عالم الشبكات

اهلا بكم في مدونة عالم الشبكات
مشاركاتكم اثراء لنا , تحديثنا مستمر , ملاحظاتكم محل اهتمامنا

مواضيع

امن الشبكات


امن الشبكات

مقدمة:
يعتبر أمان الشبكةهو أهم ما يشغل أي مدير مسئول عن هذه الشبكة , وهناك عدة مستويات مستخدمة لتقديم الآمان على الشبكات نظراً للحاجة الماسة لتعدد هذه المستويات . ويعتبر أمن الشبكات موضوع كبير جداً لايمكن حصره نسبياً .

وهذه من سياسات الأمان المستخدمة في أنظمة التشغيل :
.1الحماية بكلمات المرور.
.2 نماذج الأمان
.3 جدران الحماية
.4 بروتوكولات الحماية.

توجد أدوات تعريف معقدة جداً متوفرة للشبكات التي تتطلب درجات غير عادية من الأمان . على سبيل المثال , تتطلب إحدى آليات الأمان استخدام بطاقة ذكية (Smart Card), وهي أداة تشبه بطاقةالاعتماد مع شريط مغناطيسي عليها,يجب تمريرها عبر قارئ بطاقات متصل مع الكمبيوترحتى يستطيع المستخدم الوصول للشبكة . وتوجد أيضا أجهزة مسح بيولوجي , تستطيع التعرف على المستخدمين عن طريق مسح سمات فيزيائية فريدة , مثل بصمة الإبهام أو شبكة العين . إلا أن معظم الشبكات لا تتطلب مثل هذه الأنظمة المعقدة . بدلاً من ذلك , يطلب معظم مسئولو الشبكات من المستخدمين وضع كلمات مرور للوصول إلى موارد الشبكة , محركات الأقراص , تطبيقات الخادم .

كلمات المرور:
ممكنان يكون استخدام كلمات المرور طريقة ممتازة لحماية موارد الشبكة, ويمكن في نواحيأخرى أن يكون استخدامها أسوء من عدمه . فحين يعطي مسئول النظام الحرية بإنشاء كلماتالمرور للمستخدمين الخاصة بهم , يعين المستخدمون كلمات مرور قصيرة يسهل تذكرها , ونادراً ما يغيرون هذه الكلمات . قد يضع المستخدمون كلمات مرور بأسمائهم أو كلماتمرور تتألف من أحرف أو أرقام يسهل تخمينها , مثل الأحرف الأول من أسمائهم أو تاريخميلادهم أو ما شابه ذلك مما يمكن للمتطفلين أن يستخدمونها , في حين أن البعض الآخرلا يستخدم كلمات مرور أطلاقاً . وقد يلجأ مسئول النظام بإنشاء كلمات مرورالمستخدمين بنفسه , وقد ينشإها معقدة وطويلة نوعاً ما , وقد يجد المستخدمون صعوبةفي تذكرها , وبدون شك سيدونونها أو يتركونها في أماكن واضحة , كوضعها على الشاشاتأو كتابتها على لوحة المفاتيح . ويوجد حل لهذه المشاكل , فبأمكان مسئول النظامأجبار المستخدمون على اختيار كلمات مرور ذات طول معين وتغييرها بشكل دوري . وهذهالسياسة يحددها المسئول بناء على نوع نظام التشغيل الذي يدير الشبكة عليه .

أنظمة التشغيل التي يمكنك تعيين كلمات مرور عليها :
Windows 2000
Windows NT
Novell NetWare
Windows XP
Windows 2003

أنظمة التشغيل التي لايمكن تعيين كلماتمرور عليها :
Windows 95
Windows 98
Windows ME


