المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : كيف تحمي شبكة شركتك من الاختراق


KIGO-EGYPT
2009-01-09, 01:22 AM
كيف تحمي شبكة شركتك من الاختراق:D



حماية النشاط التجارى لشركتك أمر ذو أهمية بالغة وتركيب حاجز دفاعي firewall من الطرق الفعالة لمنع الدخلاء والمتلصصين من التسلل إلى بياناتك الثمينة

وحتى تشعر بالاطمئنان حاول أن تتبع الخطوات المذكورة في هذا المقال لتثبيت الحاجز الدفاعي الأول لحماية بياناتك المهمة .

من أهم المميزات التي تمنحها الإنترنت للمستخدمين القدرة على البحث عن المعلومات وتحميل الملفات وارسال الرسائل للملايين من أجهزة الكمبيوتر

وبالطبع هناك احتمال كبير أن تكون بعض هذه الأجهزة مملوكة لقراصنة من أصحاب الضمائر الميتة والنزعات المريضة هدفهم الأساسي التسلل إلى أجهزة الآخرين لتحقيق منفعة خاصة أو للمتعة الشخصية .

لا يتعرض مستخدمو الإنترنت من المنازل لنفس درجة المخاطرة التى تتعرض لها الشركات لأن الشركات التي تقدم خدمة الإنترنت تستخدم أجهزة خادمات بروكسى proxy وحواجز دفاعية وتقنية الاتصال التفاعلي كما أن المستخدم المنزلي لا يحمل نفس عنوان بروتوكول الإنترنت IP Address بصفة مستمرة. فإذا كانت شركتك تستخدم الأتصال المفتوح الدائم في التعامل مع الأنترنت تصبح مهمة الحماية من الدخلاء والمتطفلين مسئوليتك أنت وحدك , وللأسف الشديد تتعرض الشبكات في الشركات لخطر التسلل أكثر مما يتعرض له الجهاز الفردي , ولهذا لابد أن تتبع شركتك إجراءات ووسائل محكمة للحماية من تسلل القراصنة وتطفلهم.



* الخطوط الدفاعية



الحاجز الدفاعى Firewall

هو المركز الأساسي في إعداد منظومة الحماية المتكاملة , وهو عبارة عن نظام مصمم لمنع التسلل غير الرسمي للشبكات الخاصة حيث يقوم بدور الوسيط بين العالم الخارجي وبين شبكة الشركة ومراقبة البيانات الصادرة والواردة من وإلى الشبكة مهمة هذا الحاجز الأولى هي منع أى دخول لمتسلل غير مصرح به على البيانات الموجودة على الشبكة من جانب أي مستخدم خارجي بالإضافة إلى ضرورة إعداد مستويات السلطة في الجهاز المركزي في الشبكة Server وفقا لمستويات العاملين وعلى أساس حساسية المعلومات وحاجاتهم لعرضها . اعلم أنه من النتائج المترتبة على إحاطة شبكتك بحاجز دفاعي هو منعك أنت شخصيا من الاتصال بالإنترنت مباشرة , فرقم خادم البروكسي Proxy مطلوب للسماح لك بالدخول على الإنترنت بطريقة غير مباشرة .

لابد أن تعلم كذلك أن وجود حاجز دفاعي لا يكفي لحماية شبكتك من الأنواع الأخرى من هجمات القراصنة حماية كاملة فالحاجز الدفاعي مثلا يعجز عن حماية شبكتك من الفيروسات التي تصاحب البريد الإلكتروني متنكرة في صورة نصوص بريدية بريئة ولابد أن يحتوي كل جهاز من أجهزة الشبكة على مضاد للفيروسات يقوم بفحص الرسائل الإلكترونية واسطوانات الليزر والأقراص المرنة والديسكات المضغوطة والتأكد من خلوها من الفيروسات قبل نقل البيانات منها إلى القرص الصلب , وبالمثل لا ينبغي أن تغفل أبدا أشكال الحماية في وسائل نقل البيانات الأخرى حيث يمكن سرقة البيانات من القرص الصلب أو الوسائل الأخرى سواء بالفاكس أو البريد الإلكتروني.



** توقف قبل الاستمرار في قراءة السطور التالية ننصح بضرورة الاتصال بشركة متخصصة في تركيب الحواجز الدفاعية إلا إذا كنت متأكدا من قدرتك على تركيب وضبط إعداد نظام حماية الشبكات بنفسك.





