قواعد المشاركة في المنتدى

(قسم الاعلانات) الموضوع:مظلات و سواتر غاية الافكار 0544447186 بواسطة: (rahma allah) :: (قسم الاعلانات) الموضوع:مؤسسة غاية الافكار تركيب و تورد هناجر 0544447186 بواسطة: (rahma allah) :: (منتدى ADO.NET العام) الموضوع:شركة الافضل لخدمات نقل العفش بالكويت بواسطة: (االافضل) :: (منتدى ADO.NET العام) الموضوع:شركة الافضل لخدمات شراء الاثاث المستعمل بالكويت بواسطة: (االافضل) :: (قسم الدعم الفني) الموضوع:شركة الافضل لخدمات مكافحة الحشرات بالكويت بواسطة: (االافضل) :: (منتدى ADO.NET العام) الموضوع:شركة الافضل لخدمات التنظيف بالكويت بواسطة: (االافضل) :: (منتدى ADO.NET العام) الموضوع:شركة تنظيف بالرياض 0500685570 تنظيف فلل شقق منازل مجالس بواسطة: (روج شفايف روح) :: (منتدى الأكسس) الموضوع:عدم زيادة مبلغ الفواتير بواسطة: (saleh204) :: (قسم الاعلانات) الموضوع:صور مشبات الاحساء،مشبات الشرقيه،مشبات الخبر بواسطة: (جنون المطر) :: (منتدى مبرمجي ASP) الموضوع:افضل شركة تنظيف بجميع الاماكن بالمملكه بواسطة: (mahaelgyar) :: (منتدى Microsoft Visual Basic) الموضوع:افضل شركة تنظيف بجميع الاماكن بالمملكه بواسطة: (mahaelgyar) :: (قسم الاعلانات) الموضوع:افضل شركة تنظيف بجميع الاماكن بالمملكه بواسطة: (mahaelgyar) :: (منتدى الأكسس) الموضوع:طلب اتصال الاسكانر مع الفورم اكسيس وعرض الصور بواسطة: (أم خلود) :: (قسم الاعلانات) الموضوع:وفاة سيدة بسبب تناول علبه كولا شاهد السبب بنفسك بواسطة: (ضيااء) :: (قسم الاعلانات) الموضوع:احدث غرف سفره مودرن رووعه وعصرية 2017 معرض الكامل دمياط بواسطة: (رمز الهنا) :: (قسم الاعلانات) الموضوع:سيارات فيات مستعملة بواسطة: (ديزاينر ديزاينر) :: (أخبار التكنولوجيا) الموضوع:مشبات رخام ديكورات مشبات ديكور مشبات بواسطة: (مشبات مدافئ) :: (منتدى الأكسس) الموضوع:[طلب] شرح طريقة تحديث البيانات محطات الوقود بواسطة: (خالد الجزائري) :: (منتدى ADO.NET العام) الموضوع:هل تحب ان تتعلم التصوير؟ بواسطة: (بنوته جاأاده) :: (قسم الاعلانات) الموضوع:مشبات صور مشبات ديكورات مشبات جديده بواسطة: (مشبات مدافئ)


راديو القرآن

المواضيع المثبته: (منتدى برمجة الألعاب) الموضوع:برنامج رائع لتصميم الألعاب بواسطة: (mjxp) :: (لغة PHP) الموضوع:دوره بي اتش بي بالفيديو php video tutorial بواسطة: (blackmanblack) :: (منتدى برمجة الجرافكس) الموضوع:كلمه بخصوص قسم الجرافيك الجديد بواسطة: (alaa gomaa) :: (Oracle قسم قواعد البيانات أوراكل) الموضوع:ADF بواسطة: (وليد القدسي) :: (منتدى برمجة الألعاب) الموضوع:أسس تصميم الألعاب ال3Dالتفاعلية بواسطة: (مصطفي البارودي) :: (Oracle قسم قواعد البيانات أوراكل) الموضوع:تعرف على تقنية Oracle APEX بواسطة: (وليد القدسي) :: (منتدى مبرمجي Microsoft Visual VB.NET) الموضوع:طريقة تخزين أي نوع ملفات في Access DataBase ومشاهدتها وتشغيلها بواسطة: (jbsa) :: (منتدى ADO.NET العام) الموضوع:الطريقة السهلة لربط سي شارب بقاعدة بيانات اكسيس بواسطة: (kal7hos) :: (كتب عن VB.NET) الموضوع:كتب VB.NET عربي بواسطة: (عبد الرحمن) :: (منتدى أجاكس(Asynchronous JavaScript and XML)) الموضوع:البدء مع ASP.NET AJAX بواسطة: (يوسف جميل جادالله) :: (قسم أوفيس 2007) الموضوع:هذا القسم ارشيف المشاركات في منتدي الاكسس بواسطة: (startnet) :: (قسم الدروس و الدورات) الموضوع:تعلم : كيف تجعل البرنامج سيت اب بواسطة: (alaa gomaa) :: (قسم الدروس و الدورات) الموضوع:دورة شاملة في VB.Net المستوى الأول بواسطة: (مهند عبادي) :: (Oracle قسم قواعد البيانات أوراكل) الموضوع:تنصيب أوراكل 8i النسخة الشخصية على ويندوز XP بواسطة: (راحـل) :: (منتدى ADO.NET العام) الموضوع:ربط قاعدة البيانات والفرق بين الوضع المتصل والوضع المنفصل وشرحها بالتفصيل بواسطة: (علاء عبدالخالق) :: (منتدى مبرمجي Microsoft Visual VB.NET) الموضوع:دورة في LINQ To DataSet بواسطة: (jbsa) :: (Oracle قسم قواعد البيانات أوراكل) الموضوع:DECODE SQL STATMENT بواسطة: (mshaqalaih) :: (منتدى مبرمجي ASP.NET) الموضوع:كيفية قرائة الصحف الإلكترونية والكتب والمجلات عبر الانترنت بواسطة: (عبدالله جابر شقليه) :: (القسم المفتوح) الموضوع:قصص الأنبياء عليهم السلام .جميعا بواسطة: (غزاوية أصيلة) :: (منتدى برمجة التقارير) الموضوع:كتاب كريستال ريبورت بواسطة: (شهرزاد)

