الفصل : 9
العنوان : تنفيذ تصاميم الشبكات الآمنة (Implementing Secure Network Designs)
Secure Network Designs
تصميم الشبكة بشكل امن , وهنا الهدف وهو حماية ال EndPoint بحيث ال endpoint هي ال pc او laptop او اصح من يقوموا باستخدام الشبكة ,ونقوم بمنع الاختراق , بحيث مش مثلا ال pc اللي في الشبكة يقوم باختراق ال laptop , لذلك في بناء الشبكة لا بد من التصميم , بحيث تكون البنية التحتية للشبكة امنة
مشاكل امان الشبكة :
Single Point Of Failure :
وهو الاعتماد على جهاز واحد للقيام بهمة معينة في الشبكة , مثلا لدينا راوتر واحد فقط هو من يقوم بتوصيلنا بالشبكة الخارجية او الانترنت , وفجائه لاي سبب من الاسباب الكثيرة , يقوم هذا الراوتر بالتعطل
يعني هذا معناه ان حركة الشبكة ستتعطل لان جزء منها ذهب بدون ان يكون هناك البدايل ال backup
بحيث لا بد ان نمشي على مبدا ال High Availability وهو اعلى توافرية
Lack Of Documentation And Change:
لا ويوجد خريطة للشبكة , بحيث لا تعرف من هو ال pc1 واين مكانه وعنوانه ومعلوماته الدقيقة , وهذا ما سيبب التاخير والاخظاء الكثير اثناء حدوث مشكلة ما , لان الدنيا تكون ملخبطة
Overpendence On Perimeter Security :
الاعتقاد الخاطئ الكبير لقائدي الشبكة او الاداريين , بان اي اختراق دائما ياتي من خارج الشبكة ,ولكن هو لا يكون ملاحظ ان بيكون لديه hosts في الشبكة واللي منهم ممكن هو ما يقوم بالاختراق , وهذا يحدث عندما لا يهتم المدييرين بال firewall الداخلية فقط يقوموا بشراء الخاص بالخارج
Network Appliances:اجهزة الشبكة
Switch:
وهو الجهاز اللي يكون متخص في جع عدد من الاجهزة وربطهم ببعض لتكوين شبكة واحدة ,يعني لو قلنا ابسط شكل وهو ربط ال pc1 مع ال pc2 من خلال سلك , ولكن لو نريد ربط 4 اجهزة مع بعض , فلا بد من وجود شئ ما تقوم كل الاجهزة بالربط عليه ,ومن خلاله يتم توصيل كل الاجهزة ببعضها البعض وهذ الحالة فيكون السويتش هو جهاز Multipoint يعني متعدد النقط
وطريقة نقله للبيانات من جاهز الى اخر يعتمد على عنوان ال Mac اللي يكون مرسول في ال Packet اللي تخرد من الجهاز , ويكون فيها ال Mac الخاص بالجهاز ال destination
فالبتالي يكون للسويتش جدول يسمى بال Mac Table ويكون فيه رقم ال Mac لكل جهاز وبجانبه رقم المنفذ , لهذا لما الرسالة يكون فيها ال Mac الخاص بجهاز معين يبحث السوتش عن هذا العنوان وهو يخص اي جهاز , ويقوم بارساله الى ال port اللي هو موصل عليه
Wireless Access Point (AP) :
وهو جهاز مثل ال switch اللي تكلمنا عنه منذ قليل , ولكن يقوم بربط الاجهزة في الشبكة باللاسلكي , بدون ان تم مد سلك للسويتش , حيث من يت توصليله هو ال AP ويتم توصيلها في السوبتش سلكيا , هنا اثبحت هي بداخل الشبكة , وتقوم بالسماح لاي جهاز عندما يتضل بها معناه انه اتصل بالشبكة اللي فيها السويتش والاجهزة كلها اللي موجودة
Routing & Switching Protocols :
عشان نوصل الحزم والبيانات بنحتاج ال Routing و ال Switching Protocols
فنستخدم عنوان ال MAC للجهازين اللي يتبادلوا المعلومات والبيانات ,ومن يقوم بالتعامل مع الماك هو ال switch واللي بيكون في ال layer 2 من نظام ال OSI
ولكن في ال Routing نقوم باستخدام عنوان ال ip , وو عنوان ثاني بحيث ال ip نقوم بالتعامل بيه مع نوعين من الشبكات وهما :
الشبكات المحلية :
واللي بيكون في ال ip الثابت مثل 192.168.1.0 وهناك اكثر من رقم بيكونوا محددين فقط للشبكات المحلية يعني لو ذهبت الى ال cmd او التيرمينال وكتبت امر ipconfig في ويندوز او امر ifconfig في لينكس , فستجد عنوان الايبي الخاص بك واللي بيكون هو الخاص بالشبكة , بحيث لو كان هناك جهاز اخر في الشبكة وشوفت الايبي الخاص به ستحد انه نفس الايبي باختلاق اهر رقم واللي بيكون الخاص بالتفريق بين ال hosts
