شرح الفصل التاسع من Network Plus بالعربية: أمن الشبكات (Network Security) #1

Safely LocK
0

الفصل التاسع: .Network Security


الجزء الأول: #1


العنوان: Common Security Concepts




 
 
 
 
أمن الشبكات هو واحد من أصعب مجالات تقنية المعلومات التي تقع على عاتقك، يبدو وكأن هناك تهديدًا جديدًا يظهر بشكل منتظم، وتحتاج دائمًا إلى تعلم أشياء جديدة لتكون متقدمًا بنصف خطوة عن المشكلات المحتملة، ويركز هذا الفصل على بعض العناصر التي يستخدمها المسؤولون والفنيون للحفاظ على شبكاتهم آمنة قدر الإمكان.

هناك ثلاثة مفاهيم ستراها طوال هذا الفصل ومن المحتمل أن تكون مضمنة في كل كتاب يتعلق بالأمن ستقرأه على الإطلاق: السرية، النزاهة، والتوافر، والتي غالبًا ما يشار إليها بمثلث CIA الأمني،  ويجب أن تؤثر جميع التدابير الأمنية على واحد أو أكثر من هذه المجالات، وتعني السرية منع المستخدمين غير المصرح لهم من الوصول إلى البيانات: كلمات المرور، التشفير، والتحكم في الوصول كلها تدعم السرية، وتعني النزاهة ضمان عدم تغيير البيانات: التحقق والتوقيعات الرقمية هي الطرق الأكثر شيوعًا لتحقيق هذه المهمة (وكذلك ضمان عدم الإنكار)، وببساطة، التأكد من أن البيانات والأنظمة متاحة للمستخدمين المصرح لهم هو ما يتعلق بالتوافر: النسخ الاحتياطي للبيانات، الأنظمة الزائدة، وخطط استعادة الكوارث كلها تدعم التسامح مع الخطأ وزيادة التوافر.

يمكن أن تأتي التهديدات من أي مكان، ويمكن أن تشمل الكيانات الخارجية مثل الأفراد المملين الذين يرغبون في إلحاق الضرر بأي نظام يمكنهم العثور على الوصول إليه، وقد حدث أن سمح نظامك لهم بالدخول، أو الكيانات الداخلية مثل الموظفين المستاءين الذين يشعرون بأنهم لم يحصلوا على ترقية ويعتقدون أن لديهم الحق في التسبب في الضرر، وغالبًا ما تكون التهديدات الداخلية هي الأصعب في المنع لأن هؤلاء المستخدمين يتم منحهم بالفعل الوصول إلى بعض الموارد ولديهم ميزة على أولئك الموجودين خارج المنظمة.

ويتم اكتشاف الثغرات بانتظام وكمسؤول، يجب أن تظل محدثًا بالمعلومات المتعلقة بالمشكلات المكتشفة وأن تكون على دراية بالثغرات والتعرضات الشائعة (CVEs): قائمة بالعيوب الأمنية المتاحة للجمهور والتي يجب أن تكون على دراية بها كمسؤول (انظر)، وعندما يتم العثور على ثغرة في متصفح الويب أو برنامج آخر، ويبدأ الأشرار في استغلالها في نفس اليوم الذي يتم اكتشافها من قبل المطور (تجاوزًا لوقت الاستجابة من يوم إلى يومين الذي يحتاجه العديد من مقدمي البرامج لإصدار تصحيح بعد العثور على الثغرة)، ويُعرف ذلك بالهجوم الصفري أو zero-day attack، والهجمات الصفريه صعبة للغاية في الاستجابة لها، وإذا تعلم المهاجمون عن الضعف في نفس اليوم الذي يتعلم فيه المطور، فلديهم القدرة على استغلاله حتى يتم إصدار تصحيح، وغالبًا، الشيء الوحيد الذي يمكنك فعله كمسؤول أمني بين اكتشاف الثغرة وإصدار التصحيح هو إيقاف الخدمة، وعلى الرغم من أن هذا النهج يمكن أن يكون مكلفًا من حيث الإنتاجية، إلا أنه الطريقة الوحيدة للحفاظ على أمان الشبكة.

نصيحة أختبار:
كن مستعدًا لتحديد أنواع الهجمات والثغرات والتعرضات الشائعة (CVEs) مثل التي تم وصفها للتو. يمكنك توقع أسئلة حول هذه الأنواع من الهجمات في امتحان  Network plus.

 التحكم في الوصول (Access Control):

يصف التحكم في الوصول الآليات المستخدمة لتصفية حركة المرور في الشبكة لتحديد من يُسمح له ومن لا يُسمح له بالوصول إلى الشبكة ومواردها. يمكن لجدران الحماية، الخوادم الوكيلة، أجهزة التوجيه، وأجهزة الكمبيوتر الفردية جميعها الحفاظ على التحكم في الوصول إلى درجة ما عن طريق حماية حواف الشبكة. لأن استراتيجية الأمن تحدد من يمكنه ومن لا يمكنه الوصول إلى الشبكة ومواردها، فمن السهل فهم لماذا يلعب التحكم في الوصول دورًا حاسمًا. هناك عدة أنواع من استراتيجيات التحكم في الوصول، كما هو موضح في الأقسام التالية.

نصيحة أختبار:
تأكد من أنك تستطيع تحديد الغرض وأنواع التحكم في الوصول.

