العودة إلى الأعلى

شركة Transition Networks مملوكة بالكامل لشركة Lantronix، Inc.

Transition Networks

أمان الشبكة: ما سبب أهمية المصادقة

بالنسبة لمعظم المنظمات ، يعتبر الأمن المادي أمرا مفروغا منه سواء كانت مراقبة بالفيديو أو التحكم في الوصول أو أجهزة كشف الحركة أو أجهزة الإنذار ؛ تبنت الشركات التجارية مفهوم حماية ممتلكاتها المادية وأصولها. مع إجراء المزيد والمزيد من الأعمال التجارية عبر الإنترنت ويسجل المستخدمون الدخول إلى شبكات شركاتهم عن بُعد ، زادت الأهمية التي تولى لأمن الشبكة وحماية الأصول الفكرية بشكل كبير.

الغرض من أمان الشبكة هو حماية الشبكة وعناصرها من انتهاكات الوصول غير المصرح بها والتي قد تؤدي إلى فقدان البيانات و / أو الإيرادات و / أو الإنتاجية. سيناقش هذا المستند التقني بعض التدابير الأمنية التي يتم استخدامها حاليًا داخل معدات الشبكات للحد من التسلل من المستخدمين الضارين وربما الإضرار بالمحتوى الإلكتروني.

 

ما هي HTTPS و SSL و SSH؟

مثل جواز السفر أو رخصة القيادة ، يتم إصدار شهادة SSL أو مفتاح SSH من قبل مصدر موثوق ، يُعرف باسم المرجع المصدق (CA). سيتحقق العديد من المراجع المصدقة من اسم المجال ووجود ملكيتك لاسم المجال ، عن طريق إصدار شهادات رقمية تحتوي على مفتاح عام وهوية المالك. هذه الشهادة هي أيضًا شهادة من CA بأن المفتاح العام الموجود في الشهادة ينتمي إلى الشخص أو المنظمة أو الخادم أو أي كيان آخر مذكور في الشهادة.

HTTPS هي اختصار لـ Hypertext Transfer Protocol Secure. إنه برنامج خادم يوفر القدرة على "تأمين" المعاملات التي تتم على شبكة الويب العالمية (www). إذا كان أحد مواقع الويب يعمل خارج خادم HTTPS ، فيمكنك كتابة HTTPS بدلاً من HTTP في قسم URL في متصفحك للدخول في "الوضع الآمن". غالبًا ما يتم تقديم HTTPS من قبل المؤسسات المالية لدعم عروضها المصرفية عبر الإنترنت من أجل التحقق من أن المعلومات التي يتم تمريرها بين جهاز الكمبيوتر الخاص بك وخادمها "آمنة".

ترمز SSL إلى Secure Socket Layer وهي طريقة تشفير قائمة على المعايير تمكن HTTPS من العمل بشكل آمن. يتم تطبيق SSL على نطاق واسع للمساعدة في تأمين المعاملات عبر الإنترنت وهي الطريقة المفضلة لمعظم المؤسسات المالية لإجراء الأعمال التجارية عبر الويب. وهو يعتمد بشكل خاص على شهادة مصادقة المفتاح العام ، والتي تستخدم مفتاحًا خاصًا وكلمة مرور يتم إنشاؤهما ذاتيًا. يمكن لأي مؤسسة تتطلع إلى تطبيق SSL شراء شهادة عامة من عدد قليل من المراجع المصدقة (CAs) ، مثل: VeriSign و Comodo و Go Daddy.

لإجراء اتصال SSL من جهاز كمبيوتر شخصي إلى خادم مصرفي عبر الإنترنت على سبيل المثال ، يطلب الكمبيوتر الشخصي الاتصال والإعلان عن طرق التشفير التي يمكنه القيام بها. سيختار الخادم المصرفي أعلى طريقة تشفير يمكن لكلا المكونين القيام بها ، ثم يستجيب باسمه ، والمرجع المصدق الذي يوفر المفتاح ، ومفتاح التشفير العام. في هذه المرحلة ، يمكن للعميل الاتصال بالمرجع المصدق للتحقق من أصالة المفتاح. سيستجيب الكمبيوتر الشخصي عن طريق إنشاء رقم عشوائيًا ، وتشفير الرقم العشوائي باستخدام المفتاح العام الذي يوفره الخادم المصرفي ، ثم إعادة الإرسال إلى الخادم المصرفي. في هذه المرحلة ، الجهاز الوحيد الذي يجب أن يكون قادرًا على فك تشفير الرسالة هو الخادم المصرفي باستخدام مفتاحه الخاص. سيؤدي هذا إلى بدء "جلسة" فريدة بين مكوني الشبكة حيث يتم تشفير المعلومات التي يتم تمريرها بينهما.