تحديد طول كلمات المرور :-
كلما كانت كلمة المرور طويلة كلماكان تخمينها أصعب حسب الاحتمالات الرياضية. خدمة الدليل المستخدمة في Windows 2000 تدعم كلمات مرور بطول يصل حتى 104 أحرف , وقد تكون كلمات المرور بهذا الطول غيرعملية . ويدعم Windows NT كلمات مرور يصل طولها حتى 14 حرفاً . وبحد أدنى يعتبر 6أحرف كافياً لمعظم الشبكات . ويمكن تعيين سياسة لكلمات المرور باستخدام الميزة (Group Policy) (نهج المجموعة) . تستطيع تطبيق هذه السياسة على وحدات تنظيمية معينةبحسب الحاجة , وتستطيع تحديد الحد الأدنى لطول كلمة المرور .
ويتيح نظام Windows 2003 )ويعتبر أكثر أنظمة مايكروسوفت أماناً) تعيين كلمات مرور وفق سياسة محددة كأنتكون كلمات المرور أكثر تعقيداً عن طريق دمج أحرف كبيرة وأخرى صغيرة وهذا ممكن انيزيد من صعوبة تخمين كلمات المرور التي يحاول أيجادها المتطفلين .

التحكم بتشفير كلمات المرور:-

معظم أنظمة التشغيل تخزنكلمات مرور المستخدمين بشكل مشفر حتى لا يتمكن أي متطفل محتمل من معرفتها باستخدامأحد برامج تحرير الأقراص لقراءة محتويات محرك الاقراص المخزنة عليه . وتظهر عادتاًكلمات المرور عند كتابتها على شكل نجوم أو نقاط مبهمه لا تدل على شي.

تعيين سياسة تأمين الحسابات:-

توجد عدة ميزات لتأمين كلماتالمرور تمنع أي متطفل من أجراء محاولات كثيرة لتخمين كلمة المرور . ويوجد فيأنظمةWindows2000 وما تبعها ثلاثة سياسات تتحكم بتأمين الحساب .

.1 ِAccount Lockout Duration (مدة تأمين الحساب) يحدد هذا الخيار المدة بالدقائق التييجب أن تظل الحسابات مؤمنه حين يتجاوز المستخدم أطار تأمين الحساب .

.2 ِAccount Lockout Threshold (عتبة تأمين الحساب)

يحدد هذا الخيار عددالمحاولات في تسجيل الدخول المسموح بها للمستخدمين قبل تأمين حساباتهم . وكتابةكلمة المرور بشكل خاطئ أمر وارد لذا يجب أن تسمح للمستخدمين بثلاث محاولات علىالأقل.

) Beset Account Lockout Counter After .3أعادة تعيين عداد تأمينالحسابات (
هذا الخيار يؤدي إلى أعادة تعيين عداد محاولات تسجيل الدخول الفاشلةبعد فترة زمنية معينة بالدقائق.

نماذجالأمان:-
في أنظمة التشغيل التي تعتمد على شبكة عميل / ملقم تخزن حساباتالمستخدمين في موقع مركزي يكون عليه خدمة الدليل :
(Active Directory) في شبكات Windows
( Novell Directory Services ) في شبكات Novell NetWare.

الأمانعلى مستوى المستخدم وعلى مستوى المشترك.
على شبكات الند - ند (Peer to Peer) يحتفظ كل كمبيوتر بمعلومات الأمان الخاصة به ويقوم بعمليات المصادقة الخاصة به . يمكن أن تعمل الكمبيوترات كعملاء وملقمات في نفس الوقت , وحين يحاول عميل أن يستخدمموارد على جهاز آخر يعمل كملقم , يقوم العميل بالمصادقة قبل منحه حق الوصول.

يوجد نوعان أساسيان لنماذج الأمان المستخدمة في Windows ومعظم أنظمةالتشغيل الأخرى هما :
• الأمان على مستوى المستخدم(User Level Security).
• الأمان على المستوى المشترك (Share Level Security)



الأمانعلى مستوى المستخدم:




هي أذونات لمستخدمين معينين لكيفية أستخدامموارد الشبكة.
ويعتبرأكثر أمان من المستوى المشترك بمراحل.

الأمان على المستوى المشترك:
هي تعيين كلمات مرور للمواردالمشتركة المختلفة التي ينشئونها على الكمبيوترات لديهم .
لا يعطي الكثير منالحماية لأنه يمنح الجميع نفس كلمة المرور للوصول إلى موارد الشبكة . وميزة الأمانعلى المستوى المشترك أن أي مستخدم بغض النظر عن خبرته , يستطيع أن يتعلم كيف يعدكلمات مرور خاصة لموارده المشتركة , مما يقلل المتابعة المستمرة من مسئول الشبكة .

