الفصل التاسع : Network Security
الجزء الرابع : #4
العنوان: Network Hardening and Physical Security
توجد عدة بروتوكولات مرتبطة بالتحكم عن بعد يجب أن تكون على دراية بها: Remote Desktop Protocol (RDP)، Secure Shell (SSH)، Virtual Network Computing (VNC)، وTelnet. يُستخدم RDP في بيئة Windows ويُعرف الآن باسم Remote Desktop Services (RDS)، يتيح هذا البروتوكول للنظام العميل الاتصال بالخادم، مثل Windows Server، واستخدامه كما لو كانت التطبيقات العميلة محلية. تُعرف هذه التهيئة بالحوسبة ذات العملاء الرقيقين، حيث تستخدم الأنظمة العميلة موارد الخادم بدلاً من قوة المعالجة المحلية.
منتجات Windows (الخادم والعميل) لديها دعم مدمج لاتصالات سطح المكتب البعيد. البروتوكول الأساسي المستخدم لإدارة الاتصال هو RDP، وهو بروتوكول منخفض النطاق الترددي يُستخدم لإرسال حركات الماوس، وضغطات المفاتيح، وصور الشاشة من الخادم إلى الكمبيوتر العميل، RDP لا يرسل البيانات فعلياً عبر الاتصال، بل يرسل فقط لقطات الشاشة وضغطات المفاتيح. يستخدم RDP المنافذ TCP وUDP 3389.
بناءً على RDP، يوفر Remote Desktop Gateway خدمة VPN عبر HTTPS باستخدام TCP 443 وUDP 3391. يتيح هذا للمستخدمين من خارج جدار الحماية للشركة الاتصال بموارد الشبكة الداخلية (مثل كمبيوتر العمل) من جهاز بعيد (كمبيوتر Windows، Mac، جهاز لوحي، هاتف ذكي، إلخ) باستخدام اتصال سطح المكتب البعيد من Microsoft، فائدة بوابة سطح المكتب البعيد هي أنها تزيد من الأمان عن طريق تغليف الجلسة بـTLS ولا تتطلب VPN.
SSH هو بروتوكول نفق تم إنشاؤه أصلاً لأنظمة UNIX/Linux. يستخدم التشفير لإنشاء اتصال آمن بين نظامين ويوفر تطبيقات بديلة مكافئة للأمان لبرامج مثل Telnet وFile Transfer Protocol (FTP) وTrivial File Transfer Protocol (TFTP) وتطبيقات أخرى موجهة للاتصالات. وعلى الرغم من توفره في أنظمة Windows وأنظمة تشغيل أخرى، إلا أنه الطريقة المفضلة للأمان لـTelnet والبرامج الأخرى التي تعتمد على النصوص الصافية في بيئة UNIX/Linux. يستخدم SSH المنفذ 22 وTCP للاتصالات.
يمكن لـVirtual Network Computing (VNC) تمكين تسجيل الدخول عن بُعد، حيث يمكن للعملاء الوصول إلى أجهزتهم المكتبية الخاصة بهم بينما يكونون بعيدين جسديًا عن أجهزتهم، بشكل افتراضي، يستخدم VNC المنفذ 5900، وهو ليس آمنًا للغاية.
يمكن لـTelnet فتح جلسات على جهاز مضيف عن بُعد ويعد أحد أقدم بروتوكولات TCP/IP المستخدمة حتى اليوم، في معظم الأنظمة، يتم حظر Telnet بسبب مشكلات الأمان (حيث لا يوفر أمانًا فعليًا)، ويُعتبر SSH بديلاً آمنًا لـTelnet يسمح بفتح جلسات آمنة على الجهاز المضيف البعيد.
نصيحة اختبار:
تأكد من معرفة المنافذ المرتبطة بـRDP (3389)، Telnet (23)، FTP (20، 21)، VNC (5900)، وSSH (22).
نصيحة أختبار:
البروتوكولات الموصوفة في هذا الفصل تمكن الوصول إلى الأنظمة البعيدة وتمكن المستخدمين من تشغيل التطبيقات على النظام باستخدام موارد هذا النظام. فقط واجهة المستخدم وضغطات المفاتيح وحركات الماوس تنتقل بين النظام العميل والكمبيوتر البعيد.
