تمرارا في مقالاتنا في الحماية و الشبكات, وبعد ما تطرقنا في موضوع سابق عن الاجهزة المكونة
للشبكات. فاليوم ساتحدث عن اجهزة الحماية داخل الشبكة سواء الني تهدف الى حماية الاجهزة او الترافيك
لذا سأتحدت عن ثلات اجهزة او تكنولوجيات اساسية للحماية و هي Firewall ,IDS ,IPS. كيف يعمل كل
ما هو جدار الحماية:
جدار الحماية هو الحاجز الذي يحمي جهاز الكمبيوتر الخاص بك أو شبكة كمبيوترات من أي اختراق أو برامج خبيثة مثل الفيروسات والبرامج الدودية وملفات التجسس التي تحاول الوصول إلى جهاز الكمبيوتر الخاص بك عبر شبكة الإنترنت.
وجدار الحماية نظام مؤلف من برنامج (software) يثبت على جهاز الكمبيوتر ويعمل كحاجز في وجه القراصنة يمنعهم من الدخول إلى جهازك والسماح فقط للبرامج والاتصالات المعروفة والمسموحه من عندك بالدخول إلى جهازك.
يقوم الجدار الناري بمراقبة وتعقب جميع حركات شبكة الاتصال ويمنع حركة المرور الغير المرغوب فيها من الوصول إلى جهازك.
وطريقة عمل جدران الحماية يحددها تصميم جدار الحماية نفسه, وهناك ثلاث أساليب لتصميم جدار الحماية:
1 أسلــوب غربلــة مظاريف البيانـات المرسلــة (Packet Filtering):
تنتقـل المعلومات على شبكة الإنترنت في صورة مظروف إليكتروني. وإذا كان جدار الحماية مصمما بهذه الطريقة فإنه يفحص كل مظروف يمر عبره ويتحقق من تلبية المظروف لشروط معينة يحددها الشخص الذي يدير جدار الحماية، وهذه الشروط تدخل بطريقة خاصة في البرنامج المكون للجدار الناري.
2 أسلوب غربلة المظاريف مع تغيير عناوين المظاريف القادمة من الشبكة الداخلية (أي المظاريف الصادرة):
عندما يقوم مستخدم حاسوب ما بالتعامل مع شبكة الإنترنت، مثل أن يتصفح موقعا ما أو يرسل بريداً إليكترونياً فإن هناك أمورا كثيرة تدور خلف الكواليس دون أن يشعر بها المستخدم، ومن ذلك أن نظام التشغيل الموجود في الحاسوب يقوم بإرسال بيانات إلى شبكة الإنترنت لتحقيق رغبة المستخدم سواء كانت تصفح موقع أو إرسال بريد. وهذه البيانات يجمعها الجهاز في مظاريف إليكترونية تحمل العنوان الرقمي المميز للحاسوب الـــذي أرسلهـــا أو (IP Address). وهــذا العنوان يميز هذا الجهاز عن سائر الأجهزة المرتبطة في شبكة الإنترنت. وفائدة هذا العنوان تمكين الأطراف الأخرى من إرسال الردود المناسبة للحاسوب الذي أرسل البيانات، وبالتالي تقديم الخدمة للمستخدم الذي طلبها. لكن هذا العنوان قد يُستخدم من قبل أصحاب المآرب السيئة لشن هجمات على ذلك الحاسوب.
وعند اعتماد أسلوب غربلة المظاريف مع تغيير عناوين المظاريف الصادرة يقوم جدار الحماية بطمس العنوان المميز للحاسوب الذي أرسل المظروف من المظروف الإليكتروني، ووضع العنوان الخاص بالجدار نفسه بدلا منه. وبهذا لا يرى الأشرار المترصدون من الشبكة الداخلية سوى جدار الحماية، فيحجب الجدار كل أجهزة الشبكة المراد حمايتها، وينصب نفسه وكيلاً (Proxy) عنها، وعندما يرغب الموقع المتصَفح الرد فإنه يرسل رده في مظاريف تحمل عنوان جدار الحماية، وبهذا تأخذ كل المظاريف القادمة ( الواردة) إلى الشبكة الداخلية عنوان جدار الحماية، ويقوم هو عند استلامها بغربلتها ثم توجيهها إلى وجهتها النهائية. ولابد في هذه الحالة أن يحتفظ الجدار بجدول متابعة يربط فيه بين عناوين المظاريف الصادرة والواردة.
وهذا التنظيم يوفر مقداراً أكبر من الحماية مقارنة بالطريقة الأولى؛ لأن الجدار يحجب عناوين الشبكة الداخلية مما يصعب مهمة من أراد مهاجمتها. وهذه التقنية تعرف باسم تحويل العناوين الرقمية (Network Address Translation) أو (NAT) اختصارا.
3 أسلوب مراقبــة السياق (Stateful Inspection):
هنا يقوم جــدار الحمايـة بمراقبة حقول معينة في المظروف الإليكتروني، ويقارنها بالحقول المناظرة لها في المظاريف الأخرى التي في السياق نفسه، ونعني بالسياق هنا مجموعة المظاريف الإليكترونية المتبادلة عبر شبكة الإنترنت بين جهازين لتنفيذ عملية ما. وتجري غربلة المظاريف التي تنتمي لسياق معين إذا لم تلتزم بقواعده؛ لأن هذا دليل على أنها زرعت في السياق وليست جزءاً منه، مما يولد غلبة ظن بأنها برامج مسيئة أو مظاريف أرسلها شخص متطفل.