جدران الحماية : آليات الأمان التي تحدثنا عنها في الأعلى تهتم بأمانالشبكة داخلياً (local) , وهناك الكثير من الأخطار التي تهدد الشبكة الخاصة أوالداخلية . اتصالات الانترنت التي تتظمنها معظم الشبكات اليوم هي الباب الذي يمكنأن تنفذ منه هذه المخاطر.

جدار الحماية (Firewall): هو جهاز أو برنامج يصمملحماية الشبكة من الجهات غير المسموح لها الوصول إليها .
مثلاً إذا كانت الشبكةمتصلة بالانترنت , يجب أن يكون لديك أحد أشكل جدران الحماية لحمايتها من المتطفلينخارج نطاق الشبكة . وتستطيع استخدام الجدار الناري لحماية أجزاء من الشبكة من بقيةالأجزاء الأخرى .
جدار الحماية (Firewall) هو في الحقيقة حاجز بين شبكتين يقيمكافة الإشارات الواردة ويقرر ما إذا كانت يجب السماح لها المرور إلى الشبكة الأخرىأم لا.
ويمكن أن يأخذ جدار الحماية عدة أشكال مختلفة لتقييم الإشارات الواردةإلى الشبكة :
1. جهاز جدار ناري يتظمن برنامج خاص يراقب الإشارات الواردةوالصادرة.
2. برنامج يعمل على كمبيوتر عادي .

وقد كانت جدران الحمايةمعقدة جداً وباهظة الثمن وتستخدم فقط في الشبكات الأحترافية .
ويوجد الآن برامجحماية تزود مع أنظمة التشغيل ولاكن لا تكفي بشكل كامل لتأمين الشبكة من المخاطرالخارجية . وهناك أيضاً برامج مستقلة مجانية يمكن استخدامها بالشبكات الصغيرة أولكمبيوتر شخصي يتصل بالانترنت .

أهم تقنيات جدران الحماية :
1. تصفية الحزم (Packets Filter)
2. ترجمة عناوين الشبكة ( NAT )
3. الملقم الوكيل

(Filter Packet) تصفية الحزم هو النوع الأساسي بينأنواع جدران الحماية, ويعمل بطريقة فحص الحزم التي تصل إلى واجهاته ويقرر ما اذاكان سيسمح لها بالوصول إلى الشبكة الأخرى اعتماداً على معلومات يجدها في ترويساتالبروتوكولات المستخدمة لبناء الحزم. ويمكن تصفية الحزم على أي طبقة من طبقات OSI المرجعي . ويمكن ان يتسبب في نظام التصفية في إبطاء سرعة الشبكة بشكل ملحوظ . ولابدمن تطوير مستمر لجدران الحماية لأن وسائل تتطور للتغلب على التكوينات القياسيةلعامل تصفية الحزم .

سمات تصفية الحزم :
.1 العناوين الجهازيةhardware addresses : تصفى الحزم على حسب العناوين الجهازيةكتمكين كمبيوترات معينة فقط من إرسال البيانات إلى الشبكة الأخرى .ولا يستخدم هذاالنوع كثيراً لحماية الشبكات من الوصول إليها بشكل غير شرعي عن طريق الانترنت . ولاكن يمكن استخدام هذا التقنية في جدار حماية داخلي للسماح لكمبيوترات معينة فقطبالوصول إلى جزء معين من الشبكة .

.2 عناوين IP (IP addresses): يمكناستخدام تصفية عناوين IP للسماح فقط للإشارات الموجهة إلى أو الواردة من عناوينمعينة بالمرور إلى الشبكة .

.3 محددات البروتوكولات (Protocol Identifiers): تستطيع جدران الحماية تصفية الحزم بحسب البروتوكول الذي ولََََََََد المعلوماتالمحمولة ضمن مخطط IP بياني , مثل بروتوكول التحكم بالنقل TCP)) , بروتوكولالمخططات البيانية للمستخدم (UDP) , أو بروتوكول رسائل التحكم بالانترنت (ICMP) .

.4أرقام المنافذ (Port Numbers): تستطيع جدران الحماية تصفية الحزم بحسبرقمي منفذي المصدر والوجهة المحددين في ترويسة طبقة النقل ضمن الحزمة .