* حواجز دفاعية فعالة



يحتوي السوق على العديد من الحواجز الدفاعية لكل منها مميزاته وعيوبه , ويهدف هذا المقال إلى مساعدتك خطوة بخطوة على تركيب الحاجز الدفاعي NetScreen-10 الذي يعتبر من الحواجز الدفاعية متعددة الأغراض وتبلغ تكلفته حوالي 3500 جنيه إسترليني ..

أجل إنه نظام مكلف ولكن تكلفة حماية بياناتك لا تقارن أبدا بخسائر اختراق المتسللين لشبكتك وسرقة البيانات منها.



** كيف يمكنك اختيار برنامج الحاجز الدفاعي



في هذا المقال سنتعرف معا كيف يمكن التسلل إلى شبكات الكمبيوتر التصورية Virtual Private Networks عن بعد من خلال الاتصال التقليدي بالإنترنت , وسنناقش كذلك طريقة مراقبة الحاجز الدفاعي ومسايرة أحدث التطورات في حماية وأمان المعلومات.



* كيف تبدأ ؟



أول شيء تفعله هو ضبط وإعداد الحاجز الدفاعي حتى يصبح من الممكن الدخول عليه من جهاز الكمبيوتر الذي تريد حمايته من التسلل , ويستخدم حاجز NetScreen مواصفات ضبط تعتمد على الإنترنت ولهذا لابد من تعريف عنوان بروتوكول الإنترنت وتحديد برنامج متصفح الانترنت الذي ستستخدمه , وبعد تعريف العنوان سيعمل الحاجز الدفاعي NetScreen بكفاءة وإذا كان عنوان بروتوكول الحاجز الدفاعي هو ( 192.168.1.1 ) فلابد أن يكون عنوان بروتوكول الإنترنت رقما مشابها حتى يستطيع جهازك التفاهم مع جهاز الحاجز الدفاعي :



1- في لوحة التحكم في شبكة الكمبيوتر حدد بروتوكول الإنترنت على 192.168.1.2 وحدد رقم قناع الشبكة الفرعية Subnet Mask على (255.255.255.0) ثم أعد تشغيل الجهاز واكتب العنوان التالي في شريط العنوان بمتصفح الانترنت :

http://192.168.1.1/ (http://192.168.1.1/)

2- سيعرض الجهاز لك مربع دخول يحتوي على اسم المستخدم وكلمة السر, استخدم اسم المستخدم وكلمة السر المعرفين مسبقا في نظام NetScreen العناوين يتم تعريف ثلاثة عناوين IP في الحاجز الدفاعي , وذلك بسبب وجود ثلاثة مستويات مختلفة للحماية يودي كل منها غرضا خاصا , فالمستوي الخارجي للشبكة يتحكم في اتصال أجهزة الكمبيوتر خارج الشبكة ( بعبارة أخرى ) الانترنت بأجهزة الكمبيوتر داخل الشبكة حيث يجب أن يكون عنوان هذا المستوى داخل نطاق العناوين الذي حددته شركة الانترنت ( يمكنك إضافة عناوين الشبكة الفرعية Subnet Mask بدءا من صفر وحتى 255 إلى نهاية عنوان شبكتك وهذا العدد (أي 255) يجب أن يكون كافيا لكل مستخدم في الشبكة وكل جهاز إضافي متصل بالشبكة مثل الطابعات والماسحات الضوئية وكاميرات الفيديو وغيرها.

سنفترض أن شركة الانترنت خصصت لك نطاق العنوان الذي يبدأ بـ ( 194.753.187.* ) وأنك ستستخدم الرقم ( 194.75.187.254 ) باعتباره عنوان الحاجز الدفاعي.



* الاتصال من طرف واحد



المستوى الداخلي للحاجز الداخلي هو المستوى الذي يتم فيه إخفاء أجهزة الكمبيوتر الخاصة بشبكتك من الوصول إليها عن طريق أجهزة الكمبيوتر الخارجية , وبصفة عامة لا يسمح لأي طرف أو جهاز خارج الشبكة الاتصال بأي جهاز داخل الشبكة ( وهو أمر يشبه المرآة من اتجاه واحد ) حيث يمكن لأي جهاز داخل الشبكة الاتصال بالانترنت ولكن لا يمكن لأي جهاز خارج نطاق الحاجز الدفاعي الاتصال ب أو الدخول على أي جهاز داخل الشبكة ) بعد ذلك يتم تحديد المنطقة المفتوحة DMZ التي تحتوي على أجهزة الكمبيوتر التي يمكن لأي جهاز في العالم الخارجي أن يتصل بها , وقديما لم يكن للحواجز الدفاعية الأولى سوى مستويين فقط للحماية , ولم تكن تحتوي على منطقة مفتوحة DMZ ولكن الواقع العملي أثبت أنه لابد من وجود خدمات البريد الإلكتروني العامة التي تتصل مباشرة بالإنترنت وغيرها من الأجهزة الأخرى الضرورية للاتصال بالعالم الخارجي في منطقة منفصلة من الأنظمة الداخلية التي تحتاج إلى الحماية.

السؤال هو ما هي العناوين التي يجب على الشبكة استخدامها لمستويات الحاجز الدفاعي الداخلية ?

هناك بعض العناوين المعرفة بالفعل في الترقيم العالمي لمثل هذا النوع من الاستخدام.وذلك مثل ( 192.168.*.* ) وهو أنسب عنوان لمثل هذا الموقف وسنستخدم عنوان ( 192.168.*.* ) للمستوى الداخلي والعنوان ( 192.168.10.* ) للمنطقة المفتوحة.



اتبع الخطوات التالية لإعداد مواصفات جهاز الحاجز الدفاعي:



1 - وصل جهاز الكمبيوتر بأجهزة المستوى الداخلي عن طريق موصل الشبكة hub أو كابل الشبكة , وقم بإدخال العنوان (192.168.1.254) في الشكل الموجود على شاشة استعراض الانترنت وأدخل رقم الشبكة الفرعية 255.255.255.0 وقم بتأكيد التغييرات , وانتظر حتى يبدأ الجهاز تشغيل نفسه.



2 - أدخل اسم المستخدم username وكلمة السر password المعروفين من قبل , حيث ستظهر لك شاشة إعداد باللون الأزرق والأصفر تحتوي على عدد كبير من الاختيارات المحيرة , انقر على صفحة Configure في أقصى يسار الشاشة ثم علىInterface على الجانب الأيمن من الشاشة.



3 - أدخل بقية المعلومات في المربعات الموجودة وستقوم شركة الانترنت بتعريف البوابة الافتراضية في المستوى الخارجي للشبكة وستبقى البوابة الافتراضية في المستوى الداخلي فارغة إلا إذا كانت شبكتك من نوع خارق للعادة !!!



4 -بعد إعداد كل المواصفات والاختيارات انقر على Save ثم على زر Apply ثم على زر Reset وسيبدأ جهاز الحاجز الدفاعي في تشغيل نفسه مرة أخرى , وفي كل مرة تريد فيها تغيير أي شيء في مواصفات الإعداد لابد من إدخال كلمة السر واسم المستخدم. يعتبر تغيير الإعداد من أحد الأسباب القليلة التي يترتب عليها إعادة تشغيل جهاز الحاجز الدفاعي وأغلب التغييرات الأخرى يمكن تنفيذها بدون قطع الخدمة.



* تحديد استراتيجية متكاملة للحماية



بعد إعداد مواصفات الحاجز الدفاعى ستحتاج إلى تحديد الهدف من تثبيت الحاجز الدفاعى , حيث يجب عليك تخطيط كل شىء مسبقا بدلا من اعداده وأنت تمضى قدما وسنستخدم فيما يلى نموذجا بسيطا :-



خادم البريد الإلكتروني : سيكون عنوانه على شبكة الإنترنت ( 194. 75. 187.10 ) وسيكون عنوانه ( 192. 168.10.10 ) في المنطقة المفتوحة ( DM2 )



خادم الويب القياسى :- وسيكون عنوانه على الإنترنت( 194. 75. 187.80 ) وعنوانه الحقيقى سيكون ( 192. 168. 10 101 )



خادم الويب الآمن :- سيكون عنوانه على شبكة الإنترنت ( 194. 75. 187.80 ) وعنوانه الحقيقى سيكون(192. 168.10.101)



* تخطيط عناوين وبروتوكولات الشبكة



وظيفة الحاجز الدفاعى هى تعريف عناوين الخدمات المتعددة :- بريد الإنترنت واتصالات الإنترنت القياسية واتصالات الويب الآمنة المتاحة في المستوى الداخلي للشبكة في قاعدة بيانات المنطقة المفتوحة , وسنتعامل مع البريد الإلكتروني أولا لأنه الأسهل , ويمنح كل برنامج من برامج الحواجز الدفاعية هذه الخدمة اسما مختلفا فحاجز NetScreen على سبيل المثال يطلق على هذه الوظيفة اسمMapped IP لوصف الاتصالات بين العناوين.



1- انقر على Virtual IP في العمود الأيسر ثم على Mapped IP على يمين الشاشة , وستجد أنه لا توجد أي عناوين في القائمة ولهذا ستختار New Entry



2 - أدخل عنوان المستوى الخارجى للحاجز الخاص بخادم البريد الإلكتروني ( 194.75. 187.10 ) واترك رقم الشبكة الفرعية كما هو ( 255.255.255.255 ) ثم أدخل العنوان الداخلي للصندوق البريدي ( 192.168.10.10 ) وقم بتأكيد التغييرات .



3- ستعرض شاشة عناوين البروتوكولات التى تم تعريفها والعنوان الذى أنشأته منذ قليل وما يجب تنفيذه الآن هو أمر الحاجز الدفاعي بالسماح للعالم الخارجي بإرسال الرسائل البريدية إلى خادم البريد الإلكتروني ولتنفيذ ذلك انتقل إلى شاشة Policy في العمود على الجانب الأيسر وأختر Incoming سيخبرك البرنامج بعدم وجود أى إدخالات حالية.



4- اطلب من النظام إضافة إدخال جديد وستظهر لك شاشة معقدة الى حد ما ولكن لا تفزع منها فرغم أنه يمكنك من خلال هذه الشاشة تشغيل التحكم في حجم المعلومات أثناء الاتصال بالانترنت والدخول والتنبيه وغيرها من الخصائص لكن يمكن تأجيل كل هذه الخطوات لما بعد في الوقت الحالي , فكل ما تريده في الوقت الحالي هو إخبار النظام أنك تريد السماح باستقبال الرسائل الإلكترونية .



5 - حدد عنوان المصدر Source Addresss في الحقل الموجود بأعلى الشاشة على Outside Any وسيضمن لك ذلك قدرة كل وظائف البريد الإلكتروني على الاتصال وإرسال البريد الإلكتروني .



6- حدد حقلService على MIP (194.75. 187.10) وهو يمثل العنوان المخطط لخادم البريد الإلكتروني.



7- يجب تحديد حقل Service على MAIL والذي يعد من أحد الخدمات القياسية العديدة التي يعرفها الحاجز الدفاعي, اضغط على زر OK وبذلك يصبح لديك إمكانية إرسال البريد الإلكتروني في الحواجز الدفاعية المحددة لخادم البريد وعليك أن تعد البرنامج ليسمح بمثل هذا الدخول على منطقة DMZ



8 - أنقر على صفحة DMZ وحدد الحقول الثلاثة الأولى في أعلى الشاشة علىOutside ANY و DMZ Any و MAIL . ويمكنك ترك بقية الحقول كما هى . وبعد إعداد الخادم الإلكتروني يكون قد أصبح لديك جهاز كمبيوتر احتياطي يمكنك ضبطه و إعداده في الشبكة الخارجية. وتستطيع الآن اختبار كفاءة استقبال الرسائل الإلكترونية وإرسال رسالة إلى حساب المستخدم على خادم البريد الإلكتروني .

وفي أغلب الأحيان يتم اعداد الحاجز الدفاعى قبل بقية أجهزة الكمبيوتر الأخرى في الشبكة لأن الخادمات لايمكنها أداء وظائفها كاملة بدونها .



9 - اذا كنت تريد السماح للمستخدمين بقراءة الرسائل الإلكترونية فيجب أن تقوم باعداد خاصية POP أو خاصية IMAP بين الشبكة الداخلية والمنطقة المفتوحة ويتم تنفيذ ذلك بنفس طريقة إعداد الرسائل الإلكترونية الواردة ما عدا أنك تختار Inside Any بدلا من Outside Any في حقل عنوان المصدر وربما يجب عليك كذلك إضافة إدخال فردى في شاشة POLICY في وجزء Outgoing للسماح للموظفين في الشركة أن يفعلوا ما يريدون في المواقع الخارجية .





