شبكة الانترنت و تحديات امنية جديدة

للمزيد حول التشفير اقرأ في
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

تعتمد
خوارزمية المفتاح المتناظر او المفتاح السري مثل خوارزمية DES على استخدام
المفتاح ذاته في عملية التشفير وفك التشفير وتتطلب هذه التكنولوجيا قوة
معالجة اقل بكثير من قوة المعالجة التي تتطلبها تكنولوجيا مفتاح التشفير
غير المتناظر . لكل خوارزمية التشفير بالمفتاح السري تتطلب استخدام مفاتيح
منفصلة لكل زوج من المستخدمين يتبادلان المعلومات وهو ما يعد عبئا اداريا
كبيرا ، وتتطلب هذه الخوارزمية ايضا ان تكون منشأت المؤسسات وتوزيع
المفاتيح السرية آمنة ضد تسرب المعلومات وهو امر صعب في بيئة مفتوحة مثل
بيئة انترنت .

يستخدم التشفير غير المتناظر في خوارزمية RSA
مفتاحين منفصلين ويمتلك كل مساهم في التبادلات المشفرة مفتاحا خاصا تسمي
private key معروفا من قبل ذلك الشخص فقط ومفتاحا عاما public key يمكن ان
يعرفه اي شخص ولا يمكن استخدام المفتاح ذاته في عمليات التشفير وفك
التشفير واذا اردت ان ترسل نصا لجهة ما فيمكن لتلك الجهة ان ترسل لك
المفتاح العام public key الذي يمكنك استخدامه لتشفير النص لكن تلك الجهة
فقط يمكنها ان تفك شيفرة النص باستخدام مفتاحها الخاص private key .
تكمن
الفائدة هنا في قلة المفاتيح التي نحتاجها ولكن خوارزمية RSA تحتاج الي
الكثير من قوة المعالجة مما ينعكس سلبا علي الاداء ولهذا معظم التبادلات
المصرقية المشفرة في هذه الايام تستخدم مفاتيح متناظرة لتشفير وفك التشفير
النصوص المتبادلة والتبادلات المصرفية .لكن النص المشفر يرسل الي الطرف
الآخر مع المفتاح السري الذي يتم تشفيره وفك تشفيره باستخدام خوارزمية
التشفير RSA غير المتناظرة .
لا تكتفي هذه الطريقة المركبة من
التشفير بضمان سرية البيانات فحسب بل انها تمكننا من استخدام آلية شرعية
المستخدم تدعي التوقيع الرقمي digital signature فجميع البيانات المشفرة
باستخدام المفتاح الخاص بالمرسل تؤكد علي شرعية المرسل . وتؤكد البيانات
التي يفك تشفيرها باستخدام المفتاح الخاص المستقبل علي شرعية المستقبل .

يتم
التصديق علي صحة المفاتيح العامة عادة باستخدام الشهادات الرقمية التي
ترافق التبادلات المصرفية والموقعة من قبل سلطة مصدقة. ويمكن ان تنشأ
السلطة المصدقة المسؤولة رسميا عن نقل المفتاح العام الي المستخدم في
مؤسسة ما باستخدام الشهادات الرقمية داخل هذه المؤسسة مع شركائها في العمل
الذين تثق بهم وتقدم شركة نتسكيب وشركة Xcert مزودات تصدييق Certification
server لادارة الشهادات الرقمية . ويمكن ان تكون السلطة المصدقة جهة
موثوقة بين مجموعة من المستخدمين او جهة اكبر واكثر انتشارا مثل شركة gte
او Verisgn المعروفة باجراءاتها الصارمة في التأكد من الهويات وتعيين
الشهادات الرقمية . وتعتبر مواصفات X.059 من اكثر المواصفات انتشارا، في
مجال تحديد الشهادات الرقمية وستصبح الشهادات الرقمية احدي تقنيات الامن
الرئيسية المستخدمة في التبالات المصرفية التي تجري عبر بطاقات الائتمان
وعبر التبادلات المصرفية النقدية الرقمية المنتشرة بكثرة في مجال التجارة
الالكترونية .

