الفصل : 10
العنوان : تنفيذ تطبيق أمان الشبكة (Implementing Network Security Application )
Packet Filtering Firewalls :
ال firewall وهو جهاز يقوم بعمل فلتر للحزم القادمة من الخارج ,بحيث يكون متبع list عبارة عن rules هو يقوم بتطبيقها , حيث لو كانت الحزمة مخالفة لل rules او ال ACL , ولو كانت مخالفة بالفعل اذا لن يجعل هذه الحزمة تمر
Access Control Lists (ACL):
وهي عبارة عن ورفة تكون بداحل ال firewall وهي اللي تحمل ال rules اللي بتكون عبارة عن سطور ,بحيث هي تعتمد على ال ports وال source ip وال protocols , بحيث ال rules تقوم بالتحكم من خلال هذه الخيارات , بحيث لو مكتوب في rule معين ان الايبي اللي باسم 192.1.1.1 انع يتمنع من الدخول , ولو جت packet فيها ال source ip هو نفس الايبي بكل بساطة ال firewall يقوم بعمل deney ,وبالنسبة ايضا لل ports ,بخيث الوصلة اللي بين ال scr وال des بيكون فيها بورت مفتوح وهذا البورت برجع لل protocol المستخدم بين الجهازين , فاذا كان ال protocol ممنوع اذا ال port الخاص به ايضا ممنوع , ويعني لو مثلا رسالة ping اللي تستخدم بروتوكول ال ICMP ,وكان في ال rules انه ممنوع استخدام هذا البروتوكول اذا اي packet سيتم عمل لها deney ايضا من ال firewall , يعمني ال firewall الاساسي يقوم بالفحص في ال source ip وال ports وال protocols ولكن لا يستخدم ال MAC , ولكن يوجد انواع من ال firewall تتسخدمه
ايضا ال Traffic يكون يا اما inbound traffic و outbound traffic , يقوم بالتحكم في الاثنين
تصنيفات تشغيل ال Firewall :
Stateless Operation :
بحيث لو فيه traffic خارج من الشبكة لل destination معين مثل google وبالفعل سمح لك ال Firewall بالخروج بعد ما تاكد من ال rules انه مسموح له بالخروج, ولكن عندما ترجع للشبكة لدخول اليها , سينساك ال firewall بحيث سيقوم من جديد بعنل فحص هل انت اصلا مسموح لك بالدخول للشبكة ولا لا , لانه لا يكون جمع عنك معلومات ,وهذا النوع هو الامان اكثر ولكن ابطأ
Stateful Inspection Firewall :
وهو عكس ال Stateles , لما تريد الخروج للذهاب الى youtube عندنا يسمح لك سيقوم باخذ المعومات منك , وعند الرجوع للشبكة ستدخل مباشرة بدون اي عوائق , بحيث ال firewall يقوم بفتح port معين يرجع من خلاله الجهاز اللي خرج , ولكن هذا يكون مهدد اكثر للهجوم , لانه من الممكن ان في هذا الوقت ان يقوم شخص باستغلال ان البورت مغتوح ويدخل للشبكة من خلال هذا ال port و ولكن هذا النوع هو الاسرع , ويمكن ان نقوم بعمل timer لوقت اغلاق ال port تلقائيا , بحيث لو تاخر الشخص عن الرجوع يقوم ال firewall بغلق ال port ,وياتي ال firewall تلفائيا بهذا النوع
ملحوظة:
ال firewall يعمل في الطبقة ال 7 وال 4 لان تعامله مثل ما قلنا يكون فقك في ال ip ,ports,protocols
ملحوظة:
ال firewall يمكن استخدامه ك virtual وهو يكون عبارة عن نظام في الجهاز ويمكن استخدامه ايضا في Appliances
طريقة توصيل ال Firewall :
Routed(layer3):
بحيث من مزايا ال Firewall انه ممكن يعمل ك router يعني لديه mac table ولديه المسارات , بحيث باستخدام هذه الميزة نقوم بوضعه ما بين الشبكات المربوطة فيه , بحيث سيقوم بفحص كل الحزم اللي تمر من خلال هذه الشبكة لانه بيكون هو الراوتر ايضا في نفس الوقت , يعني راوتر وفايروول في نفس ان اللحظة , وهذه اشهر شئ يتم استخدامه لل firewall , نستخدمه لفصل الشبكة الخاصة بنا بشبكة الانترنت كمثال
bridged(layer2) :
وهو انه يتعامل ك switch بحيث مثلا يقوم بمنع السويتش 1 انه يرسل للسويتش 2 او انه يفحص الحزم اللي قادمة من السويتش 1 الى السويتش 2 وهكذا , حيث هنا سيتعامل مع ال mac adress , ويتم تركيبه ما بين ال switch 1 وال switch 2
ملحوظة:
يوجد بعض ال routers تدعم بعض من خصائص ال firewall وهذا عندما تكون الميزانية لا تسمح للاسف , وبالطبع لا يكون مثل القوة الخاصة بال firewall الاساسي
Virtual Firewalls :
وهو كما ذكرنا في الدرس السابق انه يمكن تشغيل ال firewall ك Appliances او Vitual , حتى يعمل في ال data center او ك cloud services , بحيث ممكن اققوم بتشغيله ك :
Hypervisor-based :
بخيث يكون شغال في النظام او السيرفر كنظام وهمي , بحيث ناخذ نظام ال firewall ونشغله في ال vmware مثلا او ال virtual box
Virtual Appliance :
وهو انه يكون جهاز ولكن وهمي
Multiple Context :
بحيث هو سيعمل كنظام وهمي في الجهاز , ولكن يمكن تقسيمه , يعني نجعل 2firewall يعملون
Networks-Based Intrusion Detecttion Systems :
ال firewall العادي يقوم بعمل فحص لل header اللي هي ports او protocols او scr ip ويقوم بعمل deney او expet وهو الانكار او الموافقة
ولكن لو اردنا ان نقوم بفخص ال pyloud اللي تكون في الpacket عشان نشوف اللي فيها , اللي هي البيانات نفسها , حيث ال firewall كل ما يقوم به او المنع من الدخول فقط من خلال فحصه لل ip,protocls,scr ip , فيوجد اجهزة غيره تقوم بفحص ال pyloud وهي :
intrusion detection system(IDS):
وهذا الجهاز ما يقوم فقط بفحص ال pyloud , يعني يقول لك ان هناك packet فيها pyloud ضار يحمل مثلا malware , ولكن لا يتاخذ اي قرار , يعني لو انت نايم ستدخل ال packet عادي جدا بال pyloud الضار , ويعمل ك offline بحيث يكون واخد جنب لانه لن يقوم باتخاذ اي اجراء او action فقط سيقوم بالتنبيه ,وبالطبع يمكننا شرائه ك Appliances او Viretual ولدينا مثل
Snort (snort.org)
Suricata (suricata-ids.org)
Zeek/Bro(zeek.org)
intrusion prevention system(IPS):
وهذا يقوم بالكشف مثل ال IDS ولكن يقوم باتخذ قرار , وهو المنع من الدخول بعد ما قام بفحص ال packet وتاكد انها ضارة , يعني هو يقوم باتخاذ action مثلا يقوم بعمل block ,لذلك هو يعمل في ال inline وهو خط دخول ال packet للشبكة حتى يقوم باتخاذ الاجراء لو كان فيه شئ ما
طريقة عمل ال IDS وال IPS :
يوجد لنا طريقتين وهي :
Signature Based Detection :
حيث بيكون في database في ال IPS وال IDS تسمى Signature , بيكون فيها كل شئ اللي لو شافتها في ال pyloud بعد الفحص ان تقوم بالتليخ بالنسبة لل IDS او تقوم بالمنع بالنسبة لل IPS
Behavior-based Detection :
وهي من خلال حركاته واسلوبه في الوصول وطريقة دخوله , بحيث مثلا هناك packets لا تذهب مباشرة لل Destination بل تقوم بالذهاب لاكثر من جهاز وهذا ما يدل على انها تقوم بعمل شئ ضار , فيقوم مباشرة ال IDS وال IPS بعمل التحذير او المنع
Next-Generation Firewall (NGFW):
وهو جهاز firewall ولكن فيه IPS يعني جهاز واحد يفحص ال Headers وال Pyloud , وخرج هذا الجهاز في سنة 2010 في شركة PaloALTO
Unified Threat Management (UTM):
حيث هو الاكثر شمولا , وهو اعلى ن ال NGFW ,لان فيه Anti Virus وفيه ايضا VPN و Proxy واشياء كثيرة جدا وهو الافضل والافضل , يعني ممكن ان نقول عليه انه do eveythin
Web Application Firewall (WAF):
وهو Firewall خاص بال Web server , يقوم بحمايتها من هجمات ال DOS او DDOS , واشهر ال WAF هي :
= Modsecuirty
= Naxsi
= Imperva
= F5
Monitoring Services :
Secuirty Information & Event Management (SIEM):
هي نقطة مركزية , تعمل على جمع كل ال Event وال Data log , الخاصة بكل اجهزة الشبكة من : switches, routers, firewalls, IDS sensors, vulnerability scanners, malware scanners, data loss prevention (DLP) systems, and databases. , تجمع كل هذه الاشياء في مكان واحد , بل وايضا تجمع سجلات ال windows وال linux
وتعمل على بروتوكول SNMP عشان يقدر ال SIEM يراقت ال CPU وال Memory الخاصة بالاجهزة اللي في الشبكة , يعني كل شئ حرفيا تجده امامك في شاشة من كل شئ في الاجهزة المتصلة في الشبكة
وهو شئ اساسي في المؤسسات الان
هناك انواع لل SIEM مثل :
= Splunk الاشهر
= logRHythm الاشهر
= RSA
= QRadar الاشهر
= Mcafee
= Trustware
وكل نوع له مميزاته
Secuirty Archestration Automation AND Response(SOAR):
وهو اللي يقوم هنا بعمل action اما اللي اكتشفه في ال SIEM يعني مثلا ظهر ال SIEM ان فيه ايبي بيعمل هجوم على الServer فيقوم ال SOAR بعمل blouk لل ip ده , يعني هو يكمل ال SIEM
واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا
او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله
ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من هنا
يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من
وفقط كان معكم sparrow مقدم هذه الشهادة من فريق Hidden Lock
