دوره في الشبكات اللاسلكيه (شرح + صور)

البداية في انشاء الشبكات اللاسلكي

أليس من الرائع أن تقوم بالدخول على الانترنت من أي مكان في بيتك؟ في
المطبخ أو في المكتبة أو حتى في الحديقة الداخلية لمنزلك؟ فهذا شيء رائع.
ففي هذه المقالة إن شاء الله سنتحدث قليلا عن الشبكات اللا سلكية. سنركز
بصورة عامة على سلبيات هذا النوع من الشبكات والتحديات التي تواجهها
واحتياجات هذا النوع من الشبكات.

قد تم اعتماد نظام معين لعمل شبكات لا سلكية في المنزل. وهذا النظام هو
WiFi أو مجرد 802.11b . ستستغرق عملية تكوين شبكة لا سلكية في المنزل
الكثير من الساعات على مدى أسابيع طويلة. فهذا الأمر ليس لمن لا يملك صبرا
جلدا! إن أردت أن تصنع الشبكة بنفسك، فستقوم بالكثير من الاتصالات لشركة
الاتصالات في بلدك. فالعملية معقدة نوعا ما.

لنتحدث عن بعض المشاكل التي ستواجهها عند تنصيبك لشبكة لا سلكية. على
الرغم من معيارية الـWiFi إلا أن هناك الكثير من مكونات الشبكة اللا سلكية
التي لها معايير مختلفة، مما يؤثر في سهولة تركيب المكونات مع بعضها. ويجب
ألا ننس أن الكثير من الشركات تبالغ عندما تقول بأنه يمكنك أن تجعل
الكمبيوترات متصلة على بعد 300 قدم. فلن تحصل على هذا الأداء إلا في ظروف
معملية معقدة! فأقصى مسافة عملية تستطيع الحصول عليها في الشبكة اللا
سلكية هي ما بين 50 إلى 30 قدم، اعتمادا على نوعية بطاقة الشبكة.

ولكن عندما تعمل الشبكة اللا سلكية، فإن الكثير من الفوائد ستتحصل. ولكن كيف تبدأ في عمل شبكة لا سلكية؟

أهم شيء هو أن يكون لديك اتصال سريع بالانترنت، cable أو DSL . الشبكات اللا سلكية لا تعمل جيدا مع Dial Up connections

ثانيا، يجب أن تحصل على بطاقات لا سلكية wireless adapter cards وهذه البطاقات تعمل كعمل الهوائي والراديو للاتصال بالشبكة.

والآن نريد أن تقرر قرارا. هل تريد فقط أن تشارك في الاتصال في الانترنت
أو بالاضافة إلى المشاركة بالاتصال في الانترنت تريد أن ترسل وتستقبل
الملفات فيما بين الأجهزة المختلفة المتصلة بالشبكة اللا سلكية؟

اذا كان الهدف هو مجرد المشاركة في الاتصال بالانترنت، فإن العمل يصبح
سهلا. كل ما عليك عمله هو أن تحصل على نقطة دخول لا سلكي wireless-access
point. ومن ثم تقوم بوصل هذه النقطة في موديم الـDSL أو Cable وتكون
الأجهزة المتصلة بالشبكة بالاتصال بالانترنت.

أما اذا أردت أن ترسل الملفات وتستقبلها، فإن الأمر يصبح أكثر تعقيدا. يجب
عليك أن تشتري موجه router لكي يقوم بعملية تبادل الملفات فيما بين
الأجهزة المتصلة بالشبكة اللا سلكية.

وأخيرا، فإن أهم شيء في الشبكات اللاسلكية هو عدم الحاجة إلى كابلات أو أسلاك.

هذه هي مقدمة بسيطة جدا في علم الشبكات اللاسلكية. وإن كتب الله لي العمر،
فإن شاء الله سأكتب المزيد عن هذا الأمر. دعواتكم لنا بدوام التوفيق
والنجاح

وأرجو من الله أن يتقبل عملي هذا.

ربط الشبكة اللاسلكية بالشبكة السلكية

تعلمنا في الدروس السابقة كيفية اعداد شبكة لاسلكية مكونة من جهازين و
نقطة اتصال. و لجعل هذه الشبكة اكبر, يمكن شراء كروت شبكة لاسلكية جديدة و
تركيبها على أجهزة حاسب مع اتباع التعليمات و سيكونون ضمن الشبكة
اللاسلكية.

في العادة فان الشبكة اللاسلكية تكون دخيلة على منزل او شركة تحتوي على
شبكة موجودة منذ زمن, و هي الشبكة السلكية او الشبكة التي تستخدم الاسلاك
من نوع UTP القياسية لنقل الملفات المستخدمة في الشبكات المنتشرة و
المعروفة لدينا.

فعند دخول هذه الشبكة اللاسلكية لمنزل او شركة, فانه في اغلب الاوقات,
يرغب المسؤولون عنها بان تكون جزءاً من الشبكة الموجودة عندهم, او ان
يستطيعوا تبادل الملفات او مشاركة الانترنت و ممارسة حياتهم الطبيعية كما
كانوا يفعلون من قبل ولكن بدون اسلاك!

بطبيعة الحال فان الشبكة اللاسلكية مفصولة تماماً عن الشبكات السلكية, و
نحن هنا بصدد توضيح طريقة دمج او ربط الشبكتين مع بعضهما البعض.



ان طريقة الدمج ليست صعبة على الاطلاق. كل ما سنحتاجه هو في اغلب الاحيان
موجود ولا داعي لشراء برامج او عتاد جديد. و نرا المثال التالي سوياً حتى
نفهم الطريقة:

لدى محمد شبكة منزلية مكونة من 5 اجهزة حاسب متصلة مع بعضها البعض بواسطة
Hub و الشبكة من نوع peer to peer او ند لند و لا وود لجهة مركزية في
الشبكة يتم فيها تخزين الملفات او خلافه.

