الفصل التاسع: Network Security.
الجزء الثالث: #3
العنوان: Network Hardening and Physical Security
تقوية الشبكة والأمن المادي (Network Hardening and Physical Security):
نصيحة أختبار:
نصيحة أختبار:
تذكر أن الهدف الأول من الأهداف التي تغطيها هذه الفقرة يبدأ بـ "Given a scenario." هذا يعني أنه قد تتلقى سيناريو السحب والإفلات، المطابقة، أو سيناريو "live OS" حيث يجب عليك التنقل لإكمال مهمة محددة بناءً على الهدف.
الحصول على أمان شبكة ممتاز ليس له فائدة كبيرة إذا كان يمكن لأي شخص أن يخترق كل شيء عن طريق الدخول إلى مكتبك، وأخذ الخادم الخاص بك، والخروج من الباب الأمامي به. الأمن المادي للمباني مهم بنفس القدر لتنفيذ الأمان بشكل كامل.
من الناحية المثالية، يجب أن تحتوي أنظمتك على حد أدنى من ثلاث حواجز مادية:
من الناحية المثالية، يجب أن تحتوي أنظمتك على حد أدنى من ثلاث حواجز مادية:
- تشمل طرق الكشف عادةً كاميرا وكشف الحركة. يمكن تحقيق حماية المحيط باستخدام أجهزة إنذار ضد السرقة، والجدران الخارجية، والأسوار، والمراقبة، وما إلى ذلك. يجب استخدام هذا النوع من الحماية مع قائمة وصول لتحديد من يمكنه دخول المنشأة ويمكن التحقق منها بواسطة حارس أمن أو شخص ذو سلطة. يمكن استخدام مدخل تحكم (المعروف سابقًا باسم فخ الرجال) للحد من الوصول إلى شخص أو شخصين فقط يدخلون المنشأة في وقت واحد. يشمل المدخل المُطوَّر بشكل صحيح زجاج مضاد للرصاص، وأبواب قوية، وأقفال. في البيئات ذات الأمان العالي والعسكرية، يجب استخدام حارس مسلح وكذلك مراقبة بالفيديو (كاميرات IP وCCTVs) عند مدخل التحكم.
- بعد دخول الشخص إلى المنشأة، قد يكون هناك حاجة إلى أمان إضافي ومصادقة لدخول إضافي.
- يجب أيضًا الاعتماد على أجهزة تحكم الوصول مثل قراء الشارات (المعروفة أيضًا باسم قراء شارات الهوية، قراء القرب)، والمفاتيح الإلكترونية، أو المفاتيح للوصول. يمكن استخدام المقاييس الحيوية مثل بصمات الأصابع أو فحوصات الشبكية للمصادقة.
- يجب أن يكون هذا المدخل بابًا مقفلًا آخر يُراقب بعناية ويتم حمايته بواسطة لوحات مفاتيح وأقفال شفرة. على الرغم من محاولاتك لمنع دخول المتطفلين بالاعتماد على الحواجز الأخرى، إلا أن العديد من الأشخاص الذين يدخلون المبنى قد يدعون أنهم أشخاص آخرين مثل فنيي التدفئة والتكييف، وممثلي المالك، وما إلى ذلك. على الرغم من أن هذه التظاهر قد يسمح لهم بتجاوز الحواجز الأولى، إلا أنه يجب أن يتم إيقافهم بواسطة باب غرفة الكمبيوتر المقفل. إذا تمكنوا من الدخول، يجب استخدام خزائن مقفلة، وخزائن مغلقة، وحتى خزائن ذكية (أنظمة تخزين وتوزيع آمنة مع أجهزة كمبيوتر وأجهزة استشعار مدمجة) لحماية الأجهزة ومنع سرقتها.
يجب أن تحتوي الأصول على علامات أصول (المعروفة أيضًا باسم علامات التتبع) أو علامات العبث مرفقة بها تحتوي على معرفات فريدة لكل جهاز عميل في بيئتك (عادةً ما تكون أرقام متزايدة تتوافق مع قيم في قاعدة البيانات) لمساعدتك في تحديد وإدارة أصول تكنولوجيا المعلومات الخاصة بك، وبالإضافة إلى ذلك، يجب تثبيت أجهزة الكشف عن العبث لحماية من إزالة غطاء الهيكل والمكونات غير المصرح بها.
الهدف من أي حاجز مادي هو منع الوصول إلى أجهزة الكمبيوتر وأنظمة الشبكة، وتتطلب تنفيذات الحواجز المادية الأكثر فعالية عبور أكثر من حاجز مادي واحد للوصول. يُطلق على هذا النوع من النهج نظام الحواجز المتعددة.
نصيحة أختبار:
الأمن المادي هو إضافة حديثة لامتحان Network Plus. تأكد من أنك ملم بالمواضيع التي تمت مناقشتها هنا.
خطوة يجب عدم التغاضي عنها في معادلة الأمان هي تدريب الموظفين، ويجب تدريب جميع الموظفين على الانتباه لتقنيات الهندسة الاجتماعية التي قد تُجرب عليهم، وأهمية الأصول (البيانات والأجهزة)، وأن الأمان -الذي يرتبط أيضًا بالأمان الوظيفي- هو مسؤولية الجميع.
التخلص من الأصول (Disposing of Assets):
تصل معظم الأصول إلى نهاية عمرها في وقت ما. سواء كان هذا الأصل محطة عمل، محرك أقراص ثابت، قطعة من وسائط النسخ الاحتياطي، أو شيء آخر تمامًا، يجب اتخاذ الحذر عند التخلص منه للحد من مخاطر وقوع البيانات الحساسة في الأيدي الخطأ. كمثال، فكر في أن سعة محرك الفلاش (المعروف أيضًا باسم محرك الإبهام، محرك USB، محرك القفز، إلخ) الآن أكبر من العديد من محركات الأقراص الصلبة قبل بضع سنوات والعديد من المستخدمين الآن يخزنون جميع ملفاتهم على محرك صغير ينقلونه معهم.
