المحتوى عن 'ccnd1/ccent 100-101'.



مزيد من الخيارات

  • ابحث بالكلمات المفتاحية

    أضف وسومًا وافصل بينها بفواصل ","
  • ابحث باسم الكاتب

نوع المُحتوى


التصنيفات

  • التخطيط وسير العمل
  • التمويل
  • فريق العمل
  • دراسة حالات
  • نصائح وإرشادات
  • التعامل مع العملاء
  • التعهيد الخارجي
  • التجارة الإلكترونية
  • الإدارة والقيادة
  • مقالات ريادة أعمال عامة

التصنيفات

  • PHP
    • Laravel
    • ووردبريس
  • جافاسكريبت
    • Node.js
    • jQuery
    • AngularJS
    • Cordova
  • HTML
    • HTML5
  • CSS
  • SQL
  • سي شارب #C
    • منصة Xamarin
  • بايثون
    • Flask
    • Django
  • لغة روبي
    • Sass
    • إطار عمل Bootstrap
    • إطار العمل Ruby on Rails
  • لغة Go
  • لغة جافا
  • لغة Kotlin
  • برمجة أندرويد
  • لغة Swift
  • لغة R
  • لغة TypeScript
  • سير العمل
    • Git
  • صناعة الألعاب
    • Unity3D
  • مقالات برمجة عامة

التصنيفات

  • تجربة المستخدم
  • الرسوميات
    • إنكسكيب
    • أدوبي إليستريتور
    • كوريل درو
  • التصميم الجرافيكي
    • أدوبي فوتوشوب
    • أدوبي إن ديزاين
    • جيمب
  • التصميم ثلاثي الأبعاد
    • 3Ds Max
    • Blender
  • نصائح وإرشادات
  • مقالات تصميم عامة

التصنيفات

  • خواديم
    • الويب HTTP
    • قواعد البيانات
    • البريد الإلكتروني
    • DNS
    • Samba
  • الحوسبة السّحابية
    • Docker
  • إدارة الإعدادات والنّشر
    • Chef
    • Puppet
    • Ansible
  • لينكس
  • FreeBSD
  • حماية
    • الجدران النارية
    • VPN
    • SSH
  • مقالات DevOps عامة

التصنيفات

  • التسويق بالأداء
    • أدوات تحليل الزوار
  • تهيئة محركات البحث SEO
  • الشبكات الاجتماعية
  • التسويق بالبريد الالكتروني
  • التسويق الضمني
  • التسويق بالرسائل النصية القصيرة
  • استسراع النمو
  • المبيعات
  • تجارب ونصائح

التصنيفات

  • إدارة مالية
  • الإنتاجية
  • تجارب
  • مشاريع جانبية
  • التعامل مع العملاء
  • الحفاظ على الصحة
  • التسويق الذاتي
  • مقالات عمل حر عامة

التصنيفات

  • الإنتاجية وسير العمل
    • مايكروسوفت أوفيس
    • ليبر أوفيس
    • جوجل درايف
    • شيربوينت
    • Evernote
    • Trello
  • تطبيقات الويب
    • ووردبريس
    • ماجنتو
  • أندرويد
  • iOS
  • macOS
  • ويندوز

التصنيفات

  • شهادات سيسكو
    • CCNA
  • شهادات مايكروسوفت
  • شهادات Amazon Web Services
  • شهادات ريدهات
    • RHCSA
  • شهادات CompTIA
  • مقالات عامة

أسئلة وأجوبة

  • الأقسام
    • أسئلة ريادة الأعمال
    • أسئلة العمل الحر
    • أسئلة التسويق والمبيعات
    • أسئلة البرمجة
    • أسئلة التصميم
    • أسئلة DevOps
    • أسئلة البرامج والتطبيقات
    • أسئلة الشهادات المتخصصة

التصنيفات

  • ريادة الأعمال
  • العمل الحر
  • التسويق والمبيعات
  • البرمجة
  • التصميم
  • DevOps

