أرشيف | حماية RSS for this section

كيفية الأتصال بالإنترنت عن طريق OpenVPN على توزيعة أوبونتو

تحدثنا من قبل عن أهمية استخدام خدمة الـ VPN بشكل افتراضي والآن سنتحدث عن كيفية استخدام برنامج OpenVPN على توزيعة أوبونتو ولكن في البداية سنذكر بعض المعلومات عن المشروع  الذى سنستخدم منه الخدمة الـ VPN نفسها والحديث هنا عن مشروع vpngate الذى ظهر للعلن يوم 8 مارس من العام الحالي والذى أصبح أحد أفضل موزعي خدمة الـ VPN في العالم إن لم يكن أفضلهم لأنه يقدم خدمة مجانية بطريقة لا مركزية وهذه ليست وجهة نظر كلية الدراسات العليا في جامعة تسوكوبا بل حتى أغلب خبراء الأمن ولككنا لن ننسي ذكر الجزء الأخر من المشروع وهو برنامج SoftEther برنامج مفتوح المصدر ومجاني قام السيد @dnobori بتطويره وهو طالب شهادة الدكتوره في جامعة تسوكوبا اليابانية والذى وضح الغرض الأساسي من عمل هذا البرنامج عندما صرح للصحافة وقال “أن الهدف الرئيسي من عمل البرنامج هو محاربة تقييد الإنترنت ومساعدة المستخدمين للالتفاف على جدران الحماية الحكومية”.

ما يميز هذا المشروع هو دعمه للعديد من بروتكولات الـ VPN مثل SSL و L2TP/IPsec و OpenVPN و MS-SST وهذا يتيح للمستخدمين الاستفادة من الخدمة مهما كان نوع الجهاز المستخدم (حاسوب أو هاتف أو لوح إلكتروني) فلو كنت أحد مستخدمي نظام ويندوز فيمنكم الدخول على الرابط التالي ومعرفة الطريقة التى تستطيع من خلالها استخدام الخدمة أما إن كنت أحد مستخدمي نظام ماك فيمنكم الدخول على الرابط التالي, أما إن كنت أحد مستخدمي الهواتف المحمولة مثل أندرويد و iOS فيمكنك الدخول على الروابط التالية بالترتيب (رابط الأندرويد , رابط iOS) وبما أن الموقع لم يضع طريقة لاستخدام الخدمة على توزيعات لينكس فنحن اليوم سنوضح بإذن الله كيفية استخدام الخدمة على توزيعة أوبونتو.

في البداية سنذهب إلى موقع vpngate لتحميل الملف الذى سنقوم من خلاله بتشغيل الخدمة لكن الملاحظ أننا عندما دخلنا على الموقع ظهر لنا الـ Public IP الذي نستخدمه حالياً وهو الموضح في الصورة التالية.

before

الآن سنقوم بأختيار خادم من VPN Servers List التى تدعم الاتصال عن طريقة برنامج OpenVPN والتى تتغير كل فترة وبما أن لغتي الثالثة هى اللغة اليابانية فقد قررت أن نستخدم أحد الخواد اليابانية في عمل الشرح 😀 وكما هو واضح في الصورة التالية أن هناك ملفين للـ Configuration أحدهم TCP والأخر UDP سنقوم بتحميلهما على حسب احتيجاتنا.

oozy089hp-_00

لتشغيل برنامج OpenVPN هناك عدة طرق سنذكر بعضها وستكون الطريقة الأولي أن نقوم بفتح الـ Terminal ونقوم بكتابة الأمر الموضح في الصورة التالية

oozy089@HP: ~_01

بعد تنصيب البرنامج بدخل على المسار الموجود به الملف الذي قمنا بتحميله من الموقع ونكتب الأمر الموضح في الصورة التالية ثم ننتظر ثواني حتى تظهر لنا رسالة تؤكد أن الأتصال تم بنجاح

oozy089@HP: ~02

.

.

أما الطريقة الثانية وهى المفضلة لدي نظراً لدرجة الأمان والموثوقية التى تقدمها حيث تقوم بتنبيه المستخدم عند حدوث أى مشكلة في الأتصال وستكون البداية بفتح الـ Terminal ونكتب الأمر الموضح في الصورة التالية

oozy089hp-_03.png

بعد ذلك سننتقل إلى المسار الموجود به الملف الذى قمنا بتحميله من الموقع ونقوم بفتحه ببرنامج gedit ونقوم بنسخ الجزء الخاص بالـ CERTIFICATE كما هو موضح بالصورة التالية ونقوم بعمل ملف أخر أسمه ca وبصيغه .crt ونضع به الجزء الذي قد قمنا نسخه سابقاً

oozy089hp-_04

بعد ذلك ندخل على أعدادات النظام (System Settings) ثم إلى الأعدادات الخاصة بالشبكة (Network) ونقوم بإنشاء VPN Connection ونختار نوع خدمة الـ VPN التى سنستخدمها والحديث هنا عن الـ OpenVPN وليس PPTP ثم ننتقل إلى وضع الأعدادات الخاصة بالأتصال كما هى موضحة في الصورة التالية ولا ننسي أن أسم المستخدم وكلمة المرور الخاصة بكل ملفات الـ Configuration الموجودة على الموقع هى VPN 

