معلومات عن الشبكات اللاسلكية ................. الجزء الثاني
صفحة 1 من اصل 1
معلومات عن الشبكات اللاسلكية ................. الجزء الثاني
من طرف Grave_Digger الجمعة يناير 22, 2010 12:44 pm
هاد الجزء الثاني من الشبكات اللاسلكية :
الخصوصية المكافئة للشبكة السلكية :
يعتبر هذا البروتوكول أكثر بروتوكولات أمن الشبكات اللاسلكية انتشارًا كونه أول هذه
البروتوكولات، لذلك ستجده مضمنًا في الغالبية العظمى من التجهيزات التي تدعم معايير
802.11 للشبكات اللاسلكية. يعتمد هذا البروتوكول على مفتاح تشفير مشترك بطول 40
بت يستخدم لتشفير البيانات أثناء عبورها للشبكة اللاسلكية. ينبغي إدخال هذا المفتاح يدويًا
في جميع تجهيزات الشبكة. لن يتمكن أي مستخدم من الإتصال بالشبكة اللاسلكية مالم يملك
هذا المفتاح المشترك، أي أنه يلعب أيضًا دور كلمة السر للتحقق من هوية المستخدم.
على عدة عيوب WEP ينطوي استخدام بروتوكول الخصوصية المكافئة للشبكة السلكية
أهمها صغر حجم مفتاح التشفير المستخدم، مما يعني بأن اختراقه يصبح أسهل نسبيًا،
بالإضافة إلى الإعتماد على تشارك مفتاح وحيد بين جميع مستخدمي الشبكة، وبالتالي فإن
أي مستخدم للشبكة سيتمكن من الإطلاع على بيانات جميع المستخدمين الآخرين، عدا عن
ازدياد احتمالات إفشاء هذا المفتاح ووقوعه بين أيدي أشخاص غير مرغوب بهم.
WPA 5.2 . بروتوكول الوصول الآمن للشبكة اللاسلكية
وهو يعتمد على آلية تشفير أقوى بكثير WEP صمم هذا البروتوكول لتجاوز مشاكل سلفه
بالإضافة إلى تطوير طرق أخرى لتوزيع مفاتيح التشفير (بالإضافة إلى مفتاح التشفير
SSL المشترك بين جميع المستخدمين) كالمفاتيح الخاصة بكل مشترك وشهادات
تتجلى أهم عيوب هذا البروتوكول بمحدودية توافقيته مع تجهيزات الشبكات .certificates
اللاسلكية المنتشرة في الأسواق، لذلك ننصحك بالتحقق من توفر دعم هذا البروتوكول قبل
الإقدام على شراء التجهيزات التي ستستخدم في بناء شبكتك اللاسلكية.
6. تركيب وإعداد التجهيزات :
تبدأ الإثارة الحقيقية في رحلتنا عند الوصول إلى هذه المرحلة والتي سنقوم فيها بتركيب
تجهيزات الشبكة في مواقعها وإعداد هذه التجهيزات لكي نتمكن من استخدام الشبكة لنقل
البيانات لاسلكيًا وبالتالي تحقيق أهداف المشروع التي حددناها في بداية الرحلة. إن اتباعك
للخطوات السابقة وإيلاءها العناية اللازمة سيساعدك كثيرًا على إتمام هذه المرحلة الممتعة
بسهولة ودون الوقوع في شرك المفاجآت غير المتوقعة.
إبدأ بتركيب التجهيزات بشكل يتناسب مع تصميم الشبكة. إذا كانت الشبكة مث ً لا تهدف إلى
توفير الإتصال بالإنترنت أو بالشبكة اللاسلكية ضمن مكتب أو بناء يتوجب تركيب نقاط
الولوج في مواقع ملائمة تتيح تغطية جميع المساحات المطلوبة وبشكل يمكن معه توفير
التغذية بالقدرة الكهربائية والربط مع الشبكة السلكية، كما ينبغي أيضًا تثبيت التجهيزات في
مواقع تركيبها بإحكام لتجنب أية حوادث قد تؤذي هذه التجهيزات. أما إذا تضمنت الشبكة
وصلات لاسلكية خارجية بين المباني فيجب عندها دراسة متطلبات أبراج الهوائيات وكيفية
توجيه هذه الهوائيات 3. تأكد أيضًا من مدى ملاءمة الظروف الجوية في موقع التركيب
(درجة الحرارة، الرطوبة، سرعة الرياح، الصواعق) للتجهيزات المستخدمة، قد تضطر
في كثير من الحالات مث ً لا إلى استخدام خزائن مقاومة للعوامل الجوية أو تركيب بعض
التجهيزات الخاصة لحماية تجهيزات الشبكة من التلف.
تغيير كلمات السر لحساب مدير النظام :
تحتوي جميع تجهيزات الشبكات اللاسلكية على كلمات سر إفتراضية تتيح لمدير النظام
إعداد هذه التجهيزات. لا بد من تغيير هذه الكلمات الإفتراضية كأول خطوة أثناء إعداد
التجهيزات لتجنب تغيير هذه الإعدادات لاحقًا من قبل المخربين أو دون قصد من قبل أحد
مستخدمي الشبكة. إستخدم كلمات سر قوية لا يقل طولها عن 8 أحرف وتحتوي على
أحرف، أرقام وعلامات خاصة بشكل يصعب معه تخمينها من قبل الآخرين، تجنب أيضًا
استخدام الكلمات الشائعة أو تلك التي يسهل إيجادها كأرقام الهواتف وتاريخ الميلاد.
SSID 2.6 . إعداد معرّف مجموعة الخدمات
تقوم نقاط الولوج في الشبكة اللاسلكية بإرسال هذا المع رف دوريًا بتواتر معين لإعلام
الأجهزة اللاسلكية الواقعة ضمن نطاق تغطيتها بوجود نقطة الولوج وبأنها جاهزة لاستقبال
طلبات الإتصال بالشبكة. يمكن تشبيه هذا المع رف بإسم الشبكة اللاسلكية. إختر مع رفًا
ملائمًا لشبكتك وقم بإعداد جميع نقاط الولوج ضمن الشبكة لاستخدام هذا المع رف.
3.6 . إعداد القناة اللاسلكية المستخدمة
قم بتحديد القناة اللاسلكية التي قمت باختيارها خلال مرحلة التصميم لتجنب أي تداخل أو
تشويش محتمل مع الشبكات اللاسلكية الأخرى.
