محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

NBAR چیست؟ بررسی قابلیت Network Based Application Recognition

همیشه تا حرفی از روتر به میان می آید لایه سوم مدل OSI در ذهن ما تداعی می شود ، Cisco NBAR یک قابلیت بسیار جالب در برخی از روترهای شرکت سیسکو است که این امکان را به روتر شما می دهد که بتواند به ترافیک لایه های بالاتری مانند لایه های 4 تا 7 نگاه کند. این بدین معناست که روتر هم می تواند Application ها را تشخیص دهد ، شاید در حرف ساده به نظر برسد اما در عمل بدین معناست که روتر شما می تواند ترافیک انواع Application ها را شناسایی کند و بر اساس همین شناسایی اعمالی را روی این ترافیک می تواند انجام دهد ، برای مثال می تواند اولویت ترافیکی بیشتری به یک سری از Application ها بدهد یا ترافیک یک سری از Application ها را کاملا مسدود کند و یا بسیاری دیگر از اعمالی از این قبیل را بتواند انجام دهد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

NBAR از IOS 12.0 به روترهای سیسکو اضافه شد اما در اوایل کار از Application های زیادی پشتیبانی نمی کرد تا اینکه IOS 12.3 ارائه شد که در این نسخه از IOS پیشرفت های بسیار زیادی در NBAR دیده می شد ، در نسخه جدید از NBAR تعداد بسیار زیادی از Application ها قابل شناسایی بودند زیرا قابلیت دیگری به نام Packet Description Language Module یا ماژول PDLM به IOS اضافه شده بود. IOS با استفاده از ماژول PDLM متوجه می شود که یک Application چیست و این را با استفاده از نگاه کردن به Traffic Flow تعیین می کند. سیسکو هر چند وقت یکبار مانند یک پایگاه داده یک PDLM جدید برای شناسایی Application های جدید معرفی می کند که شما براحتی می توانید آن را اینترنت دانلود و بر روی روتر های خود نصب کنید.

در چه مواقعی می توانیم از Cisco NBAR استفاده کنیم؟

با اینکه ذاتا NBAR برای شناسایی Application ها برای ایجاد کردن و طراحی ساختار Quality Of Service یا QoS استفاده می شود اما کاربردهای بسیار زیاد دیگری نیز دارد. به نظر من با توجه به اینکه به تازگی در یکی از پروژه های امنیتی که داشتیم بسیاری از کاربردهای NBAR برای کنترل کردن ترافیک برای مسائل امنیتی می باشد ، کنترل کردن ترافیک های ناخواسته و همچنین کنترل کردن امنیتی ترافیک روترها از مهمترین کاربردهای NBAR است.

زمانیکه صحبت از شناسایی ترافیک می شود محبوبترین نوع شناسایی ترافیک ، شناسایی فیلند های موجود در Packet ها پروتکل HTTP است ، فیلد هایی مثل URL ، Content Type یا User Agent از مهمترین این فیلد ها هستند. برای مثال ساده ترین حالتی که ما از NBAR برای اهداف امنیتی استفاده می کنیم این است که NBAR متوجه ورود کرم اینترنتی به نام Code Red Worm در ترافیک روتر شما می شود ، این کد را NBAR از طریق رد و بدل شدن سریع کدهای HTTP می تواند متوجه شود ، این نوع کرم اینترنتی در سال 2001 در اینترنت منتشر شد و شبکه های بسیاری را آلوده کرد.

وقتی شما در شبکه خود قایروال نسل جدید ندارید و از فایروال های قدیمی استفاده می کنید که نمی توانند داخل HTTP را مشاهده کنند و جلوی ورود چنین کدهای مخربی را بگیرند NBAR واقعا کاربردی است. مثلا در شبکه انجمن تخصصی فناوری اطلاعات ایران در زمانیکه ما از فایروال های قدیمی استفاده می کردیم از NBAR به عنوان یک نوع WAF در شبکه استفاده می کردیم. معمولا هرگونه ترافیکی که در لایه Application ایجاد شود و از جانب NBAR دارای Definition یا تعریف باشد قابل شناسایی است.

برای بدست آوردن بروز ترین لیست پروتکل های پشتیبانی شده توسط NBAR می توانید به این لینک با عنوان NBAR Protocol Pack مراجعه کنید. چند کار است که NBAR نمی تواند آنها را انجام دهید و باید به آنها توجه کنید ، شما نمی توانید NBAR را روی interface های encrypt شده و tunnel شده استفاده کنید و همچنین شما نمی توانید ترافیک داخل HTTPS و URL هایی که از SSL استفاده می کنند استفاده کنید. امیدوارم مورد توجه شما قرار گرفته باشد. توسینسو باشید


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات