"مفهوم الأمن في الشبكات الحاسوبية"
مفهوم الأمن في الشبكات الحاسوبية
يلحُّ باحثوا أمن المعلومات على أن تؤخذ بالاعتبار المتطلبات الأمنية لنظام ما خلال مراحل التحليل والتصميم، إذ تُعتبر إضافتها لاحقاً إلى النظام بعد الانتهاء من التصميم أمراً محفوفاً بالمخاطر، وقد يؤدي إلى العديد من الثغرات التي قد لا تنكشف إلا في مرحلة متأخرة.
هذا ما يحصل، ويا للأسف الشديد في أغلب الأحيان (وخاصة في نظم وبروتوكولات الاتصالات)، لذلك، بعد ان يتنهي المصممون من العمل، يطرح أحدهم السؤال التالي: لكن ماذا يحصل عندما يقوم الأشرار بـ...؟، عندئذٍ يُستدعى خبراء الأمن ويطلب منهم تصميم نظام أمني.
تتركز الأهداف الرئيسية لنظم الأمن في تطبيقات الاتصالات على تقديم ثلاث خدمات:
1- الاستيقان أو التوثيق (Authentication): وهي المعنية بالتحقق من صلاحية الجهة المشاركة في الشبكة
2- السرية/الخصوصية (Confidentiality/Privacy) ويقصد بها مجموعة القواعد والنظم التي تتحقق من خلالها سرية المعلومات وحمايتها من الإختلاس أو الاطلاع عليها من قبل غير المخولين بذلك.
3- التكامل (Integrity): وتضم الإجراءات والنظم التي تؤمن عدم السماح بالتغيير أو التلاعب في مضمون المعلومات سواءً خلال تبادلها عبر الشبكة أو تخزينها.
تركز بعض نظم الأمن على تقديم حلول للمشاكل الثلاث السابقة، على حين يقوم البعض الآخر على حل واحدة أواثنتين من هذه المشاكل وترك بقية المهام لنظم أخرى. خ
== بروتوكول الحماية == WEP
أدرك الباحثون في معهد IEEE هشاشة الشبكات اللاسلكية في مواجهة المخاطر الأمنية، لذلك قامت هذه الهيئة بتصميم بروتوكول حماية أطلقت عليه اسم الخصوصية المكافئة للشبكات السلكية (Wired Equivalent Privacy) والذي عرف لاحقاً بـ WEP.
الشبكات الافتراضية Virtual Private Networking
مع ازدهار وتطور أساليب التقنية الحديثة وحتى تواكب الركب في توسع وانتشار الشركات العالمية، كان لابد من إحداث ثورة في مجال الاتصالات الشبكية السلكية منها واللاسلكية بين فروع هذه الشركات.
فعلى سبيل المثال يعتبر تواصل الفرع الرئيسي لشركة مايكروسوفت العملاقة مع أحد فروعها في دولة ماليزيا والتناقش حول قضية وجود ثغرة أمنية اكتشفها خبراء مايكروسوفت في معامل روسيا أمرا بالغ السرية وبالغ الخطورة أيضاً، وبالمقابل فأن إجراء مكالمات هاتفية مطولة كهذه قد تسبب في إنهاك ميزانية أكبر الشركات، إذا ما وضعنا بعين الاعتبار إجراء مكالمات على مدار الساعة وإتمام العمليات هاتفياً ..
لذا كان الحل موجوداً وسهلاً وممكناً للجميع، وهنا تبدأ أحد فوائد الانترنت الجمّة في إتمام عمليات التواصل بين الأطراف المعنية بأقل التكاليف .. لكن الإنترنت أفضل ما فيه أنه باب مفتوح للجميع، وأسوأ ما فيه أنه أيضاً باب مفتوح للجميع، وهنا يبدأ القلق ...
أسئلة تطرح على مدار الساعة .. هل أنا مراقب ؟؟ هل اخترق أحد جهازي ؟؟ هل تمت سرقة هذه البيانات ؟؟ والكثير الكثير منها !!
أسئلة قد لا تلج الى عقول المستخدمين العاديين للإنترنت .. فجل ما تحتويه أجهزتنا هي بعض من الملفات والتي حتى وإن فقدت فمصدرها الرئيسي الإنترنت مرة أخرى .. أو أن نخسر اشتراكاً تبقى منه لحظات قليلة لن يستمتع من سرقه بها ..
قد تكون خسارة البريد الإلكتروني من أكبرها وقعاً في النفوس، لأنها شيء من الخصوصية والتي يكره الإنسان بطبيعة حاله أن يفقدها أو يعرضها على الغير .. لكن ماذا عن المستخدمين الحقيقيين للشبكة العنكبوتية ؟؟ ماذا عن أصحاب رؤوس الأموال والذين تتم معاملاتهم من بيع وشراء عن طريق هذه الشبكة ..
هل سبق لك وإن قمت بعملية شرائية من الانترنت ؟؟
لماذا كان هذا التخوف من الشراء عبر الانترنت ؟؟!! هنا تأتي مسألة خطيرة جداً وهي مسألة الحماية .. حماية البيانات الشخصية ..
هذا على مستوى الفرد العادي والتي قد تكون خسارة بعض الليرات محزنة له .. ما بالك بالشركات التي تتناول فيما بين فروعها معلومات عن مشاريع قادمة ووصفاً دقيقاً لمكونات وطريقة عمل هذه المشاريع .. سرقة معلومة واحدة قد تكلف الكثير ...