4.6 . إعداد التشفير
تهدف هذه الخطوة إلى تحديد آليات التشفير المستخدمة لحماية البيانات المنقولة لاسلكيًا. قم
بتفعيل بروتوكول التشفير الذي وقع اختيارك عليه أثناء تصميم أمن الشبكة بالإضافة إلى
مفاتيح التشفير المستخدمة. ينبغي إضافة هذه المفاتيح إلى نقاط الولوج وإلى جميع
الحواسب والتجهيزات التي ستتصل مع نقاط الولوج.
TCP/IP 5.6 . إعداد بروتوآولات
تتضمن هذه الخطوة إعداد تجهيزات الشبكة من نقاط ولوج وغيرها لكي تتمكن من
IP يتطلب ذلك تصميم عناوين الإنترنت .TCP/IP التخاطب باستخدام حزمة بروتوكولات
لتجهيزات الشبكة وكيفية اتصالها بالمواقع البعيدة وبمزود خدمة الإنترنت. لن نسهب هنا
في شرح كيفية القيام بهذه المهمة لأنها لا تختلف كثيرًا عن أساليب العنونة المتبعة في
الشبكات السلكية، وننصحك بمراجعة كتاب "الشبكات اللاسلكية في الدول النامية" للحصول
على مزيد من التفاصيل.
DHCP أيضًا تفعيل ميزة الإعداد التلقائي للمضيف TCP/IP يشمل إعداد بروتوكولات
لجميع زبائن الشبكة اللاسلكية. IP بغية الإستغناء عن الإعداد اليدوي لعناوين الإنترنت
وجميع متغيرات IP تقوم ميزة الإعداد التلقائي للمضيف بإعداد عنوان الإنترنت
تلقائيًا لكل زبون من زبائن الشبكة اللاسلكية دون الحاجة إلى TCP/IP بروتوكولات
إعدادها يدويًا من قبل المستخدم أو مدير الشبكة.
المراقبة وكشف الأعطال :
تتميز شبكات نقل البيانات بتفاوت أنماط استخدامها وتباين أشكال البيانات المنقولة خلالها
تبعًا لتغير المتطلبات التي يتوجب على هذه الشبكات تلبيتها نتيجة نمو حجم العمل وإضافة
المزيد من التقنيات والتطبيقات الجديدة إلى الشبكة. إن إهمال هذه التغيرات قد يتسبب في
تباطؤ أداء الشبكة أو عجزها عن تلبية متطلبات المستخدمين، لذلك لا بد من متابعة أداء
الشبكة بشكل دائم لكي يتسنى اكتشاف أية مشاكل قد تحدث أو التنبؤ بمتطلبات التطوير
والتوسيع المستقبلية.
تهدف مهام مراقبة وإدارة الشبكة إلى تجميع البيانات المطلوبة لتحليل أداء الشبكة واتخاذ
القرارات الضرورية لضمان توفير المستوى المطلوب من جودة الخدمة المقدمة لمستخدمي
وزبائن الشبكة اللاسلكية. تتوفر في الأسواق أعداد كبيرة من برمجيات وتطبيقات مراقبة
وإدارة الشبكات السلكية واللاسلكية والتي يمكن استخدامها في مراقبة إدارة الشبكة، لكننا
ننصحك بتجنب الخطأ الشائع والذي يقع فيه الكثيرون في اعتماد الأدوات المتوفرة كأساس
لتصميم نظام مراقبة وإدارة الشبكة. إبدأ قبل اختيار الأدوات والبرمجيات التي ستستخدمها
بتحديد الأهداف التي تريد تحقيقها لكي تبني قراراتك على أسس صلبة.
إليك فيما يلي بعض الأدوات التي يمكنك استخدامها لتحقيق كل من الأهداف التالية:
• مراقبة إستهلاك عرض الحزمة بغية التنبؤ بازدياد الحركة ضمن الشبكة
والتخطيط المسبق لزيادة استطاعتها
• يظهر تفاصيل حركة البيانات ضمن الشبكة ويعرض :MRTG برنامج o
النتائج على شكل رسومات بيانية يمكن تحليلها بسهولة.
• يقوم بتحليل نشاط الشبكة واستهلاك مواردها مع مرور :ntop برنامج o
الزمن
• مكافحة الفيروسات والرسائل التجارية غير الموجهة
يقوم بمسح رسائل البريد الإلكتروني :Spam-Assassin برنامج o
الواردة إلى الشبكة والصادرة منها لاكتشاف الرسائل المرسلة عشوائيًا
وتصفيتها
وهو برنامج مفتوح المصدر لمكافحة :Clam Anti Virus برنامج o
الفيروسات والتي تعتبر أهم مسببات المشاكل في الشبكات السلكية منها
. واللاسلكية
ستمكنك مراقبة شبكتك اللاسلكية بشكل مستمر والاحتفاظ بسجلات مراقبة حركة الشبكة من
اتخاذ قرارات أصوب فيما يتعلق بمشاريع تطوير الشبكة أو توسيعها عدا عن تسهيل مهمة
كشف الأعطال ومعالجتها عند ظهورها. قد تضطر في حال تعذر إشرافك أنت شخصيًا
على عملية إدارة الشبكة بشكل مباشر أن تقوم بتدريب أشخاص آخرين للقيام بهذه المهمة.
ننصحك بتدريب أكثر من شخص واحد على هذه المهارات وذلك لتجنب الوقوع في مأزق
في حال اضطر أحد هؤلاء المتدربين إلى ترك المشروع لأي سبب كان ولكي تضمن أيضًا
سهولة الوصول إلى شخص يملك المهارات الكافية عند ظهور أية مشاكل ضمن الشبكة
ليتم حلها بأسرع وقت ممكن.
اعدادات نقطة الاتصال:
بعد الانتهاء من تعريف كروت الشبكة و تشغيل نقطة الاتصال (يكفي أن نوصل نقطة الاتصال بالكهرباء و ستعمل بالاعدادات الافتراضية) يجب ان نختار و نحدد IP Address لكل كرت, لان الDHCP Server الموجود في نقطة الاتصال غير مفعّل في الاعدادات الافتراضية.
يتم تحديد ال IP Address لكل جهاز عن طريق اتبعا التعليمات التالية:
• اتجه الى start ثم settings ثم control panel ثم Network and dial up connections, الان بالزر الايمن انقر نقرة على الLocal Area Connection الذي تم عمله لكرت الشبكة اللاسلكية
• نقر نقرتين على Interlet Protocol -TCP/IP , و انسخ ماترى في الصورة التالية و تأكد من ان الاعدادات تتطابق من ناحية رقم الايبي المستخدم و غيرها.
