حصن دفاعات شبكتك و امنها من كل هاكر خداع

السلام و عليكم و رحمة الله و بركاته
الي يريد تامين للشبكات بتاعتو يقرا هالمعلومات و ياخود البرامج و اضمنلو 100 % تامين للشبكة

[size="4"][غالباً ما يؤرق الأمن مضاجع الشركات الصغيرة والمتوسطة، فهي تشاطر الشركات العملاقة كثيراً من المخاوف الأمنية التي تتهددها، على الرغم من عدم قدرتها على تركيب المنتجات الأمنية المكلفة والمعقدة، المُعدة للشركات العملاقة، والتي تحتاج كثيراً من الموارد. وفي الوقت عينه، فإن المنتجات الأمنية المصممة للمستخدم العادي غير قادرة على حل مشكلات الشركات الصغيرة أيضاً، بسبب قصورها عن تأمين تغطية شاملة للشركات وإدارة السياسات بشكل مركزي.
ومع هذا يمكن للشركات الصغيرة والمتوسطة التي لا يزيد عدد موظفيها عن خمسين، الاعتماد على نصائح خبرائنا في هذه الدراسة، لابتكار الإستراتيجية الأمنية التي تناسبها. وبغض النظر عن إعدادات شبكتك ولوازمك من التطبيقات، يجب أن تضع في حسبانك بعض الإرشادات العامة لضمان بناء استراتيجية أمنية تقف على أرض صلبة.
حاول التعهيد ما أمكنك: فكِّر في إنشاء بنية تحتية بسيطة قليلة الأعباء، وفي إعطاء الخدمات، مثل: استضافة البريد الإلكتروني، والنفاذ عن بعد، واستضافة مواقع ويب، وحتى تطبيقات المحاسبة والموارد البشرية، إلى شركات أخرى متخصصة في مثل هذه الخدمات. وبذلك تكون قد وضعت أهدافاً أقل، ما يعني التقليل من المخاطر التي يمكن أن تتهدد شبكتك.
اختر المنتجات التي تشتريها بعناية، للتأكد من ملاءمتها لحجم الشركة وحاجاتها: اشترِ منتجاتٍ مصمَّمةً بالفعل للبيئات متعددة المستخدمين والشركات الصغيرة، وليس للأفراد. كما أن من الأفضل تجنب المنتجات التي تتطلب كثيراً من التخصيص أو الصيانة المستمرة. وعند شعورك بعد دقائق من تفحص المنتج، بأنك لم تستوعبه، اتركه فأنت بحاجة إلى منتج سهل التركيب والاستخدام ما أمكن. وعندما لا تتوفر في موقع الشركة المنتجة على شبكة ويب معلومات واضحة عن الأسعار، فربما من الأفضل البحث عن حل آخر.
استخدم حلولاً تعتمد السياسات (policy-****d)، ويتم إدارتها مركزياً، ويمكن تركيبها من جهاز مركزي: يعد تنقل مدير الشبكة أو الخبير الفني المقيم بين الحواسيب المكتبية لإعداد كل منها على حدى، مضيعةً للوقت وهدراً للمال، علاوةً على كونه وسيلةً أساسية للوقوع في الأخطاء. ويمكن أن يؤدي خطأ واحد إلى إيقاع الشبكة برمتها في المخاطر. ولذلك ننصحك باستخدام المنتجات التي تتيح لمدير الشبكة تركيبها، والتحكم بها، ومراقبتها من جهاز مركزي.
حافظ على شبكتك بسيطة: قلِّل من عدد المنتجات التي تستخدمها وتُجهِّزها، بأبسط طريقةٍ تلبي احتياجاتك.

