490 likes | 970 Views
تأمين الشبكة. نظم تشغيل 1. المحتوى. 1. تكوين سياسة أمنية للشبكة. 2. تهديدات أمن الشبكة. 3. تنفيذ الإجراءات الأمنية. 4. تطبيق التضميدات و التحديثات. 5. الجدار الناري. لماذا تأمين الشبكة ؟. هجوم خارجي. هجوم داخلي. موارد الشركة. أذونات خاطئة. فيروس.
E N D
تأمين الشبكة نظم تشغيل 1
المحتوى 1 تكوين سياسة أمنية للشبكة 2 تهديدات أمن الشبكة 3 تنفيذ الإجراءات الأمنية 4 تطبيق التضميدات و التحديثات 5 الجدار الناري
لماذا تأمين الشبكة ؟ هجوم خارجي هجوم داخلي موارد الشركة أذونات خاطئة فيروس • تصميم أمن الشبكة يحمي الموارد من التهديدات بطريقة منظمة • تصميم الأمن يتمثل في تحليل المخاطر التي تتعرض لها موارد الشبكة، وخلق ردود
الوصول إلى الاحتياجات الأمنية • عندما يتعلق الأمر بالشبكة ، ماهو الحد الكافي للتأمين ؟ • يجب أن نأخذ بعين الاعتبارالعديد من العوامل منها: - نوع أعمال الشركة - نوع البيانات المخزنة على الشبكة - فلسفة إدارة الشركة
إمكانية الوصول أمن الوصول إلى الاحتياجات الأمنية • يجب أن يكون هناك دائما توازن بين الأمن security وإمكانيةالوصول accessibilityإلى موارد الشبكة. • كلما كانت الشبكة سهل الوصول إليها، كانت أقل أمانا. ترتفع ينخفض يرتفع أمن تنخفض إمكانية الوصول
ما هي السياسات الأمنية؟ السياسة الأمنية : هي الوثائق التي تشرح كيفية تنفيذ أمنوحماية الشبكة Policies يتم فرض الأمن من خلال: سياسات إدارية سياسات مادية سياسات تقنية
تصميم وتنفيذ الأمن التصميم التنفيذ
خلق سياسة الأمن • سياسة الاستخدام المقبول Acceptable Use Policy (AUP). • اسم المستخدم و كلمة المرور: المعايير. • معايير الحماية من الفيروسات • موارد التأمين عبر الإنترنت
سياسة الاستخدام المقبول • الخطوة الأولى في خلق سياسة أمنية لشبكة الشركة هو تعريف سياسة الاستخدام المقبول Acceptable Use Policy(AUP). • يحدد AUP للمستخدمين ما هو المقبول والمسموح به على شبكة الشركة.
عادة ما يقوم المسؤول عن النظام بوضع اتفاقية صياغة أسماء المستخدمين على الشبكة. Naming convention من الأمثلة الشائعة هي اختيارالحرف الأول من الاسم الأول للشخص ثم الاسم الثاني بالكامل. اتفاقية صياغة اسم المستخدم و تعقيدها ليست بنفس أهمية فرض معيار لكلمة مرور معقدة. عند تعيين كلمات المرور، يجب أن تكون مستوى رقابة كلمة المرور تطابق مستوى الحماية المطلوبة. اسم المستخدم وكلمة المرور: المعايير Hana Sultan HSultan Samah Mohammad SMohammad
معايير الحماية من الفيروسات • وضع الفلاتر filters المناسبة وقوائم الوصول access listsعلى كل البوابات الواردة لحماية الشبكة من الوصول غير المرغوب فيه (unwanted access).لمنع الفيروسات، سياسات البريد الإلكتروني e-mail policiesتحتاج أيضا إلى تطويربحيث تحدد ما يمكن إرساله وما يمكن استقباله.
موارد التأمين عبر الإنترنت • الموارد على شبكة الإنترنت تقدم معلومات هامة وأدوات قوية يمكن استخدامها لحماية الشبكة. من أفضل هذه الموارد الأمنية هي المتاحة على مواقع الشركات المصنعة لنظم تشغيل الشبكات NOS • لعرض أمثلة لهذه الموارد الأمنية على الإنترنت يمكن زيارة هذه المواقع http://www.microsoft.com http://www.redhat.com
التهديدات الخارجية • القراصنة Hackers • المفرقعات Crackers • فيروس Virus • ديدان Worms • حصان طراودة Trojan horse
التهديدات الخارجية Hackers: ? الهاكر الحقيقي يرغب في تشريح الأنظمة والبرامج لمعرفة كيفية عملها Crackers: يقومون بخرق أنظمة الكمبيوتر للعبث و لسرقة أو تدمير البيانات.