• طبعا يمكن تغيير رقم الIP الى رقم شبيه لكن هذا مجرد مثال. الان اضغط مرتين على OK و أعد تشغيل الجهاز ان طلب منك ذلك. اعد نفس العملية مع الجهاز الآخر مع تغيير رقم الايبي الى مثلا 192.168.0.8
اذا مشت الامور على ما يرام فانك الان جاهزrobix للاتصال بالشبكة اللاسلكية, و هذه واجهة البرنامج التي تخبرك بحالة الشبكة اللاسلكية:
لنشرح ماتحتوي الصورة من امور:
•
Status : Associated BSSID=00-08-C8-AC-7F-E0
هذه تعني ان كرت الشبكة اللاسلكية متصل بنقطة الاتصال التي تحمل عنوان الMAC Address التالي:
00-08-C8-AC-7F-E0
وال MAC Address هو Media Access Control Address وهو العنوان الفيزيائي لكرت الشبكة اللاسلكية ( نعم نقطة الاتصال تحتوي على كرت شبكة لا سلكية بداخلها) و هذا العنوان عنوان ثابت يأتي من الشركة المصنعة و يكون الرقم رقم مميز من المفترض ان يملك كل كرت شبكة سواء سلكي او لاسلكي رقم خاص به لا يتكرر مع كروت اخرى , يعطى من الشركة المنتجة.
• SSID robix
وهو الService Set IDentifier و هو رقم او معرف لنقطة الاتصال. كل نقطة اتصال لديها معرف خاص بها ترسله بشكل مستمر كي تلتقطه كروت الشبكة اللاسلكية الموجودة في مداها لتعرف هذه الكروت ان نقطة اتصال ذات المعرف الفلاني موجودة في مداها. من الناحية الامنية يفضل تعطيل خاصية ارسال المعرّف من نقطة الاتصال لانه اذا كان المدى بعيد نسبياً فان اي شخص يمكنه الدخول للشبكة الخاصة بك بدون عناء معرفة رقم المعرف الخاص بالشبكة!
بشكل افتراضي مع شركة D LINK فان المعرف يكون كلمة default , يمكن ان تغيرها لاي كلمة او رقم تشاء.
• Tx Rate
وهو معدل السرعة المتوفرة للكرت في هذه المسافة. كلما بعد الجهاز عن نقطة الاتصال قلت سرعة النقل.
• Channel
القناة التي يتم الاتصال بها بين كرت الشبكة و نقطة الاتصال, يمكن اختيار رقم 1 , 3 , 6 او 11.
• Link Quality
وهي جودة الاتصال, اذا كنت متصل بكمبيوتر معين في الشبكة اللاسلكية و كنت تنقل ملف معين فان هذا الامر يبين لك جودة الاتصال بينك و بين الجهاز الاخر في اللحظة ذاتها
• Signal Strength
وهي قوة الارسال, كلما ابتعدت عن نقطة الاتصال كلما ضعف الارسال.
Data Rate
يبين على شكل رسوم بيانية حركة نقل الملفات بين الاجهزة
بالضغط على SiteSurvey الموجود على اليسار, يمكننا مشاهدة نقاط الاتصال الموجودة في مدى كرت الشبكة , نستطيع اختيار نقطة الاتصال المراد الاتصال بها و الدخول في الشبكة الخاصة بها ( في حال وجود اكثر من نقطة اتصال في نفس المنطقة) نظللها و نضغط على Connect فيقوم كرت الشبكة بالاتصال بنقطة الاتصال
كيف نغير اعدادات نقطة الاتصال؟
في الحقيقة يجب ان ندخل على نقطة الاتصال اولا, و الدخول يتم باكثر من طريقة باختلاف نوعيات نقط الاتصال, منها ما يتم الاتصال بها عن طريق التلنت Telnet او عن طريق متصفح الانترنت.
سندخل الان الى نقطة الاتصال عن طريق متصفح الانترنت المعروف Internet Explorer.
رقم الIP الافتراضي لنقطة الاتصال هو 192.168.0.50 , نكتب هذا العنوان في المكان المحدد و نضغط زر Enter (تأكد من اعدادات البروكسي , يجب ان لا تستخدم البروكسي عندما تريد الدخول الى نقطة الاتصال لانها في الشبكة الداخلية)
ستظهر لنا نافذة تطلب منا ان ندخل اسم المستخدم و الرقم السري. في خانة اسم المستخدم ندخل admin و نترك الرقم السري خالياً,
تشفير البيانات باستخدام الWEP
أغلب نقط الاتصال تملك امكانية التعامل مع البيانات المشفرة. باستخدام تقنية الWEP او Wired Equivalent Privacy فانه و تفعيلها في نقطة الاتصال, يمكن تشفير استلام و تمرير البيانات المشفرة فقط. لذا يجب على كل مستخدم يريد استخدام الشبكة اللاسلكية ان يفعل خاصية الWEP اي التشفير في جهازه, كي يتم تبادل البيانات بصورة مشفرة تصعب في معظم الاحيان معرفة محتواها ان تم نسخ هذه البيانات اثناء مرورها بين الاجهزة.
و كخط دفاع ثاني, عند استخدام ميزة التشفير, يجب تبادل مفتاح التشفير المسمى ب WEP Key فهو عبارة عن ارقام على اساس Hex تحدد درجة التشفير , و كلما زاد حجم الرقم زادت صعوبة كسر التشفير و ايضا زادت المدة التي يتم نقل البيانات بعد تشفيرها و استلامها و من ثم فك تشفيرها. و يعتبر المفتاح خط دفاع ثاني لانه يجب على الاطراف المستخدمة للشبكة معرفة هذا المقتاح كي يتم تشفير البيانات على اساسه, و يفضل تغييره بين فترة و اخرى حتى ان وقع في يد احد المتطفلين فانه لن يستخدمه لفترة طويلة.