* البروتوكولات التصورية



لقد قمت حتى الآن تحديد بروتوكولات بين الأجهزة الفردية بالنسبة لخادم البريد الإلكتروني , ولكن يمكننا تحديد هذه المستويات بطريقة أخرى من خلال استخدام آلية البروتوكولات الحقيقية Virtual IP وقلنا سابقا أن خادمي الإنترنت رغم أنهما جهازان منفصلان إلا أن لهما نفس العنوان بالنسبة للمستوى الخارجي للشبكة . والطريقة المتقدمة التي يمكننا بها تحديد هذه المستويات بشكل دقيق يسميها برنامج NetScreen ب Virtual IP Mapping (تحديد عناوين البروتوكولات التصورية) وسيؤدى هذا إلى زيادة عملية تحديد عناوين البروتوكولات خطوة إضافية فبدلا من أن نقول العنوان X يذهب الى العنوان Y نقول العنوان X الخدمةA تذهب الى العنوان Y الخدمة B . 1- أنقرعلى Virtual IP في العمود الموجود في يسار الشاشة وعلى Virtual IP في الجانب الأيمن من الشاشة وعندما تطلب من الجهاز إضافة إدخال جديد ستظهر لك شاشة تحتوي على الجانب الأيمن من الشاشة وعندما تطلب من الجهاز إضافة إدخال جديد ستظهر لك شاشة تحتوي على مجموعة كبيرة من مربعات الاختيار حدد منها الحقول الأولى حيث ستحدد العنوان الخارجي على ( 194.75.187.80 ) والعنوان الداخلي ( 192.168.11 ) وبروتوكول الإنترنت القياسي والموصل ثم اضغط على زر OK .



2 - أضف إدخال جديد بنفس عنوان المستوى الخارجي ولكن حدد العنوان الداخلي على 192.168.10.102 وحدد بروتوكول الانترنت الآمن على والموصل 80 ثم أكد المعلومات الجديدة كما سبق في الخطوة الأولى.



3- ستظهر لك الشاشة الأمامية الخاصة بنظام عنوان الانترنت الحقيقي وإذا كانت الخدمات تعمل على ما يرام ستظهر رسالة تقول OK وإذا لم تكن تعمل على ما يرام ستظهر لك رسالة تقول Not Available وهذا تحذير فرغم أن البروتوكولات موجودة لكن الخادم الذي تتجه إليه العناوين غير موجود وهكذا فإنه لا يؤدي أي وظيفة.



4- لاحظ أن الجهاز سيخبرك برسالة Not Available لثوان قليلة بعد إعداد العناوين حتى لو كان يعمل بشكل سليم, ولن يخبرك أن كل شيء على ما يرام إلا إذا علم بالفعل أن كل شيء على ما يرام.





* الحصول على التصريح



بعد تحديد عناوين خادم الانترنت لابد من إعداد التصريحات التي يمكن استخدامها



1- بالنسبة لخادم البريد الالكتروني ستحتاج إلى عرض شاشة السياسة المتبعة Policy وإضافة إدخال جديد في صفحة Incoming وتأكد أنك اخترت العنوان ونوع الخدمة الصحيحين ولابد من إضافة إدخالين آخرين واحد لبروتوكول HTTP والآخر لبروتوكول HTTPS



2 - اتجه إلى صفحة To DMZ وأضف إدخالين جديدين, لكل خدمة من خدمات الانترنت, ومرة أخرى عليك أن تتأكد من مطابقة العنوان الصحيح لكل نوع من أنواع الخدمات في القوائم المنسدلة.





* احكام الخيوط المتفرعة



سيعمل الحاجز الدفاعي الآن على ما يرام , ومن الأشياء الضرورية تغيير كلمة سر الإدارة , فلا يمكن التحكم في الحاجز الدفاعي بدون معرفة كلمة السر هذه لأن مستوى الاتصال الخارجي لن يقبل أي اتصالات من العالم الخارجي بدون أمر مباشر من مدير برنامج الحاجز الدفاعي .

وفي حالة اختراق أي أحد لشبكتك أو حتى مكتبك فقد يتسببون في ضرر هائل إذا ما نجحوا في الوصول إلى صفحة إعداد الحاجز الدفاعي.

لابد من التأكد كذلك من عمل كل فلاتر الأمان التي تناسبك., ولإنهاء الإعداد لابد من عمل الخطوات التالية:



1- تغيير كل من كلمة السر واسم المستخدم اللازمين لإدارة نظام الحاجز الدفاعي.