التهديدات الخارجية Virus : أنه يسبب بعض الأحداث غير المتوقعة و عادة غير المرغوب فيها. Worm : فيروس ذاتي التكرارلا يغير الملفات ولكن يتواجد في الذاكرة النشطة ويكرر نفسه. Trojan horse : هو برنامج و يطرح نفسه كبرنامج آخر للحصول على معلومات
Denial of Service (DoS(رفض الخدمة هجوم منع الخدمة DoS يحدث عندما يكون النظام المستهدف لا يمكنه خدمة طلبات شبكة الاتصال المعتادة على نحو فعال. ونتيجة لذلك، يصبح النظام مثقلا بالرسائل الجنائية.
Distributed Denial of Service DDoS رفض الخدمة الموزعة • هجمات منع الخدمة تبدأ من مضيف واحد أو مجموعة من المضيفين. • عندما يأتي الهجوم من مجموعة من المضيفين، تسمى مثل هذه الهجمات DoS الموزعة (DDoS). • هجوم DoSالأكثرشيوعا هو زيادة الحمل على النظام المستهدف عن طريق إرسال المزيد من البيانات أكثرمما يمكنه التعامل معها.
Distributed Denial of Service DDoS رفض الخدمة الموزعة • قبل أن يهاجم القراصنة الهدف النهائي، "أسطول" من "zombies" (مضيف غير آمن مع اتصال إنترنت دائم) يتم تنسيقهم للهجوم.
Distributed Denial of Service DDoS رفض الخدمة الموزعة • القراصنة يستفيدون من عدم أمان الزومبي . • القراصنة يخرق النظام إما مباشرة أو عن طريق فيروس في البريد الإلكتروني. والهدف هو تثبيت برنامج على نظام الزومبي. • ويستخدم القراصنة ال zombies لشن هجوم DDoS على الهدف النهائي.
Denial of Service (DoS(رفض الخدمة • هناك عدة أنواع من هجمات رفض الخدمة: - buffer overflowهجوم يستهدف البرامج التي تعمل على النظام الهدف. - ping of death بينغ الموت المهاجم يرسل طلبات (ICMP) التي تكون كبيرة بطريقة غير مشروعة إلى الهدف.
Denial of Service (DoS(رفض الخدمة • SYN attacks • هجوم التزامن TCP (SYN) يستغل بروتوكول TCPو المصافحة الثلاثية. three-way handshake • المهاجم يرسل كمية كبيرة من طلبات التزامن TCP (طلبات SYN). SYN 1 ACK &SYN 2 3 SYN Instead of an ACK
SYN attacks SYN Flood. The attacker (Mallory) sends several packets but does not send the "ACK" back to the server. The connections are hence half-opened and consuming server resources. Alice, a legitimate user, tries to connect but the server refuses to open a connection resulting in a denial of service. A normal connection between a user (Alice) and a server. The three-way handshake is correctly performed.
Land • Land attack يستخدم برنامج يغير IP header للطلب SYN. هذا التغيير يجعل طلب SYN يبدو أن مصدره الهدف نفسه. تغيير IP header لإخفاء المصدر هو خداع. Source IP Destination IP Source Destination Source IP Destination IP
Smurf Source IP Destination IP Source Destination Source IP Destination IP
Smurf • في هجوم smurf ، المهاجم يرسل كمية كبيرة من طلبات بينغ إلى الشبكة المستهدفة. • يجوز أن يكون المضيف الهدف يتواجد على نفس الشبكة . • المهاجم يغير رؤوس IP لهذه الطلبات بينغ بحيث تبدو أنه تم إرسالها من الشبكة المستهدفة. • وبمجرد أن المضيفين على الشبكة المستهدفة يتلقون طلب ping، يوجهون جميع ردودهم إلى المضيف الهدف. وبناء على ذلك، تثقل طاقة المضيف الهدف و تزيد اتصالاته بالشبكة، فيرفض بذلك الخدمة.
التهديدات الداخلية • التجسس الداخلي هو نوع التهديد الأكثر تطورا للأمن الداخلي.يكون نتيجة لتواصل العاملين بالشركة مع الشركات المنافسة. • يمكن خرق الأمن الداخلي أيضا نتيجة لعدم تقيد بعض المستخدمين بالسياسات الأمنية.
تنفيذ الإجراءات الأمنية تشفير الملفات Authentication المصادقة Auditing التدقيق و المراجعة
تشفير الملفات التشفير هو وسيلة لتشفير البيانات المخزنة على قرص الكمبيوتر بحيث يكون غير قابل للقراءة لأي شخص الا لمالك البيانات.
