under active cyberattack

شرکت تجهیزات شبکه تایوانی Zyxel به مشتریان در مورد یک حمله در حال اجرا که زیرمجموعه ای از محصولات امنیتی آن شرکت، شامل فایروال و سرورهای VPN ر اهدف قرار می دهد ، هشدار داده است.

این شرکت با انتساب حملات به "عامل تهدید پیچیده"، خاطرنشان کرد که این حملات مشخصا تنها تجهیزاتی را که دارای مدیریت از راه دور یا SSL VPN آنها فعال هستند، تحت تاثیر قرار میدهد. این مورد شامل سری های USG/ZyWALL ،USG FLEX ،ATP و VPN که از ZLD Firmware استفاده می کنند، میباشد. در پی این حمله، دستگاههای هدف قرار گرفته، از طریق اینترنت در دسترس عموم قرار دارند.

کمپانی Zyxel در یک پیام ایمیل، که در توییتر نیز به اشتراک گذاشته شده است، اعلام کرد: "تهدید کننده تلاش می کند تا از طریق WAN به دستگاهی دسترسی پیدا کند؛ در صورت موفقیت، آنها مرحله احراز هویت را دور می زنند و تونل های SSL VPN با حساب های کاربری ناشناخته مانند" zyxel_slIvpn "،" zyxel_ts "یا" zyxel_vpn_test "را ایجاد می کنند تا پیکربندی دستگاه را دستکاری کنند".

takian.ir zyxel firewalls and vpns under active cyberattack 2

 

به نقل از هکر نیوز از زمان نشر این خبر، تاکنون مشخص نشده است که این حملات از نقاط ضعف شناخته شده قبلی در دستگاه های Zyxel استفاده می کنند یا اینکه از نقص روز صفر برای نفوذ سیستم استفاده می کنند. همچنین مقیاس و حجم حمله و تعداد کاربران تحت تأثیر آن نیز تاکنون مشخص نگردیده است.

برای کاهش سطح حمله، این شرکت به مشتریان خود توصیه کرده است که خدمات HTTP/HTTPS را از WAN غیرفعال کرده و لیستی از geo-IP ممنوعه را پیاده سازی کنند تا دسترسی از راه دور فقط از نقاط دسترسی معتبر امکان پذیر باشد.

در اوایل سال جاری، Zyxel یک آسیب پذیری مهم را در سیستم عامل خود حذف کرد تا یک حساب کاربری با کد بسیار سخت "zyfwp" (CVE-2020-29583) را که ممکن بود توسط یک مهاجم برای ورود به سیستم با سطح اختیارات ادمین مورد سواستفاده شود و محرمانه بودن، یکپارچگی، امنیت و دردسترس بودن دستگاه را به خطر بیندازد، حذف کند.

takian.ir zyxel firewalls and vpns under active cyberattack 3

این توسعه در حالی صورت می گیرد که VPN های سازمانی و سایر دستگاه های شبکه، به هدف اصلی مهاجمان در یک سری کمپین ها با هدف یافتن راه های جدید در شبکه های سازمان ها تبدیل شده اند و به عاملان تهدید این امکان را می دهد که به صورت جانبی در شبکه جابجا شده و حرکت کنند و اطلاعات حساس را جهت جاسوسی و سایر عملیات های با انگیزه مالی، گردآوری نمایند.

