" بجث أمن الشبكات :2: "

" بـحث أمن الشبكات "




مقدمة :
تعتمد درجة أمن الشبكة على مدى حساسية البيانات المتداولة عبر الشبكة. ومن ثم يتم تنظيم الأمن وفقاً لنوع الشبكة، ففي شبكات النظير للنظير Peer To Peer كل جهاز يتحكم في أمنه الخاص، بينما يتحكم المزود في أمن شبكات الزبون المزود. وهناك بعض الإجراءات التي تساعد في المحافظة على أمن الشبكة: 
• التدريب المتقن للمستخدمين على التعامل مع إجراءات الأمن. 
• التأكد من أمن المعدات وصعوبة الوصول إليها من قبل غير المخولين. 
• حماية الأسلاك النحاسية وإخفاؤها عن الأعين لأنها قد تكون عرضة للتجسس. 
• تشفير البيانات عند الحاجة. 
• تزويد المستخدمين بأجهزة لا تحتوي على محركات أقراص مرنة أو مضغوطة أو حتى أقراص صلبة، 
• استخدام برامج لتسجيل جميع العمليات التي يتم إجراؤها على الشبكة لمراجعتها عند الضرورة. 
• إعطاء تصاريح Permissions للمستخدمين للوصول للبيانات والمعدات كل حسب طبيعة عمله. 
• تزويد المستخدمين بحقوق Rights تحدد الأنشطة والعمليات المسموح لهم إجراؤها على النظام. 

هناك نظامان أساسيان لإعطاء التصاريح والحقوق : 

• المشاركة المحمية بكلمة مرور. 
• تصاريح الوصول. 
في النظام الأول يتم تعيين كلمة سر لكل من الموارد المطلوب مشاركتها حيث يتم الوصول لهذه الموارد فقط لمن لديه كلمة السر. كما تستطيع تحديد درجة الوصول هل هي للقراءة فقط أم وفقاً لكلمة السر كما ترى في الصورة . 

في النظام الثاني يتم تعيين الحقوق وإعطاء التصاريح لكل مستخدم أو مجموعة مستخدمين، ويكفي أن يدخل المستخدم كلمة المرور عند الدخول إلي نظام التشغيل ليتعرف النظام على حقوق هذا المستخدم والتصاريح المتوفرة له، ويعتبر هذا النظام أكثر أمناً من النظام السابق لأنه يعطي مدير الشبكة تحكماً أكبر بكل مستخدم. 

وعند إدخال الإسم وكلمة المرور يتم تمرير هذه المعلومات إلى مدير أمن الحسابات Accounts Manager فإذا كان الدخول إلى جهاز Workstation فإن المعلومات يتم مقارنتها مع قاعدة بيانات حسابات الأمن المحلية في الجهاز، أما إذا كان الدخول إلى نطاق Domain فإن المعلومات يتم إرسالها إلى مزود SAM الذى يقارنها مع قاعدة بيانات حسابات النطاق، فإذا كان إسم المستخدم أو كلمة المرور غير صالحين فإن المستخدم يمنع من الدخول إلى النظام، أما إذا كانا صحيحين فإن نظام الأمن الفرعي يقوم بإصدار كارت دخول Access Token تعرف النظام بالمستخدم فترة دخوله وتحتوى هذه الكارت على المعلومات التالية: 

• المعرف الأمني Security Identifier (SID) و هو رقم فريد خاص بكل حساب. 
• معرفات المجموعة Group SIDs وهي التي تحدد المجموعة التي ينتمي لها المستخدم. 
• الامتيازات Privileges وهى تمثل الحقوق الممنوحة لحسابك. 

كما أنه يتم إصدار Access Token عند محاولتك الاتصال من جهازك بجهاز آخر على شبكتك و يطلق على هذا الإجراء الولوج عن بعد Remote Logon. ومن الأمور التي يجب مراعاتها عند الحديث عن أمن الشبكة هو المحافظة على أمن الموارد مثل الطابعات ومحركات الأقراص والملفات والتي يقوم مدير الشبكة بتعيين تصاريح لاستخدام هذه الموارد. ومن التصاريح التي قد تعطى للوصول إلى الملفات ما يلي: 
• تصريح قراءة ويسمح لك بعرض ونسخ الملفات. 
• تصريح تنفيذ للتطبيقات. 







