موضوع: لاصحاب الشبكات الذين يعانون من الاختراق السبت سبتمبر 20, 2008 1:43 pm
أمان الشبكات
يعتبر أمان الشبكة هو أهم ما يشغل أي مدير مسئول عن هذه الشبكة , وهناك عدة مستويات مستخدمة لتقديم الآمان على الشبكات نظراً للحاجة الماسة لتعدد هذه المستويات . ويعتبر أمن الشبكات موضوع كبير جداً لايمكن حصره نسبياً .
وهذه من سياسات الأمان المستخدمة في أنظمة التشغيل :الحماية بكلمات المرور. 2. نماذج الأمان 3. جدران الحماية 4. بروتوكولات الحماية.
توجد أدوات تعريف معقدة جداً متوفرة للشبكات التي تتطلب درجات غير عادية من الأمان . على سبيل المثال , تتطلب إحدى آليات الأمان استخدام بطاقة ذكية (Smart Card), وهي أداة تشبه بطاقة الاعتماد مع شريط مغناطيسي عليها,يجب تمريرها عبر قارئ بطاقات متصل مع الكمبيوتر حتى يستطيع المستخدم الوصول للشبكة . وتوجد أيضا أجهزة مسح بيولوجي , تستطيع التعرف على المستخدمين عن طريق مسح سمات فيزيائية فريدة , مثل بصمة الإبهام أو شبكة العين . إلا أن معظم الشبكات لا تتطلب مثل هذه الأنظمة المعقدة . بدلاً من ذلك , يطلب معظم مسئولو الشبكات من المستخدمين وضع كلمات مرور للوصول إلى موارد الشبكة , حركات الأقراص , تطبيقات الخادم .
كلمات المرور: ممكن ان يكون استخدام كلمات المرور طريقة ممتازة لحماية موارد الشبكة, ويمكن في نواحي أخرى أن يكون استخدامها أسوء من عدمه . فحين يعطي مسئول النظام الحرية بإنشاء كلمات المرور للمستخدمين الخاصة بهم , يعين المستخدمون كلمات مرور قصيرة يسهل تذكرها , ونادراً ما يغيرون هذه الكلمات . قد يضع المستخدمون كلمات مرور بأسمائهم أو كلمات مرور تتألف من أحرف أو أرقام يسهل تخمينها , مثل الأحرف الأول من أسمائهم أو تاريخ ميلادهم أو ما شابه ذلك مما يمكن للمتطفلين أن يستخدمونها , في حين أن البعض الآخر لا يستخدم كلمات مرور أطلاقاً . وقد يلجأ مسئول النظام بإنشاء كلمات مرور المستخدمين بنفسه , وقد ينشإها معقدة وطويلة نوعاً ما , وقد يجد المستخدمون صعوبة في تذكرها , وبدون شك سيدونونها أو يتركونها في أماكن واضحة , كوضعها على الشاشات أو كتابتها على لوحة المفاتيح . ويوجد حل لهذه المشاكل , فبأمكان مسئول النظام أجبار المستخدمون على اختيار كلمات مرور ذات طول معين وتغييرها بشكل دوري . وهذه السياسة يحددها المسئول بناء على نوع نظام التشغيل الذي يدير الشبكة عليه .
أنظمة التشغيل التي يمكنك تعيين كلمات مرور عليها : Windows 2000 Windows NT Novell NetWare Windows XP Windows 2003
أنظمة التشغيل التي لايمكن تعيين كلمات مرور عليها : Windows 95 Windows 98 Windows ME
تحديد طول كلمات المرور :- كلما كانت كلمة المرور طويلة كلما كان تخمينها أصعب حسب الاحتمالات الرياضية. خدمة الدليل المستخدمة في Windows 2000 تدعم كلمات مرور بطول يصل حتى 104 أحرف , وقد تكون كلمات المرور بهذا الطول غير عملية . ويدعم Windows NT كلمات مرور يصل طولها حتى 14 حرفاً . وبحد أدنى يعتبر 6 أحرف كافياً لمعظم الشبكات . ويمكن تعيين سياسة لكلمات المرور باستخدام الميزة (Group Policy) (نهج المجموعة) . تستطيع تطبيق هذه السياسة على وحدات تنظيمية معينة بحسب الحاجة , وتستطيع تحديد الحد الأدنى لطول كلمة المرور . ويتيح نظام Windows 2003 (ويعتبر أكثر أنظمة مايكروسوفت أماناً) تعيين كلمات مرور وفق سياسة محددة كأن تكون كلمات المرور أكثر تعقيداً عن طريق دمج أحرف كبيرة وأخرى صغيرة وهذا ممكن ان يزيد من صعوبة تخمين كلمات المرور التي يحاول أيجادها المتطفلين .
