أساليب حماية الشبكة

07-Nov-2007, 08:36 AM

أساليب حماية الشبكة

أولاً وأبداً، تعامل مع الشبكة اللاسلكية وكأنها شبكة عامة يمكن للعموم استخدامها، ولاتفترض أن حركة البيانات في الشبكة اللاسلكية محمية، يمكن تشبيهه حماية الشبكة اللاسلكية باستخدام عناصر الأمن التي تحمي المنشآت، لأن أي شخص لديه وقت وحد أدنى من المصادر سيتمكن من الدخول إلى الشبكة اللاسلكية.فيما يلي بعض الاحتياطات والتحذيرات الأساسية المتبعة في حماية الشبكات اللاسلكية، والتي من شأنها رفع مستوى الحماية والأمان إلى درجة أعلى، وبعض هذه النصائح يمكنك الاستفادة منها مجاناً، لكن بعضها الآخر يتطلب إنفاق بعض المال، وتحدد أهميةالبيانات في الشركة مقدار التكلفة الممكن إنفاقه على التدابير الأمنية.
· تمكين حماية WEP
وعلى الرغم من أنها ليست حماية قوية، إلا أنها حاجز الدفاع الأول،ولاتنس أنها مجانية، ثم أن معظم المنتجات التي تحمل علامة Wi-Fi، تتضمن إمكانيةالتشفير الأساسية (40bit-WEP)، التي تأتي افتراضياً غير مفعّلة، وتحتاج إلى تنشيط. كانت كثير من نقاط الاتصال اللاسلكية التي اختبرناها لا تستخدم حماية WEP كونهاجزءاً من نقاط اتصال لاسلكية عامة، أو أنها نقاط اتصال لاسلكية في أماكن عمومية مثلالمقاهي، ولكننا حتى لو أسقطنا هذه النقاط من حساباتنا فإن أكثر من 50% من النقاطلاتستخدم حماية WEP ضمن الشبكات التي أجري عليها الاختبار.
· غيّر إعدادات SSID الافتراضية
وعندما تغير كلمة السر لاتستخدم كلمات معروفة مثل اسم الشركة، أوعنوان الشركة، أو أحد منتجاتها، أو أحد أقسامها.
تدعم بعض نقاط الاتصال اللاسلكية broadcast SSID، وهي فعّالة بشكل افتراضي، وترسل دورياً (كالمنارة) معلومات تتعلق بـSSID، وعند إلغاء فعالية هذه الميزة فتنتقل نقطة الاتصال اللاسليكةإلى نمط عمل stealth.
· غيّر كلمة السر الافتراضية في نقطة الاتصال اللاسلكية أوالروتر اللاسلكي
يعلم أي مخترق للشبكة ماهر كلمات السر الافتراضية، وسيبدأبتجربتها أولاً. يتسطيع برنامج NetStumbler أن يحدد اسم الشركة الصانعة بالاعتمادعلى عناوين MAC، لذا فإن تحديد الشركة المصنعة للجهاز عملية سهلة حتى لو تم تغيرالإعدادات الافتراضية في SSID.
· غيّر مواقع نقاط الاتصال اللاسلكية، وعندماتخطط لتركيب هذه النقاط اجعلها تتجه إلى داخل المبنى وليس قرب النوافذ، وحدد منطقةالتغطية ضمن المكان لا خارج النوافذ.
· أجرمسحاً وقائياً.
ينبغي على كل مدير شبكة أن يتفصح الموقع باستخدام أدوات مثل NetStumbler، لاستئصال أي نقاط شاذة يمكن أن تكتشف. إن سعر العتاد زهيد ما يجعلالمخبرين قادرين على شراء أفضل الأنواع، ويكفي زرع بطاقتي شبكة مع نقطة اتصاللاسلكية داخل شبكة مؤسسة، ما يجعل كل الجهود المبذولة تذهب سدى إن تمكن أحدهم منزرع نقطة اتصال لاسلكية خلف الجدران النارية، ولاتنس فحص قوة الإشارة خارج المبنى،قد تكون المشاركة بواحد أو 2 ميجابايت في الثانية، لكن ذلك يعتبر خرقاًللقانون.