بعد فترة اشترى محمد اجهزة محمولة جديدة ليتم وضعها في غرف بعيدة نوعاً ما
عن الغرفة التي تحوي على الاجهزة ال5 و ايضا سيتم تحريك هذه الاجهزة
المحمولة بشكل مستمر و لن تبقى في غرفة واحدة, و مسألة مد اسلاك صعبة
نوعاً ما في حالته, فلم يتردد في شراء العتاد المناسب للشبكة اللاسلكية
التي قرر ان يستخدمها كحل للموضوع.

قام محمد بشراء العتاد اللازم و ركب كروت الشبكة اللاسلكية في الاجهزة
الجديدة و استطاع نقل الملفات بين الاجهزة المتصلة مع بعضها لاسلكياً. بعد
ان تأكد ان الشبكة اللاسلكية تعمل بشكل ممتاز, اراد ربطها مع الشبكة
السلكية لكي يتمكن من الدخول لشبكة الانترنت عن طريق مودم الADSL الذي
يمتلكه و الذي يعمل على احد الاجهزة ال5.

لكي يتمكن محمد من ربط الشبكتين مع بعضهما, يجب ربط نقطة الاتصال بالHub
او الموزع المتصلة به الاجهزة ال5. قام محمد باستخراج كيبل من نوع
crossover و الذي وجده مع عدة نقطة الاتصال وأدخل احد الاطراف في الموزع
كما في الصورة التالية:



و قام بالنظر الى نقطة الاتصال لديه فوجد فتحة موجودة في الخلف لايصال الطرف الاخر من الكيبل كما في الصورة التالية:



قام محمد بتوصيل الطرف الآخر من الكيبل بالفتحة باحكام و تأكد من ان كل
التوصيلات صحيحة و في مكانها فقام بتوصيل محول الكهرباء بنقطة الاتصال
لتعمل مرة اخرى, و من ثم اراد ان يتأكد ان كل شي على ما يرام و ان عملية
الربط تمت. ذهب محمد الى سطح المكتب (Desktop) و نقر نقرة على ايقونة My
Network Places و اختار Search for Computers ...

كتب عنوان الكمبيوتر المتصل بشبكة الانترنت و الموجود ضمن الشبكة السلكية وهو 192.168.0.1 و ضغط على Search فوجد التالي:



تأكد بعدها ان الشبكتان موصولتنا ببعضهما الان و يمكنه مشاركة الانترنت و
الملفات و الطابعة من اي مكان في المنزل باستخدام اجهزة الحاسب النقالة
الجديدة.

قام محمد بعدها بالدخول الى 192.168.0.1 و استخرج بعض الملفات التي يحتاجها.



بمتابعة قصة محمد نعلم ان مسألة ربط الشبكتين ببعضهما ليست صعبة على
الاطلاق و فائدتها عظيمة جداً , فبامكانه الان تصفح الانترنت و استخدام
الطابعة و تبادل الملفات مع بقية الاجهزة الموجودة ضمن الشبكة المنزلية
بحرية مطلقة دون الاضطرار الى البقاء في مكان محدد , كل ما يحتاجه الان هو
التأكد من الجوانب الامنية بين الشبكتين لكي تبقى المعلومات المهمة في
مأمن.

تحياتي و لاتنسونا من الدعاء

معاً نحو بيئة لاسلكية آمنة

ان للشبكة اللاسلكية اخطاراً تهدد امنها كغيرها من الشبكات, سواء كانت هذه
المخاطر مشتركة بين الشبكات السلكية و اللاسلكية , او كانت مخاطر مخصصة او
موجودة فقط في الشبكات اللاسلكية وما تحتويه من معايير و غيرها.

في هذا الدرس سنحاول قدر الامكان التركيز على تأمين البيئة الشبكية
اللاسلكية من أغلب المخاطر التي قد تهددها, لا يوجد أمن 100% و لكن علينا
قدر الامكان ان نقترب من هذه النسبة بتنفيذ بعض الامور التي ستساعد على
جعل الشبكة آمنة قدر الامكان.

من المعروف ان من أخطر ما يهدد الشبكات هذه الايام هي هجمات حجب الخدمة
التي قد تتعرض لها و في كثير من الاحيان يصعب تفاديها ان تمت بصورة دقيقة
و مركزة. ان منفذي هجمات حجب الخدمة الموزعة DDoS او Distributed Denial
of Service يحتاجون الى عدد كبير من الاجهزة لكي ينفذوا هجماتهم, فتراهم
يبرمجون برمجيات تعمل على اتمتة الهجوم و الاستيلاء على اجهزة الحاسب و من
ثم الانتقال الى الاجهزة المجاورة و غيرها بصورة تلقائية سريعة, و اذا كان
جهاز الحاسب غير محمي بصورة كافية فانه سيقع ضمن قائمة الاجهزة التي تنتظر
الاوامر من المهاجمين لتنفذ الهجوم. في العادة فان الاجهزة المصابة لا يتم
حذف الملفات منها, لكن يتم استعمالها جميعاً في وقت واحد في الهجوم على
شبكة معينة او موقع معين و تلك الاجهزة تسمى بالzombies.

من أكثر الجهات التي ينصب اهتمام المهاجمين على الاستيلاء على اجهزتها ,
هي الشركات الكبيرة و الجامعات و الكليات التي تحمل عدد كبير من اجهزة
الحاسب المتصلة بالانترنت بشكل متواصل و ان لم يتخذ المسؤولين عن هذه
الشبكات الحذر من امور عديدة, فان نسبة تعرض اجهزة شبكتهم للاشتراك في
هجوم امر وارد.