من هذا المنطلق بدأ ما يسمى ببرامج الحماية، وبدأت كلمة الحماية تطفو على السطح وتثبت أقدامها في مجال واسع وعالم مفتوح هو عالم الانترنت، لكن السؤال الذي يطرح نفسه هنا : "هل أنا بالفعل إذا قمت باتخاذ جميع سبل الحماية فإنني وبياناتي في أمان ؟؟"
لن أجيب على هذا السؤال بأفضل ما أجاب خبير أمن الشبكات "بيتر نورتون" "Peter Norton" حيث قرأت له في إحدى كتبه انه قال :
"الجهاز الوحيد المؤمن والمحمي بنسبة 100% من أي مخاطر للسرقة والاختراق، هو جهاز يوضع في زاوية الغرفة ولكنه لا يتصل نهائياً على الانترنت ...."
وكما قيل : "الحاجة أم الاختراع"، من هذا المنطلق بدأت الشركات الكبيرة وحتى الصغيرة النامية بالبحث عن سبل أخرى لحلحلة هذه المشكلة وحتى لو بالالتفاف عليها .. وكان لهم مبتغاهم ولو إلى 95% حيث تم اكتشاف ما يسمى بـ "الشبكة الافتراضية" ..
ما هي الشبكة الافتراضية ( VPN ) ؟؟
الاسم يدل على كونية هذه الشبكات، فهي شبكات افتراضية لا وجود لها في الواقع، ولكنها مع ذلك تؤدي واجبها على أكمل وجه كأكثر أنواع الشبكات أماناً وأكثرها شيوعاً، وحتى استخداماً ما بين الشركات الكبيرة ..
طبعاً كونها شبكات افتراضية، فلابد من وجود داعم حقيقي يحمل هذه الافتراضية إلى أرض الواقع .. لابد لهذا الداعم أن يكون مستيقظاً كل الوقت جاهزاً ومستعداً في أي لحظة، وهنا كانت الشبكة العنكبوتية لتثبت أنها دائماً الأرض الخصبة، هذه الشبكات الافتراضية هي نفسها الشبكة العنكبوتية، لكن تم توظيف خصائصها لتلائم سرية نقل البيانات والحفاظ على أمن المعلومات ..
كيف تعمل الشبكات الافتراضية ؟؟
حتى نستطيع فهم آلية عمل الشبكات الافتراضية، لابد من التوقف قليلاً عند آلية عمل الشبكة العنكبوتية أو غيرها من الشبكات في البداية .. قد لا يخفى على الكثير منكم بأن البيانات المرسلة عن طريق الإنترنت والنقل على سبيل المثال الرسالة التي يرسلها الشخص منا الى صديقه في الطرف الآخر من العالم عن طريق البريد الالكتروني، تتحول الى طرود صغيرة تحتوي على معلومات مترابطة يتم تجميعها عند الطرف الآخر وهو المستقبل .. يتم تقسيم هذه الرسالة الى أقسام صغيرة، بحيث تسهل عملية نقلها وتساعد في عملية إسراع النقل أيضاً.
لكن هذه الطرود أو الحزم المعلوماتية غير آمنة مطلقاً وقابلة للخسارة إذا ما عرفنا أن الحزمة لابد وأن تصل إلى محطتها الأخيرة في (15) قفزة متتالية تتم بين أجهزة من الدرجة الثانية من مستويات الذكاء تسمى بالروترز ( Routers )، حيث يقوم هذا الجهاز بتقسيم هذه العينات والتحكم بمسارها معتمداً بذلك على معلومات توفرها له الأجهزة المماثلة والقريبة منه، بحيث تقفز كل حزمة أقل من (15) قفزة فقط حتى تصل إلى محطتها الأخيرة وهي عند المستقبل، وإلا فإن هذه الحزمة تضيع ..
بالنسبة للشبكة العنكبوتية بشكل عام، لا تحدث عمليات الخسارة المعلوماتية دائماً، ولكنها متوقعة إذا ما تعطل أحد هذه الأجهزة ..
لكن ما الفرق بين الشبكة العنكبوتية العادية والشبكة الافتراضية ؟؟
هنا يبدأ مفهوم الأمن والحماية والحرص على الخصوصية في نقل المعلومات والبيانات ..
- كيف تتم حماية البيانات في الشبكة الافتراضية ؟؟
تتم حماية البيانات بشكل عام عادة بتشفيرها بحيث يصعب فهمها إذا ما تمت سرقتها ... لكن أيضاً حتى تشفير المعلومات لا يكفي أحياناً إذا وضعنا بعين الاعتبار وجود أنواع كثيرة من آليات التشفير والتي يمكن كسرها بطريقة أو بأخرى، وما أكثر الأمثلة هنا ابتداءً بسرقة أرقام البطاقات الإئتمانية وانتهاءً بسرقة البرامج القيد البرمجة من أصحابها وغيرها الكثير من الأمثلة ... لذلك كان لابد دائماً من إتباع لوغاريتمات قوية ومؤكدة من شركات كبيرة وذات اسم لامع في عالم التشفير كنقطة مبدئية للعمل على هذه الشبكات الافتراضية ..
هنا تظهر مشكلة أخرى وهي أن المعلومات التي يتم إرسالها بين الشبكتين كما عرفنا مسبقاً يتم تقسيمها إلى حزم صغيرة يتم إرسالها باستخدام بروتوكولات متعددة تعتمد على طبيعة الشبكة والمعلومة، مما قد يسبب ضياع هذه المعلومات وعدم الاستفادة منها، إذا وضعنا بعين الاعتبار عجز الشبكة المستقبلة لهذه الحزم على فهمها نتيجة لعدم تعرفها على طبيعتها، لذا كان من الواجب إيجاد حل وسطي وسلمي وآمن في نفس الوقت، وهذه ما قدمته شركة ( Tunneling ) حيث اقترحت هذه الشركة أن يقوم بإرسال الحزم المعلوماتية في طرود عادية في داخل طرود أخرى تكون مشفرة بحيث أن الطرود الحاوية على الطرود المعلوماتية تكون مفهومة لدى الشبكة المستقبلة .. وبهذا تحل مشكلة قراءة هذه الحزم المعلوماتية ..