التحكم بتشفير كلمات المرور:-
معظم أنظمة التشغيل تخزن كلمات مرور المستخدمين بشكل مشفر حتى لا يتمكن أي متطفل محتمل من معرفتها باستخدام أحد برامج تحرير الأقراص لقراءة محتويات محرك الاقراص المخزنة عليه . وتظهر عادتاً كلمات المرور عند كتابتها على شكل نجوم أو نقاط مبهمه لا تدل على شي.
تعيين سياسة تأمين الحسابات:-
توجد عدة ميزات لتأمين كلمات المرور تمنع أي متطفل من أجراء محاولات كثيرة لتخمين كلمة المرور . ويوجد في أنظمةWindows2000 وما تبعها ثلاثة سياسات تتحكم بتأمين الحساب .
1. ِAccount Lockout Duration (مدة تأمين الحساب) يحدد هذا الخيار المدة بالدقائق التي يجب أن تظل الحسابات مؤمنه حين يتجاوز المستخدم أطار تأمين الحساب .
2. ِAccount Lockout Threshold (عتبة تأمين الحساب)
يحدد هذا الخيار عدد المحاولات في تسجيل الدخول المسموح بها للمستخدمين قبل تأمين حساباتهم . وكتابة كلمة المرور بشكل خاطئ أمر وارد لذا يجب أن تسمح للمستخدمين بثلاث محاولات على الأقل.
3. Beset Account Lockout Counter After (أعادة تعيين عداد تأمين الحسابات) هذا الخيار يؤدي إلى أعادة تعيين عداد محاولات تسجيل الدخول الفاشلة بعد فترة زمنية معينة بالدقائق.
نماذج الأمان:- في أنظمة التشغيل التي تعتمد على شبكة عميل / ملقم تخزن حسابات المستخدمين في موقع مركزي يكون عليه خدمة الدليل : (Active Directory) في شبكات Windows (Novell Directory Services ) في شبكات Novell NetWare.
الأمان على مستوى المستخدم وعلى مستوى المشترك. على شبكات الند - ند (Peer to Peer) يحتفظ كل كمبيوتر بمعلومات الأمان الخاصة به ويقوم بعمليات المصادقة الخاصة به . يمكن أن تعمل الكمبيوترات كعملاء وملقمات في نفس الوقت , وحين يحاول عميل أن يستخدم موارد على جهاز آخر يعمل كملقم , يقوم العميل بالمصادقة قبل منحه حق الوصول.
يوجد نوعان أساسيان لنماذج الأمان المستخدمة في Windows ومعظم أنظمة التشغيل الأخرى هما : • الأمان على مستوى المستخدم(User Level Security). • الأمان على المستوى المشترك (Share Level Security)
الأمان على مستوى المستخدم:
هي أذونات لمستخدمين معينين لكيفية أستخدام موارد الشبكة. ويعتبرأكثر أمان من المستوى المشترك بمراحل.
الأمان على المستوى المشترك: هي تعيين كلمات مرور للموارد المشتركة المختلفة التي ينشئونها على الكمبيوترات لديهم . لا يعطي الكثير من الحماية لأنه يمنح الجميع نفس كلمة المرور للوصول إلى موارد الشبكة . وميزة الأمان على المستوى المشترك أن أي مستخدم بغض النظر عن خبرته , يستطيع أن يتعلم كيف يعد كلمات مرور خاصة لموارده المشتركة , مما يقلل المتابعة المستمرة من مسئول الشبكة .