يجب إنشاء سياسة وتنفيذها للتحكم في التخلص من جميع الأصول التي تحتوي على بيانات، وتشمل الخيارات التي يمكن القيام بها إجراء إعادة تعيين المصنع (للأجهزة المحمولة مثل الحواسيب المحمولة والأجهزة اللوحية)، مسح البيانات، وتنظيف الجهاز قبل التخلص منه، والتنظيف هو ببساطة إزالة البيانات وآثارها؛ عادةً ما يتم ذلك مع أجهزة التخزين مثل محركات الأقراص الصلبة، وغالبًا ما يُشار إليه بالتحرير. المسح يتجاوز التحرير ويُعرف أيضًا بالكتابة فوق (أو التمزيق)، وفي المسح، تُستبدل البيانات التي كانت هناك بشيء آخر ثم تُزال، بهذه الطريقة، إذا استُعيدت البيانات بطريقة ما، فإن ما يعود هو البيانات التي كُتبت فوقها بدلاً من البيانات الأصلية. أبسط تقنية للكتابة فوق تكتب نمطًا من الأصفار فوق البيانات الأصلية.
تنفيذ الأمن المادي (Implementing Physical Security):
الأمن المادي هو مزيج من الفطرة السليمة والإجراءات، والغرض من الأمن المادي هو تقييد الوصول إلى معدات الشبكة فقط للأشخاص الذين يحتاجون إليها.
مدى إمكانية تنفيذ تدابير الأمن المادي لحماية أجهزة الشبكة والبيانات يعتمد بشكل كبير على موقعها، على سبيل المثال، إذا تم تثبيت خادم في خزانة موجودة في منطقة مكتبية عامة، فإن الحماية المادية العملية الوحيدة هي التأكد من أن باب الخزانة مغلق وأن الوصول إلى مفاتيح الخزانة مسيطر عليه. قد يكون استخدام أجهزة مكافحة السرقة الأخرى عمليًا، لكن ذلك يعتمد على موقع الخزانة.
ومع ذلك، إذا كانت معدات الخادم موجودة في خزانة أو غرفة مخصصة، فإن قيود الوصول إلى الغرفة أسهل في التنفيذ ويمكن أن تكون أكثر فعالية. مرة أخرى، يجب أن يقتصر الوصول فقط على من يحتاج إليه، واعتمادًا على حجم الغرفة، قد يقدم هذا الأمر عددًا من العوامل الأخرى.
الخوادم والمكونات الشبكية الرئيسية الأخرى هي تلك التي تحتاج إلى تطبيق أعلى مستوى من الأمن المادي عليها، في الوقت الحاضر، تختار معظم المنظمات وضع الخوادم في خزانة أو غرفة معينة.
يجب التحكم بشدة في الوصول إلى غرفة الخادم، ويجب تأمين جميع أبواب الوصول بطريقة ما، سواء كان ذلك بقفل ومفتاح أو نظام مسح شبكية العين، كل طريقة من طرق التحكم في الوصول إلى غرفة الخادم لها خصائص معينة. أيا كانت طريقة الوصول إلى غرفة الخادم، يجب أن تتبع مبدأ واحد مشترك: التحكم. بعض طرق التحكم في الوصول توفر تحكمًا أكثر من غيرها.
القفل والمفتاح (Lock and Key):
إذا كان الوصول يتم التحكم فيه باستخدام القفل والمفتاح، فيجب تقييد عدد الأشخاص الذين لديهم مفتاح ليشمل فقط أولئك الذين يحتاجون إلى الوصول. يجب تخزين المفاتيح الاحتياطية في مكان آمن والتحكم في الوصول إليها.
فيما يلي بعض ميزات أمان القفل والمفتاح:
نصيحة
التخلص من الأصول (Disposing of Assets):
تصل معظم الأصول إلى نهاية عمرها في وقت ما. سواء كان هذا الأصل محطة عمل، محرك أقراص ثابت، قطعة من وسائط النسخ الاحتياطي، أو شيء آخر تمامًا، يجب اتخاذ الحذر عند التخلص منه للحد من مخاطر وقوع البيانات الحساسة في الأيدي الخطأ. كمثال، فكر في أن سعة محرك الفلاش (المعروف أيضًا باسم محرك الإبهام، محرك USB، محرك القفز، إلخ) الآن أكبر من العديد من محركات الأقراص الصلبة قبل بضع سنوات والعديد من المستخدمين الآن يخزنون جميع ملفاتهم على محرك صغير ينقلونه معهم.
يجب إنشاء سياسة وتنفيذها للتحكم في التخلص من جميع الأصول التي تحتوي على بيانات، وتشمل الخيارات التي يمكن القيام بها إجراء إعادة تعيين المصنع (للأجهزة المحمولة مثل الحواسيب المحمولة والأجهزة اللوحية)، مسح البيانات، وتنظيف الجهاز قبل التخلص منه، والتنظيف هو ببساطة إزالة البيانات وآثارها؛ عادةً ما يتم ذلك مع أجهزة التخزين مثل محركات الأقراص الصلبة، وغالبًا ما يُشار إليه بالتحرير. المسح يتجاوز التحرير ويُعرف أيضًا بالكتابة فوق (أو التمزيق)، وفي المسح، تُستبدل البيانات التي كانت هناك بشيء آخر ثم تُزال، بهذه الطريقة، إذا استُعيدت البيانات بطريقة ما، فإن ما يعود هو البيانات التي كُتبت فوقها بدلاً من البيانات الأصلية. أبسط تقنية للكتابة فوق تكتب نمطًا من الأصفار فوق البيانات الأصلية.
تنفيذ الأمن المادي (Implementing Physical Security):
الأمن المادي هو مزيج من الفطرة السليمة والإجراءات، والغرض من الأمن المادي هو تقييد الوصول إلى معدات الشبكة فقط للأشخاص الذين يحتاجون إليها.
مدى إمكانية تنفيذ تدابير الأمن المادي لحماية أجهزة الشبكة والبيانات يعتمد بشكل كبير على موقعها، على سبيل المثال، إذا تم تثبيت خادم في خزانة موجودة في منطقة مكتبية عامة، فإن الحماية المادية العملية الوحيدة هي التأكد من أن باب الخزانة مغلق وأن الوصول إلى مفاتيح الخزانة مسيطر عليه. قد يكون استخدام أجهزة مكافحة السرقة الأخرى عمليًا، لكن ذلك يعتمد على موقع الخزانة.
ومع ذلك، إذا كانت معدات الخادم موجودة في خزانة أو غرفة مخصصة، فإن قيود الوصول إلى الغرفة أسهل في التنفيذ ويمكن أن تكون أكثر فعالية. مرة أخرى، يجب أن يقتصر الوصول فقط على من يحتاج إليه، واعتمادًا على حجم الغرفة، قد يقدم هذا الأمر عددًا من العوامل الأخرى.
