Electronic Gilgamesh

عزيزي الزائر كما هو واضح بأنك زائر للمنتدى لذى نود ان ندعوك الى الدخول ان كانت لديك عضوية او التسجيل في المنتدى نتشرف بتواجدك معنا حيث المعلومة الجديدة والدروس التعليمية الحصرية
Electronic Gilgamesh

For information & communication technology


    أمن الشبكات والمواقع

    شاطر

    Admin
    Admin
    Admin

    عدد الرسائل : 117
    تاريخ التسجيل : 02/09/2008

    أمن الشبكات والمواقع

    مُساهمة من طرف Admin في الخميس نوفمبر 27, 2008 3:43 am

    نية
    لن يكون الربط مع شبكة انترنت مثل الربط مع اي نوع آخر من الشبكات آمنا تماما، وبدلا من أن تلجأ الشركات الي تحقيق الامن المطلق عليها ان تقوم اهمية المعلومات التي تقوم بحمايتها، وتحقق نوعا من التوازن بين احتمالات خرق الترتيبات الامنية وبين كلفة تحقيق مختلق هذه الترتيبات.
    يجب ان تركز الخطوة لاولي علي استنباط سياسة امنية شاملة للشركة او علي تطوير السياسة الامنية المتعبة بحيث تاخذ في الاعتبار الربط مع انترنت. ويجب ان تحدد هذه السياسة بالتفصيل الموظفين الذين يحق لهم الوصول الي كل نوع من انواع الخدمة التي تقدمها انترنت،، كما يجب ان تثقف الموظفين في مجال مسئولياتهم تجاه حماية معلومات الشركة مثل مسؤولياتهم تجاه حماية كلمات المرور التي يستخدمونها
    بالاضافة الي تحديد الاجراءات التي ستقوم الشركة بها في حال حدوث خرق لمثل هذه الخطة الامنية .
    وتعتبر هذه السياسة أداة هامة جدا في تحديد المجالات التي ستنفق فيها اموال الشركة للحفاظ علي امن معلوماتها ، ويقدم كتاب دليل امن المواقع Site Security handbook الذي اصدره مجموعة Network Working Group التابعة لهيئة Internet Engineerig task force او IETF فكرة جيدة عن الموضوعات التي يجب اخذها بعين الاعتبار عند وضع سياسة الامنية .
    تتطلب السياسة الامنية كجزء من ترتيباتها تقدير الكلفة التي ستتحملها الشركة، في حال خرق الترتيبات الامنية. ويجب ان ينخرط الموظفون علي اعلي المستويات في هذه العملية وقد يكون من المفيد ان تقوم الشركة بتوظيف مستشار لامن الكمبيوتر، لضمان امن معلوماتها ، وتقدم الكثير من الشركة المزودة لخدمة الانترنت، الاستشارة والنصح في هذا المجال، وتبدأ بعد تحديد السياسة المتبعة، عملية تقويم استخدام برامج جدران النارية firewall، والتشفير Encryption والشرعية authentication .
    جدران النار
    يخطر في بال معظم الناس عند الحديث عن امن شبكة انترنت برامج جدران النار وعلي الرغم من ان برامج جدران النار لا تعتبر علاجا لجميع مشاكل امن المعلومات علي شبكة الانترنت،،، الا انها ضرورية لاي استراتيجية متعبة، في مجال امن انترنت، تعتبر برمجيات جدران النار ببساطة حاجزا بين شبكتين وهما في اغلب الاحيان شبكة داخلية وتسمي الشبكة الموثوقة trusted network شبكة خاجية تسمي untrusted network وهي شبكة انترنت في هذه الحالة وتقوم برمجيات جدران النار بفحص رزم البيانات القادمة والخارجة اعتمادا علي مجموعة قواعد التي يضعها المشرف علي الشبكة، للسماح لهذه الرزم بالمرور او يقوم بحجبها ومنعها من الوصول الي الشبكة الداخلية .
    تستخدم معظم برمجيات جدران النار اليوم طريقة واحدة او اكثر من الطرق الثلاث المتبعة في فحص الرزم وتستخدم العديد من الموجهات تقنية جدران النار المسماة بترشيح الرزم packet filtering والتي تفحص عناوين وبوابات المصدر Source والوجهة النهائية destination لرزم TCP ورزم UDP القادمة ثم ترفض او تسمح للرزم بالمرور وفقا لمجموعة من القواعد مسبقة التحضير وتعتبر تقنية ترشيح الرزم طريقة رخيصة نسبيا وشفافة بالنسبة للمستخدم ولها تاثير طفيف غير ذي بال علي اداء الشبكة ولكن تجهيز تقنية ترشيح الرزم يعتبر عملية معقدة نسبيا ويتطلب معرفة دقيقة بالشبكة وبروتكولات النقل بل يتطلب في بعض الاحيان معرفة ببروتوكولات التطبيق .