عدد الصفحات : 2  1  2   > » إضافة رد إضافة موضوع جديد

> ماهو الـ IPSec,سلسلة من الدروس عن الـ IP Security
Bookmark and Share
تقييم الموضوع Label معدل التقيم:0
khaled helal
مشاركةالأحد,08/ذو القعدة/1425 هـ,01:50 مساءً
المشاركة #1
لا احد منا يجهل ضعف موارد الشبكات في اللغه العربيه وخاصه المتقدمه منها ، ولهذا بدأت بكتابة سلسلة بسيطه عن الIP Security او ما يعرف بIPSec واحببت ان اضع ما كتبت هنا لاخذ اراءكم واقتراحاتكم على الطريقه والكيفية المتبعه.

سنبدأ ان شاء الله دراسه مفصله عن احد اهم التقنيات الحديثه وهو الIP Security او ما يعرف بالIPSec .

مقدمه :
بعد التقدم والتطور الذي حصل في عالم السيكيورتي ، وبعد تطور اساليب المخترقين في عملياتهم وتنوعها كMan-IN-THe-Midle و كSniffing والRelaying والكثير غيرها ،، كان لا بد من ايجاد طريقة امنه لتخطي هذه الامور وخصوصا في الامور الحساسه كالتجاره الالكترونيه وعمليات كشف الحسابات عن طريق الانترنت وغيرها ، فكان لابد من طريقه لتامين ذلك ،، فتم تطوير تقنيه الSSL : Secure Socket Layer وامنت هذه الطريقة قيام اتصال امن مشفر Encrypted ضمن تعقيدات متفاوته فمنها ال40Bit ومنها 128bit ،، فتم استخدام الSSL لتشفير وحماية قنوات الاتصال التي تنتقل عبرها الداتا مثل SMTP او الDatabase communications
وتم استخدام ما يعرف بSSL over HTTP في المواقع التجاريه ومواقع الايميل فاصبحت تسمى HTTPS : Secure Hyper Text Transfer Protocol واستخدم بورت443 بدلا من 80 الخاص بHTTP ــ، وانتشر واشتهر بشكل كبير

ثم ظهرت تقنيه مشابه له ولاستخدامه وهي الTLS : Transport Layer Security وهي تقنيه محسنه من الSSL ولكنهما يختلفان في طريقة اداء العمليه ،، والطريقتان تحتاجان للشهادات الالكترونيه Certificates او بالاحرى Web-based Certificates .

وظهرت تقنيه اخرى داخل الشبكه نفسها وليس على شبكه عالميه كالانترنت ، وهي SMB Signing ،، الجميع يعلم ان الSMB : Server Message Block هي الpackets الي يتم ارسالها بين السيرفر والاجهزه في عملية المشاركه في الملفات وغيره Sharing ،، وللحمايه من طريقة سرقة المعلومات اثناء مرورها في الاسلاك Man In The Middle MITM وهذه الطريقه تدعى SMB Signing ،، يتم بواسطتها اضافة الHash (وهي طريقة يتم من خلالها استخلاص رمز معين حسب حسابات
رياضيه من الرساله ، ومن الامثله عليه MD4 , MD5 , SHA-1 ) ويتم تشفير هذا الHash واضافته للرساله وبذلك نحافظ على صحة الرساله Message or Packet Integrity .

لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .

IPSec Protocols
الIPsec هو طريقه وليس بروتوكول كما يخطأ البعض ،، لكن للIPSec بروتوكولان رئيسيان هما :

اولا: AH : Authentication Header

يستخدم الAH في توقيع الرسائل والبيانات Sign ولا يعمل على تشفيرها Encryption ، حيث يحافظ فقط على ما يلي للمستخدم :

1. موثوقية البيانات Data authenticity :اي ان البيانات المرسله من هذا المستخدم هي منه وليست مزوره او مدسوسه على الشبكه .

2. صحة البيانات Data Integrity : اي ان البيانات المرسله لم يتم تعديلها على الطريق (اثناء مرورها على الاسلاك) .

