" الشـبكات اللاسلكية "

" الشبكات اللاسلكية "

مقدمة

بدأت الشبكات اللاسلكية بالانتشار ومن ضمنها شبكات الواي فاي (Wireless Fidelity Wi-Fi) بصورة ملحوظة و غير متوقعة ، حتى لاتكاد تذهب إلى مكان ما إلا وتجد علامة تشير الى وجود خدمة (Wi-Fi) ، وتوقعت دراسة حديثة نمو عدد مستخدمي نقاط الاتصال اللاسلكي في العالم من 9.3 ملايين مستخدم خلال العام 2004 ليصل إلى نحو 30مليوناً بنهاية العام الجاري. وشهدت نقاط الاتصال اللاسلكي انتشاراً واسعاً على مدى السنوات القليلة الماضية من بضع مئات خلال العام 2000 لتصل إلى حوالي 40.000 نقطة اتصال ساخنة في العالم خلال العام 2004. فما هي (Wi-Fi) ؟ ، و بما أنها شبكة فهذا يعني أنها عرضة لتهديدات أمنية فما هي سبل الحماية ؟ هذا ما سنناقشة في هذه المقالة.

-شبكة لاسلكية-

تعريف

(Wi-Fi) هي الشبكات اللاسلكية قصيرة المدى المكونة من مجموعة من الأجهزة المرتبطة مع بعضها البعض لتبادل المعلومات و الاستفادة من الموارد (أو المنافع) الموجودة في الشبكة من خلال وسط تراسلي لاسلكي –على الهواء-و ذلك يعطي حرية تنقل الإجهزة المرتبطة بها مادامت داخل نطاق الشبكة ، لكن مقابل هذه الميزة يظهر خطر أمني يهدد هذا النوع من الشبكات ألا وهو انكشاف البيانات المرسلة على الهواء و بالتالي تكون عرضة للإختراقات وغيرها من التهديدات الأمنية.

المعايير القياسية للشبكات اللاسلكية

ثلاثة أجيال من المعايير القياسية للشبكات اللاسلكية ظهرت حتى الآن ، وهي على التسلسل الزمني 802.11g,802.11a,802.11b وكان التركيز على سرعة أكبر لنقل البيانات ، و لم تأخذ هذه الأجيال الثلاثة الموضوع الأمني بشكل كافي مما ساعد على كون الشبكات اللاسلكية عرضة أكثر للتهديدات الأمنية. IEEE وهي الجمعية العلمية المصدرة لهذه المعايير القياسية تعمل على إصدار معيار قياسي جديد خاص بأمن الشبكات اللاسلكية و هو 802.11i و التي لم تغطها المعايير السابقة ، و من المتوقع طرح هذا الإصدار في الأسواق بنهاية العام 2005.

البروتوكول السرعة التردد

802.11b 11 ميقابت/ث 2.4 قيقاهيرتز

802.11a 54 ميقابت /ث 5 قيقاهيرتز

802.11g 54 ميقابت /ث 2.4 قيقاهيرتز

مصطلحات مهمة في الشبكة اللاسلكية

§ نقطة الاتصال (Access Point) : مركز استقبال و ارسال الإشارات اللاسلكية ، ومدى الشبكة اللاسلكية بحسب قوة ارسال الإشارة الصادرة من هذه النقطة.

-نقطة الاتصال-

§ معرف الشبكة اللاسلكية (SSID) : اسم الشبكة اللاسلكية ، و عن طريقها يتم تعريف الشبكة اللاسلكية و الاتصال بها.

§ مفتاح الحماية (WEP, WPA): خياران للحماية بتشفير البيانات المرسلة في الشبكات اللاسلكية بحيث فقط المصرح لهم الاتصال بالشبكةبامكانهم معرفة البيانات المرسلة بينما الملتقطين للإشارات اللاسلكية الغير مصرح لهم لايمكنهم معرفة البيانات المرسلة . و نظام التشفير WPA أفضل بكثير من النظام WEP لكن ليس جميع الأجهزة تدعمه ، و النسخة الأمنية الجديدة من المعايير القياسية للشبكات اللاسلكية802.11i تعزز الجانب الأمني عن طريق تطوير نظام WPA وبالتالي سيكون هناك نظام مطور للتشفير وهو WPA2 . 

§ النقاط الساخنة (Hotspots): عبارة عن جهاز هوائي موصول بالإنترنت ويتصل لاسلكيا مع أجهزة الحاسب في مداه الذي قد يصل إلى 45 مترا، ولاتصال جهاز الحاسب بشبكة الواي فاي لابد من تهيئته لدعم هذه التقنية، ومعظم الأجهزة المحمولة التي تباع الآن مزودة بداخلها ببطاقات واي فاي. و النقاط الساخنة هي التعبير المتداول لنقاط الاتصال.