الشبكات العامة :
وهو اللي بتكون خاصة ف الانترنت واللي من خلال هذه العنوانين نحن الان نستخدم هذه الشبكة , بحيث العالم كله موصول بها , وبما ان العالم اصبخ يكثر من ناحية التكنولوجيا والاجهزة الكثيرة, لذلك قاموا بتقديم ال IpV6
طبعا في ال routing يكون في ال layer 3 من نوذج ال OSI
Address Resolution Protocol (ARP) :
وهو بروتوكول خاص بنستخدمه لكا يكون مش عندك عنوان ال Mac الخاص بال Destination بحيث في هذا البروتوكول يقوم بربط عنوان ال ip مع ال Mac
بحيث لا بد من ان يكون ال scr او المصدر اللي يريد ارسال الرسالة ان يكون معه ال ip
لانه عشان ترسل اي رسالة لا بد من ان يكون مع ال Mac ولو مش معك في ال Mac نستخدم ال ip في بروتوكول ال ARP لاستخراج ال MAC
بحيث هو سيقوم باخذ ال ip واذاعته في جميع الاجهزة في الشبكة , بحيث سيقوم بارسال رسالة على ال Mac اللي هو fff:fff:fff
وهو عنوان ال broudcast اللي في الشبكة حيث يتم ارسال السوال من خلال هذا العنوان الماك , ومن سيقوم بالرد بالاجابة ب “نعم” ,سيرسل مع الرد ال Mac الخاص به ويحصل ال Scr على ال Mac ليرسل لل des اللي هو يريده
Network Topology & Zones :
Network Topology :
وهي شكل الشبكة وطرف تكوينها وتوصيلها ووصفها ايضا , بحيث تكون الخريطة المفصلة بالكامل من حيث المعلومات لكل الجهاز وعنوانه ومكانه ايضا فيزيائيا وكل شئ عن الشبكة , وهذا ما يجعل من الشبكة ناجحة
Zone:
وهي بتكون منطقة محددة في الشبكة وتكون في داخلها او خارجها , حيث ال zone مصطلح يكون منطقة يا اما داخلية او خارجية في الشبكة , ويكون لهم شروطهم تحميهم , وانواع ال Zone هم :
Internet (private Network ) :
وهي الشبكة الداخلية لل zone زي جهاز ال firewall وراه او متصل بيه اجهزة فدول هما ال Internal zone وبتكون فيها الثقة الاكبر
Demilitarized Zones / Extranet (DMZ) :
وهذه المنطقة اللي تكون ما بين ال internal وال External , بحيث هي مثل المنظقة المحايدة , حتى تكون امان لل internal من ال external
MAN-IN-THE-MIDDLE & Layer 2 Attacks :
وهي الهجمات اللي تكون خاصة بال layer 2 اللي في السويتش
MITM :
رجل في المنتصف واللي هي من اشهر هجمات الشبكات , واللي انا اسميها قطاع الطرق , بحيث يثبتوك ويسرقوا منك كل حاجة او ممكن يعوروك كمان
نفس النظام شخص يكون في النص بيراقب ال traffic اللي بينك وبين ال des , ولو مش الترافيك مشفر يقدر يسرق منك معلوماتك كلها حرفيا , او ممكن كمان يقوم بتغيير ال path الخاص بال packet
Mac Cloning / MAC address Spoofing :
كل شخص بيكون له ماك واحد فقط لا يتشابه مع شخص اخر , وكان الماك هو ال passport الخاص بك , هناك اشخاص يقوموا بتزوير الماك بتاعهم من خلال ادوات تقوم بتغيير الماك بتاعهم الى اي ماك , ويقوموا بوضع Mac خاص بشخص اخر ,و يكونوا انتحلوا شخصيته من خلال ال Mac
Mac Flooding Attacks :
تغريق السويتش , حيث شخص يعمل ملئ ال Mac Table ب ports , بحيث ان كل سويتش يكون له عدد ports معين وهي اللي يتم ربط فيها الاجهزة فيه,بحيث ان السويتش كيف بعرف ان في شخص في هذا البورت وان البورت خلاص تم استخدامه
عندنا يقوم الجهاز بارسال اي رسالة يقوم ايضا بوضع الماك وال ip الخاص به + ال ip وال Mac الخاص ب destination
لما يشوف ال switch ماك مش موجود في ال Mac table يقوم بتسجيله ويتم حجز ال port اللي طلع منه هذا ل Mac
بحيث هذه الهجمة من يقوم بها , هو يقوم بارسال رسائل فيها عنوان Mac ب port وهمي ,ويقوم بتقرار هذه العملية اكثر من مرة الى ان يتم ملئ الجهاز بالكامل , ويبدا يعمل مثل ال hub وهو الارسال للكل لانه الان تم ملئه