3. عدم اعادة الارسال Anti-Replay : وهذه الطريقه التي ستخدمها المخترقون حيث يقومون بسرقة الباسوورد وهي مشفره ويقومون باعادة ارسالها في وقت اخر للسيرفر وهي مشفره وطبعا يفك السيرفر التشفير ويدخل اليوزر على اساس انه شخص اخر،، فالIPSec يقدم حلولا لمنع هذه العمليه من الحدوث.

4.حمايه ضد الخداع Anti-Spoofing protection : ويوفر ايضا الIPSec حماية ضد الخداع من قبل المستخدمين ، مثلا يمكن ان يحدد مدير الشبكه انه لا يسمح لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه 192.168.1.x من دخول السيرفر ،، فيمكن للمستخدم ان يغير الIP Address خاص به ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه الى داخلها) يكون لكل الحزمه Packet موقعه Digitally signed.

هذا هو الشكل العام لحزمة البيانات Packet التي تمر في بروتوكول AH .




ثانيا: ESP : Encapsulating Security Payload

يوفر هذا البروتوكول التشفير والتوقيع للبيانات معا Encryption and Signing ، ومن البديهي اذا ان يستخدم هذا البروتوكول في كون المعلومات سريه Confidential او Secret ،، او عند ارسال المعلومات عن طريق Public Network مثل الانترنت ،

يوفر الESP المزايا التاليه:

1.Source authentication : وهي مصداقية المرسل ، حيث كما وضحنا في مثال الSpoofing انه لا يمكن لاي شخص يستخدم الIPSec تزوير هويته ،(هوية المرسل).

2. التشفير للبيانات Data Encryption : حبث يوفر التشفير للبيانات لحمايتها من التعديل او التغيير او القراءه .

3.Anti-Replay : موضحه في الAH .

4.Anti-Spoofing Protection : موضحه في ال AH.


ثالثا : IKE : Internet Key Exchange

الوظيفة الاساسيه لهذا البروتوكول هي ضمان الكيفيه وعملية توزيع ومشاركة المفاتيح Keys بين مستخدمي الIPSec ، فهو بروتوكول الnegotiation اي النقاش في نظام الIPSec كما انه يعمل على تاكيد طريقة الموثوقيه Authentication والمفاتيح الواجب استخدامها ونوعها (حيث ان الIPSec يستخدم التشفير 3DES وهو عباره عن زوج من المفاتيح ذاتها يتولد عشوائيا بطرق حسابيه معقده ويتم اعطاءه فقط للجهة الثانيه ويمنع توزيعه وهو من نوع Symmetric Encryption اي التشفير المتوازي ويستخدم تقنية الPrivate Key .
---------------------------------------------------------------------------------------

الموضوع القادم IPSec modes
للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة
khaled helal
مشاركةالأحد,08/ذو القعدة/1425 هـ,02:02 مساءً
المشاركة #2
طرق او انواع الIPSec :


IPSec modes اي طرق او انواع الIPSec التي يستخدمها في الشبكه .

ينقسم الIPSec الى نظامين او نوعين وهما :

1. نظام النقل Transport Mode

2. نظام النفق Tunnel Mode .

اولا : Transport Mode

يستخدم هذا النظام عادة داخل الشبكه المحليه LAN : Local Area Network حبث يقدم خدمات التشفير للبيانات التي تتطابق والسياسه المتبعه في الIPSec بين اي جهازين في الشبكه اي يوفر Endpoint-to-Endpoint Encryption فمثلا اذا قمت بضبط سياسة الIPSec على تشفير جميع الحركه التي تتم على بورت 23 وهو بورت الTelnet (حيث ان الTelnet ترسل كل شيء مثلما هو دون تشفير Plain Text ) فاذا تمت محادثه بين السيرفر والمستخدم على هذا البورت فان الIPSec يقوم بتشفير كل البيانات المرسله من لحظت خروجها من جهاز المستخدم الى لحظه وصولها الى السيرفر.


يتم تطبيق هذا النظام Transport Mode في الحالات التاليه :

اولا: المحادثه تتم بين الاجهزه في داخل او نفس الشبكه الداخليه الخاصه Private LAN .

ثانيا: المحادثه تتم بين جهازين ولا يقطع بينهما Firewall حائط ناري يعمل عمل NAT : Network Address Translation (نظام يمكن الFirewall من استبدال جميع عناوين الIPs في الشبكه الداخليه عن حزمة البيانات Packet واستبدالها في عنوان Public IP اخر ،، ونستفيد من ذلك هو اننا لن نحتاج سوى الى عنوان IP واحد One Public IP ، وايضا انه يقوم باخفاء عناوين الاجهزه عن شبكة الانترنت للحمايه من الاختراق الخارجي) .