الكلمة السرية الافتراضية Default Password
تأتي نقط الاتصال من الشركات المنتجة لها بكلمة سرية معينة موحدة و معروفة, يجدها المستخدم في الدليل الخاص بال Access Point, و في بعض الاحيان تكون الكلمة السرية خالية , يعني ان عند تسجيل الدخول لنقطة الاتصال لتغيير الاعدادات, يكون اسم المستخدم هو مثلا admin و الكلمة السرية غير موجودة! من الواضح انه يجب تغييرها الى كلمة سرية صعبة مكونة من ارقام و حروف .هذه هي الاعدادات الافتراضية التي وجدت لتسهل العملية على المستخدمين لكن ان بقيت هكذا فانها قد تؤدي لى مصائب كبيرة, يمكن تفاديها بسهولة باتباع التعليمات و النصائح هذه بعض الامور التي ستساعد في تقوية أمن الشبكات اللاسلكية, رغم ان الحديث عن أمن الشبكات امر واسع جداً و لا يمكن حصره في دروس, الا ان وضع النقاط على الحروف امر مطلوب لمعرفة أهم الامور التي يجب التركيز عليها لتقليل المخاطر التي قد يواجهها اي مسؤول عن الشبكات.
ماهية الIPSec
عد التقدم والتطور الذي حصل في عالم السيكيورتي ، وبعد تطور اساليب المخترقين في عملياتهم وتنوعها كMan-IN-THe-Midle و كSniffing والRelaying والكثير غيرها ،، كان لا بد من ايجاد طريقة امنه لتخطي هذه الامور وخصوصا في الامور الحساسه كالتجاره الالكترونيه وعمليات كشف الحسابات عن طريق الانترنت وغيرها ، فكان لابد من طريقه لتامين ذلك ،، فتم تطوير تقنيه الSSL : Secure Socket Layer وامنت هذه الطريقة قيام اتصال امن مشفر Encrypted ضمن تعقيدات متفاوته فمنها ال40Bit ومنها 128bit ،، فتم استخدام الSSL لتشفير وحماية قنوات الاتصال التي تنتقل عبرها الداتا مثل SMTP او الDatabase communications ،
وتم استخدام ما يعرف بSSL over HTTP في المواقع التجاريه ومواقع الايميل فاصبحت تسمى HTTPS : Secure Hyper Text Transfer Protocol واستخدم بورت443 بدلا من 80 الخاص بHTTP ــ، وانتشر واشتهر بشكل كبير،،
ثم ظهرت تقنيه مشابه له ولاستخدامه وهي الTLS : Transport Layer Security وهي تقنيه محسنه من الSSL ولكنهما يختلفان في طريقة اداء العمليه ،، والطريقتان تحتاجان للشهادات الالكترونيه Certificates او بالاحرى Web-based Certificates .
وظهرت تقنيه اخرى داخل الشبكه نفسها وليس على شبكه عالميه كالانترنت ، وهي SMB Signing ،، الجميع يعلم ان الSMB : Server Message Block هي الpackets الي يتم ارسالها بين السيرفر والاجهزه في عملية المشاركه في الملفات وغيره Sharing ،، وللحمايه من طريقة سرقة المعلومات اثناء مرورها في الاسلاك Man In The Middle MITM وهذه الطريقه تدعى SMB Signing ،، يتم بواسطتها اضافة الHash (وهي طريقة يتم من خلالها استخلاص رمز معين حسب حسابات
لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .
IPSec Protocols
الIPsec هو طريقه وليس بروتوكول كما يخطأ البعض ،، لكن للIPSec بروتوكولان رئيسيان هما :
اولا: AH : Authentication Header
يستخدم الAH في توقيع الرسائل والبيانات Sign ولا يعمل على تشفيرها Encryption ، حيث يحافظ فقط على ما يلي للمستخدم :
1. موثوقية البيانات Data authenticity :اي ان البيانات المرسله من هذا المستخدم هي منه وليست مزوره او مدسوسه على الشبكه .
2. صحة البيانات Data Integrity : اي ان البيانات المرسله لم يتم تعديلها على الطريق (اثناء مرورها على الاسلاك) .
3. عدم اعادة الارسال Anti-Replay : وهذه الطريقه التي ستخدمها المخترقون حيث يقومون بسرقة الباسوورد وهي مشفره ويقومون باعادة ارسالها في وقت اخر للسيرفر وهي مشفره وطبعا يفك السيرفر التشفير ويدخل اليوزر على اساس انه شخص اخر،، فالIPSec يقدم حلولا لمنع هذه العمليه من الحدوث.
4.حمايه ضد الخداع Anti-Spoofing protection : ويوفر ايضا الIPSec حماية ضد الخداع من قبل المستخدمين ، مثلا يمكن ان يحدد مدير الشبكه انه لا يسمح لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه 192.168.1.x من دخول السيرفر ،، فيمكن للمستخدم ان يغير الIP Address خاص به ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه الى داخلها) يكون لكل الحزمه Packet موقعه Digitally signed.
هذا هو الشكل العام لحزمة البيانات Packet التي تمر في بروتوكول AH .
ثانيا: ESP : Encapsulating Security Payload
يوفر هذا البروتوكول التشفير والتوقيع للبيانات معا Encryption and Signing ، ومن البديهي اذا ان يستخدم هذا البروتوكول في كون المعلومات سريه Confidential او Secret ،، او عند ارسال المعلومات عن طريق Public Network مثل الانترنت ،
يوفر الESP المزايا التاليه:
1.Source authentication : وهي مصداقية المرسل ، حيث كما وضحنا في مثال الSpoofing انه لا يمكن لاي شخص يستخدم الIPSec تزوير هويته ،(هوية المرسل).
2. التشفير للبيانات Data Encryption : حبث يوفر التشفير للبيانات لحمايتها من التعديل او التغيير او القراءه .
3.Anti-Replay : موضحه في الAH .
4.Anti-Spoofing Protection : موضحه في ال AH.
ثالثا : IKE : Internet Key Exchange
الوظيفة الاساسيه لهذا البروتوكول هي ضمان الكيفيه وعملية توزيع ومشاركة المفاتيح Keys بين مستخدمي الIPSec ، فهو بروتوكول الnegotiation اي النقاش في نظام الIPSec كما انه يعمل على تاكيد طريقة الموثوقيه Authentication والمفاتيح الواجب استخدامها ونوعها (حيث ان الIPSec يستخدم التشفير 3DES وهو عباره عن زوج من المفاتيح ذاتها يتولد عشوائيا بطرق حسابيه معقده ويتم اعطاءه فقط للجهة الثانيه ويمنع توزيعه وهو من نوع Symmetric Encryption اي التشفير المتوازي ويستخدم تقنية الPrivate Key .
