🔵 الأمن السيبراني 🔻
🔴 ماهي Footprinting and Reconnaissance ؟
🔴 ماهي الفائدة من جمع المعلومات أو Footprinting ؟
🔴 ماهي الأدوات التي تستعمل في جمع المعلومات؟
🔴 ماهي التقنيات المستعملة في جمع المعلومات ؟
🔴 أهم الخطوات التي يجب اتباعها للحد منها ؟
هذا المقال بالتعاون مع التقني المهندس «خالد أبو إبراهيم» حسابه على تويتر @khaliidviip
⭕ ماهي Footprinting and Reconnaissance؟
هي تقنية تستخدم لجمع المعلومات عن أنظمة الحاسوب، للحصول على معلومات تكون مفيدة جداً بالنسبة للمتسلل الذي يحاول إختراق النظام.
⭕ ماهي الفائدة من جمع المعلومات أو Footprinting؟
تسمح للمتسلل بالحصول على معلومات عن النظام المستهدف لشن الهجمات عليه.
⭕ ماهي الأدوات التي تستعمل في جمع المعلومات؟
إن إس لوك أب NSLOOKUP
تريسروت Traceroute
إن ماب NMAP
⭕ ماهي التقنيات المستعملة في جمع المعلومات؟
استعلامات نظام أسماء النطاقات (DNS)
استعلامات الشبكة
استعلامات WHOIS
استعلامات بروتوكول إدارة الشبكات
فحص المنافذ
محركات البحث
بينج (أمر)
⭕ أهم الخطوات التي يجب اتباعها للحد من
الـ Footprinting and Reconnaissance
1- لابد من تقليل حجم المعلومات المنشره على صفحات المؤسسة و الموقع الالكترني و المفترض أنها مصنفه داخل المؤسسه على أنها سرية و بالأخص التى تتحدث عن البنية التحتية و الأنظمة الداخلية .
2- دوما حاول أن تقوم بالـ Footprinting and Reconnaissance بشكل داخلي حتى تعرف حجم المعلومات داخل المؤسسة بشكل كامل و ذلك طبقا لـ policy أو سياسة داخلية واضحة لهذه الخطوات و المسؤول عنها .
3- شفر الـ Passwords الخاصة بالمؤسسة فى حالة تخزينها على أي Server .
4- إذا كان الموقع الخاص بك تستضيفه داخل المؤسسة فمن الضرورة استخدام الـ DNS SPliting ببساطه ضع DNS خاص بالمؤسسة داخليًا و DNS آخر منفصل خاص بالموقع الخاص بك مع استخدام التصميم الأمن Secure Design بوضع المواقع فى الـ DMZ Zone.
5- لابد من إيقاف الـ Directory Listing في الموقع الالكتروني الخاص بك حتى لا يستطيع أحد الاستيلاء أو تخمين الملفات الخاصة بالموقع.
6- أهتم دومًا بالأمن الخاص بالموقع الالكتروني لأنه الباب الرئيسي لمعرفة معلومات أكثر عن المؤسسة.
7- الاهتمام بالـ Configuration الخاصة بالـ IDS التى قد توضح الـ Requests الغير سليمه أو المشكوك فيها و بالطبع فى حالة وجود WAF سيكون الأمر أفضل و أحسن.
⭕ في هذا الفيديو شرح رائع ومميز للمهندس محمد خريشه، من دورة يقدمها بقناته عن "الاختراق الأخلاقي"
دورة الهاكر الأخلاقي Certified Ethical Hacker (CEH)