Route Map

Route Map

تحتاج إدارة الشبكات وبالأخص الجزء المتعلق بتوجيه البيانات routing لأدوات لمعالجة وتغيير محتويات الـ routing table عن طريق تغيير النتائج المستخلصة من عمل بروتوكولات التوجيه routing protocols . في كثير من الحالات نحتاج لادوات للسيطرة على محتوى التحديثات updates المرسلة بين بروتوكولات التوجيه، بل تتعدى الحاجة لامكانية استثناء بروتوكول معين من اضافة بعض الشبكات على routing table.

هذه الأدوات تسمى route filtering تستخدم للسيطرة على محتوى قائمة الشبكات التي يتم نشرها أو اعادة توزيعها route redistribution بين بروتوكولات التوجيه. عند تشغيل أكثر من بروتوكول من بروتوكولات التوجيه داخل الشبكات الكبيرة، فإننا نحتاج لعمل اعادة توزيع route redistribution للشبكات بين البروتوكولات العاملة كون تبادل معلومات الشبكات route information يتم بين الراوترات العاملة داخل نطاق نفس البروتوكول.

Route map هي إحدى هذه الأدوات وهي تعتبر الأكثر امكانية وفعالية، تستخدم هذه الأداة لغايتين رئيسيتين هما:

- فلترة الشبكات route filtering: تتيح route map اماكنيات اضافية على نظيرها من الادوات الأخرى مثل امكانية تغيير قيمة metric لشبكات معينة عند اعادة توزيعها.

- توجيه البيانات المقيّد Policy- Based Routing: الوضع الطبيعي للراوتر عند توجيه وتمرير اليبانات packet forwarding أن تتم العملية استناداً على destination IP address الموجود في الباكيت، لكن يمكن تغيير هذا الأسلوب عن طريق استخدام مبدأ توجيه البيانات المقيّد Policy- Based Routing أو (PBR) وذلك اعتمادا على اعتبارات معينة منها source IP address أو اعتمادا على منفذ الراوتر الذي دخلت منه البيانات وغيرها من الاعتبارات.

تركيبة Route Map

تشبه route map في فكرتها فكرة Access Control List (ACL) كثيراً والتي تتكون من شروط conditions وإجراءات actions. الـ ACL تتكون من سطور يحتوي كل سطر على شروط وإجراء، والاجراء يكون إما سماح permit أو منع deny.

لكن route map مختلفة في تركيبتها حيث تتكون من جزئين، الجزء الأول يتم فيه تحديد الشروط للمطابقة match بحيث يمكن أن تحتوي عدة شرط متنوعة، أما الجزء الثاني فيتعلق بوضع الاجراءات set  المطلوب تنفيذها في مطابقة الشروط.

يتم صياغة route map من خلال انشاء جمل statements، في كل جملة يتم تحديد الشروط والاجراءات المطلوبة. قد تحتوي route map على عدة جمل متسلسلة كل جملة لها رقم تسلسلي. يتم فحص الشروط للمطابقة وتنفيذ الاجراءات من الجملة ذات الرقم الأقل. ففي حال عدم مطابقة الشروط في الجملة الأولى تصبح الاجراءات الخاصة بالجملة الأولى غير نافذة، وتتنقل العملية للجملة الثانية، ويتم فحص الشروط في هذه الجملة للمطابقة فإن تطابقت الشروط يتم تنفيذ الإجراءات، وإن لم تتطابق الشروط تتنقل العملية للجملة التالية، وهكذا.

يمكن صياغة الشروط من خلال أسطر متعددة داخل جزء match، قد تحتوي route map على عدة سطور، وكل سطر قد يكون مخصص لشروط واحد أو أكثر.

لنأخذ المثال العام التالي، الـ route map التي تحمل اسم demo يوجد بها جملة تحمل رقم 10، وتحمل عدة شروط مبينة في أسطر match وهي أربعة شروط  a، z، y، x. لكن السؤال الآن هل يجب أن تنطبق الشروط الأربعة جميعها معا لتطبيق الاجراءات المحددة والمبينة في جزء set وهما b و c. 

لحل الإشكال سنتبع القانون التالي:

الشروط الموضحة بنفس السطر فيكفي تحقق أحدها أما إن كانت الشروط مفصلة بعدة أسطر فيجب تحقيق جميع الشروط.