مكونات الشبكة الافتراضية
بشكل عام تتكون الشبكات الافتراضية من مكونين أساسيين :
1) العميل ( Client )
2) بوابة الاتصال ( Gateway )
وظائف بوابة الاتصال ( Gateway )
تنقسم بوابة العبور إلى قسمين ( Hardware & Software ) موجودة في مقر الشركة، في معظم الشركات تتوفر الشبكات المحلية والتي تربط أجهزة الشركة الواحدة ببعضها البعض ( LAN ) ولكل شبكة محلية شبكة افتراضية خاصة بها تعتبر نقطة البداية والنهاية لهذه الشبكة تتحكم بها بوابة الاتصال والتي بإمكانها الاتصال بأكثر من عميل ( Client ) في الوقت الواحد باستخدام قنوات متعددة، والتي تعتمد في عددها على عتاد ( Hardware ) وسرعة الاتصال.
تقوم بوابة الاتصال بالقيام بالعديد من المهام، وإعطاء الصلاحيات وإدارة القنوات بعد بدء الاتصال، بعد ذلك تقوم بوابة الاتصال بإيصال المعلومات إلى الجهة الصحيحة على الشبكة .. كما أن بوابة الاتصال تقوم بعملية مهمة للغاية، وهي عملية تشفير البيانات ( Encryption ) قبل إرسالها، وتقوم بفك تشفيرها ( Decryption ) عند استلامها.
وظائف ( Client )
يقوم الجهاز العميل ( Client ) تقريباً بنفس مهام بوابة الاتصال، إضافة إلى ذلك أنه يقوم بإعطاء تصاريح الدخول إلى الشبكة على مستوى الأفراد المستخدمين ..
لابد من توفر بعض النقاط الضرورية إذا ما أخذنا بعين الاعتبار أن العميل هو حلقة الوصل بين طرفين، فمن هذا المنطق وجب أخذ الحذر من احتمالات إصابة بعض الملفات المرسلة بفايروسات أو حتى حملها لملفات تجسس، مما قد يخل بأمان الشبكة، لذا كان من الضروري التأكد من وجود مكافح فايروسات قوي ومحدث بآخر التحديثات من الشركة الأم، وأيضاً لا يمكن الاستغناء عن جدار ناري للتأكد بأنه بالفعل حتى "لو" وجدت ثغرة بسيطة في هذه الشبكة، فإن هناك من يرصدها ويحميها ..
وعندما نتكلم عن الحماية فإن الشبكة الافتراضية تتم حمايتها في ثلاث نقاط عبور وهي :
1) بوابة الاتصال ( Gateway )
2) الشبكة الهدف ( Target Network )
3) العملاء ( Clients )
تحدثنا بما فيه الكفاية عن بوابة الاتصال وأيضاً العملاء فتعالوا نلقي الضوء على الشبكة الهدف أو ( Target Network ) :
تعطي هذه الشبكة صلاحيات مرور محددة ( Limited Access ) لعبور الشبكة والوصول إلى البيانات أو المعلومات، فكما يعرف الجميع أنه بعد انتقال هذه البيانات من بوابة الاتصال فإن البيانات تكون في فضاء الانترنت سهلة المنال لكل من أراد .. أن لم يكن هناك من يضبط حركة الوصول الى هذه البيانات وهنا تبدأ أهمية هذه الشبكة ..
كما أنها تعطي أيضاً صلاحيات محددة لمن أراد الدخول إلى الشبكة عن بعد ( Remote Access ) وذلك بضبط شروط معينة وإعطاء صلاحيات والسماح لأشخاص معينين بالوصول إلى معلومات معينة .. وتحديد مثل هذه الصلاحيات إلى الوصول إلى معلومات معينة أمر غاية في الأهمية إذا أخذنا بعين الاعتبار إمكانية وصول أطراف غير معنية إلى هذه المعلومات، فبترشيد البيانات والصلاحيات المعطاة إلى الشبكات أو الاتصال البعيد تقل الخسائر الممكنة والمتوقعة إذا ما حصل واستطاع أحد الوصول إلى هذه الشبكة بطريقة غير شرعية ..
من يستخدم نظام الشبكات الافتراضية ؟؟
تقوم هذه الشبكات على أي شبكة داخلية ( LAN )،
وتستطيع أي شركة استخدام مثل هذه الشبكات الافتراضية للاتصال ببعضها البعض أينما كانت فروعها وذلك لأنها رخيصة التكاليف إن لم تكن معدومة أيضاً ويلزمك لاستخدام مثل هذه الشبكة وجود نظام تشغيل داعم للشبكات مثل نظام التشغيل ( Windows Server 2000 ) او أي نظام مشابه تتم عملية تنصيبه على جهاز يعتبر السيرفر ...
تساعد أيضاً هذه الشبكات رؤساء الشركات على الدخول الى الشبكة الداخلية ( Intranet ) والخاصة بالشركة ومن ثم القيام بأعمالهم وهم في منازلهم كما ولو أنهم في مكاتبهم .. كما أنها تساعد الموظفين التنفيذيين على الاتصال بالشبكة من أي مكان في العالم فكل ما عليه فعله هو فقط وصل جهازه النقال بأي شبكة إنترنت، ومن ثم العبور عبر بوابة الاتصال بعد إثبات الهوية والدخول الى المعلومات التي يريدها كما لو أنه في الشركة نفسها.
فوائد IPSec Benefits
ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .
IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .
لقد ظهر ضعف كبير في عملية الEncryption العاديه التي تتم بين الاجهزه في الشبكات ، وهذا الضغف تمثل في صعوبة تطبيق هذا الموضوع ، وايضا استهلاكله للوقت اي بطئه الشديد في القيام بعملية التشفير وفكه Encryption and decryption ،فالفائده الكبرى التي ظهرت في الIPSec هي انه يوفر حماية كامله وواضحه لجميع البروتوكولات التي تعمل على الطبقة الثالث Layer 3 of the OSI Model وما بعد هذه الطبقه ، مثل طبقة التطبيقات Application Layer وغيرها .