الخصوصية المكافئة للشبكة السلكية :
يعتبر هذا البروتوكول أكثر بروتوكولات أمن الشبكات اللاسلكية انتشارًا كونه أول هذه
البروتوكولات، لذلك ستجده مضمنًا في الغالبية العظمى من التجهيزات التي تدعم معايير
802.11 للشبكات اللاسلكية. يعتمد هذا البروتوكول على مفتاح تشفير مشترك بطول 40
بت يستخدم لتشفير البيانات أثناء عبورها للشبكة اللاسلكية. ينبغي إدخال هذا المفتاح يدويًا
في جميع تجهيزات الشبكة. لن يتمكن أي مستخدم من الإتصال بالشبكة اللاسلكية مالم يملك
هذا المفتاح المشترك، أي أنه يلعب أيضًا دور كلمة السر للتحقق من هوية المستخدم.
على عدة عيوب WEP ينطوي استخدام بروتوكول الخصوصية المكافئة للشبكة السلكية
أهمها صغر حجم مفتاح التشفير المستخدم، مما يعني بأن اختراقه يصبح أسهل نسبيًا،
بالإضافة إلى الإعتماد على تشارك مفتاح وحيد بين جميع مستخدمي الشبكة، وبالتالي فإن
أي مستخدم للشبكة سيتمكن من الإطلاع على بيانات جميع المستخدمين الآخرين، عدا عن
ازدياد احتمالات إفشاء هذا المفتاح ووقوعه بين أيدي أشخاص غير مرغوب بهم.
WPA 5.2 . بروتوكول الوصول الآمن للشبكة اللاسلكية
وهو يعتمد على آلية تشفير أقوى بكثير WEP صمم هذا البروتوكول لتجاوز مشاكل سلفه
بالإضافة إلى تطوير طرق أخرى لتوزيع مفاتيح التشفير (بالإضافة إلى مفتاح التشفير
SSL المشترك بين جميع المستخدمين) كالمفاتيح الخاصة بكل مشترك وشهادات
تتجلى أهم عيوب هذا البروتوكول بمحدودية توافقيته مع تجهيزات الشبكات .certificates
اللاسلكية المنتشرة في الأسواق، لذلك ننصحك بالتحقق من توفر دعم هذا البروتوكول قبل
الإقدام على شراء التجهيزات التي ستستخدم في بناء شبكتك اللاسلكية.
6. تركيب وإعداد التجهيزات :
تبدأ الإثارة الحقيقية في رحلتنا عند الوصول إلى هذه المرحلة والتي سنقوم فيها بتركيب
تجهيزات الشبكة في مواقعها وإعداد هذه التجهيزات لكي نتمكن من استخدام الشبكة لنقل
البيانات لاسلكيًا وبالتالي تحقيق أهداف المشروع التي حددناها في بداية الرحلة. إن اتباعك
للخطوات السابقة وإيلاءها العناية اللازمة سيساعدك كثيرًا على إتمام هذه المرحلة الممتعة
بسهولة ودون الوقوع في شرك المفاجآت غير المتوقعة.
إبدأ بتركيب التجهيزات بشكل يتناسب مع تصميم الشبكة. إذا كانت الشبكة مث ً لا تهدف إلى
توفير الإتصال بالإنترنت أو بالشبكة اللاسلكية ضمن مكتب أو بناء يتوجب تركيب نقاط
الولوج في مواقع ملائمة تتيح تغطية جميع المساحات المطلوبة وبشكل يمكن معه توفير
التغذية بالقدرة الكهربائية والربط مع الشبكة السلكية، كما ينبغي أيضًا تثبيت التجهيزات في
مواقع تركيبها بإحكام لتجنب أية حوادث قد تؤذي هذه التجهيزات. أما إذا تضمنت الشبكة
وصلات لاسلكية خارجية بين المباني فيجب عندها دراسة متطلبات أبراج الهوائيات وكيفية
توجيه هذه الهوائيات 3. تأكد أيضًا من مدى ملاءمة الظروف الجوية في موقع التركيب
(درجة الحرارة، الرطوبة، سرعة الرياح، الصواعق) للتجهيزات المستخدمة، قد تضطر
في كثير من الحالات مث ً لا إلى استخدام خزائن مقاومة للعوامل الجوية أو تركيب بعض
التجهيزات الخاصة لحماية تجهيزات الشبكة من التلف.
تغيير كلمات السر لحساب مدير النظام :
تحتوي جميع تجهيزات الشبكات اللاسلكية على كلمات سر إفتراضية تتيح لمدير النظام
إعداد هذه التجهيزات. لا بد من تغيير هذه الكلمات الإفتراضية كأول خطوة أثناء إعداد
التجهيزات لتجنب تغيير هذه الإعدادات لاحقًا من قبل المخربين أو دون قصد من قبل أحد
مستخدمي الشبكة. إستخدم كلمات سر قوية لا يقل طولها عن 8 أحرف وتحتوي على
أحرف، أرقام وعلامات خاصة بشكل يصعب معه تخمينها من قبل الآخرين، تجنب أيضًا
استخدام الكلمات الشائعة أو تلك التي يسهل إيجادها كأرقام الهواتف وتاريخ الميلاد.
SSID 2.6 . إعداد معرّف مجموعة الخدمات
تقوم نقاط الولوج في الشبكة اللاسلكية بإرسال هذا المع رف دوريًا بتواتر معين لإعلام
الأجهزة اللاسلكية الواقعة ضمن نطاق تغطيتها بوجود نقطة الولوج وبأنها جاهزة لاستقبال
طلبات الإتصال بالشبكة. يمكن تشبيه هذا المع رف بإسم الشبكة اللاسلكية. إختر مع رفًا
ملائمًا لشبكتك وقم بإعداد جميع نقاط الولوج ضمن الشبكة لاستخدام هذا المع رف.
3.6 . إعداد القناة اللاسلكية المستخدمة
قم بتحديد القناة اللاسلكية التي قمت باختيارها خلال مرحلة التصميم لتجنب أي تداخل أو
تشويش محتمل مع الشبكات اللاسلكية الأخرى.
4.6 . إعداد التشفير
تهدف هذه الخطوة إلى تحديد آليات التشفير المستخدمة لحماية البيانات المنقولة لاسلكيًا. قم
بتفعيل بروتوكول التشفير الذي وقع اختيارك عليه أثناء تصميم أمن الشبكة بالإضافة إلى
مفاتيح التشفير المستخدمة. ينبغي إضافة هذه المفاتيح إلى نقاط الولوج وإلى جميع
الحواسب والتجهيزات التي ستتصل مع نقاط الولوج.