· حدد عدد الوصلات
تسمح كثير من نقاط الاتصال اللاسلكية، بالتحكم في الولوج إلى الشبكة عبر عناوين MAC لبطاقة الشبكة، فإن لم تكن عناوين MAC المتوفرةعلى بطاقة الشبكة، من ضمن قائمة العناوين المتاحة في نقطة الاتصال اللاسلكية،فلايسمح لها بالدخول إلى الشبكة، وتوجد طرائق عدة لخداع عناوين MAC التي انطلقت عبرالهواء، لكن يتطلب الأمر مستوى إضافياً من الإجراءات المعقدة. وتبقى النقطة السلبيةلدى تطبيق جداول عناوين MAC، هي صيانة هذه الجداول عند كل نقطة اتصال، لأنها تستهلكزمناً كبيراً، وتتوفر تجهيزات ذات مستوى أعلى مثل نقاط الاتصال الخاصة بالمؤسساتتتمتع بآلية لتحديث الجداول من خلال مجموعة وحدات من الطراز ذاته.www.tartoos.com

استخدامتوثيق RADIUS
ضع في اعبتاراتك استخدام مستوى أعلى من التوثيق مثل RADIUS، قبلالاقتران بنقاط الاتصال، وتضع شركات عدة أنواعاً من توثيق RADIUS ضمن منتجاتها، مثلنقاط الاتصال من شركة Intermec Technologies، والتي تتضمن مزود RADIUS مبيت يصل إلى 128 عنوان MAC. كما تستطيع نقاط الاتصال من شركة Orinoco إرسال توثيق RADIUS لعناوين MAC إلى مزود RADIUS خارجي، فإن كانت الشبكة المتوفرة تعتمد على منتجات Orinoco، يمكن استخدام ميزة الشبكة المغلقة: وعندها لن ترسل نقطة الاتصال معلومات SSID، ويجب ضبط محطة العمل الزبونة على SSID موافق لتتمكن من الاتصال بالشبكة. إنالإعدادات الافتراضية لأي محطة عمل زبونة لاتمكنها من الاقتران بالشبكةالمغلقة.

· عدم تمكين DHCP
خذ في الحسبان أثناء تركيب روتر لاسلكي إغلاق DHCP،وامنح كل بطاقة شبكة عنوان IP ثابت، يزيد هذا الإجراء من الأعباء الإدراية، لكنوجد أثناء الاختبار أن عدداً من الشبكات اللاسلكية كانت تمرر عناوين IP عنداقتراننا بنقطة الاتصال، وعلى الرغم من قدرة المتسلل على التقاط عنوان IP إلا أنإغلاق DHCP يصعّب الأمر على المتسللين.
· تغيير الشبكة الفرعية .
بعد إلغاءفعالية DHCP يجب تغيير عنوان IP الخاص بالشبكة الفرعية، وجد أن كثير من الروتراتاللاسلكية ضبطت على 192.1681.0 للشبكة، و192.1681.1 كعنوان IP افتراضي للروتر. إحدىالشبكات التي اختبرت لم تقدم عنوان IP لكن كن متأكد من أنها ضُبطت علىالإعدادت الافتراضية، وللتأكد من ذلك، اضبط مفكرتك على عنوان IP 192.1681.0،واستخدم عنوان 192.1681.1 كعنوان للروتر، وتمكنا من الوصول إلى شبكة إنترنت منخلال تلك الشبكة.
· لا تقنع بالقليل
لاينبغي شراء نقاط اتصال لاسلكية أو بطاقاتشبكة تدعم تشفير WEP بعرض 64 بت فقط. وحتى حماية WEP بعرض 128 بت لا تعتبر آمنةتماماً، كما ذكرنا في البداية، مع ملاحظة أن بعض بطاقات الشبكة تحتاج إلى برنامجقيادة بسيط لترتقي إلى حماية WEP بعرض 128 بت.· تطلع إلى المستقبل
واشتر نقاطالاتصال اللاسلكية التي ترتكز إلى عتاد قابل للترقية (flashable)، حيث يتم تطويرآليات عدة للتحسينات الأمنية، وينبغي أن تحرص على قدرة نقاط الاتصال التي اشتريتهاعلى الارتقاء.
إن الاستراتيجية الأنجع تتلخص بوضع نقاط الاتصال اللاسلكية فيمنطقة معزولة السلاح (DemilitarizedZone, DMZ) واجعل الاتصال اللاسلكي بالمستخدمينيتم عبر نفق آمن من خلال شبكة افتراضية خاصة VPN، ويتطلب بناء البنية التحتية لهذهالشبكة إنفاق الأموال، وحتى إن توفرت "شبكة افتراضية خاصة" (VPN) موجودة فإن إعدادشبكة VLAN خاصة بالمنطقة المعزولة DMZ يتطلب جهداً إضافياً. لكن هذا الحل سيوفرطبقة إضافية من التشفير والتوثيق ما يمكن من الحصول على شبكة لاسلكية مناسبةللبيانات بالغة الأهمية..