يقوم في العاده مدير الشبكه بوضع السياسات التي يريد ان يطبق الIPSec عليها بعد دراسة جميع النتائج لهذا التطبيق ، فمثلا يقوم بعمل قائمه للبروتوكولات الواجب تشفيرها كHTTP , FTP , SMTP ويقوم بجمعها معا في ما يسمى سياسه الIPSec او IPSec Policy . تحتوي هذه السياسه على الفلاتر المتعدده التي يستخدمها الIPSec لتحديد اي البروتوكولات يحتاج الى التشفير Encryption (اي باستخدام ESP) وايها بحاجه الى توقيع الكتروني Digital Signing (اي باستخدام AH ) او الاثنين معا . قتبعا لذلك كما ذكرنا ، فان اي حزمه من البيانات تمر من خلال هذه البورتات وتستخدم البروتوكولات المحدده فانه يتم تشفيرها او توقيعها كما هو محدد . والافضل في هذه العمليه ، ان المستخدم لا يشعر بشيء وغير مطلوب منه عمل شيء ،، وانما مدير الشبكه يقوم يتطبيق سياسة الIPSec على الDomain او على اي OU : Organaizational Unit قيتم بشكل تلقائي التشفير وفكه عند ارساله من جهاز وعند وصوله للجهاز الاخر .
من مميزات الIPSec ايضا هو انه موجود اصلا Built-in في داخل حزمة الIP Packet ، فلذلك هو لا يحتاج لاي اعدادت لانتقاله عبر الشبكه ولا يحتاج لاي اجهزه اضافية لذلك .
كيف يحمي الIPSec من الهجوم على الشبكة؟
إن الشبكة والبيانات التي تمر فيها يمكن ان تتعرض للعديد من أنواع الهجمات المختلفة ، بعض الهجمات تكون غير فعاله Passive مثل مراقبة الشبكة Network Monitoring ، ومنها ما هو الفعال Active مما يعني أنها يمكن أن تتغير البيانات أو تسرق في طريقها عبر أسلاك الشبكة. و سوف نستعرض بعض انواع الهجمات على الشبكات.
أولاً: التقاط حزم البيانات Eavesdropping, sniffing or snooping:حيث يتم بذلك مراقبة حزم البيانات التي تمر على الشبكه بنصها الواضح دون تشفير Plain text والتقاط ما نريد منها ، ويعالجها الIPSec عن طريق تشفير حزمة البيانات، عندها حتى لو التقطت الحزمة فإن الفاعل لن يستطيع قراءتها أو العبث بها، لأن الطرف الوحيد الذي يملك مفتاح فك التشفير هو الطرف المستقبل.
ثانيا: تعديل البيانات Data modification:حيث يتم بذلك سرقة حزم البيانات من الشبكة ثم تعديلها وإعادة إرسالها إلى المستقبل، ويقوم الIPSec بمنع ذلك عن طريق استخدام الهاش Hash ووضعه مع البيانات ثم تشفيرها معاً ، وعندما تصل الحزمة إلى الطرف المستقبل فإن الجهاز يفحص Checksum التابع للحزمة إذا تمت مطابقته أم لا، فإذا تمت المطابقة مع الهاش الأصلي المشفر تبين أن الحزمة لم تعدل، لكن إذا تغير الهاش فإن حزمة البيانات قد تم تغييرها على الطريق.
ثالثاً: انتحال الشخصية Identity spoofing: بحيث يتم استخدام حزم البيانات على الشبكة والتقاطها وتعديلها لتبين هوية مزورة للمرسل، أي خداع المستقبل بهوية المرسل، ويمنع ذلك عن طريق الطرق الثلاثه التي يستخدمها الIPSec وهي: بروتوكول الكيربرس (Kerberos Protocol)، والشهادات الالكترونية Digital Certificates ، ومشاركة مفتاح معين (Preshared Key).
حيث لا تتم عملية بدأ المحادثة وإرسال البيانات قبل التأكد من صحة الطرف الثاني عن طريق احدى الطرق المذكورة.
رابعاً: DoS -Denial of Service رفض الخدمة أو حجبها: حيث تعمل هذه الهجمة على تعطيل خدمة من خدمات الشبكه للمستخدمين والمستفيدين منها ، مثلاً كاشغال السيرفر في الشبكة بعمل عليه Flood مما يشغله بالرد على هذه الأمور وعدم الاستجابة للمستخدمين. ويعمل الIPSec على منع ذلك عن طريق إمكانية غلقه أو وضع قواعد للمنافذ المفتوحة Ports.
خامساً: MITM -Man In The Middle: من أشهر الهجمات في الشبكات، وهي أن يكون هنالك طرف ثالث يعمل على سرقة البيانات المرسلة من طرف لآخر وإمكانية العمل على تعديلها أو العمل على عدم إيصالها للجانب الاخر، ويعمل الIPSec على منعه بواسطة طرق التحقق من الموثوقية Authentication methods .
سادساً: الهجمات على طبقة التطبيقات Application Layer Attacks : حيث تعمل هذه الهجمات على التأثير على النظام المستخدم في أجهزة الشبكة وأيضاً تعمل على التأثير على البرامج المستخدمة في الشبكة، ومن الأمثله عليها الفيروسات والديدان التي تنتشر بفعل ثغرات في الأنظمة أو البرامج أو حتى اخطاء المستخدمين. يعمل الIPSec على الحماية من ذلك بكونه يعمل على طبقة IP Layer فيعمل على إسقاط أي حزمة بيانات لا تتطابق مع الشروط الموضوعة لذلك ، لذا فتعمل الفلاتر على إسقاطها وعدم إيصالها للأنظمة أو البرامج.
