درس في أمن الشبكة

سنتناول في هذا الدرس إن شاء الله البنود التالية:
1- عرض لبعض المخاطر الأمنية التي قد تتعرض لها الشبكة و كيفية الوقاية منها.
2- وصف لعلاقة الولوج الى الشبكة بأمنها.
3- كيفية حماية الموارد بواسطة تراخيص الوصول.
4- شرح لمكونات ACL.
5- شرح لعملية تفحص التراخيص.

أي شبكة قد تكون عرضة للوصول غير المرخص لأي مما يلي:

1- المعدات.

2- البيانات.

3- عمليات الشبكة.

4- الموارد.

تعتمد درجة أمن الشبكة على مدى حساسية البيانات المتداولة عبر الشبكة.

و يتم تنظيم الأمن وفقا لنوع الشبكة ، ففي شبكات الند للند كل جهاز يتحكم في أمنه الخاص ، بينما يتحكم المزود في أمن شبكات الزبون المزود.

و هناك بعض الإجراءات التي تساعد في المحافظة على أمن الشبكة:

1- التدريب المتقن للمستخدمين على التعامل مع إجراءات الأمن.

2- التأكد من أمن المعدات و صعوبة الوصول اليها من قبل غير المخولين.

3- حماية الأسلاك النحاسية و إخفاءها عن الأعين لأنها قد تكون عرضة للتجسس.

4- تشفير البيانات عند الحاجة أما مقاييس التشفير فتضعها وكالة الأمن الوطني الأمريكية National Security Agency (NSA).

5- تزويد المستخدمين بأجهزة لا تحتوي على محركات أقراص مرنة أو مضغوطة أو حتى أقراص صلبة ، و تتصل هذه الأجهزة بالمزودات باستخدام رقاقة إقلاع ROM Boot Chip و عند تشغيل هذه الأجهزة يقوم المزود بتحميل برنامج الإقلاع في ذاكرة RAM للجهاز ليبدأ بالعمل.

6- استخدام برامج لتسجيل جميع العمليات التي يتم إجراؤها على الشبكة لمراجعتها عند الضرورة.

7- إعطاء تصاريح Permissions للمستخدمين للوصول للبيانات و المعدات كل حسب طبيعة عمله و في هذه الحالة يجب مشاركة البيانات و المعدات للسماح للآخرين باستخدامها.

8- تزويد المستخدمين بحقوق Rights تحدد الأنشطة و العمليات المسموح لهم إجراءها على النظام.

هناك نظامان أساسيان لإعطاء التصاريح و الحقوق :

1- المشاركة المحمية بكلمة مرور.

2- تصاريح الوصول.

في النظام الأول يتم تعيين كلمة سر لكل من الموارد المطلوب مشاركتها و يتم الوصول لهذه الموارد فقط من قبل من لديه كلمة السر.

كما تستطيع تحديد درجة الوصول هل هي للقراءة فقط أم وصول كامل أم وفقا لكلمة السر.أنظر الصورة.

 


في النظام الثاني يتم تعيين الحقوق و إعطاء التصاريح لكل مستخدم أو مجموعة مستخدمين ، و يكفي أن يدخل المستخدم كلمة المرور عند الدخول الى نظام التشغيل ليتعرف النظام على حقوق هذا المستخدم و التصاريح المتوفرة له، و يعتبر هذا النظام أكثر أمنا من النظام السابق و يعطي مدير الشبكة تحكما أكبر بكل مستخدم.

عند إدخال الإسم و كلمة المرور يتم تمرير هذه المعلومات الى مدير أمن الحسابات Security Accounts Manager (SAM) فإذا كان الولوج الى جهاز Workstation فإن المعلومات يتم مقارنتها مع قاعدة بيانات حسابات الأمن المحلية في الجهاز، أما إذا كان الولوج الى نطاق Domain فإن المعلومات يتم إرسالها الى مزود SAM الذي يقارنها مع قاعدة بيانات حسابات النطاق، فإذا كان اسم المستخدم أو كلمة المرور غير صالحين فإن المستخدم يمنع من الدخول الى النظام، أما إذا كانا صحيحين فإن نظام الأمن الفرعي يقوم بإصدار بطاقة ولوج Access Token تعرف النظام بالمستخدم فترة ولوجه و تحتوي هذه البطاقة على المعلومات التالية:

1- المعرف الأمني Security Identifier (SID) و هو رقم فريد خاص بكل حساب.

2- معرفات المجموعة Group SIDs و هي التي تحدد المجموعة التي ينتمي لها المستخدم.

3- الإمتيازات Privileges و هي تمثل الحقوق الممنوحة لحسابك.

كما أنه يتم إصدار Access Token عند محاولتك الإتصال من جهازك بجهاز آخر على شبكتك و يطلق على هذا الإجراء الولوج عن بعد Remote Logon.

من الأمور التي يجب مراعاتها عند الحديث عن أمن الشبكة هو المحافظة على أمن الموارد مثل الطابعات و محركات الأقراص و الملفات و التي يقوم مدير الشبكة بتعيين تصاريح لإستخدام هذه الموارد.

و من التصاريح التي قد تعطى للوصول الى الملفات ما يلي:

1- تصريح قراءة و يسمح لك بعرض و نسخ الملفات.

2- تصريح تنفيذ للتطبيقات.

3- تصريح كتابة و يسمح بالتعديل في محتوى الملفات.

4- ممنوع الإستخدام No Access.

و التصاريح ممكن منحها لمستخدم أو مجموعة من المستخدمين و هذا أٍسهل.

يمتلك كل مورد من الموارد قائمة تحكم بالوصول Access Control List (ACL) و كل معلومة يتم إدخالها في ACL يطلق عليها Access Control Entry (ACE).

يتم إنشاء ACE عند منح التصريح لإستخدام المورد و تحتوي على SID للمستخدم أو مجموعته الممنوحة التصريح بالإضافة الى نوع التصريح، فلو افترضنا أن مدير مجموعة ما قد مُنح تصريح قراءة و تصريح كتابة لملف ما فإن ACE جديد يتم إنشاؤه ثم إضافته الى ACL الخاص بالملف و سيحتوي ACE على SID لمدير المجموعة بالإضافة الى تصريح قراءة و تصريح كتابة.

هناك نوعان ل ACE :

1- الوصول مسموح AccessAllowed.

2- الوصول ممنوع AccessDenied و يتم إنشاؤها إذا كان تصريح الوصول هو No Access.

و هكذا عندما يحاول مستخدم ما الوصول الى مورد ما يتم مقارنة SID الخاص به مع SIDs في كل ACE من ACL للمورد.

في ويندوز NT و ويندوز 2000 يتم ترتيب ACE بحيث تكون AccessDenied ACEs قبل AccessAllowed ACEs ، فإذا وجد SID خاصتك في أي من AccessDenied ACEs فستمنع من الوصول الى المورد و إلا فسيبحث في AccessAllowed ACEs للتأكد من الحقوق الممنوحة لك فإن لم يعثر على SID مطابق لخاصتك فستعرض رسالة تحذير تمنعك من الوصول للمورد.

 

عاشت ايدك على الدرس الرائع