منقول

07-Nov-2007, 08:36 AM	#1 (permalink)
شركة رسمية تاريخ التسجيل: May 2007 المشاركات: 100	أساليب حماية الشبكة أساليب حماية الشبكة أولاً وأبداً، تعامل مع الشبكة اللاسلكية وكأنها شبكة عامة يمكن للعموم استخدامها، ولاتفترض أن حركة البيانات في الشبكة اللاسلكية محمية، يمكن تشبيهه حماية الشبكة اللاسلكية باستخدام عناصر الأمن التي تحمي المنشآت، لأن أي شخص لديه وقت وحد أدنى من المصادر سيتمكن من الدخول إلى الشبكة اللاسلكية.فيما يلي بعض الاحتياطات والتحذيرات الأساسية المتبعة في حماية الشبكات اللاسلكية، والتي من شأنها رفع مستوى الحماية والأمان إلى درجة أعلى، وبعض هذه النصائح يمكنك الاستفادة منها مجاناً، لكن بعضها الآخر يتطلب إنفاق بعض المال، وتحدد أهميةالبيانات في الشركة مقدار التكلفة الممكن إنفاقه على التدابير الأمنية. · تمكين حماية WEP وعلى الرغم من أنها ليست حماية قوية، إلا أنها حاجز الدفاع الأول،ولاتنس أنها مجانية، ثم أن معظم المنتجات التي تحمل علامة Wi-Fi، تتضمن إمكانيةالتشفير الأساسية (40bit-WEP)، التي تأتي افتراضياً غير مفعّلة، وتحتاج إلى تنشيط. كانت كثير من نقاط الاتصال اللاسلكية التي اختبرناها لا تستخدم حماية WEP كونهاجزءاً من نقاط اتصال لاسلكية عامة، أو أنها نقاط اتصال لاسلكية في أماكن عمومية مثلالمقاهي، ولكننا حتى لو أسقطنا هذه النقاط من حساباتنا فإن أكثر من 50% من النقاطلاتستخدم حماية WEP ضمن الشبكات التي أجري عليها الاختبار. · غيّر إعدادات SSID الافتراضية وعندما تغير كلمة السر لاتستخدم كلمات معروفة مثل اسم الشركة، أوعنوان الشركة، أو أحد منتجاتها، أو أحد أقسامها. تدعم بعض نقاط الاتصال اللاسلكية broadcast SSID، وهي فعّالة بشكل افتراضي، وترسل دورياً (كالمنارة) معلومات تتعلق بـSSID، وعند إلغاء فعالية هذه الميزة فتنتقل نقطة الاتصال اللاسليكةإلى نمط عمل stealth. · غيّر كلمة السر الافتراضية في نقطة الاتصال اللاسلكية أوالروتر اللاسلكي يعلم أي مخترق للشبكة ماهر كلمات السر الافتراضية، وسيبدأبتجربتها أولاً. يتسطيع برنامج NetStumbler أن يحدد اسم الشركة الصانعة بالاعتمادعلى عناوين MAC، لذا فإن تحديد الشركة المصنعة للجهاز عملية سهلة حتى لو تم تغيرالإعدادات الافتراضية في SSID. · غيّر مواقع نقاط الاتصال اللاسلكية، وعندماتخطط لتركيب هذه النقاط اجعلها تتجه إلى داخل المبنى وليس قرب النوافذ، وحدد منطقةالتغطية ضمن المكان لا خارج النوافذ. · أجرمسحاً وقائياً. ينبغي على كل مدير شبكة أن يتفصح الموقع باستخدام أدوات مثل NetStumbler، لاستئصال