بعد ذلك سنضع في خانة الـ Gateway عنوان أو أسم الخادم الذي سنستخدمه ثم نختار الـ Authentication ثم نكتب أسم المستخدم وكلمة المرور كما وضحنا سابقاً وأخيراً نحدد مكان ملف الـ Ca Certificate ونضغط Save

oozy089hp-_05

والآن حان الوقت لتشغيل الخدمة ..!

oozy089hp-_06

.

.

أما الطريقة الثالثة فستكون بإختصار أن نقوم بتنصيب برنامج KVpnc ونستخدم ملف الـ Configuration الذى قمنا بتحميله من الموقع مسبقاً للأتصال بالخدمة

للتأكد أن عملية الأتصال قد تمت بنجاح مع أى طريقة من الطرق الثلاث يمكنكم الدخول موقع vpngate أو أى موقع ip address locator وسيظهر لكم العنوان الموضح في الصورة التالية

after

أيهما أفضل, منهج شهادة CEH أم منهج شهادة CPTE؟

(عصر المعلومات) هذا بإختصار المسمي الفعلي لواقعنا المعاصر, فمن يمتلك المعلومات يمتلك كل شيء ولكن هذا ليس كل شيء فعند إمتلاكك للمعلومات عليك أن تكون قادر على تأمينها وحمايتها من المخاطر المحتملة وهذا ما يجب ان تفعله كل المؤسسات وهذا ما يجب أن يدركه كل من يعمل في مجال تكنولوجيا المعلومات فإهتمام المؤسسات بالمتخصصين في قطاع اﻷمن اﻹلكتروني أصبح في تزايد ﻷن الوضع اﻵن أصبح خارج السيطرة فالمؤسسات والحكومات كانوا ومازالوا يتنافسون في إيجاد أفضل الطرق لحماية أنفسهم وهذا ما أدي إلى حتمية وجود منظمات تعمل على إنشاء مناهج لتدريب المهتمين واليوم سنتحدث عن شهادتين من شركتين مختلفتين يمثلوا قمة الشهادات المتخصصة في مجال أمن المعلومات بالنسبة إلى مهندسي ومديري الشبكات “على وجه الخصوص”.

الشهادة اﻷولي وهى اﻷكثر شهرة مع نظيرتها CEH (Certified Ethical Hacker) الصادرة من قبل شركة EC-Council  والشهادة الثانية هى CPTE (Certified Penetration testing engineer) الصادرة من قبل شركة mile2, وهما ما سنتحدث عنهما بإذن الله.

واﻵن سنحاول أن نطرح بعض النقاط التى ستقودنا إلى معرفة أى المنهجين أفضل من الناحية التعليمية وستكون كالتالي :-

