السياسة الأمنية
ما هي سياسة الأمن؟
لنبدأ بتحديد ماهية السياسة الأمنية. تقوم السياسة الأمنية بكشف احتياجات العمل (استخدامه للإنترنت) واستنباط القواعد التي تسمح لها بالعمل بشكل صحيح ، مع جعل العمل آمنًا قدر الإمكان.
تخيل شركة تبيع أثاثًا على الإنترنت ، وتحتاج إلى خادم يمكن الوصول إليه من الإنترنت. لذلك يجب ألا تمنع قواعد جدار الحماية هذا الإجراء.
لذلك سيتم وضع السياسة الأمنية بالتشاور مع أعضاء آخرين في الشركة. لا يمكن لمسؤول النظام والسحابة القيام بذلك بمفردهما. يجب عليه التنسيق مع جميع أقسام الشركة من أجل إنشاء الخدمات التي تستخدمها الشركة على الويب وعلى خوادم الشركة.
هناك طريقتان للقيام بذلك ، السماح لجميع الخدمات غير الآمنة وحظرها ، أو حظر الكل والسماح بالخدمات الضرورية للعمل. هذه هي الإستراتيجية الأخيرة الأكثر استخدامًا (التي أستخدمها وأوصي لك بها).
تغطي سياسة الأمان ، بالإضافة إلى قواعد جدار الحماية ، الممارسات الجيدة لمستخدمي شبكتك. هذا يسمى الوعي وليس له أهمية ثانوية.
منع كل شيء والسماح بالتدريج
لذلك تبدأ سياستك الأمنية على هذا النحو: كل شيء محظور!
سوف تصرح تدريجياً بما تمخض عن الاجتماعات مع الإدارات المختلفة للشركة. على سبيل المثال ، إذا خلص الاجتماع إلى أن:
يحتاج المستخدمون إلى الوصول إلى الويب = فتح منفذ HTTP.
يحتاج المستخدمون إلى الوصول إلى رسائل البريد الإلكتروني الخاصة بهم = فتح منفذ POP أو IMAP.
يجب أن يكون الخادم يمكن الوصول إليه من الإنترنت = فتح منفذ HTTP.
وبالتالي ، فإن السياسة الأمنية ستتألف من حظر كل شيء باستثناء البروتوكولات:
HTTP
POP
IMAP
من الواضح أنه من الممكن تحسين ذلك ، من خلال تحديد المواقع التي يُسمح للمستخدمين بالذهاب إليها ، أو بالأحرى منعهم من مواقع معينة. حدد المستخدمين ذوي الحقوق المختلفة ، على سبيل المثال ، إذا احتاج فريق البحث والتطوير إلى تنزيل ملفات معينة ، فستجمعهم معًا وتسمح لهم بتنزيل FTP ، لكنه سيظل محظورًا للمستخدمين الآخرين.
بالإضافة إلى ذلك ، إذا كانت شبكتك الداخلية تتكون من عدة شبكات فرعية (شبكة واحدة مكونة من خوادم وأخرى للمستخدمين ، على سبيل المثال) ، فستحتاج إلى تحديد المستخدمين الذين لهم الحق في الوصول إلى شبكة الخادم وما إذا كانت الخوادم لديها الحق في الوصول إلى شبكة الخادم ، الحق في الوصول إلى الشبكات الأخرى.
لا توجد قواعد محددة مسبقًا ، فلكل عمل حاجة محددة ستحتاج إلى فهمها وتحليلها.
سياسة الأمان هذه هي أساس عملك. إذا كان التصميم سيئًا ، فسيكون باقي عملك ، حتى لو تم بشكل جيد ، في وضع سيئ وقد لا يعمل أو يكون وقائيًا بدرجة كافية.
سنرى في الفصل التالي الأنواع المختلفة لبنية جدار الحماية. سيسمح لك ذلك بتصور ما تعلمته للتو حول سياسات الأمان.