التحكم في الوصول الإجباري (Mandatory Access Control):

التحكم في الوصول الإجباري (MAC) هو الشكل الأكثر أمانًا من التحكم في الوصول، في الأنظمة التي تم تكوينها لاستخدام التحكم في الوصول الإجباري، يملي المسؤولون من يمكنه الوصول وتعديل البيانات، الأنظمة، والموارد، وتُستخدم أنظمة MAC عادةً في المنشآت العسكرية، المؤسسات المالية، وبسبب القوانين الجديدة المتعلقة بالخصوصية، في المؤسسات الطبية.

يؤمن MAC المعلومات والموارد عن طريق تخصيص تسميات حساسية أو سمات للأشياء والمستخدمين، وعندما يطلب المستخدمون الوصول إلى كائن، يتم مقارنة مستوى حساسيته بمستوى حساسية الكائن، والتسمية هي ميزة يتم تطبيقها على الملفات، الدلائل، والموارد الأخرى في النظام، إنها تشبه ختم السرية، عندما يتم وضع تسمية على ملف، فإنها تصف مستوى الأمان لهذا الملف المحدد، وإنها تسمح بالوصول من قبل الملفات، المستخدمين، البرامج، وهكذا الذين لديهم إعداد أمان مماثل أو أعلى.

 التحكم في الوصول التقديري (Discretionary Access Control):
 
على عكس التحكم في الوصول الإجباري، فإن التحكم في الوصول التقديري (DAC) لا يتم فرضه من قبل المسؤول أو نظام التشغيل. بدلاً من ذلك، يتم التحكم في الوصول بواسطة مالك الكائن، على سبيل المثال، إذا أنشأ السكرتير مجلدًا، فهو يقرر من سيكون لديه وصول إلى ذلك المجلد. يتم تكوين هذا الوصول باستخدام الأذونات وقائمة التحكم في الوصول (ACL).

يستخدم DAC قائمة ACL لتحديد الوصول، وقائمة ACL هي جدول يُعلم نظام التشغيل بحقوق كل مستخدم لكائن نظام معين، مثل ملف، مجلد، أو طابعة. كل كائن له سمة أمان تحدد قائمة ACL الخاصة به. تحتوي القائمة على إدخال لكل مستخدم نظام له امتيازات وصول. تشمل الامتيازات الأكثر شيوعًا القدرة على قراءة ملف (أو جميع الملفات في مجلد)، الكتابة إلى الملف أو الملفات، وتنفيذ الملف (إذا كان ملفًا تنفيذيًا أو برنامجًا).

تُعد خوادم/عملاء Microsoft Windows، Linux، UNIX، وmacOS من بين أنظمة التشغيل التي تستخدم قوائم ACL، يتم تنفيذ القائمة بشكل مختلف بواسطة كل نظام تشغيل.

في منتجات Windows Server، ترتبط قائمة ACL بكل كائن نظام، تحتوي كل قائمة ACL على واحد أو أكثر من إدخالات التحكم في الوصول (ACEs) التي تتكون من اسم مستخدم أو مجموعة من المستخدمين، ويمكن أن يكون المستخدم أيضًا اسم دور، مثل "سكرتير" أو "باحث". لكل من هؤلاء المستخدمين، المجموعات، أو الأدوار، يتم تحديد امتيازات الوصول في سلسلة من البتات تسمى قناع الوصول "access mask"، بشكل عام، ينشئ مسؤول النظام أو مالك الكائن قائمة ACL لكائن.
 
 ملاحظة:
الخادم في الشبكة الذي يتحمل مسؤولية أن يكون مستودعًا للحسابات (المستخدم/الكمبيوتر) يشار إليه غالبًا كـ network controller. مثال جيد هو domain controller في شبكة تعتمد على Microsoft Active Directory.

 التحكم في الوصول القائم على القواعد (Rule-Based Access Control):

التحكم في الوصول القائم على القواعد (Rule-based access control - RBAC) يتحكم في الوصول إلى الكائنات وفقًا للقواعد المحددة، وإعدادات التكوين والأمان التي يتم تحديدها على جهاز التوجيه أو الجدار الناري تعتبر مثالًا جيدًا.

عند تكوين جدار ناري، يتم وضع قواعد للتحكم في الوصول إلى الشبكة، ويتم مراجعة الطلبات لمعرفة ما إذا كان مقدم الطلب يستوفي المعايير للسماح له بالوصول عبر الجدار الناري، وعلى سبيل المثال، إذا تم تكوين جدار ناري لرفض جميع العناوين في نطاق عنوان IP 192.166.x.x، وكان عنوان IP لمقدم الطلب في هذا النطاق، فسيتم رفض الطلب.

في تطبيق عملي، يعتبر RBAC تباينًا على MAC، يقوم المسؤولون عادةً بتكوين الجدار الناري أو جهاز آخر للسماح أو رفض الوصول، المالك أو مستخدم آخر لا يحدد شروط القبول، وتضمن إجراءات الحماية أن المستخدم العادي لا يمكنه تغيير الإعدادات على الأجهزة.

التحكم في الوصول القائم على الأدوار (Role-Based Access Control):

ملاحظة:
كل من التحكم في الوصول القائم على القواعد والتحكم في الوصول القائم على الأدوار يستخدمان الاختصار RBAC.