الخوادم والمكونات الشبكية الرئيسية الأخرى هي تلك التي تحتاج إلى تطبيق أعلى مستوى من الأمن المادي عليها، في الوقت الحاضر، تختار معظم المنظمات وضع الخوادم في خزانة أو غرفة معينة.
يجب التحكم بشدة في الوصول إلى غرفة الخادم، ويجب تأمين جميع أبواب الوصول بطريقة ما، سواء كان ذلك بقفل ومفتاح أو نظام مسح شبكية العين، كل طريقة من طرق التحكم في الوصول إلى غرفة الخادم لها خصائص معينة. أيا كانت طريقة الوصول إلى غرفة الخادم، يجب أن تتبع مبدأ واحد مشترك: التحكم. بعض طرق التحكم في الوصول توفر تحكمًا أكثر من غيرها.
القفل والمفتاح (Lock and Key):
إذا كان الوصول يتم التحكم فيه باستخدام القفل والمفتاح، فيجب تقييد عدد الأشخاص الذين لديهم مفتاح ليشمل فقط أولئك الذين يحتاجون إلى الوصول. يجب تخزين المفاتيح الاحتياطية في مكان آمن والتحكم في الوصول إليها.
فيما يلي بعض ميزات أمان القفل والمفتاح:
- غير مكلف: حتى نظام القفل الجيد يكلف بضع مئات من الدولارات.
- سهل الصيانة: بدون أنظمة خلفية وبدون إعدادات، يعد استخدام القفل والمفتاح أسهل طريقة للتحكم في الوصول.
- أقل تحكمًا من الطرق الأخرى: يمكن فقدان المفاتيح، نسخها، وإعارتها للآخرين. لا يوجد سجل للوصول إلى غرفة الخادم ولا وسيلة لإثبات أن حامل المفتاح يحق له الدخول.
نصيحة
إذا كنت تستخدم القفل والمفتاح للأمان، تأكد من أن جميع نسخ المفتاح الأصلي مختومة بعبارة "DO NOT COPY". بهذه الطريقة، يكون من الصعب على شخص ما الحصول على نسخة لأن صانعي المفاتيح المحترمين لن يقوموا بعمل نسخ من هذه المفاتيح.
بطاقة التمرير وPIN:
إذا سمحت الميزانيات والسياسات، فإن أنظمة دخول بطاقة التمرير وPIN هي خيارات جيدة لإدارة الوصول المادي إلى غرفة الخادم. تستخدم أنظمة بطاقة التمرير بطاقة بلاستيكية بحجم بطاقة الائتمان يتم قراءتها بواسطة قارئ خارج الباب، للدخول إلى غرفة الخادم، يجب عليك تمرير البطاقة (تشغيلها عبر القارئ)، في هذه المرحلة يتم قراءتها بواسطة القارئ الذي يقوم بالتحقق منها. عادةً، يتم تسجيل استخدام بطاقة التمرير للدخول إلى الغرفة بواسطة نظام البطاقة، مما يجعل من الممكن فحص السجلات. في التركيبات ذات الأمان العالي، من الشائع وجود قارئ بطاقة تمرير داخل الغرفة أيضًا حتى يمكن تسجيل خروج الشخص.
على الرغم من أن أنظمة بطاقة التمرير لها عيوب قليلة نسبيًا، إلا أنها تحتاج إلى معدات متخصصة حتى يمكن ترميزها بمعلومات المستخدمين. لديها أيضًا نفس عيوب المفاتيح من حيث أنها يمكن أن تضيع أو تُعار للآخرين. ومع ذلك، فإن الميزة التي تتمتع بها بطاقات التمرير على أنظمة المفاتيح هي أنها صعبة النسخ.
يمكن استخدام لوحات PIN وحدها أو مع نظام بطاقة التمرير. تتميز لوحات PIN بعدم الحاجة إلى أي نوع من البطاقات أو المفاتيح التي يمكن فقدانها. بالنسبة للموازنات المحدودة، يمكن شراء أنظمة لوحات PIN التي لا تحتوي على أي قدرة على التسجيل أو المراقبة بأسعار معقولة. فيما يلي بعض خصائص أنظمة بطاقات التمرير ولوحات PIN:
القياسات الحيوية (Biometrics):
على الرغم من أنها قد لا تزال تبدو مثل ما نراه في أفلام James Bond، فإن أنظمة الأمان البيومترية أصبحت أكثر شيوعًا، وتعمل الأنظمة البيومترية باستخدام بعض الخصائص الفريدة لهوية الشخص -مثل بصمة الإصبع، بصمة الكف، أو مسح الشبكية- للتحقق من هوية ذلك الشخص.
على الرغم من أن أسعار الأنظمة البيومترية قد انخفضت على مدار السنوات القليلة الماضية، إلا أنها لم تُنتشر على نطاق واسع في الشبكات الصغيرة والمتوسطة الحجم، ليس فقط الأنظمة نفسها مكلفة، بل يجب أيضًا مراعاة تكاليف تركيبها، إعدادها، وصيانتها. فيما يلي بعض خصائص أنظمة التحكم في الوصول البيومترية:
إذا سمحت الميزانيات والسياسات، فإن أنظمة دخول بطاقة التمرير وPIN هي خيارات جيدة لإدارة الوصول المادي إلى غرفة الخادم. تستخدم أنظمة بطاقة التمرير بطاقة بلاستيكية بحجم بطاقة الائتمان يتم قراءتها بواسطة قارئ خارج الباب، للدخول إلى غرفة الخادم، يجب عليك تمرير البطاقة (تشغيلها عبر القارئ)، في هذه المرحلة يتم قراءتها بواسطة القارئ الذي يقوم بالتحقق منها. عادةً، يتم تسجيل استخدام بطاقة التمرير للدخول إلى الغرفة بواسطة نظام البطاقة، مما يجعل من الممكن فحص السجلات. في التركيبات ذات الأمان العالي، من الشائع وجود قارئ بطاقة تمرير داخل الغرفة أيضًا حتى يمكن تسجيل خروج الشخص.
على الرغم من أن أنظمة بطاقة التمرير لها عيوب قليلة نسبيًا، إلا أنها تحتاج إلى معدات متخصصة حتى يمكن ترميزها بمعلومات المستخدمين. لديها أيضًا نفس عيوب المفاتيح من حيث أنها يمكن أن تضيع أو تُعار للآخرين. ومع ذلك، فإن الميزة التي تتمتع بها بطاقات التمرير على أنظمة المفاتيح هي أنها صعبة النسخ.