وهذا يعني أن الشروط التي تكون بنفس السطر تكون العلاقة بينها (or) بينما تكون العلاقة بين الشروط المفصلة بعدة سطور تكون (and). وعليه فإن هذه الجملة تنطيق في حال وجود واحد من الشروط الثلاثة z، y، x  بالاضافة للشرط a  سيتم تطبيق الاجراءات b  و c.

 route-map demo permit 10

match x y z

match a

set b

set c

===========================
If (x or y or z) and (a) Matched
then set b and c

ومن الملاحظ وجود permit عند انشاء الجملة statement في route map وقد يتم تحديد deny بدلاً من permit، ويختلف مفهوم deny حسب تطبيق واستخدام route map. علماً بأن permit/deny بالاضافة للرقم التسلسلي هما خياران غير أساسيان عند تعريف جملة route map، القيمة الافتراضية هو permit والقيمة الافتراضية للرقم التسلسلي هو 10.

 وكما هو في الـ ACL فإن route map تحتوي بشكل ضمني على جملة آخيرة غير ظاهرة وهي جملة منع عامة deny any any.

 

 الشروط والاجرءات

يمكن اختيار شروط المطابقة وكذلك الاجراءات بما يناسب الاستخدام للroute map المراد تطبيقه. في التطبيقات المرتبطة باستخدام الـ route map في اعادة نشر أو فلترة تحديثات بروتوكولات التوجيه، يمكن اختيار الشروط من الخيارات التالية:  

-  match interface المطابقة اعتماداً على اسم منفذ الراوتر الذي يكون مخرج للشبكات egress interface الموجودة في الـ routing table.

-   match ip next-hop المطابقة اعتماداً على عنوان المخرج next-hop ip address، حيث أن الشبكات التي لها عنوان مخرج معين ينطبق على الشرط، يمكن تحديد أكثر من مخرج.

-     match ip address المطابقة اعتماداً على العناوين المحددة في الـ ACL أو في الـ prefix-list

-   match length المطابقة اعتماداً على حجم الباكيت ويمكن تحديد حد أدني وحد أعلى لحجم الباكيت

-  match ip route-source المطابقة للشبكات اعتماداً على عنوان الراوتر الذي أرسل التحديثات لهذه الشبكات source ip address of advertised router

-      match metric المطابقة للشبكات اعتماداً على قيمة metric

-      match tag المطابقة للشبكات اعتماداً على قيمة tag

-    match route-type المطابقة للشبكات اعتماداً على نوع الشبكات، وهذا الأمر ينطبق على عدد من بروتوكولات التوجيه مثل بروتوكول OSPF الذي يميز أنواع الشبكات الخارجية  E1 و E2.

أما فيما يتعلق بالاجراءات فتكون من ضمن الخيارات التالية:

-         set metric يتم تغيير قيمة الـ metric

-         set metric-type يتم تغيير نوع الـ metric لبروتوكول OSPF

-         set interface يتم تحديد اسم منفذ الراوتر ليكون مخرج للوصول للشبكات المطابقة

-         set default interface يتم تحديد اسم منفذ الراوتر لل default route

-         set ip next-hop يتم تحديد عنوان الراوتر التالي ليكون مخرج للشبكات المطابقة

-         set default next-hop يتم تحديد عنوان الراوتر التالي ليكون مخرج لل default route

أما في حالة استخدام الـ route map في توجيه البيانات المقيّد (PBR) تكون خيارت الشروط والاجراءات محدودة جدا مقارنة مع الاستخدام في فلترة واعادة التوزيع الشبكات.

هجمات التعرف على كلمة السر Password Attackes

هجمات التعرف على كلمة السر

Password Attacks

يشير تقرير شركة SplashData لعام 2014 عن أكثر كلمات السر شيوعاً والتي يسهل التعرف عليها من قبل المخترقين، وهو تقرير سنوي تصدره الشركة. فقد بيّن التقرير أن كلمة السر "password" ترتيبها ضمن المركز الثاني من الكلمات الأكثر استخداماً. بينما كانت كلمات السر التي تعتمد تسلسل الأرقام التي تبدأ بالرقم واحد مثل كلمة السر (123456) فقد حازت على ستة مراكز في قائمة أكثر 11 كلمة سر استخداماً.  وكذلك حازت كلمات السر المكونة من ارقام واحرف بسيطة على 5 مراكز من قائمة أكثر 25 كلمة سر انتشاراً.

تنتشر الأدوات التي تهدف لكسر كلمات السر لمختلف الحسابات وأصبح في متناول الجميع بل أن هذه الأدوات أصبحت موجودة على شبكة الانترنت ويمكن تحمليها بشكل مجاني. تتنوع أساليب كسر كلمات السر لعدة أنواع وهي:

-         توقع كلمة السر Password Guessing: تتم من خلال محاولة المخترق ادخال كلمات السر المتوقعة بشكل يدوي أو عن طريق أداة معينة.