عدل سابقا من قبل isadil في 29.04.09 0:14 عدل 1 مرات

اما
النوع الاكثر تقدما وأمنا من انواع جدران النار فهي برامج بوابات
التطبيقات application gateways ، تستخدم معظم منتجات جدران النار العاملة
بتقنيات بوابات التطبيقات بما فيها برامج eagle الشهيرة من شركة Raptor ما
يسمي توكيلات التطبيقات application proxies وهي عبارة عن برامج مكتوبة
لخدمات معينة من خدمات انترنت ( مثل خدمات HTTP، FTP وخدمة telnet وتعمل
علي مزود مرتبط بشبكتين كمزود Server لزبون تطبيقات application client
وكزبون لمزود التطبيقات application server

ونظرا لان برامج
توكيلات التطبيق تقوم بتقييم رزم الشبكة لتحديد شرعية البيانات المتعلقة
بتطبيق معين فانها تعتبر شكل عام أكثر امنا من مرشحات الرزم . وتمتاز معظم
جدران النار لبوابات التطبيقات باحتوائها علي ميزة تدعي "ترجمة العناوين
الشبكة" Network Adress Translator والتي تمنع ظهور عناوين IP الداخلية.
امام المستخدمين من خارج الشبكة الموثوقة .
تكمن احدي السلبيات
الرئيسية في تقنية بوابات التطبيقات في انخفاض مستوي الاداء بسبب المعالجة
المضاعفة التي تتطلبها وظيفة التوكيل proxy function وهناك سلبية اخري
تكمن في انه قد يتوجب عليك ان تنتظر عدة اشهر حتي تزودك الشركة الصانعة
لبرنامج جدران النار بتوكيل التطبيق application proxy لاي حدمة جديدة من
خدمات انترنت مثل استخدام خدمات realautio . واذا كنت تنوي استخدام جدران
النار دفاع محيطي خارجي فقط وراء توصيلات T1 الي مزود خدمة انترنت فلا
داعي للقلق علي الاداء، لان عرض الحزمة المنخفض لهذه التوصيلات سيصل الي
حد الاشباع قبل وصول جدران النار الي ذلك الحد . قد تجد الكثير من
المؤسسات ضرورة في استخدام جدران النار اضافية علي مستوي شبكاتها الداخلية
لفرض حزام امني علي مزودات اقسامها المختلفة مثل مزود المورد البشرية الذي
يحتوي عادة علي معلومات حساسة، ويصبح الأداء في هذه الحالة عاملا مهما
نظرا لان الربط سيعتمد علي شبكة ايثرنت بسرعة10 ميجابت/ثانية
او شبكة
ايثرنت السريع 100 ميجابت/ثانية. واذا كنت تنوي استخدام توكيلات التطبيقات
داخليا فعليك ان تعتمد علي حل مبني علي عتاد سريع مثل pix firewall من
شركة cisco او firebox من شركة seattle software او قد تلجا الي تركيب
برمجيات جدران النار علي نظام يتمضن عدة معالجات .

اما النوع
الثالث من تكنولوجيا جدران النار والذي اسمته شركة check point software
باسم تفقد الحالة الكاملة statefull inspection فهو موجود في برنامج
firewall-1 من شركة نفسها وبرنامج pix firewall من شركة سيسكو وبرنامج On
Guard من شركة On technology وبرنامج firewall/plus من شركة network-1
وكما هو الحال في تقنية ترشيح الرزم فان هذه التقنية تستقبل اولا الرزم
علي مستوي طبقة الشبكة Network layer ثم تقوم بتفحص جميع الرزم ومقارنتها
مع نماذج معروفة من الرزم الصديقة وفيما تعطي طريقة تفقد الحالة الكاملة
اداء اعلي بقليل من اداء توكيلات التطبيقات الا ان الجدل يبقي قائما فيما
اذا كانت آمنة مثلها ام اقل امنا منها.
للمزيد اقرأ [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

