الأربعاء، 22 ديسمبر، 2010

دروس فى امن المعلومات : الIPSec والوندوز بشكل عام

بعدما قمنا باستعراض القليل من المعلومات الهندسيه بالنسبه لبنية IPSec (IPSec Structure) سنقوم الان بالتحدث عن وجوده في الويندز وكيف ومتى بدأ.

كما قلنا في اول الموضوع ان الحاجه الى التشفير كبيره جدا ، لذلك تم ابتكار الIPSec ، وكما نعرف ان الWin2000 اعتبر قفزه نوعية لمايكروسوفت وادخلها مضمار الشبكات بقوة ، لكن يا ترى هل مايكروسوفت من قام بوضع الIPSec وعمل Deployment له في الويندز ؟

الجواب لا ، وذلك لان من قام به شركة CISCO بعد اتفاقيه مع مايكروسوفت بذلك ، ولذلك نلاحظ قوة IPSec.

يطرأ سؤال على ذهن الجميع ، كيف يمكننا ان نستخدم ونستغل الIPSec ؟ الجواب سهل.
يستخدم الIPSec عن طريق ما يعرف بالسياسات IPSec Policies والتي تطبق في الشبكه ، حيث ان كل مجموعة من القواعد التي تريد تطبيقها تشكل لنا سياسه، والIPSec يستخدم هذه النظريه ، الامر الذي يجب الانتباه له هو اننا لا نستطيع عمل اكثر من سياسة لكل جهاز كمبيوتر ، لذلك يجب عليك تجميع كل القواعد والامور التي ترغب في تطبيقها في سياسه واحده تطبق على مستوى الاجهزه لا على مستوى الافراد .
قبل القيام بوضع القواعد وتطبيق السياسه ، يجب علينا مراعاة مايلي:


*نوع الحركه Traffic Type :
حيث انك تقوم باستخدام الفلاتر(سنتناولها في درس قادم) لتحديد نوعية الترافيك الي تريد تطبق عليها هذه القواعد ، فمثلا تستطيع ان تطبق فلتر يعمل على مراقبة بروتوكول HTTP و FTP فقط دون الباقي.

*ماذا سيفعل الIPSec بعد التحقق من نوع الحركهTraffic :
بعد ذلك يجب ان نحدد للIPSec ماذا سيفعل بعد تطابق الترافيك مع الفلتر ، وهو مايسمى Filter Action والذي تستخدمه لتخبر السياسه Policy ماذا ستفعل اذا تم مطابقة الترافيك حسب الفلتر، فمثلا يمكنك ان تجعل الIPSec يقوم بمنع الحركه على بورت بروتوكول FTP ، وايضا تجعله يعمل على تشفير الحركه على بورت بروتوكول HTTP . وايضا تستطيع من خلال Filter Action بتحديد اي انظمة التشفير والهاش التي تريد ان تستخدمها Encryption and Hashing Algorithms يجب على السياسه ان تستخدم.

*طريقة التحقق من الموثوقيه Authentication Method :
حيث يستخدم الIPSec ثلاث طرق للتحقق من الموثوقيه وهم :

-بروتوكول الكيربرس Kerberos Protocol
- الشهادات الالكترونيه Digital Certificates
- مشاركة مفتاح معين Preshared key
كل سياسة تستطيع تطبيق طريقتين للتحقق من الموثوقيه.
(ان شاء الله سنتناول بعضها من هذه الطرق بشرح مفصل منفرد حسب الاستطاعه)

*استخدام احدى نظامي الIPSec وهما Tunnel or Transport mode
(عد الى الدرس الثاني لترى استخدام كل نظام) : حيث علينا ان نحدد في السياسه اي النظامين يستخدم .

*نوع الاتصال او الشبكه التي سيتم تطبيق السياسة عليهاWhat connection type the rule applies to:
حيث ان السياسه يمكن ان تحدد الIPSec في نظاق الشبكه المحليه LAN ، او ان يعمل على اساس الوصول من بعدRemote access او ما يعرف بWAN ، او الاثنين معا.
الان بعد التعرف على الامور التي يجب اخذها بعين الاعتبار قبل تطبيق وعمل السياسه ، سنتعرف على انواع السياسه في الWin2000 &2003 ، حيث توجد هناك ثلاثه انواع منها :
-Client (Respond only)
-Server(Request Security)
-Secure Server (Require Security)

وكل واحده من هؤلاء تحتوي على اعدادت خاصه تناسب الغرض التي ستطبق لاجله.(طبعا في الشركات الصغيره او المتوسطه ، لكن كلما كبر حجم الشركه وزاد التعقيد زادت الحاجه الى استخدام سياسه مبتكره من قبل الشركه نفسها).

Client (Respond only)
افضل ما تطبق هذه السياسه على Domain Group security policy وذلك لكي تضمن لنا امكانية رد المستخدم على طلبات الاحهزه الاخرى باجراء تشفير عن طريق IPSec ،، اذا تعتبر هذه السياسه اساسيه في اي شبكه سيعمل فيها ولو سيرفر واحد على الIPSec ، حيث في هذه السياسه لن يقوم المستخدم بارسال طلب المحادثة والتشفير عن طريق الIPSec وانما سيقوم بالاجابه والدخول في الطلبات التي يتسقبلها لذلك من الاجهزه الاخرى في مجال IKE . اذا كنت تفكر في تطبيق IPSec على اي جزء من اجزاء الشبكه فالاحرى بعد ذلك ان يتم تطبيق هذه السياسه على مستوى Domain.

Server (Request Security)
تطبق هذه السياسه في العاده على السيرفرات التي ستتحدث مع احهزة Win2000 او حتى اجهزة Non-win2000 مثل Unix وغيره ، في هذه الحاله ، اذا كان المستخدم يستطيع التعامل مع IPSec فان جميع المحادثات بينهما ستكون مشفره فيه ، اما اذا لم يملك المستخدم القدره على استخدام الIPSec فانه يستعامل مع السيرفر بطرق المحادثه والاتصال العاديه (اي دون اي اثر للIPSec فيها). تطبق هذه السياسه في حالة وجود خليط من الاجهزه في الشبكه حيث يكون بعضها يستخدم IPSec والبعض الاخر لا ، فتكون هذه هي الانسب لذلك .

Secure Server (Require Security)
تضمن هذه السياسه للسيرفرات عدم التكلم وسقوط جميع انواع المحادثه والاتصال مع الاجهزه التي لا تستخدم او لا تدعم الIPSec ، حتى لو كانت هذه الشبكه او هذا الجهاز موجوده في Trusted Sites and DOmains . وافضل ما تستخدم هذه السياسه اذا دعت الحاجه الى تشفير كل شيء يصدر عن سيرفر محدد كالسيرفرات في البنوك وغيره، وبسبب تشدد هذه السياسه فانه يجب علينا في بعض الاحيان وضع اعفاءات واستثناءات من استخدام الIPSec كما يحصل في بروتوكول SNMP - Simple Network Management Protocol .

---------------------------------------ملاحظات----------------------------------
فقط سياسه واحده تطبق على مستوى الجهاز الواحد ـ، اذا اردت عدد من الخيارات التي تريد تطبيقها فقم بعمل سياسه محدده من قبلك Custom Policy .
اذا كانت الشبكة محميه بواسطة جدار ناري Firewall فيجب عليك عمل الاتي:
فتح بورت UDP 500
السماح بالProtocol Identifier (ID) number 51 for AH , number 50 for ESP
(مع الملاحظه ان رقم البروتوكول ID يختلف عن رقم البورت).

ليست هناك تعليقات:

إرسال تعليق