-علامة وجود خدمة الواي فاي-

أخطار أمنية محتملة على الشبكات اللاسلكية

§ اتصال اشخاص غير مصرحين بالإشارات اللاسلكية و بالتالي الاتصال بالشبكة اللاسلكية ككل.

§ بإمكان المخربين من التقاط و قراءة البيانات المرسلة على الهواء.

§ بإمكان الموظفين من تركيب شبكات لاسلكية في مكاتبهم و بالتالي خرق قوانين حماية الشبكة في منظماتهم.

§ يمكن للمخربين من اختراق الشبكات اللاسلكية بسهولة بواسطة برامج اختراق بدائية جاهزة.

§ حرب الشوارع و هو مصطلح للتعبير عن التجوال بغرض اكتشاف و اختراق شبكات لاسلكية غير محمية.

نصائح لحماية الشبكات اللاسلكية

§ تغيير اسم المستخدم و كلمة المرور الابتدائية لنقطة الاتصال و الموَجه ، وذلك لمنع الأشخاص الغير مصرح لهم من الاتصال بالشبكة بمجردلتخمين اسم المستخدم و كلمة المرور الموضوعةابتدائيا من قبل الشركة المصنعة.

§ تنشيط خاصية التشفير ، وذلك لمنع الأشخاص الغير مصرح لهم من التقاط الأشارات و بالتالي التعرف على البيانات المرسلة.

§ تغيير اسم الشبكة الابتدائي ، لمنع معرفة اسم الشبكة بمجرد التخمين بالاسم الموضوع من قبل الشركة المصنعة.

§ تنشيط خاصية فلترة العناوين للأجهزة المتصلة بالشبكة، لقصر الاتصال فقط على عناوين معروفة مسبقا ومنع الاتصال للعناوين الغير معروفة.

§ إلغاء خاصية نشر اسم الشبكة ، لمنع اكتشافها و قصر الاتصال على من يعرف اسم الشبكة اللاسلكية.

§ تحديد عناوين انترنت (IP) ثابته للأجهزة في الشبكة اللاسلكية ، و بالتالي سيساعد ذلك على عملية التشفير للعناوين (IPs).

§ تحديد مكان مناسب لنقطة الاتصال و الموَجه من حيث مدى انتشار الإشارات اللاسلكية ، و أنها تكون قدر الإمكان داخل منطقة آمنة . 

§ تركيب جدار ناري (Firewall) لمنع الاتصال الغير مصرح و لإخفاء الشبكة ، وأفضل جدار ناري و هو أيضا مجاني زون آلارم و يمكن تحميله من الويب

§ التحديث المستمر للبرامج المشغلة لمكونات الشبكة (نقط الاتصال ، الموجهات ،...) عن طريق الشركات المصنعة.

§ متابعة أخبار الشبكات و خاصة الشبكات اللاسلكية في مجال الأمن و تطبيق التحديثات و الأنظمة الأمنية الجديدة.

يجلب الارتباط مع شبكة الانترنت تحديات امنية جديدة، لشبكات الشركاتالكبيرة،شهد العامان الماضيات دخول آلاف الشركات الي شبكة انترنت، حيث أنشأتهذه الشركات مواقع لها علي شبكة ويب، وزودت موظفيها بخدمات البريد الالكترونيومتصفحات انترنت واصبح بذلك امام المستخدم الخارجي المسلح ببعض المعرفة وبعضالاهداف الخبيثة طريقة جديدة للتسلل الي الانظمة الداخلية، واجهزة الشبكات في شركةما عن طريق روابط انترنت . وحالما يصبح هذا الدخيل داخل شبكة الشركة، يمكنه انيتجول فيها ويخرب او يغير البيانات، او يسرقها مسببا اضرارا من مختلف الانواع؟،وحتي اذا اخذنا اكثر تطبيقات انترنت استخداما وهو البريد الالكتروني فانه لا يعتبرمامونا ، يمكن لمن لديه محلل بروتوكولات protocol analyzer وامكانية الوصول اليالموجهات routers والاجهزة الشبكية الاخري التي تعالج البريد الالكتروني اثناءانتقاله من شبكة الي شبكة عبر انترنت ان يقرأ او يغير الرسالة المرسلة، اذا لم تتخذخطوات معينة لضمان سلامتها . 

تتصرف بعض الشركات وكأن التحديات الامنية لمتكن خطرا حقيقيا بالامس القريب حيث تتطلع الي البنية التحتية لشبكة انترنت، كوسيلةرخيصة نسبيا، لربط شبكتين او عدة شبكات محلية LAN معزولة جغرافيا مع بعضها البعض اوللربط عن بعد مع شبكة ما., وتجدر الاشارة الي ان اعمال التجارية علي شبكة انترنتوالتي تتطلب الملايين من التبادلات المصرفية السرية اصبحت قريبة من متناولالكثيرين. 