يمكن استخدام لوحات PIN وحدها أو مع نظام بطاقة التمرير. تتميز لوحات PIN بعدم الحاجة إلى أي نوع من البطاقات أو المفاتيح التي يمكن فقدانها. بالنسبة للموازنات المحدودة، يمكن شراء أنظمة لوحات PIN التي لا تحتوي على أي قدرة على التسجيل أو المراقبة بأسعار معقولة. فيما يلي بعض خصائص أنظمة بطاقات التمرير ولوحات PIN:
- تكلفة متوسطة: بعض الأنظمة، خصوصًا تلك ذات قدرات الإدارة، تكون مكلفة للغاية.
- تحكم محسّن وتسجيل: في كل مرة يدخل فيها الأشخاص إلى غرفة الخادم، يجب عليهم إدخال رقم أو استخدام بطاقة التمرير. تتيح هذه العملية للأنظمة تسجيل من يدخل ومتى.
- بعض المعرفة الإضافية المطلوبة: تحتاج أنظمة بطاقات التمرير إلى برامج وأجهزة متخصصة لتكوين البطاقات. يجب على شخص ما تعلم كيفية تكوينها.
القياسات الحيوية (Biometrics):
على الرغم من أنها قد لا تزال تبدو مثل ما نراه في أفلام James Bond، فإن أنظمة الأمان البيومترية أصبحت أكثر شيوعًا، وتعمل الأنظمة البيومترية باستخدام بعض الخصائص الفريدة لهوية الشخص -مثل بصمة الإصبع، بصمة الكف، أو مسح الشبكية- للتحقق من هوية ذلك الشخص.
على الرغم من أن أسعار الأنظمة البيومترية قد انخفضت على مدار السنوات القليلة الماضية، إلا أنها لم تُنتشر على نطاق واسع في الشبكات الصغيرة والمتوسطة الحجم، ليس فقط الأنظمة نفسها مكلفة، بل يجب أيضًا مراعاة تكاليف تركيبها، إعدادها، وصيانتها. فيما يلي بعض خصائص أنظمة التحكم في الوصول البيومترية:
- فعالة جدًا: لأن كل شخص يدخل الغرفة يجب أن يقدم دليلًا على هويته، يكون التحقق من الشخص الذي يدخل منطقة الخادم موثوقًا بنسبة تصل إلى 100%.
- لا شيء يمكن فقدانه: لأنه لا توجد بطاقات أو مفاتيح، لا يمكن فقدان أي شيء.
- مكلفة: أنظمة الأمان البيومترية وأجهزة المسح والبرامج المرتبطة بها لا تزال مكلفة نسبيًا ولا يمكن تحملها إلا من قبل المنظمات ذات الميزانيات الكبيرة؛ ومع ذلك، من المؤكد أن الأسعار ستنخفض مع توجه المزيد من الأشخاص إلى هذه الطريقة للتحكم في الوصول.
المصادقة بعاملين ومتعددة العوامل (Two-Factor and Multifactor Authentication):
عند تضمين طريقتين أو أكثر للوصول كجزء من عملية المصادقة، فأنت تنفذ نظامًا متعدد العوامل. يُشار إلى النظام الذي يستخدم أي عنصرين -مثل البطاقات الذكية وكلمات المرور- كنظام مصادقة بعاملين. يمكن أن يتكون النظام متعدد العوامل من نظام بعاملين، نظام بثلاثة عوامل، وهكذا، طالما أن أكثر من عامل واحد متضمن في عملية المصادقة، فإنه يُعتبر نظامًا متعدد العوامل.
لأسباب واضحة، يجب ألا تكون العوامل المستخدمة من نفس الفئة. على الرغم من أنك تزيد من صعوبة الوصول إلى النظام عن طريق طلب إدخال المستخدم لمجموعتين من اسم المستخدم/كلمة المرور، يفضل إقران مجموعة واحدة من اسم المستخدم/كلمة المرور مع معرف بيومتري أو تحقق آخر.
ملاحظة
تأكد من فهمك أن المصادقة بعاملين هي جزء فرعي من المصادقة متعددة العوامل.
تنبيه امتحان
من المؤكد أنك ستواجه أسئلة حول البروتوكولات الآمنة ومتى يمكن استخدامها، راجع الجدول قبل إجراء اختبار Network Plus.
أفضل ممارسات الحماية (Secured Versus Unsecured Protocols):
بالإضافة إلى تأمين أجهزة الشبكة ماديًا واختيار تشغيل البروتوكولات الآمنة بدلاً من البروتوكولات غير الآمنة، يجب على المسؤول اتباع الخطوات التالية لتحسين حماية الشبكة:
بالإضافة إلى تأمين أجهزة الشبكة ماديًا واختيار تشغيل البروتوكولات الآمنة بدلاً من البروتوكولات غير الآمنة، يجب على المسؤول اتباع الخطوات التالية لتحسين حماية الشبكة:
- استخدام SNMP الآمن: يجمع بروتوكول إدارة الشبكة البسيط (SNMP) الكثير من البيانات التي قد تكون ذات قيمة لمن يحاول اختراق الشبكة. يحمي SNMP الآمن باستخدام SNMPv3 البيانات بشكل أفضل عن طريق الانتقال من المنافذ 161 و162 إلى 10161 و10162 وتمكين المصادقة الآمنة والتواصل بين مدير SNMP والوكيل.
- تكوين حماية إعلانات الموجه: مع IPv6، ترسل الموجهات رسائل متعددة البث (إعلانات الموجه) للإعلان عن توفرها والمعلومات المرتبطة بها. تُستخدم هذه المعلومات بواسطة بروتوكول اكتشاف الجيران (NDP) لاكتشاف ما هو متاح وتكوينه وفقًا لذلك. تكمن المشكلة في أن الرسائل غير مؤمنة، مما يجعلها عرضة للتزوير. لزيادة الأمان، يمكنك تكوين حماية إعلانات الموجه (RA) لحماية الشبكة من رسائل RA التي تُولدها الموجهات غير المصرح بها (rogues) التي تحاول الانضمام إلى الشبكة.