تأمين السور
بمجرد انتهائك من وضع الأساسات، يصبح على عاتقك مهمة تأمين مداخل ومخارج الشبكة. ويدعى ذلك سور الشبكة (network perimeter)، ويبدأ من موجِّه عبَّارة إنترنت (Internet gateway router)، إذ إن معظم الهجمات الخارجية تمر عن طريق العبَّارة (gateway)، ما يعني أن تأمينها بشكل مناسب سيجنب الشبكة كثير من المشكلات، بدءاً من شيفرات البرمجيات التخريبية مثل برامج حصان طروادة، والفيروسات، والديدان، وانتهاءً بالإزعاجات المتعمدة، مثل المحتويات غير اللائقة على إنترنت أو رسائل البريد الإلكتروني التطفلية.
ويبدو أن عليك اتخاذ أول قرار أمني كبير عند التوقيع على عقد الاشتراك مع مقدم خدمة إنترنت، إذ أن عليك اتخاذ القرار بين اختيار عناوين IP في شبكة جزئية عمومية (public subnet)، أو عناوين خصوصية مع خدمة ترجمة عنوان الشبكة (NAT)، أو الجمع بطريقة أو بأخرى بين الاثنين. فمن يستخدم عنواناً خصوصياً (Private addresse) مع خدمة NAT، سيمتع بعنوان عمومي وحيد مرئي على إنترنت يتم تخصيصه لموجِّه العبَّارة (gateway router)، أما الأجهزة الداخلية فيُخصَّص لها عناوين خصوصية، مثل 192.168.x.x، لا يمكن رؤيتها على إنترنت. (يتتبع الموجِّه الأجهزة الداخلية التي تتصل بخارج الشبكة ويترجم عناوينها، ثم يمرِّر رُزَم البيانات تبعاً لذلك).
تقدم NAT مستوىً معيناً من الحماية من الهجمات الخارجية التي تستهدف شركتك، لأن الأجهزة التي تقع خلف العبَّارة غير مرئية، أي لا يمكن الوصول إليها من خارج الشبكة بشكل مباشر. وفي الوقت عينه، تُبرز NAT الحاجة إلى استخدام بعض الحيل لتمكين الأشخاص المُخوَّلين من النفاذ إلى الشبكة الداخلية ومزودات البريد الإلكتروني من الخارج، وسنناقش هذه الحيل لاحقاً.
استوعب إمكانيات التوفيق بين الخيارات المتنوعة لعنونة IP: تتيح الشركات المقدمة لخدمة إنترنت، في العادة، إمكانية الاختيار بين خيارات عناوين IP لمستخدمي الشركات. حيث تخصص للشركات الصغيرة، حفنة من عناوين IP العمومية (الثابتة)، فتلجأ إلى استخدام خدمة NAT (إضافةً إلى موجِّه (router) للتشارك على العناوين بشكل ديناميكي (ما يجعل العناوين تتنقل عوضاً عن بقائها أهدافاً ثابتة) ولتشغيل الحواسيب المُضيفة، والأجهزة، والمستخدمين في شبكاتها. أما الطريقة البديلة، فهي العودة إلى الأسلوب التقليدي الأكثر تكلفةً، بشراء شبكة جزئية كاملة من العناوين الثابتة التي تُعطى لكل عقدة من عقد الشبكة.
استخدم عنوان IP وحيد مع NAT، إن كان ذلك يفي بالغرض: يعد هذا الحل هو الأبسط. لكن ماذا تفعل إن كنت بحاجة لتشغيل مزودات تريد أن يصل إليها أشخاص من خارج الشبكة؟ يمكِّنك هذا الحل أيضاً من تركيب بعض الأجهزة الداخلية لتعمل مزودات ويب وبريد إلكتروني، لكنك ستحتاج إلى استخدام خدمة DNS ديناميكية، في حال كان عنوان IP المُخصَّص لك ديناميكياً بالفعل، وبذلك يستطيع المستخدمون خارج الشبكة العثور على عقد في شبكتك، والاتصال بها في أي وقت. وعند اعتمادك على عنونة IP ديناميكية في الشبكة، فإن عناوين IP لمختلف العقد، بما فيها عبَّارة VPN ستتغير بانتظام أيضاً.
على الرغم من أن الاعتماد على NAT يمثل الحل الأبسط الذي ننصح به عادةً، إلا أن ترجمة عناوين الشبكة هذه لن تعمل في كل الشركات الصغيرة. فعند تخطيطك لاستخدام أدوات التعاون أو الوسائط المتعددة المعقدة مع بروتوكولات معقدة، ستفشل NAT والموجِّه الذي يشغلها في تحقيق الغرض المطلوب. وكذلك فإن التطبيقات من طرف إلى طرف (Point-to-point applications)، مثل بعض حلول نقل الصوت باستخدام بروتوكول إنترنت (VoIP)، وحلول الاجتماعات عبر ويب (Web conferencing)، والاجتماعات الفيديوية (videoconferencing) لن تعمل بشكل جيد في ظل خدمة NAT. وكذلك فإن عنوان IP وحيداً لن يكون كافياً للشركات التي تمتلك العديد من مزودات ويب أو تطبيقات المزودات الأخرى المعدّة للاستخدام الخارجي. ويمكن القول ببساطة أن خيارات الاستخدام ستقل لدى الاعتماد على NAT، وستلجأ إلى شراء شبكة جزئية من العناوين الثابتة.
ركِّب المزودات الداخلية بشكل آمن، مستخدماً ميزة تمرير المنفذ: تستلزم هذه العملية الاكتفاء بفتح منافذ مختارة لأنواع محددة من الحركة، ويُشار غالباً إلى هذه الطريقة بفتح الثقوب الصغيرة (opening pinholes). وعند استخدامك NAT ستكون مخيَّراً بين آليتين لتأمين نفاذ المستخدمين من خارج الشبكة إلى المزودات الداخلية، وهاتين الآليتين هما: تمرير المنفذ (port forwarding)، وتعيين عناوين IP (IP address mapping).
تُعد آلية تمرير المنفذ آمنةً لاقتصارها على توفير النفاذ المحدد المطلوب فقط، ولا شيء أكثر، فيمكنك مثلاً إنشاء ثقب صغير يمرِّر طلبات البروتوكول HTTP على المنفذ 80 إلى مزود ويب محدد. ويمكنك أيضاً استخدام تمرير المنفذ لتأمين النفاذ الوارد عبر البروتوكولين SMTP وPOP3/IMAP4 إلى مزود البريد الداخلي. ويمكن لمدير الشبكة تجهيز الدخول لمنفذ دخول محدد، مثل المنفذ 25 للبروتوكول SMTP، وتمريره إلى المزود الوجهة، وهو في حالتنا هنا مزود البريد، داخل الشبكة.
