هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

استراتيجيات الانتقال الى ipv6

الجيل الحالي والاكثر استخداما من عناوين الايبي هو IPv4 وهو الاكثر استخداما من البروتوكول الجديد IPv6. بشكل سريع سوف اذكر اهم سبب لانشاء الـ IPv6 هو بسبب ان العناوين المقدمه من IPv4 قليله ولن تكفي لكل مستخدمين الانترنت . كذلك الجوانب التطويرية التي حصلت للبروتوكول نفسه يجب اخذها بعين الاعتبار ولكن اكثر ما يتم ذكره كسبب لانشاء البروتوكول الجديد هو عدد العناوين القليله المقدمه من IPv4 وهي بالفعل كانت المشكلة الرئيسية .

عدد العناوين التي سوف يقدمها لنا الـ IPv6 هو

340, 282, 366, 920, 938, 463, 374, 607, 431, 768, 211, 456 عدد كبير جدا

لا انوي الخوض في التفاصيل الخاصة بالبروتوكول وانما الاستراتيجيات التي  سوف تستخدم ليتم الانتقال من الـ IPv4 الى الـ IPv6 . العملية ليست سهلة كما تظن بسبب العدد الكبير والضخم لمستخدمي الانترنت واجهزة الانترنت كذلك التغيرات التقنية التي يجب ان تدعمها الانظمه لتفهم الـ IPv6 لهذا تجد ان الانتقال الكامل كان متوقع منذ سنوات وكل فتره تاتي الاحصائيات بان الانتقال الكامل سوف يكون في عام كذا ويتم تمديد الفتره وهكذا و يعود السبب الى التعقيد في عملية الانتقال .

الانتقال من الـ IPv4 الى IPv6 :

عملية الانتقال سوف تكون بشكل تدريجي سوف يتم الاعتماد على ثلاث استراتيجيات للانتقال

  • Dual Stack
  • Tunneling
  • Header Translation

هذه هي الاستراتيجيات الثلاث التي سوف يتم الاعتماد عليها حتى الانتقال الكامل الى IPv6 وهذا ياخذ وقت ليس بالقليل ابدا .

Dual Stack:

في هذه الخطة سوف يتم  دعم الانظمه بكلا من IPv4 و IPv6 لتتمكن من فهم الpackets التي تاتي من اجهزه بالفعل انتقلت الى IPv6 . بهذه الطريقة سوف نضمن ان الاجهزه التي انتقلت بالفعل تستطيع التخاطب مع الاجهزه التي لم تنتقل والعكس صحيح

Tunneling:

هنا يتم استخدام هذه الاستراتيجية عندما يكون جهاز يريد التخاطب مع جهاز اخر وكلا الجهازين يستخدموا IPv6 ولكن الاجهزة التي في المنتصف (routers ) تتستخدم الـ IPv4 . يجب على الـ packet ان تحتوي على عناوين ipv4 ايضا . في هذه الحالة يتم استخدام مفهوم الـ encapsulation ويتم تغليف الـ IPv6 packet بـ IPv4 packet وكان الحزمه دخلت في نفق حتى وصلت الى الجهاز المقصود والذي يفهم عناوين IPv6 .

Header Translation:

هذه الاستراتيجية الثالثة وهي عندما يكون هناك جهاز يستخدم IPv6 يريد ان يتخاطب مع جهاز اخر يستخدم IPv4 في هذه الحالة يتم استخدام ما يسمى Header Translation وهي عملية تحويل الHeader الخاص بالـ packet الى نفس نوع الـ Header الذي موجود في الجهاز المراد ارسال البيانات اليه .

حتى الان عملية الانتقال لم تتم بالكامل وذلك لأسباب تقنية عديده , الامر ليس محصور فقط بان يتم دعم كل الاجهزه  بـ ipv6 فقط. هناك العديد من المشاكل التي ظهرت اثناء الانتقال منها اسباب امنية تتعلق بان اذا كل جهاز حصل على ايبي بشكل مباشر سوف كون هناك مشاكل امنية بالهجوم على هذه الاجهزه بسبب  ان الـ NAT تقوم بعملية اخفاء ما يوجد خلف الروتر.  كذلك مشكلة اخرى وهي الـ Routing Table الخاص بالروترات سوف يكون كبير جدا بشكل لا يمكن تخيلة بسبب ان كل جهاز له ايبي خاص  حتى جهاز الايباد الذي يلعب فيه ابنك الصغير سوف يكون له ايبي خاصة فيه اذا تم الانتقال والاستفاده بالكامل من الـIPv6 , لذلك الـRouting Table سوف يكون كبير الى حد ان الروترات لا يمكنها تحمله ومعالجته. في الحقيقه هناك العديد من التحديات التي يجب تخطيها والعمل عليها ليتم الانتقال بشكل كامل .

الصور من كتاب : data communication and networking forouzan

ماهي معلومات Shimcache والفائدة منها في التحقيق الجنائي الرقمي

Shimcache تم اضافتها الى نظام وندوز ابتداء من وندوز اكس بي وكان الهدف منها تتبع معلومات الملفات التنفيذيه لغرض متابعه التوافقيه للملفات التنفيذيه لمختلف اصدارات وندوز. هذا يعني ان نظام وندوز يقوم بجمع معلومات عن الملفات التنفيذيه (البرامج ) في النظام, هذه المعلومات يطلق عليها Shimcache.

معلومات الـ Shimcache تتضمن في التالي:

  • File Full Path
  • File Size
  • $Standard_Information (SI) Last Modified time
  • Shimcache Last Updated time
  • Process Execution Flag

هذه المعلومات لها قيمة فعلية للتحقيق الجنائي الرقمي والكثير من ادوات التحقيق الجنائي مثل Encase و FTK تحلل وتستخرج هذه المعلومات اثناء تحليل صورة النظام. من خلال هذه المعلومات نستطيع معرفة البرمجيات التي تم تشغيلها في النظام ومعلومات اخرى مثل الحجم ومسار الملف وغيرها.

في 2012 قام Andrew Davis بنشر White paper عنها ومنذ ذلك الحين اصبحت من الـartifacts المهمه للتحقيق الجنائي الرقمي في انظمه وندوز  .

يمكن للمحقق الجنائي استخدام اداة ShimCacheParser لاستخراج هذه المعلومات من الرجستري الخاص بالنظام . ايضا هناك plugin يمكن استخدامها مع مشروع volatility لتحليل الذاكرة .

هذا مثال عملي لاستخراج هذه المعلومات من موقع fireeye

https://www.fireeye.com/blog/threat-research/2015/10/shim_shady_live_inv.html

ايضا هذا المقال يشرح التفاصيل التقنية

https://www.fireeye.com/blog/threat-research/2015/10/shim_shady_live_inv/shim-shady-part-2.html