أمن الشبكات ( درس عام )

أمـــن الشـــبكات ( درس عام )

تعتمد درجة أمن الشبكة على مدى حساسية البيانات المتداولة عبر الشبكة. ومن ثم يتم تنظيم الأمن وفقاً لنوع الشبكة، ففي شبكات النظير للنظير Peer To Peer كل جهاز يتحكم في أمنه الخاص، بينما يتحكم المزود في أمن شبكات الزبون المزود. وهناك بعض الإجراءات التي تساعد في المحافظة على أمن الشبكة:

· التدريب المتقن للمستخدمين على التعامل مع إجراءات الأمن.
· التأكد من أمن المعدات وصعوبة الوصول إليها من قبل غير المخولين.
· حماية الأسلاك النحاسية وإخفاؤها عن الأعين لأنها قد تكون عرضة للتجسس.
· تشفير البيانات عند الحاجة.
· تزويد المستخدمين بأجهزة لا تحتوي على محركات أقراص مرنة أو مضغوطة أو حتى أقراص صلبة،
· استخدام برامج لتسجيل جميع العمليات التي يتم إجراؤها على الشبكة لمراجعتها عند الضرورة.
· إعطاء تصاريح Permissions للمستخدمين للوصول للبيانات والمعدات كل حسب طبيعة عمله.
· تزويد المستخدمين بحقوق Rights تحدد الأنشطة والعمليات المسموح لهم إجراؤها على النظام. 

و هناك نظامان أساسيان لإعطاء التصاريح والحقوق :

· المشاركة المحمية بكلمة مرور.
· تصاريح الوصول. 

في النظام الأول يتم تعيين كلمة سر لكل من الموارد المطلوب مشاركتها حيث يتم الوصول لهذه الموارد فقط لمن لديه كلمة السر. كما تستطيع تحديد درجة الوصول هل هي للقراءة فقط أم وفقاً لكلمة السر كما ترى في الصورة .



في النظام الثاني يتم تعيين الحقوق وإعطاء التصاريح لكل مستخدم أو مجموعة مستخدمين، ويكفي أن يدخل المستخدم كلمة المرور عند الدخول إلي نظام التشغيل ليتعرف النظام على حقوق هذا المستخدم والتصاريح المتوفرة له، ويعتبر هذا النظام أكثر أمناً من النظام السابق لأنه يعطي مدير الشبكة تحكماً أكبر بكل مستخدم.

وعند إدخال الإسم وكلمة المرور يتم تمرير هذه المعلومات إلى مدير أمن الحسابات Accounts Manager فإذا كان الدخول إلى جهاز Workstation فإن المعلومات يتم مقارنتها مع قاعدة بيانات حسابات الأمن المحلية في الجهاز، أما إذا كان الدخول إلى نطاق Domain فإن المعلومات يتم إرسالها إلى مزود SAM الذى يقارنها مع قاعدة بيانات حسابات النطاق، فإذا كان إسم المستخدم أو كلمة المرور غير صالحين فإن المستخدم يمنع من الدخول إلى النظام، أما إذا كانا صحيحين فإن نظام الأمن الفرعي يقوم بإصدار كارت دخول Access Token تعرف النظام بالمستخدم فترة دخوله وتحتوى هذه الكارت على المعلومات التالية:

· المعرف الأمني Security Identifier (SID) و هو رقم فريد خاص بكل حساب.

· معرفات المجموعة Group SIDs وهي التي تحدد المجموعة التي ينتمي لها المستخدم.

· الامتيازات Privileges وهى تمثل الحقوق الممنوحة لحسابك.

كما أنه يتم إصدار Access Token عند محاولتك الاتصال من جهازك بجهاز آخر على شبكتك و يطلق على هذا الإجراء الولوج عن بعد Remote Logon. ومن الأمور التي يجب مراعاتها عند الحديث عن أمن الشبكة هو المحافظة على أمن الموارد مثل الطابعات ومحركات الأقراص والملفات والتي يقوم مدير الشبكة بتعيين تصاريح لاستخدام هذه الموارد. ومن التصاريح التي قد تعطى للوصول إلى الملفات ما يلي:

· تصريح قراءة ويسمح لك بعرض ونسخ الملفات.
· تصريح تنفيذ للتطبيقات.
· تصريح كتابة ويسمح بالتعديل في محتوى الملفات.
· ممنوع الاستخدام No Access. 

والتصاريح ممكن منحها لمستخدم أو مجموعة من المستخدمين وهذا أسهل. حيث يمتلك كل مورد من الموارد قائمة تحكم بالوصول Access Control List (ACL) وكل معلومة يتم إدخالها في ACL يطلق عليها Access Control Entry (ACE). ويتم إنشاء ACE عند منح التصريح لاستخدام المورد وتحتوى على SID للمستخدم أو مجموعته الممنوحة التصريح بالإضافة إلى نوع التصريح، فلو افترضنا أن مدير مجموعة ما قد منح تصريح قراءة وتصريح كتابة لملف ما، فإن ACE جديد يتم إنشاؤه ثم إضافته إلى ACL الخاص بالملف وسيحتوى ACE على SID لمدير المجموعة بالإضافة إلى تصريح قراءة وتصريح كتابة. وهناك نوعان لـ : ACE

· الوصول مسموح Access Allowed. 

· الوصول ممنوع Access Denied و يتم إنشاؤها إذا كان تصريح الوصول هو No Access. 

وهكذا عندما يحاول مستخدم ما الوصول إلى مورد ما يتم مقارنة SID الخاص به مع SIDsفي كل ACE من ACL للمورد. أما في Windows NT و Windows 2000 فيتم ترتيب ACE بحيث تكون Access Denied ACEs قبل Access Allowed ACEs . فإذا وجد SIDخاصتك في أى من Access Denied ACEs فستمنع من الوصول إلى المورد وإلا فسيبحث في Access Allowed ACEs للتأكد من الحقوق الممنوحة لك، فإن لم يعثر على SID مطابق لخاصتك, فستعرض رسالة تحذير تمنعك من الوصول للمورد.

إذن فملخص ما ورد عن الأمن, أن هناك بعض الإجراءات التي يجب اتخاذها للمحافظة على أمن الشبكة و منها: تدريب المستخدمين، حماية المعدات، تشفير البيانات، استخدام أجهزة عديمة الأقراص، مراقبة العمليات التى تجرى على الشبكة. وهناك نظامان أساسيان لإعطاء التصاريح والحقوق :

· المشاركة المحمية بكلمة مرور.
· تصاريح الوصول.

:by

Eng/M.Hamdan