TCP/IP 5.6 . إعداد بروتوآولات
تتضمن هذه الخطوة إعداد تجهيزات الشبكة من نقاط ولوج وغيرها لكي تتمكن من
IP يتطلب ذلك تصميم عناوين الإنترنت .TCP/IP التخاطب باستخدام حزمة بروتوكولات
لتجهيزات الشبكة وكيفية اتصالها بالمواقع البعيدة وبمزود خدمة الإنترنت. لن نسهب هنا
في شرح كيفية القيام بهذه المهمة لأنها لا تختلف كثيرًا عن أساليب العنونة المتبعة في
الشبكات السلكية، وننصحك بمراجعة كتاب "الشبكات اللاسلكية في الدول النامية" للحصول
على مزيد من التفاصيل.
DHCP أيضًا تفعيل ميزة الإعداد التلقائي للمضيف TCP/IP يشمل إعداد بروتوكولات
لجميع زبائن الشبكة اللاسلكية. IP بغية الإستغناء عن الإعداد اليدوي لعناوين الإنترنت
وجميع متغيرات IP تقوم ميزة الإعداد التلقائي للمضيف بإعداد عنوان الإنترنت
تلقائيًا لكل زبون من زبائن الشبكة اللاسلكية دون الحاجة إلى TCP/IP بروتوكولات
إعدادها يدويًا من قبل المستخدم أو مدير الشبكة.
المراقبة وكشف الأعطال :
تتميز شبكات نقل البيانات بتفاوت أنماط استخدامها وتباين أشكال البيانات المنقولة خلالها
تبعًا لتغير المتطلبات التي يتوجب على هذه الشبكات تلبيتها نتيجة نمو حجم العمل وإضافة
المزيد من التقنيات والتطبيقات الجديدة إلى الشبكة. إن إهمال هذه التغيرات قد يتسبب في
تباطؤ أداء الشبكة أو عجزها عن تلبية متطلبات المستخدمين، لذلك لا بد من متابعة أداء
الشبكة بشكل دائم لكي يتسنى اكتشاف أية مشاكل قد تحدث أو التنبؤ بمتطلبات التطوير
والتوسيع المستقبلية.
تهدف مهام مراقبة وإدارة الشبكة إلى تجميع البيانات المطلوبة لتحليل أداء الشبكة واتخاذ
القرارات الضرورية لضمان توفير المستوى المطلوب من جودة الخدمة المقدمة لمستخدمي
وزبائن الشبكة اللاسلكية. تتوفر في الأسواق أعداد كبيرة من برمجيات وتطبيقات مراقبة
وإدارة الشبكات السلكية واللاسلكية والتي يمكن استخدامها في مراقبة إدارة الشبكة، لكننا
ننصحك بتجنب الخطأ الشائع والذي يقع فيه الكثيرون في اعتماد الأدوات المتوفرة كأساس
لتصميم نظام مراقبة وإدارة الشبكة. إبدأ قبل اختيار الأدوات والبرمجيات التي ستستخدمها
بتحديد الأهداف التي تريد تحقيقها لكي تبني قراراتك على أسس صلبة.
إليك فيما يلي بعض الأدوات التي يمكنك استخدامها لتحقيق كل من الأهداف التالية:
• مراقبة إستهلاك عرض الحزمة بغية التنبؤ بازدياد الحركة ضمن الشبكة
والتخطيط المسبق لزيادة استطاعتها
• يظهر تفاصيل حركة البيانات ضمن الشبكة ويعرض :MRTG برنامج o
النتائج على شكل رسومات بيانية يمكن تحليلها بسهولة.
• يقوم بتحليل نشاط الشبكة واستهلاك مواردها مع مرور :ntop برنامج o
الزمن
• مكافحة الفيروسات والرسائل التجارية غير الموجهة
يقوم بمسح رسائل البريد الإلكتروني :Spam-Assassin برنامج o
الواردة إلى الشبكة والصادرة منها لاكتشاف الرسائل المرسلة عشوائيًا
وتصفيتها
وهو برنامج مفتوح المصدر لمكافحة :Clam Anti Virus برنامج o
الفيروسات والتي تعتبر أهم مسببات المشاكل في الشبكات السلكية منها
. واللاسلكية
ستمكنك مراقبة شبكتك اللاسلكية بشكل مستمر والاحتفاظ بسجلات مراقبة حركة الشبكة من
اتخاذ قرارات أصوب فيما يتعلق بمشاريع تطوير الشبكة أو توسيعها عدا عن تسهيل مهمة
كشف الأعطال ومعالجتها عند ظهورها. قد تضطر في حال تعذر إشرافك أنت شخصيًا
على عملية إدارة الشبكة بشكل مباشر أن تقوم بتدريب أشخاص آخرين للقيام بهذه المهمة.
ننصحك بتدريب أكثر من شخص واحد على هذه المهارات وذلك لتجنب الوقوع في مأزق
في حال اضطر أحد هؤلاء المتدربين إلى ترك المشروع لأي سبب كان ولكي تضمن أيضًا
سهولة الوصول إلى شخص يملك المهارات الكافية عند ظهور أية مشاكل ضمن الشبكة
ليتم حلها بأسرع وقت ممكن.
اعدادات نقطة الاتصال:
بعد الانتهاء من تعريف كروت الشبكة و تشغيل نقطة الاتصال (يكفي أن نوصل نقطة الاتصال بالكهرباء و ستعمل بالاعدادات الافتراضية) يجب ان نختار و نحدد IP Address لكل كرت, لان الDHCP Server الموجود في نقطة الاتصال غير مفعّل في الاعدادات الافتراضية.
يتم تحديد ال IP Address لكل جهاز عن طريق اتبعا التعليمات التالية:
• اتجه الى start ثم settings ثم control panel ثم Network and dial up connections, الان بالزر الايمن انقر نقرة على الLocal Area Connection الذي تم عمله لكرت الشبكة اللاسلكية
• نقر نقرتين على Interlet Protocol -TCP/IP , و انسخ ماترى في الصورة التالية و تأكد من ان الاعدادات تتطابق من ناحية رقم الايبي المستخدم و غيرها.