وعند تشغيلك مجموعة متنوعة من الخدمات على مزود وحيد، فمن الأفضل الاستعاضة عن الآلية السابقة بتعيين عنوان IP (IP address mapping) لتمرير كل حركة المرور الواردة من إنترنت إلى ذلك المزود. لكننا لا نشجع عادةً على تعيين العنوان بسبب المخاطر التي يمكن أن تنشأ عن إتاحة النفاذ إلى منافذ لا حاجة حقيقية لفتحها، ويمكن أن يستغلها أناس من خارج الشبكة لاختراق أجهزتها.
عزِّز الأمن باستخدام منطقة DMZ: يمكنك الاستفادة من الأمن الإضافي الذي توفر منطقة DMZ (demilitarized zone)، حتى مع وجود الحماية التي توفرها خدمة NAT. وتتيح لك منطقة DMZ وضع المزودات في مكان يستطيع الجميع النفاذ إليه، لكنه معزول عن بقية الشبكة الداخلية. وبهذه الطريقة، فإن العواقب الناتجة عن تعرض أحد هذه الحواسيب للاختراق، ستكون أخف بكثير من الحالة التقليدية. ولنفترض مثلاً أن أحد مزودات ويب ضمن شبكتك، وليس ضمن منطقة DMZ، تعرض للاختراق على يد هاكر أو أحد برامج حصان طراودة، فسيكون الوضع حينها خطيراً للغاية، وبما أن هذا الجهاز موجود في منطقة مُتاحةٍ حصراً للمستخدمين المُخوَّلين، فسيصبح بإمكان المخترق النفاذ إلى المجلدات المشتركة في نظام ويندوز إضافة إلى المعلومات الأخرى الحساسة.
ولتركيب المزودات في منطقة DMZ، على جهاز الشبكة الذي ستختاره أن يدعم بشكل واضح منطقة DMZ، سواءً أكان ذلك عبر منفذ إثرنت DMZ محدد أو باستخدام الشبكات المحلية الافتراضية (VLANs). فمثلاً: يوفر جهاز ServGate (اقرأ في هذه المقالة مراجعةً عن هذا المنتج) منفذ DMZ مستقلاً لوضع مزودات ويب. ويكفي أن توفر عبره ثقباً صغيراً أو تعيّن عنوان IP إلى المزودات في منطقة DMZ.
استخدم جداراً نارياً يدعم تقنية SPI (فحص حالة الرُّزم): عندما تقدم أمام خيار مقايضة الأمن الذي توفره NAT، مقابل سهولة التعامل مع شبكة جزئية عمومية، حيث يمكن للجميع من أي مكان على إنترنت الوصول إلى أجهزتك. يصبح من الضروري استخدام جدار ناري بتقنية SPI، يدعم بشكل مباشر البروتوكولات التي تخطط لاستخدامها. ولا يكفي وجود NAT لوحده، فعلى الشركات الصغيرة التمتع أيضاً بحماية الجدار الناري.
توفر معظم الموجِّهات الرخيصة الثمن فحصاً بدائياً لحالة الرزم، أو مرشِّحات للرُّزم. ولا يُعد ذلك كافياً عند تشغيلك تطبيقات معقّدة للوسائط المتعددة في شبكتك، وخاصة تلك التي تستخدم مزيجاً من منافذ TCP وUDP. ولحماية شبكتك في مثل هذه الظروف، فإنك ستحتاج أيضاً إلى جدار ناري شامل، كذاك الموجود في Astaro Security Linux 5 أو ServGate EdgeForce M30.
ولن تحتاج أبداً إلى فتح ثقوب UDP بشكل دائم، لأنها تشكل صيداً سهلاً للمهاجمين. فمثلاً، تستخدم حلول الاجتماعات الفيديوية H.323، وأنظمة VoIP، وبروتوكول الفيديو H.264 الجديد، غالباً مزيجاً من منافذ TCP وUDP. وعلى الرغم من أنه بمقدور بعض المنتجات التراجع عند الضرورة إلى بروتوكول HTTP أو منفذ TCP وحيد، لتخطي الجدار الناري، إلا أنها ستعمل بشكل أفضل عند التدفق عبر بروتوكول UDP.
ويبدأ إجراء الإعدادات القياسية للجدران النارية بمنع كل شيء، ثم إضافة القوانين التي تسمح بعبور المنافذ الضرورية إلى الداخل والخارج. وتسمح معظم الشركات بمرور كل الحركة عبر كل المنافذ، المنبثقة من داخل الشبكة، لكنها تكتفي بإتاحة منافذ محددة للحركة الواردة التي تستهدف المزودات.
خفِّض إلى أقل درجة متطلبات النفاذ عن بُعد: يتطلب النفاذ عن بُعد إجراء موازنة بين الأمن وإمكانية الاستخدام، ما يشكل تحدياً للشركات المهتمة بالأمن. وعند اقتصار حاجة المستخدمين البعيدين على النفاذ إلى البريد الإلكتروني ومزود ويب فقط، فعليك التفكير ملياً في مدى حاجتك فعلياً إلى أي مزيد من إمكانات النفاذ عن بعد، إذ إن برامج البريد الإلكتروني ومتصفحات ويب توفر النفاذ الذي يحتاجه أولئك المستخدمون. (وفي الحالات التي يكون فيها لأمن البريد الإلكتروني وموقع ويب شأناً مهماً، يمكنك استخدام الأمن على مستوى التطبيقات، مثل S/MIME للبريد الإلكتروني الآمن، وSSL للجلسات الآمنة لتصفح ويب.) وعند وجود حاجة حقيقية للنفاذ عن بُعد إلى ملف أو تطبيق أو سطح المكتب، يمكنك التفكير في تشغيل حلول للتحكم عن بعد مثل: pcAnywhere من شركة Symantec، أو GoToMyPC الذي يعمل عبر إنترنت من شركة Citrix. وتمتاز هذه الحلول بسهولة استخدامها علاوةً على عملها عبر عمليات التركيب الديناميكية لخدمة NAT. وتعد هذه الحلول قابلةً للإدارة، ما يسمح لمدير الشبكة بالتحكم بأمن وجلسات النفاذ عن بعد.
لكن تذكر دائماً أن توفير النفاذ الكامل للناس والأجهزة خارج الشبكة يحمل كثيراً من المخاطر. ويغدو من الواجب حينها إجراء مراقبة مستمرة للتقارير والاستخدام، ووضع سياسات صارمة لوضع كلمات مرور قوية. وربما يجب في الشركات الصغيرة تجنب الشبكات الخاصة الافتراضية VPN التي تعتمد البروتوكول IPsec، والموجودة في الكثير من أجهزة العبَّارات (gateways). ويعد منح النفاذ عن بعد للمستخدم العادي عبر استخدام هذه الأجهزة، أمراً معقداً لمديري الشبكات في الشركات الصغيرة. بينما تعد شبكات VPN التي تعتمد بروتوكول SSL أسهل استخداماً وإدارةً، إلا أن سعرها يبقى باهظاً بالنسبة للشركات الصغيرة والمتوسطة. ولكنه بدأ ظهور بعض الحلول التي تستهدف الشركات الأصغر، مثل تلك التي تقدمها شركات وenKoo وJupiter Networks.