ثانيا: Tunnel Mode

يتم استخدام هذا النظام لتطبيق الIPSec بين نقطتين تكون بالعاده بين راوترين 2 Routers ، اذا يتم استخدام هذا النظام بين نقطتين بعيدتين جغرافيا اي سيتم قطع الانترنت في طريقها الى الطرف الثاني ، مثل الاتصالات التي تحدث بين الشبكات المتباعده جغرافيا WAN : Wide Area Network ، يستخدم هذا النظام فقط عند الحاجه لتأمين البيانات فقط اثناء مرورها من مناطق غير امنه كالانترنت ، فمثلا اذا اراد فرعين لشركه ان يقوم بتشفير جميع البيانات التي يتم ارسالها فيما بينهم على بروتوكول FTP : File Transfere Protocol فيتم اعداد الIPSec على اساس الTunneling Mode .


كنت قد قلت في الدرس السابق اني ساضيف مخططا لحزمة بيانات الESP ،، وهذه صوره مخطط لكل من الPackets في الAH , ESP في كلتا النظامين Tunnel and Transport Modes .



وسنتناول الان بعض المميزات الرئيسيه في الIPSec والتي جعلته متفوقا على غيره :


فوائده IPSec Benefits

بالاضافه الي الفائده التي ذكرناها في الدرس السابق :


--------------------------------------------------------------------------------


لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .

IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .


--------------------------------------------------------------------------------


لقد ظهر ضعف كبير في عملية الEncryption العاديه التي تتم بين الاجهزه في الشبكات ، وهذا الضغف تمثل في صعوبة تطبيق هذا الموضوع ، وايضا استهلاكه للوقت اي بطئه الشديد في القيام بعملية التشفير وفكه Encryption and decryption ،فالفائده الكبرى التي ظهرت في الIPSec هي انه يوفر حماية كامله وواضحه لجميع البروتوكولات التي تعمل على الطبقة الثالث Layer 3 of the OSI Model وما بعد هذه الطبقه ، مثل طبقة التطبيقات Application Layer وغيرها .

يقوم في العاده مدير الشبكه بوضع السياسات التي يريد ان يطبق الIPSec عليها بعد دراسة جميع النتائج لهذا التطبيق ، فمثلا يقوم بعمل قائمه للبروتوكولات الواجب تشفيرها كHTTP , FTP , SMTP ويقوم بجمعها معا في ما يسمى سياسه الIPSec او IPSec Policy . تحتوي هذه السياسه على الفلاتر المتعدده التي يستخدمها الIPSec لتحديد اي البروتوكولات يحتاج الى التشفير Encryption (اي باستخدام ESP) وايها بحاجه الى توقيع الكتروني Digital Signing (اي باستخدام AH ) او الاثنين معا . قتبعا لذلك كما ذكرنا ، فان اي حزمه من البيانات تمر من خلال هذه البورتات وتستخدم البروتوكولات المحدده فانه يتم تشفيرها او توقيعها كما هو محدد . والافضل في هذه العمليه ، ان المستخدم لا يشعر بشيء وغير مطلوب منه عمل شيء ،، وانما مدير الشبكه يقوم يتطبيق سياسة الIPSec على الDomain او على اي OU : Organaizational Unit قيتم بشكل تلقائي التشفير وفكه عند ارساله من جهاز وعند وصوله للجهاز الاخر .

من مميزات الIPSec ايضا هو انه موجود اصلا Built-in في داخل حزمة الIP Packet ، فلذلك هو لا يحتاج لاي اعدادت لانتقاله عبر الشبكه ولا يحتاج لاي اجهزه اضافية لذلك .
للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة
khaled helal
مشاركةالأربعاء,18/ذو القعدة/1425 هـ,04:00 مساءً
المشاركة #3
كيف يحمي IPSec من الهجمات على الشبكات؟

كما نعرف انه بلا اخذ الامن بعين الاعتبار ، فان الشبكه والبيانات التي تمر فيها يمكن ان تتعرض للعديد من انواع الهجمات المختلفه ، بعض الهجمات تكون غير فعاله Passive مثل مراقبة الشبكه Network Monitering ، ومنها ما هو الفعال Active مما يعني انها يمكن ان تتغير البيانات او تسرق في طريقها عبر كوابل الشبكه. وفي هذا الدرس سوف نستعرض بعض انواع الهجمات على الشبكات، وكيفية منع IPSec حدوثها او كيفية الوقايه منها عن طريق الIPSec .

اولا: التقاط حزم البيانات Eavesdropping, sniffing or snooping
حيث يتم بذلك مراقبة حزم البيانات التي تمر على الشبكه بنصها الواضح دون تشفير Plain text والتقاط ما نريد منها ، ويعالجها الIPSec عن طريق تشفير حزمة البيانات، عندها حتى لو التقطت الحزمه فانه الفاعل لن يستطيع قراءتها او العبث بها، لان الطرف الوحيد الذي يملك مفتاح فك النشفير هو الطرف المستقبل(بالاضافه الى الطرف المرسل ) .

ثانيا: تعديل البيانات Data modification
حيث يتم بذلك سرقة حزم البيانات عن الشبكه ثم تعديلها واعادة ارسالها الى المستقبل، ويقوم الIPSec بمنع ذلك عن طريق استخدام الهاش Hash (الشرح لمعنى الهاش سيكون في الدرس القادم) ووضعه مع البيانات ثم تشفيرها معا ، وعندما تصل الحزمه الى الطرف المستقبل فان الجهاز يفحص Checksum التابع للحزمه اذا تمت مطابقته ام لا، فاذا تمت المطابقة مع الهاش الاصلي المشفير تبين ان الحزمة لم تعدل، لكن اذا تغير الهاش نعرف عندها ان حزمة البيانات قد تم تغييرها على الطريق.