• تصريح كتابة ويسمح بالتعديل في محتوى الملفات. 
• ممنوع الاستخدام No Access. 
والتصاريح ممكن منحها لمستخدم أو مجموعة من المستخدمين وهذا أسهل. حيث يمتلك كل مورد من الموارد قائمة تحكم بالوصول Access Control List (ACL) وكل معلومة يتم إدخالها في ACL يطلق عليها Access Control Entry (ACE). ويتم إنشاء ACE عند منح التصريح لاستخدام المورد وتحتوى على SID للمستخدم أو مجموعته الممنوحة التصريح بالإضافة إلى نوع التصريح، فلو افترضنا أن مدير مجموعة ما قد منح تصريح قراءة وتصريح كتابة لملف ما، فإن ACE جديد يتم إنشاؤه ثم إضافته إلى ACL الخاص بالملف وسيحتوى ACE على SID لمدير المجموعة بالإضافة إلى تصريح قراءة وتصريح كتابة. وهناك نوعان لـ : ACE 
• الوصول مسموح Access Allowed. 
• الوصول ممنوع Access Denied و يتم إنشاؤها إذا كان تصريح الوصول هو No Access. 
وهكذا عندما يحاول مستخدم ما الوصول إلى مورد ما يتم مقارنة SID الخاص به مع SIDsفي كل ACE من ACL للمورد. أما في Windows NT و Windows 2000 فيتم ترتيب ACE بحيث تكون Access Denied ACEs قبل Access Allowed ACEs . فإذا وجد SIDخاصتك في أى من Access Denied ACEs فستمنع من الوصول إلى المورد وإلا فسيبحث في Access Allowed ACEs للتأكد من الحقوق الممنوحة لك، فإن لم يعثر على SID مطابق لخاصتك, فستعرض رسالة تحذير تمنعك من الوصول للمورد.












مفهوم الطبقات Layers:- 
الطبقة هي مرحلة من المراحل المتعددة التي تمر بها البيانات في الشكة كي تصل من جهاز الإرسال إلي جهاز الاستقبال, ولكل طبقة مجموعة من البروتوكولات لتحديد وظائف هذه المرحلة بالضبط. 
وتنقسم الشبكة إلي العديد من الطبقات لكل طبقة وظيفة أو مجموعة من الوظائف, وكل طبقة تتسلم البيانات من الطبقة السابقة, وتقوم بمعالجتها وتسليمها إلي الطبقة التالية. 

توجد العديد من النماذج لطبقات عمل الشبكة, اشهرها على الإطلاق هو نموذج الاتصال المفتوح Open Standard Interface OSI, المعمول به في شبكات اللان LAN , ونموذج TCP/IP الذي تعمل به شبكة الإنترنت. 

وقد قامت المؤسسة الدولية للمواصفات القياسية (ISO) عام 1977 بوضع المواصفات القياسية لنقل البيانات وتم عمل نموذج قياسي عرف باسم نظام الاتصال المفتوح ( OSI ) 

وقد تم تقسيم هذا النموذج إلى طبقات أو مستويات ( Layers )بحيث أن كل مستوى يحتوى على قواعد وخطوات خاصة به . وهذه القواعد موجود في كل من وحدتي الإرسال والاستقبال ولكنها تكون في وحدة الاستقبال معكوسة الاتجاه . 

وقد تم اعتبار النموذج مكوناً من سبع طبقات هي على الترتيب:
- طبقة الاتصال الطبيعية Physical Layer 
- طبقة ربط البيانات Data Link Layer 
- طبقة الشبكة Network Layer 
- طبقة النقل Transport Layer 
- طبقة الحوار Session Layer 
- طبقة تمثيل البيانات Presentation Layer 
- طبقة التطبيقات Application Layer 
حيث تقوم وحدة الإرسال بتجهيز الرسالة المطلوب إرسالها وتمر عبر الكابلات حيث تبدأ من أول مستوى ووصولا إلى أدنى مستوى . ثم يتم استقبالها في وحدة الاستقبال بدأ من المستوى الأدنى ووصولا إلى المستوى الأعلى حتى تصل إلى المستخدم المطلوب الوصول إليه . 
وتجدر الإشارة هنا إلي أن كل طبقة من هذه الطبقات تقوم بتنفيذ الوظائف المنوطة بها مجموعة من البروتوكولات والأجهزة. 