Astaro Security Linux 5
إن الطريقة المتكاملة لشركة Astro نحو إيجاد حل أمني برمجي شامل، ستناسب معظم الشركات، وحتى تلك ذات الميزانية المتواضعة. ويتيح لك استخدام Security Linux 5 تحويل أي مزود إلى أداة أمنية مع ستة مكونات للشبكة هي: برنامج لمكافحة الفيروسات، وآخر لمكافحة الرسائل التطفلية (antispam)، وآخر لتصفية المحتوى، وجدار ناري، وبرنامج للحماية من الاقتحام، وعبَّارة VPN. ويفرض السعر المنافس لهذا الحل وسهولة تركيبه، على أي مدير شبكة يريد إدخال أداة أمنية، الإطلاع على هذا الحل وتفحصه.
المنتَج: Astaro Security Linux 5
السعر: 1460 دولاراً حتى عشرة مستخدمين.
الشركة: Astro Corp.
موقع ويب: www.astro.com


ServGate EdgeForce M30
هل يوجد شيء لا يستطيع EdgeForce M30 القيام به؟ إنه جهاز يتمتع بالعديد من المزايا مثل: التخزين المؤقت لمواقع الويب (web caching)، وتصفية المحتوى، ومكافحة الرسائل التطفلية، ومكافحة الفيروسات، وشبكة VPN، وخدمة DHCP، وخدمة DNS، وكل ذلك في جدار ناري كامل المزايا. ويتضمن بداخله برنامج McAfee للحماية من الفيروسات وتصفية الرسائل التطفلية، كما يتضمن SurfControl للتعامل مع تصفية مواقع ويب. ويمكن بمنتهى السهولة إدارة كل شيء انطلاقاً من واجهة مستخدم رسومية في موقع ويب. ويمكن إرسال التنبيهات إلى مديري الشبكات عبر البريد الإلكتروني أو خدمة SNMP.
المنتَج: ServGate EdgeForce M30
السعر: 995 دولاراً حتى 50 مستخدماً (يشمل باقة McAfee AV أو AS)، ويتوفر حصراً عبر الموقع www.dell.com
الشركة: ServGate Technologies Inc.
موقع ويب: www.servgate.com

SonicWall PRO 2040
يعد المنتج SonicWall PRO 2040 جداراً نارياً كامل المزايا، وشبكة VPN يمكنها التعامل مع 150 قناة VPN في وقتٍ واحد، ولها سعة VPN تبلغ 50 ميجابت/ثانية، وتدعم 50 جهازاً في الداخل. كما يتمتع المنتج بدعم داخلي اختياري لبرنامج لمكافحة الفيروسات وآخر لتصفية مواقع ويب. ويحتاجPRO 2040 إلى أناس لديهم خبرة معلوماتية جيدة لتشغيله، لأزرار التحكم المعقدة التي تواجهها في VPN والسياسات الأمنية، ولكن بإمكان هذا المنتج في المقابل إدارة الاحتياجات الأمنية لمؤسسة معقدة. وإن بنية المنتج المعتمدة على المناطق (zone-****d) تأخذ في حسبانها المستويات المتغيرة لامتيازات العديد من المستخدمين الداخليين، عبر ضبط نفاذهم إلى المنافذ الأخرى في الجهاز. ويأتي مع PRO 2040 عشرة تراخيص لمستفيدي VPN، كما يتضمن سلسلة من المعالجات التي تسهل حتماً الإعدادات المعقدة للشبكة.
المنتَج: SonicWall PRO 2040
السعر: 1995 دولاراً
الشركة: SonicWall Inc.
موقع ويب: www.sonicwall.com