• طبعا يمكن تغيير رقم الIP الى رقم شبيه لكن هذا مجرد مثال. الان اضغط مرتين على OK و أعد تشغيل الجهاز ان طلب منك ذلك. اعد نفس العملية مع الجهاز الآخر مع تغيير رقم الايبي الى مثلا 192.168.0.8
اذا مشت الامور على ما يرام فانك الان جاهزrobix للاتصال بالشبكة اللاسلكية, و هذه واجهة البرنامج التي تخبرك بحالة الشبكة اللاسلكية:
لنشرح ماتحتوي الصورة من امور:
•
Status : Associated BSSID=00-08-C8-AC-7F-E0
هذه تعني ان كرت الشبكة اللاسلكية متصل بنقطة الاتصال التي تحمل عنوان الMAC Address التالي:
00-08-C8-AC-7F-E0
وال MAC Address هو Media Access Control Address وهو العنوان الفيزيائي لكرت الشبكة اللاسلكية ( نعم نقطة الاتصال تحتوي على كرت شبكة لا سلكية بداخلها) و هذا العنوان عنوان ثابت يأتي من الشركة المصنعة و يكون الرقم رقم مميز من المفترض ان يملك كل كرت شبكة سواء سلكي او لاسلكي رقم خاص به لا يتكرر مع كروت اخرى , يعطى من الشركة المنتجة.
• SSID robix
وهو الService Set IDentifier و هو رقم او معرف لنقطة الاتصال. كل نقطة اتصال لديها معرف خاص بها ترسله بشكل مستمر كي تلتقطه كروت الشبكة اللاسلكية الموجودة في مداها لتعرف هذه الكروت ان نقطة اتصال ذات المعرف الفلاني موجودة في مداها. من الناحية الامنية يفضل تعطيل خاصية ارسال المعرّف من نقطة الاتصال لانه اذا كان المدى بعيد نسبياً فان اي شخص يمكنه الدخول للشبكة الخاصة بك بدون عناء معرفة رقم المعرف الخاص بالشبكة!
بشكل افتراضي مع شركة D LINK فان المعرف يكون كلمة default , يمكن ان تغيرها لاي كلمة او رقم تشاء.
• Tx Rate
وهو معدل السرعة المتوفرة للكرت في هذه المسافة. كلما بعد الجهاز عن نقطة الاتصال قلت سرعة النقل.
• Channel
القناة التي يتم الاتصال بها بين كرت الشبكة و نقطة الاتصال, يمكن اختيار رقم 1 , 3 , 6 او 11.
• Link Quality
وهي جودة الاتصال, اذا كنت متصل بكمبيوتر معين في الشبكة اللاسلكية و كنت تنقل ملف معين فان هذا الامر يبين لك جودة الاتصال بينك و بين الجهاز الاخر في اللحظة ذاتها
• Signal Strength
وهي قوة الارسال, كلما ابتعدت عن نقطة الاتصال كلما ضعف الارسال.
Data Rate
يبين على شكل رسوم بيانية حركة نقل الملفات بين الاجهزة
بالضغط على SiteSurvey الموجود على اليسار, يمكننا مشاهدة نقاط الاتصال الموجودة في مدى كرت الشبكة , نستطيع اختيار نقطة الاتصال المراد الاتصال بها و الدخول في الشبكة الخاصة بها ( في حال وجود اكثر من نقطة اتصال في نفس المنطقة) نظللها و نضغط على Connect فيقوم كرت الشبكة بالاتصال بنقطة الاتصال
كيف نغير اعدادات نقطة الاتصال؟
في الحقيقة يجب ان ندخل على نقطة الاتصال اولا, و الدخول يتم باكثر من طريقة باختلاف نوعيات نقط الاتصال, منها ما يتم الاتصال بها عن طريق التلنت Telnet او عن طريق متصفح الانترنت.
سندخل الان الى نقطة الاتصال عن طريق متصفح الانترنت المعروف Internet Explorer.
رقم الIP الافتراضي لنقطة الاتصال هو 192.168.0.50 , نكتب هذا العنوان في المكان المحدد و نضغط زر Enter (تأكد من اعدادات البروكسي , يجب ان لا تستخدم البروكسي عندما تريد الدخول الى نقطة الاتصال لانها في الشبكة الداخلية)
ستظهر لنا نافذة تطلب منا ان ندخل اسم المستخدم و الرقم السري. في خانة اسم المستخدم ندخل admin و نترك الرقم السري خالياً,
تشفير البيانات باستخدام الWEP
أغلب نقط الاتصال تملك امكانية التعامل مع البيانات المشفرة. باستخدام تقنية الWEP او Wired Equivalent Privacy فانه و تفعيلها في نقطة الاتصال, يمكن تشفير استلام و تمرير البيانات المشفرة فقط. لذا يجب على كل مستخدم يريد استخدام الشبكة اللاسلكية ان يفعل خاصية الWEP اي التشفير في جهازه, كي يتم تبادل البيانات بصورة مشفرة تصعب في معظم الاحيان معرفة محتواها ان تم نسخ هذه البيانات اثناء مرورها بين الاجهزة.
و كخط دفاع ثاني, عند استخدام ميزة التشفير, يجب تبادل مفتاح التشفير المسمى ب WEP Key فهو عبارة عن ارقام على اساس Hex تحدد درجة التشفير , و كلما زاد حجم الرقم زادت صعوبة كسر التشفير و ايضا زادت المدة التي يتم نقل البيانات بعد تشفيرها و استلامها و من ثم فك تشفيرها. و يعتبر المفتاح خط دفاع ثاني لانه يجب على الاطراف المستخدمة للشبكة معرفة هذا المقتاح كي يتم تشفير البيانات على اساسه, و يفضل تغييره بين فترة و اخرى حتى ان وقع في يد احد المتطفلين فانه لن يستخدمه لفترة طويلة.
الكلمة السرية الافتراضية Default Password
تأتي نقط الاتصال من الشركات المنتجة لها بكلمة سرية معينة موحدة و معروفة, يجدها المستخدم في الدليل الخاص بال Access Point, و في بعض الاحيان تكون الكلمة السرية خالية , يعني ان عند تسجيل الدخول لنقطة الاتصال لتغيير الاعدادات, يكون اسم المستخدم هو مثلا admin و الكلمة السرية غير موجودة! من الواضح انه يجب تغييرها الى كلمة سرية صعبة مكونة من ارقام و حروف .هذه هي الاعدادات الافتراضية التي وجدت لتسهل العملية على المستخدمين لكن ان بقيت هكذا فانها قد تؤدي لى مصائب كبيرة, يمكن تفاديها بسهولة باتباع التعليمات و النصائح هذه بعض الامور التي ستساعد في تقوية أمن الشبكات اللاسلكية, رغم ان الحديث عن أمن الشبكات امر واسع جداً و لا يمكن حصره في دروس, الا ان وضع النقاط على الحروف امر مطلوب لمعرفة أهم الامور التي يجب التركيز عليها لتقليل المخاطر التي قد يواجهها اي مسؤول عن الشبكات.