ثالثا: انتحال الشخصيه Identity spoofing
بحيث يتم استخدام حزم البيانات على الشبكه والتقاطها وتعديلها لتبين هويه مزوره للمرسل، اي خداع المستقبل بهوية المرسل، ويمنع ذلك عن طريق الطرق الثلاثه التي ذكرناها في الدرس الماضي والتي يستخدمها الIPSec وهي:
بروتوكول الكيربرس Kerberos Protocol
- الشهادات الالكترونيه Digital Certificates
- مشاركة مفتاح معين Preshared key
حيث لا تتم عملية بدأ المحادثه وارسال البيانات قبل التاكد من صحة الطرف الثاني عن طريق احدى الطرق المذكوره سابقا.

رابعا: DoS -Denial of Service رفض الخدمه او حجبها
حيث تعمل هذه الهجمه على تعطيل خدمه من خدمات الشبكه للمستخدمين والمستفيدين منها ، مثلا كاشغال السيرفر في الشبكه بعمل فلود عليه Flood مما يشغله بالرد على هذه الامور وعدم الاستجابه للمستخدمين. ويعمل الIPSec على منع ذلك عن طريق امكانيه غلق او وضع قواعد للمنافذ المفتوحه Ports .

خامسا: MITM -Man In The Middle
من اشهر الهجمات في الشبكات، وهي ان يكون هنالك طرف ثالث يعمل على سرقة البيانات المرسله من طرف لاخر وامكانية العمل على تعديلها او العمل على عدم ايصالها للجانب الاخر، ويعمل الIPSec على منع عن طريق طرق التحقق من الموثوقيه والتي ذكرناها سابقا Authentication methods

سادسا: سرقة مفتاح التشفير Key interception
حيث يتم سرقة المفتاح المستخدم للتشفير او التعرف عليه عن طريق برامج كسر التشفير اذا لم يكن بالقوه المطلوبه، هنا لا دور للIPSec بها ، ولكن الدور للWinXP لانه يقوم بتغيير المفاتيح المستخدمه للتشفير بشكل دوري ودائم مما يقلل من خطورة كشفه او سرقته.

سابعا: الهجمات على طبقة التطبيقات Application Layer Attacks
حيث تعمل هذه الهجمات على التاثير على النظام المستخدم في اجهزة الشبكه وايضا تعمل على التأثير على البرامج المستخدمه في الشبكه، ومن الامثله عليها الفيروسات والديدان التي تنتشر بفعل ثغرات في الانظمه او البرامج او حتى اخطاء المستخدمين. يعمل الIPSec على الحمايه من ذلك بكونه يعمل على طبقة IP Layer فيعمل على اسقاط اي حزمة بيانات لا تتطابق والشروط الموضوعه لذلك ، لذا فتعمل الفلاتر على اسقاطها وعدم ايصالها للانظمه او البرامج.

بشكل عام فالIPSec يحمي من معظم الهجمات عن طريق استخدامه ميكانيكية التشفير المعقده ، حيث يوفر التشفير الحماية للبيانات والمعلومات ايا كانت اثناء انتقالها على الوسط (اياً كان) عن طريق عمليتي التشفير Encryption والهاش Hashing .

طريقة التشفير المستخدمه في الIPSec عباره عن دمج لعدة Algorithms ومفاتيح حيث ،
Algorithm : عباره عن العملية الحسابيه التي تمر فيها البيانات لكي تشفر
Key : وهو عباره عن رقم(كود) سري يتم من خلاله قراءه او تعديل او حذف او التحكم في البيانات المشفره بشرط مطابقته للزوج الثاني الذي قام بعملية التشفير.
للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة
khaled helal
مشاركةالأربعاء,18/ذو القعدة/1425 هـ,04:11 مساءً
المشاركة #4
الهاش او HASH عباره عن مجموعة ارقام واحرف عشوائيه يتم توليدها بطرق حسابيه معقده جدا من نص عندك (ممكن رساله) او من حزمة بيانات ، او حتى من بيانات حجمها 1000 ميجا، الهاش طوله وشكله ثابت لا يتغير ، هو لا يشفر ، وانما هو للحفاظ على مصداقية البيانات.




بمعنى انه ان اراد احد ارسال رسالة, فانه يخرج الهاش الخاص بها و يرسله مع الرسالة, و الشخص الذي يستقبل الرسالة يقارن الهاش الذي استلمه بالهاش الخاص بالرسالة, فان تم تعديل الرسالة و لو باضافة مسافة , فان الهاش سيختلف

يستخدم الهاش في برامج الOpen Source بكثره ، لانه ممكن تعدل ويتم نسبتها للشركه الام (هذا هو الMD5 الموجود في مواقع اللينكس) .