- استخدام أمان المنافذ وDynamic ARP: يعمل أمان المنافذ في الطبقة الثانية من نموذج OSI ويسمح للمسؤول بتكوين منافذ التبديل بحيث لا يمكن استخدامها إلا من قبل عناوين MAC معينة. هذه ميزة شائعة في مفاتيح Cisco’s Catalyst وJuniper’s EX Series وتفرق بشكل أساسي بين المفاتيح البسيطة والمفاتيح المدارة (أو الذكية). وبالمثل، يعمل الفحص الديناميكي لبروتوكول ARP (DAI) مع هذه المفاتيح الذكية وغيرها لحماية المنافذ من تزوير ARP.
- تنفيذ التحكم في مستوى التحكم: تتضمن العديد من الموجهات والمفاتيح ميزة التحكم في مستوى التحكم التي تتيح لك تكوين مرشح جودة الخدمة (QoS) للحماية من هجمات DoS. عند التمكين، يمكن لمستوى التحكم (CP) الاستمرار في توجيه الحزم رغم الهجوم أو حمل المرور الثقيل غير العادي على الموجه/المفتاح.
- استخدام الشبكات المحلية الخاصة: تُعرف أيضًا بالعزل المنفذي، إنشاء شبكة محلية خاصة هو طريقة لتقييد منافذ التبديل (التي تسمى الآن المنافذ الخاصة) بحيث يمكنها التواصل فقط مع وصلة معينة. عادةً ما تحتوي الشبكة المحلية الخاصة على العديد من المنافذ الخاصة ووصلة واحدة فقط، والتي تكون عادة متصلة بموجه أو جدار ناري.
- تعطيل المنافذ غير الضرورية: تعطيل الخدمات غير الضرورية يزيد من الأمان بإزالة الأبواب التي يمكن أن يستخدمها شخص ما للدخول إلى الخادم. وبالمثل، تمثل منافذ IP غير الضرورية للأجهزة أبوابًا يمكن استخدامها للتسلل. يُوصى بشدة بتعطيل المنافذ غير المستخدمة لزيادة الأمان جنبًا إلى جنب مع منافذ الأجهزة (المنافذ المادية والافتراضية).
- تعطيل الخدمات غير الضرورية: كل خدمة غير ضرورية تعمل على خادم تشبه بابًا آخر في مستودع قد يختار شخص غير مصرح له التسلل من خلاله. تمامًا كما أن الطريقة الفعالة لتأمين المستودع هي تقليل عدد الأبواب إلى تلك المطلوبة فقط، يُوصى أيضًا بتأمين الخادم بإزالة (تعطيل) الخدمات غير المستخدمة.
- تغيير كلمات المرور الافتراضية: أسهل طريقة لأي شخص غير مصرح له للوصول إلى جهاز هي استخدام بيانات الاعتماد الافتراضية. على سبيل المثال، تأتي العديد من الموجهات مُكونة بحساب "admin" وقيمة بسيطة لكلمة المرور ("admin"، "password"، وما إلى ذلك). أي شخص يمتلك أحد تلك الموجهات يعرف تلك القيم ويمكنه استخدامها للوصول إلى أي جهاز آخر من نفس النوع إذا لم يتم تغيير القيم. لجعل من الصعب على المستخدمين غير المصرح لهم الوصول إلى أجهزتك، غيّر أسماء المستخدم وكلمات المرور الافتراضية بمجرد البدء في استخدامها.
- تجنب كلمات المرور الشائعة وزيادة التعقيد: من الجيد أن تنصح المستخدمين بأمان كلمة المرور، ولكن غالبًا ما يكون المسؤولون مذنبين باستخدام كلمات مرور بسيطة للغاية على أجهزة الشبكة مثل الموجهات والمفاتيح وما شابه. نظرًا لعدد الأجهزة الكبير، أحيانًا تُستخدم نفس كلمات المرور على أجهزة متعددة. الفطرة السليمة تخبر كل مسؤول أن هذا النهج خاطئ، ولكن غالبًا ما يُنفذ على أمل ألا يحاول شخص شرير الوصول غير المصرح. لا تكن ذلك المسؤول: استخدم كلمات مرور معقدة، بطول ملحوظ، واستخدم كلمة مرور مختلفة لكل جهاز، مما يزيد من أمان شبكتك العامة.
- تمكين DHCP snooping: كما ذُكر عند مناقشة خوادم DHCP المارقة سابقًا في هذا الفصل، يُعتبر DHCP snooping أمرًا جيدًا. إنه يوفر طريقة للمفتاح لفحص الحزم وإسقاط حركة مرور DHCP التي يحدد أنها غير مقبولة بناءً على مجموعة من القواعد المحددة لمنع خوادم DHCP المارقة من تقديم عناوين IP للعملاء.
- تغيير VLAN الافتراضية: على المفاتيح، تكون VLAN الأصلية هي VLAN الوحيدة التي لا يتم تمييزها في trunk. هذا يعني أن إطارات VLAN الأصلية تُنقل دون تغيير. افتراضيًا، تكون VLAN الأصلية هي المنفذ 1، وهذا الافتراض يمثل ضعفًا لأنه شيء معروف عن شبكتك يمكن أن يستخدمه المهاجم. لتعزيز الأمان، حتى لو كان بشكل بسيط، يمكنك تغيير VLAN الأصلية إلى منفذ آخر. تعتمد الأوامر المستخدمة للقيام بذلك على المورد وطراز المفتاح الخاص بك ولكن يمكن العثور عليها بسهولة عبر الإنترنت.
- استخدام إدارة التصحيحات والبرامج الثابتة: هناك سبب لكتابة كل تحديث للبرامج الثابتة. أحيانًا، يكون ذلك لتحسين أداء الجهاز أو جعله أكثر توافقًا مع الأجهزة الأخرى. أحيانًا أخرى، يكون لإصلاح مشكلات الأمان و/أو التصدي للمشاكل المحددة. حافظ على تحديث البرامج الثابتة على أجهزتك بعد اختبار التحديثات على الأجهزة التجريبية والتحقق من أنك لا تُدخل أي مشاكل غير مرغوبة بالتثبيت. كما تهدف تحديثات البرامج الثابتة إلى تعزيز الأمان أو حل المشاكل، تفعل التصحيحات والتحديثات نفس الشيء مع البرامج (بما في ذلك أنظمة التشغيل). اختبر كل إصدار على الأجهزة التجريبية للتأكد من أنك لا تضيف مشاكل جديدة، ثم حافظ على تحديث برامجك لتقويتها.