فحص محتويات البريد الإلكتروني ومواقع ويب
تتخذ حلول السور في النواحي الأمنية طريقةً ترتكز على بروتوكول إنترنت، وتكون مقيدةً بنتيجة تفحصها لمنطقة الترويسة في رُزم IP. ولا يعد ذلك كافياً باستمرار، فحتى لو حصرت البروتوكولات التي يمكنها اجتياز العبَّارة (gateway)، يمكن أن تشتمل المحتويات الموجودة ضمن عمليات الإرسال على تهديدات أمنية جدية مثل: الفيروسات وبرامج حصان طروادة. ما يعني أنه يوجد أيضاً دور في مؤسستك لأمن المحتوى، سواءً طبقته عبر الخدمات المُدارة، أو أجهزة السور، أو حتى الملحقات الإضافية للمزود.
استخدم حلاً متكاملاً: ابحث عن حلٍ متكاملٍ عوضاً عن الحلول الجزئية المنفصلة، فالمنتجات المتكاملة تقلل عدد الأجزاء المنفصلة التي عليك دراستها ومكاملتها وإعدادها بشكل ملائم، علاوةً على إدارتها. ونؤيد استخدام التجهيزات الأمنية أكثر من البرمجيات، لأنها لا تستدعي إدارة نظام تشغيل، بما تتضمنه من التحديثات والرُّقع الأمنية المستمرة التي يبدو أنه لا مفر منها. وتضم المنتجات التي تقدمها شركات مثل Astro وServGate (آنفة الذكر) جداراً نارياً قوياً يعمل بتقنية SPI، وبرنامجاً لمكافحة الفيروسات، وبرنامجاً اختيارياً لاكتشاف التجسس (Spyware detection)، وتصفية مواقع الويب، وكل ذلك في جهاز واحد.
توِّج حل مكافحة الفيروسات للأجهزة المكتبية بأحد حلول السور: على الرغم من أننا نؤكد على ضرورة وجود مضاد للفيروسات في كل جهاز مكتبي، لحمايته من الهجمات التي تنسل بطريقة أو بأخرى، عبر البرامج المُقرصَنة أو عن طريق الأقراص المرنة أو المُدمَجة، أو ذاكرات فلاش، إلا أن حل السور يمنح حمايةً إضافية للشركات الصغيرة الأكبر حجماً. وخاصة عند بروز هجمات جديدة، فإن التحدي يكون في التحديث الفوري لكل جهاز مضيف (يمكن إغلاق الأجهزة المكتبية أو إبعاد الحواسيب المحمولة عن المكان). وربما تستطيع بحصولك سريعاً على التحديث لجهاز السور الوحيد، إيقاف الهجمة تماماً قبل تسللها إلى بقية الشبكة.
اجعل من تصفية مواقع ويب خط الدفاع الأول للسور: إن كنت تستخدم برمجيات تصفية مواقع ويب، للتحكم بنفاذ الموظفين إلى المحتوى غير اللائق على شبكة ويب، فبادر إلى إضافة بعض القيم الأمنية عبر حجب استخدامات الند للند والاستخدامات الأمنية، إضافة إلى الاستخدامات المعروفة لبروتوكول HTTP. ولا تشكل تصفية عناوين المواقع (URL) وحدها حمايةً كافية، فالمواقع الجديدة الخطرة تنتشر على إنترنت. أما تصفية مواقع ويب فيمكنها توفير معيارٍ إضافي للحماية.
امنح الرسائل التطفلية الاهتمام اللازم: ليست الرسائل التطفلية مجرد مصدر رئيس لاستنفاذ الإنتاجية، ولكنها تحمل الكثير من المخاطر، بفضل طرق الاحتيال الجديدة التي يمكنها استدراج الموظفين إلى اختراق البيانات السرية أو الشخصية أو حتى بيانات الشركة. لا تترك عبء مكافحة الرسائل التطفلية وعمليات الاحتيال إلى كل موظفٍ على حدة، إذ إن معظم المستخدمين يفتقدون الكفاءة المطلوبة لإنشاء قواعد فعالة أو حجب المرسلين. وحاول استعمال خدمةٍ يمكن إدارتها لوقف الرسائل التطفلية عند سور الشبكة، مثل Postini Perimeter Manager، أو منتج عبَّارة مثل Symantec Brightmail AntiSpam، أو مُلحَق بالمزود مشابه لما يتوفر في المنتج Symantec Client Security 2.0 مع Groupware Protection for Microsoft Exchange (اقرأ في هذه المقالة مراجعة لهذه المنتجات).

كما أننا نؤيد الأنظمة التي تتيح لمستخدميها إدارة الرسائل التطفلية بأنفسهم، فاتحةً الطريق أمامهم للبحث ضمن رتل هذه الرسائل، علَّهم يجدوا رسائل ربما تكون مهمة، أزالها المرشِّح عن طريق الخطأ.
وتزيل الخدمات القابلة للإدارة كلاً من الرسائل التطفلية والفيروسات، كما أنها تمتاز بسهولة الاستخدام، وهي توظف في الغالب العديد من الآليات لإزالة الرسائل التطفلية. فمثلاً، يستخدم MessageLabs تقنية Symantec Brightmail antispam إضافةً إلى تقنيها الخاصة بمكافحة الرسائل التطفلية، وذلك لزيادة دقة التصفية في مقابل الحد من المزيد من الوقائع المزيفة.
راقب الموزِّعات (hubs) والمحوِّلات الشبكية عند حركة المرور الكثيفة: عند استخدام مُحوِّلات قابلة للإدارة، حاول مراقبة عينات من الإشارات المارة. أما عند استخدام مُحوِّلات غير قابلة للإدارة، حاول ببساطة الانتباه إلى أضواء النشاط على المحولات عينها. ويشير النشاط العالي غالباً إلى هجمات حجب الخدمة (denial-of-service) أو نوع من الفيروسات في الشبكة.
تجنَّب الرسائل التطفلية في المقام الأول: يمكن أن يكون حجب الرسائل التطفلية مكلفاً، كما أن أداء أنظمة مكافحة هذه الرسائل ليس مثالياً. وقديماً قيل: "درهم وقاية خير من قنطار علاج"، فحاول تشجيع المستخدمين على سلوك عاداتٍ تساعد في الوقاية من الرسائل التطفلية قبل ورودها. واطلب من المستخدمين إنشاء عنوان بريد إلكتروني ثانٍ لاستخدامه عند الدخول إلى صفحاتٍ على إنترنت مثل: نماذج التسجيل، والاستطلاعات، والاشتراك في النشرات الدورية. وتأكد أيضاً من إلغاء تحديد المستخدمين لخانة الاختيار المنتشرة في نماذج ويب التي تضيف المستخدم إلى القوائم البريدية.
ويمكنك أيضاً التقليل من حدوث الرسائل التطفلية، عبر حجب عناوين البريد الإلكتروني التي يبدو بأنها لا تشكل أسماءً واضحة، إذ غالباً ما يستخدم مرسلو هذه الرسائل في هجماتهم دليلاً يعتمد على القاموس، في إطار جهودهم للوصول إلى عناوين البريد المحتمَلة، مثل rob@your company.com. ومع التفاقم المستمر لمشكلة الرسائل التطفلية، فإننا نعتقد بأن الأنظمة الأكثر فعالية في مكافحتها هي تلك التي تتيح للمستخدمين إدارة رتل الرسائل التطفلية على أجهزتهم المكتبية، كما تتيح هذه الطريقة للمستخدمين البحث عن الرسائل الحقيقية التي قد يزيلها برنامج المكافحة أحياناً، ظناً منه بأنها مزيفة. ولكن التمحيص في آلاف الرسائل البريدية بحثاً عن رسالة صحيحة، يعني إضاعة جزء ثمين من وقت المستشار المعلوماتي أو الموظف، يمكن إنفاقه في مسائل أمنية أكثر أهمية.