في التحكم في الوصول القائم على الأدوار (Role-based access control - RBAC)، يتم تحديد قرارات الوصول حسب الأدوار التي يمتلكها المستخدمون الفرديون داخل المنظمة. يتطلب التحكم في الوصول القائم على الأدوار من المسؤول أن يكون لديه فهم شامل لكيفية عمل منظمة معينة، وعدد المستخدمين، ووظيفة كل مستخدم بالضبط في تلك المنظمة.

نصيحة أختبار:
نظرًا لأن أهداف CompTIA تحدد بشكل خاص التحكم في الوصول القائم على الأدوار، تأكد من معرفتك بأنه في RBAC يتم تحديد قرارات الوصول حسب الأدوار التي يمتلكها المستخدمون الفرديون داخل المنظمة.

نظرًا لأن حقوق الوصول مجمعة حسب اسم الدور، يقتصر استخدام الموارد على الأفراد المصرح لهم بتولي الدور المرتبط. على سبيل المثال، داخل نظام مدرسي، يمكن أن يشمل دور المعلم الوصول إلى بيانات معينة، بما في ذلك بنوك الاختبارات، المواد البحثية، والمذكرات، قد يكون لدى الإداريين المدرسيين الوصول إلى سجلات الموظفين، البيانات المالية، مشاريع التخطيط، والمزيد.

يمكن أن يكون استخدام الأدوار للتحكم في الوصول وسيلة فعالة لتطوير وتنفيذ سياسات أمنية خاصة بالمؤسسة وتبسيط عملية إدارة الأمان.

يجب أن تتلقى الأدوار فقط مستوى الامتياز الضروري لأداء المهمة المرتبطة بذلك الدور، وهذه المبدأ الأمني العام يُعرف بمفهوم الأقل امتيازًا، وعندما يتم توظيف الأشخاص في منظمة، يتم تحديد أدوارهم بوضوح، يقوم مسؤول الشبكة بإنشاء حساب مستخدم لموظف جديد ويضع ذلك الحساب في مجموعة مع الأشخاص الذين لديهم نفس الدور في المنظمة.

غالبًا ما يكون الأقل امتيازًا مقيدًا جدًا بحيث لا يمكن أن يكون عمليًا في الأعمال. على سبيل المثال، باستخدام المعلمين كمثال، قد يكون لبعض المعلمين الأكثر خبرة مسؤوليات أكبر من الآخرين وقد يحتاجون إلى زيادة الوصول إلى كائن معين في الشبكة، تخصيص الوصول لكل فرد هو عملية تستغرق وقتًا.

 تنبيه امتحان
كان هذا الموضوع هدفًا ومفهومًا في Security+ فقط، والآن تمت إضافته إلى أهداف Network+ أيضًا. لأنك قد تُسأل عن مفهوم الأقل امتيازًا، اعلم أنه يشير إلى تخصيص المستخدمين في الشبكة مستوى الامتياز الضروري لأداء المهمة المرتبطة بدورهم - لا أكثر ولا أقل.

مرتبطًا بشكل وثيق بالأقل امتيازًا هو مفهوم شبكة الثقة الصفرية " zero trust"، وكما يوحي الاسم، يعني ببساطة أنك لا تثق بأي شخص تلقائيًا وبدلاً من ذلك تقوم دائمًا بالمصادقة والتفويض. يجب التحقق من كل شيء صراحة، ويتم الحفاظ على حماية البيانات إلى أقصى حد، ويتم تشفير جميع الجلسات من النهاية إلى النهاية.

 الدفاع في العمق (Defense in Depth):

يستند الدفاع في العمق إلى فرضية أن تنفيذ الأمان في مستويات أو طبقات مختلفة لتشكيل استراتيجية أمنية كاملة يوفر حماية أفضل ومرونة أكبر من تنفيذ دفاع أمني فردي. يمكن تحقيق هذا المستوى من الدفاع بعدة طرق مختلفة؛ الأكثر شيوعًا هي من خلال استخدام تقسيم الشبكة، الشبكات الفرعية المحمية، فصل الواجبات، التحكم في الوصول إلى الشبكة، وhoneypots. كل نوع من أنواع الدفاع في العمق تتم مناقشته في الأقسام التالية.

تقسيم الشبكة (Network Segmentation):

تقسيم شبكة واحدة إلى شبكات فرعية أصغر يمكّنك من تحسينها بعدة طرق. يتم تحقيق التقسيم باستخدام switches وVLANs، ويمكن القيام بالفصل لعزل أمور مثل الأنظمة ذات الحمل الثقيل أو بروتوكولات معينة، وإذا نقلتها إلى شبكتها الفرعية الخاصة، يجب أن تكون النتيجة زيادة الأداء لأجزاء أخرى من الشبكة.

ملاحظة:
أحد الأساليب الشائعة هو استخدام الأجهزة الافتراضية (VMs) لتقسيم أو فصل الأنظمة (البرمجيات) عن نظام التشغيل الرئيسي (host versus guest) وبقية الشبكة من خلال switches الافتراضية.

الشبكة الفرعية المحمية (Screened Subnet):

مفهوم مهم يتعلق بالجدران النارية هو الشبكة الفرعية المحمية، وكان هذا المفهوم يعرف سابقًا بمنطقة منزوعة السلاح (DMZ) وأحيانًا يطلق عليه شبكة المحيط، والشبكة الفرعية المحمية هي جزء من الشبكة حيث تضع الخوادم التي يجب أن تكون متاحة من قبل المصادر الخارجية والداخلية لشبكتك، ومع ذلك، فإن الشبكة الفرعية المحمية ليست متصلة مباشرة بأي من الشبكتين، ويجب دائمًا الوصول إليها عبر الجدار الناري، وتم استخدام المصطلح العسكري DMZ سابقًا لأنه يصف منطقة لا توجد فيها إنفاذ أو شرطة.