وتستجيب اسواق امن الشبكات Network Security بسرعة لتحديات امنشبكة انترنت عن طريق تبني تقنيات شرعية authentication والتشفير encryption المتوفرة في هذا المجال لتطبيقها علي روابط شبكة انترنت ، وعن طريق تطوير منتجاتجديدة في مجال امن المعلومات، وتعتبر الاسواق اليوم في فوضي معايير وتقنيات ومنتجات،السياسية الامنيةلن يكون الربط مع شبكة انترنت مثل الربط مع اينوع آخر من الشبكات آمنا تماما، وبدلا من أن تلجأ الشركات الي تحقيق الامن المطلقعليها ان تقوم اهمية المعلومات التي تقوم بحمايتها، وتحقق نوعا من التوازن بيناحتمالات خرق الترتيبات الامنية وبين كلفة تحقيق مختلق هذه الترتيبات. 

يجبان تركز الخطوة لاولي علي استنباط سياسة امنية شاملة للشركة او علي تطوير السياسةالامنية المتعبة بحيث تاخذ في الاعتبار الربط مع انترنت. ويجب ان تحدد هذه السياسةبالتفصيل الموظفين الذين يحق لهم الوصول الي كل نوع من انواع الخدمة التي تقدمهاانترنت،، كما يجب ان تثقف الموظفين في مجال مسئولياتهم تجاه حماية معلومات الشركةمثل مسؤولياتهم تجاه حماية كلمات المرور التي يستخدمونهابالاضافة الي تحديدالاجراءات التي ستقوم الشركة بها في حال حدوث خرق لمثل هذه الخطة الامنية . 

وتعتبر هذه السياسة أداة هامة جدا في تحديد المجالات التي ستنفق فيها اموالالشركة للحفاظ علي امن معلوماتها ، ويقدم كتاب دليل امن المواقع Site Security handbook الذي اصدره مجموعة Network Working Group التابعة لهيئة Internet Engineerig task force او IETF فكرة جيدة عن الموضوعات التي يجب اخذها بعينالاعتبار عند وضع سياسة الامنية . 

تتطلب السياسة الامنية كجزء من ترتيباتهاتقدير الكلفة التي ستتحملها الشركة، في حال خرق الترتيبات الامنية. ويجب ان ينخرطالموظفون علي اعلي المستويات في هذه العملية وقد يكون من المفيد ان تقوم الشركةبتوظيف مستشار لامن الكمبيوتر، لضمان امن معلوماتها ، وتقدم الكثير من الشركةالمزودة لخدمة الانترنت، الاستشارة والنصح في هذا المجال، وتبدأ بعد تحديد السياسةالمتبعة، عملية تقويم استخدام برامج جدران النارية firewall، والتشفير encryption والشرعية authentication . 

جدران الناريخطر في بال معظم الناس عندالحديث عن امن شبكة انترنت برامج جدران النار وعلي الرغم من ان برامج جدران النارلا تعتبر علاجا لجميع مشاكل امن المعلومات علي شبكة الانترنت،،، الا انها ضروريةلاي استراتيجية متعبة، في مجال امن انترنت، تعتبر برمجيات جدران النار ببساطة حاجزابين شبكتين وهما في اغلب الاحيان شبكة داخلية وتسمي الشبكة الموثوقة trusted network شبكة خاجية تسمي untrusted network وهي شبكة انترنت في هذه الحالة وتقومبرمجيات جدران النار بفحص رزم البيانات القادمة والخارجة اعتمادا علي مجموعة قواعدالتي يضعها المشرف علي الشبكة، للسماح لهذه الرزم بالمرور او يقوم بحجبها ومنعها منالوصول الي الشبكة الداخلية . 

تستخدم معظم برمجيات جدران النار اليوم طريقةواحدة او اكثر من الطرق الثلاث المتبعة في فحص الرزم وتستخدم العديد من الموجهاتتقنية جدران النار المسماة بترشيح الرزم packet filtering والتي تفحص عناوينوبوابات المصدر Source والوجهة النهائية destination لرزم TCP ورزم UDP القادمة ثمترفض او تسمح للرزم بالمرور وفقا لمجموعة من القواعد مسبقة التحضير وتعتبر تقنيةترشيح الرزم طريقة رخيصة نسبيا وشفافة بالنسبة للمستخدم ولها تاثير طفيف غير ذي بالعلي اداء الشبكة ولكن تجهيز تقنية ترشيح الرزم يعتبر عملية معقدة نسبيا ويتطلبمعرفة دقيقة بالشبكة وبروتكولات النقل بل يتطلب في بعض الاحيان معرفة ببروتوكولاتالتطبيق . 