بشكل عام فالIPSec يحمي من معظم الهجمات عن طريق استخدامه ميكانيكية التشفير المعقدة ، حيث يوفر التشفير الحماية للبيانات والمعلومات ايا كانت اثناء انتقالها على الوسط (اياً كان) عن طريق عمليتي التشفير Encryption والهاش Hashing.
طريقة التشفير المستخدمة في الIPSec عبارة عن دمج لعدة Algorithms ومفاتيح، وحيث
Algorithm: عباره عن العملية الحسابية التي تمر فيها البيانات لكي تشفر.
Key: وهو عباره عن رقم (كود) سري يتم من خلاله قراءه أو تعديل أو حذف أو التحكم في البيانات المشفرة بشرط مطابقته للطرف الثاني الذي قام بعملية التشفير.
تتكون شبكة الكومبيوتر من جهازين متصلين ببعضهما بواسطة سلك ويقومان بتبادل البيانات .
.حيث تسمح لك بتبادل البيانات وموارد الكومبيوتر computer recourse ( معلومات ،
برامج ، اجهزة محيطية مثل الطابعة ) .
وتقسم الى:
1. مكونات مادية
2. مكونات برمجية
المكونات المادية
Server : الحواسيب التي تقدم البيانات او الموارد في الشبكات المحلية او المزودات .
Clients : الحواسيب التي تستفيد من هذه البيانات او تسمى الزبائن .
المكونات البرمجية
1. انظمة التشغيل الشبكات المستخدمة في الحاسبات
Windows 2000 sever
Windows 2003 server
Unix
وغيرها
2. البروتوكولات : هي برمجيات تحدد القواعد والاسس التي يجب الالتزام بها عند تنفيذ عملية الاتصال او التراسل بين عناصر الشبكة وهي اللغة الموحدة التي بتخاطب بها طرفي التراسل .
انواع الشبكات
تصنف الى ثلاثة انواع اعتمادا على سعة المنطقة الجغرافية التي يمكن تغطيتها بالشبكة .
الشبكة المحلية : LAN
الشبكة الاقليمية : MAN
الشبكة المترامية : WAN
الشبكة المحلية LOCAL AREA NETWORK
تعمل ضمن مساحة محدودة ، تقدم هذه الشبكات سرعة كبيرة لتبادل البيانات والموارد مما يشعر المستخدم الذي يستفيد من موارد الشبكة ان هذة الموارد على جهازه الشخصي . هذا النوع من الشبكات تستخدم نوع واحد من وسائط الاتصال واحيانا اكثر من نوع وهذة الوسائط هي :
اسلاك مزدوجة ملتفة twisted pair cable
السلك المحوري coaxial cable
الالياف البصرية
وسائل اتصال لاسلكي
الشبكة الاقليمية :metropolitan area network
شبكات نطاق المدن تعمل بسرعات فائقة وتستخدم الياف ضوئية كوسط للاتصال وتغطي مساحة واسعة تتراوح بين 20 الى 100 كم .
الشبكات الواسعة : wide area network
ربط الشبكات المحلية في دول مختلفة
تصنيف الشبكات
تصنف الشبكات من حيث دور كل حاسوب في توفير خدمات الشبكة الى صنفين :
1- شبكات الخادم / المستخدم server / client
2- شبكات النظير للنظير peer to peer
شبكات الخادم / المستخدم server / client
Server : قد يكون عبارة عن جهاز حاسب شخصي ذو مواصفات عالية يحتوي على مساحة تخزين عالية ومعالج قوي وذاكرة كبيرة . وقد يكون جهاز مصنوع خصيصا ليعمل ك server .
هذا النوع من الشبكات تكون قائمة على مزود مخصص ويكون عمله كمزود فقط ولا يعمل كزبون وعندما يصبح عدد الحاسبات كبير ممكن اضافة مزود اخر وهذا يزيد من كفاءة الشبكة .
ميزات
1- النسخ الاحتياطي للبيانات
2- حماية البيانات من التلف او الفقد
3- تدعم اللالاف المستخدمين
4- تكون موارد الشبكة متمركزة في مكان واحد في مزود مما يجعل الوصول الى المعلومة او المورد اسهل بكثير من النوع الاول
5- امن الشبكة : نظرا للدرجة العالية من الحماية التي يوفرها المزود من خلال السماح لشخص واحد هو مدير الشبكة ( administrator ) بالتحكم في ادارة موارد الشبكة واصدار اذونات للمستخدمين للاستفادة من الموارد التي يحتاجونها فقط ويسمح لهم بالقراءة دون الكتابة .
شبكات النظير للنظير peer to peer
المقصود بهذا النوع من الشبكات ان الكمبيوترات في الشبكة يستطيع كل منها تادية وظائف client وال server في نفس الوقت وبالتالي فان كل جهاز على الشبكة يستطيع تزويد غيره بالمعلومات وفي نفس الوقت يطلب المعلومات من غيره من الاجهزة المتصلة بالشبكة ويطلق على هذا النوع من الشبكات اسم workgroup ومن ميزاتها يكون عدد الاجهزة الاجهزة قليل ويستطيع اعضاء مجموعة العمل رؤية البيانات والمواد المخزنة على اي من الاجهزة المتصلة بالشبكة والاستفادة منها .
انظمة التشغيل التي تدعم هذا النوع من الشبكات
المقصود بهذا النوع من الشبكات ان الكمبيوترات في الشبكة يستطيع كل منها تادية وظائف client وال server في نفس الوقت وبالتالي فان كل جهاز على الشبكة يستطيع تزويد غيره بالمعلومات وفي نفس الوقت يطلب المعلومات من غيره من الاجهزة المتصلة بالشبكة ويطلق على هذا النوع من الشبكات اسم workgroup ومن ميزاتها يكون عدد الاجهزة الاجهزة قليل ويستطيع اعضاء مجموعة العمل رؤية البيانات والمواد المخزنة على اي من الاجهزة المتصلة بالشبكة والاستفادة منها .