استخدام الشبكات الفرعية المحمية يعطي تكوين الجدار الناري مستوى إضافيًا من المرونة والحماية والتعقيد. يظهر الشكل التالي تكوين الشبكة الفرعية المحمية (DMZ).


 A screened subnet (DMZ) configuration
 


باستخدام شبكة فرعية محمية، يمكنك إنشاء خطوة إضافية تجعل من الصعب على المتسلل الوصول إلى الشبكة الداخلية. في الشكل السابق على سبيل المثال، إذا حاول المتسلل الدخول عبر Interface 1، فسيتعين عليه تزييف طلب من إما خادم الويب أو الخادم الوسيط إلى Interface 2 قبل أن يتم تحويله إلى الشبكة الداخلية. على الرغم من أنه ليس من المستحيل للمتسلل الوصول إلى الشبكة الداخلية عبر الشبكة الفرعية المحمية، إلا أنه صعب.
 
نصيحة اختبار:
كن مستعدًا لتحديد غرض الشبكة الفرعية المحمية وأن هذا المفهوم كان يُعرف سابقًا بـ DMZ.

 فصل الواجبات (Separation of Duties):

سياسات فصل الواجبات مصممة لتقليل مخاطر الاحتيال ومنع الخسائر الأخرى في المؤسسة، تتطلب السياسة الجيدة أكثر من شخص واحد لإتمام العمليات الرئيسية. قد يعني هذا أن الشخص الذي يعالج طلبًا من عميل ليس هو نفس الشخص الذي ينشئ الفاتورة أو يتعامل مع الفوترة.

يساعد فصل الواجبات في منع مشاكل متنوعة، مثل اختلاس الأموال من الشركة. لكي يتمكن الفرد من اختلاس الأموال بنجاح، سيحتاج إلى تجنيد آخرين للقيام بفعل التواطؤ، وهو اتفاق بين طرفين أو أكثر لغرض ارتكاب الخداع أو الاحتيال، التواطؤ، عندما يكون جزءًا من جريمة، هو أيضًا فعل إجرامي بحد ذاته.

بالإضافة إلى ذلك، يمكن لسياسات فصل الواجبات أن تساعد في منع الحوادث من الحدوث في المؤسسة، افترض أنك تدير مشروع تطوير برمجيات، تريد شخصًا لإجراء اختبار ضمان الجودة على قطعة جديدة من الشيفرة قبل وضعها في الإنتاج، يمنع فصل الواجبات الواضح دخول شيفرة التطوير إلى حالة الإنتاج حتى يتم إنجاز اختبار الجودة.

تتطلب العديد من البنوك والمؤسسات المالية خطوات وموافقات متعددة لتحويل الأموال. تساعد هذه السياسات في تقليل الأخطاء وتقليل احتمالية الاحتيال.

الـ Honeybots:
عند الحديث عن أمان الشبكة، يتم ذكر honeypots وhoneynets في كثير من الأحيان، الـ honeypots هي نهج ذكي جدًا لأمان الشبكة ولكنه قد يكون مكلفًا بعض الشيء، الـ honeypot هو نظام يتم إعداده كطعم لجذب وصد الهجمات من المتسللين، ويظهر الخادم الطُعم كما لو كان يحتوي على كل شيء يحتويه الخادم العادي - نظام التشغيل، التطبيقات، وخدمات الشبكة. يعتقد المهاجم أنه يصل إلى خادم شبكة حقيقي، لكنه في الواقع يقع في فخ الشبكة.

يهدف الـ honeypot إلى غرضين رئيسيين. يمكنه إعطاء المسؤولين معلومات قيمة عن أنواع الهجمات التي تُنفذ. بدوره، يمكن لـ honeypot تأمين الخوادم الحقيقية وفقًا لما يتعلمه. أيضًا، يقوم الـ honeypot بتشتيت الانتباه عن الخوادم العاملة، مما يسمح لها بالعمل دون التعرض للهجوم.

نصيحة أختبار:
اعتبر الـ honeypot كفخ يسمح للمتسلل بالدخول ولكن لا يسمح بالوصول إلى البيانات الحساسة.

الـ honeynet هو خطوة أعلى من الـ honeypot. الـ honeynet هي شبكة كاملة تُعد لمراقبة الهجمات من الخارج، يتم تتبع وتوثيق كل حركة مرور داخل وخارج الشبكة بعناية، يتم مشاركة هذه المعلومات مع محترفي الشبكات للمساعدة في عزل أنواع الهجمات التي تُشن ضد الشبكات وإدارة تلك المخاطر الأمنية بشكل استباقي. تعمل الـ honeynets كشبكة إنتاج، باستخدام خدمات الشبكة، التطبيقات، وأكثر. لا يعرف المهاجمون أنهم يصلون إلى شبكة مراقبة بالفعل.

الـ RADIUS وTACACS+:

من بين القضايا المحتملة التي يواجهها مسؤولو الشبكة عند تنفيذ الوصول عن بعد هي الاستخدام والتحميل على خادم الوصول عن بعد، مع نمو تنفيذ الوصول عن بعد في الشبكة، قد يصبح الاعتماد على خادم وصول عن بعد واحد مستحيلًا، وقد تكون هناك حاجة إلى خوادم إضافية، Remote Authentication Dial-In User Service (RADIUS) يمكن أن يساعد في هذا السيناريو.