تمّ العثور على 3 نتائج

  1. ccnd1/ccent 100-101

    لم تعد الحماية محلَّ نقاشٍ في الشبكات اللاسلكية، فأصبحت متطلبًا أساسيًا. سنتعلم في هذا الدرس ما هي التهديدات الشائعة للشبكات اللاسلكية ونشرح كيف تطوَّرت أساليب الحماية للتقليل من هذه المخاطر؛ فمن بين الحلول هنالك 802.1x للتحكم بالوصول (access control) و«الوصول المحمي إلى Wi-Fi» ‏(Wi-Fi protected access أو اختصارًا WPA) للسريّة (confidentiality) وسلامة البيانات المنقولة من التعديلات (integrity)، والاستيثاق من المتصل. التهديدات الأمنية للشبكات اللاسلكيةتؤثر عواملٌ عدِّة على أمن الشبكات اللاسلكية؛ فالاستخدام واسع النطاق لتقنياتٍ معيّنة ستجعلها محطّ الأنظار، لأن المهاجمين يطمحون إلى إيجاد الثغرا في التقنيات التي تستعملها أعداد كبيرة؛ فالسعر المنخفض لتقنياتٍ مثل 802.11b و g تجعلها تقنيةً منتشرةً عالميةً؛ وبسبب ما أسلفنا ذكره، ستكون أقل أمانًا من غيرها. سيحاول المهاجمون استغلال ثغراتٍ في الشبكات اللاسلكية عبر أدواتٍ جاهزةٍ للبحث عن نقاط الضعف؛ إذ تبحث تلك الأدوات عن الشبكات اللاسلكية أولًا ثم تحاول استغلال التقنيات التي فيها نقاط ضعف مثل WEP ‏(Wired Equivalent Privacy) التي هي خوارزمية التشفير التي استخدمت تقليديًا للسرية، وسلامة نقل المعلومات، والاستيثاق في الشبكات اللاسلكية. يسمى البحث عن الشبكات اللاسلكية بالكلمة «wardriving» التي تعني التجول مع حاسوب محمول فيه عميل للعثور على شبكات 802.11b أو g لمحاولة اختراقها؛ يسهل اختراق الشبكات غير المؤمنّة التي لا تستخدم التشفير، وكذلك الأمر بالنسبة للشبكات التي تمنح شعورًا زائفًا بالأمن باستخدامها لبروتوكولات قديمة فيها نقاط ضعف مثل WEP؛ وبعد ذلك ستبدأ نقاط الوصول الدخيلة (rogue access points) باستقبال البيانات الشبكيّة. هذه الأجهزة -المجهولة للشبكة- قد تتداخل مع مهام الشبكة الاعتيادية، وقد تستعمل لهجمات الحرمان من الخدمة (denial of service attack) أو لجمع المعلومات، وإحصاء الأجهزة الموجودة في الشبكة. ولكن قد تُضاف هذه الأجهزة من موظفي الشركة لتسهيل تنقلهم في الأرجاء. يجب أن نطبِّق منهجياتٍ وطرق تصميمٍ مشابهة للشبكات الأخرى عند تأمين وحماية الشبكات اللاسلكية، ويجب أن ندرك أن نقاط ضعف الشبكات اللاسلكية هي تنازل للحصول على ميزة الوصول الشامل (universal access) والمحمولية، فالنتيجة هي أن نكون أقل أمانًا وعلينا تحسين سياستنا الأمنية؛ نموذج «CIA» القديم هو نقطة بداية جيدة. كلمة CIA هي اختصار إلى «السرية» (confidentiality)، سلامة نقل البيانات (integrity)، والتوفر (availability)؛ ونريد -خصوصًا في الشبكات اللاسلكية- أن نحمي البيانات عندما تُرسَل وتُستقبَل ونود أن نوفِّر آليات تشفير كي لا يرى المستخدمون الخبيثون المعلومات التي نرسلها؛ ونود أيضًا أن نتأكد من سلامة نقل البيانات، أي أنهم لا يستطيعون تغييرها، ونتأكد من استيثاق العملاء الشرعيين المرتبطين مع نقاط وصول موثوقة. تتعلق النقطة الأخيرة بالعملاء ونقاط الوصول معًا؛ فعلينا التأكد أنَّ الأجهزة المتصلة مسموحٌ لها بالاتصال، وتتصل إلى نقاط الوصول الصحيحة وليس إلى نقاط الوصول الدخيلة. تتعلق غالبية المشاكل في التوفر في الشبكات اللاسلكية بهجمات الحرمان من الخدمة والنشاط الخبيث؛ وفي هذه الحالة، ستستفيد من أنظمة منع التطفل (intrusion prevention systems) لتتبع ومنع الوصول غير المُصرَّح به للشبكة، ومنع الهجمات. تطور حماية الشبكات اللاسلكيةأولى محاولات استخدام الشبكات اللاسلكية لم تضع الحماية نصب عينيها؛ فوفرت خوارزمية تشفير بسيطة اسمها «Wired Equivalent Privacy» اختصارًا WEP؛ التي تتضمن مفاتيح 64-بت وآلية استيثاق غير قوية، وكان يمكن «كسر» مفاتيح 64-بت بسهولة، لأن قوة معالجة حواسيب المهاجمين كانت تستطيع كسر المفاتيح عبر جمع معلوماتٍ كافية من الشبكة اللاسلكية. نقاط الضعف الأخرى تتضمن كون المفاتيح ثابتة (static) مما يجعلها قابلةً للكسر وغير قابلةٍ للتوسع لأن عليك ضبط المفاتيح يدويًا لكل جهاز، وهذا أصبح كابوسًا للمنظمات الكبيرة. أجريت عدّة تحسينات مما فيها «مُرشِّحات MAC» التي كانت ثابتةً أيضًا ولم تكن قابلةً للتوسع، وإخفاء SSID، الذي ليس أكثر من عدم إذاعة SSID، الذي هو اسم الشبكة اللاسلكية؛ الذي كان يُظَّن أنه شبيه بكلمة المرور لكن تبين ضعفه أمنيًا؛ تضمَّن الجيل الجديد مفاتيح لكل مستخدم ولكل جلسة عبر استعمال آليات الاستيثاق في الطبقة الثانية (layer 2) مثل 802.1x، الذي يتضمن بروتوكولًا موسَّعًا للاستيثاق (extensible authentication protocol)، الذي كان يُستخدَم لطلب مفتاح يسمى «procession key» من خادم AAA مركزي عبر RADIUS. النسخ (flavors) الأولية من EAP تتضمن بعض الخوازميات المملوكة (proprietary algorithms) مثل LEAP و PEAP‏ (Protected EAP)؛ ثم انتقلنا إلى الجيل الثالث، حيث حاولت هيئة Wi-Fi Alliance أن تضع معيارًا موحدًا للحماية في الشبكات اللاسلكية عبر WPA أو Wi-Fi Protected Access؛ الذي يحاكي أو يقلد البنية التحتية لمفاتيح التشفير الخاصة بكل مستخدم أو بكل جلسة؛ لكنه ما