انظمة التشغيل التي تدعم هذا النوع من الشبكات
windows 3.11
windows 95
windows 98
windows nt 4.0 workstation
windows NT 4.0 server
windows 2000 professional
windows 2000 server
فوائد الشبكات
المشاركة في البرمجيات
المشاركة في الاجهزة
تحقيق السيطرة المركزية للانظمة
تبادل الملفات والمعلومات
التخاطب والمناقشة بين مستخدمي الشبكة
حماية المعلومات
النظام المفتوح
OSI OPEN SYSTEM INTERCONNECTION REFERANCE MODEL
وقد تم اقتراحه من قبل المنظمة الدولية للمواصفات والمقاييس ISO INTERNATIONAL STANDAERD ORGANIZATION
ان النظام المفتوح يقسم الوظائف التي تنجزها الشبكة في تنفيذ عملية الاتصال بين اجهزتها الى سبعة وظائف اساسية كل واحدة منها تمثل احدى مراحل الاتصال بين حاسبتين وتسمى كل مرحلة بالطبقة (LAYER ) .
وهذه الطبقات هي :
1- الطبقة الفيزيائية hysical layer
2- الطبقة لوصل البيانات data link layer
3- طبقة الشبكة network layer
4- طبقة النقل transport layer
5- طبقة الجلسة session layer
6- طبقة التقديم presentation layer
7- طبقة التطبيق application layer.
لا احد منا يجهل ضعف موارد الشبكات في اللغه العربيه وخاصه المتقدمه منها ، ولهذا بدأت بكتابة سلسلة بسيطه عن الIP Security او ما يعرف بIPSec واحببت ان اضع ما كتبت هنا لاخذ اراءكم واقتراحاتكم على الطريقه والكيفية المتبعه.
سنبدأ ان شاء الله دراسه مفصله عن احد اهم التقنيات الحديثه وهو الIP Security او ما يعرف بالIPSec .
مقدمه :
بعد التقدم والتطور الذي حصل في عالم السيكيورتي ، وبعد تطور اساليب المخترقين في عملياتهم وتنوعها كMan-IN-THe-Midle و كSniffing والRelaying والكثير غيرها ،، كان لا بد من ايجاد طريقة امنه لتخطي هذه الامور وخصوصا في الامور الحساسه كالتجاره الالكترونيه وعمليات كشف الحسابات عن طريق الانترنت وغيرها ، فكان لابد من طريقه لتامين ذلك ،، فتم تطوير تقنيه الSSL : Secure Socket Layer وامنت هذه الطريقة قيام اتصال امن مشفر Encrypted ضمن تعقيدات متفاوته فمنها ال40Bit ومنها 128bit ،، فتم استخدام الSSL لتشفير وحماية قنوات الاتصال التي تنتقل عبرها الداتا مثل SMTP او الDatabase communications
وتم استخدام ما يعرف بSSL over HTTP في المواقع التجاريه ومواقع الايميل فاصبحت تسمى HTTPS : Secure Hyper Text Transfer Protocol واستخدم بورت443 بدلا من 80 الخاص بHTTP ــ، وانتشر واشتهر بشكل كبير
ثم ظهرت تقنيه مشابه له ولاستخدامه وهي الTLS : Transport Layer Security وهي تقنيه محسنه من الSSL ولكنهما يختلفان في طريقة اداء العمليه ،، والطريقتان تحتاجان للشهادات الالكترونيه Certificates او بالاحرى Web-based Certificates .
وظهرت تقنيه اخرى داخل الشبكه نفسها وليس على شبكه عالميه كالانترنت ، وهي SMB Signing ،، الجميع يعلم ان الSMB : Server Message Block هي الpackets الي يتم ارسالها بين السيرفر والاجهزه في عملية المشاركه في الملفات وغيره Sharing ،، وللحمايه من طريقة سرقة المعلومات اثناء مرورها في الاسلاك Man In The Middle MITM وهذه الطريقه تدعى SMB Signing ،، يتم بواسطتها اضافة الHash (وهي طريقة يتم من خلالها استخلاص رمز معين حسب حسابات
رياضيه من الرساله ، ومن الامثله عليه MD4 , MD5 , SHA-1 ) ويتم تشفير هذا الHash واضافته للرساله وبذلك نحافظ على صحة الرساله Message or Packet Integrity .
لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .
IPSec Protocols
الIPsec هو طريقه وليس بروتوكول كما يخطأ البعض ،، لكن للIPSec بروتوكولان رئيسيان هما :
اولا: AH : Authentication Header
يستخدم الAH في توقيع الرسائل والبيانات Sign ولا يعمل على تشفيرها Encryption ، حيث يحافظ فقط على ما يلي للمستخدم :
1. موثوقية البيانات Data authenticity :اي ان البيانات المرسله من هذا المستخدم هي منه وليست مزوره او مدسوسه على الشبكه .
2. صحة البيانات Data Integrity : اي ان البيانات المرسله لم يتم تعديلها على الطريق (اثناء مرورها على الاسلاك) .
3. عدم اعادة الارسال Anti-Replay : وهذه الطريقه التي ستخدمها المخترقون حيث يقومون بسرقة الباسوورد وهي مشفره ويقومون باعادة ارسالها في وقت اخر للسيرفر وهي مشفره وطبعا يفك السيرفر التشفير ويدخل اليوزر على اساس انه شخص اخر،، فالIPSec يقدم حلولا لمنع هذه العمليه من الحدوث.