جدران الحماية : آليات الأمان التي تحدثنا عنها في الأعلى تهتم بأمان الشبكة داخلياً (local) , وهناك الكثير من الأخطار التي تهدد الشبكة الخاصة أو الداخلية . اتصالات الانترنت التي تتظمنها معظم الشبكات اليوم هي الباب الذي يمكن أن تنفذ منه هذه المخاطر.
جدار الحماية (Firewall): هو جهاز أو برنامج يصمم لحماية الشبكة من الجهات غير المسموح لها الوصول إليها . مثلاً إذا كانت الشبكة متصلة بالانترنت , يجب أن يكون لديك أحد أشكل جدران الحماية لحمايتها من المتطفلين خارج نطاق الشبكة . وتستطيع استخدام الجدار الناري لحماية أجزاء من الشبكة من بقية الأجزاء الأخرى . جدار الحماية (Firewall) هو في الحقيقة حاجز بين شبكتين يقيم كافة الإشارات الواردة ويقرر ما إذا كانت يجب السماح لها المرور إلى الشبكة الأخرى أم لا. ويمكن أن يأخذ جدار الحماية عدة أشكال مختلفة لتقييم الإشارات الواردة إلى الشبكة : 1. جهاز جدار ناري يتظمن برنامج خاص يراقب الإشارات الواردة والصادرة. 2. برنامج يعمل على كمبيوتر عادي .
وقد كانت جدران الحماية معقدة جداً وباهظة الثمن وتستخدم فقط في الشبكات الأحترافية . ويوجد الآن برامج حماية تزود مع أنظمة التشغيل ولاكن لا تكفي بشكل كامل لتأمين الشبكة من المخاطر الخارجية . وهناك أيضاً برامج مستقلة مجانية يمكن استخدامها بالشبكات الصغيرة أو لكمبيوتر شخصي يتصل بالانترنت .
أهم تقنيات جدران الحماية : 1. تصفية الحزم Filter ) Packet) 2. ترجمة عناوين الشبكة (( NAT 3. الملقم الوكيل
Filter) Packet) تصفية الحزم هو النوع الأساسي بين أنواع جدران الحماية, ويعمل بطريقة فحص الحزم التي تصل إلى واجهاته ويقرر ما اذا كان سيسمح لها بالوصول إلى الشبكة الأخرى اعتماداً على معلومات يجدها في ترويسات البروتوكولات المستخدمة لبناء الحزم. ويمكن تصفية الحزم على أي طبقة من طبقات OSI المرجعي . ويمكن ان يتسبب في نظام التصفية في إبطاء سرعة الشبكة بشكل ملحوظ . ولابد من تطوير مستمر لجدران الحماية لأن وسائل تتطور للتغلب على التكوينات القياسية لعامل تصفية الحزم .
سمات تصفية الحزم : 1. العناوين الجهازية hardware addresses : تصفى الحزم على حسب العناوين الجهازية كتمكين كمبيوترات معينة فقط من إرسال البيانات إلى الشبكة الأخرى .ولا يستخدم هذا النوع كثيراً لحماية الشبكات من الوصول إليها بشكل غير شرعي عن طريق الانترنت . ولاكن يمكن استخدام هذا التقنية في جدار حماية داخلي للسماح لكمبيوترات معينة فقط بالوصول إلى جزء معين من الشبكة .
2. عناوين IP IP addresses) ): يمكن استخدام تصفية عناوين IP للسماح فقط للإشارات الموجهة إلى أو الواردة من عناوين معينة بالمرور إلى الشبكة .
3. محددات البروتوكولات (Protocol Identifiers): تستطيع جدران الحماية تصفية الحزم بحسب البروتوكول الذي ولََََََََد المعلومات المحمولة ضمن مخطط IP بياني , مثل بروتوكول التحكم بالنقل TCP)) , بروتوكول المخططات البيانية للمستخدم (UDP) , أو بروتوكول رسائل التحكم بالانترنت (ICMP) .
4. أرقام المنافذ (Port Numbers): تستطيع جدران الحماية تصفية الحزم بحسب رقمي منفذي المصدر والوجهة المحددين في ترويسة طبقة النقل ضمن الحزمة .