Physical Port Security & Mac Filtering : خواص السويتش لحمايته
Mac Filtering :
تحديد ماك معين فقط لكل بورت , حتى نمنع هجمات ال Mac flooding
Mac Limiting :
تحديد كمية ال Mac اللي اللي يقوم السويتش باستقبالها من ال اي port ولو قام صاحب الجهاز بعمل الهجمة يتم قفل ال port من الاستقبال
Network Access Control / Port-Based Network Access Control (PNAC) :
وهو بروتوكول يكون مخصص لارسال هويتك بالكامل لل سويتش ليتحقق من هويتك بالكامل
Rout Security :
وهو انه يتم تامين ال path اللي بيكون بينك وبين ال destination , وهذا من خلال التشفير ال packets اللي بتطلع , من خلال استخدام بروتوكولات امنة للنقل
Wireless Network Installation :
وهي الشبكة اللاسلكية اللي نقوم باستخدام فيها ال AP للاتصال بالشبكة بدون استخدام سلك , ولكي نوصل لهذه الشبكة اللي ترسلهاAP بيكون ليها نوعين من الاسم وهما :
BSSID :
وهو العنوان الاساسيات اللي هو ال MAC address
SSID :
الاسم اللي انت تقوم بتغيره وهو اسم ال AP الل انت تشوفها
معظم شبكات ال Wireless تقوم بالعمل على 2,4GHz او 5GHz
ملحوظة :
لما بيكون في اكثر من AP في المكان نقوم باستخدام ال Wireless Lan Controller من اجل التحكم في ال AP الموجودة في المكان كله , وبتكون في المولات او الاماكن الكبيرة
Rouge Access Point & Evil Twins:
Evil Twins :
وهو شخص جاب AP من عنده على نفس ال SSID الخاص بالشبكة اللي انت دوما تشبك , فيقوم هو بعمل هجوم DOS على الشبكة الخاصة بك , حتى تخرج منها , وتقوم انت بايجاد شبكتك لانك تنظر لل SSID دوما , فتنخدع وتقوم بوضع كلمة المرور , وهو ياخذها ويرجع لك شبكتك , والمخترق يكون خصل على كلمة مرور الشبكة , ويمكنه ستعتها الدخول
Jamming Attack :
تشويش , شخص يقوم بعمل التشويش باشارتك من خلال انه يقوم باستخدام ال channel الخاصة بك , من خلال ال AP الخاص به
Router:
الموجه ,وهو يقوم بجمع الشبكات المختلفة وجمعهم بتصلون ببعض , يعني السويتش كان يقوم بربط اكثر من جهاز مع بعض بدل من كل جهاز وجهاز لوحده , الراوتر مثل الشي يقوم بربط الشبكات المختلفة بعضها ببعض
وبيكون يحمل ال Routing Table واللي بتعامل بعنوان ال ip
Firewall :
الجدار الناري
وهو مثل البوابة اللي فيها حارس
يشوف من اللي يدخل ومين اللي يخرج , لانه بيعمل في الداخل للشبكات وفي الخارج بالنسبة للانترنت للشبكات
بحيث يكون فيه list فيها rules لو قامت اي packet بمخالفته لن تسطيع اي packet بالدخول
وممكن ال Administrator يقوم بعمل التعديل على اجته ,ويمتع اجهزة الشبكة من مثلا الدخول لبعض المواقع او الخروج اصلا من الشبكة لاي شبكة اخرى(واللي بيكون منها الانترنت)
وهذه ال rules تكون باسم ال ACL وهي اختصار ل Access Control List
وبالطبع يمكنك ان تقوم بعمل التعديلات على هذه ال rules على حسب ال Administration
Loud Balancer:
موزع الاحمال , بحيث موقع مثل ال Facebook يكون لديه اكثر من سيرفر يعمل عليه الموقع , بحيث عندما يريد الاشخاص ان يقوموا بعمل تخريب او وقف لسيرفر من ال Facebook مما بالطبع ستعطل في مكان معين او في شبكة معينة
وهذا التخريب يكون باسم ال DOS او هذا الهجوم يعني
ومهمة موزع الاحمال انه يقوم بتوزيع ال req لكل السيرفرات بالتعادل , بحيث ليس كل الreq القادمة تكون قادمة لسيرفر واحد
وهذا الجهاز ما يقوم بمنع هجمات ال DOS او ال DDOS
واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا
او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله
ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من هنا
يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من
وفقط كان معكم sparrow مقدم هذه الشهادة من فريق Hidden Lock