أي نقاط شاذة يمكن أن تكتشف. إن سعر العتاد زهيد ما يجعلالمخبرين قادرين على شراء أفضل الأنواع، ويكفي زرع بطاقتي شبكة مع نقطة اتصاللاسلكية داخل شبكة مؤسسة، ما يجعل كل الجهود المبذولة تذهب سدى إن تمكن أحدهم منزرع نقطة اتصال لاسلكية خلف الجدران النارية، ولاتنس فحص قوة الإشارة خارج المبنى،قد تكون المشاركة بواحد أو 2 ميجابايت في الثانية، لكن ذلك يعتبر خرقاًللقانون. · حدد عدد الوصلات تسمح كثير من نقاط الاتصال اللاسلكية، بالتحكم في الولوج إلى الشبكة عبر عناوين MAC لبطاقة الشبكة، فإن لم تكن عناوين MAC المتوفرةعلى بطاقة الشبكة، من ضمن قائمة العناوين المتاحة في نقطة الاتصال اللاسلكية،فلايسمح لها بالدخول إلى الشبكة، وتوجد طرائق عدة لخداع عناوين MAC التي انطلقت عبرالهواء، لكن يتطلب الأمر مستوى إضافياً من الإجراءات المعقدة. وتبقى النقطة السلبيةلدى تطبيق جداول عناوين MAC، هي صيانة هذه الجداول عند كل نقطة اتصال، لأنها تستهلكزمناً كبيراً، وتتوفر تجهيزات ذات مستوى أعلى مثل نقاط الاتصال الخاصة بالمؤسساتتتمتع بآلية لتحديث الجداول من خلال مجموعة وحدات من الطراز ذاته.www.tartoos.com استخدامتوثيق RADIUS ضع في اعبتاراتك استخدام مستوى أعلى من التوثيق مثل RADIUS، قبلالاقتران بنقاط الاتصال، وتضع شركات عدة أنواعاً من توثيق RADIUS ضمن منتجاتها، مثلنقاط الاتصال من شركة Intermec Technologies، والتي تتضمن مزود RADIUS مبيت يصل إلى 128 عنوان MAC. كما تستطيع نقاط الاتصال من شركة Orinoco إرسال توثيق RADIUS لعناوين MAC إلى مزود RADIUS خارجي، فإن كانت الشبكة المتوفرة تعتمد على منتجات Orinoco، يمكن استخدام ميزة الشبكة المغلقة: وعندها لن ترسل نقطة الاتصال معلومات SSID، ويجب ضبط محطة العمل الزبونة على SSID موافق لتتمكن من الاتصال بالشبكة. إنالإعدادات الافتراضية لأي محطة عمل زبونة لاتمكنها من الاقتران بالشبكةالمغلقة. · عدم تمكين DHCP خذ في الحسبان أثناء تركيب روتر لاسلكي إغلاق DHCP،وامنح كل بطاقة شبكة عنوان IP ثابت، يزيد هذا الإجراء من الأعباء الإدراية، لكنوجد أثناء الاختبار أن عدداً من الشبكات اللاسلكية كانت تمرر عناوين IP عنداقتراننا بنقطة الاتصال، وعلى الرغم من قدرة المتسلل على التقاط عنوان IP إلا أنإغلاق DHCP يصعّب الأمر على المتسللين. · تغيير الشبكة الفرعية . بعد إلغاءفعالية DHCP يجب تغيير عنوان IP الخاص بالشبكة الفرعية، وجد أن كثير من الروتراتاللاسلكية ضبطت على 192.1681.0 للشبكة، و192.1681.1 كعنوان IP افتراضي للروتر. إحدىالشبكات التي اختبرت لم تقدم عنوان