الوصول إلى الملفات عن بُعد (Remote File Access):
File Transfer Protocol (FTP) هو تطبيق يتيح الاتصالات بخوادم FTP لتحميل الملفات وتنزيلها، يستخدم FTP المنافذ 20 و21 افتراضيًا، يُستخدم لنقل الملفات بين المضيفين على الإنترنت، لكنه غير آمن بطبيعته، تم إصدار عدد من الخيارات لمحاولة إنشاء بروتوكول أكثر أمانًا، بما في ذلك FTP over SSL (FTPS) الذي يضيف دعمًا لتشفير SSL، وSSH File Transfer Protocol (SFTP) الذي يُعرف أيضًا بـSecure FTP.
أداة بديلة لنسخ الملفات هي Secure Copy (SCP) التي تستخدم المنفذ 22 افتراضيًا وتجمع بين برنامج النسخ البعيد القديم (RCP) من الأيام الأولى لـTCP/IP وSSH.
على النقيض من ذلك، من منظور الأمان، هناك Trivial File Transfer Protocol (TFTP) الذي يمكن تكوينه لنقل الملفات بين المضيفين دون أي تفاعل من المستخدم (وضع غير مراقب). ينبغي تجنبه في أي مكان توجد فيه بدائل أكثر أمانًا.
الشبكة الخاصة الافتراضية (Virtual Private Network):
الـVirtual Private Network (VPN) يغلف البيانات المشفرة داخل داتاجرام أخرى تحتوي على معلومات التوجيه، يتيح الاتصال بين جهازي كمبيوتر وإنشاء اتصال مخصص بين الجهازين، البيانات المشفرة تغلف داخل Point-to-Point Protocol (PPP)، ويستخدم هذا الاتصال لتسليم البيانات.
يمكن للـVPN تمكين المستخدمين الذين لديهم اتصال بالإنترنت من استخدام بنية الشبكة العامة للاتصال بالشبكة الرئيسية والوصول إلى الموارد كما لو كانوا مسجلين الدخول إلى الشبكة محليًا، كما يتيح الاتصال بين شبكتين بشكل آمن.
بشكل أبسط، يمتد الـVPN بشبكة محلية (LAN) عن طريق إنشاء اتصال عن بُعد باستخدام شبكة عامة مثل الإنترنت. يوفر الـVPN رابطًا مخصصًا بين نقطتين عبر شبكة IP العامة.
بالنسبة للعديد من الشركات، يوفر رابط الـVPN الطريقة المثالية لتوسيع قدرات الشبكة وتقليل التكاليف، وباستخدام الشبكة العامة (الإنترنت)، لا تحتاج الشركة إلى الاعتماد على الخطوط المستأجرة الخاصة المكلفة لتوفير الوصول إلى الشبكة للشركة لمستخدميها البعيدين، باستخدام الإنترنت لتسهيل الاتصال البعيد، يمكن لـVPN توفير الاتصال الشبكي عبر مسافة مادية طويلة، بهذا المعنى، يعد الـVPN شكلًا من أشكال الشبكة الواسعة (WAN).
ملاحظة:
File Transfer Protocol (FTP) هو تطبيق يتيح الاتصالات بخوادم FTP لتحميل الملفات وتنزيلها، يستخدم FTP المنافذ 20 و21 افتراضيًا، يُستخدم لنقل الملفات بين المضيفين على الإنترنت، لكنه غير آمن بطبيعته، تم إصدار عدد من الخيارات لمحاولة إنشاء بروتوكول أكثر أمانًا، بما في ذلك FTP over SSL (FTPS) الذي يضيف دعمًا لتشفير SSL، وSSH File Transfer Protocol (SFTP) الذي يُعرف أيضًا بـSecure FTP.
أداة بديلة لنسخ الملفات هي Secure Copy (SCP) التي تستخدم المنفذ 22 افتراضيًا وتجمع بين برنامج النسخ البعيد القديم (RCP) من الأيام الأولى لـTCP/IP وSSH.
على النقيض من ذلك، من منظور الأمان، هناك Trivial File Transfer Protocol (TFTP) الذي يمكن تكوينه لنقل الملفات بين المضيفين دون أي تفاعل من المستخدم (وضع غير مراقب). ينبغي تجنبه في أي مكان توجد فيه بدائل أكثر أمانًا.
الشبكة الخاصة الافتراضية (Virtual Private Network):
الـVirtual Private Network (VPN) يغلف البيانات المشفرة داخل داتاجرام أخرى تحتوي على معلومات التوجيه، يتيح الاتصال بين جهازي كمبيوتر وإنشاء اتصال مخصص بين الجهازين، البيانات المشفرة تغلف داخل Point-to-Point Protocol (PPP)، ويستخدم هذا الاتصال لتسليم البيانات.