4.حمايه ضد الخداع Anti-Spoofing protection : ويوفر ايضا الIPSec حماية ضد الخداع من قبل المستخدمين ، مثلا يمكن ان يحدد مدير الشبكه انه لا يسمح لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه 192.168.1.x من دخول السيرفر ،، فيمكن للمستخدم ان يغير الIP Address خاص به ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه الى داخلها) يكون لكل الحزمه Packet موقعه Digitally signed.
هذا هو الشكل العام لحزمة البيانات Packet التي تمر في بروتوكول AH .
ثانيا: ESP : Encapsulating Security Payload
يوفر هذا البروتوكول التشفير والتوقيع للبيانات معا Encryption and Signing ، ومن البديهي اذا ان يستخدم هذا البروتوكول في كون المعلومات سريه Confidential او Secret ،، او عند ارسال المعلومات عن طريق Public Network مثل الانترنت ،
يوفر الESP المزايا التاليه:
1.Source authentication : وهي مصداقية المرسل ، حيث كما وضحنا في مثال الSpoofing انه لا يمكن لاي شخص يستخدم الIPSec تزوير هويته ،(هوية المرسل).
2. التشفير للبيانات Data Encryption : حبث يوفر التشفير للبيانات لحمايتها من التعديل او التغيير او القراءه .
3.Anti-Replay : موضحه في الAH .
4.Anti-Spoofing Protection : موضحه في ال AH.
ثالثا : IKE : Internet Key Exchange
الوظيفة الاساسيه لهذا البروتوكول هي ضمان الكيفيه وعملية توزيع ومشاركة المفاتيح Keys بين مستخدمي الIPSec ، فهو بروتوكول الnegotiation اي النقاش في نظام الIPSec كما انه يعمل على تاكيد طريقة الموثوقيه Authentication والمفاتيح الواجب استخدامها ونوعها (حيث ان الIPSec يستخدم التشفير 3DES وهو عباره عن زوج من المفاتيح ذاتها يتولد عشوائيا بطرق حسابيه معقده ويتم اعطاءه فقط للجهة الثانيه ويمنع توزيعه وهو من نوع Symmetric Encryption اي التشفير المتوازي ويستخدم تقنية الPrivate Key .
طرق او انواع الIPSec :
IPSec modes اي طرق او انواع الIPSec التي يستخدمها في الشبكه .
ينقسم الIPSec الى نظامين او نوعين وهما :
1. نظام النقل Transport Mode
2. نظام النفق Tunnel Mode .
اولا : Transport Mode
يستخدم هذا النظام عادة داخل الشبكه المحليه LAN : Local Area Network حبث يقدم خدمات التشفير للبيانات التي تتطابق والسياسه المتبعه في الIPSec بين اي جهازين في الشبكه اي يوفر Endpoint-to-Endpoint Encryption فمثلا اذا قمت بضبط سياسة الIPSec على تشفير جميع الحركه التي تتم على بورت 23 وهو بورت الTelnet (حيث ان الTelnet ترسل كل شيء مثلما هو دون تشفير Plain Text ) فاذا تمت محادثه بين السيرفر والمستخدم على هذا البورت فان الIPSec يقوم بتشفير كل البيانات المرسله من لحظت خروجها من جهاز المستخدم الى لحظه وصولها الى السيرفر.
يتم تطبيق هذا النظام Transport Mode في الحالات التاليه :
اولا: المحادثه تتم بين الاجهزه في داخل او نفس الشبكه الداخليه الخاصه Private LAN .
ثانيا: المحادثه تتم بين جهازين ولا يقطع بينهما Firewall حائط ناري يعمل عمل NAT : Network Address Translation (نظام يمكن الFirewall من استبدال جميع عناوين الIPs في الشبكه الداخليه عن حزمة البيانات Packet واستبدالها في عنوان Public IP اخر ،، ونستفيد من ذلك هو اننا لن نحتاج سوى الى عنوان IP واحد One Public IP ، وايضا انه يقوم باخفاء عناوين الاجهزه عن شبكة الانترنت للحمايه من الاختراق الخارجي) .
ثانيا: Tunnel Mode
يتم استخدام هذا النظام لتطبيق الIPSec بين نقطتين تكون بالعاده بين راوترين 2 Routers ، اذا يتم استخدام هذا النظام بين نقطتين بعيدتين جغرافيا اي سيتم قطع الانترنت في طريقها الى الطرف الثاني ، مثل الاتصالات التي تحدث بين الشبكات المتباعده جغرافيا WAN : Wide Area Network ، يستخدم هذا النظام فقط عند الحاجه لتأمين البيانات فقط اثناء مرورها من مناطق غير امنه كالانترنت ، فمثلا اذا اراد فرعين لشركه ان يقوم بتشفير جميع البيانات التي يتم ارسالها فيما بينهم على بروتوكول FTP : File Transfere Protocol فيتم اعداد الIPSec على اساس الTunneling Mode .
هذه صوره مخطط لكل من الPackets في الAH , ESP في كلتا النظامين Tunnel and Transport Modes .
لذلك تم ابتكار الIPSec وكما نعرف ان الWin2000 اعتبر قفزه نوعية لمايكروسوفت وادخلها مضمار الشبكات بقوة ، لكن يا ترى هل مايكروسوفت من قام بوضع الIPSec وعمل Deployment له في الويندوز ؟
الجواب لا ، وذلك لان من قام به شركة CISCO بعد اتفاقيه مع مايكروسوفت بذلك ، ولذلك نلاحظ قوة IPSec.
يطرأ سؤال على ذهن الجميع ، كيف يمكننا ان نستخدم ونستغل الIPSec ؟ الجواب سهل.