 تنبيه امتحان
RADIUS هو بروتوكول يمكّن خادمًا واحدًا من أن يكون مسؤولًا عن جميع خدمات المصادقة والتفويض والتدقيق (أو المحاسبة) للوصول عن بعد.

يعمل RADIUS كنظام عميل/خادم. يتصل المستخدم البعيد بخادم الوصول عن بعد، الذي يعمل كـ RADIUS client، أو NAS، ويتصل بخادم RADIUS، ويقوم خادم RADIUS بأداء وظائف المصادقة والتفويض والتدقيق (أو المحاسبة) ويعيد المعلومات إلى RADIUS client (وهو خادم وصول عن بعد يعمل ببرنامج RADIUS client)؛ يتم إما إنشاء الاتصال أو رفضه بناءً على المعلومات المستلمة.

Terminal Access Controller Access Control System (TACACS) هو بروتوكول أمني مصمم لتوفير التحقق المركزي من صحة المستخدمين الذين يحاولون الوصول إلى جهاز توجيه أو NAS، مثل RADIUS، TACACS هو مجموعة من البروتوكولات الأمنية المصممة لتوفير AAA للمستخدمين البعيدين، Terminal Access Controller Access Control System Plus (TACACS+) هو نسخة مملوكة لشركة Cisco من TACACS وهي التنفيذ المستخدم بشكل شائع في الشبكات اليوم. يستخدم TACACS+ منفذ TCP 49 بشكل افتراضي.

على الرغم من أن كلاً من RADIUS وTACACS+ يوفران خدمات AAA للمستخدمين البعيدين، إلا أن هناك بعض الاختلافات الملحوظة:

  • يعتمد TACACS+ على TCP للتوصيل القائم على الاتصال. يستخدم RADIUS UDP غير المتصل لتوصيل البيانات.
  •  يجمع RADIUS بين المصادقة والتفويض، في حين يمكن لـ TACACS+ فصل وظائفهما.
نصيحة أختبار:
كلا من RADIUS وTACACS+ يوفران خدمات المصادقة والتفويض والمحاسبة. أحد الفروقات الملحوظة بين TACACS+ وRADIUS هو أن TACACS+ يعتمد على TCP القائم على الاتصال، في حين يستخدم RADIUS UDP غير المتصل.
 

 
 The symmetric key process
نصيحة أختبار:
طريقة أخرى مستخدمة في التشفير هي تشفير المفتاح غير المتماثل، أو تشفير المفتاح العام. في هذه الطريقة، يمتلك الجهاز مفتاحين، واحد عام والآخر خاص. لا يتم مشاركة المفتاح الخاص أبدًا. يُستخدم المفتاح العام لتشفير الاتصالات، بينما يُستخدم المفتاح الخاص لفك التشفير.



تعمل مصادقة Kerberos عن طريق تعيين مفتاح فريد، يسمى تذكرة (ticket)، لكل عميل يتمكن من المصادقة بنجاح على خادم. تكون التذكرة مشفرة وتحتوي على كلمة مرور المستخدم، التي تُستخدم للتحقق من هوية المستخدم عند طلب خدمة شبكية معينة. كل تذكرة تكون مؤقتة وتنفذ بعد فترة من الوقت ويتم إصدار واحدة جديدة. يعمل Kerberos بنفس الطريقة التي تذهب بها لمشاهدة فيلم. أولاً، تذهب إلى شباك التذاكر وتخبر الشخص عن الفيلم الذي تريد مشاهدته وتحصل على تذكرة. بعد ذلك، تذهب إلى الحاجز وتعطي التذكرة لشخص آخر، ثم تكون "داخل". ببساطة، هذا هو Kerberos.

نصيحة أختبار:
يجب أن تعرف أن الرموز الأمنية المستخدمة في Kerberos تُعرف بالتذاكر.

 المصادقة المحلية (Local Authentication):

معظم الوقت، يكون الهدف هو مصادقة المستخدم باستخدام خادم أو خدمة مصادقة مركزية من نوع ما. عندما لا يمكن تحقيق ذلك - مثل عندما لا يتوفر اتصال بالإنترنت - تتم المصادقة محليًا بواسطة نظام التشغيل باستخدام القيم المخزنة داخله. في Windows، على سبيل المثال، يقوم نظام Local Authentication Subsystem (LASS) بهذه الوظيفة ويسمح للمستخدمين بالوصول إلى النظام بعد تطابق اسم المستخدم وكلمة المرور المخزنة.

 بروتوكول الوصول الخفيف إلى الدليل (Lightweight Directory Access Protocol):

يوفر بروتوكول Lightweight Directory Access Protocol (LDAP) آلية للوصول إلى أنظمة خدمات الدليل واستجوابها. في سياق امتحان Network Plus، من المرجح أن تكون هذه الأنظمة قائمة على UNIX أو Microsoft Active Directory، وعلى الرغم من أن LDAP يدعم استفسارات سطر الأوامر التي تُنفذ مباشرةً ضد قاعدة بيانات الدليل، إلا أن معظم التفاعلات مع LDAP تتم عبر أدوات مثل برنامج المصادقة (تسجيل الدخول الشبكي) أو العثور على مورد في الدليل من خلال أداة البحث.