يمكن للـVPN تمكين المستخدمين الذين لديهم اتصال بالإنترنت من استخدام بنية الشبكة العامة للاتصال بالشبكة الرئيسية والوصول إلى الموارد كما لو كانوا مسجلين الدخول إلى الشبكة محليًا، كما يتيح الاتصال بين شبكتين بشكل آمن.
بشكل أبسط، يمتد الـVPN بشبكة محلية (LAN) عن طريق إنشاء اتصال عن بُعد باستخدام شبكة عامة مثل الإنترنت. يوفر الـVPN رابطًا مخصصًا بين نقطتين عبر شبكة IP العامة.
بالنسبة للعديد من الشركات، يوفر رابط الـVPN الطريقة المثالية لتوسيع قدرات الشبكة وتقليل التكاليف، وباستخدام الشبكة العامة (الإنترنت)، لا تحتاج الشركة إلى الاعتماد على الخطوط المستأجرة الخاصة المكلفة لتوفير الوصول إلى الشبكة للشركة لمستخدميها البعيدين، باستخدام الإنترنت لتسهيل الاتصال البعيد، يمكن لـVPN توفير الاتصال الشبكي عبر مسافة مادية طويلة، بهذا المعنى، يعد الـVPN شكلًا من أشكال الشبكة الواسعة (WAN).
ملاحظة:
تستخدم العديد من الشركات الـVPN لتوفير طريقة فعالة من حيث التكلفة لإنشاء اتصال بين العملاء البعيدين وشبكة خاصة. وهناك أوقات أخرى يكون فيها رابط الـVPN مفيدًا. يمكنك أيضًا استخدام الـVPN للاتصال بين شبكة محلية خاصة وأخرى، والمعروفة بالـLAN-to-LAN internetworking. لأسباب أمنية، يمكنك استخدام الـVPN لتوفير الوصول المسيطر عليه داخل شبكة داخلية (Intranet). كتمرين، حاول رسم كيف يبدو الـVPN في هذين السيناريوهين.
مكونات اتصال الـVPN:
يتيح الـVPN لأي شخص لديه اتصال بالإنترنت استخدام بنية الشبكة العامة للاتصال بالشبكة الرئيسية والوصول إلى الموارد كما لو كان المستخدم مسجل الدخول إلى الشبكة محليًا. كما يتيح الاتصال بين شبكتين بشكل آمن.
تشمل العديد من العناصر المشاركة في إنشاء اتصال الـVPN، بما في ذلك ما يلي:
أصبحت الـVPNs شائعة لأنها تتيح استخدام الإنترنت العام كحل اتصال آمن لـWAN.
نصيحة أختبار:
يتيح الـVPN لأي شخص لديه اتصال بالإنترنت استخدام بنية الشبكة العامة للاتصال بالشبكة الرئيسية والوصول إلى الموارد كما لو كان المستخدم مسجل الدخول إلى الشبكة محليًا. كما يتيح الاتصال بين شبكتين بشكل آمن.
تشمل العديد من العناصر المشاركة في إنشاء اتصال الـVPN، بما في ذلك ما يلي:
- العميل VPN: هذا الكمبيوتر ي initiates الاتصال بالخادم VPN.
- الخادم VPN: هذا الخادم يصادق الاتصالات من العملاء VPN.
- طريقة الوصول: كما ذكرنا، يتم عادةً إنشاء الـVPN عبر شبكة عامة مثل الإنترنت؛ ومع ذلك، تستخدم بعض تطبيقات الـVPN شبكة داخلية خاصة. يجب أن تكون الشبكة المستخدمة تعتمد على IP.
- بروتوكولات الـVPN: هذه البروتوكولات مطلوبة لإنشاء وإدارة وتأمين البيانات عبر اتصال الـVPN. Point-to-Point Tunneling Protocol (PPTP) وLayer 2 Tunneling Protocol (L2TP) يرتبطان بشكل شائع باتصالات الـVPN، هذه البروتوكولات تمكن المصادقة والتشفير في الـVPNs، المصادقة تمكن العملاء والخوادم VPN من التحقق بشكل صحيح من هوية الأشخاص على الشبكة. التشفير يمكن من حماية البيانات الحساسة المحتملة من الجمهور العام.
أصبحت الـVPNs شائعة لأنها تتيح استخدام الإنترنت العام كحل اتصال آمن لـWAN.
نصيحة أختبار:
تدعم الـVPNs المودمات التناظرية، Integrated Services Digital Network (ISDN) الاتصالات اللاسلكية، والاتصالات العريضة النطاق المخصصة، مثل الكابل وخط المشترك الرقمي (DSL). تذكر هذه التفاصيل للامتحان.
انواع اتصالات VPN بين العميل والموقع (VPN Connection Types):
هناك نوعان من اتصالات VPN بين العميل والموقع: النفق الكامل والنفق المقسم. عند استخدام النفق الكامل، تتم تشفير جميع الطلبات عبر VPN بغض النظر عن مكان استضافة الخدمة، ولا يمكن الوصول إلى موارد الشبكة المحلية. بالنسبة للنفق المقسم، يتم تشفير جميع الطلبات الواردة عبر VPN، لكن حركة المرور المتجهة إلى مواقع خارج شبكة العميل (مثل Zoom، Office 365، Google) لا تمر عبر خادم VPN، يُعتبر النفق الكامل أكثر أمانًا ويُوصى به عمومًا.
عندما يوجد اختيار بين النوعين، يُوصى باستخدام النفق الكامل إذا كنت تتصل من شبكة غير موثوقة مثل في مقهى أو فندق، وبينما قد تكون النفق المقسم ضروريًا إذا كان هناك حاجة للوصول إلى الموارد المحلية وموارد المنظمة، يجب عليك دائمًا أن تدرك أنه أقل أمانًا، لذا الخيار الأفضل هو قطع الاتصال أولاً من VPN قبل الوصول إلى تلك المواقع الأخرى.
فوائد وعيوب الـVPN
كأي تكنولوجيا، يحتوي VPN على مزايا وعيوب. من الحسن الحظ أنه في تكنولوجيا VPN، هذه موضوعة بوضوح، وحتى العيوب عادةً ما لا تمنع المنظمة من استخدام VPN في شبكاتها. يوفر استخدام VPN فائدتين رئيسيتين:
هناك نوعان من اتصالات VPN بين العميل والموقع: النفق الكامل والنفق المقسم. عند استخدام النفق الكامل، تتم تشفير جميع الطلبات عبر VPN بغض النظر عن مكان استضافة الخدمة، ولا يمكن الوصول إلى موارد الشبكة المحلية. بالنسبة للنفق المقسم، يتم تشفير جميع الطلبات الواردة عبر VPN، لكن حركة المرور المتجهة إلى مواقع خارج شبكة العميل (مثل Zoom، Office 365، Google) لا تمر عبر خادم VPN، يُعتبر النفق الكامل أكثر أمانًا ويُوصى به عمومًا.
عندما يوجد اختيار بين النوعين، يُوصى باستخدام النفق الكامل إذا كنت تتصل من شبكة غير موثوقة مثل في مقهى أو فندق، وبينما قد تكون النفق المقسم ضروريًا إذا كان هناك حاجة للوصول إلى الموارد المحلية وموارد المنظمة، يجب عليك دائمًا أن تدرك أنه أقل أمانًا، لذا الخيار الأفضل هو قطع الاتصال أولاً من VPN قبل الوصول إلى تلك المواقع الأخرى.
فوائد وعيوب الـVPN
كأي تكنولوجيا، يحتوي VPN على مزايا وعيوب. من الحسن الحظ أنه في تكنولوجيا VPN، هذه موضوعة بوضوح، وحتى العيوب عادةً ما لا تمنع المنظمة من استخدام VPN في شبكاتها. يوفر استخدام VPN فائدتين رئيسيتين:
- التكلفة: إذا استخدمت بنية الإنترنت، فلن تحتاج إلى إنفاق الأموال على اتصالات خاصة مخصصة لربط العملاء البعيدين بالشبكة الخاصة. علاوة على ذلك، عند استخدام الشبكة العامة، فلن تحتاج إلى توظيف موظفي دعم لدعم تلك الروابط الخاصة.
- التوسع السهل: تجعل VPNs من السهل توسيع الشبكة، ويمكن للموظفين الذين يمتلكون كمبيوتر محمول مع قدرة لاسلكية ببساطة الدخول إلى الإنترنت وإنشاء الاتصال بالشبكة الخاصة.
يوضح الجدول التالي بعض المزايا والعيوب المحتملة لاستخدام VPN.
بروتوكول الأمان IPSec:
بروتوكول أمان الإنترنت (IPSec) مصمم لتوفير اتصالات آمنة بين الأنظمة. يشمل ذلك الاتصال بين الأنظمة في نفس الشبكة وكذلك الاتصال بأنظمة على شبكات خارجية، IPSec هو بروتوكول أمان يعمل على طبقة IP ويمكنه تشفير ومصادقة عمليات النقل في الشبكة. باختصار، يتكون IPSec من بروتوكولين منفصلين: Authentication Header (AH) وEncapsulating Security Payload (ESP). يوفر AH المصادقة والتحقق من سلامة حزم البيانات، بينما يوفر ESP خدمات التشفير.
نصيحة اختبار:
يعتمد IPSec على بروتوكولين أساسيين: AH وESP، يقدم AH خدمات المصادقة، بينما يقدم ESP خدمات التشفير.
باستخدام كل من AH وESP، يمكن تأمين البيانات المتنقلة بين الأنظمة، مما يضمن عدم إمكانية مشاهدتها أو الوصول إليها أو تعديلها من قبل أولئك الذين لا يجب أن يكون لديهم حق الوصول إليها. قد يبدو أن الحماية على الشبكة الداخلية أقل ضرورة من الشبكة الخارجية، ولكن الكثير من البيانات التي تُرسل عبر الشبكات ليست محمية بشكل كافٍ، مما يسمح للأعين غير المرغوب فيها بمشاهدتها.
ملاحظة
ملاحظة
أنشأت Internet Engineering Task Force (IETF) بروتوكول IPSec، والذي يمكن استخدامه على كل من شبكات IPv4 وIPv6.
يوفر IPSec ثلاث خدمات أمان رئيسية:
يعمل IPSec على طبقة الشبكة في نموذج OSI ويوفر الأمان للبروتوكولات التي تعمل على الطبقات الأعلى. باستخدام IPSec، يمكنك تأمين عمليًا جميع الاتصالات المتعلقة بـ TCP/IP.
- - التحقق من البيانات: التحقق من أن البيانات المستلمة من المصدر المقصود.
- - الحماية من تزوير البيانات: يضمن أن البيانات لم يتم التلاعب بها أو تغييرها بين الأجهزة المرسلة والمستلمة.
- - المعاملات الخاصة: يضمن أن البيانات المرسلة بين الأجهزة المرسلة والمستلمة غير قابلة للقراءة بواسطة أجهزة أخرى.
يعمل IPSec على طبقة الشبكة في نموذج OSI ويوفر الأمان للبروتوكولات التي تعمل على الطبقات الأعلى. باستخدام IPSec، يمكنك تأمين عمليًا جميع الاتصالات المتعلقة بـ TCP/IP.
SSL/TLS/DTLS:
غالبًا ما يتم توفير الأمان عبر العمل مع بروتوكول أمان طبقة النقل (TLS) الذي استبدل بروتوكول الطبقة الآمنة للمقابس (SSL) في معظم التطبيقات، يمكن استخدام SSL VPN، المعروف أيضًا باسم WebVPN وOpenVPN، للاتصال بالمواقع التي قد تواجه مشاكل مع جدران الحماية وNAT عند استخدام IPSec. تُعرف بـ SSL VPN سواء كان التشفير يتم باستخدام TLS أو بالفعل SSL الأقدم.
ملاحظة
تم إنشاء SSL لأول مرة للاستخدام مع متصفح الويب Netscape ويُستخدم مع عدد محدود من بروتوكولات TCP/IP (مثل HTTP وFTP)، TLS ليس فقط تحسينًا لـ SSL ولكنه أيضًا استبدال له، ويعمل مع معظم بروتوكولات TCP/IP. وبسبب هذا، يحظى TLS بشعبية في شبكات VPN وتطبيقات VoIP، غالبًا ما يُستخدم مصطلح SSL للدلالة على وظيفة السرية، سواء كان SSL هو الذي يُستخدم فعلاً أو TLS (الإصدار الأخير منه هو 1.2).
بروتوكول Datagram Transport Layer Security (DTLS) هو اشتقاق من SSL/TLS من مشروع OpenSSL؛ يوفر نفس خدمات الأمان ولكنه يسعى لزيادة الموثوقية.