يستخدم الIPSec عن طريق ما يعرف بالسياسات IPSec Policies والتي تطبق في الشبكه ، حيث ان كل مجموعة من القواعد التي تريد تطبيقها تشكل لنا سياسه، والIPSec يستخدم هذه النظريه ، الامر الذي يجب الانتباه له هو اننا لا نستطيع عمل اكثر من سياسة لكل جهاز كمبيوتر ، لذلك يجب عليك تجميع كل القواعد والامور التي ترغب في تطبيقها في سياسه واحده تطبق على مستوى الاجهزه لا على مستوى الافراد .
قبل القيام بوضع القواعد وتطبيق السياسه ، يجب علينا مراعاة مايلي:
*نوع الحركه Traffic Type :
حيث انك تقوم باستخدام الفلاتر(سنتناولها في درس قادم) لتحديد نوعية الترافيك الي تريد تطبق عليها هذه القواعد ، فمثلا تستطيع ان تطبق فلتر يعمل على مراقبة بروتوكول HTTP و FTP فقط دون الباقي.
*ماذا سيفعل الIPSec بعد التحقق من نوع الحركهTraffic :
بعد ذلك يجب ان نحدد للIPSec ماذا سيفعل بعد تطابق الترافيك مع الفلتر ، وهو مايسمى Filter Action والذي تستخدمه لتخبر السياسه Policy ماذا ستفعل اذا تم مطابقة الترافيك حسب الفلتر، فمثلا يمكنك ان تجعل الIPSec يقوم بمنع الحركه على بورت بروتوكول FTP ، وايضا تجعله يعمل على تشفير الحركه على بورت بروتوكول HTTP . وايضا تستطيع من خلال Filter Action بتحديد اي انظمة التشفير والهاش التي تريد ان تستخدمها Encryption and Hashing Algorithms يجب على السياسه ان تستخدم.
*طريقة التحقق من الموثوقيه Authentication Method :
حيث يستخدم الIPSec ثلاث طرق للتحقق من الموثوقيه وهم :
-بروتوكول الكيربرس Kerberos Protocol
- الشهادات الالكترونيه Digital Certificates
- مشاركة مفتاح معين Preshared key
كل سياسة تستطيع تطبيق طريقتين للتحقق من الموثوقيه.
(ان شاء الله سنتناول بعضها من هذه الطرق بشرح مفصل منفرد )
*استخدام احدى نظامي الIPSec وهما Tunnel or Transport mode
(عد الى الدرس الثاني لترى استخدام كل نظام) : حيث علينا ان نحدد في السياسه اي النظامين يستخدم .
*نوع الاتصال او الشبكه التي سيتم تطبيق السياسة عليهاWhat connection type the rule applies to:
حيث ان السياسه يمكن ان تحدد الIPSec في نظاق الشبكه المحليه LAN ، او ان يعمل على اساس الوصول من بعدRemote access او ما يعرف بWAN ، او الاثنين معا.
الان بعد التعرف على الامور التي يجب اخذها بعين الاعتبار قبل تطبيق وعمل السياسه ، سنتعرف على انواع السياسه في الWin2000 &2003 ، حيث توجد هناك ثلاثه انواع منها :
-Client (Respond only)
-Server(Request Security)
-Secure Server (Require Security)
وكل واحده من هؤلاء تحتوي على اعدادت خاصه تناسب الغرض التي ستطبق لاجله.(طبعا في الشركات الصغيره او المتوسطه ، لكن كلما كبر حجم الشركه وزاد التعقيد زادت الحاجه الى استخدام سياسه مبتكره من قبل الشركه نفسها).
Client (Respond only)
افضل ما تطبق هذه السياسه على Domain Group security policy وذلك لكي تضمن لنا امكانية رد المستخدم على طلبات الاحهزه الاخرى باجراء تشفير عن طريق IPSec ،، اذا تعتبر هذه السياسه اساسيه في اي شبكه سيعمل فيها ولو سيرفر واحد على الIPSec ، حيث في هذه السياسه لن يقوم المستخدم بارسال طلب المحادثة والتشفير عن طريق الIPSec وانما سيقوم بالاجابه والدخول في الطلبات التي يتسقبلها لذلك من الاجهزه الاخرى في مجال IKE . اذا كنت تفكر في تطبيق IPSec على اي جزء من اجزاء الشبكه فالاحرى بعد ذلك ان يتم تطبيق هذه السياسه على مستوى Domain.
Server (Request Security)
تطبق هذه السياسه في العاده على السيرفرات التي ستتحدث مع احهزة Win2000 او حتى اجهزة Non-win2000 مثل Unix وغيره ، في هذه الحاله ، اذا كان المستخدم يستطيع التعامل مع IPSec فان جميع المحادثات بينهما ستكون مشفره فيه ، اما اذا لم يملك المستخدم القدره على استخدام الIPSec فانه يستعامل مع السيرفر بطرق المحادثه والاتصال العاديه (اي دون اي اثر للIPSec فيها). تطبق هذه السياسه في حالة وجود خليط من الاجهزه في الشبكه حيث يكون بعضها يستخدم IPSec والبعض الاخر لا ، فتكون هذه هي الانسب لذلك .
Secure Server (Require Security)
تضمن هذه السياسه للسيرفرات عدم التكلم وسقوط جميع انواع المحادثه والاتصال مع الاجهزه التي لا تستخدم او لا تدعم الIPSec ، حتى لو كانت هذه الشبكه او هذا الجهاز موجوده في Trusted Sites and DOmains . وافضل ما تستخدم هذه السياسه اذا دعت الحاجه الى تشفير كل شيء يصدر عن سيرفر محدد كالسيرفرات في البنوك وغيره، وبسبب تشدد هذه السياسه فانه يجب علينا في بعض الاحيان وضع اعفاءات واستثناءات من استخدام الIPSec كما يحصل في بروتوكول SNMP - Simple Network Management Protocol .
المراجع
• Security: Wi-Fi Protected Access and 802.11i, Addison Wesely, 2003
• ar.wikipedia.org/.../:مقالات_عن_علم_الحاسوب