Symantec Brightmail Antispam
منتج يعتمد العبَّارة في التصفية، وتستخدمه غالباً الشركات الموفرة لخدمة البريد الإلكتروني، ويمكن تركيبه أيضاً في الشبكات المحلية. ويعمل البرنامج ضمن مزود مستقل تحت أنظمة تشغيل مثل: Microsoft Windows Server، أو Red Hat Linux، أو Solaris، كما يدعم العديد من آليات التصفية، مثل: القوائم السوداء (blacklists)، والقوائم البيضاء (whitelists)، أو مُوجِّهات الكشف (heuristics).
المنتج: Symantec Brightmail Antispam
السعر: 25.90 دولاراً للمستخدم الواحد، ولمدة عام.
الشركة: Symantec Corp.
موقع ويب: www.symantec.com

Postini Perimeter Manager
خدمة مُستضافة لمكافحة الرسائل التطفلية، تستخدم نظاماً معقداً لتسجيل نقاط الرسائل التطفلية. ومن المزايا البارزة لهذا المنتج قدرته على منح الإمكانات للمستخدمين والمجموعات، ما يتيح للمستخدم النفاذ إلى رتل الرسائل التطفلية وضبط حساسية المرشِّح (بما يتماشى مع توجيهات الشركة). وينجز المنتج أيضاً تحليلاً موجهاً للكشف، كما يتفحص ترويسة الرسالة البريدية.
المنتج: Postini Perimeter Manager
السعر: يتراوح بين 15 دولاراً و20 دولاراً للمستخدم الواحد ولمدة عام.
اسم الشركة: Postini Inc.
موقع ويب: www.postini.com

Symantec Client Security 2.0
تم تصميم هذا المنتج للمحافظة على أمن الحواسيب الشخصية المتنقلة وتلك التي تعمل من خارج الشركة. ويوفر Symantec Client Security حماية من الفيروسات قابلةً للإدارة وأخرى غير قابلة، والكشف عن عمليات الاقتحام، إضافة إلى جدار ناري للزبون قابل للإدارة بشكل مركزي. ولا ريب أن مديري الشبكات سيُعجَبون ببعض المزايا التي وفرها هذا المنتج مثل: منحهم القدرة على قفل الإعدادات الأمنية للمستخدم، والقدرة على تحرير قوانين الجدار الناري وIDS عن بُعد. وتضم الباقة أيضاً ميزة الكشف الموسَّع عن البرمجيات التخريبية، لاصطياد التهديدات التخريبية المغايرة للفيروسات. الجدير ذكره أن استخدام هذا المنتج سهل وممتع.
المنتج: Symantec Client Security 2.0
السعر: 66.70 دولاراً للنسخة الواحدة بحيث يتراوح عدد مستخدميها بين 10 و24 مستخدماً (تتوفر أسعار أخرى للكميات الكبيرة).
الشركة: Symantec Corp.
موقع ويب: www.symantec.com

Sentian
يعد Sentian اختياراً مغرياً للشركات الصغيرة التي تريد تصفيةً لمواقع ويب مُدمَجة في Microsoft ISA Server، أو Microsoft Proxy Server، أو Cisco PIX firewall، ولا يتوفر Sentian كمنتج مستقل. ويتمتع هذا المنتج بواجهة في منتهى البساطة، ويوفر لمديري الشبكة العديد من الخيارات بشأن المحتوى مثل: حجبه، أو التحذير منه (مراقبة مع تحذير)، أو مراقبته، أو السماح به، وقد وضعت Sentian 40 صنفاً تندرج جميع أنواع المحتوى تحتها.
المنتج: Sentian
السعر: 21.45 دولاراً للنسخة الواحدة ولمدة عام، وبحيث يتراوح عدد مستخدميها بين 100 و200 مستخدم.
الشركة: Secure Computing Corp.
موقع ويب: www.securecomputing.com

إدارة الأجهزة المكتبية والمزودات
ما زالت العديد من الشركات الصغيرة تستخدم شبكات الند للند (peer-to-peer) وكلمات مرور يديرها المستخدم. وعلى الشركات المهتمة بالنواحي الأمنية السعي إلى إدارة المستخدمين بشكل مركزي، وفرض سياسات صارمة لوضع كلمات مرور قوية. والتوثق المركزي (centralized authentication) هو الطريقة الوحيدة لمنع البعض من القيام باختيارات متواضعة، مثل استخدام كلمة بسيطة لتكون هي كلمة المرور.