Encryption التشفير الإرسال Decryption فك التشفير البيانات الأصلية بيانات مشفرة المفتاح العام المفتاح الخاص مفتاح التشفير العام/الخاص • يتم نشر مفتاح واحد، ويتوفر على نطاق واسع. مفتاح عام • المفتاح الآخر هو خاص ومعروف من قبل المستخدم وحده. • كلا المفاتيح مطلوبة لاستكمال اتصالات آمنة. • هذا النوع من التشفير، يسمى التشفير الغير تناظري. asymmetric encryption • مع هذا النوع من التشفير، كل مستخدم لديه على حد السواء المفتاح العام والمفتاح الخاص، أي زوج المفاتيح. . بيانات مشفرة البيانات الأصلية بيانات مشفرة
تشفير الملفات • يتضمن Windows 2000 وظيفة تشفير الملفات. بينما لا يتضمنها Windows 9x و Windows NT • 3 برامج تشفير متوفرة لنظم التشغيل : • PC Guardian • Deltacrypt • Winzap
المصادقة Authentication • المصادقة توفر عدة طرق لتحديد المستخدمين بما في ذلك : • Login and password dialog • Run as dialog
التدقيق والمراجعة Auditing • Event Viewer • Custom scripts هو برنامج يعمل على الخادم ويقوم بإنشاء تقارير تبين من اتصل بالخادم والعمليات المنجزة من لدن المستخدمين خلال فترة معينة من الزمن.
نظم كشف التسلل Intrusion Detection Systems (IDS) Intrusion Detection Systems: هو الأجهزة أو البرامج المسؤولة عن كشف أحداث غير لائقة، و غيرمتوقعة، وبيانات غير مصرح بحدوثها على الشبكة. Snort: هو برنامج IDS real-time الذي يمكن استخدامه لإعلام مسؤول الشبكة عن محاولات التسلل.
7 Application 6 Presentation 5 Session 4 Transport 3 Network 2 Data-Link 1 Physical IP Security • IPSec يؤمن البيانات على مستوى الحزمة. the packet level • يعمل في طبقة الشبكة في نموذج OSI. • ترويسة المصادقة Authentication Header (AH)تمكن من التحقق من هوية المرسل. • تغليف حمولة الأمان Encapsulating Security Payload (ESP)يضمن سرية البيانات نفسها.
طبقة مآخذ التوصيل الآمنةSecure Sockets Layer (SSL) • SSL يعمل على طبقة التطبيق، يجب أن يكون معتمدا من قبل تطبيقات المستخدم • وقد وضع من قبل Netscapeلتوفير الأمن لمتصفح الويب الخاص بها. • ويستخدم مفتاح التشفير العام والخاص.
تطبيق التضميدات و التحديثات Patches and Windows Updates Patch: إصلاحات لكود البرنامج الموجود
Proxy Server Internet مقدمة في الجدران النارية والوكلاء )proxy وكيل ) هي البرامج التي تتفاعل مع الشبكات الخارجية بالنيابة عن المضيف العميل. • عادة، مضيف عميل على LAN آمنة يطلب صفحة ويب من خادم يقوم بتشغيل خدمات الوكيل. • الخادم الوكيل يتصل بشبكة الإنترنت لاسترداد صفحة الويب. • ثم يتم نسخ صفحة الويب لدى الخادم الوكيل، ويشار إلى ذلك باسم التخزين المؤقت.
مقدمة في الجدران النارية والوكلاء • ترجمة عنوان الشبكة Network Address Translation (NAT)يسمح للشبكة استخدام مجموعة من العناوين داخليا ومجموعة أخرى مختلفة عند التعامل مع الشبكات الخارجية.0 • وهذا يسمح بمعالجة آمنة للشبكات المحلية باستخدام عناوين IP الخاصة. • لا توجه عناوين IP الخاصة على شبكة الإنترنت. • لا يمكن للهاكر الاتصال مباشرة بجهاز كمبيوتر باستعمال عنوان خاص. Private IP: 192.168.2.0 Internet Public IP: 10.75.9.0
Packet Filtering • حل الحماية الأساسي لجدارالنار هي تصفية حزم IP. packet filter • لاعتماد تصفية الحزمة، يجب أن يقوم مسؤول الشبكة بتحديد القواعد التي تصف كيفية التعامل مع حزم معينة.
7 Application 6 Presentation 5 Session 4 Transport 3 Network 2 Data-Link 1 Physical Packet Filtering • كل من بروتوكول TCP و UDP يستخدمون أرقام المنافذ لتحديد التطبيقات التي تعمل على المضيف. • تصفية الحزم تكون بفحص ترويسات الطبقة 3 و 4 وأيضا بيانات التطبيقات في الطبقة 7. • فحص الطبقة 7 يتم بغاية تحديد ما يتم استخدامه من تطبيقات، مثل HTTP، FTP، ...
استخدام NOS كجدار ناري • في بيئات عالية الحركة ، يوصى بتصفية الحزمة متخصصة packet filtering و بحل NAT. • تم تصميم جهاز التوجيه أو جدار الحماية لتبديل الحزم والتعامل معها بسرعة. • ويجوز لNOS يعمل على جهاز عادي أن يكون قادرا على القيام بهذه المهمة. • في بيئات منخفضة الحركة ، مثل المكاتب الصغيرة والشبكات المنزلية، استعمال NOS كجدار حماية هو خيار جيد.
Thank You ! www.themegallery.com المدربة نجلاء العرفاوي