يزال يستخدم WEP كخوارزمية تشفير مثله كمثل الجيل الثاني الذي شرحناه في الأعلى، وبهذا ستبقى نقاط الضعف الأمنية موجودةً. النسخ الإضافية من EAP أتت بتضمين أشكال معينة من الآليات القوية للاستيثاق مثل EAP Fast؛ النسخة الحالية هيWAP2، التي تتضمن تحسينات أضيفت إلى معيار 802.11i IEEE؛ الذي يتضمن إضافة أنظمة منع التطفل واستخدام خوازميات قوية للتشفير مثل AES. عملية الارتباط لعميل شبكة لاسلكيةكانت بعض نقاط الضعف في الشبكات اللاسلكية القديمة متعلقةً بعملية الارتباط (association) بين العملاء ونقاط الوصول، فكان يُستخدم SSID كنوعٍ من كلمات المرور، لكنه ليس كذلك لأنه اسم الشبكة الذي يُذاع عادةً من نقاط الوصول، لكي يرى العملاء الشبكة ويتصلون بها. تُرسِل نقاط الوصول أيضًا المعلومات المتوفرة عن معدل نقل البيانات وغيرها من المعلومات؛ وبهذا يتمكن العملاء من إجراء مسح لكل القنوات والارتباط بنقطة الوصول ذات الإشارة الأقوى؛ ستتم إعادة عملية المسح مرةً أخرى إن ضعفت الإشارة واحتاج العميل إلى الارتباط مع نقطة وصولٍ مختلفة. يتبادل العملاء -أثناء عملية الارتباط- معلوماتٍ مع نقطة الوصول بما فيها عناوين MAC وضبط الحماية؛ وهذا هو السبب وراء حماية النسخ الحديثة من WPA لعملية تبادل المعلومات؛ التي أضافت أيضًا أشكالًا جديدةً من الاستيثاق، لأن التعريف الأولي كان فيه الاستيثاق المفتوح فقط (open authentication)، الذي لم يكن يتضمن تبادل الأوراق الاعتمادية (credentials) والاستيثاق باستخدام المفتاح المشترك (shared key authentication)؛ التي تُعرِّف مفتاح WEP الثابت. كيف يعمل 802.1X في شبكة لاسلكيةأفضل تحكمٍ في الحماية في الشبكات اللاسلكية يكون عبر استخدام أحد بروتوكول 2.1x للتحكم بالوصول. إن 2.1x هو معيار من معايير IEEE الذي يسمح بالتحكم بالوصول عبر الاستيثاق والتصريح بدخول العملاء إلى الشبكة. يتألف من ثلاثة مكونات: صاحب الطلب (supplicant) الذي هو جهاز العميل الذي يحاول الاتصال بالشبكة؛ والموثق (authenticator) الذي يكون هو نقطة الوصول في الشبكات اللاسلكية؛ والذي سيمنع طلبيات العملاء ويتجاهل البيانات التي يرسلوها إلا إذا تمت عملية الاستيثاق والمصادقة بنجاح. وهذا شبيه بطلب جواز السفر في المطار، إذ يجب أن نُظهِر جواز السفر قبل الصعود إلى الطائرة. آلية العمل هي أن الموثق (authenticator) سيختبر العملاء، فعندما يشعر أن هنالك عميلًا يحاول الاتصال، فعلى العميل أن يوفِّر هويةً (identity) التي ستمرر من الموثق إلى مكوِّن ثالث هو خادم الاستيثاق (authentication server). الذي هو عادةً خادم AAA يُشغِّل بروتوكولات AAA مثل RADIUS، ويحتوي على قاعدة بيانات بالعملاء، وقاعدة بيانات بالمستخدمين، ومضبوطٌ للعمل على بروتوكول تابعٍ لبروتوكولات ‎.1x يُسمى EAP؛ الذي هو بروتوكول استيثاق شامل يسمح للعملاء بتوفير الأوراق الاعتمادية بأشكالٍ عدِّة، بدءًا من اسم المستخدم وكلمة المرور، إلى شهادةٍ رقميةٍ بتشفير وتعمية. وعندما يرد خادم الاستيثاق ردًا إيجابيًا، فإن المنفذ سيخرج من حالة الاستيثاق (authentication status) وسيذهب إلى حالة التفعيل (effective status)، مما يمكِّن العملاء من الدخول إلى الشبكة؛ ويجب أن تُضبَط أجهزة العميل وأن تدعم طلبيات ‎.1x؛ وهذا يكون عادةً جزءًا من نظام تشغيل تلك الأجهزة؛ وسيحتاج الموثق إلى دعم ‎.1x؛ الذي تدعمه نقاط وصول سيسكو، ويجب أن يكون خادم الاستيثاق مزودًا بدعم لبروتوكول الاستيثاق الشامل ويعمل كخادم AAA باستخدام RADIUS. نمطَي WPA و WPA2WPA أو «الوصول المحمي إلى Wi-Fi» يرفع من إمكانيات طريقة 802.1x و EAP؛ إذ تدعم المفاتيح المُشارَكة مسبقًا (pre-shared keys) أو PSKs؛ وهذا يُعرِّف طبقتين من الاستيثاق، واحدة مناسبة للمنظمات التعليمية والحكومات وفي الشركات التي تستخدم مفاتيح لكل مستخدم ولكل جلسة يتم الحصول عليها عبر تبادل 802.1x EAP؛ والأخرى تُصنَّف للاستخدام الشخصي والمنزلي، التي تَستخدم مفاتيح مشاركة مسبقًا؛ ولا تتطلب حدوث تبادل ‎.1x EAP ويمكن أن تُعَدّ عبر ضبط مفتاح مشارك مسبقًا يدويًا. WPA WPA2 الشركات، والحكومات، والمنظمات التعليمية الاستيثاق: IEEE 802.1X/EAP التشفير: TKIP/MIC الاستيثاق: IEEE 802.1X/EAP التشفير: AES-CCMP الاستخدام الشخصي والمنزلي الاستيثاق: PSK التشفير: TKIP/MIC الاستيثاق: PSK التشفير: AES-CCMP في WPA، يستخدم كلا النمطين WEP كخوارزمية تشفير، ونحن نعلم أنَّ هذا البروتوكول فيه نقاط ضعف، لذا تمت إضافة المزيد من الإجراءات الوقائية في WEP على شكل بروتوكولَين: Temporal Key Integrity Protocol و Message Integrity Check الذي أضاف مفاتيح أطول وبعض الإجراءات للتحقق من سلامة النقل؛ توجد أنماط مشابهة في WPA2، الذي هو تطبيقٌ لنسخة Wi-Fi Alliance لمعيار IEEE 802.11i. الاختلاف الرئيسي هو أنه لم يعد WEP هو خوارزمية التشفير، وما زال إطار العمل يستخدم 802.1x EAP أو المفاتيح المشاركة مسبقًا، لكن خوارزمية التشفير هي AES (اختصار إلى Advanced Encryption Standard). ترجمة وبتصرف للمقال: Understanding WLAN Security.
  2. ccnd1/ccent 100-101