2- في نفس شاشة Admin قم بتحميل نسخة من مواصفات إعدادك, وهي أسهل طريقة لإعادة ضبط الحاجز الدفاعي في حالة حدوث أي خلل أو في حالة تغيير جهاز الحاجز الدفاعي بسبب تعطل الجهاز الحالي لأي سبب من الأسباب.



3- في شاشة Configure صفحة General اختر كل مربعات الاختيار المرتبطة بأي شيء لا تعرفه ونحن نقترح تشغيل ActiveX/Java و إلغاء أي شيء آخر.



4- حدد ساعة الحاجز الدفاعي بشكل سليم ففي شاشة Configure صفحة Genera اختر مربع Synchronize system clock with this client مع ضرورة التأكد من صحة ساعة جهاز الكمبيوتر ودقتها.



5- في شاشة Admin قم بإدخال عنوان بريد إلكتروني وإخبار جهاز الكمبيوتر أن يرسل التحذيرات إلى هناك





* التعامل مع الأساسيات



توجد العديد من الخصائص في برنامج NetScreen التي لم نشر إليها , وكل ما عليك هو أن تجرب هذه الخصائص وتحاول أن تعرف كيف تعمل . وأخيرا لابد أن نذكر مرة أخرى أن الحاجز الدفاعي جزء فقط من استراتيجية الحماية فإذا سمحت لأي فرد خارجي بالدخول على الجهاز بدافع الضرورة وكان أحد المستخدمين لديه كلمة سر واضحة فقد ضاعت كل جهودك . خذ على سبيل المثال فيروس الحب I LOVE YOU الذى ظهرفي صيف عام 2000 حيث لم يستطع أي حاجز دفاعي حماية الشركات منه ولكن يمكن للمسئول عن خادم البريد الإلكتروني أن يخبر الجهاز ألا يقبل أي ملفات exe مرفقة بالرسائل الإلكترونية. فكر في الموقف بأكمله ولا تعتقد أن الحاجز الدفاعي يكفى وحده لحمايتك من كل الهجمات.





* كيف يعمل الحاجز الدفاعي



يوجد محول الوسيط router بين المستوى الثالث للشبكة أوالمنطقة المفتوحة وبين الشبكات الداخلية ويحتوي المحول الوسيط على قائمة بعناوين بروتوكولات الشبكة IP addresses التي يسمح لها بالدخول على أجهزة الشبكة الخاصة , وعند محاولة الدخول على أجهزة الشبكة سيقوم نظام الحاجز الدفاعي بفحص عنوان بروتوكول الانترنت ومقارنته بهذه القائمة.

وإذا كان عنوان بروتوكول الإنترنت موجود في القائمة سيسمح لك بالدخول , وإذا لم يكن موجودا في القائمة فلن يسمح لك بالدخول على أجهزة الشبكة وسيسمح لك فقط بمعرفة بعض المعلومات عن خادم الشبكة.





* كيف تختار الحاجز الدفاعي المناسب



كيف يمكنك تحديد نوع الحاجز الدفاعى المناسب ؟

هل ينبغى أن تشترى مجموعة خاصة تحتوى علي المعدات والبرامج في آن واحد , أم تريد فقط أى برنامج يعمل علي ويندوز NT ؟

تتمثل الميزة الرئيسية في معدات الحاجز الدفاعى أنك ستحصل علي برنامج متوافق مع البرامج الخاصة بة . أما برامج الحاجز الدفاعى فميزتها تتمثل في أنها أرخص بكثير ولكنها جذابة إذا كنت تمتلك جهاز كمبيوتر لتشغيلها ولكن يجب أن تتاكد أن البرامج ستتوافق مع المعدات الموجودة عندك .





* برامج الحاجز الدفاعى



نوعان :- برامج الحاجز الدفاعى التي تعمل علي نظام تشغيل موجود وبرامج الحاجز الدفاعى التي تعمل بشكل منفصل وتتوافق مع برامج الحاجز الدفاعى التي تعمل علي أنظمة التشغيل مع أجهزة الكمبيوتر بشكل أفضل , ولكنها تعانى من بعض القصور في نظام التشغيل الحالي وأوجه هذا القصور تنعدم في برامج الحاجز الدفاعى بشكل منفصل ولكن إمكانية توافقها مع المعدات محدودة .