ينشر المعهد الوطني للمعايير والتكنولوجيا (NIST) دليل لشبكات SSL VPN، والذي يمكنك الوصول إليه على الرابط التالي:
ينشر المعهد الوطني للمعايير والتكنولوجيا (NIST) دليل لشبكات SSL VPN، والذي يمكنك الوصول إليه على الرابط التالي:
من موقع إلى موقع ومن العميل إلى الموقع (Site-to-Site and Client-to-Site):
يمكن أن يتفاوت نطاق نفق VPN، مع أكثر نوعين شيوعًا هما من موقع إلى موقع ومن العميل إلى الموقع (المعروف أيضًا باسم الاستضافة إلى الموقع)، التبديل الثالث هو الاستضافة إلى الاستضافة، ولكنه في الواقع تنفيذ خاص من الموقع إلى الموقع. في التنفيذ من الموقع إلى الموقع، كما يوحي الاسم، تتم توصيل الشبكات بأكملها معًا. مثال على ذلك هو أقسام لشركة كبيرة. بما أن الشبكات تدعم VPN، كل بوابة تقوم بالعمل، ولا يحتاج العملاء الفرديون إلى أي VPN.
في سيناريو العميل إلى الموقع، يتصل العملاء الفرديون (مثل المتسكعون أو المسافرون) بالشبكة عن بُعد. لأن العميل الفردي يقوم بالاتصال المباشر بالشبكة، يجب أن يكون لدى كل عميل يقوم بذلك برنامج عميل VPN مثبت.
نصيحة اختبار:
تأكد من فهمك أن من موقع إلى موقع ومن العميل إلى الموقع هما أكثر نوعين شيوعًا من شبكات VPN.
سطح المكتب الأفتراضي (Virtual Desktops):
ما يسمى بسطح المكتب الافتراضي يمكن أن يختلف من بائع لآخر، ولكن بشكل عام هو صورة معدة مسبقًا لنظام تشغيل وتطبيقات حيث يتم فصل بيئة سطح المكتب عن الجهاز المادي المستخدم للوصول إليه، يمكن الوصول إلى سطح المكتب الافتراضي عن بُعد (تم ذكر thin clients في وقت سابق من هذا القسم)، ويمكن استخدام أي جهاز طرفي (كمبيوتر محمول، جهاز لوحي، هاتف ذكي، إلخ).
عند الاتصال، يقوم موفر سطح المكتب الافتراضي بتثبيت برنامج العميل الضروري على الجهاز الطرفي، ثم يتفاعل المستخدم مع هذا البرنامج على الجهاز وكأنه محطة عمل فعلية. اعتمادًا على نوع التنفيذ والتكوين، قد يتمكن المستخدمون أو لا يتمكنون من حفظ التغييرات أو تثبيت التطبيقات بشكل دائم، ولكنهم يجربون سطح المكتب بنفس الطريقة في كل مرة يسجلون فيها الدخول، بغض النظر عن الجهاز الذي يسجلون الدخول منه.
تختلف أسطح المكتب الافتراضية عن الأجهزة الافتراضية في أن نظام التشغيل لسطح المكتب الافتراضي يعيش في مركز البيانات، وليس على الجهاز الطرفي. عادةً، يتم تشغيل سطح المكتب الافتراضي داخل جهاز افتراضي مستضاف في مركز بيانات السحابة.
بروتوكول HTTPS/Management URL:
بروتوكول HTTP Secure (HTTPS) هو البروتوكول المستخدم للصفحات الويب "الآمنة" التي يجب على المستخدمين رؤيتها عندما يحتاجون إلى إدخال معلومات شخصية مثل أرقام بطاقات الائتمان، كلمات المرور، وغيرها من المعرفات. يجمع بين HTTP وSSL/TLS لتوفير اتصال مشفر. المنفذ الافتراضي هو 443، ويبدأ URL بـ https:// بدلاً من http://.
HTTPS هو البروتوكول الشائع المستخدم لعناوين إدارة الشبكة لأداء مهام مثل التحقق من حالة الخادم، تغيير إعدادات الراوتر، وما إلى ذلك.
ما يسمى بسطح المكتب الافتراضي يمكن أن يختلف من بائع لآخر، ولكن بشكل عام هو صورة معدة مسبقًا لنظام تشغيل وتطبيقات حيث يتم فصل بيئة سطح المكتب عن الجهاز المادي المستخدم للوصول إليه، يمكن الوصول إلى سطح المكتب الافتراضي عن بُعد (تم ذكر thin clients في وقت سابق من هذا القسم)، ويمكن استخدام أي جهاز طرفي (كمبيوتر محمول، جهاز لوحي، هاتف ذكي، إلخ).