IP لكن كن متأكد من أنها ضُبطت علىالإعدادت الافتراضية، وللتأكد من ذلك، اضبط مفكرتك على عنوان IP 192.1681.0،واستخدم عنوان 192.1681.1 كعنوان للروتر، وتمكنا من الوصول إلى شبكة إنترنت منخلال تلك الشبكة. · لا تقنع بالقليل لاينبغي شراء نقاط اتصال لاسلكية أو بطاقاتشبكة تدعم تشفير WEP بعرض 64 بت فقط. وحتى حماية WEP بعرض 128 بت لا تعتبر آمنةتماماً، كما ذكرنا في البداية، مع ملاحظة أن بعض بطاقات الشبكة تحتاج إلى برنامجقيادة بسيط لترتقي إلى حماية WEP بعرض 128 بت.· تطلع إلى المستقبل واشتر نقاطالاتصال اللاسلكية التي ترتكز إلى عتاد قابل للترقية (flashable)، حيث يتم تطويرآليات عدة للتحسينات الأمنية، وينبغي أن تحرص على قدرة نقاط الاتصال التي اشتريتهاعلى الارتقاء. إن الاستراتيجية الأنجع تتلخص بوضع نقاط الاتصال اللاسلكية فيمنطقة معزولة السلاح (DemilitarizedZone, DMZ) واجعل الاتصال اللاسلكي بالمستخدمينيتم عبر نفق آمن من خلال شبكة افتراضية خاصة VPN، ويتطلب بناء البنية التحتية لهذهالشبكة إنفاق الأموال، وحتى إن توفرت "شبكة افتراضية خاصة" (VPN) موجودة فإن إعدادشبكة VLAN خاصة بالمنطقة المعزولة DMZ يتطلب جهداً إضافياً. لكن هذا الحل سيوفرطبقة إضافية من التشفير والتوثيق ما يمكن من الحصول على شبكة لاسلكية مناسبةللبيانات بالغة الأهمية.. منقول __________________ أسم الشركـــه : شبكة الدعم العربي لخدمات الانترنت رابط موقع لشركة: www.arsup.net أداء الشركـــــه : استضافة - سيرفرات - ريسلرات - دعم فنى وحماية المواقع والمنتديات و السيرفرات - برمجة و تصميم مواقع (ASP,PHP) بريد الشركـــــه : admin@arsup.net هاتف الشركــه : من داخل السعوديه 0506682558 من خارج المملكه 00966506682558 المقر : المملكة العربية السعودية - جدة -شارع خالد بن الوليد - عمارة باشماخ

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
طريقة عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر رد
شرح برنامج GFI FaxMaker لإدارة الفاكسات من خلال الشبكة	AWS	السيرفرات	1	18-Jun-2008 09:54 PM
ربط الشبكة اللاسلكية بالشبكة السلكية	فواز1300	السيرفرات	0	03-Sep-2007 09:26 AM
اعداد نقطة الاتصال في الشبكة اللاسلكية	فواز1300	السيرفرات	0	03-Sep-2007 09:25 AM
عنونة الشبكة وتقسيمها	فواز1300	السيرفرات	0	30-Aug-2007 08:08 AM
شرح برنامج Asset Tracker for Networks لمتابعة أجهزة الشبكة	araweb	السيرفرات	0	24-Aug-2007 04:45 PM

أساليب حماية الشبكة

بحث عن سيرفر ، إدارة سيرفرات ، تجارب سابقة ، تبادل خبرات