- وضع قائمة التحكم في الوصول: تمت مناقشتها بتفصيل في هذا الفصل، التحكم في الوصول ضروري لتقييد من يمكنه الوصول إلى الموارد لأولئك الذين يجب أن يكون لهم حق الوصول وبالتالي حماية تلك الموارد. تمكّن قوائم التحكم في الوصول (ACLs) الأجهزة في شبكتك من تجاهل الطلبات من المستخدمين أو الأنظمة المحددة أو منحهم الوصول إلى قدرات الشبكة المعينة. قد تجد أن عنوان IP معينًا يقوم بمسح شبكتك باستمرار، ويمكنك حظر هذا العنوان عند الموجه وسيرفض العنوان تلقائيًا في كل مرة يحاول استخدام شبكتك.
- تطبيق الوصول بناءً على الأدوار: يُوصى بتطبيق الوصول بناءً على الأدوار حيثما أمكن. تم مناقشة الفرق بين هذا النهج والنهج الأخرى سابقًا في هذا الفصل.
- فرض قواعد الجدار الناري: تُستخدم قواعد الجدار الناري لتحديد ما إذا كان يمكن تمرير حركة المرور بين الجدار الناري والشبكة الداخلية. يمكن اتخاذ ثلاث إجراءات استنادًا إلى معايير القاعدة: حظر الاتصال (منع صريح)، قبول الاتصال، أو السماح بالاتصال إذا تم استيفاء الشروط (مثل تأمينه). إن الشرط الأخير هو الأصعب تكوينًا، وعادة ما تنتهي الشروط ببند منع ضمني. يعني بند المنع الضمني أنه إذا لم يتم منح الشرط المحدد صراحةً، يُرفض الوصول.
ملاحظة:
حيثما وجد، يأخذ المنع الصريح الأولوية على جميع الإعدادات الأخرى.
- التحقق من الهاشات: يُستخدم الهاش للتحقق من أن محتويات الملفات لم تتغير. غالبًا ما يتم إنشاء هاش على ملف قبل تنزيله ثم يُهاش بعد التنزيل حتى يمكن مقارنة القيمتين للتأكد من أن المحتويات هي نفسها. عند تنزيل الملفات -خاصة التحديثات، التصحيحات، والتحديثات- تحقق من قيم الهاش واستخدم هذا الاختبار لمنع تثبيت الكيانات التي تم إرفاقها بأحصنة طروادة.
- إنشاء مفاتيح جديدة: تُستخدم المفاتيح كجزء من عملية التشفير، خاصةً مع البنية التحتية للمفاتيح العامة (PKI)، لتشفير وفك تشفير الرسائل. كلما استخدمت نفس المفتاح لفترة أطول، زادت الفرصة لشخص ما لاختراق ذلك المفتاح. لزيادة الأمان، أنشئ مفاتيح جديدة بانتظام: ستختلف الأوامر التي يجب تنفيذ
ها بناءً على الأداة التي تُنشئ المفاتيح من أجلها.
نصيحة أختبار:
معظم العناصر التي تظهر في القائمة السابقة هي المواضيع تحت الهدف 4.3؛ تأكد من معرفتها للامتحان.
أمان الشبكات اللاسلكية (Wireless Security):
تقوم الأنظمة اللاسلكية بنقل البيانات عبر الهواء ويمكن أن يكون تأمينها أصعب بكثير من الأنظمة المعتمدة على الأسلاك التي يمكن حمايتها ماديًا، ويخلق نمو الأنظمة اللاسلكية في كل مكان عمل ومنزل العديد من الفرص للمهاجمين الذين يبحثون عن إشارات يمكن اعتراضها بسهولة، تناقش هذه الفقرة أنواعًا مختلفة من الأنظمة اللاسلكية التي من المحتمل أن تواجهها وبعض قضايا الأمان المرتبطة بهذه التقنية.
تصفية عناوين MAC:
لزيادة أمان الشبكة اللاسلكية، تتيح لك بعض نقاط الوصول (APs) تكوين تصفية عناوين MAC والوصول الخاص بالضيوف، وتمكّنك تصفية عناوين MAC من تحديد الوصول إلى الأجهزة المحددة فقط. يستخدم الوصول الخاص بالضيوف كلمة مرور واسم شبكة مختلفين، مما يتيح للزوار استخدام الإنترنت دون الوصول إلى بقية الشبكة (وبالتالي تجنب الوصول إلى بياناتك وأجهزتك).
تنبيه امتحان:
تقوم الأنظمة اللاسلكية بنقل البيانات عبر الهواء ويمكن أن يكون تأمينها أصعب بكثير من الأنظمة المعتمدة على الأسلاك التي يمكن حمايتها ماديًا، ويخلق نمو الأنظمة اللاسلكية في كل مكان عمل ومنزل العديد من الفرص للمهاجمين الذين يبحثون عن إشارات يمكن اعتراضها بسهولة، تناقش هذه الفقرة أنواعًا مختلفة من الأنظمة اللاسلكية التي من المحتمل أن تواجهها وبعض قضايا الأمان المرتبطة بهذه التقنية.
تصفية عناوين MAC:
لزيادة أمان الشبكة اللاسلكية، تتيح لك بعض نقاط الوصول (APs) تكوين تصفية عناوين MAC والوصول الخاص بالضيوف، وتمكّنك تصفية عناوين MAC من تحديد الوصول إلى الأجهزة المحددة فقط. يستخدم الوصول الخاص بالضيوف كلمة مرور واسم شبكة مختلفين، مما يتيح للزوار استخدام الإنترنت دون الوصول إلى بقية الشبكة (وبالتالي تجنب الوصول إلى بياناتك وأجهزتك).
تنبيه امتحان:
تأكد من فهمك لغرض تصفية عناوين MAC وأن هذا يعمل بنفس الطريقة سواء كانت الشبكة سلكية أو لاسلكية.