تكمن المشكلة الاخري في تقنية مرشحات الرزم في انها عرضة لما يسميخداع بروتوكول انترنت IP Spoofing وهي طريقة يستخدمها الهاكرز ليتمكنوا من الووصولالي شبكة شركة عن طريق تغيير عناوين بروتوكولات انترنت في ترويسة الرزم الي عناويناخري مقبولة من قبل شركة اخرياما النوع الاكثر تقدما وأمنا من انواع جدرانالنار فهي برامج بوابات التطبيقات application gateways ، تستخدم معظم منتجات جدرانالنار العاملة بتقنيات بوابات التطبيقات بما فيها برامج eagle الشهيرة من شركة Raptor ما يسمي توكيلات التطبيقات application proxies وهي عبارة عن برامج مكتوبةلخدمات معينة من خدمات انترنت ( مثل خدمات HTTP، FTP وخدمة telnet وتعمل علي مزودمرتبط بشبكتين كمزود Server لزبون تطبيقات application client وكزبون لمزودالتطبيقات application server 

ونظرا لان برامج توكيلات التطبيق تقوم بتقييمرزم الشبكة لتحديد شرعية البيانات المتعلقة بتطبيق معين فانها تعتبر شكل عام أكثرامنا من مرشحات الرزم . وتمتاز معظم جدران النار لبوابات التطبيقات باحتوائها عليميزة تدعي "ترجمة العناوين الشبكة" Network Adress Translator والتي تمنع ظهورعناوين IP الداخلية. امام المستخدمين من خارج الشبكة الموثوقة . 

تكمن احديالسلبيات الرئيسية في تقنية بوابات التطبيقات في انخفاض مستوي الاداء بسبب المعالجةالمضاعفة التي تتطلبها وظيفة التوكيل proxy function وهناك سلبية اخري تكمن في انهقد يتوجب عليك ان تنتظر عدة اشهر حتي تزودك الشركة الصانعة لبرنامج جدران الناربتوكيل التطبيق application proxy لاي حدمة جديدة من خدمات انترنت مثل استخدامخدمات realautio . واذا كنت تنوي استخدام جدران النار دفاع محيطي خارجي فقط وراءتوصيلات T1 الي مزود خدمة انترنت فلا داعي للقلق علي الاداء، لان عرض الحزمةالمنخفض لهذه التوصيلات سيصل الي حد الاشباع قبل وصول جدران النار الي ذلك الحد . قد تجد الكثير من المؤسسات ضرورة في استخدام جدران النار اضافية علي مستوي شبكاتهاالداخلية لفرض حزام امني علي مزودات اقسامها المختلفة مثل مزود المورد البشرية الذييحتوي عادة علي معلومات حساسة، ويصبح الأداء في هذه الحالة عاملا مهما نظرا لانالربط سيعتمد علي شبكة ايثرنت بسرعة10 ميجابت/ثانيةاو شبكة ايثرنت السريع 100ميجابت/ثانية. واذا كنت تنوي استخدام توكيلات التطبيقات داخليا فعليك ان تعتمد عليحل مبني علي عتاد سريع مثل pix firewall من شركة cisco او firebox من شركة seattle software او قد تلجا الي تركيب برمجيات جدران النار علي نظام يتمضن عدة معالجات . 

اما النوع الثالث من تكنولوجيا جدران النار والذي اسمته شركة check point software باسم تفقد الحالة الكاملة statefull inspection فهو موجود في برنامج firewall-1 من شركة نفسها وبرنامج pix firewall من شركة سيسكو وبرنامج On Guard منشركة On technology وبرنامج firewall/plus من شركة network-1 وكما هو الحال فيتقنية ترشيح الرزم فان هذه التقنية تستقبل اولا الرزم علي مستوي طبقة الشبكة Network layer ثم تقوم بتفحص جميع الرزم ومقارنتها مع نماذج معروفة من الرزمالصديقة وفيما تعطي طريقة تفقد الحالة الكاملة اداء اعلي بقليل من اداء توكيلاتالتطبيقات الا ان الجدل يبقي قائما فيما اذا كانت آمنة مثلها ام اقل امنا منها. 

كتبت معظم برامج جدران النار في البداية لنظم لينكس ثم خرجت برامج جدرانالنار لويندوز ان تي وغيرها ومما يجدر بالذكر ان خرق الحواجز الامنية نتيجة اخطاءفي تجهيز برامج جدران النار اكثر احتمالا من ان يكون ناتجا عن مشاكل تتعلق فيالمنتجات او في نظم التشغيل التي تعمل عليها ... 

