الحلقة الدراسية 24
أمن الشبكة
سنتناول في هذا الدرس إن شاء الله البنود التالية:
1.عرض لبعض المخاطر الأمنية التي قد تتعرض لها الشبكة وكيفية الوقاية منها.
2- وصف لعلاقة الولوج إلى الشبكة بأمنها.
3- كيفية حماية الموارد بواسطة تراخيص الوصول.
4- شرح لمكونات ACL
5- شرح لعملية فحص التراخيص.
أي شبكة قد تكون عرضة للوصول غير المرخص لأي مما يلي:
1- المعدات.
2- البيانات.
3- عمليات الشبكة.
4- الموارد.
تعتمد درجة أمن الشبكة على مدى حساسية البيانات المتداولة عبر الشبكة.
ويتم تنظيم الأمن وفقاً لنوع الشبكة، ففي شبكات الند للند كل جهاز يتحكم في أمنه الخاص، بينما يتحكم المزود في أمن شبكات الزبون \ المزود.
وهناك بعض الإجراءات التي تساعد في المحافظة على أمن الشبكة:
1- التدريب المتقن للمستخدمين على التعامل مع إجراءات الأمن.
2- التأكد من أمن المعدات وصعوبة الوصول إليها من قبل غير المخولين.
3- حماية الأسلاك النحاسية وإخفاءها عن الأعين لأنها قد تكون عرضة للتجسس.
4- تشفير البيانات عند الحاجة أما مقاييس التشفير فتضعها وكالة الأمن الوطني الأمريكي National Security Agency (NSA).
5- تزويد المستخدمين بأجهزة لا تحتوي على محركات أقراص مرنة أو مضغوطة أو حتى أقراص صلبة، وتتصل هذه الأجهزة بالمزودات باستخدام رقاقة إقلاع ROM Boot Chip وعند تشغيل هذه الأجهزة يقم المزود بتحميل برنامج الإقلاع في ذاكرة RAM للجهاز ليبدأ بالعمل.
6- استخدام برنامج لتسجيل جميع العمليات التي يتم إجراؤها على الشبكة لمراجعتها عند الضرورة.
7- إعطاء تصاريح Permissions للمستخدمين للوصول للبيانات والمعدات كل حسب طبيعة عمله وفي هذه الحالة يجب مشاركة البيانات والمعدات للسماح للآخرين باستخدامها.
8- تزويد المستخدمين بحقوق Rights تحدد الأنشطة والعمليات المسموح لهم إجراءها على النظام.
هناك نظامان أساسيان لإعطاء التصاريح والحقوق:
1- المشاركة المحمية بكلمة مرور.
2- تصاريح الوصول.
في النظام الأول يتم تعيين كلمة سر لكل من الموارد المطلوب مشاركتها ويتم الوصول لهذه الموارد فقط من قبل من لديه كلمة السر.
كما تستطيع تحديد درجة الوصول هل هي للقراءة فقط أم وصول كامل أم وفقاً لكلمة السر.
في النظام الثاني يتم تعيين الحقوق وإعطاء التصاريح لكل مستخدم أو مجموعة مستخدمين، ويكفي أن يدخل المستخدم كلمة المرور عند الدخول إلى نظام التشغيل ليتعرف النظام على حقوق هذا المستخدم والتصاريح المتوفرة له، ويعتبر هذا النظام أكثر أمنا من النظام السابق ويعطي مدير الشبكة تحكما أكبر بكل مستخدم.
عند ادخال الاسم وكلمة المرور يتم تمرير هذه المعلومات الى مدير أمن الحسابات
Security Accounts Manager (SAM)
Workstation فإذا كان الولوج الى الجهاز
الذي يقارنها مع قاعدة بيانات حسابات النطاق، فإذا كان اسم المستخدم أو كلمة المرور غير صالحين فإن المعلومات يتم SAM فإن المعلومات يتم إرسالها الى مزود Domain إما إذا كان الولوج الى نطاق مقارنتها مع قاعدة بيانات حسابات فإن المستخدم يمنع الدخول الى النظام، أما إذا كانا صحيحين فإن نظام الأمن الفرعي يقوم بإصدار بطاقة الأمن المحلية
تعرف النظام بالمستخدم فترة ولوجه وتحتوي هذه البطاقة على المعلومات التالية Access Token ولوج في الجهاز،
1- المعرف الأمني (SID) Security Identifier وهو رقم فريد خاص بكل حساب.
2- معرفات المجموعات Group SIDs وهي التي تحدد المجموعة التي ينتمي لها المستخدم.
3- الامتيازات Privileges وهي تمثل الحقوق الممنوحة لحسابك.
كما أنه يتم إصدار Access Token عند محاولتك الاتصال من جهازك بجهاز أخر على شبكتك ويطلق على هذا الإجراء الولوج عن بعد Remote Logon
من الأمور التي يجب مراعاتها عند الحديث عن أمن الشبكة هو المحافظة على أمن الموارد مثل الطابعات ومحركات الأقراص والملفات والتي يقوم مدير الشبكة بتعيين تصاريح لاستخدام هذه الموارد.
ومن التصاريح التي قد تعطى للوصول الى الملفات ما يلي:
1- تصريح قراءة و يسمح لك بعرض ونسخ الملفات.
2- تصريح تنفيذ للتطبيقات.
3- تصريح كتابة يسمح بالتعديل في محتوى الملفات.
4- ممنوع الاستخدام No Access
والتصاريح يمكن منحها لمستخدم أو مجموعة من المستخدمين وهذا أسهل.
يمتلك كل مورد من الموارد قائمة تحكم بالوصول Access Control List (ACL) وكل معلومة يتم إدخالها في ACL يطلق عليها Access Control Entry (ACE)
يتم إنشاء ACE عند منح التصريح لاستخدام الموارد وتحتوي على SID للمستخدم ا مجموعته الممنوحة التصريح بالإضافة الى نوع التصريح، فلو افترضنا أن مدير مجموعة ما قد مُنح تصريح قراءة تصريح كتابة لملف ما فإن ACE جديد يتم إنشاؤه ثم إضافة الى ACL الخاص بالملف ويحتوي ACE على SID لمدير المجموعة بالإضافة الى تصريح قراءة وتصريح كتابة.
هناك نوعان لـ ACE:
1- الوصول مسموح Access Allowed
2- الوصول ممنوع Access Denied ويتم انشاؤها إذا كان تصريح الوصول هو No Access
وهكذا عندما يحاول مستخدم من الوصول الى مورد ما يتم مقارنة SID الخاص به مع SIDS في كل ACE من ACL للمورد.
في ويندوز NT و ويندوز 2000 يتم ترتيب ACE بحيث تكون Access Denied AC Es قبل Access Allowed AC Es، فإذا وجد SID خاصتك في أي من Access Denied AC Es فستمنع من الوصول إلى المورد والا فيبحث في Access Allowed AC للتأكد من الحقوق الممنوحة لك فإن لم يعثر على SID مطابق لخاصتك واستعرض رسالة تحذير تمنعك من الوصول للمورد.
ملخص الدرس:
هناك بعض الإجراءات التي يجب اتخاذها للمحافظة على امن الشبكة ومنها:
تدريب المستخدمين، حماية المعدات، تشفير البيانات، استخدام أجهزة عديمة الأقراص، مراقبة العمليات التي تجرى على الشبكة.
هناك نظامان أساسيان لإعطاء التصاريح والحقوق:
1- المشاركة المحمية بكلمة مرور.
2- تصاريح الوصول.
\