    تكمن المشكلة الاخري في تقنية مرشحات الرزم في انها عرضة لما يسمي خداع بروتوكول انترنت IP Spoofing وهي طريقة يستخدمها الهاكرز ليتمكنوا من الووصول الي شبكة شركة عن طريق تغيير عناوين بروتوكولات انترنت في ترويسة الرزم الي عناوين اخري مقبولة من قبل شركة اخري
    اما النوع الاكثر تقدما وأمنا من انواع جدران النار فهي برامج بوابات التطبيقات application gateways ، تستخدم معظم منتجات جدران النار العاملة بتقنيات بوابات التطبيقات بما فيها برامج eagle الشهيرة من شركة Raptor ما يسمي توكيلات التطبيقات application proxies وهي عبارة عن برامج مكتوبة لخدمات معينة من خدمات انترنت ( مثل خدمات HTTP، FTP وخدمة TELNET وتعمل علي مزود مرتبط بشبكتين كمزود Server لزبون تطبيقات application Client وكزبون لمزود التطبيقات application server
    ونظرا لان برامج توكيلات التطبيق تقوم بتقييم رزم الشبكة لتحديد شرعية البيانات المتعلقة بتطبيق معين فانها تعتبر شكل عام أكثر امنا من مرشحات الرزم . وتمتاز معظم جدران النار لبوابات التطبيقات باحتوائها علي ميزة تدعي "ترجمة العناوين الشبكة" Network Adress Translator والتي تمنع ظهور عناوين IP الداخلية. امام المستخدمين من خارج الشبكة الموثوقة .
    تكمن احدي السلبيات الرئيسية في تقنية بوابات التطبيقات في انخفاض مستوي الاداء بسبب المعالجة المضاعفة التي تتطلبها وظيفة التوكيل proxy function وهناك سلبية اخري تكمن في انه قد يتوجب عليك ان تنتظر عدة اشهر حتي تزودك الشركة الصانعة لبرنامج جدران النار بتوكيل التطبيق application proxy لاي حدمة جديدة من خدمات انترنت مثل استخدام خدمات realautio . واذا كنت تنوي استخدام جدران النار دفاع محيطي خارجي فقط وراء توصيلات T1 الي مزود خدمة انترنت فلا داعي للقلق علي الاداء، لان عرض الحزمة المنخفض لهذه التوصيلات سيصل الي حد الاشباع قبل وصول جدران النار الي ذلك الحد . قد تجد الكثير من المؤسسات ضرورة في استخدام جدران النار اضافية علي مستوي شبكاتها الداخلية لفرض حزام امني علي مزودات اقسامها المختلفة مثل مزود المورد البشرية الذي يحتوي عادة علي معلومات حساسة، ويصبح الأداء في هذه الحالة عاملا مهما نظرا لان الربط سيعتمد علي شبكة ايثرنت بسرعة10 ميجابت/ثانية
    او شبكة ايثرنت السريع 100 ميجابت/ثانية. واذا كنت تنوي استخدام توكيلات التطبيقات داخليا فعليك ان تعتمد علي حل مبني علي عتاد سريع مثل pix Firewall من شركة cisco او firebox من شركة seattle software او قد تلجا الي تركيب برمجيات جدران النار علي نظام يتمضن عدة معالجات .
    اما النوع الثالث من تكنولوجيا جدران النار والذي اسمته شركة check point software باسم تفقد الحالة الكاملة statefull inspection فهو موجود في برنامج firewall-1 من شركة نفسها وبرنامج pix Firewall من شركة سيسكو وبرنامج On Guard من شركة On technology وبرنامج firewall/plus من شركة network-1 وكما هو الحال في تقنية ترشيح الرزم فان هذه التقنية تستقبل اولا الرزم علي مستوي طبقة الشبكة Network layer ثم تقوم بتفحص جميع الرزم ومقارنتها مع نماذج معروفة من الرزم الصديقة وفيما تعطي طريقة تفقد الحالة الكاملة اداء اعلي بقليل من اداء توكيلات التطبيقات الا ان الجدل يبقي قائما فيما اذا كانت آمنة مثلها ام اقل امنا منها.
    للمزيد اقرأ [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
    كتبت معظم برامج جدران النار في البداية لنظم لينكس ثم خرجت برامج جدران النار لويندوز ان تي وغيرها ومما يجدر بالذكر ان خرق الحواجز الامنية نتيجة اخطاء في تجهيز برامج جدران النار اكثر احتمالا من ان يكون ناتجا عن مشاكل تتعلق في المنتجات او في نظم التشغيل التي تعمل عليها ...