الشرعية authentication 

تقوم برامج جدران النار بالتأكد من شرعية دخول المستخدم اليملفات الشبكة باستخدام عناوين IP التي تخصص لكل مزود وجهاز شبكة يمكن خداعهم واذااردت ان تسمح لمستخدمين معينين الوصول عبر شبكة انترنت الي ملفات وبيانات حساسةفعليك التاكد من شرعية المستخدم الفعلي .. 

يمكن وصف الشرعية بانها مجموعة الطرقالتي تتعرف ايجابيا علي المستخدم وتعتبر كلمات المرور passwords من اكثر الطرقانتشارا في مجال الشرعية المستخدم، لكن المستخدمين مشهورون باستخدام كلمات مروريمكن تخمينها بسهولة من قبل الدخلاءhackers ذوي الخبرة . 

وبالاضافة الي كلماتالمرور التي تدخل غالبا ضمن نطاق "شيء تعرفه" فان الكثير من المؤسسات تلجا الي حلولتعتمد علي "شيء تملكه " مثل الفيش tokens والبطاقا الذكية smart card والفيش اجهزةصغيرة بحجم بطاقات الائتمان يحملها الاشخاص الذين يستخدمون الشبكة عن بعد . 

ويمكن تجهيز منتجات برامج جدران النار بحيث تحول شرعية الدخول اليخدمات معينة الي مزود مخصص لهذه الغاية او يمكنك استخدام احدي خدمات الشرعية التييتضمنها المنتج . 

وتعتبر الشهادات الرقمية digital certificates الشروحة فيالفقرة التالية المتعلقة بالتشفير احدي الطرق المستقبلية التي تستخدم في مجال شرعيةالمستخدم والتي تحمل آلاما كبيرة للمراسلات والتجارة الالكترونية . 

التشفير Encryption 

مع الانضمام الجماعي للمكاتب والمؤسسات الي الشبكة، بدا العديد منهايتطلع الي البنية التحتية لشبكة انترنت كوسيلة نقل رخيصة نسبيا للربط بين شبكاتالمناطق الواسعة وللربط عن بعد لكن استخدام شبكة انترنت لمثل هذه الاغراض يتطلب منالشركات ان تحمي معلوماتها عن طريق التشفير . ويمكن تعريف التشفير بانه عمليةاستخدام صيغة ما تدعي خوارزمية التشفير encryption algorithm لترجمة النص العاديالي شيفرة غير مفهومة ثم تحويله من جديد الي نص عادي، ويعتمد نص التشفير بشكل اساسيعلي استخدام قيمة عددية تدعي المفتاح key وتصبح جزءا من خوارزمية التشفير وتعتبرمسؤولة عن بدء عملية التشفير . 

يتوفر العديد من انواع خوارزميات التشفير الا اناكثرها انتشارا هي خوارزمية DES التي تعتمد علي استخدام مفتاح التناظر Symmetric Key او مفتاح سري Secret Key وخوارزمية RSA التي تعتمد علي استخدام مفتاح غيرتناظري Asymmetric Key او مفتاح عام public key ويمكن استخدام خوارزمية DES معمفاتيح بطول 40 او 56 بت اما اطول مفاتيح خوارزمية RSA فتتراوح بين 512 بت و 2048بت، وتتراوح اصدارة حديثة وقوية منDES تعتمد علي اكثر من مفتاح واحد تسمي Triple DES ، تعتبر مواصفات S/MIME مواصفة مستقبلية في مجال امن البريد الالكتروني ،تستخدم خوارزمية التشفير RSA 

تعتمد خوارزمية المفتاح المتناظر او المفتاح السري مثل خوارزمية DES علىاستخدام المفتاح ذاته في عملية التشفير وفك التشفير وتتطلب هذه التكنولوجيا قوةمعالجة اقل بكثير من قوة المعالجة التي تتطلبها تكنولوجيا مفتاح التشفير غيرالمتناظر . لكل خوارزمية التشفير بالمفتاح السري تتطلب استخدام مفاتيح منفصلة لكلزوج من المستخدمين يتبادلان المعلومات وهو ما يعد عبئا اداريا كبيرا ، وتتطلب هذهالخوارزمية ايضا ان تكون منشأت المؤسسات وتوزيع المفاتيح السرية آمنة ضد تسربالمعلومات وهو امر صعب في بيئة مفتوحة مثل بيئة انترنت . 