ترجمة عناوين الشبكة (( NAT )) وهي تقنية ترجمة عناوين الشبكة وتعمل على طبقة النقل وتحمي كمبيوترات الشبكة من المتطفلين الخارجين عبر الانترنت عن طريق حجب عناوين IP الخاصة بها . وبهذه الطريقة لا يستطيع المستخدمين الخارجيين رؤية الكمبيوترات عن طريق الانترنت . لكن هذا يعني أن أي كمبيوتر على الشبكة لا يستطيع إلا إرسال الإشارات إلى الانترنت لكنه لا يستطيع استلامها .
الملقمات الوكيلة : وهي برامج تشبه موجهات (( NAT )) , وتعمل كوسيط بين العملاء على الشبكة الخاصة وبين موارد الإنترنت التي يريدون الوصول إليها وتستطيع الملقمات الوكيلة تخبئة المعلومات التي تصلها من الإنترنت , بحيث إذا طلب عميل آخر نفس المعلومات , يستطيع الملقم الوكيل تقديمها في الحال من مخبأه بدلاً من طلبها ثانية من ملقم الإنترنت . وتستخدم الملقمات الوكيلة لفرض القيود كثيرة على وصول المستخدمين إلى الإنترنت .
بروتوكولات الأمان: هنالك عدد من قياسيات بروتوكولات الأمان تستخدمها التطبيقات وأنظمة التشغيل لحماية بياناتها أثناء الإرسال عبر الشبكة . وتطبق هذه البروتوكولات بشكل عام أنواعاً معينة من تقنيات تشفير البيانات .
IPSec: هو مصطلح يبين سلسلة من القياسات غير النهائية التي نشرتها IETF وتعرف منهجاً لحماية البيانات أثناء نقلها عبر الشبكة المحلية باستخدام المصادقة والتشفير.ومعظم البروتوكولات الأمان التي تقوم بتشفير البيانات المنقولة عبر شبكة مصممة لاستخدام على الإنترنت أو لأنواع معينة من الإشارات .
يتكون IPSec من بروتوكولين مستقلين يقدمان مستويات مختلفة من الحماية . 1. بروتوكول AH (ترويسة المصادقة) يضمن مصداقية وسلامة عناوين IP 2. بروتوكول ESP (تغليف حمولة الأمان) ويقوم بتشفير البيانات.
وعند استخدام IPSec على شبكة محلية , يجب أن يدعمه النظامان المرسل والمستقبل . وتدعمه معظم أنظمة التشغيل الحديثة من أنظمة Windows أو UNIX .
(Respond only) Clintعميل استجابة فقط: يقوم هذا النهج بتكوين الكمبيوتر بحيث يستخدم IPSec فقط في حين يطلب كمبيوتر آخر استخدامه .
Secure Server (Require Security) : يقوم هذا النهج بتكوين الكمبيوتر بحيث يطلب استخدام IPSec في كافة الاتصالات . وسوف يتم رفض كافة محاولات الاتصال بكمبيوترات لا تدعم IPSec .
Server (Require Security): ملقم يطلب استخدام IPSec في كافة الاتصالات , لاكن مع السماح باتصالات بدون IPSec حين يكون الكمبيوتر الآخر لا يدعمه .
L2TP (بروتوكول الأنفاق على الطبقة الثانية): يستطيع IPSec أن يعمل في وضع النفق لوحده أو بالتعاون مع L2TP . ينشئ البروتوكول L2TP نفق عن طريق تغليف أطر PPP ضمن حزم UPD .
SSL (Sockets Layer Secure ): طبقة مآخذ التوصيل الآمنة وهو بروتوكول صمم لحماية البيانات التي يتم نقلها بين ملقمات الوب والمستعرضات العميلة لها . جميع مستعرضات الوب تدعم حالياً SSL . فحين تتصل بموقع على الإنترنت وتريد أن تتأكد ما اذا كان هذا الموقع محمي أذا ظهر في شريط العنوان https:// بدلاً من http:// , فهذا يعني تتصل بموقع محمي .
Kerberos: هو بروتوكول مصادقة تستخدمه عادة خدمات الدليل , مثل (Active Directory) , لتزويد المستخدمين بإمكانية تسجيل الدخول إلى الشبكة لمرة واحدة .