هناك مجموعة من القواعد المستخدمة خلال هذه المستويات من الطبقات وهى كالآتي : 
قواعد في المستوى الأعلى (TOP-LEVEL ) تحدد كيف أن المعلومات يتم إرسالها خلال الشبكة . 
المستوى الأوسط ( MIDDEL LEVEL ) تحدد كيف يتم إنشاء الربط بين الراسل والمستقبل وكيفية تكوين حزم المعلومات (PACKADE ) أو (PACKETS ). 
في المستوى الأدنى (BOTTOM LEVEL ) تحدث كيفية عملية الإرسال خلال الكابلات. 
وكما ذكر من قبل أن البروتوكول مجموعة من القواعد والخطوات التي تنفذ خلال الشبكة . بينما الشركات المنتجة (HARDWARE.SOFTWARE ) تستخدم هذه القواعد لإنشاء أو لبناء منتجات تعمل بهذا الخصوص .




ماهي ال VPN : ؟

الاسم يدل على كونية هذه الشبكات فهي شبكات افتراضية لاوجود لها في الواقع ولكنها مع ذلك تؤدي واجبها على اكمل وجه كأكثر انواع الشبكات أمانا واكثرها شيوعا وحتى استخداما بين الشركات الكبيرة .. 
طبعا كونها شبكات افتراضية فلابد من وجود داعم حقيقي يحمل هذه الافتراضية الى ارض الواقع .. لابد لهذا الداعم ان يكون مستيقظا كل الوقت جاهزا ومستعدا في أي لحظة وهنا كانت الشبكة العنكبوتية لتثبت انها دائما الارض الخصبة لكل من اراد الثمر بقليل من الجهد في الغرس والسقاية ... 
هذه الشبكات الافتراضية هي نفسها الشبكة العنكبوتية لكن تم توظيف خصائصها لتلائم سرية نقل البيانات والحفاظ على امن المعلومات .. 

* كيف تعمل الشبكات الافتراضية ؟ 
حتى نستطيع فهم آلية عمل الشبكات الافتراضية لابد من التوقف قليلا عند آلية عمل الشبكة العنكبوتية او غيرها من الشبكات في البداية .. 
لن اتعمق كثيرا في وصف آلية العمل لكن سأتطرق الى ما يهمنا منها .. 
قد لايخفى على الكثير منكم بأن البيانات المرسلة عن طريق الانترنت ولنقل على سبيل المثال الرسالة التي يرسلها الشخص منا الى صديقه في الطرف الآخر من العالم عن طريق البريد الالكتروني تتحول الى طرود صغيرة تحتوي على معلومات مترابطة يتم تجميعها عند الطرف الآخر وهو المستقبل .. يتم تقسيم هذه الرسالة الى اقسام صغيرة بحيث تسهل عملية نقلها وتساعد في عملية اسراع النقل ايضا ... 
لكن هذه الطرود او الحزم المعلوماتية غير آمنة مطلقا وقابلة للخسارة اذا ماعرفنا ان الحزمة لابد وان تصل الى محطتها الآخيرة في 15 قفزة متتالية تتم بين اجهزة من الدرجة الثانية من مستويات الذكاء تسمى بالراوترز ( Routers ) حيث يقوم هذا الجهاز بتقسيم هذه العينات والتحكم بمسارها معتمدا بذلك على معلومات توفرها له الاجهزة المماثلة والقريبة منه بحيث تقفز كل حزمة اقل من او 15 قفزة فقط حتى تصل الى محطتها الاخيرة وهي عند المستقبل والا فان هذه الحزمة تضيع ... 
بالنسبة للشبكة العنكوبتية بشكل عام لا تحدث عمليات الخسارة المعلوماتية دائما ولكنها متوقعة اذا ماتعطل احد هذه الاجهزة ... 
• لكن مالفرق بين الشبكة العنكبوتية العادية والشبكة الافتراضية ؟ 
هنا يبدأ مفهوم الامن والحماية والحرص على الخصوصية في نقل المعلومات والبيانات .. 