-         Brute Force Attacks: تتم من خلال استخدام برنامج (أداة) تعمل على تجريب كلمات السر من خلال تكوينها آلياً داخل البرنامج، في العادة تبدأ الأداة بتجريب كلمة السر المكونة من خانة واحدة ثم من خانتين وهكذا إلى أن تصل لكلمة السر الصحيحة. وهذا يعتمد على إمكانيات جهاز المخترق وكذلك سرعة الانترنت.

-         Dictionary Attacks: تتم من خلال استخدام برنامج (أداة) تحتوي على عدد كبير جداً من اسماء الاستخدام وكلمات السر المحتملة وخصوصا تلك التي تعتبر أكثر شيوعا بين المستخدمين.

-         Phishing Attacks: اسلوب آخر لكسر كلمات السر تتم من خلال خداع الضحية عن طريق ارسال رابط لموقع الكتروني يتبع للمخترق ويشبه بشكله عدد من المواقع المشهورة مثل الفيسبوك وياهو وغيرها، بحيث يقوم المستخدم بادخال معلومات خاصة بالمستخدم مثل اسم الاستخدام وكلمة السر، رقم بطاقة الحساب المصرفي. 

طرق الحماية من هجمات التعرف على كلمات السر

بداية أهم أساليب الحماية من هجمات كلمات السر هو استخدام كلمات سر معقدة complex password يصعب كشفها، فالكثير من الأنظمة يتم ضبطها بحيث تطلب من المستخدمين أستخدام كلمات سر ذات صيغ مركبة من ارقام وحروف ورموز وحد إدنى من الخانات تحقق درجة عالية من الحماية ضد البرمجيات التي تعمل على كسر كلمات السر.

أسلوب آخر للحماية من هجمات كلمات السر هو ضبط الأنظمة لعمل أغلاق lockout لامكانية الدخول للنظام بعد عدد معين من محاولات الدخول الفاشلة failure logins بحيث تكون مدة الاغلاق محددة lock timeout وهذا يبطّء عملية كشف كلمة السر.

طريقة أخرى للحماية من هجمات كلمات السر استخدام طريقة ثنائية للمصادقة two-factor authentication بحيث يتم استخدام طريقة اضافية للمصادقة إلى جانب استخدام كلمة السر، على سبيل المثال الشهادات الرقمية digital certificates.

ما هو Martial Addresses

 Martial Addresses

ما هو Martial Addresses

هي تلك العناوين التي لا يمكن أن تكون عناوين لأجهزة تعمل على الشبكة، من المعلوم أن الأجهزة تأخذ عناوين IPv4 من ضمن الفئات التالية class A, class B, class C. لكن هناك عناوين مستثناة من هذه الفئات تستخدم لغايات محددة مثل 127.0.0.0/8.

هذه العناوين لا يجب أن نراها كعناوبن لمصادر اليبانات المرسلة عبر الشبكة، كونه لا توجد أجهزة تحمل مثل هذه العناوين، فموجود بيانات عبر الشبكة مرسلة من جهاز يحمل عنوان 127.0.0.1 أو عنوان 0.0.0.14 فهذه العناوين ليست مستخدمة لعنونة الأجهزة.

عند وجود رسائل داخل الشبكة تحمل عنوان من ضمن عناوين Martial Addresses فهذا يعني وجود أمر غريب ومثير للشك وبالعادة يكون من أجهزة تعمل عليها برمجيات ضارة تعمل على جمع بيانات أو توجيه هجوم الكتروني داخل الشبكة أو تنفيذ أعمال تجسس. لذا يجد مراقبة الشبكة باستمرار والبحث عن وجود مثل هذه العناوين داخل الشبكة. 

أنواع  Martial Addresses

يوجد نوعين من Martial Addresses:

-      عناوين محددة بقائمة Martial Addresses

-      عناوين محددة مسبقا وهي:

·     0.0.0.0/8 باستثناء العنوان 0.0.0.0/32

·     127.0.0.0/8 وهذا النطاق مستخدم كعناوين Internet host loopback address

·     192.0.2.0/24 وهذا النطاق مستخدم للأغراض الشبكات والبرمجيات TEST-NET

·     224.0.0.0/4  وهو مستخدم كعناوين لتطبيقات multicast وهو class D

·     240.0.0.0/4  باستثناء العنوان255.255.255.255 ، وهذا النطاق استخدم لاغراض البحث class E