يستخدم التشفيرغير المتناظر في خوارزمية RSA مفتاحين منفصلين ويمتلك كل مساهم في التبادلاتالمشفرة مفتاحا خاصا تسمي private key معروفا من قبل ذلك الشخص فقط ومفتاحا عاما public key يمكن ان يعرفه اي شخص ولا يمكن استخدام المفتاح ذاته في عمليات التشفيروفك التشفير واذا اردت ان ترسل نصا لجهة ما فيمكن لتلك الجهة ان ترسل لك المفتاحالعام public key الذي يمكنك استخدامه لتشفير النص لكن تلك الجهة فقط يمكنها ان تفكشيفرة النص باستخدام مفتاحها الخاص private key . 

تكمن الفائدة هنا في قلةالمفاتيح التي نحتاجها ولكن خوارزمية RSA تحتاج الي الكثير من قوة المعالجة مماينعكس سلبا علي الاداء ولهذا معظم التبادلات المصرقية المشفرة في هذه الايام تستخدممفاتيح متناظرة لتشفير وفك التشفير النصوص المتبادلة والتبادلات المصرفية .لكن النصالمشفر يرسل الي الطرف الآخر مع المفتاح السري الذي يتم تشفيره وفك تشفيره باستخدامخوارزمية التشفير RSA غير المتناظرة . 

لا تكتفي هذه الطريقة المركبة من التشفيربضمان سرية البيانات فحسب بل انها تمكننا من استخدام آلية شرعية المستخدم تدعيالتوقيع الرقمي digital signature فجميع البيانات المشفرة باستخدام المفتاح الخاصبالمرسل تؤكد علي شرعية المرسل . وتؤكد البيانات التي يفك تشفيرها باستخدام المفتاحالخاص المستقبل علي شرعية المستقبل . 

يتم التصديق علي صحة المفاتيح العامةعادة باستخدام الشهادات الرقمية التي ترافق التبادلات المصرفية والموقعة من قبلسلطة مصدقة. ويمكن ان تنشأ السلطة المصدقة المسؤولة رسميا عن نقل المفتاح العام اليالمستخدم في مؤسسة ما باستخدام الشهادات الرقمية داخل هذه المؤسسة مع شركائها فيالعمل الذين تثق بهم وتقدم شركة نتسكيب وشركة Xcert مزودات تصدييق Certification server لادارة الشهادات الرقمية . ويمكن ان تكون السلطة المصدقة جهة موثوقة بينمجموعة من المستخدمين او جهة اكبر واكثر انتشارا مثل شركة gte او Verisgn المعروفةباجراءاتها الصارمة في التأكد من الهويات وتعيين الشهادات الرقمية . وتعتبر مواصفات X.059 من اكثر المواصفات انتشارا، في مجال تحديد الشهادات الرقمية وستصبح الشهاداتالرقمية احدي تقنيات الامن الرئيسية المستخدمة في التبالات المصرفية التي تجري عبربطاقات الائتمان وعبر التبادلات المصرفية النقدية الرقمية المنتشرة بكثرة في مجالالتجارة الالكترونية . 

تعتبر طبقة التجاويف الامنية Secure Socket Layer ) موضوع عمر ) تقنية في مجال تكنولوجيا نقل الطبقات، طورتها شركة نتسكيب لضمانتبادلات مصرفية آمنة بين المتصفحات والمزودات التي تخضع لها عدة مزودات ويب، وتدعمبرامج متصفحات مايكروسوفت ونتسكيب تقنية SSL المثل العديد من مواقع ويب. وتستخدمطبقة SSL خوارزمية RSA للتوقيع الرقمي، ويمكنها ان تستخدم الشهادات المتوافقة معمواصفات X.059 وعدة خوارزميات في مجال التشفير بالمفتاح السري مثل DES و Triple DES . من المتوقع ان تندمج عمليات التشفير ضمن الانظمة والشبكات . ومن المتوقع ان يتمبناء عمليات التشفير ضمن بروتوكول IPv6 . وهو الجيل القادم من بروتوكولIP ، والذيتطوره حاليا هيئة IETF اما من ناحية العتاد فان شركة Intel تعمل حاليا علي تطويرمعالج مساعد للتشفير Encryption CoProcessor ليتم دمجه ضمن اللوحات الام فيالحواسيب الشخصية والمزودات . 