عند الاتصال، يقوم موفر سطح المكتب الافتراضي بتثبيت برنامج العميل الضروري على الجهاز الطرفي، ثم يتفاعل المستخدم مع هذا البرنامج على الجهاز وكأنه محطة عمل فعلية. اعتمادًا على نوع التنفيذ والتكوين، قد يتمكن المستخدمون أو لا يتمكنون من حفظ التغييرات أو تثبيت التطبيقات بشكل دائم، ولكنهم يجربون سطح المكتب بنفس الطريقة في كل مرة يسجلون فيها الدخول، بغض النظر عن الجهاز الذي يسجلون الدخول منه.
تختلف أسطح المكتب الافتراضية عن الأجهزة الافتراضية في أن نظام التشغيل لسطح المكتب الافتراضي يعيش في مركز البيانات، وليس على الجهاز الطرفي. عادةً، يتم تشغيل سطح المكتب الافتراضي داخل جهاز افتراضي مستضاف في مركز بيانات السحابة.
بروتوكول HTTPS/Management URL:
بروتوكول HTTP Secure (HTTPS) هو البروتوكول المستخدم للصفحات الويب "الآمنة" التي يجب على المستخدمين رؤيتها عندما يحتاجون إلى إدخال معلومات شخصية مثل أرقام بطاقات الائتمان، كلمات المرور، وغيرها من المعرفات. يجمع بين HTTP وSSL/TLS لتوفير اتصال مشفر. المنفذ الافتراضي هو 443، ويبدأ URL بـ https:// بدلاً من http://.
HTTPS هو البروتوكول الشائع المستخدم لعناوين إدارة الشبكة لأداء مهام مثل التحقق من حالة الخادم، تغيير إعدادات الراوتر، وما إلى ذلك.
اعتبارات المصادقة والترخيص (Authentication and Authorization Considerations):
عند تنفيذ الوصول عن بُعد، يجب على المسؤولين الاعتراف بأنهم يزيدون من المخاطر، أكثر الشبكات أمانًا هي تلك التي ليس لديها مستخدمين. التالية الأكثر أمانًا هي تلك التي يجب أن يكون جميع المستخدمين موجودين فيها فعليًا في منطقة محصورة. بمجرد فتح الشبكة للمستخدمين من أي مكان، تزيد مخاطر إلحاق الضرر بالبيانات وانتهاكات الأمان. في جميع الحالات، يجب على المسؤولين محاولة تقليل هذه المخاطر قدر الإمكان، وهذا ينطبق بشكل خاص عندما يتعلق الأمر بالمصادقة والتفويض.
خلال معظم هذا الفصل، كان النقاش يدور حول الأمان وكيفية زيادته، وبالتالي، لا يوجد الكثير لإضافته هنا سوى التأكيد على أهمية مصادقة المستخدمين (باستخدام المصادقة متعددة العوامل) والتركيز على ثلاثية أمان CIA—السرية، النزاهة، والتوافر، ويجب عليك اتخاذ كل إجراء معقول لمنع المستخدمين غير المصرح لهم من الوصول إلى البيانات، وبالمثل، يجب عليك اتخاذ كل خطوة معقولة لضمان أن تكون البيانات والأنظمة متاحة للمستخدمين المصرح لهم في كل الأوقات.
الـ Out-of-Band Management:
عند إنشاء قناة مخصصة لإدارة أجهزة الشبكة، يُعرف ذلك بإدارة خارج النطاق، يمكن إنشاء اتصال عبر راوتر وحدة التحكم، أو مودم، ويمكن استخدام هذا لضمان اتصال الإدارة بشكل مستقل عن حالة اتصال الشبكة داخل النطاق (والتي ستشمل اتصالات منفذ التسلسل، VNC، وSSH)، تتيح إدارة خارج النطاق للمسؤولين مراقبة، والوصول إلى، وإدارة أجهزة البنية التحتية للشبكة عن بُعد وبأمان، حتى عندما يكون كل شيء آخر معطلاً.
النهاية:
وهكذا أنتهى الفصل التاسع كاملاً ، اتمنى إن كان الشرح مناسب وبجودة عالية ، تستطيع الأنضمام إلينا والى مجتمعنا من خلال الرابط الأتي هنا.