تشكل حماية الأجهزة المكتبية مشكلةً للشركات الصغيرة أكثر من الشركات الضخمة، لعدم امتلاك الشركات الصغيرة بشكل عام تصفية مقيدة لمواقع ويب، ولكونها تتأخر غالباً في تطبيق تحديثات ويندوز وبرامج مكافحة الفيروسات. وعليك على أقل تقدير، تطبيق برامج حماية الأجهزة المكتبية من الفيروسات، وإبقاءها مُحدَّثة دوماً بتنزيل الرُّقع الجديدة.
وللحصول على مزيد من الحماية، عليك التعرف على منتجات الحماية من الاقتحام والجدران النارية للأجهزة المكتبية، التي يمكن أن تساعد في التصدي للتهديدات الأخرى. وتعد الطرق المُدارة مركزياً والمعتمدة على السياسات هي الأفضل. وتوفر المنتجات Symantec Client Security 2.0، وMcAfee مع مكوِّنه ProtectionPilot، وTrend Micro NeatSuite for SMB، كلها حماية مركزية معتمدة على السياسات. ويتمتع المنتج Webroot SpySweeper بإدارة معتمدة على السياسات، تُضاف إلى عرضها لبرنامج مكافحة التجسس.
أدِر بشكل مركزي تحديثات ورُقع ويندوز وأوفيس وآوتلوك: طالما أن شركتك صغيرة جداً، فعليك إدارة الرقع البرمجية مركزياً لمنع المستخدمين من تخطي أي تحديث ضروري. ونوصي بشدة بتركيب رزمة التحديثات الثانية (SP2) من ويندوز إكس بي على كل الأجهزة، فهي تُصلح مواطن الضعف، وتضيف جداراً نارياً يرشّح الطلبات الواردة، وتحمي من عمليات التنزيل المُسيَّرة التي يمكنها تثبيت الشيفرة البرمجية من دون إذن.
اضبط أذون التشارك على الملفات في ويندوز: تذكر دوماً بأنه إن وجد المخربون موطئ قدمٍ لهم في شبكتك، فبإمكانهم النفاذ إلى كل المجلدات المشتركة المفتوحة في ويندوز. وعلى الرغم من أن المزودات تتحكم بقوة في النفاذ، إلا أن المجلدات المشتركة بين الأطراف تكون غالباً مفتوحة على مصراعيها. راقب هذه المجلدات المشتركة بانتظام لإزالة النفاذ إلى مجلدات المستخدم غير المحمية، والتي يمكن سرقتها بسهولة.
حوِّل حسابات المستخدمين إلى حسابات مُقيَّدة: فكِّر عندما يسمح الوضع في تحويل المستخدمين إلى حسابات من النمط المُقيَّد (لا تمتلك صلاحيات المديرين) في نظام ويندوز، ما يمنع تركيب البرمجيات وكثير من التغييرات في الإعدادات. ويمكنك اتباع طريقة أخف وطأةً، بتشغيل الحماية أو الإشعار الفوري كذاك الموجود في الجدران النارية للحواسيب الشخصية وأدوات مكافحة الفيروسات، فهي تجعل المستخدمين يتلقون تحذيراً عند تركيبهم شيئاً يحتمل أن يكون خطيراً.
وأخيراً، شغِّل حمايةً حقيقية تعتمد على سلوك التطبيقات: تُعد رزمة التحديثات الثانية من ويندوز إكس بي وبرمجيات مكافحة الفيروسات ومكافحة التجسس بدايةً ممتازة، غير أن تكملتها بالجدران النارية للحواسيب الشخصية وبرمجيات الحماية من الاقتحام يمكن أن يغلق المزيد من مواطن الضعف. كما يمكن استخدام برمجيات أمنية، مثل Norton AntiVirus 2005، والإصدارة الثانية من Symantec Client Security، لمراقبة وتقيد سلوك التطبيقات الموجودة على كل جهاز مكتبي، وإيقاف التطبيقات المخادعة من التسلل إلى شبكتك.

Fluke EtherScope Network Assistant
على كل من يدير الشبكات الكبيرة امتلاك هذا الجهاز الكفي لتشخيص الشبكة، لاختبار كبلات إثرنت النحاسية ذات السرعات 10/100/1000. ويستطيع مديرو الشبكات الاستفادة من شاشة اللمس الملونة التي يمتاز بها، في مراقبة إحصاءات الشبكة مثل: مزيج البروتوكولات، وأكثر الأجهزة استخداماً للشبكة، وأكثرها بثاً، ومصادر الأخطاء، وأخطاء الإطارات. ويستطيع الجهاز دعم الشبكات التي تحتوي على 1000 جهاز، ويمكنه تخزين البيانات الاستكشافية في قاعدة البيانات الموجودة بداخله.
المنتج: Fluke EtherScope Network Assistant
الشركة: Fluke Networks
السعر: 5495 دولاراً
الشركة: Fluke Networks
موقع ويب: www.flukenetworks.com

Exabyte VXA-2 PacketLoader
يمكن أن يحمل هذا المزوِّد التلقائي (autoloader) 1U الذي يمكن تثبيته على حامل، عشر كارتريدجات سعتها 80/160 جيجابايت، تكون بمجموعها 800 جيجابايت من البيانات غير المضغوطة، أو 1.6 تيرابايت من البيانات المضغوطة. وتستطيع التقنية الخاصة به قراءة البيانات وكتابتها على شكل رُزَم، عوضاً عن كتل من مسارات خطية أو حلزونية. وحقق المنتج في اختباراتنا نتائج قوية. ونعتقد بأنه أحد أجهزة النسخ الاحتياطي القليلة التي تناسب الشركات الصغيرة وتستحق الشراء.
المنتج: Exabyte VXA-2 PacketLoader
السعر: 2999 دولاراً
الشركة: Exabyte Corp.
موقع ويب: www.exabyte.com


Quantum SDLT 600
يمتاز SDLT 600 بأن سعته تبلغ ضعفي سعة سلفه SDLT 320، إذ إن بإمكانه تخزين 600 جيجابايت (بمعامل ضغط اثنان إلى واحد) من البيانات المضغوطة أو 300 جيجابايت من البيانات غير المضغوطة في كارتريدجه الوحيد. وأظهرت اختباراتنا بأن معدل نقل البيانات الفعلي هو 2380 ميجابايت في الدقيقة. ويعد هذا المنتج مناسباً للشركات التي لديها قاعدة بيانات ضخمة أو تحتاج نسخاً احتياطياً لمزود البريد.
المنتج: Quantum SDLT 600
السعر: 4500 دولاراً
الشركة: Quantum Corp.
موقع ويب: www.quantum.com

حماية الشبكات السلكية واللاسلكية
لا تستطيع حتى أفضل الأسوار وأحسن برامج أمن المحتوى تأمين دفاعات مثالية تماماً. ويبدو أن الشبكات اللاسلكية في الوقت الراهن تشكل نقطة ضعف كامنة في أمن الشركات الصغيرة. لكن باتخاذ بعض الخطوات البسيطة في الشبكة اللاسلكية، مع فحص الشبكة كاملة، يمكنك تحديد المخاطر قبل أن تغدو مشكلات حقيقية.
أجرِ مسحاً لمواطن الضعف العامة في الشبكة: إن أدوات مثل GFI LANguard، وNessus، و eEye's Retina Network Security Scanner تُظهر ما خفي، وتعد منتجاتٍ نفيسة في تأمين الشبكة (اقرأ في هذه المقالة مراجعة لهذه المنتجات). وعليك التأكد من مسح المنافذ المفتوحة والخدمات غير الآمنة في المزودات. ويمكن أن تصبح المزودات الداخلية أهدافاً للهجمات، عند تعرض جهاز يمكن النفاذ إليه من الخارج إلى الهجوم. فمثلاً، يمكن أن يكون لدى الشركة مزود FTP، مفتوح بطريق الخطأ. ويمكن حينها للمخرِّب الذي يهاجم هذا الجهاز عن طريق التسبب بطفحان الذاكرة الوسيطة، النفاذ بشكل كامل إلى المنافذ والأجهزة الأخرى في المزودات الأخرى، في حال عدم اتخاذك خطواتٍ لتأمين الشبكة. وتوفر الشركات المختصة بالأمن مثل Symantec مسحاً لمواطن الضعف عبر إنترنت.
شغِّل أمن نقطة النفاذ اللاسلكية أو أغلِق الاتصال اللاسلكي بأكمله: تضم العديد من موجِّهات العبَّارة (gateway routers) نقطة نفاذ لاسلكية، أمنها معطّل بشكل افتراضي. وحتى عندما لا يستخدم موظفوك نقطة النفاذ اللاسلكي تلك، فإنه يمكن للغرباء استثمار الثغرات الأمنية فيها. تأكد من تنشيط الأمن في كل نقاط النفاذ اللاسلكية. ويمكن لموظف يتصرف بحسن نية، جلب نقطة نفاذ رخيصة من مخزن المكتب، وربطها بالشبكة بحيث يتمكن أناس في غرفة الاجتماعات من تصفح بريدهم الإلكتروني. وتتجاوز المخاطر المحتملة من ذلك مجرد ضياع بعض الحزمة، فمع النفاذ إلى الشبكة المحلية الداخلية، يستطيع الدخلاء النفاذ إلى المجلدات المشتركة المفتوحة في ويندوز، التي لم يتم تأمينها بشكل مناسب. ولتحديد مكان ونوع الأجهزة اللاسلكية المخادعة في شبكتك، يكفيك التجول مصطحباً معك فاحصاً للترددات الراديوية مثل WildPackets' AiroPeek، أوNetwork Instruments' Network Observer، أو Berkeley Varitronics' YellowJacket. وعند استخدامك لبرمجيات فحص متوفرة في العديد من نقاط النفاذ اللاسلكية وبرامج خدمية من الأسواق، تذكر اختبار كل القنوات اللاسلكية 802.11a وb وg، حتى إذا كنت تستخدم نوعاً واحداً منها فقط.

GFI LANguard Network Security Scanner
يبقى LANguard في إصدارته الخامسة اختياراً جيداً لمديري الشبكات الذين يحتاجون إلى فاحص بسيط وسريع وزهيد الثمن. ويمكنك الاستفادة من العديد من تشكيلات الفحص الأمني الجاهزة، في جمع المعلومات عن الأجهزة المُضيفة، والمجلدات المشتركة، وحسابات المستخدمين، والخدمات، وبنود سجل النظام، والرُّقع، إضافة إلى كثير غيرها.
المنتج: GFI LANguard Network Security Scanner
السعر المباشر: 495 دولاراً لمائة IP، و995 دولاراً لعدد غير محدود منها.
الشركة: GFI Software Ltd.
موقع ويب: www.gfi.com

Nessus
تعد هذه الأداة المجانية شاملة ومدهشة إضافةً إلى كونها معقدة جداً، وتستهدف خصوصاً مديري الشبكات الذين لا يريدون فاحصاً وحسب، بل تعليمات مفصَّلة تتيح لهم التعرف على مواطن الضعف في أمن الشبكات.
المنتج: Nessus
السعر: يمكن تنزيله مجاناً.
الشركة : Renaud Deraison
موقع ويب: www.nessus.com

Retina Network Security Scanner
يتمتع هذا الفاحص الأمني بحسن تنظيمه واستخداماته المتعددة، إضافة إلى رصيده الممتاز من المزايا والقوة وإمكانية الاستخدام، ما يتيح له تقديم اختبارات لمواطن الضعف في منصات عمل لينكس، ويو***س، وويندوز، وتوفير إصلاحات آلية للعديد من المشكلات المُكتشَفة.
المنتج: Retina Network Security Scanner
السعر: 995 دولاراً.
الشركة : eEye Digital Security
موقع ويب: www.eeye.com

AiroPeek NX
يعد هذا المنتج محللاً قوياً للرزم اللاسلكية، يستطيع فك تشفير رُزَم البيانات (يتطلب مفاتيحاً عند تنشيط WEP) وفيه تنبيهات وإشعارات يمكن للمستخدم تعريفها. وتتوفر إصدارة أبسط من هذا المنتج بسعر 995 دولاراً.
المنتج: AiroPeek NX
السعر: 3495 دولاراً مع الصيانة لعام واحد.
الشركة : WildPackets Inc.
موقع ويب: www.wildpackets.com

NetStumbler 0.4.0
أداة مجانية يمكنها مساعدتك في التخطيط لمواقع نقاط النفاذ. وهي تلتقط إحصاءات الإشارات والأهم من ذلك أن بإمكانها مساعدتك في تحديد مواقع نقاط النفاذ المخادعة التي تُستخدم في اختراق الشبكة.
اسم المنتج: NetStumbler 0.4.0
السعر: مجاني.
الشركة : NetStumbler.com
موقع ويب: www.netstumbler.com
و اكيد في برامج بتجيبها ببلاش
اتشاااااااااااااااااااااااااااااااااااااااو لا تنسونا بالردود
و شكرا لكم

يسلمو حبيبي اقبل مروري

بارك الله فيك

[[mark=#99FF33]motr1] شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية . [/motr1][/mark][html][/html]