    تقود توجهاتٌ عديدةٌ في عالم الأعمال والتقنية إلى زيادة استخدام الشبكات اللاسلكيّة؛ فلم نعد مقيّدين بمكانٍ ثابت، فتسمح الشبكات اللاسلكيّة لنا بحريّة التنقل والوصول إلى شبكاتٍ عامةٍ (public network) للتواصل في أيّ وقتٍ وفي أيّ مكان؛ وكانت ظروف عمل العاملين عن بعد والموظفين المسافرين تجبرهم على استخدام الهواتف العمومية لتَفقُّد إن كانت قد وصلتهم رسائل وللرد على المكالمات القليلة التي كانت تردهم، بينما يتوفَّر الآن البريد الإلكتروني، والبريد الصوتي، والخدمات التي تعتمد على الويب والهواتف الذكية. وستمثِّل محاولة الموازنة بين العمل والحياة الشخصية عاملًا في صالح العمل من المنزل عن بُعد، وبهذا يكون العاملون عن بعد في أماكن جغرافية متباعدة. توجّهٌ آخر هو التعاون (collaboration)، فقد يتواجد الموظفون وأعضاء الفريق في أيّ مكانٍ في العالم في الشركات التي تتكون من شبكةٍ من المكاتب (grid). أدى ما سبق -من الناحية التقنية- إلى تطوير أجهزة أسرع وأكثر ملائمةً للاتصال إلى الشبكة؛ فلم نعد نرى الحواسيب المحمولة أكثر من الحواسيب المكتبية فحسب، وإنما أصبحنا نرى تطبيقاتٍ هدفها التعاون والتواصل مع بقيّة العالم في الوقت الحقيقي (real-time)؛ وهذا يتضمن المحادثة الفورية، والبريد الإلكتروني ...إلخ. تقود كل تلك التوجهات إلى زيادة استخدام التقنيات اللاسلكيّة وتطويرها. الفرق بين شبكات WLAN و LANعندما نتحدَّث عن خليطٍ من شبكات LAN السلكية وشبكات LAN اللاسلكيّة، فعلينا أن نضع الاختلافات بينهما بعين الاعتبار. فمن المؤكَّد أنَّ استخدام موجات الراديو ستسبب مشاكل لا توجد في الأسلاك، ربما تواجه مشاكل في الاتصال والتغطية (coverage)، وقد يكون اتصالك عرضةً للتداخل (interference) والتشويش (noise). فستقل جودة اتصالك عندما تتواجد قريبًا من مصدر التداخل في الأمواج؛ وقد تفقد الإشارة أثناء تجوالك أو تجدها تضعف عندما تبدِّل بين الخلايا (cells) التي تبثّ الإشارة. ربما تواجه أيضًا مشاكل في الخصوصية ومخاوف أمنيةٍ؛ لأن الموقع الفيزيائي للشبكة ومعداتها لم يعد عقبةً أمام مهاجمي شبكتك. بكلامٍ تقنيّ؛ سيتصل العملاء لا سلكيًا إلى نقاط الوصول (access points) التي تشبه موزَّع شبكات إيثرنت (hubs) لأنها تُشارِك تراسل البيانات (shared bandwidth) على النقيض من المبدِّلات؛ فعلينا الآن أن نولي اهتمامًا لتصميم البنية التحتية للشبكات وأخذ بعين الاعتبار التنافس على تراسل البيانات ( bandwidth) ...إلخ. وستختلف في الشبكات اللاسلكية الطبقة الفيزيائية اختلافًا جذريًا، وستختلف طبقة وصل البيانات (data link) أيضًا. وستحاول شبكات WLAN أن تتجنب التصادمات (عبر استعمالها لبروتوكول Carrier sense multiple access with collision avoidance‏ [CSMA/CA]) بدلًا من تحسس التصادمات؛ لذلك ستكون آلية استكشاف الأخطاء وإصلاحها وجودة الخدمة مختلفةً مقارنةً مع شبكات LAN السلكية؛ والسبب بسيطٌ هو أنَّه لا توجد طريقة لتحسس التصادمات في شبكات LAN اللاسلكية؛ فلا تستطيع الأجهزة المُرسِلة أن تستقبل في نفس الوقت، فالاتصال وحيد الاتجاه (half-duplex). الإطارات الشبكيّة (frames) مختلفةٌ أيضًا، إذ تتنوع تشريعات القوانين الناظمة لتردد الراديو (radio-frequency) وعليك الالتزام بتطبيقها تبعًا لدولتك ومكانك الجغرافي. النقل عبر ترددات الراديوآلية عمل الشبكات اللاسلكية هي أنَّ ترددات الراديو (radio frequencies) يتم بثّها في الهواء عبر هوائيات (antennas) تشكِّل موجات راديو (radio waves)؛ وتخضع هذا الموجات إلى تأثيرات محيطها؛ فمثلًا عندما تنتشر تلك الأمواج عبر الأشياء، فربما تمتصها الجدران أو تنعكس من على الأسطح المعدنية؛ وربما تُشتَّت (scattered) عندما تصطدم بسطحٍ غير مستوٍ، فقد تعكس السطوح الخشنة الأمواج إلى اتجاهاتٍ عديدة؛ ولأن هذه العوامل ستؤثِّر على جودة الاتصال، فيجب أن تُدرَس وثوقية (reliability) وتوفر (availability) الاتصال بعد الإطلاع على مكان تشغيل الشبكة قبل أن تصمم شبكتك اللاسلكية؛ فتصميم شبكةٍ لا سلكيةٍ في مكتبٍ عاديٍ فيه حجراتٌ مقطّعةٌ عبر جُدُرٍ رقيقةٍ سيختلف اختلافًا جذريًا عن تصميم الشبكة لطابق التصنيع الذي فيه منشآتٌ في الهواء الطلق حتى لو كان يبدو لك أنَّهما يشغلان نفس الحجم من ناحية مساحة الأرضية؛ وستصبح بعض المفاهيم مثل المدى (range) وقوة الإشارة (signal power) ونسبة «الإشارة-إلى-التشويش» (signal-to-noise) مهمةً الآن. هنالك بعض القواعد التي تحكم عمل الشبكات اللاسلكية: فمثلًا نقل البيانات بسرعاتٍ عاليةٍ يتطلب مدىً قصيرًا لأن المستلم يجب أن يملك إشارةً قويةً ونسبةً أفضل للإشارة-إلى-التشويش؛ وبتعريف بسيط، إن نسبة «الإشارة-إلى-التشويش» هي نسبة قوة الإشارة إلى قوة التشويش الذي يؤثِّر سلبًا عليها. يتطلَّب نقل البيانات بمعدِّل مرتفع في مدى قصير تراسلًا شبكيًا أكبر، الذي يمكن تحقيقه باستخدام ترددات عالية أو تعديلاتٍ معقَّدةً على الشبكة؛ فيمكنك زيادة المدى بزيادة قوة الإرسال وهذا يعني زيادة طاقة الهوائي؛ لاحظ أنك لو استعملت الترددات العالية، فسينخفض مدى الإرسال لأن تلك التردادات ستنفى وستكون أكثر عرضةً للامتصاص من ما حولها. المنظمات التي تعرف WLANهنالك نوعان من المنظمات التي تحكم تعريف تقنيات الشبكة اللاسلكية وبنيتها التحتية؛ أولها هي وكالات التنظيم التي تتحكم باستعمال نطاقات ترددات الراديو، فيوجد مثلًا في الولايات المتحدة «لجنة الاتصالات الاتحادية» (Federal Communications Commission) أو FCC، وفي أوروبا «المعهد الأوروبي لمعايير الاتصالات» (European Telecommunication Standard Institute) أو ETSI؛ فيجب أخذ موافقة تلك الوكالات لأجهزة البث أو مجالات الترددات الجديدة. ويوجد غيرها من المنظمات في أماكن أخرى من العالم. وعلى الجانب الآخر، هنالك هيئات لتنظيم المعايير القياسية مثل «معهد مهندسي الكهرباء والإلكترون» (Institute Of Electrical And Electronic Engineers) اختصارًا IEEE و «الاتحاد الدولي للاتصالات» (International Telecommunication Union) أو ITU. تُعرِّف هيئة IEEE معايير 802.11 لتقنيات الشبكات اللاسلكية. هنالك منظماتٌ أخرى يدفعها سوق العمل والمصنعين التجاريين مثل «Wi-Fi Alliance» التي هي هيئةٌ غير ربحيةٍ توفِّر شهاداتٍ لتكفل بها توافق الأجهزة التي تعتمد على معيار 802.11 من مختلف المصنعين؛ ما تفعله تلك الهيئة أمرٌ مهمٌ جدًا ﻷنها لا تُوفِّر راحةً وطمأنينةً للمنظمات التي تشتري تلك المنتجات فحسب، وإنما تساعد أيضًا في ترويج التوافقية بين منتجات عدِّة مصنعين، هذه المنظمة -تحديدًا- تُحسِّن وتؤثِّر على معايير WLAN تأثيرًا كبيرًا. معيار ITU-R مع FCC للاتصالات اللاسلكيةITU هي هيئة عالمية تحاول أن تنظِّم عملية توزيع الطيف الترددي (spectrum) بين مختلف الهيئات التنظيمية في كل منطقة جغرافية أو دولة؛ لكنها لا تستطيع أن تُجبِر الدول على الانصياع إلى توصياتها؛ فهي تأمل أن تستطيع التوفيق بين نشاطات الهيئات التنظيمية. نطاقات الترددات المُستعمَلة في شبكات LAN اللاسلكية هي النطاقات غير المُسجّلة (unlicensed) عادةً، فهنالك نطاق 900 ميغاهرتز، ونطاق 2.4 غيغاهرتز الذي تعمل فيه المنتجات والتقنيات في معيارَيّ 802.11b و 802.11g؛ ونطاق 5 غيغاهرتز الذي يُستعمَل من 802.11a. ليس من الضروري الحصول على شهادة لتشغيل المعدّات اللاسلكية في نطاقات التردادات غير المسجلة؛ فلا يملك أي شخص أو منطقة الاستخدام الحصري لهذه التردادات؛ فيُستعمَل مثلًا النطاق 2.4 غيغاهرتز من الشبكات المحلية اللاسلكية، ومن أجهزة بث الفيديو (video transmitters) والأجهزة التي تعمل بتقنية بلوتوث، وأفران «المايكرويف»، والهواتف النقالة. إذ أنَّ هذه النطاقات غير المسجَّلة هي أفضل ما يمكن توفيره، لكنها تعاني من التداخلات وانخفاض قوة الإشارة؛ خذ بعين الاعتبار أنك ما زلت تخضع لقوانين دولتك المحلية ونُظُمِها التي تحكم طاقة النقل (transmit power)، وطاقة الهوائي (antenna gain) وهلمّ جرًا. مقارنة بين معايير IEEE 802.11أنشَأت IEEE معايير 802.11 لتعريف الطبقة الفيزيائية ومكونات التحكم في وصول الوسائط في طبقة نقل البيانات؛ ظهرت عدِّة نسخ (flavors) بتقنيات مختلفة في طبقة النقل تعمل بمجالات ترددات مختلفة وتملك مستوياتٍ مختلفة من التوافقية؛ فمثلًا، يعمل معيار 802.11B في نطاق 2.4 غيغاهرتز ويستخدم نقلًا للبيانات مبنيٌ على تقنية الطيف المنتشر عبر التسلسل المباشر (Direct Sequence Spread Spectrum) أو اختصارًا DSSS؛ التي تستخدم قناةً واحدةً التي تنشر البيانات عبر جميع الترددات المُعرَّفة من تلك القناة. وهنالك أيضًا تقسيم التردد المتعامد (Orthogonal Frequency Division Multiplexing) أو OFDM الذي يُقسِّم الإشارة إلى عدِّة قنوات في ترددات مختلفة؛ وهو يُستعمَل من 802.11a، بينما يَستعمل 802.11g التقنيتَين اعتمادًا على التراسل الشبكي المطلوب. 802.11b 802.11a 802.11g نطاق التردد 2.4 غيغاهرتز 5 غيغاهرتز 2.4 غيغاهرتز عدد القنوات 3 الحد الأقصى 23 3 النقل الطيف المنتشر عبر التسلسل المباشر (DSSS) تقسيم التردد المتعامد (OFDM) الطيف المنتشر عبر التسلسل المباشر (DSSS) تقسيم التردد المتعامد (OFDM) معدلات نقل البيانات (Mb/s) 1، 2، 5.5، 11 6، 9، 12، 18، 24، 36، 48، 54 1، 2، 5.5، 11 6، 9، 12، 18، 24، 36، 48، 54 يمكنك ملاحظة معدلات نقل البيانات في أسفل الجدول، ويمكنك أن ترى اختلافات معدلات نقل البيانات في كل معيار لأنها تعتمد على المسافة يبن العميل ونقطة الوصول؛ فكلما ابتعدت عن نقطة الوصول، كلما قلّ معدل تراسل البيانات. لاحظ أن كل نطاق تردد مقسَّم إلى قنوات لكن هيئات التنظيم المحلية مثل FCC تُحدِّد القنوات التي يُسمَح باستعمالها؛ فمثلًا معيار 802.11 يُقسِّم نطاق 2.4 غيغاهرتز إلى 14 قناة، لكن FCC في الولايات المتحدة تسمح باستخدام 11 قناة؛ وهنالك فصل بين القنوات، فمن أصل 11 قناة تسمح FCC باستخدامها، هنالك ثلاث قنوات غير متداخلة (non-overlapping) فقط: 1 و 6 و 11. أيّ معيار أستخدم؟ الأمر يعتمد كثيرًا على التوافقية؛ فيعمل 802.11g بنفس نطاق تردد 802.11b ولكن يستخدم تقنيات تعديل تردد (modulation) معقدة جدًا لكي يحقق معدلات نقل بيانات أعلى وهنالك توافقية بين g و b. ولم يكن 802.11a مقبولًا بسبب تكاليفه المرتفعة. شهادات Wi-Fiكانت التوافقية أحد أهم الدوافع في تنمية شبكات LAN المحليّة؛ فتشهد اتصالات Wi-Fi بالتوافقية بين المنتجات؛ وهذا يتضمن تقنيات IEEE مثل a و b و g، وتعريف المنتجات ثنائية النطاق (dual band)، وتجربتها من ناحية الحماية؛ وهذه الشهادة تمثِّل رسالة طمأنة للمستهلكين أن هنالك منتجاتٌ أخرى يمكن الهجرة إليها أو دمجها مع الشبكة الحالية. تتضمن الشهادة تقنيات IEEE 802.11 RF الثلاث، وتبني مُسبَق لمسودات IEEE التي تهتم بمواضيع مثل الحماية؛ فعلى سبيل المثال، «Wi-Fi Alliance» تبنَّت مسودة IEEE 802.11i المتعلقة بالحماية، وأنشأت توصية «Wi-Fi Protected Access» المعروفة اختصارًا WPA؛ ثم عدلوها إلى WPA2 بعد إصدار المعيار الأمني النهائي 802.11i. ترجمة -وبتصرّف- للمقال Exploring Wireless Networking.
  3. ccnd1/ccent 100-101

    يمكننا رؤية أمن المبدِّلات بعدِّة أبعاد؛ أحدها هو البعد الفيزيائي والبيئي الذي يتضمّن عدِّة فئات وتصنيفات -المذكورة هنا- تتعلق تهديدات الأجهزة بالضرر الفيزيائي للمعدّات، قد يكون سوء الاستعمال سببًا في هذا وليس بالضرورة أن يكون الضرر متعمّدًا؛ فقد يكون السبب قادمًا من الإدارة السيئة للتغييرات أو السياسات غير الحريصة في تثبيت العتاد الفيزيائي؛ وعدم وجود سياسة خاصّة بالتعامل مع المعدات. أما التهديدات البيئية فهي متعلقة بدرجات الحرارة الكبيرة والرطوبة؛ لكن مركزَ بياناتٍ بتصميم جيد لحاويات الأسلاك (wiring closet) -يتّبِع أفضل الممارسات العملية المتعلقة بالمكان الفيزيائي والتبريد ...إلخ. سيساعد في تخفيف هذه الأخطار. قد تكون التهديدات الكهربائية أكثر شيوعًا وهي تتراوح بين ارتفاع مفاجئ في الجهد (voltage spikes) إلى التيار الكهربائي غير المستقر أو إلى فقدان تام للطاقة الكهربائية. يمكن تجنب هذه المخاطر باستخدام وحدات عدم انقطاع التيار (UPS). تهديدات الصيانة متعلقة بمنهجية وعملية تصميم المكان الفيزيائي للمعدات، إذ ستشكِّل تمديدات الأكبال السيئة تهديدًا أمنيًا إذا سببت في مشكلة كهربائية أو مشكلة في العتاد إذا أدّت إلى إسقاط المعدات على الأرض. وقد يُشكِّل أيضًا نقصان قطع التبديل تهديدًا أمنيًا؛ الذي يُثبِت مدى سوء التصميم والتخطيط من ناحية إمكانية تعويض المعدات. ضبط كلمة مرور للمبدلقد تكون التهديدات الأخرى متعلقةً بالاستيثاق وإدارة الهويات؛ وهذه هو السبب وراء ضبطنا لكلمات المرور وتوفير تحكم بالوصول مع استخدام كلمات المرور. قد يتعلق إعدادٌ بسيطٌ لكلمة المرور بخطوط وصولٍ (access lines) معيّنة إلى المبدِّل -على سبيل المثال- الطرفية (console)، وخطوط VTY المتعلقة بوصول الطرفية إلى المعدات؛ وهنالك قواعد للتحكم بالوصول عبر Telnet و SSH، لكن بعد أن تتصل إلى المعدات باستخدام طرفية أو Telnet، فستتمكن من الدخول إلى وضع المستخدم ذي الامتيازات بكلمة مرور، وهذا أمرٌ أخرٌ يجب علينا أخذه بعين الاعتبار. أحد الأمور الشائعة لكل كلمات المرور تلك هي أنها مضبوطة وثابتة لكل خط وصول أو لكل وظيفة مثل enable password. SwitchX(config)#no aaa new-model SwitchX(config)#line console 0 SwitchX(config-line)#login % Login disabled on line 0, until 'password' is set SwitchX(config-line)#password cisco SwitchX(config-line)#exi SwitchX(config)#line vty 0 4 SwitchX(config-line)#login % Login disabled on line 2, until 'password' is set % Login disabled on line 3, until 'password' is set % Login disabled on line 4, until 'password' is set % Login disabled on line 5, until 'password' is set % Login disabled on line 6, until 'password' is set SwitchX(config-line)#password sanjose SwitchX(config-line)#exi SwitchX(config)#enable password cisco SwitchX(config)#enable secret sanfran SwitchX(config)#service password-encryptionطريقةٌ أخرى أكثر تقدمًا هي ربطها إما مع مستخدمين محليين أو مستخدمين مركزيين، وبهذا تستطيع استخدام تحكم بالوصول مستند إلى الدور (role-based access control) لإدارة الجهاز. تُستعمَل الأوامر المذكورة في الأعلى لإعداد كلمات مرور للخطوط؛ ربما تريد أن تُفعِّل عملية الاستيثاق على أحد الخطوط؛ ثم يمكنك ببساطة إعداد كلمة مرور دون تشفير لكن هنالك طريقة مُحسّنة هي تفعيل كلمة المرور مع تشفير أو إخفاء كلمة المرور باستخدام آليات التعمية (hashing mechanisms). تكون جميع كلمات المرور بنصٍ واضح وتُعرَض كما هي في أوامر: show running-config و show startup-configإذا أردت إخفاء الأوامر وتشفيرها تشفيرًا بسيطًا، فيمكنك استخدام الأمر last، بعد أن تنفِّذ ذاك الأمر، فسيتم تشفير جميع كلمات المرور الجديدة، ويمكنك تعطيل هذه الآلية باستخدام نسخة no من ذاك الأمر. ضبط لافتة تسجيل الدخولستساعدك لافتات تسجيل الدخول على إيصال رسالة معيّنة إلى المستخدمين الذين تم الاستيثاق من دخولهم إلى المبدِّل؛ يمكن للافتات خدمة غرض إظهار معلومات، وعرض السياسة للمستخدمين الذين لم يتم الاستيثاق من دخولهم. يمكنك ضبط اللافتة بواسطة الأمر banner. الوصول عبر Telnet أو SSHتاريخيًا، كان Telnet أشهر الخيارات للوصل بين موجَّهَين لأغراض الإدارة، وكذلك للاتصال إلى المبدِّلات؛ لكنه غير آمن لأنه لا يوفر تشفيرًا للاتصال؛ أي بكلامٍ آخر، يمكن لمتلصصٍ أن يجمع رزماتٍ شبكيّة من الاتصال ويعلم الأوامر التي تستعملها وقد يستطيع سرقة كلمات مرورك، إذ أنها لا تشفَّر؛ أما SSH بإصدارَيه 1 و 2، سيشفِّر عملية نقل البيانات وسيخدم بنفس الوقت غرض الاتصال إلى جهازٍ لضبطه؛ وربما يوفِّر الإصدار الثاني من SSH خوارزمية تشفير أكثر تعقيدًا. إذا أردت استخدام SSH، فعليك إنشاء مفاتيح للتشفير، وعليك استخدام الأمر: crypto key generate rsa لإنشاء المفاتيح، وتلك المفاتيح مرتبطة أو تحتوي على اسم نطاق (domain name)، وهذا هو السبب وراء حاجتنا لذاك الأمر. يمكنك أيضًا تعريف قاعدة بيانات مستخدمين محليّين؛ يمكنك إضافة المستخدمين بالأمر username. طريقة ضبط أكثر تقدمًا هي استخدام خواديم AAA، أي خواديم الاستيثاق والتصريح والحسابات (authentication authorization and accounting servers) لجعل قاعدة بيانات المستخدمين مركزية وتوفير إمكانية التوسع لعدِّة أجهزة، التي تتشارك قاعدة البيانات نفسها من خادوم مركزي. ضبط حماية المنافذآلية تأمينٍ إضافيةٌ في المبدِّلات مثل Catalyst 2960 هي حماية المنفذ؛ وتسمح لك تلك الميزة بتحديد عدد عناوين MAC التي يمكنك تعلمها في منفذ معيّن، ويمكنك أيضًا تحديد عناوين MAC التي تسمح لها في منفذٍ معيّن. هذا نوعٌ من آليات التأمين في الطبقة الثانية التي تساعد في الحماية الفيزيائية عبر تحديد من يمكنه الاتصال عبر منفذٍ ما، وكم جهازًا يستطيع الاتصال. عملية الضبط سهلة جدًا، حيث تبدأ بالأمر switchport في نمط ضبط المنافذ. لنلقِ نظرةً على بعض الخيارات بالنظر إلى مثال ضبط قياسي، أول شيء ستفعله لضبط البطاقة fa0/5 هو تفعيل المنفذ كمنفذ وصول (access port) وليس كمنفذ trunk؛ يسمح منفذ الوصول بوصل النهايات مثل محطات العمل والحواسيب المحمولة. الخطوة الثانية هي تفعيل تأمين المنفذ؛ الخطوة الثالثة هي تعريف العدد الأقصى من عناوين MAC، الوسيط maximum 1 يعني أنك ستسمح بعنوان MAC وحيد بالاتصال إلى هذا المنفذ. Switch(config)#interface fa0/5 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security violation shutdownوكما نعلم، تتعلم المبدِّلات عناوين MAC، ولهذا سيكون العنوان المُسنَد إلى المنفذ ديناميكيًا، ولكن بعد أن يتعلم المبدِّل عنوان MAC، فلن يقبل أي شيءٍ أكثر من العدد الأقصى؛ فلنقل أنك ضبطت العدد الأقصى إلى 10، فإن أعيد تشغيل المبدِّل، فسيتم نسيان تلك العناوين، وإذا أردت من المبدِّل أن يتذكرها، فعليك أن تجعلها ثابتةً باستخدام الكلمة المحجوزة sticky. في النهاية، عليك تحديد ماذا سيحصل عندما يتم تجاوز الحدود التي ضبطتها؛ هنالك عدِّة خيارات، يمكنك أن تعطِّل المنفذ (shutdown) وعليك إعادة تفعيله يدويًا بعد ذلك؛ أو يمكنك أن تعطِّل المنفذ مؤقتًا، أو أن تترك المنفذ على حاله لكن سترسِل رسالة syslog لكي يعلم المدراء أن الحدود قد تم تجاوزها. تستطيع عرض الإعداد والحالة لجميع البطاقات أو بطاقات معيّنة بعد ضبط حماية المنافذ، يمكنك استخدام الكلمة address لعرض عناوين MAC المرتبطة بالبطاقة؛ وهو أمرٌ بسيط سيعرض إن كان تأمين المنفذ مُفعّلًا وحالته إن كان كذلك؛ وفي هذه الحالة، «secure up» تعني أنه لم تحدث تجاوزات للحماية. ما سيحدث عندما يحصل تجاوز ما هو تعطيل المنفذ، فعدما يتصل عنوان MAC غير معروف أو تتجاوز عناوين MAC الحد المعيّن، فسيتم تعطيل المنفذ. عندما تُحدَّد قيمة بالدقائق لعناوين MAC المُسجَّلة، فيمكن أن تُزال تلقائيًا بعد أن يفصل اتصالها دون الحاجة إلى إزالتها يدويًا. أخيرًا، عدد عناوين MAC هو العدد الكلي لعناوين MAC التي يمكن للمنفذ تعلمها، وستُعرَض الإعدادات الثابتة (sticky configuration) وعدد التجاوزات التي حصلت في منفذ المبدِّل. تأمين المنافذ غير المستخدمةأفضل الممارسات العملية هي تأمين المنافذ غير المُستخدَمة التي قد تُشكِّل ثغراتٍ أمنيةً لأنها مفعَّلة افتراضيًا؛ إن كان لديك DHCP على شبكتك ولم تكن توفِّر حمايةً فيزيائيةً لها، فيمكن الوصول إلى شبكتك دون إذنك؛ لذا يُنصَح بتعطيل بطاقات المنافذ غير المُستعمَلة. ولهذا سنستخدم الأمر shutdown بالذهاب إلى وضع ضبط البطاقات وتحديد البطاقات التي نريد تعطيلها. في الإصدارات الحديثة من نظام تشغيل IOS، ستعثر على خيار لتحديد مجال من البطاقات لتعطلها في آن واحد؛ تذكر أنك تستطيع إعادة تفعيل البطاقة باستخدام نسخة no من أمر التعطيل؛ أي بكلامٍ آخر، الأمر shutdown سيعطِّل البطاقة إداريًا، بينما no shutdown سيفعِّلها. ترجمة -وبتصرّف- للمقال Understanding Switch Security.