و بما ان اغلب الشركات و الجامعات بدأت بالتوجه الى استعمال الشبكات
اللاسلكية, فان نسبة الخطر في ضلوع اجهزتها بطبيعة الحال ترتفع لاسباب
عديدة اولها ان الاجهزة لن تكون في العادة موجودة في مكان ثابت, بل تتحرك
و ربما تخرج من مبنى الشركة نفسها! لذا وجب الحذر من اتخاذ كافة الوسائل
الممكنة من جعل الشبكة اللاسلكية آمنة قدر المستطاع.

ان الاجهزة المحمولة التي تملك كرت شبكة لاسلكي موصل بمقوي للارسال,
بامكانها ان تشارك في نقل الملفات و التعامل كما لو كانت في مبنى الجامعة
او الشركة او الكلية و في الحقيقة من الممكن ان تبعد كيلومترات عنها! و
اذا كانت نقاط الاتصال الموجودة في المؤسسة او الجامعة لم يتم تضبيط
اعداداتها بطريقة سليمة,و لم يتم تعديل الاعدادات الافتراضية المعروفة لدى
كل باحث, فان اي شخص على بعد أميال (باستخدام مقوي للارسال)يستطيع الدخول
بكل سهولة على الشبكة.

ان أغلب الامور التي من الممكن ان يتم استغلالها هي الاعدادات الافتراضية
لنقاط الاتصال Access Points, و في ما يلي بعض الامور التي ستساعد في
تقليل مخاطر الاعدادات الافتراضية:

معّرف الخدمة او الSSID

ال SSID او الService Set IDentifier تعني معّرف الخدمة. ان كل نقطة اتصال
تملك معرّف يكون عبارة عن كلمة او رقم او خليط بين حروف وارقام. يقوم هذا
المعرف بالتعريف عن نقطة الاتصال و لنفرض ان نقطة اتصال معينة تملك SSID
معين على سبيل المثال هو = الموسوعة. ان اي شخص موجود في مدى التغطية التي
تغطيها نقطة الاتصال ( المدى يعتمد على امور عديدة قد تصل الى كيلو مترات,
سواء كان في نفس البيت او المبنى او كان في الشارع المجاور للبيت) يستطيع
ان يدخل الى الشبكة الخاصة بنقطة الاتصال ذات المعرف ( الموسوعة) اذا عرف
ان كلمة (الموسوعة) هي الSSID الخاص بها. أغلب نقاط الاتصال تحمل اعدادات
افتراضية و يكون المعرف لها معروفاً و في الغالب يكون كلمة (default). اذا
لم يتم تغيير هذا المعرف الى اي شي آخر, فان اي شخص يقع في ضمن مدى نقطة
الاتصال يستطيع الدخول للشبكة الخاصة بها بدون عوائق!

من الامور الموجودة في الاعدادات الافتراضية الخاصة بالSSID هو الSSID
Broadcasting. تقوم نقاط الاتصال بالتعريف عن نفسها بشكل مستمر على مدى
التغطية التي تغطيه, فتقوم بصورة مستمرة بارسال اشارات تقوم بالتعريف عن
نفسها و بمعرّفها الخاص. بهذه الطريقة يمكن لاي شخص يملك جهاز خاص, او
كمبيوتر محمول به كرت شبكة لاسلكية ان يتجه الى المنطقة التي تغطيها نقطة
الاتصال فيحصل بشكل تلقائي على الاشارة مع رقم المعرف, فيعرف انه الان
يمكنه الاتصال بشكبة نقطة الاتصال (الموسوعة) من موقعه. يجب تعطيل هذه
الخاصية التي تأتي بصورة افتراضية في العادة حتى لا يتمكن ضعاف النفوس من
الذين يملكون اجهزة محمولة ذات كروت شبكة لاسلكية من الاقتراب و معرفة
الاماكن (القريبة) من المنزل او المبنى و التي من خلالها يستطيعون الدخول
على الشبكة اللاسلكية. يفضل قدر الامكان تغيير المعّرف بصورة مستمرة بين
حين و آخر, حتى ان حصل احد الذين يحاولون اختراق الشبكة على المعرف الخاص
بنقطة الاتصال في وقت معين, فانه عند تغييره بصورة مستمرة ستصعب مهمته
اكثر.

من الممكن ايضا تقليل نسبة الارسال لدة نقطة الاتصال بحيث ان يكون مداها
قدر الامكان على المحدود المطلوبة و المسموح بها لا ان تتخطى هذه الحدود و
تغطي مساحات خارج نطاق المنزل او الشركة و التي قد يستغلها البعض في
الدخول للشبكة الخاصة.

نستطيع تمثيل مسألة خروج مدى التغطية عن حدود المؤسسة او المنزل الى
مسافات لا داعي لها, كوصول المدى الى الشارع المجاور , بتوزيع اسلاك و
كيبلات خاصة بالشبكة الداخلية, ماعلى الناس الا ان يحضروا اجهزتهم و
يوصلون كروت الشبكة بالكيبلات و الاسلاك و يدخلون على الشبكة الداخلية وهم
جالسون في الشارع المجاور!

فلترة الMAC Address

الMAC Address او ال Media Access Control Address هو العنوان الفيزيائي
لكروت الشبكة. كل كرت شبكة في العالم يحمل رقم يميزه عن غيره, تقوم
الشركات المنتجة بوضع ارقام خاصة على اساس نظام الهكس لتميز كروت الشبكة
عن بعضها و من المفترض ان لا تكون هذه الارقام مكررة ابداً. بطبيعة الحال
نقطة الاتصال تعتبر من الطبقة الثانية في الOSI Model او ال Open System
Interconnect يعني في طبقة الData Link كالسويتشات فان تعاملها يكون مع
الMAC Address وليس مع الIP Address. و هنا يستطيع المسؤول عن الشبكة
اللاسلكية ان يحدد الاجهزة التي يسمح لها باستخدام نقطة الاتصال الخاصة به.