الهاش من انواعه القديمه : MD4 :Message Digest 4 تم فكة بطريقة Birthday Attack - لمزيد من المعلومات حول هذا الامر راجع الروابط التالية:
http://mathworld.wolfram.com/BirthdayAttack.html
http://mathworld.wolfram.com/BirthdayProblem.html

ومن انواعه الجديده والمستعمله بكثره MD5 : Message Digest 5 لكن يقال ايضا انه تم كسره عن طريق CIA وان جميع لجان الاتحاد الاوروبي لم تعد تستعمله.

احدث انواعه واقواها هو SHA-1 -Secure Hash Algorithm وهو المستخدم في متصفح IE . (سمعت مؤخرا ان ايضا الCIA قامت بفكه وان الاتحاد الاوروبي انتقل الى استخدام هاش جديد ) .

مع العلم ان الهاش One way process بمعنى انه لا تستطيع ارجاع شيء من الهاش المنتج.




للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة
khaled helal
مشاركةالأربعاء,18/ذو القعدة/1425 هـ,04:21 مساءً
المشاركة #5

الIPSec والويندوز بشكل عام


بعدما قمنا باستعراض القليل من المعلومات الهندسيه بالنسبه لبنية IPSec (IPSec Structure) سنقوم الان بالتحدث عن وجوده في الويندز وكيف ومتى بدأ.

كما قلنا في اول الموضوع ان الحاجه الى التشفير كبيره جدا ، لذلك تم ابتكار الIPSec وكما نعرف ان الWin2000 اعتبر قفزه نوعية لمايكروسوفت وادخلها مضمار الشبكات بقوة ، لكن يا ترى هل مايكروسوفت من قام بوضع الIPSec وعمل Deployment له في الويندوز ؟

الجواب لا ، وذلك لان من قام به شركة CISCO بعد اتفاقيه مع مايكروسوفت بذلك ، ولذلك نلاحظ قوة IPSec.

يطرأ سؤال على ذهن الجميع ، كيف يمكننا ان نستخدم ونستغل الIPSec ؟ الجواب سهل.
يستخدم الIPSec عن طريق ما يعرف بالسياسات IPSec Policies والتي تطبق في الشبكه ، حيث ان كل مجموعة من القواعد التي تريد تطبيقها تشكل لنا سياسه، والIPSec يستخدم هذه النظريه ، الامر الذي يجب الانتباه له هو اننا لا نستطيع عمل اكثر من سياسة لكل جهاز كمبيوتر ، لذلك يجب عليك تجميع كل القواعد والامور التي ترغب في تطبيقها في سياسه واحده تطبق على مستوى الاجهزه لا على مستوى الافراد .
قبل القيام بوضع القواعد وتطبيق السياسه ، يجب علينا مراعاة مايلي:


*نوع الحركه Traffic Type :

حيث انك تقوم باستخدام الفلاتر(سنتناولها في درس قادم) لتحديد نوعية الترافيك الي تريد تطبق عليها هذه القواعد ، فمثلا تستطيع ان تطبق فلتر يعمل على مراقبة بروتوكول HTTP و FTP فقط دون الباقي.

*ماذا سيفعل الIPSec بعد التحقق من نوع الحركهTraffic :

بعد ذلك يجب ان نحدد للIPSec ماذا سيفعل بعد تطابق الترافيك مع الفلتر ، وهو مايسمى Filter Action والذي تستخدمه لتخبر السياسه Policy ماذا ستفعل اذا تم مطابقة الترافيك حسب الفلتر، فمثلا يمكنك ان تجعل الIPSec يقوم بمنع الحركه على بورت بروتوكول FTP ، وايضا تجعله يعمل على تشفير الحركه على بورت بروتوكول HTTP . وايضا تستطيع من خلال Filter Action بتحديد اي انظمة التشفير والهاش التي تريد ان تستخدمها Encryption and Hashing Algorithms يجب على السياسه ان تستخدم.

*طريقة التحقق من الموثوقيه Authentication Method :

حيث يستخدم الIPSec ثلاث طرق للتحقق من الموثوقيه وهم :

-بروتوكول الكيربرس Kerberos Protocol
- الشهادات الالكترونيه Digital Certificates
- مشاركة مفتاح معين Preshared key
كل سياسة تستطيع تطبيق طريقتين للتحقق من الموثوقيه.
(ان شاء الله سنتناول بعضها من هذه الطرق بشرح مفصل منفرد )

*استخدام احدى نظامي الIPSec وهما Tunnel or Transport mode

(عد الى الدرس الثاني لترى استخدام كل نظام) : حيث علينا ان نحدد في السياسه اي النظامين يستخدم .

*نوع الاتصال او الشبكه التي سيتم تطبيق السياسة عليهاWhat connection type the rule applies to:

حيث ان السياسه يمكن ان تحدد الIPSec في نظاق الشبكه المحليه LAN ، او ان يعمل على اساس الوصول من بعدRemote access او ما يعرف بWAN ، او الاثنين معا.
الان بعد التعرف على الامور التي يجب اخذها بعين الاعتبار قبل تطبيق وعمل السياسه ، سنتعرف على انواع السياسه في الWin2000 &2003 ، حيث توجد هناك ثلاثه انواع منها :
-Client (Respond only)
-Server(Request Security)
-Secure Server (Require Security)

وكل واحده من هؤلاء تحتوي على اعدادت خاصه تناسب الغرض التي ستطبق لاجله.(طبعا في الشركات الصغيره او المتوسطه ، لكن كلما كبر حجم الشركه وزاد التعقيد زادت الحاجه الى استخدام سياسه مبتكره من قبل الشركه نفسها).

Client (Respond only)
افضل ما تطبق هذه السياسه على Domain Group security policy وذلك لكي تضمن لنا امكانية رد المستخدم على طلبات الاحهزه الاخرى باجراء تشفير عن طريق IPSec ،، اذا تعتبر هذه السياسه اساسيه في اي شبكه سيعمل فيها ولو سيرفر واحد على الIPSec ، حيث في هذه السياسه لن يقوم المستخدم بارسال طلب المحادثة والتشفير عن طريق الIPSec وانما سيقوم بالاجابه والدخول في الطلبات التي يتسقبلها لذلك من الاجهزه الاخرى في مجال IKE . اذا كنت تفكر في تطبيق IPSec على اي جزء من اجزاء الشبكه فالاحرى بعد ذلك ان يتم تطبيق هذه السياسه على مستوى Domain.

Server (Request Security)
تطبق هذه السياسه في العاده على السيرفرات التي ستتحدث مع احهزة Win2000 او حتى اجهزة Non-win2000 مثل Unix وغيره ، في هذه الحاله ، اذا كان المستخدم يستطيع التعامل مع IPSec فان جميع المحادثات بينهما ستكون مشفره فيه ، اما اذا لم يملك المستخدم القدره على استخدام الIPSec فانه يستعامل مع السيرفر بطرق المحادثه والاتصال العاديه (اي دون اي اثر للIPSec فيها). تطبق هذه السياسه في حالة وجود خليط من الاجهزه في الشبكه حيث يكون بعضها يستخدم IPSec والبعض الاخر لا ، فتكون هذه هي الانسب لذلك .

Secure Server (Require Security)
تضمن هذه السياسه للسيرفرات عدم التكلم وسقوط جميع انواع المحادثه والاتصال مع الاجهزه التي لا تستخدم او لا تدعم الIPSec ، حتى لو كانت هذه الشبكه او هذا الجهاز موجوده في Trusted Sites and DOmains . وافضل ما تستخدم هذه السياسه اذا دعت الحاجه الى تشفير كل شيء يصدر عن سيرفر محدد كالسيرفرات في البنوك وغيره، وبسبب تشدد هذه السياسه فانه يجب علينا في بعض الاحيان وضع اعفاءات واستثناءات من استخدام الIPSec كما يحصل في بروتوكول SNMP - Simple Network Management Protocol .

---------------------------------------ملاحظات-----------------------------------------------
فقط سياسه واحده تطبق على مستوى الجهاز الواحد ـ، اذا اردت عدد من الخيارات التي تريد تطبيقها فقم بعمل سياسه محدده من قبلك Custom Policy .

اذا كانت الشبكة محميه بواسطة جدار ناري Firewall فيجب عليك عمل الاتي:
فتح بورت UDP 500
السماح بالProtocol Identifier (ID) number 51 for AH , number 50 for ESP
(مع الملاحظه ان رقم البروتوكول ID يختلف عن رقم البورت).
للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة
khaled helal
مشاركةالأربعاء,18/ذو القعدة/1425 هـ,04:27 مساءً
المشاركة #6
مثال نظري على IPSec

هذا الدرس وهو مثال نظري على IPSec ، سيتم اكمال الشرح عن الIPSec تحت بيئة WIndows 2000 لكن المثال سيكون في كيفية تعامل مكونات الشبكه الماديه مع IPSec (هذا الدرس مأخوذ من عدة كتب لمايكروسوفت منها 2150A و 2810 مع بعض التعديل والترجمه ) .

يعمل الIPSec على الشبكه بسبع خطوات رئيسيه ، هي (مع ملاحظة المخطط في الاسفل حيث ان الشرح سيكون من خلاله لذا انظر المخطط اولا) :



1. يقوم الجهاز A بارسال حزم بيانات عن طريق الكوابل على الشبكه الى الجهاز B .

2. يقوم IPSec Driver على الجهاز A بتحديد ان البيانات يجب ان تكون امنه عند انتقالها من كمبيوتر A الى B .

3. تتم عملية المباحثات بين الجهازين Negotiations فيتباحثان ويتفقان على استخدام المفتاح المشترك بينهما Shared Key وعلى المفتاح السري الخاص بالتشفير Secret Key ، وكله عن طريق بروتوكول IKE -Internet Key Exchange . مع الملاحظه بان المفتاح المشترك Shared Key يكون معلوما من قبل الطرفين دون انتقاله على الشبكه.

4. يقوم الIKE بعمل نوعين من الاتفاقيات بين الجهازين Two types of Agreements ، تسمى Security Associations SA او روابط الامن ، بين الجهازين. النوع الاول يحدد كيفية وثوق كلا الجهازين ببعضهما البعض وكيفية تأمين وحماية حزم البيانات الصادره عنهما، والنوع الثاني يحدد كيفية حماية جزء ونوع محدد من اتصال التطبيق (البرنامج) .

5. بعد اكتمال وانتهاء عملية المباحثه بواسطه IKE ، يتم تمرير مفتاح التشفير من الجهاز A الى IPSec Driver ثم يعمل هذا المحرك IPSec Driver على عمل هاش Hashes من حزم البيانات الصادره للحفاظ على مصداقية المعلومه Data Integrity واختياريا (انظر انماط الIPSec ) يعمل على تشفير حزم البيانات للحفاظ على سرية المعلومات Data confidentiality .

6. جميع معدات الشبكه الاخرى مثل الراوترات والسيرفرات لا تحتاج لتطبيق الIPSec عليها، حيث تتعامل مع حزم الIPSec على انها حزم عاديه وتقوم بتمريرها على الشبكه.

7. يقوم الIPSec Driver الخاص بالجهاز B بفحص حزم البيانات للتأكد من مصداقيتها Integrity ويقوم بفك تشفير محتوياتها (اختياريا) ومن ثم يعمل على ارسال البيانات الى البرنامج او التطبيق المستقبل لها.

هكذا نكون انتهينا من مثال على الIPSec (مثال على كيفية عملة على الشبكه وليس على الWindows حيث سنأتي اليه بموضوع منفصل ) .

للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة
مشاركةالجمعة,03/محرم/1426 هـ,05:53 صباحاً
المشاركة #7

الرتبة في المنتدى:رقيب

أيقونة المجموعة

المجموعة: الأعضاء
المشاركات: 23
سجل في:الخميس,02/محرم/1426 هـ,05:10 صباحاً
الدولة:لبنان
رقم العضوية: 1513



السلام عليكم .
مشكور اخي الكريم على هل الشرح الجميل


--------------------
للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة
مشاركةالثلاثاء,23/رمضان/1426 هـ,05:54 صباحاً
المشاركة #8

الرتبة في المنتدى:رقيب

أيقونة المجموعة

المجموعة: الأعضاء
المشاركات: 25
سجل في:الأربعاء,30/جمادى الأولى/1426 هـ,07:06 صباحاً
الدولة:مصر
رقم العضوية: 4071



شكرا جدا ياخالد فعلا الموضوع جميل جدا
بارك الله فيك ولابد ان تستمر فى هذا الطريق
لاننا ينقصنا فى هذا العصر الكثير من العلوم
التكنولوجية الحديثة ولابد ان نوضحها للاخرين فى ابسط صورة باللغة العربية
وشكرا جزيلا


--------------------
لا مستحيل مع ايمان ولا يأس مع اصرار
ro_mod_ahmed@hotmail.com>pro_mod_ahmed@hotmail.com
للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة
مشاركةالسبت,14/رجب/1428 هـ,06:51 صباحاً
المشاركة #9

الرتبة في المنتدى:رقيب

أيقونة المجموعة

المجموعة: الأعضاء
المشاركات: 9
سجل في:الأربعاء,11/رجب/1428 هـ,09:31 صباحاً
الدولة:السعودية
رقم العضوية: 31157



اشكرك جدا علي هذه المعلومات الجميلة
وبمناسبة هذا الامر انا بالفعل لدي شركة ولها فرعين وهما بعدين جغرافيا واريد الربط بينهم وبين مركزي الرئيسي عن طريق استخدام النت بطريقة IP فكيف استطيع فعل ذلك وباقل التكاليف وايضا مع الامان التام للمعولمات المتبادلة
ففضلا مساعدتي بكتابه جميع الخطوات بصورة سهلة وميسرة لكي استطيع تنفيذها في الواقع
وتقبلوا وافر التحية


--------------------
للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة
مشاركةالاثنين,16/رجب/1428 هـ,12:50 مساءً
المشاركة #10

الرتبة في المنتدى:رقيب

أيقونة المجموعة

المجموعة: الأعضاء
المشاركات: 1
سجل في:الأحد,14/ربيع الأول/1428 هـ,12:03 مساءً
الدولة:الكويت
رقم العضوية: 22662



يعطيك العافيه اخوي

و لي عوده مره ثانيه لاستكمال القراءة


--------------------
للأعلىأبلغ المشرف عن هذه المشاركة
لتعقيب على هذه المشاركة مباشرة

    

عدد المتصفحين لهذا المنتدى «1»: (الضيوف «1» - المتخفون «0»)
الأعضاء «0»: .

عدد الصفحات : 2  1  2   > » إضافة رد جديد إضافة موضوع جديد



 
الوقت الأن:اليوم,06:43 مساءً بتوقيت القدس المحتلة

Powered By arabmoheet v3.1

منتديات المحيط العربي  -  راسلنا  -   أعلى
X   رسالة المنتدى
(سوف يتم اغلاق هذه النافذة بعد 2 ثانية)
X   رسالة المنتدى
(سوف يتم اغلاق هذه النافذة بعد 2 ثانية)