وضع الهوائي ومستويات الطاقة (Antenna Placement and Power Levels):
يمكن أن يكون وضع الهوائي حاسمًا في السماح للعملاء بالوصول إلى نقطة الوصول، ولا توجد حل عالمي لهذه المسألة، ويعتمد على البيئة التي تُوضع فيها نقطة الوصول كقاعدة عامة، كلما زادت المسافة التي يجب أن يقطعها الإشارة، كلما زادت التوهين، ولكن يمكنك فقدان الإشارة بسرعة على مسافة قصيرة أيضًا إذا كانت مواد البناء تعكس أو تمتص الإشارة يجب عليك تجنب وضع نقاط الوصول بالقرب من المعادن (بما في ذلك الأجهزة) أو بالقرب من الأرض. يوصى بوضعها في وسط المنطقة المراد خدمتها ورفعها بدرجة كافية لتجنب معظم العوائق، في حالة أن الإشارة تنتقل لمسافة بعيدة جدًا، تشتمل بعض نقاط الوصول على تحكم في مستوى الطاقة، مما يتيح لك تقليل كمية الطاقة المرسلة. يمكن استخدام كل من خريطة الحرارة ومسح الموقع لتحسين وضع الهوائي اللاسلكي.
العزل (Isolation):
كما يوحي الاسم، العزل هو عملية منع شيء ما من التواصل مع الآخرين. يمكن القيام بذلك على شبكة لاسلكية بعميل واحد (عزل العميل اللاسلكي) أو شبكة ضيف (عزل شبكة الضيف)، وفي الحالة الأخيرة، لا يمكن لمستخدم الضيف رؤية أي أجهزة أخرى متصلة رغم تسجيل دخوله إلى الشبكة. تتيح معظم أجهزة التوجيه اللاسلكية إنشاء شبكة خاصة في كل تردد وبالتالي تمكين المستخدمين المؤقتين (الضيوف) من الوصول إلى الإنترنت وملفاتهم دون تعريض موارد الشبكة الأخرى للخطر.
المفاتيح المشتركة مسبقًا (Preshared Keys):
أثناء عملية المصادقة، تُطبق تدابير الأمان القائمة على المفاتيح قبل أن يتمكن الاتصال من الحدوث. في العديد من نقاط الوصول، يمكن ضبط المصادقة إما على المصادقة بمفتاح مشترك أو المصادقة المفتوحة. الإعداد الافتراضي لنقاط الوصول القديمة عادةً هو المصادقة المفتوحة. تتيح المصادقة المفتوحة الوصول فقط باستخدام SSID و/أو مفتاح WEP الصحيح لنقطة الوصول. المشكلة في المصادقة المفتوحة هي أنه إذا لم يكن لديك آليات حماية أو مصادقة أخرى، فإن شبكتك اللاسلكية تكون مفتوحة تمامًا للمخترقين. عندما يتم ضبطها على وضع المفتاح المشترك، يجب على العميل تلبية متطلبات الأمان قبل أن يتمكن من الاتصال بنقطة الوصول.
وضع المفتاح المشترك يتطلب أن يتم تكوين مفتاح WEP على كل من نظام العميل ونقطة الوصول. هذا يجعل المصادقة باستخدام WEP-Shared إلزامية، لذا فهي أكثر أمانًا لنقل البيانات اللاسلكية. WPA-PSK، الذي يرمز إلى Wi-Fi Protected Access with Preshared Key، هو شكل أقوى من التشفير حيث تُغير المفاتيح وتُصادق تلقائيًا بين الأجهزة بعد فترة زمنية محددة أو بعد عدد محدد من الحزم المرسلة.
ملاحظة
يمكن أن يكون وضع الهوائي حاسمًا في السماح للعملاء بالوصول إلى نقطة الوصول، ولا توجد حل عالمي لهذه المسألة، ويعتمد على البيئة التي تُوضع فيها نقطة الوصول كقاعدة عامة، كلما زادت المسافة التي يجب أن يقطعها الإشارة، كلما زادت التوهين، ولكن يمكنك فقدان الإشارة بسرعة على مسافة قصيرة أيضًا إذا كانت مواد البناء تعكس أو تمتص الإشارة يجب عليك تجنب وضع نقاط الوصول بالقرب من المعادن (بما في ذلك الأجهزة) أو بالقرب من الأرض. يوصى بوضعها في وسط المنطقة المراد خدمتها ورفعها بدرجة كافية لتجنب معظم العوائق، في حالة أن الإشارة تنتقل لمسافة بعيدة جدًا، تشتمل بعض نقاط الوصول على تحكم في مستوى الطاقة، مما يتيح لك تقليل كمية الطاقة المرسلة. يمكن استخدام كل من خريطة الحرارة ومسح الموقع لتحسين وضع الهوائي اللاسلكي.
العزل (Isolation):
كما يوحي الاسم، العزل هو عملية منع شيء ما من التواصل مع الآخرين. يمكن القيام بذلك على شبكة لاسلكية بعميل واحد (عزل العميل اللاسلكي) أو شبكة ضيف (عزل شبكة الضيف)، وفي الحالة الأخيرة، لا يمكن لمستخدم الضيف رؤية أي أجهزة أخرى متصلة رغم تسجيل دخوله إلى الشبكة. تتيح معظم أجهزة التوجيه اللاسلكية إنشاء شبكة خاصة في كل تردد وبالتالي تمكين المستخدمين المؤقتين (الضيوف) من الوصول إلى الإنترنت وملفاتهم دون تعريض موارد الشبكة الأخرى للخطر.
المفاتيح المشتركة مسبقًا (Preshared Keys):
أثناء عملية المصادقة، تُطبق تدابير الأمان القائمة على المفاتيح قبل أن يتمكن الاتصال من الحدوث. في العديد من نقاط الوصول، يمكن ضبط المصادقة إما على المصادقة بمفتاح مشترك أو المصادقة المفتوحة. الإعداد الافتراضي لنقاط الوصول القديمة عادةً هو المصادقة المفتوحة. تتيح المصادقة المفتوحة الوصول فقط باستخدام SSID و/أو مفتاح WEP الصحيح لنقطة الوصول. المشكلة في المصادقة المفتوحة هي أنه إذا لم يكن لديك آليات حماية أو مصادقة أخرى، فإن شبكتك اللاسلكية تكون مفتوحة تمامًا للمخترقين. عندما يتم ضبطها على وضع المفتاح المشترك، يجب على العميل تلبية متطلبات الأمان قبل أن يتمكن من الاتصال بنقطة الوصول.
وضع المفتاح المشترك يتطلب أن يتم تكوين مفتاح WEP على كل من نظام العميل ونقطة الوصول. هذا يجعل المصادقة باستخدام WEP-Shared إلزامية، لذا فهي أكثر أمانًا لنقل البيانات اللاسلكية. WPA-PSK، الذي يرمز إلى Wi-Fi Protected Access with Preshared Key، هو شكل أقوى من التشفير حيث تُغير المفاتيح وتُصادق تلقائيًا بين الأجهزة بعد فترة زمنية محددة أو بعد عدد محدد من الحزم المرسلة.