يعمل SSH بطريقة مشابهة جدًا لـ SSL ولكنه يغطي طبقات مختلفة من نموذج OSI لتشفير البيانات المتبادلة مرتين. يحدث التشفير الأول في طبقة النقل الخاصة بنموذج OSI بمجرد إجراء اتصال مادي. في هذه المرحلة ، يتم مصادقة الاتصال باستخدام مفتاح عمومي يمكن إنشاؤه بواسطة معظم المعدات. ينشئ هذا التحقق من المفاتيح العامة تشفيرًا 128 بت يسمح بتسجيل الدخول وكلمة المرور من خلال رسالة مشفرة بين العميل والخادم. بمجرد التحقق من كلمة المرور ، يتم إنشاء جلسة فريدة ويتم استخدام مفتاح خاص للتوقيع رقميًا على الجلسة وتشفيرها مرة أخرى ، هذه المرة في طبقة الجلسة لنموذج OSI.

في حالة حدوث هجوم على نظام SSH ، يجب على المهاجم كسر تشفير 128 بت الأول لاعتراض كلمة المرور ثم يجب على المهاجم اختراق المفتاح الخاص وهو عبارة عن سلسلة طويلة للغاية من الأرقام "لانتحال شخصية" جلسة. خلاف ذلك ، إذا تم تسجيل دخولهم (حتى في نفس وقت تسجيل الدخول بالضبط) ، فسيتم توقيع الجلسات رقميًا باستخدام معرف مفتاح خاص مختلف ، وبالتالي التحقق من مصدر كل جلسة.

تأتي العديد من طرز Transition Networks الأحدث مثل ION Cha chassis و SM24-1000SFP-AH و SM24-100SFP-AH جميعها مزودة بطبقة مآخذ توصيل آمنة (SSL) وإنهاء Secure Shell (SSH) للأمان الشامل.

 

ما هو RADIUS ولماذا يقوم مدير الشبكة بتطبيقه مع وحدة إدارة ION (IONMM)؟

RADIUS هو اختصار يرمز إلى Remote Authentication Dial In User Service ، وهو بروتوكول شبكة مصمم للمساعدة في مركزية عملية مصادقة الإدارة. تم اعتماد RADIUS على نطاق واسع من قبل مقدمي الخدمة من أجل الحد من عدد قواعد الإدارة التي يجب تنفيذها في كل عنصر من عناصر الشبكة. تم تصميم بروتوكول RADIUS ليعمل في علاقة عميل بخادم. بمعنى أن جميع قواعد المصادقة والمراقبة تتم على خادم مركزي (أو خوادم) وسيصل كل عميل إلى هذه القواعد قبل السماح بإجراء أي إدارة للعميل.

تخيل أنك مهندس شبكة لمزود خدمة كبير يحتوي على 20000 عنصر شبكة (مفاتيح ، موجهات ، NID ، إلخ) وأن هناك 50 محطة إدارة مع وصول مصرح به إلى شبكة الإدارة. قد يكون لكل محطة إدارة مستويات ترخيص مختلفة (على سبيل المثال ، قد يكون الكمبيوتر المحمول A قادرًا على قراءة / كتابة NIDs والوصول إلى المفاتيح ، ولكن قد يكون لديه حق الوصول للقراءة فقط إلى المعدات الأساسية). قبل RADIUS ، يجب برمجة كل عنصر شبكة وفقًا للقواعد ، كما هو الحال مع كل عنصر شبكة جديد. باستخدام خادم RADIUS ، توجد القواعد في مكان واحد وكل جهاز عميل "يتعلم" بشكل أساسي القواعد من ذلك الخادم.

في حالة تطبيق RADIUS ، ستعمل وحدة إدارة ION (IONMM) مثل خادم الوصول إلى الشبكة حيث يرسل المستخدم طلب إدارة إلى IONMM ويقوم بإعادة توجيه الطلب مباشرة إلى خادم RADIUS للمصادقة والتفويض . ستساعد هذه الميزة مديري الشبكات على ضمان أن الوصول إلى معلومات إدارة IONMM يتم منحه فقط للأفراد المصرح لهم - دون القلق بشأن تثبيت القواعد على جميع IONMMs المنتشرة في شبكتهم. كما أنه يضمن أنه إذا تمكن مستخدم غير موثوق به من الوصول إلى وحدة إدارة ION ، فلن يتمكن هذا المستخدم من الوصول إلى جميع قواعد الشبكة ورموز المصادقة دون الحاجة إلى مزيد من البحث في الشبكة.

تأتي العديد من طرز Transition Networks ، مثل هيكل ION ، و SM24-1000SFP-AH ، و SM24-100SFP-AH جميعها مزودة بتقنية RADIUS المضمنة.

 

ما هي قاعدة ACL وما الذي تمنحه / تمنع الوصول إليه؟

قائمة التحكم بالوصول (ACL) هي حرفياً قائمة تسمح أو ترفض الوصول إلى معدات الشبكات. فيما يتعلق بوحدة إدارة ION (IONMM) ، من الأفضل التفكير في قائمة التحكم في الوصول من حيث وجود عبارة "سماح" أو "رفض" بدون حل وسط. إما مسموح لك بالدخول أو بالخارج.

في حالة IONMM ، يتم استخدام قائمة التحكم في الوصول للتحكم في الوصول إلى إدارة هيكل ION وبالتالي إلى واجهات إدارة البطاقات التي تم إدخالها في ذلك الهيكل. لدى IONMM ثلاث طبقات من قوائم التحكم في الوصول ؛ فيما يتعلق بنموذج OSI ، فإن أعلى قائمة تحكم في الوصول إلى الطبقة لـ IONMM هي في الطبقة 4. في الطبقة 4 ، يمكن لـ IONMM تصفية الوصول بناءً على منفذ UDP أو منفذ TCP أو نوع ICMP. يمنح عامل التصفية هذا حق الوصول أو يرفضه بناءً على نوع بروتوكولات النقل التي قد تحاول الوصول إلى واجهة الإدارة. تعمل الطبقة التالية الأعلى من التحكم في الوصول في الطبقة 3 وتستند إلى عناوين IP للمحطات التي تحاول الوصول إلى ضوابط الإدارة. بينما تعمل الطبقة الأقل ACL في الطبقة 2 مع عناوين MAC. بشكل افتراضي ، تحتوي كل قاعدة من قواعد قائمة التحكم بالوصول (ACL) هذه على أمر سماح ضمني. هذا يعني أن كل ما يتم توصيله يُسمح له بالوصول باستخدام اسم المستخدم وكلمة المرور المناسبين.

من المهم أن يكون هذا السماح الضمني افتراضيًا لأنه عند الإعداد ، من المهم أن يكون مشغل الشبكة قادرًا على الوصول إلى الجهاز من أي محطة عمل. ومع ذلك ، بمجرد نشره ، فإنه يمثل نقطة خرق أمني محتملة يمكن أن يكون لها تأثير سلبي على شبكة المؤسسة وإيراداتها. هذا يجعل من المهم تكوين قوائم التحكم في الوصول (ACL) من أجل ضمان ليس فقط أن شخصًا ما لديه كلمات المرور الصحيحة يقوم بتسجيل الدخول ، ولكن أيضًا من أن الجهاز الذي منحت الوصول إليه يقوم بتسجيل الدخول.

الشكل الأساسي لقائمة التحكم بالوصول (ACL) هو تحديد عناوين MAC للسماح / الرفض. يعمل نوع ACL هذا بشكل جيد إذا كان متصلاً بنفس شبكة البث أو إذا كنت تريد السماح بالإدارة من واجهة جهاز التوجيه مع السماح أيضًا لجهاز التوجيه بالرقابة على من يمكنه الوصول إلى واجهته. الحالة الافتراضية لـ MAC ACL هي السماح ضمنيًا لجميع عناوين MAC باستخدام اسم المستخدم وكلمة المرور الصحيحين للوصول إلى معلومات الإدارة.

إذا كان مشغل الشبكة يسمح فقط بتكوين الإدارة بواسطة عدد قليل من الأجهزة وكلاهما في نفس مجال البث مثل وحدة الإدارة ، فإن إدخال عنوان (عناوين) MAC مباشرة في وحدة الإدارة هو وسيلة فعالة للغاية لضمان ذلك فقط يسمح للمستخدمين المسجلين بالوصول إلى واجهة الإدارة. بمجرد إدخال عنوان MAC على أنه سماح ، يتم تنشيط بيان الرفض الضمني تلقائيًا تحته. هذا يعني أنه يُسمح فقط لعنوان (عناوين) MAC المحدد بالوصول إلى واجهة الإدارة. في حالة وحدة إدارة ION ، يجب أن يكون لدى IONMM بيان سماح واحد على الأقل وإلا ستصبح الإدارة غير قابلة للوصول عبر واجهة الويب أو Telnet.

إذا كانت وحدة الإدارة في مجال بث مختلف عن محطات الإدارة ، فسيحتاج جدول MAC إلى استخدام عنوان MAC لواجهة (واجهات) جهاز التوجيه الخاص به حيث سيتم ربط عنوان MAC "المصدر" به. إذا حدث ذلك ، فإن أي جهاز لديه وصول إلى واجهة أجهزة التوجيه سيكون افتراضيًا لديه حق الوصول إلى واجهة إدارة IONMM باستخدام اسم المستخدم وكلمة المرور الصحيحين. يمكن حل مشكلة الأمان المحتملة هذه عن طريق تعيين قائمة التحكم بالوصول (ACL) بناءً على عنوان (عناوين) IP.

افترض أن مسؤول الشبكة لديه ثلاثة أجهزة كمبيوتر محمولة فردية ومحطتي عمل يستخدمهما لجميع تطبيقات الإدارة. ما عليك سوى إدخال عناوين IP الخمسة هذه في IONMM ACL مع بيان تصريح سيسمح لهم بالوصول إلى موجه الإدارة لكلمة المرور. بمجرد إدخال عبارة "تصريح" لعنوان IP ، يتم أيضًا إدخال رفض ضمني تلقائيًا مما يضمن وصول عناوين IP المصرح بها فقط إلى واجهة الإدارة. على سبيل المثال ، إذا أراد مشغل الشبكة السماح لـ 192.168.100.100 بإدارة IONMM ، فلن يحتاج المشغل إلى كتابة عبارة رفض لكل عنوان IP آخر ، فسيتم تطبيقه ضمنيًا على تلك الواجهة بعد إدخال عبارة allow. من الممكن إدخال نطاق عناوين IPv4 أو شبكة IPv4 بأكملها باستخدام أمر واحد. يجب أن يكون لدى IONMM بيان سماح واحد على الأقل وإلا ستصبح الإدارة غير قابلة للوصول عبر واجهة الويب أو Telnet.

 

استنتاج

من خلال هذا المستند التقني ، قمنا بتغطية بعض تقنيات الأمان التي يتم دمجها في عناصر الشبكات الحالية للمساعدة في تسهيل إدارة الشبكة وزيادة أمان الشبكة. تعد منصة ION الجديدة دليلاً على أن Transition Networks قد تبنت هذه التدابير بكل إخلاص - حيث تقدم عائلة الجيل التالي من أجهزة الشبكات الضوئية الذكية المبنية حول العديد من ميزات الأمان الجديدة وإطار إدارة قوي.

 

لقد استخدمت منتجات Transition Networks في عمليات تثبيت العملاء الخاصة بي لسنوات. لطالما وجدت منتجاتهم وخدمة العملاء والمبيعات والدعم الفني على أعلى مستوى. لن أفكر حتى في استخدام علامة تجارية أخرى.

مدير مشروع أول في مزود حلول تكنولوجيا المعلومات

يغلق

طلب اقتباس من التوزيع

تُباع منتجاتنا من خلال شبكتنا العالمية من الشركاء. اطلب عرض أسعار أدناه وسيقوم خبراء شبكتنا بتسهيل عملية عرض الأسعار لضمان حصولك على المنتجات والحلول التي تحتاجها مع الشريك المناسب لك.

بالنسبة للمشاريع الكبيرة التي يزيد حجمها عن $2،000 ، يمكننا تقديم أسعار مخفضة خاصة
اسم الموزع أو البائع الذي ترغب في معالجة عرض الأسعار الخاص بك. لمعرفة المزيد عن شركائنا في منطقتك ، شاهد موقعنا كيف تشتري الصفحة

تمت إضافة هذا المنتج بنجاح إلى عرض الأسعار الخاص بك.

انقر هنا لعرض الاقتباس الخاص بك.

تم إنشاء اقتباس الخاص بك بنجاح!

انقر هنا لعرض الاقتباس الخاص بك.

تحرير المنتجات - عدل التفاصيل

اقتباسك لا يحتوي على أي منتجات حتى الآن.

تحرير المنتجات - عدل التفاصيل

منتج كمية

اقتباسك لا يحتوي على أي منتجات حتى الآن.

تم تقديم طلب الاقتباس الخاص بك بنجاح.

ستتلقى رسالة تأكيد عبر البريد الإلكتروني قريبًا لتسهيل عملية عرض الأسعار. إذا كنت ترغب في حفظ عرض الأسعار المطلوب ، تسجيل الدخول أو إنشاء حساب.

خطأ

كان هناك خطأ في معالجة عرض الأسعار الخاص بك. يرجى تحديث الصفحة وحاول مرة أخرى.

طلب عرض أسعار ...
اسأل الخبراء