لابد أن تضع في ذهنك أن الشاشات المعقدة صعبة الإعداد تعنى أنه من السهل جدا إعدادها بشكل غير سليم , وإذا كانت هناك بعض البرامج الدفاعية ومنتجات الشبكات معقدة وتستعصى علي الاعداد والإدارة فهناك بعض أنظمة الحواجز الدفاعية أقل تعقيدا منها والبعض الآخر أقل تعقيدا من البرامج الأخرى ولن تجد أى صعوبة في التعامل مع البرامج





* الحماية المستمرة



ينسى الكثيرون أن الشبكات تتغير وأن الإنترنت تتطور بإستمرار وكل يوم تظهر أنواع جديدة من الإختراقات والقرصنة ومن الضروري متابعة أحدث التطورات في مجال الحماية والأمان ويمكنك الاشتراك في الشركة المنتجة للحاجز الدفاعى فيمكنك استقبال مطبوع أو إلكترونى يخبرك بإستمرار عن الجديد في عالم التسلل والاختراق ومن الضروري كذلك الاشتراك مع الشركة للحصول علي أي إصدارات جديدة وكلما ظهرت هجمات جديدة وفرت الشركة الحماية المناسبة لها لتستطيع الإستفادة منها علي الفور .





* شبكات الكمبيوتر التصورية



كان مستخدمو جهاز الكمبيوتر المحمول يستخدمون برامج الاتصال المباشر مثل تلك البرامج الموجودة بالفعل في نظام الويندوز وذلك للاتصال من خلال خط التليفون في المكتب , وبعد أن أصبحت الإنترنت شائعة ومنتشرة تطور مفهوم شبكات الكمبيوتر التصورية من المفهوم التقليدى للإستخدام عن بعد .

وبهذا المفهوم يستطيع المستخدم الإتصال برقم الدخول علي شركة الإنترنت المحلية وأغلب الشركات الكبرى لها فروع في العديد من الدول يقوم عميل الشبكة التصورية علي الجهاز المحمول بالدخول علي المكتب الرئيسى للشركة من خلال حساب آمن خاص ولن يقلل هذا من فاتورة المكالمات المحلية فحسب ولكنة سيؤدى كذلك إلي إزالة خادم الإتصال التقليدى وهو جهاز كان يتم إداراتة بشكل عشوائى الأمر الذي يترتب عليه أضرار خطيرة تتمثل في أنه كان يشكل خللا في شبكة الكمبيوتر .





Safe Mode الحالة الامنة للسيرفر



ماذا نعني بكلمة الحالة الآمنة أو الـ safe - mode...

هي عبارة عن منع اسكربتات الـ php من استدعاء دوال النظام بمعنى آخر هو حجب لبعض الدوال الخطرة مثل الدالة sytem ( ) و ....و shell_exec و popen( )و exec( ) و Pass thru ( )

فمثلا حتى تستخدم الأمر cat يجب أن تكون دالة الـ system() مفعلة حتى تستطيع تطبيق الأمر بشكل صحيح ومن غيرها لن تجد أي استجابة من السير فر ...



كيف نعرف اذا كنا نستخدم الـ phpshell ان السيرفر سيف مود ؟؟

نعرف اذا طبقنا اي امر ولم يكن هنالك اي استجابة لهذا الامر من السيرفر لا رسالة خطأ في اسم او مكان الملف No such File or dirctory ولا رسالة خطأ في الصلاحيات permmission denied ....

اما اذا كان الناتج بعد تطبيق الامر الرسالة هذي No such file or dirctory فاعرف مسار الملف الي كتبته غير صحيح وابحث عن مسار اخر للملف او المجلد واستخدم الامر find لمعرفة المسار للملف الذي تبحث عنه ...

وأما اذا كانت رسالة الخطأ في الصلاحيات permmission denaied فاعرف بأنه ليس لديك الصلاحيات في الامر الذي كتبته مثل

cat /etc/shadow مباشرة سيعطيك رسالة ليس لديك الصلاحية ...

*طريقة تفعيل السيف مود على السير فر :-

سأذكر أشهر طريقتين لتفعيل السيف مود وتوجد طريقة ثالثة لن اتطرق لها...