كما نعرف فان كل جهاز حتى يتصل بالشبكة اللاسلكية يجب ان يحتوي على كرت
شبكة لاسلكية, و كل كرت شبكة لاسلكية تملك رقم خاص مميز وهو الMAC Address
و من المفترض ان المسؤول عن الشبكة يعي و يعلم عدد الاجهزة الموجودة لديه
او لدى شركته و التي يريدها ان تستخدم شبكته اللاسلكية. عندها يستطيع
فلترة استخدام نقط الاتصال لديه و يحدد الاجهزة بواسطة اضافة ارقام الMAC
الخاصة بهذه الاجهزة في قائمة الاجهزة المسموح لها باستخدام الشبكة او
استخدام نقط الاتصال و لا يسمح بغير هذه الاجهزة مهما كانت باستخدام نقاط
الاتصال الخاصة بشكبته.

تشفير البيانات باستخدام الWEP

أغلب نقط الاتصال تملك امكانية التعامل مع البيانات المشفرة. باستخدام
تقنية الWEP او Wired Equivalent Privacy فانه و تفعيلها في نقطة الاتصال,
يمكن تشفير استلام و تمرير البيانات المشفرة فقط. لذا يجب على كل مستخدم
يريد استخدام الشبكة اللاسلكية ان يفعل خاصية الWEP اي التشفير في جهازه,
كي يتم تبادل البيانات بصورة مشفرة تصعب في معظم الاحيان معرفة محتواها ان
تم نسخ هذه البيانات اثناء مرورها بين الاجهزة.

و كخط دفاع ثاني, عند استخدام ميزة التشفير, يجب تبادل مفتاح التشفير
المسمى ب WEP Key فهو عبارة عن ارقام على اساس Hex تحدد درجة التشفير , و
كلما زاد حجم الرقم زادت صعوبة كسر التشفير و ايضا زادت المدة التي يتم
نقل البيانات بعد تشفيرها و استلامها و من ثم فك تشفيرها. و يعتبر المفتاح
خط دفاع ثاني لانه يجب على الاطراف المستخدمة للشبكة معرفة هذا المقتاح كي
يتم تشفير البيانات على اساسه, و يفضل تغييره بين فترة و اخرى حتى ان وقع
في يد احد المتطفلين فانه لن يستخدمه لفترة طويلة.

الكلمة السرية الافتراضية Default Password

تأتي نقط الاتصال من الشركات المنتجة لها بكلمة سرية معينة موحدة و
معروفة, يجدها المستخدم في الدليل الخاص بال Access Point, و في بعض
الاحيان تكون الكلمة السرية خالية , يعني ان عند تسجيل الدخول لنقطة
الاتصال لتغيير الاعدادات, يكون اسم المستخدم هو مثلا admin و الكلمة
السرية غير موجودة! من الواضح انه يجب تغييرها الى كلمة سرية صعبة مكونة
من ارقام و حروف .هذه هي الاعدادات الافتراضية التي وجدت لتسهل العملية
على المستخدمين لكن ان بقيت هكذا فانها قد تؤدي لى مصائب كبيرة, يمكن
تفاديها بسهولة باتباع التعليمات و النصائح.

هذه بعض الامور التي ستساعد في تقوية أمن الشبكات اللاسلكية, رغم ان
الحديث عن أمن الشبكات امر واسع جداً و لا يمكن حصره في دروس, الا ان وضع
النقاط على الحروف امر مطلوب لمعرفة أهم الامور التي يجب التركيز عليها
لتقليل المخاطر التي قد يواجهها اي مسؤول عن الشبكات.

تحياتي و لا تنسونا من الدعاء.

لا احد منا يجهل ضعف موارد الشبكات في اللغه العربيه وخاصه
المتقدمه منها ، ولهذا بدأت بكتابة سلسلة بسيطه عن الIP Security او ما
يعرف بIPSec ،، واحببت ان اضع ما كتبت هنا لاخذ اراءكم واقتراحاتكم على
الطريقه والكيفية المتبعه طمعا بكرمكم .

سنبدأ ان شاء الله دراسه مفصله عن احد اهم التقنيات الحديثه وهو الIP Security او ما يعرف بالIPSec .

مقدمه :
بعد التقدم والتطور الذي حصل في عالم السيكيورتي ، وبعد تطور اساليب
المخترقين في عملياتهم وتنوعها كMan-IN-THe-Midle و كSniffing والRelaying
والكثير غيرها ،، كان لا بد من ايجاد طريقة امنه لتخطي هذه الامور وخصوصا
في الامور الحساسه كالتجاره الالكترونيه وعمليات كشف الحسابات عن طريق
الانترنت وغيرها ، فكان لابد من طريقه لتامين ذلك ،، فتم تطوير تقنيه
الSSL : Secure Socket Layer وامنت هذه الطريقة قيام اتصال امن مشفر
Encrypted ضمن تعقيدات متفاوته فمنها ال40Bit ومنها 128bit ،، فتم استخدام
الSSL لتشفير وحماية قنوات الاتصال التي تنتقل عبرها الداتا مثل SMTP او
الDatabase communications ،

وتم استخدام ما يعرف بSSL over HTTP في المواقع التجاريه ومواقع الايميل
فاصبحت تسمى HTTPS : Secure Hyper Text Transfer Protocol واستخدم بورت443
بدلا من 80 الخاص بHTTP ــ، وانتشر واشتهر بشكل كبير،،

ثم ظهرت تقنيه مشابه له ولاستخدامه وهي الTLS : Transport Layer Security
وهي تقنيه محسنه من الSSL ولكنهما يختلفان في طريقة اداء العمليه ،،
والطريقتان تحتاجان للشهادات الالكترونيه Certificates او بالاحرى
Web-based Certificates .