  • شهادة CPTE لديها تعديلات منتظمة وذلك يتم وفقاً للتحديثات التى تطرأ في مجال الحماية, في حين أن شهادة CEH يتم تحديثها كل عدة سنوات ولكن الشركة تحاول مؤخراً تغير هذه الوضعية بتحديث شهادتها كل مدة محددة ولن ذلك لم يتم حتى اﻵن!
  • تركز شهادة CPTE على الجانب التقني بطريقة تمكن الدارسين من تعزيز مهاراتهم من الناحية اﻷمنية مثل رفع مستوي اﻷمن والحماية وكيفية وضع ضوابط وقواعد تتناسب مع إحتياجات العمل, في حين أن شهادة CEH تركز على الجانب العملي بشكل أكبر من التركيز على الجانب النظري فعندما تبدأ دراستك تشعر أن المنهج في أغلبة عبارة عن كيفية استخدام اﻷدوات فقط .. ماذا عن اﻷساسيات!؟
  • شهادة CPTE تقوم بتحديث منهجها بشكل مستمر وكل فترة زمانية محددة فتقوم عن التحديث بإزالة المواضيع التى لم يعد لها قيمة أو اصبحت قديمة وإن لم تقم بإزالتها فأن تقوم بذكرها من عدة سطور قليلة ومختصرة, في حين أن شهادة CEH مازالت تضع بعض المواضيع التى عفي عليها الزمن وأصبحت شيء أثرى في عالم الحماية واﻻختراق.
  • إذا نظرنا إلى أجزاء الدورة التدريبية فسنجد أن شهادة CEH تركز بشكل واضح على كيفية أستخدام اﻷدوات لإتمام عملية ما, في حين أن شهادة CPTE تركز على المفاهيم والقضايا اﻷساسية والتى يتم من خلالها إتمام أى عملية بشكل أكثر كفاءة.
  • في مجال اختبار الاختراق يعتبر إعداد التقارير اﻷمنية جزء أساسي من العمل ﻷنه كلما كنت جيد في شرح تفاصيل عملك كلما كان أفضل للمؤسسة التى تعمل بها أو لعملائك بشكل عام وهذه المنهجية تكاد تكون معدومة في في منهج شهادة CEH في حين أن منهج شهادة CPTE مخصصة باب كامل لإهميتها!
  • عند دراستك لمنهج شهادة CPTE ستدرك أنه يتجاوز اﻷعمال التقليدية من الحديث عن تقنيات القرصنة التقليدية إلى الحديث عن الإختراق والتحليل والفحص بوجهتي نظر (المهندس والهاكر) وبذلك ستتمكن من الحصول على خبرة الطرفين!
  • شهادة CEH معتمدة من قبل كبرى المؤسسات الحكومية والخاصة في أغلب دول العالم في حين أن شهادة CPTE لديها دعم قوى من المؤسسات العسكرية اﻷمريكية فيكفي أن نقول أنها معتمدة من قبل أقوى جهاز في كوكب الأرض والحديث هنا عن وكالة اﻷمن القومي وكذلك الجيش اﻷمريكي وذلك حدث بعدما لعبت هذه الشهادة دوراً محورياً في مساعدة القوات الجوية للولايات المتحدة تحسين بروتوكولات الحماية الخاصة بهم.
  • كيفن هنري خبير أمن المعلومات الشهير وأحد أفضل اﻷشخاص الذين شرحوا منهج CISSP مع شركة (ISC)² وشرح لنا التهديدات المتقدمة المتواصلة في الفترة اﻷخيرة قد أنتقل العام الماضي للعمل مع شركة Mile2 في شرح منهج شهادة CPTE.
  • لنتحدث أخيراً عن الجانب اﻻقتصادي وهو جانب هام فسنقول أن تكلفة امتحان شهادة CEH هى 500 دوﻻر مع إمكانية أن نتنهي الدورة بعد عامين من وقت نجاحك فيها وفي حال لم تقم بتحديثها بأصدارها القادم فسيتم إلغائها بشكل نهائي, أما تكلفة شهادة CPTE هى 250 دوﻻر والمميز في هذه الشهادة هو عدم وجود إنتهاء صلاحية لها وعلى الرغم من ظهور أصدارات جديدة من الشهادة إلا أنك ستظل معتمد لدى الشركة أنك نجحت في اﻷصدار رقم (*) من هذه الشهادة.

هل تعلم أن شركة Mile2 تعتبر أحد الأسباب المباشرة التى أدت إلى شهرة شهادة CEH؟ نعم, ففي وقت سابق كان تضع الشركة شرط “محدد” لحصول الطلاب على شهادتها وهو أن يبدؤا مسارهم التدريبي بالحصول على شهادة CEH ولكنها قررت في نهاية المطاف تعديل شهادتها القديم [CPTC] وإصدار منهج CPTE وبذلك لن يكون الطلاب بحاجة إلى شهادة CEH ﻷن المنهج الجديدة يحتوى على ما يوجد بها وأكثر!

 وجهة نظر قد تظهر شهادة CEH بشكل جميل في سيرتك الذاتية ولكن CPTE أفضل عندما تبدأ العمل ﻷن معرفتك ستكون مبنية على أكثر من مجرد استخدام اﻷدوات أو معرفة بعض تقنيات القرصنة الشهيرة, ومع ذلك يظل الخيار الأفضل هو أن تقوم بدراسة المنهجين وبذلك تضمن تعلم اﻷساسيات وتعلم أيضاً أساسيات استخدام بعض اﻷدوات المعروفة.

بعد كل ما ذكر أريد أن أوضح أن الغرض من كتابة هذه التدوينة ليس المقارنة بين المنهجين على الرغم من أن العنوان يوحي بذلك لكن المقصود أن على مهندسي ومديري الشبكات أن ينظروا بإهتمام إلى شهادة CPTE وذلك بإعتبارها خطوة ﻷبد منها قبل دراسة منهج لشهادة CEH.