كيف تتم حماية البيانات في الشبكة الافتراضية ؟ 
تتم حماية البيانات بشكل عام عادة بتشفيرها بحيث يصعب فهمها اذا ما تمت سرقتها ... لكن ايضا حتى تشفير المعلومات لا يكفي احيانا اذا وضعنا بعين الاعتبار وجود انواع كثيرة من آليات التشفير والتي يمكن كسرها بطريقة او باخرى وما اكثر الامثلة هنا ابتداءا بسرقة ارقام البطاقات الائتمانية وانتهاءا بسرقة البرامج القيد البرمجة من اصحابها وغيرها الكثير من الامثلة ... لذلك كان لابد دائما من اتباع لوغارتمات قوية ومؤكدة من شركات كبيرة وذات اسم لامع في عالم التشفير كنقطة مبدئية للعمل على هذه الشبكات الافتراضية ... 
هنا تظهر مشكلة اخرى وهي ان المعلومات التي يتم ارسالها بين الشبكتين كما عرفنا مسبقا يتم تقسيمها الى حزم صغيرة يتم ارسالها باستخدام بروتوكولات متعددة تعتمد على طبيعة الشبكة والمعلومة مما قد يسبب ضياع هذه المعلومات وعدم الاستفادة منها اذا وضعنا في عين الاعتبار عجز الشبكة المستقبلة لهذه الحزم على فهمها نتيجة لعدم تعرفها على طبيعتها لذا كان من الواجب ايجاد حل وسطي وسلمي وآمن في نفس الوقت وهذه ماقدمته شركة ( Tunneling ) حيث اقترحت هذه الشركة ان يقوم بارسال الحزم المعلوماتية في طرود عادية في داخل طرود اخرى تكون مشفرة بحيث ان الطرود الحاوية على الطرود المعلوماتية تكون مفهومة لدى الشبكة المستقبلة .. وبهذا تحل مشكلة قرائة هذه الحزم المعلوماتية .. 
* مكونات الشبكة الافتراضية .. 
بشكل عام تتكون الشبكات الافتراضية من مكونين أساسيين اولهما العميل ( Client ) وثانيهما بوابة الاتصال ( GateWay ) .. 

* وظائف بوابة الاتصال ( GateWay ) : 

تنقسم بوابة العبور الى قسمين ( HardWare & SoftWare ) موجودة في مقر الشركة . 
في معظم الشركات تتوفر الشبكات المحلية والتي تربط اجهزة الشركة الواحدة ببعضها البعض ( LAN ) ولكل شبكة محلية شبكة افتراضية خاصة بها تعتبر نقطة البداية والنهاية لهذه الشبكة تتحكم بها بوابة الاتصال والتي بامكانها الاتصال بأكثر من عميل ( Client ) في الوقت الواحد باستخدام قنوات متعددة والتي تعتمد في عددها على مكونات الكمبيوتر الصلبة ( HardWare ) وسرعة الاتصال .. 
تقوم بوابة الاتصال بالقيام بالعديد من المهام كبدأ واعطاء الصلاحيات وادارة القنوات بعد بدأ الاتصال بعد ذلك تقوم بوابة الاتصال بايصال المعلومات الى الجهة الصحيحة على الشبكة .. كما ان بوابة الاتصال تقوم بعملية مهمة لغاية وهي عملية تشفير البيانات ( Encryption ) قبل ارسالها وتقوم بفك تشفيرها ( Decryption ) عند استلامها .. 

* وظائف العميل ( Client ) : 
يقوم الجهاز العميل ( Client ) تقريبا بنفس مهام بوابة الاتصال اضافة الى ذلك انه يقوم باعطاء تصاريح الدخول الى الشبكة على مستوى الأفراد المستخدمين .. 


لابد من توفر بعض النقاط الضرورية اذا ما أخذنا بعين الاعتبار ان العميل هو حلقة الوصل بين طرفين فمن هذا المنطق وجب اخذ الحذر من احتمالات اصابة بعض الملفات المرسلة بفايروسات او حتى حملها لملفات تجسس مما قد يخل بأمان الشبكة لذا كان من الضروري التأكد من وجود مكافح فايروسات قوي ومحدث بآخر التحديثات من الشركة الام وايضا لا يمكن الاستغناء عن جدار ناري للتأكد بأنه بالفعل حتى ( لو ) وجدت ثغرة بسيطة في هذه الشبكة فان هناك من يرصدها ويحميها ... 


وعندما نتكلم عن الحماية فأن الشبكة الافتراضية تتم حمايتها في ثلاث نقاط عبور وهي : 
1- بوابة الاتصال ( GateWay ) 
2- الشبكة الهدف ( Target Network ) 
3-العملاء ( Clients ) 
تحدثنا بما فيه الكفاية عن بوابة الاتصال وايضا العملاء فتعالوا نلقي الضوء على الشبكة الهدف او ( Target Network ) : 
تعطي هذه الشبكة صلاحيات مرور محددة ( Limited Access ) لعبور الشبكة والوصول الى البيانات او المعلومات فكما يعرف الجميع انه بعد انتقال هذه البيانات من بوابة الاتصال فان البيانات تكون في فضاء الانترنت سهلة المنال لكل من أراد .. ان لم يكن هناك من يضبط حركة الوصول الى هذه البيانات وهنا تبدا اهمية هذه الشبكة .. 
كما انها تعطي ايضا صلاحيات محددة لمن أراد الدخول الى الشبكة عن بعد ( Remote Access ) وذلك بضبط شروط معينة واعطاء صلاحيات والسماح لأشخاص معينين بالوصول الى معلومات معينة ... وتحديد مثل هذه الصلاحيات الى الوصول الى معلومات معينة أمر غاية في الاهمية اذا اخذنا بعين الاعتبار امكانية وصول أطراف غير معنية الى هذه المعلومات فبترشيد البيانات والصلاحيات المعطاة الى الشبكات او الاتصال البعيد تقل الخسائر الممكنة والمتوقعة اذا ما حصل واستطاع احد الوصول الى هذه الشبكة بطريقة غير شرعية ... 
أحب هنا ان اوضح نقطة مهمة وغاية في الاهمية فيما يتعلق بالحزم المعلوماتية بعد خروجها من بوابة الاتصال فهذه البيانات غير قابلة للتشفير ( Unencrypted ) بعد خروجها من بوابة الاتصال لذا فأن نظام حماية عالية الكفائة أمر ضروري لا غنى عنه ... 

* من يستخدم نظام الشبكات الافتراضية ؟ 
تقوم هذه الشبكات على أي شبكة داخلية ( LAN ) .... 
وتستطيع أي شركة استخدام مثل هذه الشبكات الافتراضية للاتصال ببعضها البعض اينما كانت فروعها وذلك لانها رخيصة التكاليف ان لم تكن معدومة ايضا ويلزمك لاستخدام مثل هذه الشبكة وجود نظام تشغيل داعم للشبكات مثل نظام التشغيل ( Windows Server 2000 ) او أي نظام مشابه تتم عملية تنصيبه على جهاز يعتبر السيرفر ... 

تساعد ايضا هذه الشبكات رؤساء الشركات على الدخول الى الشبكة الداخلية ( Intranet ) والخاصة بالشركة ومن ثم القيام بأعمالهم وهم في منازلهم كما ولو أنهم في مكاتبهم .. كما انها تساعد الموظفين التنفيذيين على الاتصال بالشبكة من أي مكان في العالم فكل ماعليه فعله هو فقط شبك جهازه النقال بأي شبكة انترنت ومن ثم العبور عبر بوابة الاتصال بعد اثبات الهوية والدخول الى المعلومات التي يريدها كما لو انه في الشركة نفسها ....
تم ابتكار الIPSec وكما نعرف ان الWin2000 اعتبر قفزه نوعية لمايكروسوفت وادخلها مضمار الشبكات بقوة ، لكن يا ترى هل مايكروسوفت من قام بوضع الIPSec وعمل Deployment له في الويندوز ؟
الجواب لا ، وذلك لان من قام به شركة CISCO بعد اتفاقيه مع مايكروسوفت بذلك ، ولذلك نلاحظ قوة IPSec.


يطرأ سؤال على ذهن الجميع ، كيف يمكننا ان نستخدم ونستغل الIPSec ؟ الجواب سهل.
يستخدم الIPSec عن طريق ما يعرف بالسياسات IPSec Policies والتي تطبق في الشبكه ، حيث ان كل مجموعة من القواعد التي تريد تطبيقها تشكل لنا سياسه، والIPSec يستخدم هذه النظريه ، الامر الذي يجب الانتباه له هو اننا لا نستطيع عمل اكثر من سياسة لكل جهاز كمبيوتر ، لذلك يجب عليك تجميع كل القواعد والامور التي ترغب في تطبيقها في سياسه واحده تطبق على مستوى الاجهزه لا على مستوى الافراد .
قبل القيام بوضع القواعد وتطبيق السياسه ، يجب علينا مراعاة مايلي:


*نوع الحركه Traffic Type : 

حيث انك تقوم باستخدام الفلاتر(سنتناولها في درس قادم) لتحديد نوعية الترافيك الي تريد تطبق عليها هذه القواعد ، فمثلا تستطيع ان تطبق فلتر يعمل على مراقبة بروتوكول HTTP و FTP فقط دون الباقي.