وظهرت تقنيه اخرى داخل الشبكه نفسها وليس على شبكه عالميه كالانترنت ، وهي
SMB Signing ،، الجميع يعلم ان الSMB : Server Message Block هي الpackets
الي يتم ارسالها بين السيرفر والاجهزه في عملية المشاركه في الملفات وغيره
Sharing ،، وللحمايه من طريقة سرقة المعلومات اثناء مرورها في الاسلاك Man
In The Middle MITM وهذه الطريقه تدعى SMB Signing ،، يتم بواسطتها اضافة
الHash (وهي طريقة يتم من خلالها استخلاص رمز معين حسب حسابات
رياضيه من الرساله ، ومن الامثله عليه MD4 , MD5 , SHA-1 ) ويتم تشفير هذا
الHash واضافته للرساله وبذلك نحافظ على صحة الرساله Message or Packet
Integrity .

لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication
Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما
بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet
تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على
الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه
يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان
الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .IPSec تقنيه
توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP
Packet .

IPSec Protocols
الIPsec هو طريقه وليس بروتوكول كما يخطأ البعض ،، لكن للIPSec بروتوكولان رئيسيان هما :

اولا: AH : Authentication Header

يستخدم الAH في توقيع الرسائل والبيانات Sign ولا يعمل على تشفيرها Encryption ، حيث يحافظ فقط على ما يلي للمستخدم :

1. موثوقية البيانات Data authenticity :اي ان البيانات المرسله من هذا المستخدم هي منه وليست مزوره او مدسوسه على الشبكه .

2. صحة البيانات Data Integrity : اي ان البيانات المرسله لم يتم تعديلها على الطريق (اثناء مرورها على الاسلاك) .

3. عدم اعادة الارسال Anti-Replay : وهذه الطريقه التي ستخدمها المخترقون
حيث يقومون بسرقة الباسوورد وهي مشفره ويقومون باعادة ارسالها في وقت اخر
للسيرفر وهي مشفره وطبعا يفك السيرفر التشفير ويدخل اليوزر على اساس انه
شخص اخر،، فالIPSec يقدم حلولا لمنع هذه العمليه من الحدوث.

4.حمايه ضد الخداع Anti-Spoofing protection : ويوفر ايضا الIPSec حماية
ضد الخداع من قبل المستخدمين ، مثلا يمكن ان يحدد مدير الشبكه انه لا يسمح
لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه
192.168.1.x من دخول السيرفر ،، فيمكن للمستخدم ان يغير الIP Address خاص
به ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه
الى داخلها) يكون لكل الحزمه Packet موقعه Digitally signed.

هذا هو الشكل العام لحزمة البيانات Packet التي تمر في بروتوكول AH .



ثانيا: ESP : Encapsulating Security Payload

يوفر هذا البروتوكول التشفير والتوقيع للبيانات معا Encryption and
Signing ، ومن البديهي اذا ان يستخدم هذا البروتوكول في كون المعلومات
سريه Confidential او Secret ،، او عند ارسال المعلومات عن طريق Public
Network مثل الانترنت ،

يوفر الESP المزايا التاليه:

1.Source authentication : وهي مصداقية المرسل ، حيث كما وضحنا في مثال
الSpoofing انه لا يمكن لاي شخص يستخدم الIPSec تزوير هويته ،(هوية
المرسل).

2. التشفير للبيانات Data Encryption : حبث يوفر التشفير للبيانات لحمايتها من التعديل او التغيير او القراءه .

3.Anti-Replay : موضحه في الAH .

4.Anti-Spoofing Protection : موضحه في ال AH.

ثالثا : IKE : Internet Key Exchange

الوظيفة الاساسيه لهذا البروتوكول هي ضمان الكيفيه وعملية توزيع ومشاركة
المفاتيح Keys بين مستخدمي الIPSec ، فهو بروتوكول الnegotiation اي
النقاش في نظام الIPSec كما انه يعمل على تاكيد طريقة الموثوقيه
Authentication والمفاتيح الواجب استخدامها ونوعها (حيث ان الIPSec يستخدم
التشفير 3DES وهو عباره عن زوج من المفاتيح ذاتها يتولد عشوائيا بطرق
حسابيه معقده ويتم اعطاءه فقط للجهة الثانيه ويمنع توزيعه وهو من نوع
Symmetric Encryption اي التشفير المتوازي ويستخدم تقنية الPrivate Key .

هكذا نكون قد انهينا مكونات الIPSec , لننتقل الى موضوع IPSec modes اي طرق او انواع الIPSec التي يستخدمها في الشبكه .

كيف يحمي IPSec من الهجمات على الشبكات؟

كما نعرف انه بلا اخذ الامن بعين الاعتبار ، فان الشبكه والبيانات التي
تمر فيها يمكن ان تتعرض للعديد من انواع الهجمات المختلفه ، بعض الهجمات
تكون غير فعاله Passive مثل مراقبة الشبكه Network Monitering ، ومنها ما
هو الفعال Active مما يعني انها يمكن ان تتغير البيانات او تسرق في طريقها
عبر كوابل الشبكه. وفي هذا الدرس سوف نستعرض بعض انواع الهجمات على
الشبكات، وكيفية منع IPSec حدوثها او كيفية الوقايه منها عن طريق الIPSec .

اولا: التقاط حزم البيانات Eavesdropping, sniffing or snooping
حيث يتم بذلك مراقبة حزم البيانات التي تمر على الشبكه بنصها الواضح دون
تشفير Plain text والتقاط ما نريد منها ، ويعالجها الIPSec عن طريق تشفير
حزمة البيانات، عندها حتى لو التقطت الحزمه فانه الفاعل لن يستطيع قراءتها
او العبث بها، لان الطرف الوحيد الذي يملك مفتاح فك النشفير هو الطرف
المستقبل(بالاضافه الى الطرف المرسل ) .