الشبكات الخاصة الافتراضية VPN 

التشبيكالخاص الافتراضي Virtual Private Lan VPN تعبير يستخدم لوصف الوصول عن بعد remote access عبر شبكة انترنت بالاضافة الي استخدام بنيتها التحتية لربط مكتبين مؤسسة مااو لربط مؤسستين مختلفتين . وتزودنا العديد من منتجات جدران النار بامكانية التشبيكالخاص الافتراضي مثل Firewall-1 الخيمكن للمستخدم البعيد باستخدام الوصول عنبعد remote access طلب مزود الخدمة انترنت المحلي، ثم الارتباط بشبكة المركزية عبرانترنت. وتمكنت حديثا مواصفتان في هذا المجال من ان تصبحا قابلتين للعمل المتبادلمع بعضهما البعض بحيث اصبح الوصول عن بعد والربط عبر شبكات الخاصة الافتراضية،استراتيجية قابلة للتطبيق. وتم دمج بروتوكول Point-To-Point Tunneling مع بروتوكول Layer2 Forwarding L2F من قبل IETF وتم تشكيل بروتوكول Layer 2 Tunneling Protocol L2TP. وتسمح هذه المواصفة بنقل عمليات الشرعية والتصديق من مزود خدمة انترنت اليمزود يقع في مكان ما علي شبكة انترنت في المكتب الرئيسي لشركة ما علي سبيل المثال .

وهناك ايضا مواصفات من IETF تحت اسم IPSec او Secure IP) Win2k تدعم هذهالمواصفة ( وستمكن هذه المواصفة منتجات الشبكات الخاصة الافتراضية VPN التي تدعمهذه المواصفات من تبادل المفاتيح العامة وخوارزميات التشفير بين بعضها البعض لاعدادجلسات وانشاء اتصالات VPN . وهنا ايضا فان معظم منتجات VPN ومنتجات جدران النارالتي تدعم VPN تدعم مواصفات IPSec .

تعتمد شبكات VPN وجميع تقنيات التشفير بشكلمكثف علي وحدة المعالجة المركزية للحاسوب، ويمكن ان تسبب انخفاضا في الاداء

: هي مجموعة معايير من البروتوكولات والخوارزميات طورت بواسطة اللجنة الخاصة لنظام الإنترنت Internet Engineering Task Force (IETF) واعتمدت كمعايير الإنترنتِ لتوفر التحقق من سلامة وسرية المعلومات التي أرسلت عبر شبكات الIP، وذلك بجعلها تعمل في طبقة الIP بحيث تتمكن من حماية أي نوع من نقل البيانات من خلال الIP.

عادةً يعبر عن الIPSec بأنها Transparent Security Protocol لأن المستخدم و التطبيقات لايشعرون بوجودها لأنها تعمل على طبقة الشبكة ( Network Layer )، ويعمل الIPSec في البيئات التي تكون سرعة الاتصال بها سريعة.

- بروتوكولات الIPSec

ينقسم الIPSec الى ثلاث بروتوكولات:

أولاً: AH : Authentication Header

يستخدم الAH في توقيع Sign الرسائل والبيانات ولا يعمل على تشفيرها Encryption ، حيث يحافظ على: 

1.موثوقية البيانات Data authenticity: أي أن البيانات المرسلة من هذا المستخدم هي منه وليست مزورة أو مدسوسة. 

2.صحة البيانات Data Integrity : أي أن البيانات المرسلة لم يتم تعديلها على الطريق (أثناء مرورها على الأسلاك) .

3.عدم إعادة الإرسال Anti-Replay : وهذه الطريقة التي يستخدمها المخترقون حيث يقومون بسرقة كلمة المرور وهي مشفرة ويقومون بإعادة إرسالها في وقت آخر للسيرفر وهي مشفرة وبالطبع يفك السيرفر التشفير ويدخل اسم المستخدم على أنه شخص آخر، فالIPSec يقدم حلولاً لمنع هذه العملية من الحدوث.

4.الحماية ضد الخداع Anti-Spoofing protection : ويوفر أيضاً الIPSec حماية ضد الخداع من قبل المستخدمين ، مثلاً يمكن ان يحدد مدير الشبكه انه لا يسمح لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه 192.168.1.x من دخول السيرفر ، فيمكن للمستخدم ان يغير الIP Address الخاص به ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه الى داخلها) يكون لكل حزمة Packet موقعها Digitally signed.

ثانياً: ESP : Encapsulating Security Payload 

يوفر هذا البروتوكول التشفير والتوقيع للبيانات معا Encryption and Signing ، و يستخدم هذا البروتوكول في كون المعلومات سرية Confidential او Secret ، أو عند إرسال المعلومات عن طريق Public Network مثل الانترنت. 

يوفر الESP المزايا التالية:

1.Source authentication : وهي مصداقية المرسل ، حيث كما وضحنا في مثال الSpoofing أنه لا يمكن لأي شخص يستخدم الIPSec تزوير هويته (هوية المرسل).

2.التشفير للبيانات Data Encryption : حبث يوفر التشفير للبيانات لحمايتها من التعديل أو التغيير أو القراءة.

3.Anti-Replay : موضحة في الAH .

4.Anti-Spoofing Protection : موضحة في ال AH.