*ماذا سيفعل الIPSec بعد التحقق من نوع الحركهTraffic :

بعد ذلك يجب ان نحدد للIPSec ماذا سيفعل بعد تطابق الترافيك مع الفلتر ، وهو مايسمى Filter Action والذي تستخدمه لتخبر السياسه Policy ماذا ستفعل اذا تم مطابقة الترافيك حسب الفلتر، فمثلا يمكنك ان تجعل الIPSec يقوم بمنع الحركه على بورت بروتوكول FTP ، وايضا تجعله يعمل على تشفير الحركه على بورت بروتوكول HTTP . وايضا تستطيع من خلال Filter Action بتحديد اي انظمة التشفير والهاش التي تريد ان تستخدمها Encryption and Hashing Algorithms يجب على السياسه ان تستخدم.



*طريقة التحقق من الموثوقيه Authentication Method :

حيث يستخدم الIPSec ثلاث طرق للتحقق من الموثوقيه وهم :

-بروتوكول الكيربرس Kerberos Protocol 
- الشهادات الالكترونيه Digital Certificates 
- مشاركة مفتاح معين Preshared key 
كل سياسة تستطيع تطبيق طريقتين للتحقق من الموثوقيه.

*استخدام احدى نظامي الIPSec وهما Tunnel or Transport mode 

*نوع الاتصال او الشبكه التي سيتم تطبيق السياسة عليهاWhat connection type the rule applies to:

حيث ان السياسه يمكن ان تحدد الIPSec في نظاق الشبكه المحليه LAN ، او ان يعمل على اساس الوصول من بعدRemote access او ما يعرف بWAN ، او الاثنين معا.
الان بعد التعرف على الامور التي يجب اخذها بعين الاعتبار قبل تطبيق وعمل السياسه ، 


سنتعرف على انواع السياسه في الWin2000 &2003 ، حيث توجد هناك ثلاثه انواع منها :
-Client (Respond only)
-Server(Request Security)
-Secure Server (Require Security)

وكل واحده من هؤلاء تحتوي على اعدادت خاصه تناسب الغرض التي ستطبق لاجله.(طبعا في الشركات الصغيره او المتوسطه ، لكن كلما كبر حجم الشركه وزاد التعقيد زادت الحاجه الى استخدام سياسه مبتكره من قبل الشركه نفسها).

Client (Respond only)
افضل ما تطبق هذه السياسه على Domain Group security policy وذلك لكي تضمن لنا امكانية رد المستخدم على طلبات الاحهزه الاخرى باجراء تشفير عن طريق IPSec ،، اذا تعتبر هذه السياسه اساسيه في اي شبكه سيعمل فيها ولو سيرفر واحد على الIPSec ، حيث في هذه السياسه لن يقوم المستخدم بارسال طلب المحادثة والتشفير عن طريق الIPSec وانما سيقوم بالاجابه والدخول في الطلبات التي يتسقبلها لذلك من الاجهزه الاخرى في مجال IKE . اذا كنت تفكر في تطبيق IPSec على اي جزء من اجزاء الشبكه فالاحرى بعد ذلك ان يتم تطبيق هذه السياسه على مستوى Domain.

Server (Request Security)
تطبق هذه السياسه في العاده على السيرفرات التي ستتحدث مع احهزة Win2000 او حتى اجهزة Non-win2000 مثل Unix وغيره ، في هذه الحاله ، اذا كان المستخدم يستطيع التعامل مع IPSec فان جميع المحادثات بينهما ستكون مشفره فيه ، اما اذا لم يملك المستخدم القدره على استخدام الIPSec فانه يستعامل مع السيرفر بطرق المحادثه والاتصال العاديه (اي دون اي اثر للIPSec فيها). تطبق هذه السياسه في حالة وجود خليط من الاجهزه في الشبكه حيث يكون بعضها يستخدم IPSec والبعض الاخر لا ، فتكون هذه هي الانسب لذلك .