ملاحظة
إحدى تطبيقات WPA تعرف بـ WPA2 Personal، ويستخدم هذا التطبيق مفتاحًا مشتركًا مسبقًا (PSK)، في حين يتطلب WPA2 Enterprise خادم مصادقة. WPA3 هو معيار أحدث قيد الاستخدام اليوم، ويستخدم Simultaneous Authentication of Equals (SAE) بدلاً من PSK، مما يتيح للمستخدمين اختيار كلمات مرور أسهل للتذكر. فائدة إضافية هي أن WPA3 باستخدام forward secrecy لا يعرض حركة المرور التي تم نقلها بالفعل للخطر حتى إذا تم اختراق كلمة المرور نفسها.
Geofencing:
يمكن استخدام أي تقنية لاسلكية، لكن عادةً GPS وأحيانًا RFID، لإنشاء حدود جغرافية افتراضية، تُعرف هذه الحدود بـ geofence، بعد تحديد تلك الحدود، يمكن استخدام البرمجيات لتحفيز استجابة عندما يدخل جهاز ما أو يغادر تلك المنطقة. يمكن، على سبيل المثال، تكوين قسم من السوبر ماركت لإرسال رمز قسيمة نصيًا إلى هواتف iPhone للحصول على خصم على شراء الحليب لأي هاتف يأتي ضمن 10 أقدام من قسم الألبان.
يمكن استخدام تكنولوجيا مشابهة لأخذ الحضور في الفصول الدراسية، في موقع الاجتماع، وما إلى ذلك. بما أن الأحداث يمكن تحفيزها ليس فقط عند دخول منطقة ولكن أيضًا عند مغادرتها، يمكن استخدام هذه التقنية لإرسال رسالة إلى الآباء إذا غادر طفل المنطقة الافتراضية المحددة، وما إلى ذلك. لا تزال التقنية في بداياتها، ومن المتوقع أن تزداد قبولاً وتطبيقًا خلال السنوات القليلة القادمة.
نصيحة أختبار:
يمكن استخدام أي تقنية لاسلكية، لكن عادةً GPS وأحيانًا RFID، لإنشاء حدود جغرافية افتراضية، تُعرف هذه الحدود بـ geofence، بعد تحديد تلك الحدود، يمكن استخدام البرمجيات لتحفيز استجابة عندما يدخل جهاز ما أو يغادر تلك المنطقة. يمكن، على سبيل المثال، تكوين قسم من السوبر ماركت لإرسال رمز قسيمة نصيًا إلى هواتف iPhone للحصول على خصم على شراء الحليب لأي هاتف يأتي ضمن 10 أقدام من قسم الألبان.
يمكن استخدام تكنولوجيا مشابهة لأخذ الحضور في الفصول الدراسية، في موقع الاجتماع، وما إلى ذلك. بما أن الأحداث يمكن تحفيزها ليس فقط عند دخول منطقة ولكن أيضًا عند مغادرتها، يمكن استخدام هذه التقنية لإرسال رسالة إلى الآباء إذا غادر طفل المنطقة الافتراضية المحددة، وما إلى ذلك. لا تزال التقنية في بداياتها، ومن المتوقع أن تزداد قبولاً وتطبيقًا خلال السنوات القليلة القادمة.
نصيحة أختبار:
تذكر أن هدف geofencing هو وجود حدود محددة ثم القدرة على الاستجابة لما يدخل أو يغادر تلك المنطقة.
المدخل المحاصر (Captive Portal):
كما قد تتذكر من الفصل السادس "حلول وقضايا الشبكات اللاسلكية"، تستخدم معظم الشبكات العامة، بما في ذلك نقاط الاتصال Wi-Fi، مدخلًا محاصرًا، والذي يتطلب من المستخدمين الموافقة على بعض الشروط قبل استخدام الشبكة أو الإنترنت. يمكن أن تكون الشروط الموافقة على سياسة الاستخدام المقبول، أو دفع رسوم للاستخدام، وما إلى ذلك.
واحدة من أشهر تطبيقات المدخل المحاصر هي تطبيق Cisco في منصة Identity Services Engine. ومع ذلك، تم تحديد نقاط ضعف فيه تمكن المهاجمين من اعتراض القيم النصية.
اعتبارات الوصول لـ IoT:
مع إضافة الكثير من المستشعرات إلى الشبكات اليوم، يفتح إنترنت الأشياء (IoT) علبًا من الفرص الشبكية، ولكن كل منها يأتي مع مجموعة من قضايا الأمان الخاصة به، من منظور مسؤول الشبكة، من الأهمية بمكان أن تعامل هذه الأجهزة كأي مورد آخر متصل بالشبكة، وتظل مطلعًا على الثغرات الأمنية المكتشفة، وتقوم بالتصحيح عند الحاجة.
كما قد تتذكر من الفصل السادس "حلول وقضايا الشبكات اللاسلكية"، تستخدم معظم الشبكات العامة، بما في ذلك نقاط الاتصال Wi-Fi، مدخلًا محاصرًا، والذي يتطلب من المستخدمين الموافقة على بعض الشروط قبل استخدام الشبكة أو الإنترنت. يمكن أن تكون الشروط الموافقة على سياسة الاستخدام المقبول، أو دفع رسوم للاستخدام، وما إلى ذلك.
واحدة من أشهر تطبيقات المدخل المحاصر هي تطبيق Cisco في منصة Identity Services Engine. ومع ذلك، تم تحديد نقاط ضعف فيه تمكن المهاجمين من اعتراض القيم النصية.
اعتبارات الوصول لـ IoT:
مع إضافة الكثير من المستشعرات إلى الشبكات اليوم، يفتح إنترنت الأشياء (IoT) علبًا من الفرص الشبكية، ولكن كل منها يأتي مع مجموعة من قضايا الأمان الخاصة به، من منظور مسؤول الشبكة، من الأهمية بمكان أن تعامل هذه الأجهزة كأي مورد آخر متصل بالشبكة، وتظل مطلعًا على الثغرات الأمنية المكتشفة، وتقوم بالتصحيح عند الحاجة.
النهاية:
إنتهى الشق الثالث من الفصل التاسع ، تستطيع أن تعطينا رأيك في مجتمعنا من هنا.