ثانيا: تعديل البيانات Data modification
حيث يتم بذلك سرقة حزم البيانات عن الشبكه ثم تعديلها واعادة ارسالها الى
المستقبل، ويقوم الIPSec بمنع ذلك عن طريق استخدام الهاش Hash (الشرح
لمعنى الهاش سيكون في الدرس المقبل) ووضعه مع البيانات ثم تشفيرها معا ،
وعندما تصل الحزمه الى الطرف المستقبل فان الجهاز يفحص Checksum التابع
للحزمه اذا تمت مطابقته ام لا، فاذا تمت المطابقة مع الهاش الاصلي المشفير
تبين ان الحزمة لم تعدل، لكن اذا تغير الهاش نعرف عندها ان حزمة البيانات
قد تم تغييرها على الطريق.

ثالثا: انتحال الشخصيه Identity spoofing
بحيث يتم استخدام حزم البيانات على الشبكه والتقاطها وتعديلها لتبين هويه
مزوره للمرسل، اي خداع المستقبل بهوية المرسل، ويمنع ذلك عن طريق الطرق
الثلاثه التي ذكرناها في الدرس الماضي والتي يستخدمها الIPSec وهي:
بروتوكول الكيربرس Kerberos Protocol
- الشهادات الالكترونيه Digital Certificates
- مشاركة مفتاح معين Preshared key
حيث لا تتم عملية بدأ المحادثه وارسال البيانات قبل التاكد من صحة الطرف الثاني عن طريق احدى الطرق المذكوره سابقا.

رابعا: DoS -Denial of Service رفض الخدمه او حجبها
حيث تعمل هذه الهجمه على تعطيل خدمه من خدمات الشبكه للمستخدمين
والمستفيدين منها ، مثلا كاشغال السيرفر في الشبكه بعمل فلود عليه Flood
مما يشغله بالرد على هذه الامور وعدم الاستجابه للمستخدمين. ويعمل الIPSec
على منع ذلك عن طريق امكانيه غلق او وضع قواعد للمنافذ المفتوحه Ports .

خامسا: MITM -Man In The Middle
من اشهر الهجمات في الشبكات، وهي ان يكون هنالك طرف ثالث يعمل على سرقة
البيانات المرسله من طرف لاخر وامكانية العمل على تعديلها او العمل على
عدم ايصالها للجانب الاخر، ويعمل الIPSec على منع عن طريق طرق التحقق من
الموثوقيه والتي ذكرناها سابقا Authentication methods

سادسا: سرقة مفتاح التشفير Key interception
حيث يتم سرقة المفتاح المستخدم للتشفير او التعرف عليه عن طريق برامج كسر
التشفير اذا لم يكن بالقوه المطلوبه، هنا لا دور للIPSec بها ، ولكن الدور
للWinXP لانه يقوم بتغيير المفاتيح المستخدمه للتشفير بشكل دوري ودائم مما
يقلل من خطورة كشفه او سرقته.

سابعا: الهجمات على طبقة التطبيقات Application Layer Attacks
حيث تعمل هذه الهجمات على التاثير على النظام المستخدم في اجهزة الشبكه
وايضا تعمل على التأثير على البرامج المستخدمه في الشبكه، ومن الامثله
عليها الفيروسات والديدان التي تنتشر بفعل ثغرات في الانظمه او البرامج او
حتى اخطاء المستخدمين. يعمل الIPSec على الحمايه من ذلك بكونه يعمل على
طبقة IP Layer فيعمل على اسقاط اي حزمة بيانات لا تتطابق والشروط الموضوعه
لذلك ، لذا فتعمل الفلاتر على اسقاطها وعدم ايصالها للانظمه او البرامج.

بشكل عام فالIPSec يحمي من معظم الهجمات عن طريق استخدامه ميكانيكية
التشفير المعقده ، حيث يوفر التشفير الحماية للبيانات والمعلومات ايا كانت
اثناء انتقالها على الوسط (اياً كان) عن طريق عمليتي التشفير Encryption
والهاش Hashing .

طريقة التشفير المستخدمه في الIPSec عباره عن دمج لعدة Algorithms ومفاتيح حيث ،
Algorithm : عباره عن العملية الحسابيه التي تمر فيها البيانات لكي تشفر
Key : وهو عباره عن رقم(كود) سري يتم من خلاله قراءه او تعديل او حذف او
التحكم في البيانات المشفره بشرط مطابقته للزوج الثاني الذي قام بعملية
التشفير.

الهاش او HASH عباره عن مجموعة ارقام واحرف عشوائيه يتم
توليدها بطرق حسابيه معقده جدا من نص عندك (ممكن رساله) او من حزمة بيانات
، او حتى من بيانات حجمها 1000 ميجا، الهاش طوله وشكله ثابت لا يتغير ، هو
لا يشفر ، وانما هو للحفاظ على مصداقية البيانات.



بمعنى انه ان اراد احد ارسال رسالة, فانه يخرج الهاش الخاص بها و يرسله مع
الرسالة, و الشخص الذي يستقبل الرسالة يقارن الهاش الذي استلمه بالهاش
الخاص بالرسالة, فان تم تعديل الرسالة و لو باضافة مسافة , فان الهاش
سيختلف

يستخدم الهاش في برامج الOpen Source بكثره ، لانه ممكن تعدل ويتم نسبتها للشركه الام (هذا هو الMD5 الموجود في مواقع اللينكس) .