ماهية الIPSec
عد التقدم والتطور الذي حصل في عالم السيكيورتي ، وبعد تطور اساليب المخترقين في عملياتهم وتنوعها كMan-IN-THe-Midle و كSniffing والRelaying والكثير غيرها ،، كان لا بد من ايجاد طريقة امنه لتخطي هذه الامور وخصوصا في الامور الحساسه كالتجاره الالكترونيه وعمليات كشف الحسابات عن طريق الانترنت وغيرها ، فكان لابد من طريقه لتامين ذلك ،، فتم تطوير تقنيه الSSL : Secure Socket Layer وامنت هذه الطريقة قيام اتصال امن مشفر Encrypted ضمن تعقيدات متفاوته فمنها ال40Bit ومنها 128bit ،، فتم استخدام الSSL لتشفير وحماية قنوات الاتصال التي تنتقل عبرها الداتا مثل SMTP او الDatabase communications ،
وتم استخدام ما يعرف بSSL over HTTP في المواقع التجاريه ومواقع الايميل فاصبحت تسمى HTTPS : Secure Hyper Text Transfer Protocol واستخدم بورت443 بدلا من 80 الخاص بHTTP ــ، وانتشر واشتهر بشكل كبير،،
ثم ظهرت تقنيه مشابه له ولاستخدامه وهي الTLS : Transport Layer Security وهي تقنيه محسنه من الSSL ولكنهما يختلفان في طريقة اداء العمليه ،، والطريقتان تحتاجان للشهادات الالكترونيه Certificates او بالاحرى Web-based Certificates .
وظهرت تقنيه اخرى داخل الشبكه نفسها وليس على شبكه عالميه كالانترنت ، وهي SMB Signing ،، الجميع يعلم ان الSMB : Server Message Block هي الpackets الي يتم ارسالها بين السيرفر والاجهزه في عملية المشاركه في الملفات وغيره Sharing ،، وللحمايه من طريقة سرقة المعلومات اثناء مرورها في الاسلاك Man In The Middle MITM وهذه الطريقه تدعى SMB Signing ،، يتم بواسطتها اضافة الHash (وهي طريقة يتم من خلالها استخلاص رمز معين حسب حسابات
لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .
IPSec Protocols
الIPsec هو طريقه وليس بروتوكول كما يخطأ البعض ،، لكن للIPSec بروتوكولان رئيسيان هما :
اولا: AH : Authentication Header
يستخدم الAH في توقيع الرسائل والبيانات Sign ولا يعمل على تشفيرها Encryption ، حيث يحافظ فقط على ما يلي للمستخدم :
1. موثوقية البيانات Data authenticity :اي ان البيانات المرسله من هذا المستخدم هي منه وليست مزوره او مدسوسه على الشبكه .
2. صحة البيانات Data Integrity : اي ان البيانات المرسله لم يتم تعديلها على الطريق (اثناء مرورها على الاسلاك) .
3. عدم اعادة الارسال Anti-Replay : وهذه الطريقه التي ستخدمها المخترقون حيث يقومون بسرقة الباسوورد وهي مشفره ويقومون باعادة ارسالها في وقت اخر للسيرفر وهي مشفره وطبعا يفك السيرفر التشفير ويدخل اليوزر على اساس انه شخص اخر،، فالIPSec يقدم حلولا لمنع هذه العمليه من الحدوث.
4.حمايه ضد الخداع Anti-Spoofing protection : ويوفر ايضا الIPSec حماية ضد الخداع من قبل المستخدمين ، مثلا يمكن ان يحدد مدير الشبكه انه لا يسمح لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه 192.168.1.x من دخول السيرفر ،، فيمكن للمستخدم ان يغير الIP Address خاص به ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه الى داخلها) يكون لكل الحزمه Packet موقعه Digitally signed.
هذا هو الشكل العام لحزمة البيانات Packet التي تمر في بروتوكول AH .
ثانيا: ESP : Encapsulating Security Payload
يوفر هذا البروتوكول التشفير والتوقيع للبيانات معا Encryption and Signing ، ومن البديهي اذا ان يستخدم هذا البروتوكول في كون المعلومات سريه Confidential او Secret ،، او عند ارسال المعلومات عن طريق Public Network مثل الانترنت ،
يوفر الESP المزايا التاليه:
1.Source authentication : وهي مصداقية المرسل ، حيث كما وضحنا في مثال الSpoofing انه لا يمكن لاي شخص يستخدم الIPSec تزوير هويته ،(هوية المرسل).
2. التشفير للبيانات Data Encryption : حبث يوفر التشفير للبيانات لحمايتها من التعديل او التغيير او القراءه .
3.Anti-Replay : موضحه في الAH .
4.Anti-Spoofing Protection : موضحه في ال AH.
ثالثا : IKE : Internet Key Exchange
الوظيفة الاساسيه لهذا البروتوكول هي ضمان الكيفيه وعملية توزيع ومشاركة المفاتيح Keys بين مستخدمي الIPSec ، فهو بروتوكول الnegotiation اي النقاش في نظام الIPSec كما انه يعمل على تاكيد طريقة الموثوقيه Authentication والمفاتيح الواجب استخدامها ونوعها (حيث ان الIPSec يستخدم التشفير 3DES وهو عباره عن زوج من المفاتيح ذاتها يتولد عشوائيا بطرق حسابيه معقده ويتم اعطاءه فقط للجهة الثانيه ويمنع توزيعه وهو من نوع Symmetric Encryption اي التشفير المتوازي ويستخدم تقنية الPrivate Key .
Grave_Digger- الإدارة
-
عدد الرسائل : 168
العمر : 34
الموقع : Aleppo
العمل/الترفيه : IT pro
المزاج : Heavy Metal
الدولة :
الأوسمة :
تاريخ التسجيل : 20/01/2010 -
مواضيع مماثلةصفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى