///xXx ---مزايا الارتباط مع شبكة الانترنت--- xXx////_1_

**Admin** الثلاثاء مارس 31, 2009 8:15 am

الحمد الله وحد نحمده ونشكره ونستعين به ونستغفره ونعود بالله من شرور أنفسنا
ومن سيئات أعمالنا
من يهدي الله فلا مضل له ومن يضلل فلا هادية له
أشهد ان لا إلاه الى الله وحده لا شريك له
وأشهد أن محمدا عبده ورسوله
صلى الله عليه وسلم وعلى آله وصحبه أجمعين
ومن تبعهم بالإحسان الى يوم الدين
ربنا لا علم لنا إلا ما عمتنا إنك أنت العليم الخبير
ربنا لا فهم لنا إلى ما أفهمتنا إنك أنت الجواد الكريــم
ربي اشرح لي صدري ويسر لي أمري واحلل لي
عقدة لساني يفقهوا قولي...
موضوعي اليوم هو كالتالي :
يجلب الارتباط مع شبكة الانترنت تحديات امنية جديدة، لشبكات الشركات الكبيرة،
شهد العامان الماضيات دخول آلاف الشركات الي شبكة انترنت، حيث أنشأت هذه الشركات مواقع لها علي شبكة ويب، وزودت موظفيها بخدمات البريد الالكتروني
ومتصفحات انترنت واصبح بذلك امام المستخدم الخارجي المسلح ببعض المعرفة وبعض الاهداف الخبيثة طريقة جديدة للتسلل الي الانظمة الداخلية، واجهزة الشبكات في شركة ما عن طريق روابط انترنت . وحالما يصبح هذا الدخيل داخل شبكة الشركة، يمكنه ان يتجول فيها ويخرب او يغير البيانات، او يسرقها مسببا اضرارا من مختلف الانواع؟، وحتي اذا اخذنا اكثر تطبيقات انترنت استخداما وهو البريد الالكتروني فانه لا يعتبر مامونا ، يمكن لمن لديه محلل بروتوكولات protocol analyzer وامكانية الوصول الي الموجهات routers والاجهزة الشبكية الاخري التي تعالج البريد الالكتروني اثناء انتقاله من شبكة الي شبكة عبر انترنت ان يقرأ او يغير الرسالة المرسلة، اذا لم تتخذ خطوات معينة لضمان سلامتها .
تتصرف بعض الشركات وكأن التحديات الامنية لم تكن خطرا حقيقيا بالامس القريب حيث تتطلع الي البنية التحتية لشبكة انترنت، كوسيلة رخيصة نسبيا، لربط شبكتين او عدة شبكات محلية LAN معزولة جغرافيا مع بعضها البعض او للربط عن بعد مع شبكة ما., وتجدر الاشارة الي ان اعمال التجارية علي شبكة انترنت والتي تتطلب الملايين من التبادلات المصرفية السرية اصبحت قريبة من متناول الكثيرين.
تستجيب اسواق امن الشبكات Network Security بسرعة لتحديات امن شبكة انترنت عن طريق تبني تقنيات شرعية authentication والتشفير encryption المتوفرة في هذا المجال لتطبيقها علي روابط شبكة انترنت ، وعن طريق تطوير منتجات جديدة في مجال امن المعلومات، وتعتبر الاسواق اليوم في فوضي معايير وتقنيات ومنتجات ،
السياسية الامنية
لن يكون الربط مع شبكة انترنت مثل الربط مع اي نوع آخر من الشبكات آمنا تماما، وبدلا من أن تلجأ الشركات الي تحقيق الامن المطلق عليها ان تقوم اهمية المعلومات التي تقوم بحمايتها، وتحقق نوعا من التوازن بين احتمالات خرق الترتيبات الامنية وبين كلفة تحقيق مختلق هذه الترتيبات.
يجب ان تركز الخطوة لاولي علي استنباط سياسة امنية شاملة للشركة او علي تطوير السياسة الامنية المتعبة بحيث تاخذ في الاعتبار الربط مع انترنت. ويجب ان تحدد هذه السياسة بالتفصيل الموظفين الذين يحق لهم الوصول الي كل نوع من انواع الخدمة التي تقدمها انترنت،، كما يجب ان تثقف الموظفين في مجال مسئولياتهم تجاه حماية معلومات الشركة مثل مسؤولياتهم تجاه حماية كلمات المرور التي يستخدمونها
بالاضافة الي تحديد الاجراءات التي ستقوم الشركة بها في حال حدوث خرق لمثل هذه الخطة الامنية .
وتعتبر هذه السياسة أداة هامة جدا في تحديد المجالات التي ستنفق فيها اموال الشركة للحفاظ علي امن معلوماتها ، ويقدم كتاب دليل امن المواقع Site Security handbook الذي اصدره مجموعة Network Working Group التابعة لهيئة Internet Engineerig task force او IETF فكرة جيدة عن الموضوعات التي يجب اخذها بعين الاعتبار عند وضع سياسة الامنية .
تتطلب السياسة الامنية كجزء من ترتيباتها تقدير الكلفة التي ستتحملها الشركة، في حال خرق الترتيبات الامنية. ويجب ان ينخرط الموظفون علي اعلي المستويات في هذه العملية وقد يكون من المفيد ان تقوم الشركة بتوظيف مستشار لامن الكمبيوتر، لضمان امن معلوماتها ، وتقدم الكثير من الشركة المزودة لخدمة الانترنت، الاستشارة والنصح في هذا المجال، وتبدأ بعد تحديد السياسة المتبعة، عملية تقويم استخدام برامج جدران النارية firewall، والتشفير encryption والشرعية authentication .

جدران النار
يخطر في بال معظم الناس عند الحديث عن امن شبكة انترنت برامج جدران النار وعلي الرغم من ان برامج جدران النار لا تعتبر علاجا لجميع مشاكل امن المعلومات علي شبكة الانترنت،،، الا انها ضرورية لاي استراتيجية متعبة، في مجال امن انترنت، تعتبر برمجيات جدران النار ببساطة حاجزا بين شبكتين وهما في اغلب الاحيان شبكة داخلية وتسمي الشبكة الموثوقة trusted network شبكة خاجية تسمي untrusted network وهي شبكة انترنت في هذه الحالة وتقوم برمجيات جدران النار بفحص رزم البيانات القادمة والخارجة اعتمادا علي مجموعة قواعد التي يضعها المشرف علي الشبكة، للسماح لهذه الرزم بالمرور او يقوم بحجبها ومنعها من الوصول الي الشبكة الداخلية .
تستخدم معظم برمجيات جدران النار اليوم طريقة واحدة او اكثر من الطرق الثلاث المتبعة في فحص الرزم وتستخدم العديد من الموجهات تقنية جدران النار المسماة بترشيح الرزم packet filtering والتي تفحص عناوين وبوابات المصدر Source والوجهة النهائية destination لرزم TCP ورزم UDP القادمة ثم ترفض او تسمح للرزم بالمرور وفقا لمجموعة من القواعد مسبقة التحضير وتعتبر تقنية ترشيح الرزم طريقة رخيصة نسبيا وشفافة بالنسبة للمستخدم ولها تاثير طفيف غير ذي بال علي اداء الشبكة ولكن تجهيز تقنية ترشيح الرزم يعتبر عملية معقدة نسبيا ويتطلب معرفة دقيقة بالشبكة وبروتكولات النقل بل يتطلب في بعض الاحيان معرفة ببروتوكولات التطبيق .
تكمن المشكلة الاخري في تقنية مرشحات الرزم في انها عرضة لما يسمي خداع بروتوكول انترنت IP Spoofing وهي طريقة يستخدمها الهاكرز ليتمكنوا من الووصول الي شبكة شركة عن طريق تغيير عناوين بروتوكولات انترنت في ترويسة الرزم الي عناوين اخري مقبولة من قبل شركة اخري

اما النوع الاكثر تقدما وأمنا من انواع جدران النار فهي برامج بوابات التطبيقات application gateways ، تستخدم معظم منتجات جدران النار العاملة بتقنيات بوابات التطبيقات بما فيها برامج eagle الشهيرة من شركة Raptor ما يسمي توكيلات التطبيقات application proxies وهي عبارة عن برامج مكتوبة لخدمات معينة من خدمات انترنت ( مثل خدمات HTTP، FTP وخدمة telnet وتعمل علي مزود مرتبط بشبكتين كمزود Server لزبون تطبيقات application client وكزبون لمزود التطبيقات application server

ونظرا لان برامج توكيلات التطبيق تقوم بتقييم رزم الشبكة لتحديد شرعية البيانات المتعلقة بتطبيق معين فانها تعتبر شكل عام أكثر امنا من مرشحات الرزم . وتمتاز معظم جدران النار لبوابات التطبيقات باحتوائها علي ميزة تدعي "ترجمة العناوين الشبكة" Network Adress Translator والتي تمنع ظهور عناوين IP الداخلية. امام المستخدمين من خارج الشبكة الموثوقة .
تكمن احدي السلبيات الرئيسية في تقنية بوابات التطبيقات في انخفاض مستوي الاداء بسبب المعالجة المضاعفة التي تتطلبها وظيفة التوكيل proxy function وهناك سلبية اخري تكمن في انه قد يتوجب عليك ان تنتظر عدة اشهر حتي تزودك الشركة الصانعة لبرنامج جدران النار بتوكيل التطبيق application proxy لاي حدمة جديدة من خدمات انترنت مثل استخدام خدمات realautio . واذا كنت تنوي استخدام جدران النار دفاع محيطي خارجي فقط وراء توصيلات T1 الي مزود خدمة انترنت فلا داعي للقلق علي الاداء، لان عرض الحزمة المنخفض لهذه التوصيلات سيصل الي حد الاشباع قبل وصول جدران النار الي ذلك الحد . قد تجد الكثير من المؤسسات ضرورة في استخدام جدران النار اضافية علي مستوي شبكاتها الداخلية لفرض حزام امني علي مزودات اقسامها المختلفة مثل مزود المورد البشرية الذي يحتوي عادة علي معلومات حساسة، ويصبح الأداء في هذه الحالة عاملا مهما نظرا لان الربط سيعتمد علي شبكة ايثرنت بسرعة10 ميجابت/ثانية
او شبكة ايثرنت السريع 100 ميجابت/ثانية. واذا كنت تنوي استخدام توكيلات التطبيقات داخليا فعليك ان تعتمد علي حل مبني علي عتاد سريع مثل pix firewall من شركة cisco او firebox من شركة seattle software او قد تلجا الي تركيب برمجيات جدران النار علي نظام يتمضن عدة معالجات .

اما النوع الثالث من تكنولوجيا جدران النار والذي اسمته شركة check point software باسم تفقد الحالة الكاملة statefull inspection فهو موجود في برنامج firewall-1 من شركة نفسها وبرنامج pix firewall من شركة سيسكو وبرنامج On Guard من شركة On technology وبرنامج firewall/plus من شركة network-1 وكما هو الحال في تقنية ترشيح الرزم فان هذه التقنية تستقبل اولا الرزم علي مستوي طبقة الشبكة Network layer ثم تقوم بتفحص جميع الرزم ومقارنتها مع نماذج معروفة من الرزم الصديقة وفيما تعطي طريقة تفقد الحالة الكاملة اداء اعلي بقليل من اداء توكيلات التطبيقات الا ان الجدل يبقي قائما فيما اذا كانت آمنة مثلها ام اقل امنا منها.
للمزيد اقرأ http://www.interhack.net/pubs/fwfaq
http://www.infosyssec.org/infosyssec/fwfaq.html

كتبت معظم برامج جدران النار في البداية لنظم لينكس ثم خرجت برامج جدران النار لويندوز ان تي وغيرها ومما يجدر بالذكر ان خرق الحواجز الامنية نتيجة اخطاء في تجهيز برامج جدران النار اكثر احتمالا من ان يكون ناتجا عن مشاكل تتعلق في المنتجات او في نظم التشغيل التي تعمل عليها ...

الشرعية authentication
تقوم برامج جدران النار بالتأكد من شرعية دخول المستخدم الي ملفات الشبكة باستخدام عناوين IP التي تخصص لكل مزود وجهاز شبكة يمكن خداعهم واذا اردت ان تسمح لمستخدمين معينين الوصول عبر شبكة انترنت الي ملفات وبيانات حساسة فعليك التاكد من شرعية المستخدم الفعلي ..
يمكن وصف الشرعية بانها مجموعة الطرق التي تتعرف ايجابيا علي المستخدم وتعتبر كلمات المرور passwords من اكثر الطرق انتشارا في مجال الشرعية المستخدم، لكن المستخدمين مشهورون باستخدام كلمات مرور يمكن تخمينها بسهولة من قبل الدخلاءhackers ذوي الخبرة .
وبالاضافة الي كلمات المرور التي تدخل غالبا ضمن نطاق "شيء تعرفه" فان الكثير من المؤسسات تلجا الي حلول تعتمد علي "شيء تملكه " مثل الفيش tokens والبطاقا الذكية smart card والفيش اجهزة صغيرة بحجم بطاقات الائتمان يحملها الاشخاص الذين يستخدمون الشبكة عن بعد .