نصيحة اختبار:
اعلم أن LDAP، افتراضيًا، يستخدم المنفذ 389.

 استخدام الشهادات (Using Certificates):
البنية التحتية للمفتاح العام (PKI) هي مجموعة من البرامج والمعايير والسياسات التي تُجمع لتمكين المستخدمين من الإنترنت أو الشبكات العامة غير المؤمنة من تبادل البيانات بشكل آمن. تستخدم PKI مجموعة من المفتاحين العام والخاص تم الحصول عليها ومشاركتها من خلال سلطة موثوقة. تعمل الخدمات والمكونات معًا لتطوير PKI. بعض المكونات الرئيسية في PKI تشمل:

  • الشهادات: الشهادات هي أوراق اعتماد إلكترونية تتحقق من صحة المستخدمين أو الحواسيب أو الأجهزة على الشبكة. هي تصريحات موقعة رقميًا تربط أوراق الاعتماد بمفتاح عام بهوية الشخص أو الجهاز أو الخدمة التي تحمل المفتاح الخاص المقابل.
  •  سلطات الشهادات (CAs): تصدر CAs الشهادات وتديرها. تتحقق من هوية جهاز الشبكة أو المستخدم الذي يطلب البيانات. يمكن أن تكون CAs أطراف ثالثة مستقلة، تُعرف باسم CAs العامة، أو يمكن أن تكون منظمات تدير برامج خادم إصدار الشهادات الخاصة بها، تُعرف باسم CAs الخاصة.
  • قوالب الشهادات: تُستخدم هذه القوالب لتخصيص الشهادات التي يصدرها خادم الشهادات. يتضمن هذا التخصيص مجموعة من القواعد والإعدادات التي تم إنشاؤها على CA وتُستخدم لطلبات الشهادات الواردة.
  •  قائمة إبطال الشهادات (CRL): تحدد هذه القائمة الشهادات التي تم إبطالها قبل وصولها إلى تاريخ انتهاء الشهادة. غالبًا ما يتم إبطال الشهادات بسبب مخاوف أمنية، مثل شهادة تعرضت للخطر.
 
 التدقيق والتسجيل (Auditing and Logging): 
التدقيق هو عملية مراقبة الأحداث والاحتفاظ بسجل لما حدث على النظام، يحدد مسؤول النظام الأحداث التي يجب تدقيقها، ويساعد تتبع الأحداث ومحاولات الوصول إلى النظام في منع الوصول غير المصرح به ويوفر سجلًا يمكن للمسؤولين تحليله لإجراء تغييرات أمنية حسب الحاجة. يقدم هذا السجل، أو السجل، أيضًا للمسؤولين دليلًا قويًا إذا كانوا بحاجة إلى التحقيق في سلوك المستخدم غير السليم.

 تحذير:
تأكد من أنه يمكنك تحديد الغرض من المصادقة والتفويض والمحاسبة.
 
  طرق إضافية للتحكم في الوصول (Additional Access Control Methods):

اليوم، هناك العديد من الطرق لإنشاء الوصول إلى الشبكات. يمكنك ملء مجلد كامل بمناقشة الاحتمالات. ما يلي هو بعض من أهمها التي يجب معرفتها لهذا الامتحان (تظهر أخرى في امتحانات CompTIA الأخرى مثل Security+).

الـ 802.1X:

المعيار IEEE 802.1X يعرف الأمان المعتمد على المنافذ للتحكم في الوصول إلى الشبكات اللاسلكية، وبهذا، يقدم وسيلة للمصادقة ويعرف بروتوكول المصادقة الممتد (EAP) عبر IEEE 802، والذي يعرف غالبًا باسم EAP عبر LAN (EAPOL)، والفائدة الكبرى من استخدام 802.1X هي أن نقاط الوصول والمفاتيح لا تحتاج إلى القيام بالمصادقة بل تعتمد على خادم المصادقة للقيام بالعمل.

 تنبيه امتحان:
تذكر أن مصادقة IEEE 802.1X تسمح فقط للأجهزة المصرح لها بالاتصال بالشبكة. الشكل الأكثر أمانًا من مصادقة IEEE 802.1X هو المصادقة المعتمدة على الشهادات.

 بروتوكول المصادقة الممتد (EAP):

اختيار البروتوكول الصحيح للمصادقة للعملاء عن بعد هو جزء مهم من تصميم استراتيجية وصول آمن عن بعد. بعد المصادقة، يحصل المستخدمون على الوصول إلى الشبكة والخوادم. يوفر بروتوكول المصادقة الممتد (EAP) إطار عمل للمصادقة يُستخدم غالبًا مع الشبكات اللاسلكية. من بين الأنواع المعتمدة من EAP في معيار WPA/WPA2: PEAP، EAP-FAST، وEAP-TLS، وتم تطوير EAP استجابة لزيادة الطلب على طرق المصادقة التي تستخدم أنواعًا أخرى من الأجهزة الأمنية مثل بطاقات الرموز والبطاقات الذكية والشهادات الرقمية.

لتبسيط إعداد الشبكة، يستخدم عدد من أجهزة التوجيه للمكاتب الصغيرة/المكاتب المنزلية (SOHO) سلسلة من رسائل EAP للسماح للمضيفين الجدد بالانضمام إلى الشبكة واستخدام WPA/WPA2، ويُعرف هذا الإعداد باسم Wi-Fi Protected Setup (WPS)، وغالبًا ما يتطلب من المستخدم القيام بشيء ما لإكمال عملية التسجيل: الضغط على زر في جهاز التوجيه في فترة زمنية قصيرة، أو إدخال رقم تعريف شخصي (PIN)، أو تقريب الجهاز الجديد (لتحقيق الاتصال القريب المجال).