ثالثاً : IKE : Internet Key Exchange 

الوظيفة الاساسيه لهذا البروتوكول هي ضمان الكيفية وعملية توزيع ومشاركة المفاتيح Keys بين مستخدمي الIPSec ، فهو بروتوكول الnegotiation أي النقاش في نظام الIPSec كما أنه يعمل على تأكيد طريقة الموثوقية Authentication والمفاتيح الواجب استخدامها ونوعها (حيث ان الIPSec يستخدم التشفير 3DES وهو عبارة عن زوج من المفاتيح ذاتها يتولد عشوائياً بطرق حسابية معقدة ويتم إعطاءه فقط للجهة الثانية ويمنع توزيعه وهو من نوع Symmetric Encryption أي التشفير المتوازي ويستخدم تقنية الPrivate Key .

- أقسام الIPSec

أو انواع الIPSec التي يستخدمها في الشبكة، وينقسم الIPSec الى نظامين او نوعين وهما :

1. نظام النقل Transport Mode 

2. نظام النفق Tunnel Mode .

نظام النقل: يستخدم هذا النظام عادة داخل الشبكة المحلية LAN : Local Area Network حبث يقدم خدمات التشفير للبيانات التي تتطابق والسياسة المتبعة في الIPSec بين أي جهازين في الشبكه أي يوفر Endpoint-to-Endpoint Encryption فمثلاً اذا قمت بضبط سياسة الIPSec على تشفير جميع الحركة التي تتم على بورت 23 وهو بورت الTelnet (حيث ان الTelnet ترسل كل شيء مثلما هو دون تشفير Plain Text ) فإذا تمت محادثه بين السيرفر والمستخدم على هذا البورت فان الIPSec يقوم بتشفير كل البيانات المرسلة من لحظت خروجها من جهاز المستخدم الى لحظة وصولها الى السيرفر. يتم تطبيق هذا النظام في الحالات التالية:

أولاً: المحادثة تتم بين الأجهزة في داخل أو نفس الشبكة الداخلية الخاصة Private LAN.

ثانياً: المحادثة تتم بين جهازين ولا يقطع بينهما Firewall حائط ناري يعمل عمل NAT : Network Address Translation (نظام يمكن الFirewall من استبدال جميع عناوين الIPs في الشبكه الداخليه من حزمة البيانات Packet واستبدالها في عنوان Public IP اخر ، ونستفيد من ذلك هو أننا لن نحتاج سوى الى عنوان IP واحد One Public IP ، وأيضاً أنه يقوم بإخفاء عناوين الأجهزه عن شبكة الانترنت للحماية من الاختراق الخارجي) .

نظام النفق: يتم استخدام هذا النظام لتطبيق الIPSec بين نقطتين تكون بالعادة بين 2 Routers ، إذاً يتم استخدام هذا النظام بين نقطتين بعيدتين جغرافياً أي سيتم قطع الانترنت في طريقها الى الطرف الثاني ، مثل الاتصالات التي تحدث بين الشبكات المتباعده جغرافيا WAN : Wide Area Network ، يستخدم هذا النظام فقط عند الحاجه لتأمين البيانات فقط اثناء مرورها من مناطق غير آمنة كالانترنت ، فمثلاً إذا أراد فرعين لشركة أن يقوم بتشفير جميع البيانات التي يتم إرسالها فيما بينهم على بروتوكول FTP : File Transfer Protocol فيتم إعداد الIPSec على أساس الTunnelling Mode .

- فوائده IPSec Benefits 

لقد ظهر ضعف كبير في عملية الEncryption العادية التي تتم بين الأجهزه في الشبكات ، وهذا الضعف تمثل في صعوبة تطبيق هذا الموضوع ، وأيضا استهلاكه للوقت أي بطؤه الشديد في القيام بعملية التشفير وفكه Encryption and decryption ،فالفائدة الكبرى التي ظهرت في الIPSec هي أنه يوفر حماية كاملة وواضحة لجميع البروتوكولات التي تعمل على الطبقة الثالث Layer 3 of the OSI Model وما بعدها.

من مميزات الIPSec أيضا هو أنه موجود أصلاً Built-in في داخل حزمة الIP Packet ، فلذلك هو لا يحتاج لأي إعدادت لانتقاله عبر الشبكة ولا يحتاج لأي أجهزة إضافية لذلك .

المراجع

• بروس شنير : الاسرار والاكاذيب : الأمن الرقمي في عالم متصل بالشبكة

• روبرت سي.سيكورد : التشفير الآمن في C و C++. أديسون ويسلي ، أيلول / سبتمبر 2005

• البنية التحتية لشبكة الأمن ، انجوس ونغ وآلان يونغ ، سبرينغر ، 2009