كتبت
معظم برامج جدران النار في البداية لنظم لينكس ثم خرجت برامج جدران النار
لويندوز ان تي وغيرها ومما يجدر بالذكر ان خرق الحواجز الامنية نتيجة
اخطاء في تجهيز برامج جدران النار اكثر احتمالا من ان يكون ناتجا عن مشاكل
تتعلق في المنتجات او في نظم التشغيل التي تعمل عليها ...

الشرعية authentication
تقوم
برامج جدران النار بالتأكد من شرعية دخول المستخدم الي ملفات الشبكة
باستخدام عناوين IP التي تخصص لكل مزود وجهاز شبكة يمكن خداعهم واذا اردت
ان تسمح لمستخدمين معينين الوصول عبر شبكة انترنت الي ملفات وبيانات حساسة
فعليك التاكد من شرعية المستخدم الفعلي ..
يمكن وصف الشرعية بانها
مجموعة الطرق التي تتعرف ايجابيا علي المستخدم وتعتبر كلمات المرور
passwords من اكثر الطرق انتشارا في مجال الشرعية المستخدم، لكن
المستخدمين مشهورون باستخدام كلمات مرور يمكن تخمينها بسهولة من قبل
الدخلاءhackers ذوي الخبرة .
وبالاضافة الي كلمات المرور التي تدخل
غالبا ضمن نطاق "شيء تعرفه" فان الكثير من المؤسسات تلجا الي حلول تعتمد
علي "شيء تملكه " مثل الفيش tokens والبطاقا الذكية smart card والفيش
اجهزة صغيرة بحجم بطاقات الائتمان يحملها الاشخاص الذين يستخدمون الشبكة
عن بعد .

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

ويمكن
تجهيز منتجات برامج جدران النار بحيث تحول شرعية الدخول الي خدمات معينة
الي مزود مخصص لهذه الغاية او يمكنك استخدام احدي خدمات الشرعية التي
يتضمنها المنتج .
وتعتبر الشهادات الرقمية digital certificates
الشروحة في الفقرة التالية المتعلقة بالتشفير احدي الطرق المستقبلية التي
تستخدم في مجال شرعية المستخدم والتي تحمل آلاما كبيرة للمراسلات والتجارة
الالكترونية .

التشفير Encryption
مع الانضمام الجماعي
للمكاتب والمؤسسات الي الشبكة، بدا العديد منها يتطلع الي البنية التحتية
لشبكة انترنت كوسيلة نقل رخيصة نسبيا للربط بين شبكات المناطق الواسعة
وللربط عن بعد لكن استخدام شبكة انترنت لمثل هذه الاغراض يتطلب من الشركات
ان تحمي معلوماتها عن طريق التشفير . ويمكن تعريف التشفير بانه عملية
استخدام صيغة ما تدعي خوارزمية التشفير encryption algorithm لترجمة النص
العادي الي شيفرة غير مفهومة ثم تحويله من جديد الي نص عادي، ويعتمد نص
التشفير بشكل اساسي علي استخدام قيمة عددية تدعي المفتاح key وتصبح جزءا
من خوارزمية التشفير وتعتبر مسؤولة عن بدء عملية التشفير .
يتوفر
العديد من انواع خوارزميات التشفير الا ان اكثرها انتشارا هي خوارزمية DES
التي تعتمد علي استخدام مفتاح التناظر Symmetric Key او مفتاح سري Secret
Key وخوارزمية RSA التي تعتمد علي استخدام مفتاح غير تناظري Asymmetric
Key او مفتاح عام public key ويمكن استخدام خوارزمية DES مع مفاتيح بطول
40 او 56 بت اما اطول مفاتيح خوارزمية RSA فتتراوح بين 512 بت و 2048 بت،
وتتراوح اصدارة حديثة وقوية منDES تعتمد علي اكثر من مفتاح واحد تسمي
Triple DES ، تعتبر مواصفات S/MIME مواصفة مستقبلية في مجال امن البريد
الالكتروني ، تستخدم خوارزمية التشفير RSA

الرحمان الرحيم

اما بعد

يجلب الارتباط مع شبكة الانترنت تحديات امنية جديدة، لشبكات الشركات الكبيرة،
شهد
العامان الماضيات دخول آلاف الشركات الي شبكة انترنت، حيث أنشأت هذه
الشركات مواقع لها علي شبكة ويب، وزودت موظفيها بخدمات البريد الالكتروني
ومتصفحات
انترنت واصبح بذلك امام المستخدم الخارجي المسلح ببعض المعرفة وبعض
الاهداف الخبيثة طريقة جديدة للتسلل الي الانظمة الداخلية، واجهزة الشبكات
في شركة ما عن طريق روابط انترنت . وحالما يصبح هذا الدخيل داخل شبكة
الشركة، يمكنه ان يتجول فيها ويخرب او يغير البيانات، او يسرقها مسببا
اضرارا من مختلف الانواع؟، وحتي اذا اخذنا اكثر تطبيقات انترنت استخداما
وهو البريد الالكتروني فانه لا يعتبر مامونا ، يمكن لمن لديه محلل
بروتوكولات protocol analyzer وامكانية الوصول الي الموجهات routers
والاجهزة الشبكية الاخري التي تعالج البريد الالكتروني اثناء انتقاله من
شبكة الي شبكة عبر انترنت ان يقرأ او يغير الرسالة المرسلة، اذا لم تتخذ
خطوات معينة لضمان سلامتها .

تتصرف بعض الشركات وكأن التحديات
الامنية لم تكن خطرا حقيقيا بالامس القريب حيث تتطلع الي البنية التحتية
لشبكة انترنت، كوسيلة رخيصة نسبيا، لربط شبكتين او عدة شبكات محلية LAN
معزولة جغرافيا مع بعضها البعض او للربط عن بعد مع شبكة ما., وتجدر
الاشارة الي ان اعمال التجارية علي شبكة انترنت والتي تتطلب الملايين من
التبادلات المصرفية السرية اصبحت قريبة من متناول الكثيرين.

وتستجيب
اسواق امن الشبكات Network Security بسرعة لتحديات امن شبكة انترنت عن
طريق تبني تقنيات شرعية authentication والتشفير encryption المتوفرة في
هذا المجال لتطبيقها علي روابط شبكة انترنت ، وعن طريق تطوير منتجات جديدة
في مجال امن المعلومات، وتعتبر الاسواق اليوم في فوضي معايير وتقنيات
ومنتجات ،

السياسية الامنية

لن يكون الربط مع شبكة
انترنت مثل الربط مع اي نوع آخر من الشبكات آمنا تماما، وبدلا من أن تلجأ
الشركات الي تحقيق الامن المطلق عليها ان تقوم اهمية المعلومات التي تقوم
بحمايتها، وتحقق نوعا من التوازن بين احتمالات خرق الترتيبات الامنية وبين
كلفة تحقيق مختلق هذه الترتيبات.

يجب ان تركز الخطوة لاولي علي
استنباط سياسة امنية شاملة للشركة او علي تطوير السياسة الامنية المتعبة
بحيث تاخذ في الاعتبار الربط مع انترنت. ويجب ان تحدد هذه السياسة
بالتفصيل الموظفين الذين يحق لهم الوصول الي كل نوع من انواع الخدمة التي
تقدمها انترنت،، كما يجب ان تثقف الموظفين في مجال مسئولياتهم تجاه حماية
معلومات الشركة مثل مسؤولياتهم تجاه حماية كلمات المرور التي يستخدمونها
بالاضافة الي تحديد الاجراءات التي ستقوم الشركة بها في حال حدوث خرق لمثل هذه الخطة الامنية .
وتعتبر
هذه السياسة أداة هامة جدا في تحديد المجالات التي ستنفق فيها اموال
الشركة للحفاظ علي امن معلوماتها ، ويقدم كتاب دليل امن المواقع Site
Security handbook الذي اصدره مجموعة Network Working Group التابعة لهيئة
Internet Engineerig task force او IETF فكرة جيدة عن الموضوعات التي يجب
اخذها بعين الاعتبار عند وضع سياسة الامنية .

تتطلب السياسة
الامنية كجزء من ترتيباتها تقدير الكلفة التي ستتحملها الشركة، في حال خرق
الترتيبات الامنية. ويجب ان ينخرط الموظفون علي اعلي المستويات في هذه
العملية وقد يكون من المفيد ان تقوم الشركة بتوظيف مستشار لامن الكمبيوتر،
لضمان امن معلوماتها ، وتقدم الكثير من الشركة المزودة لخدمة الانترنت،
الاستشارة والنصح في هذا المجال، وتبدأ بعد تحديد السياسة المتبعة، عملية
تقويم استخدام برامج جدران النارية firewall، والتشفير encryption
والشرعية authentication .

جدران النار
يخطر في بال معظم
الناس عند الحديث عن امن شبكة انترنت برامج جدران النار وعلي الرغم من ان
برامج جدران النار لا تعتبر علاجا لجميع مشاكل امن المعلومات علي شبكة
الانترنت،،، الا انها ضرورية لاي استراتيجية متعبة، في مجال امن انترنت،
تعتبر برمجيات جدران النار ببساطة حاجزا بين شبكتين وهما في اغلب الاحيان
شبكة داخلية وتسمي الشبكة الموثوقة trusted network شبكة خاجية تسمي
untrusted network وهي شبكة انترنت في هذه الحالة وتقوم برمجيات جدران
النار بفحص رزم البيانات القادمة والخارجة اعتمادا علي مجموعة قواعد التي
يضعها المشرف علي الشبكة، للسماح لهذه الرزم بالمرور او يقوم بحجبها
ومنعها من الوصول الي الشبكة الداخلية .
تستخدم معظم برمجيات جدران
النار اليوم طريقة واحدة او اكثر من الطرق الثلاث المتبعة في فحص الرزم
وتستخدم العديد من الموجهات تقنية جدران النار المسماة بترشيح الرزم
packet filtering والتي تفحص عناوين وبوابات المصدر Source والوجهة
النهائية destination لرزم TCP ورزم UDP القادمة ثم ترفض او تسمح للرزم
بالمرور وفقا لمجموعة من القواعد مسبقة التحضير وتعتبر تقنية ترشيح الرزم
طريقة رخيصة نسبيا وشفافة بالنسبة للمستخدم ولها تاثير طفيف غير ذي بال
علي اداء الشبكة ولكن تجهيز تقنية ترشيح الرزم يعتبر عملية معقدة نسبيا
ويتطلب معرفة دقيقة بالشبكة وبروتكولات النقل بل يتطلب في بعض الاحيان
معرفة ببروتوكولات التطبيق .
تكمن المشكلة الاخري في تقنية مرشحات
الرزم في انها عرضة لما يسمي خداع بروتوكول انترنت IP Spoofing وهي طريقة
يستخدمها الهاكرز ليتمكنوا من الووصول الي شبكة شركة عن طريق تغيير عناوين
بروتوكولات انترنت في ترويسة الرزم الي عناوين اخري مقبولة من قبل شركة
اخري

» احلى توبيكات لاحلى أعضاء شبكة أميتك من أحلى مشآآآعر
» حكم الزواج عن طريق الانترنت
» قراصنة الانترنت يخترقون أغلى أسلحة البنتاجون
» عاجل برنامج لتسريع التحميل من الانترنت اربع اضعاف
» نكت جديدة