الهاش من انواعه القديمه : MD4 :Message Digest 4 تم فكة بطريقة Birthday
Attack - لمزيد من المعلومات حول هذا الامر راجع الروابط التالية:
http://mathworld.wolfram.com/BirthdayAttack.html
http://mathworld.wolfram.com/BirthdayProblem.html

ومن انواعه الجديده والمستعمله بكثره MD5 : Message Digest 5 لكن يقال
ايضا انه تم كسره عن طريق CIA وان جميع لجان الاتحاد الاوروبي لم تعد
تستعمله.

احدث انواعه واقواها هو SHA-1 -Secure Hash Algorithm وهو المستخدم في
متصفح IE . (سمعت مؤخرا ان ايضا الCIA قامت بفكه وان الاتحاد الاوروبي
انتقل الى استخدام هاش جديد ) .

مع العلم ان الهاش One way process بمعنى انه لا تستطيع ارجاع شيء من الهاش المنتج.



الرجاء الانتقال الى الدرس التالي للاكمال

بعدما قمنا باستعراض القليل من المعلومات الهندسيه بالنسبه
لبنية IPSec (IPSec Structure) سنقوم الان بالتحدث عن وجوده في الويندز
وكيف ومتى بدأ.

كما قلنا في اول الموضوع ان الحاجه الى التشفير كبيره جدا ، لذلك تم
ابتكار الIPSec ، وكما نعرف ان الWin2000 اعتبر قفزه نوعية لمايكروسوفت
وادخلها مضمار الشبكات بقوة ، لكن يا ترى هل مايكروسوفت من قام بوضع
الIPSec وعمل Deployment له في الويندز ؟

الجواب لا ، وذلك لان من قام به شركة CISCO بعد اتفاقيه مع مايكروسوفت بذلك ، ولذلك نلاحظ قوة IPSec.

يطرأ سؤال على ذهن الجميع ، كيف يمكننا ان نستخدم ونستغل الIPSec ؟ الجواب سهل.
يستخدم الIPSec عن طريق ما يعرف بالسياسات IPSec Policies والتي تطبق في
الشبكه ، حيث ان كل مجموعة من القواعد التي تريد تطبيقها تشكل لنا سياسه،
والIPSec يستخدم هذه النظريه ، الامر الذي يجب الانتباه له هو اننا لا
نستطيع عمل اكثر من سياسة لكل جهاز كمبيوتر ، لذلك يجب عليك تجميع كل
القواعد والامور التي ترغب في تطبيقها في سياسه واحده تطبق على مستوى
الاجهزه لا على مستوى الافراد .
قبل القيام بوضع القواعد وتطبيق السياسه ، يجب علينا مراعاة مايلي:


*نوع الحركه Traffic Type :

حيث انك تقوم باستخدام الفلاتر(سنتناولها في درس قادم) لتحديد نوعية
الترافيك الي تريد تطبق عليها هذه القواعد ، فمثلا تستطيع ان تطبق فلتر
يعمل على مراقبة بروتوكول HTTP و FTP فقط دون الباقي.

*ماذا سيفعل الIPSec بعد التحقق من نوع الحركهTraffic :

بعد ذلك يجب ان نحدد للIPSec ماذا سيفعل بعد تطابق الترافيك مع الفلتر ،
وهو مايسمى Filter Action والذي تستخدمه لتخبر السياسه Policy ماذا ستفعل
اذا تم مطابقة الترافيك حسب الفلتر، فمثلا يمكنك ان تجعل الIPSec يقوم
بمنع الحركه على بورت بروتوكول FTP ، وايضا تجعله يعمل على تشفير الحركه
على بورت بروتوكول HTTP . وايضا تستطيع من خلال Filter Action بتحديد اي
انظمة التشفير والهاش التي تريد ان تستخدمها Encryption and Hashing
Algorithms يجب على السياسه ان تستخدم.

*طريقة التحقق من الموثوقيه Authentication Method :

حيث يستخدم الIPSec ثلاث طرق للتحقق من الموثوقيه وهم :

-بروتوكول الكيربرس Kerberos Protocol
- الشهادات الالكترونيه Digital Certificates
- مشاركة مفتاح معين Preshared key
كل سياسة تستطيع تطبيق طريقتين للتحقق من الموثوقيه.
(ان شاء الله سنتناول بعضها من هذه الطرق بشرح مفصل منفرد حسب الاستطاعه)

*استخدام احدى نظامي الIPSec وهما Tunnel or Transport mode

(عد الى الدرس الثاني لترى استخدام كل نظام) : حيث علينا ان نحدد في السياسه اي النظامين يستخدم .

*نوع الاتصال او الشبكه التي سيتم تطبيق السياسة عليهاWhat connection type the rule applies to:

حيث ان السياسه يمكن ان تحدد الIPSec في نظاق الشبكه المحليه LAN ، او ان
يعمل على اساس الوصول من بعدRemote access او ما يعرف بWAN ، او الاثنين
معا.
الان بعد التعرف على الامور التي يجب اخذها بعين الاعتبار قبل تطبيق وعمل
السياسه ، سنتعرف على انواع السياسه في الWin2000 &2003 ، حيث توجد
هناك ثلاثه انواع منها :
-Client (Respond only)
-Server(Request Security)
-Secure Server (Require Security)

وكل واحده من هؤلاء تحتوي على اعدادت خاصه تناسب الغرض التي ستطبق
لاجله.(طبعا في الشركات الصغيره او المتوسطه ، لكن كلما كبر حجم الشركه
وزاد التعقيد زادت الحاجه الى استخدام سياسه مبتكره من قبل الشركه نفسها).

Client (Respond only)
افضل ما تطبق هذه السياسه على Domain Group security policy وذلك لكي تضمن
لنا امكانية رد المستخدم على طلبات الاحهزه الاخرى باجراء تشفير عن طريق
IPSec ،، اذا تعتبر هذه السياسه اساسيه في اي شبكه سيعمل فيها ولو سيرفر
واحد على الIPSec ، حيث في هذه السياسه لن يقوم المستخدم بارسال طلب
المحادثة والتشفير عن طريق الIPSec وانما سيقوم بالاجابه والدخول في
الطلبات التي يتسقبلها لذلك من الاجهزه الاخرى في مجال IKE . اذا كنت تفكر
في تطبيق IPSec على اي جزء من اجزاء الشبكه فالاحرى بعد ذلك ان يتم تطبيق
هذه السياسه على مستوى Domain.

Server (Request Security)
تطبق هذه السياسه في العاده على السيرفرات التي ستتحدث مع احهزة Win2000
او حتى اجهزة Non-win2000 مثل Unix وغيره ، في هذه الحاله ، اذا كان
المستخدم يستطيع التعامل مع IPSec فان جميع المحادثات بينهما ستكون مشفره
فيه ، اما اذا لم يملك المستخدم القدره على استخدام الIPSec فانه يستعامل
مع السيرفر بطرق المحادثه والاتصال العاديه (اي دون اي اثر للIPSec فيها).
تطبق هذه السياسه في حالة وجود خليط من الاجهزه في الشبكه حيث يكون بعضها
يستخدم IPSec والبعض الاخر لا ، فتكون هذه هي الانسب لذلك .

Secure Server (Require Security)
تضمن هذه السياسه للسيرفرات عدم التكلم وسقوط جميع انواع المحادثه
والاتصال مع الاجهزه التي لا تستخدم او لا تدعم الIPSec ، حتى لو كانت هذه
الشبكه او هذا الجهاز موجوده في Trusted Sites and DOmains . وافضل ما
تستخدم هذه السياسه اذا دعت الحاجه الى تشفير كل شيء يصدر عن سيرفر محدد
كالسيرفرات في البنوك وغيره، وبسبب تشدد هذه السياسه فانه يجب علينا في
بعض الاحيان وضع اعفاءات واستثناءات من استخدام الIPSec كما يحصل في
بروتوكول SNMP - Simple Network Management Protocol .

---------------------------------------ملاحظات----------------------------------
فقط سياسه واحده تطبق على مستوى الجهاز الواحد ـ، اذا اردت عدد من
الخيارات التي تريد تطبيقها فقم بعمل سياسه محدده من قبلك Custom Policy .

اذا كانت الشبكة محميه بواسطة جدار ناري Firewall فيجب عليك عمل الاتي:
فتح بورت UDP 500
السماح بالProtocol Identifier (ID) number 51 for AH , number 50 for ESP
(مع الملاحظه ان رقم البروتوكول ID يختلف عن رقم البورت).

ذا الدرس وهو مثال نظري على IPSec ، سيتم اكمال الشرح عن
الIPSec تحت بيئة WIndows 2000 لكن المثال سيكون في كيفية تعامل مكونات
الشبكه الماديه مع IPSec (هذا الدرس مأخوذ من عدة كتب لمايكروسوفت منها
2150A و 2810 مع بعض التعديل والترجمه بتصرف طبعا) .

يعمل الIPSec على الشبكه بسبع خطوات رئيسيه ، هي (مع ملاحظة المخطط في الاسفل حيث ان الشرح سيكون من خلاله لذا انظر المخطط اولا) :



1. يقوم الجهاز A بارسال حزم بيانات عن طريق الكوابل على الشبكه الى الجهاز B .

2. يقوم IPSec Driver على الجهاز A بتحديد ان البيانات يجب ان تكون امنه عند انتقالها من كمبيوتر A الى B .

3. تتم عملية المباحثات بين الجهازين Negotiations فيتباحثان ويتفقان على
استخدام المفتاح المشترك بينهما Shared Key وعلى المفتاح السري الخاص
بالتشفير Secret Key ، وكله عن طريق بروتوكول IKE -Internet Key Exchange
. مع الملاحظه بان المفتاح المشترك Shared Key يكون معلوما من قبل الطرفين
دون انتقاله على الشبكه.

4. يقوم الIKE بعمل نوعين من الاتفاقيات بين الجهازين Two types of
Agreements ، تسمى Security Associations SA او روابط الامن ، بين
الجهازين. النوع الاول يحدد كيفية وثوق كلا الجهازين ببعضمها البعض وكيفية
تأمين وحماية حزم البيانات الصادره عنهما، والنوع الثاني يحدد كيفية حماية
جزء ونوع محدد من اتصال التطبيق (البرنامج) .

5. بعد اكتمال وانتهاء عملية المباحثه بواسطه IKE ، يتم تمرير مفتاح
التشفير من الجهاز A الى IPSec Driver ثم يعمل هذا المحرك IPSec Driver
على عمل هاش Hashes من حزم البيانات الصادره للحفاظ على مصداقية المعلومه
Data Integrity ، واختياريا (انظر انماط الIPSec ) يعمل على تشفير حزم
البيانات للحفاظ على سرية المعلومات Data confidentiality .

6. جميع معدات الشبكه الاخرى مثل الراوترات والسيرفرات لا تحتاج لتطبيق
الIPSec عليها، حيث تتعامل مع حزم الIPSec على انها حزم عاديه وتقوم
بتمريرها على الشبكه.

7. يقوم الIPSec Driver الخاص بالجهاز B بفحص حزم البيانات للتأكد من
مصداقيتها Integrity ويقوم بفك تشفير محتوياتها (اختياريا) ومن ثم يعمل
على ارسال البيانات الى البرنامج او التطبيق المستقبل لها.


هكذا نكون انتهينا من مثال على الIPSec (مثال على كيفية عملة على الشبكه
وليس على الWindows حيث سنأتي اليه بموضوع منفصل كليا وواسع جدا) .

بالتوفيق