    Admin
    Admin
    Admin

    عدد الرسائل : 117
    تاريخ التسجيل : 02/09/2008

    رد: أمن الشبكات والمواقع

    مُساهمة من طرف Admin في الخميس نوفمبر 27, 2008 3:44 am

    الشرعية authentication
    تقوم برامج جدران النار بالتأكد من شرعية دخول المستخدم الي ملفات الشبكة باستخدام عناوين IP التي تخصص لكل مزود وجهاز شبكة يمكن خداعهم واذا اردت ان تسمح لمستخدمين معينين الوصول عبر شبكة انترنت الي ملفات وبيانات حساسة فعليك التاكد من شرعية المستخدم الفعلي ..
    يمكن وصف الشرعية بانها مجموعة الطرق التي تتعرف ايجابيا علي المستخدم وتعتبر كلمات المرور passwords من اكثر الطرق انتشارا في مجال الشرعية المستخدم، لكن المستخدمين مشهورون باستخدام كلمات مرور يمكن تخمينها بسهولة من قبل الدخلاءhackers ذوي الخبرة .
    وبالاضافة الي كلمات المرور التي تدخل غالبا ضمن نطاق "شيء تعرفه" فان الكثير من المؤسسات تلجا الي حلول تعتمد علي "شيء تملكه " مثل الفيش tokens والبطاقا الذكية smart card والفيش اجهزة صغيرة بحجم بطاقات الائتمان يحملها الاشخاص الذين يستخدمون الشبكة عن بعد .
    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
    ويمكن تجهيز منتجات برامج جدران النار بحيث تحول شرعية الدخول الي خدمات معينة الي مزود مخصص لهذه الغاية او يمكنك استخدام احدي خدمات الشرعية التي يتضمنها المنتج .
    وتعتبر الشهادات الرقمية digital certificates الشروحة في الفقرة التالية المتعلقة بالتشفير احدي الطرق المستقبلية التي تستخدم في مجال شرعية المستخدم والتي تحمل آلاما كبيرة للمراسلات والتجارة الالكترونية .
    التشفير Encryption
    مع الانضمام الجماعي للمكاتب والمؤسسات الي الشبكة، بدا العديد منها يتطلع الي البنية التحتية لشبكة انترنت كوسيلة نقل رخيصة نسبيا للربط بين شبكات المناطق الواسعة وللربط عن بعد لكن استخدام شبكة انترنت لمثل هذه الاغراض يتطلب من الشركات ان تحمي معلوماتها عن طريق التشفير . ويمكن تعريف التشفير بانه عملية استخدام صيغة ما تدعي خوارزمية التشفير Encryption algorithm لترجمة النص العادي الي شيفرة غير مفهومة ثم تحويله من جديد الي نص عادي، ويعتمد نص التشفير بشكل اساسي علي استخدام قيمة عددية تدعي المفتاح key وتصبح جزءا من خوارزمية التشفير وتعتبر مسؤولة عن بدء عملية التشفير .
    يتوفر العديد من انواع خوارزميات التشفير الا ان اكثرها انتشارا هي خوارزمية DES التي تعتمد علي استخدام مفتاح التناظر Symmetric Key او مفتاح سري Secret Key وخوارزمية RSA التي تعتمد علي استخدام مفتاح غير تناظري Asymmetric Key او مفتاح عام public key ويمكن استخدام خوارزمية DES مع مفاتيح بطول 40 او 56 بت اما اطول مفاتيح خوارزمية RSA فتتراوح بين 512 بت و 2048 بت، وتتراوح اصدارة حديثة وقوية منDES تعتمد علي اكثر من مفتاح واحد تسمي Triple DES ، تعتبر مواصفات S/MIME مواصفة مستقبلية في مجال امن البريد الالكتروني ، تستخدم خوارزمية التشفير RSA
    للمزيد حول التشفير اقرأ في
    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
    تعتمد خوارزمية المفتاح المتناظر او المفتاح السري مثل خوارزمية DES على استخدام المفتاح ذاته في عملية التشفير وفك التشفير وتتطلب هذه التكنولوجيا قوة معالجة اقل بكثير من قوة المعالجة التي تتطلبها تكنولوجيا مفتاح التشفير غير المتناظر . لكل خوارزمية التشفير بالمفتاح السري تتطلب استخدام مفاتيح منفصلة لكل زوج من المستخدمين يتبادلان المعلومات وهو ما يعد عبئا اداريا كبيرا ، وتتطلب هذه الخوارزمية ايضا ان تكون منشأت المؤسسات وتوزيع المفاتيح السرية آمنة ضد تسرب المعلومات وهو امر صعب في بيئة مفتوحة مثل بيئة انترنت .
    يستخدم التشفير غير المتناظر في خوارزمية RSA مفتاحين منفصلين ويمتلك كل مساهم في التبادلات المشفرة مفتاحا خاصا تسمي private key معروفا من قبل ذلك الشخص فقط ومفتاحا عاما public key يمكن ان يعرفه اي شخص ولا يمكن استخدام المفتاح ذاته في عمليات التشفير وفك التشفير واذا اردت ان ترسل نصا لجهة ما فيمكن لتلك الجهة ان ترسل لك المفتاح العام public key الذي يمكنك استخدامه لتشفير النص لكن تلك الجهة فقط يمكنها ان تفك شيفرة النص باستخدام مفتاحها الخاص private key .
    تكمن الفائدة هنا في قلة المفاتيح التي نحتاجها ولكن خوارزمية RSA تحتاج الي الكثير من قوة المعالجة مما ينعكس سلبا علي الاداء ولهذا معظم التبادلات المصرقية المشفرة في هذه الايام تستخدم مفاتيح متناظرة لتشفير وفك التشفير النصوص المتبادلة والتبادلات المصرفية .لكن النص المشفر يرسل الي الطرف الآخر مع المفتاح السري الذي يتم تشفيره وفك تشفيره باستخدام خوارزمية التشفير RSA غير المتناظرة .
    لا تكتفي هذه الطريقة المركبة من التشفير بضمان سرية البيانات فحسب بل انها تمكننا من استخدام آلية شرعية المستخدم تدعي التوقيع الرقمي digital signature فجميع البيانات المشفرة باستخدام المفتاح الخاص بالمرسل تؤكد علي شرعية المرسل . وتؤكد البيانات التي يفك تشفيرها باستخدام المفتاح الخاص المستقبل علي شرعية المستقبل .
    يتم التصديق علي صحة المفاتيح العامة عادة باستخدام الشهادات الرقمية التي ترافق التبادلات المصرفية والموقعة من قبل سلطة مصدقة. ويمكن ان تنشأ السلطة المصدقة المسؤولة رسميا عن نقل المفتاح العام الي المستخدم في مؤسسة ما باستخدام الشهادات الرقمية داخل هذه المؤسسة مع شركائها في العمل الذين تثق بهم وتقدم شركة نتسكيب وشركة Xcert مزودات تصدييق Certification server لادارة الشهادات الرقمية . ويمكن ان تكون السلطة المصدقة جهة موثوقة بين مجموعة من المستخدمين او جهة اكبر واكثر انتشارا مثل شركة gte او Verisgn المعروفة باجراءاتها الصارمة في التأكد من الهويات وتعيين الشهادات الرقمية . وتعتبر مواصفات X.059 من اكثر المواصفات انتشارا، في مجال تحديد الشهادات الرقمية وستصبح الشهادات الرقمية احدي تقنيات الامن الرئيسية المستخدمة في التبالات المصرفية التي تجري عبر بطاقات الائتمان وعبر التبادلات المصرفية النقدية الرقمية المنتشرة بكثرة في مجال التجارة الالكترونية .
    تعتبر طبقة التجاويف الامنية Secure Socket Layer ) موضوع عمر ) تقنية في مجال تكنولوجيا نقل الطبقات، طورتها شركة نتسكيب لضمان تبادلات مصرفية آمنة بين المتصفحات والمزودات التي تخضع لها عدة مزودات ويب، وتدعم برامج متصفحات مايكروسوفت ونتسكيب تقنية SSL المثل العديد من مواقع ويب. وتستخدم طبقة SSL خوارزمية RSA للتوقيع الرقمي، ويمكنها ان تستخدم الشهادات المتوافقة مع مواصفات X.059 وعدة خوارزميات في مجال التشفير بالمفتاح السري مثل DES و Triple DES . من المتوقع ان تندمج عمليات التشفير ضمن الانظمة والشبكات . ومن المتوقع ان يتم بناء عمليات التشفير ضمن بروتوكول IPv6 . وهو الجيل القادم من بروتوكولIP ، والذي تطوره حاليا هيئة IETF اما من ناحية العتاد فان شركة Intel تعمل حاليا علي تطوير معالج مساعد للتشفير Encryption CoProcessor ليتم دمجه ضمن اللوحات الام في الحواسيب الشخصية والمزودات .
    الشبكات الخاصة الافتراضية VPN
    التشبيك الخاص الافتراضي Virtual Private LAN VPN تعبير يستخدم لوصف الوصول عن بعد remote Access عبر شبكة انترنت بالاضافة الي استخدام بنيتها التحتية لربط مكتبين مؤسسة ما او لربط مؤسستين مختلفتين . وتزودنا العديد من منتجات جدران النار بامكانية التشبيك الخاص الافتراضي مثل Firewall-1 الخ
    يمكن للمستخدم البعيد باستخدام الوصول عن بعد remote Access طلب مزود الخدمة انترنت المحلي، ثم الارتباط بشبكة المركزية عبر انترنت. وتمكنت حديثا مواصفتان في هذا المجال من ان تصبحا قابلتين للعمل المتبادل مع بعضهما البعض بحيث اصبح الوصول عن بعد والربط عبر شبكات الخاصة الافتراضية، استراتيجية قابلة للتطبيق . وتم دمج بروتوكول Point-To-Point Tunneling مع بروتوكول Layer2 Forwarding L2F من قبل IETF وتم تشكيل بروتوكول Layer 2 Tunneling Protocol L2TP . وتسمح هذه المواصفة بنقل عمليات الشرعية والتصديق من مزود خدمة انترنت الي مزود يقع في مكان ما علي شبكة انترنت في المكتب الرئيسي لشركة ما علي سبيل المثال .
    وهناك ايضا مواصفات من IETF تحت اسم IPSec او Secure IP ) Win2k تدعم هذه المواصفة ( وستمكن هذه المواصفة منتجات الشبكات الخاصة الافتراضية VPN التي تدعم هذه المواصفات من تبادل المفاتيح العامة وخوارزميات التشفير بين بعضها البعض لاعداد جلسات وانشاء اتصالات VPN . وهنا ايضا فان معظم منتجات VPN ومنتجات جدران النار التي تدعم VPN تدعم مواصفات IPSec .
    تعتمد شبكات VPN وجميع تقنيات التشفير بشكل مكثف علي وحدة المعالجة المركزية للحاسوب، ويمكن ان تسبب انخفاضا في الاداء اذا لم تصمم وتنفذ بشكل ملائم. فعليك القيام ببعض الاختبارات الاولية علي منتجات التشفير . وبناء نظام يتضمن وحدة معالجة مركزية قوية وكافية لدعمه .
    تهديدات اخري
    حتي بعد ان تقوم بكل ما في وسعك لمنع الدخلاء من اختراق شبكتك يبقي قائما خطر الفيروسات التي يمكن ان تدخل الشبكة من خلال الملفات المرفقة بالبريد الالكتروني ، وأخطاء تطبيقات جافا و ActiveX التي تاتي الي شبكتك عندما يبدا مستخدمو الشبكة بتصفح انترنت .وتجدر الاشارة الي وجود بعض المنتجات التي تفحص بريدك الالكتروني القادم بحثا عن فيروسات الماكرو .
    المصادر :
    الانترنت، مجلة Pc Magazie الطبعة العربية،، جريدة الاهرام المصرية

    نوريتا

    عدد الرسائل : 7
    العمر : 31
    تاريخ التسجيل : 27/12/2008

    رد: أمن الشبكات والمواقع

    مُساهمة من طرف نوريتا في السبت ديسمبر 27, 2008 6:48 am

    شكرا خوش موضوع عاشت الايادي

      الوقت/التاريخ الآن هو الأحد يناير 22, 2017 6:07 pm