أساسيات استخدام برنامج UFW للتعامل مع الجدار الناري في لينكس

مما ﻻ شك فيه أن أنظمة يونيكس/لينكس لديها سمعة جيد جداً في الناحية اﻷمنية ولكن هل هذا كافي لجعل جهازك أمن؟ الحقيقة أن كثير من المستخدمين يظن عند استخدامه لهذه اﻷنظمة أن أصبح في أمان ولكن هذه خرافة ولتقيم وضعك الحالي عند دخولك على اﻹنترنت عليك أن تتخيل أنه عبارة محيط مثل المحيطات الموجودة في عالمنا وأنك مجرد سمكة صغيرة ويعيش معك سمك في نفس حجمك وسمك أكبر منك إلي أن نصل إلى قمة التصنيف الهرمي مع اﻷسماك المفترسة مثل أسماك القرش وفي هذا العالم هناك صراع الطبيعة والبقاء دائما ما يكون للاقوى وبما أنك مجرد سمكة صغيرة فمن الصعب أن تهاجم من هم أكبر منك ولكن من الممكن أن تستخدم أسلحتك الدفاعية وهذه هى الفكرة اﻷساسية فالجميع يعلم أن كل نظام تشغيل به جدار حماية داخلي وبما أننا نتحدث اليوم عن لينكس فنستطيع أن نقول أن جدارها الناري الداخلي iptables يعتبر الاقوى مقارنة بأنظمة التشغيل اﻷخرى لكن للتعامل معه عليك أن تكون متمرس مع كتابة اﻷوامر من الـTerminal وهذا شيء صعب ومزعج للمستخدمين العاديين لكن هناك حل أخر وهو استخدام برنامج Gufw Firewall والذى عن طريقه تستطيع أن تتحكم وتدير الجدار النارى الخاص بالنظام.

تستطيع تحميل البرنامج من الموقع الرسمي للبرنامج أو من مركز تحميل البرامج الموجود في هذه التوزيعة أو عن طريقة كتابة هذا اﻷمر:   sudo apt-get install gufw

بعد تنصيب البرنامج يستطيع أى مستخدم أن يتعامل مع البرنامج بكل سهولة وذلك لتحديد السياسات والقواعد التى يتم من خلالها التحكم في حركة الترافيك لداخل وخارج حاسوبك كما هو موضح في الصور التالية:-

أما في حالة استخدامك للـTerminal فهذه بعض اﻷوامر التى يستطيع من خلالها التعامل مع البرنامج.

إذا كنت تستخدم أحد توزيعات لينكس التى تأتي وبها البرنامج مثبت مسبقاً بشكل إفتراضي فإنه مع ذلك يكون معطل بشكل إفتراضي ولتشغيله عليك أن تقوم بكتابة اﻷمر التالي:
sudo ufw enable
أما إذا كنت تريد تعطيله فعليك بكتابة اﻷمر التالي:
sudo ufw disable

المعروف أن الوضع الإفتراضي لأى جدار ناري هو أن تكون جميع اﻻتصاﻻت محجوبة ويمكنك أن تفعل ذلك أيضاً عن طريقة كتابة اﻷمر التالي:
sudo ufw default deny

لتفعيل سجل الـLog بشكل عام يمكنك كتابة اﻷمر التالي:
sudo ufw logging on

بما ان اﻻتصاﻻت كلها محجوبة فعلينا أن نقوم بوضع قوانين للسمح باستخدام بروتوكول معين وفي هذا المثال سنسمح باستخدام بروتوكول SSH
sudo ufw allow 22/tcp

تريد أن تتصل بسيرفر مدونتك عن طريق استخدام بروتوكول SHH من بورت (منفذ) رقم 33333 فلأبد أن تكتب اﻷمر التالي:
sudo ufw allow 33333/tcp

للتأكد من الوضع الحالي الذى يعمل عليه الجدار الناري فيمكنكم كتابة اﻷمر التالي:
sudo ufw status
والنتيجة ستكون أما active ومع ظهور هذه الكلمة سيظهر لنا جدول بالبروتكولات التى قمت بالسماح بمرورها عن طريق الجدار النارى

To        Action              From
—          ——–                ——
21        DENY             Anywhere
22        DENY             Anywhere
23        ALLOW         Anywhere
80        ALLOW         Anywhere
433     ALLOW         Anywhere
21        DENY            Anywhere (v6)
22        DENY            Anywhere (v6)
23        DENY            Anywhere (v6)

أو ستظهر inactive وعندها سنعلم أن البرنامج معطل!

إذا كنت تريد السماح لبروتوكول التصفح للمواقع على اﻹنترنت فعليك بكتابة اﻷمر التالي:
sudo ufw allow 80/tcp
أما أن كنت تريد ان تستخدم التصفح اﻷمن عن طريق استخدام بروتوكول SSL مع البروتوكول اﻷول فيمكنك كتابة اﻷمر التالي:
sudo ufw allow 443/tcp

لمزيد من المعلومات يمكنكم الدخول على الرابط التالي أو كتابة أمر man ufw في الـTerminal

يذكر أن من أهم مميزات البرنامج انه يتعامل مع عناوين IPv4 و IPv6 ﻷن الجدار النارى الخاص بالنظام مكون من جزئين منفصلين وهما iptables و ip6tables وهذه النقطة سنتحدث عنها لاحقاً بإذن الله