هکرها بیش از دویست هزار روتر میکروتیک را آلوده به بدافزارهای ماینینگ کردند

محققان امنیتی حداقل سه کمپین عظیم مخرب برای گسترش بدافزارها را کشف کرده اند که از صدها هزار روتر MikroTik سوء استفاده می کنند تا بصورت مخفیانه بدافزارهای ماینر ارزهای دیجیتال (cryptocurrency miners) را بدون اجازه در رایانه های متصل به آنها نصب کنند.Takian.ir Mining Monero in Mikrotik
در مجموع، کمپین های بدافزاری بیش از 210،000 روتر از شرکت ارائه دهنده سخت افزار شبکه لتونی (Latvian network hardware provider Mikrotik) در سراسر جهان را به خطر انداخته اند، که هنوز هم در حال افزایش هستند.
هکرها از یک آسیب پذیری شناخته شده در Winbox روتر MikroTik بهره می گیرند که در اردیبهشت ماه سال جاری(1397) کشف شد و طی یک روز از کشف آن پچ شده است که بار دیگر نشان میدهد که پچ نکردن بروزرسانی ها چقدر میتواند دردسرساز باشد.
این نقص امنیتی به طور بالقوه می تواند به مهاجم این اجازه را بدهد که از راه دور به هر روتر میکروتیک آسیب پذیری دسترسی داشته باشد.
اولین کمپین برای اولین بار توسط توسط محققان Trustwave کشف شد که با هدف قرار دادن تجهیزات شبکه در برزیل آغاز شده بود، جایی که یک هکر یا گروهی از هکرها بیش از 183،700 روتر MikroTik را به خطر انداختند.
از آنجا که هنوز هم بسیاری از روترهای میکروتیک موجود در دنیا، پچ های مرود نظر را نصب نکرده اند و هکرها هرروز اطلاعات بیشتری در مورد این باگ کشف میکنند، احتمال میرود که این حملات در مقیاس گسترده تری در جهان گسترش یابند.
تروی مورچ (Troy Mursch)، یکی از محققان امنیتی، دو کمپین مشابه بدافزار را شناسایی کرده است که 25،500 و 16،000 روتر MikroTik را در مولدووا آلوده کرده است، که این بدافزارها عمدتاً به منظور ماینینگ ارزهای دیجیتال بوده و از سرویس CoinHive بهره برده اند. روش کار به این صورت است که مهاجمان کد جاوا اسکریپت Coinhive را به صفحات وبی تزریق میکنند که از مسیر یک روتر آسیب پذیر مشاهده شود تا در نهایت هر کامپیوتر متصل را به صورت ناشناس به یک ماینر ارز دیجیتالی مونرو (Monero) تبدیل کند.
سایمون کنین (Simon Kenin) محقق شرکت Trustwave می گوید: "مهاجم یک صفحه خطای سفارشی با اسکریپت CoinHive را ایجاد کرده است" و "اگر کاربر هنگام مرور صفحات وب، یک صفحه خطا (از هر نوع) را دریافت کند، این صفحه خطای سفارشی برای کاربر ارسال میگردد و شروع به ماینینگ میکند."  آنچه در مورد این کمپین ها قابل توجه است، این است که مهاجمان بجای اینکه با استفاده از روش های پیچیده استفاده کنند، توانسته اند به همین راحتی کلاینت های بسیار زیادی را آلوده کرده و به هدفشان برسند.
سایمون کنین همچنین گفت: "صدها هزار دستگاه از این دستگاه ها (MikroTik) در سرتاسر جهان وجود دارد، در ISP ها و سازمان ها و کسب و کارهای مختلف، هر دستگاه حداقل ده ها و نه صدها کاربر روزانه را خدمت می کند. این یک زنگ اخطار خوب برای کاربران و مدیران فناوری اطلاعات است که در حال حاضر روترهای MikroTik آسیب پذیر را در محیط خود به کار می گیرند تا در اسرع وقت دستگاه های خود را بروزرسانی و پچ کنند".
این اولین بار نیست که روترهای MikroTik برای گسترش نرم افزارهای مخرب هدف قرار گرفته اند. در اسفند ما سال 1396 نیز، یک گروه هک پیشرفته APT از آسیب پذیری های ناشناخته در روترهای MikroTik به منظور مخفی ساختن نرم افزارهای جاسوسی به رایانه های قربانیان بهره برداری کرد.
حرف آخر:با توجه به بالا رفتن قیمت ارز و قیمت پایین تجهیزات میکروتیک ، استفاده از این فایروال روتر بسیار فراگیر شده است، برای جلوگیری از بروز حملات رایج مطرح شده در این چند ماه و درگیر شدن با کمپین های بدافزاری، حتما فایروال روتر میکروتیک خود را بروزرسانی کرده و دسترسی های آن را محدود نمایید و در سناریوهای تخصصی تر حتما از فایروال های حرفه ای استفاده نمایید.