اكتب قاعدة جدار الحماية (Firewall)
تعلم دلالات قواعد جدار الحماية
تحتوي قواعد جدار الحماية ، على الرغم من وجود مجموعة متنوعة من البرامج ، على نفس الدلالات. هذا لأنهم يأخذون الأجزاء المختلفة من عناوين IP و UDP أو TCP كوسائط. فيما يلي الخطوات الثلاث التي يجب اتباعها:
حدد ما إذا كنت تسمح أو تمنع حركة المرور.
حدد عناوين المصدر والوجهة.
تحديد منافذ المصدر والوجهة.
هذه هي أدنى ثلاث حجج تحتاجها لإنشاء قاعدة. بالطبع ، هناك الكثير من الأشياء الأخرى التي يمكنك التحكم فيها في الرؤوس.
الانفتاح على الويب
خذ حالة فتح منافذ HTTP و HTTPS التي ستسمح للمستخدمين على شبكتك.
فيما يلي قاعدة تسمح بحركة مرور HTTP و HTTPS.
لذلك تسمح القاعدة الأولى للجميع (*) من أي منفذ بالذهاب إلى أي عنوان باتجاه المنفذ 80.
القاعدة الأخيرة تحظر أي نوع آخر من حركة المرور. يتم تطبيق السياسة الافتراضية.
السماح بالاتصال عن بعد بين خادمين
افترض الآن أنك بحاجة إلى جعل الاتصال بالخادم الخاص بك ممكنًا في SSH. في هذا المثال ، تقوم بتكوين وصول مسؤول بعيد عن الخادم.
يمكنك أن ترى هنا أهمية ترتيب القواعد الذي رأيته في الفصول السابقة. إذا تم وضع قاعدة الحظر أولاً ، فلن يتمكن المسؤول أبدًا من الاتصال بالخادم. سيتم رفضه ولن يُقرأ السطر الثاني أبدًا.
مع هذه المفاهيم ، حول الأعمال الداخلية لجدار الحماية ، والخدمات التي يجب التحكم فيها ، وأخيرًا حول دلالات القواعد ، فأنتم جميعًا على استعداد لبدء العمل. من الفصل التالي ، ستضع هذا موضع التنفيذ باستخدام جدار حماية pfSense مفتوح المصدر ، بالإضافة إلى جدار حماية Iptables Linux.
قم بتأمين حركة المرور الخاصة بك على الشبكة بفضل VPN
إنشاء شبكة خاصة افتراضية
هذا هو ما يخفي وراء الاختصار VPN (الشبكة الخاصة الافتراضية) ، الشبكة الخاصة الافتراضية.
ولكن كيف تكون خاصة وافتراضية؟
إنه خاص لأنه شبكة LAN. لذلك من شبكة محلية. لذلك لا يمكن الوصول إلى البيانات خارج VPN.
إنها افتراضية ، لأنها في الواقع عبارة عن شبكتين خاصتين تمر عبر الإنترنت. لذلك ليس لديك الكابلات والمفاتيح المستخدمة عادة لشبكة LAN.
كيف يمكنه مساعدتنا
شبكة VPN مفيدة لك لعدة أسباب.
Lan-to-Lan VPN
أول استخدام لشبكة VPN هو الاتصال بين شبكتين محليتين. وهذا ما يسمى Lan-to-Lan VPN. تخيل خادمين في مكانين مختلفين يحتاجان إلى التواصل مع بعضهما البعض ، لكن لا يمكن ذلك عبر الإنترنت. سيؤدي تثبيت VPN إلى توصيل الشبكتين الخاصتين كما لو كانت واحدة.
Host to-lan VPN
الاستخدام الثاني هو الاتصال بالشبكة المحلية للعامل عن بعد. وهذا ما يسمى شبكة VPN من مضيف إلى شبكة محلية. سيسمح تثبيت VPN للعمال عن بعد بالاتصال بالشبكة الخاصة لشركتهم من أي مكان في العالم. لذلك ، تعد VPN حلاً مثاليًا لشخص يعمل من المنزل أو عن بُعد ويحتاج إلى الاتصال بالشبكة المحلية للشركة ، على سبيل المثال ، للعمل على خادم أو للوصول إلى الملفات الخاصة.
كيف يعمل ؟
لإضفاء الطابع الافتراضي على شبكة خاصة في وسط الإنترنت ، تقوم VPN بإنشاء ما يسمى "النفق".
تخيل أنه في منتصف الإنترنت ، تنشئ VPN طريقًا مغلقًا بين النقطة A والنقطة B ويمكن فقط للأشخاص عند النقطة A أو B الوصول إليها.
لإنشاء نفق ، يتم استخدام العديد من بروتوكولات الأنفاق. كل هذا لتلبية عدة احتياجات:
حاجة للمصادقة. أي أن الشخص الذي يتصل بشبكة VPN هو الشخص المناسب.
الحاجة إلى النزاهة. أن لا تضيع الحزم أثناء النقل وأنها تصل كاملة.
حاجة للأمن. كما هو الحال مع جدار الحماية ، لا يمكن لأي شخص الوصول إلى VPN أو قراءة الحزم دون إذن.
أنت الآن تعرف ما هو VPN أفضل قليلاً. سنناقش في الفصل التالي كيف يعمل. على الرغم من وجود العديد من بروتوكولات الأنفاق ، إلا أننا سنركز على واحد فقط لفهم هذه المفاهيم تمامًا.
استخدم IPsec لحماية اتصالاتك الخاصة
ستتعرف على أحد أكثر بروتوكولات الأنفاق استخدامًا ، IPsec (أمان بروتوكولات الإنترنت) ، ومعيار IETF. بفضل ذلك ، فإن البيانات المتدفقة من شركة إلى أخرى ستعمل ذلك بشكل آمن.
اختر IPsec لإنشاء الأنفاق الخاصة بك
هناك العديد من البروتوكولات التي تسمح بنفق البيانات (PPTP ، L2TP ، PPP ، ...) ، لكننا سنلقي نظرة على واحد فقط هنا: IPsec.
أنت تتساءل ، لماذا لا تراهم جميعًا ، ولماذا هذا على وجه الخصوص. هناك ثلاثة أسباب لذلك:
الأول هو أنه لفهم كيفية عمل بروتوكول الأنفاق ، تكفي دراسة بروتوكول واحد فقط. أنا أحثك ، بالطبع ، على تعلم نفس الشيء عن الآخرين.
والثاني هو أن IPsec هو أحد البروتوكولات الأكثر استخدامًا اليوم. علاوة على ذلك ، نظرًا لأنه مصمم بشكل أساسي لـ IPv6 ، فإنه بلا شك سيتم استخدامه أكثر فأكثر في المستقبل.
والثالث هو أن IPsec يعمل أيضًا في وضع النقل مثل SSH. لذلك يمكنك استخدامه لأغراض أخرى غير الأنفاق.
دعونا نرى كيف يعمل IPsec.
قم بإنشاء نفق باستخدام IPsec
خذ مثالًا ملموسًا. لقد اشترت شركتك ، بنك على سبيل المثال ، مصرفًا جديدًا وتريد دمجه في شبكتها. سيسمح لها ذلك بمعالجة الحسابات المصرفية لجميع عملائها الجدد ، من موقعها الرئيسي ، ولكن أيضًا لإدارة عملائها القدامى من موقعها الجديد.
لذلك فإنك تعرض إنشاء VPN بين موقعيها واختيار IPsec كبروتوكول الأنفاق.
رئيس البنك ليس مطمئنًا جدًا ، ولكنك مطمئن ، لأنك تعلم أن IPsec يتيح لك القيام بأربعة أشياء مهمة:
يقوم بتشفير البيانات: مما يعني أنه يتم تشفيرها قبل انتقالها عبر الشبكة.
يقوم بفك تشفير البيانات: مما يعني أن المستلم فقط يمكنه فك تشفيرها.
يوقع البيانات: مما يعني أنه يمكنك التأكد من من أرسلها إليك.
يتحقق من البيانات: مما يعني أنه قادر على التأكد من أنه لم يتغير بين الإرسال والاستلام.
كيف يعمل ؟
العملية بسيطة. يتم تكوين نفق IPsec بين جهازي التوجيه.
سينتقل بشكل طبيعي إلى جهاز التوجيه A.
وبالمثل ، فإن البيانات التي يرسلها الخادم A مشفرة ولا يمكن فك تشفيرها إلا عن طريق جهاز التوجيه B. وبالتالي سيقوم جهاز التوجيه B بفك تشفير الحزمة وإرسالها إلى الخادم B.
كيف يمكنه مساعدتنا
Texte source
Résultats de traduction
لفهم ذلك ، قارنه بإرسال بريد إلكتروني. بدون VPN ، يمكن للشخص الذي يعترض الرسالة أن يرى من أتت الرسالة ، وما تحتويه ، ولمن يتم توجيهها. باستخدام VPN ، لن يرى الشخص الذي يعترض الرسالة سوى إرسال الرسالة ، من مدينة إلى أخرى دون رؤية من هو ، وما تحتويه ، ولمن هو المقصود.
الآن دعونا نلقي نظرة على مجموعة البروتوكولات هذه بالتفصيل ، لأنه في الواقع IPsec ليس بروتوكول واحد بل ثلاثة!
بروتوكولين في واحد
لذلك ، IPsec هو مزيج من عدة بروتوكولات لتلبية هذه الاحتياجات:
لأمن البيانات وتكامل البيانات ، فإنه يستخدم بروتوكول تغليف حمولة الأمان (ESP).
أخيرًا ، لإدارة التفاوض بين جهازي التوجيه (الكمبيوتر الشخصي أو جدار الحماية) ، يستخدم IPsec بروتوكول Internet Key Exchange.
هذه هي الطريقة التي تتكون بها بنية مكوناتها.
شاهد كيف يتصرف كل بروتوكول.
ESP
كما أخبرتك ، يضمن هذا البروتوكول سلامة البيانات ويوفر مصادقة المصدر. أي ، بعد المرور بهذا البروتوكول ، يمكنك التأكد من أن الحزم لم يتم تعديلها وأنها تأتي من مصدر موثوق. علاوة على ذلك ، فإنه يؤمنها عن طريق تشفيرها.
لذلك يجب أن يكون مفهوما أن ESP يعدل الحزمة الأصلية (الحزمة التي سيتم استعادتها في حالتها عند الاستلام):
أولاً ، يقوم بتشفير الحزمة.
ثم يغير عنوان IP من أجل النزاهة.
شاهد كيف يعدل ESP الحزمة.
كما ترى في هذا الرسم البياني ، يتم تشفير حزمة IP بالكامل أولاً (الجزء البرتقالي). لذلك من المستحيل أن يقرأ للقرصان.
ثم يشكل المرساب الكهروستاتيكي حزمة جديدة برأس جديد. لذلك لن يعرف المتسلل من أرسل الحزمة أو لمن هو المقصود.
ألقِ نظرة الآن على كيفية عمل التفاوض بين جهازي التوجيه.
تبادل مفتاح الإنترنت
هذا البروتوكول هو الذي يدير الاتصال بين جهازي التوجيه. يتم هذا الاتصال على مرحلتين:
أثناء المرحلة الأولى ، ينشئ IKE اتصالاً آمنًا باستخدام إما شهادات كل طرف أو كلمة مرور مشتركة (كلمة مرور معروفة لكلا الطرفين). يتبادل كل طرف معلمات الاتصال الخاصة به هنا. بمجرد الاتفاق على ذلك ، يمكنهم فتح النفق في المرحلة الثانية.
لذلك تتكون المرحلة الثانية من فتح هذا النفق الآمن.
إليك كيفية عمل IPsec في وضع النفق. هذا ما ستضعه في الفصل التالي باستخدام OPNsense.
ما يجب تذكره
هناك العديد من بروتوكولات الأنفاق ، ولكن IPsec هي واحدة من أكثر بروتوكولات الأنفاق استخدامًا وستكون أكثر من ذلك في شبكة IPv6 ، التي تم تصميمها لهذا الغرض.
يسمح IPsec بما يلي:
- تكامل البيانات.
- أمن البيانات.
- المصادقة.
IPsec عبارة عن مجموعة من البروتوكولات ، تستخدم عدة بروتوكولات:
- ESP للنزاهة والأمان والمصادقة.
- IKE لإدارة الاتصال بين الطرفين.
إرسال تعليق