 ملاحظة
يستخدم WPA3 بروتوكول Simultaneous Authentication of Equals (SAE) لاستبدال بروتوكول تبادل المفتاح المشترك مسبقًا (PSK) في WPA2.

تعاونت شركات Cisco وRSA وMicrosoft لإنشاء بروتوكول المصادقة الممتد المحمي (PEAP)، الآن هناك دعم مدمج له في Windows (الذي كان يفضل سابقًا EAP-TLS)، على الرغم من أن العديد يعتبرون PEAP وEAP-TLS متشابهين، إلا أن PEAP أكثر أمانًا لأنه ينشئ قناة مشفرة بين الخادم والعميل.

تم تصميم EAP-FAST (المصادقة المرنة عبر النفق الآمن) بواسطة Cisco للسماح باستخدام الشهادات لإنشاء نفق TLS يتم فيه التحقق من بيانات اعتماد العميل.

لتحديد ترتيب تنفيذ EAP بترتيب زمني، فكر في EAP-TLS، EAP-FAST، ثم PEAP، في الفاصل بينهما جاء EAP-TTLS، وهو شكل من EAP-TLS يضيف النفق (بروتوكول المصادقة الممتد - أمان طبقة النقل المعتمد على النفق)، من بين جميع الخيارات، يعتبر PEAP هو المفضل حاليًا للاستخدام لأنه مدعوم من قبل أكثر من بائعين وليس فقط Cisco.

 التحكم في الوصول إلى الشبكة (NAC):

التحكم في الوصول إلى الشبكة (NAC) هو طريقة لتقييد الوصول إلى الشبكة بناءً على الهوية أو الموقف (الذي سيتم مناقشته لاحقًا في هذا الفصل)، وتم إنشاء هذه الطريقة بواسطة Cisco لفرض الامتيازات واتخاذ القرارات على جهاز العميل بناءً على المعلومات التي تم جمعها منه (مثل البائع وإصدار برنامج مكافحة الفيروسات الذي يعمل)، إذا لم يتم العثور على المعلومات المطلوبة (مثل أن تعريفات مكافحة الفيروسات قديمة لمدة عام)، يمكن وضع العميل في منطقة شبكة الحجر الصحي لمنعه من إصابة بقية الشبكة، يمكن أيضًا وضعه في شبكة الضيف و/أو السماح له بتشغيل وكلاء غير مستمرين (مقابل المستمرين).

التقييم الوضعي هو أي تقييم لأمان النظام بناءً على الإعدادات والتطبيقات الموجودة، بالإضافة إلى النظر في قيم مثل الإعدادات في السجل أو تواريخ الملفات، يمكن لـ NACs أيضًا فحص قيم 802.1X - مجموعة البروتوكولات الشبكية المرتبطة بمصادقة الأجهزة التي تحاول الاتصال بالشبكة. يعمل 802.1X مع EAP.

 تنبيه امتحان
أثناء التحضير للامتحان، تأكد من أنه يمكنك تحديد التقييم الوضعي كأي تقييم لأمان النظام بناءً على الإعدادات والتطبيقات الموجودة.

 تصفية عناوين MAC:
اسم آخر لبطاقة الشبكة أو محول الشبكة هو وحدة التحكم في الشبكة. لكل وحدة تحكم عنوان MAC فريد مرتبط بها. تصفية حركة المرور الشبكية باستخدام عنوان MAC للنظام تتم عادة باستخدام قائمة التحكم في الوصول (ACL)، وتحتفظ هذه القائمة بسجل لجميع عناوين MAC ويتم تكوينها للسماح أو رفض الوصول إلى أنظمة معينة بناءً على القائمة. كمثال، انظر إلى ACL MAC من جهاز التوجيه. يوضح الشكل التالي شاشة ACL MAC ، يمكن رفض أو قبول عناوين MAC معينة بناءً على التكوين، على سبيل المثال، يمكن تكوينه بحيث يمكن للنظام الذي يحتوي على عنوان MAC الخاص بـ 02-00-54-55-4E-01 فقط المصادقة على جهاز التوجيه.

 
A MAC ACL
 
  ملاحظة
عندما يقوم المسؤولون بتكوين الأمان للشبكات اللاسلكية، فإن التصفية باستخدام عنوان MAC هي ممارسة شائعة. عادةً في أمان تصفية MAC، يمكن إضافة عناوين MAC إلى قائمة التحكم في الوصول (ACL) "المسموح بها" أو "المرفوضة".

 إدارة المخاطر (Risk Management):
تشمل إدارة المخاطر التعرف على وجود المخاطر والاعتراف بها ثم تحديد ما يجب القيام به حيالها. في بعض الأحيان، يكون الحل الأفضل هو عدم القيام بأي شيء، وإذا كان هناك خطر فقدان بعض البيانات في حالة حدوث حريق، ولكن القيمة المقدرة لتلك البيانات أقل من تكلفة حمايتها من ذلك الضرر، فقد يكون الحل الاقتصادي المناسب هو قبول الخطر وعدم اتخاذ أي إجراءات أخرى. في معظم الحالات، لا يكفي القبول وحده وهناك نهجان محتملان هما التخفيف (محاولة تقليل الخطر) و/أو النقل (نقل جزء من الخطر إلى طرف آخر مثل مزود التأمين).