1) الطريقة الأولى :- استعراض ملف php. ini وسنجد أن حالة السيف مود غير مفعلة مسبقاً safe_mode = off

2) ولتفعيلها فما علينا إلا وضع التالي :-

Safe – mode = on

ثم نقوم بعمل ريستارت للاباتشي بالأمر

httpd restart



2) الطريقة الثانية : - طريقة حجب الدوال يدوياً وذلك من خلال الخاصية الموجودة في الملف .... php.ini

ثم بعد استعراض الملف بامر pico

Pico /usr/local/lib/php.ini

نبحث عن = disable_function

ونضع الدوال التي نريد حجبها بعد علامة المساواة بهذه الطريقة ....

Disable_function = system; passthru; exec ; popen , shell–exec

ثم نقوم بعمل ريستارت للاباتشي بالأمر

httpd restart

طرق تخطي السيف مود :-

الجميع يعلم أن السيف مود تطبق فقط على سكربتات ودوال php فقط بمعنى أن بإمكاننا استخدام دوال وسكربتات للملفات الأخرى يمكننا من خلالها استدعاء دوال النظام والاستفادة منها ومن أشهرها pythone – و perl ....

1) استخدام سكربتات بيرل و cgi

وسأذكر هنا أخطر الاسكربتات المعروفة والتي تؤدي نفس عمل سكربتات الـ php بل وبشكل أرقى ومن أشهر الاسكربتات المستخدمة اسكر بت cgitelnet ....

واسكربت cgicommander ...الخ


لتحميل الـ cgitelnet
http://corruptcode.org/downloads/cgitelnet.zip (http://corruptcode.org/downloads/cgitelnet.zip)

لتحميل الـ cgicommand http://corruptcode.org/downloads/cgicommand.zip (http://corruptcode.org/downloads/cgicommand.zip)

هذه المشهورة ويوجد افضل منها بكثير مثل Homo Commander



واليكم بعض الاساسيات لكي تعمل هذه الاسكربتات بشكل صحيح

أولا يجب أن يدعم السيرفر السي جي أي أو البيرل

طبعا في بداية الاسكربت يجب تحديد مسار البيرل كي يعمل الاسكربت بشكل صحيح وهذان هما المساران الافتراضيان للبيرل اما

/usr/bin/perl او

/usr/local/bin/perl

واحيانا تعمل سكربتات البيرل على جميع مجلدات السيرفر اقصد public_html واحيانا لا تعمل الا داخل مجلد السي جي اي بن لذلك ضح املف داخل مجلد السي جي اي .. cgi-bin



ثانيا / ان كان النظام لينكس فلا نعدل شئ في $WinNT = 0;

أما إن كان ويندوز NT او احد مشتقاته كويندوز 2000 فنستبدل الصفر بواحد بحيث يكون

$1WinNT =

ثالثا / نضع باسوورد على الاسكربت من Password = "**********";

بدل النجم نضع كلمة الباسورد والكلمة الافتراضية changeme

الطريقة الثانية لتخطي السيف مود

عند اختراق أي موقع وكان السيرفر سيف مود فاننا نحاول استخدام الشل او التلنت ان كان مفعل للموقع وقد عرفنا كيفية الاتصال بالشل ssh عن طريق المنفذ 22 والتلنت عن طريق المنفذ 23 وذكرنا امثلة على برامج الاتصال في الدرس الثاني



الطريقة الثالثة لتخطي السيف مود

وتفيد كثيرا في اختراق المنتديات الموجودة على السيرفر وهي استخدام سكربتات مثل phpmyadmin ويكون موجود مع نسخة سيرفر الأباتشي او sql.php او mysql.php ويوجد سكربتات كثيرة للتحكم بالداتا بيس على السيرفر حتى مع تفعيل السيف مود



ولتعطيل البيرل والسي جي اي من السيرفر اما يتوقيفها نهائيا

Chmod 744 /usr/bin/perl

Chmod 744 /usr/local/bin/perl



والحل الافضل بتوقيف السي جي اي للمواقع من الاباتشي httpd.conf

وتجده على المسار /usr/local/apache/conf/

واذهب الى هذا السطر

ScriptAlias /cgi-bin/ /home/XXXXXX/public_html/cgi-bin/

احذف Home واحفظ التعديلات

ctrl + x

y

انتهى

وهذا الحل افضل برايي



ولا تنسى تفعيل SuExec على السيرفر ...

لكي يمنع تشغيل الاوامر لاي سكربت في وضع nobody

واسف على الاطالة


BY

KIGO-EGYPT