ترجمة عناوين الشبكة (( NAT ))
وهي تقنية ترجمةعناوين الشبكة وتعمل على طبقة النقل وتحمي كمبيوترات الشبكة من المتطفلين الخارجينعبر الانترنت عن طريق حجب عناوين IP الخاصة بها . وبهذه الطريقة لا يستطيعالمستخدمين الخارجيين رؤية الكمبيوترات عن طريق الانترنت . لكن هذا يعني أن أيكمبيوتر على الشبكة لا يستطيع إلا إرسال الإشارات إلى الانترنت لكنه لا يستطيعاستلامها .

الملقمات الوكيلة :
وهي برامج تشبهموجهات (( NAT )) , وتعمل كوسيط بين العملاء على الشبكة الخاصة وبين موارد الإنترنتالتي يريدون الوصول إليها وتستطيع الملقمات الوكيلة تخبئة المعلومات التي تصلها منالإنترنت , بحيث إذا طلب عميل آخر نفس المعلومات , يستطيع الملقم الوكيل تقديمها فيالحال من مخبأه بدلاً من طلبها ثانية من ملقم الإنترنت . وتستخدم الملقمات الوكيلةلفرض القيود كثيرة على وصول المستخدمين إلى الإنترنت .

بروتوكولات الأمان:
هنالك عدد من قياسيات بروتوكولات الأمانتستخدمها التطبيقات وأنظمة التشغيل لحماية بياناتها أثناء الإرسال عبر الشبكة . وتطبقهذه البروتوكولات بشكل عام أنواعاً معينة من تقنيات تشفير البيانات .

IPSec:
هو مصطلح يبين سلسلة من القياسات غيرالنهائية التي نشرتهاIETFوتعرف منهجاً لحماية البيانات أثناء نقلها عبر الشبكةالمحلية باستخدام المصادقة والتشفير.ومعظم البروتوكولات الأمان التي تقوم بتشفيرالبيانات المنقولة عبر شبكة مصممة لاستخدام على الإنترنت أو لأنواع معينة منالإشارات .

يتكون IPSec من بروتوكولين مستقلين يقدمان مستويات مختلفة منالحماية .
.1 بروتوكول ) AHترويسة المصادقة) يضمن مصداقية وسلامة عناوين IP
.2 بروتوكولESP( تغليف حمولة الأمان) ويقوم بتشفير البيانات.

وعنداستخدام IPSec على شبكة محلية , يجب أن يدعمه النظامان المرسل والمستقبل . وتدعمهمعظم أنظمة التشغيل الحديثة من أنظمة Windows أو UNIX .

(Respond only) Clintعميل استجابة فقط:
يقوم هذا النهج بتكوين الكمبيوتر بحيث يستخدم IPSec فقط فيحين يطلب كمبيوتر آخر استخدامه .

Secure Server (Require Security) :
يقومهذا النهج بتكوين الكمبيوتر بحيث يطلب استخدام IPSec في كافة الاتصالات . وسوف يتمرفض كافة محاولات الاتصال بكمبيوترات لا تدعم IPSec .

Server (Require Security) :
ملقم يطلب استخدام IPSec في كافة الاتصالات , لاكن مع السماح باتصالاتبدون IPSec حين يكون الكمبيوتر الآخر لا يدعمه .

L2TP )بروتوكول الأنفاقعلى الطبقة الثانية):
يستطيع IPSec أن يعمل في وضع النفق لوحده أو بالتعاون مع L2TP . ينشئ البروتوكول L2TP نفق عن طريق تغليف أطر PPP ضمن حزم UPD .

: SSL (Sockets Layer Secure )طبقة مآخذ التوصيل الآمنة وهو بروتوكول صمم لحمايةالبيانات التي يتم نقلها بين ملقمات الوب والمستعرضات العميلة لها . جميع مستعرضاتالوب تدعم حالياً SSL . فحين تتصل بموقع على الإنترنت وتريد أن تتأكد ما اذا كانهذا الموقع محمي أذا ظهر في شريط العنوانhttps:// بدلاً منhttp:// , فهذا يعني تتصل بموقع محمي .

:Kerberos
هو بروتوكول مصادقة تستخدمه عادةخدمات الدليل , مثل (Active Directory) , لتزويد المستخدمين بإمكانية تسجيل الدخولإلى الشبكة لمرة واحدة .