ماهو الـ IDS ؟
الـ IDS أو intrusion detection system هو عبارة عن نظام حماية تستطيع تشبيهه بـ مضاد الفيروسات الموجود على جهازك يقوم بتحليل كل الترافيك المار عبر الشبكة من خلال أرسال نسخة من هذا الترافيك إليه وتتركز وظيفته الأساسية على التحليل العملي فقط وذلك أعتمادا على Rules يمكن تحميلها من الأنترنت أو أعداداها يدويا بالأضافة إلى قواعد بيانات تحوي معلومات عن الفيروسات والديدان أستطاعت النفاذ من خلال جدار الحماية الموجود على الشبكة وتعمد إليه عمل النظام على مقارنة الـ Signature الخاص بكل فايروس والتى تكون مخذنة في قاعدة البيانات ولكن مايعيب هذا النظام أنه لايقوم بأي ردة فعل اتجاه هذا الفيروسات فكل مايقوم به هو أرسال تحذير إلى مدير الشبكة بوجود شيء غير طبيعي في الترافيك المار ومن هنا نستطيع ان نستنتج ان كلمة detection لاتعني إلا الكشف وقد يخطر على بالك سؤال صغير ماذا أستفيد من هذه العملية ؟ وبكلام آخر ماذا سوف أستفيد أذا دخل الفيروس إلى الشبكة ؟ الأجابة على هذا السؤال يجب أن نعلم أولا أن هذا النوع من الأنظمة مفيد في عدة حالات :
الحالة الأولى : كشف الثغرات الموجودة في أنظمة الحماية.
الحالة الثانية : أرشفة كل أنواع التهديدات التى تحدث للشبكة.
الحالة الثالثة : تحديد الأخطاء التى وقع فيها مسؤولوا الحماية وتصحيحها.
ومايميز هذا النوع أيضا هو أمكانية وضعه بعيدا عن السار الحقيقي للترافيك بحيث لايؤثر على سرعة نقل الداتا.
وآخيرا هذا النظام يعد نظاما قديما جدا بدأ مشروع تطويره أول مرة عام 1984 وأعلن عن اول نظام IDS عام 1986 وهو موجود كهاردوير أو سوفت وير وسوف أعود لأتحدث عنها.
ماهوالـ IPS ؟
الـ IPS أو Intrusion Prevention Systems وهو نسخة مطورة من النظام السابق فهو يقوم بعملية الكشف Detection أولا وبعدها يقوم بتنفيذ ردة فعل معينة Prevention مثل عمل Drop للباكيت الضارة لذا يتوجب وضعه على ممر الترافيك مباشرة .
أنواع IPS :
- HIPS : أو Host-based Intrusion Prevention System يقوم بتأمين الجهاز وذالك كم خلال مراقبة المعالجات, الدريفرات, ملفات .dll, عند اكتشاف عملية مشبوهة, يقوم بإيقاف الدريفر أو الملف المشبوه. كما يمكن الـ HIPS من الحماية من هجمات Buffer Overflow.
- NIPS : أو Network Intrusion Prevention System تقوم بتأمين الترافيك داخل الشبكة. في حالة مرور ترافيك مشبوه يقوم بإنهاء دورة TCP. كما توجد منه نسخة للشبكات الاسلكية WIPS ويقوم بنفس الدور.
- KIPS : تستخدم بشكل أقل من النوعين السابقين, تهدف الى حماية نواة النظام.
أنواع IPS :
- HIPS : أو Host-based Intrusion Prevention System يقوم بتأمين الجهاز وذالك كم خلال مراقبة المعالجات, الدريفرات, ملفات .dll, عند اكتشاف عملية مشبوهة, يقوم بإيقاف الدريفر أو الملف المشبوه. كما يمكن الـ HIPS من الحماية من هجمات Buffer Overflow.
- NIPS : أو Network Intrusion Prevention System تقوم بتأمين الترافيك داخل الشبكة. في حالة مرور ترافيك مشبوه يقوم بإنهاء دورة TCP. كما توجد منه نسخة للشبكات الاسلكية WIPS ويقوم بنفس الدور.
- KIPS : تستخدم بشكل أقل من النوعين السابقين, تهدف الى حماية نواة النظام.
كما قلت يوجد منه ماهو سوفت وبر و هارد وير. في السوفت وير أقدم لكم برنامج يدعى Snort وهو برنامج مفتوح المصدر يمكن تنصيبه على انطمة مايكروسوفت ولينوكس وطبعا أنا أنصح دائما لمثل هذه الأشياء أنظمة لينوكس فهي مستقرا وتعمل لفترات طويلة ولاتستهلك كثيرا من أمكانيات الجهاز بالأضافة إلى كونها أأمن وطبعا البرنامج مجاني وتستطيع أيضا تحميل Rules جاهزة وهذا رابط البرنامج.
ليست هناك تعليقات:
إرسال تعليق
فى حاله ارسال التعليق سيكون عليك الانتظار للموافقه عليها
شكرا لمساهمتك