Secure Server (Require Security)
تضمن هذه السياسه للسيرفرات عدم التكلم وسقوط جميع انواع المحادثه والاتصال مع الاجهزه التي لا تستخدم او لا تدعم الIPSec ، حتى لو كانت هذه الشبكه او هذا الجهاز موجوده في Trusted Sites and DOmains . وافضل ما تستخدم هذه السياسه اذا دعت الحاجه الى تشفير كل شيء يصدر عن سيرفر محدد كالسيرفرات في البنوك وغيره، وبسبب تشدد هذه السياسه فانه يجب علينا في بعض الاحيان وضع اعفاءات واستثناءات من استخدام الIPSec كما يحصل في بروتوكول SNMP - Simple Network Management Protocol .

ملاحظات هامة
فقط سياسه واحده تطبق على مستوى الجهاز الواحد ـ، اذا اردت عدد من الخيارات التي تريد تطبيقها فقم بعمل سياسه محدده من قبلك Custom Policy .

اذا كانت الشبكة محميه بواسطة جدار ناري Firewall فيجب عليك عمل الاتي:
فتح بورت UDP 500
السماح بالProtocol Identifier (ID) number 51 for AH , number 50 for ESP 
)مع الملاحظه ان رقم البروتوكول ID يختلف عن رقم البورت(.

مثال نظري على IPSec

هذا الدرس وهو مثال نظري على IPSec ، سيتم اكمال الشرح عن الIPSec تحت بيئة WIndows 2000 لكن المثال سيكون في كيفية تعامل مكونات الشبكه الماديه مع IPSec (هذا الدرس مأخوذ من عدة كتب لمايكروسوفت منها 2150A و 2810 مع بعض التعديل والترجمه .

يعمل الIPSec على الشبكه بسبع خطوات رئيسيه ، هي (مع ملاحظة المخطط في الاسفل حيث ان الشرح سيكون من خلاله لذا انظر المخطط اولا( :



1- يقوم الجهاز A بارسال حزم بيانات عن طريق الكوابل على الشبكه الى الجهاز B .

2- يقوم IPSec Driver على الجهاز A بتحديد ان البيانات يجب ان تكون امنه عند انتقالها من كمبيوتر A الى B .

3- تتم عملية المباحثات بين الجهازين Negotiations فيتباحثان ويتفقان على استخدام المفتاح المشترك بينهما Shared Key وعلى المفتاح السري الخاص بالتشفير Secret Key ، وكله عن طريق بروتوكول IKE -Internet Key Exchange . مع الملاحظه بان المفتاح المشترك Shared Key يكون معلوما من قبل الطرفين دون انتقاله على الشبكه.

4- يقوم الIKE بعمل نوعين من الاتفاقيات بين الجهازين Two types of Agreements ، تسمى Security Associations SA او روابط الامن ، بين الجهازين. النوع الاول يحدد كيفية وثوق كلا الجهازين ببعضهما البعض وكيفية تأمين وحماية حزم البيانات الصادره عنهما، والنوع الثاني يحدد كيفية حماية جزء ونوع محدد من اتصال التطبيق (البرنامج) . 

5- بعد اكتمال وانتهاء عملية المباحثه بواسطه IKE ، يتم تمرير مفتاح التشفير من الجهاز A الى IPSec Driver ثم يعمل هذا المحرك IPSec Driver على عمل هاش Hashes من حزم البيانات الصادره للحفاظ على مصداقية المعلومه Data Integrity واختياريا (انظر انماط الIPSec ) يعمل على تشفير حزم البيانات للحفاظ على سرية المعلومات Data confidentiality .

6- جميع معدات الشبكه الاخرى مثل الراوترات والسيرفرات لا تحتاج لتطبيق الIPSec عليها، حيث تتعامل مع حزم الIPSec على انها حزم عاديه وتقوم بتمريرها على الشبكه.

7- يقوم الIPSec Driver الخاص بالجهاز B بفحص حزم البيانات للتأكد من مصداقيتها Integrity ويقوم بفك تشفير محتوياتها (اختياريا) ومن ثم يعمل على ارسال البيانات الى البرنامج او التطبيق المستقبل لها.




المراجع
• Cary, Hayward, “The Internet Protocol Security (IPSec) Standard: Clearing up the Confusion”, Product Marketing Manager/RedCreek Communication