لتحديد كيفية إدارة الخطر، يتم عادةً استخدام التقييمات. يمكن إجراء تقييم على التهديدات أو الثغرات أو العمليات التجارية (تقييم العملية وتقييم المورد).

 اختبار الاختراق (Penetration Testing):

أصبح من الشائع للشركات أن توظف مختبري اختراق لاختبار دفاعات أنظمتها، وفي الأساس، سيستخدم مختبر الاختراق نفس التقنيات التي يستخدمها الهاكر لاكتشاف أي عيوب في أمان النظام، وقد يتم اكتشاف هذه العيوب بوسائل غير الوصول المباشر للنظام، مثل جمع المعلومات من قواعد البيانات العامة، والتحدث إلى الموظفين/الشركاء، والبحث في النفايات، والهندسة الاجتماعية. يُعرف هذا النهج بالاستطلاع السلبي، بالمقابل، يركز الاستطلاع النشط مباشرةً على النظام (فحص المنافذ، معلومات التتبع، رسم خريطة الشبكة، وما إلى ذلك) لتحديد نقاط الضعف التي يمكن استخدامها لشن هجوم.

عند إجراء اختبار الاختراق، من المهم وجود وثيقة نطاق توضح مدى الاختبار الذي سيتم إجراؤه، من المهم بنفس القدر الحصول على إذن من المسؤول الذي يمكنه تفويض مثل هذا الاختبار - كتابيًا - مما يمكن الاختبار من التنفيذ.

أحد نقاط الضعف التي يبحث عنها اختبار الاختراق الجيد هو تصعيد الامتيازات؛ أي، الثغرة التي تنشأ عندما يتم تنفيذ التعليمات البرمجية بامتيازات أعلى من تلك التي يتمتع بها المستخدم الذي يقوم بتشغيلها، ومن خلال الخروج من التعليمات البرمجية التي يتم تنفيذها، يحصل المستخدمون على امتيازات أعلى مما يجب أن يكون لديهم.

هناك ثلاثة أنواع من اختبارات الاختراق: الصندوق الأسود/البيئة غير المعروفة (لا يمتلك المختبر أي معرفة بالنظام ويعمل بنفس طريقة المهاجم الخارجي)، الصندوق الأبيض/البيئة المعروفة (لدى المختبر معرفة كبيرة بالنظام، مما يحاكي هجومًا من الداخل - موظف خائن)، والصندوق الرمادي/البيئة المعروفة جزئيًا (وسط بين النوعين الأولين من الاختبارات ، وفي اختبار الصندوق الرمادي، يكون لدى المختبر معرفة محدودة بالنظام المستهدف). بينما تُستخدم استعارة "الصندوق" لوصف البيئة، تُستخدم "القبعات" لوصف الشخص الذي يقوم بالاختبار، ولكن هذا المصطلح يتم استبداله الآن بمستوى التفويض. لذلك، يعادل المختبر ذو القبعة البيضاء المختبر المعتمد، ويعادل المختبر ذو القبعة السوداء المختبر غير المعتمد، والمختبر ذو القبعة الرمادية يعادل المختبر شبه المعتمد.

 ملاحظة:
مع ظهور العديد من المواضيع المتعلقة بالأمان الآن في امتحان Network+، لديك بداية جيدة في دراسة شهادة Security+ بعد الانتهاء بنجاح من هذا الامتحان.

إدارة معلومات وأحداث الأمان (SIEM)

توفر منتجات إدارة معلومات وأحداث الأمان (SIEM) إشعارات وتحليلًا في الوقت الفعلي لتنبيهات الأمان ويمكنها مساعدتك في معالجة المشاكل بسرعة. ناقش الفصل الثامن، "عمليات الشبكة"، إدارة الأحداث والنظر في ملفات السجل، بما في ذلك سجل الأمان. تقوم أدوات SIEM بجمع البيانات وربطها وعرضها لدعم أنشطة الاستجابة. يمكن لـ SIEM أخذ أحداث فردية غير ضارة وربطها معًا لكشف مزيد من التفاصيل حول ما حدث ولماذا يشكل مصدر قلق.

لوحات التحكم هي عنصر مهم في حلول SIEM، حيث تقدم البيانات (والتحليل) بتنسيق يمكن اتخاذ الإجراءات بناءً عليه، تسمح معظم حزم SIEM للمنظمات بتخصيص لوحات التحكم الخاصة بها بناءً على احتياجاتها ومتطلباتها، وأحد احتياجات أي SIEM هو القدرة على تفسير (وتصور) البيانات القادمة من مصادر مختلفة، وبالتالي، تنسيقات مختلفة. يتضمن تطبيع السجلات استخراج الإدخالات ومعالجتها لوضعها في تنسيق قابل للقراءة ومنظم يمكن عرضه واتخاذ الإجراءات بناءً عليه.

النهاية:
وكان بداية الفصل التاسع ، إن كان بالأمكان أخبارنا برأيك عن الفصل ، أنضم إلينا هنا.




إرسال تعليق

0تعليقات

إرسال تعليق (0)

#buttons=(موافق!) #days=(20)

يستخدم موقعنا ملفات تعريف الارتباط لتحسين تجربتك. تاكد الان
Ok, Go it!