إحذر جدران النار

ما أعنيه بالحذر هنا هو من وجهة نظر فنيّة تقنية، وليس من وجهة النظر العملية. لأنك عملياً لا تستطيع الإستغناء عن وجود أحد برامج جدران النار لتأمين الحماية. ولا أعتقد أن هناك أحداً ما يجرؤ مثلاً على الدخول للإنترنت دون تثبيت حزمة حماية على جهازه… بل إن الموضوع في عالم الشبكات لا يتوقف عند مستوى واحد من الحماية، فقد يتعداه لوجود عدة مستويات وبتقنيات مختلفة سواء من العتاد أو البرامج.

error

أمّا ما أعنيه تقنياً، فهو ما قد يسببه جدار النار من الإشكالات لمدير الشبكات أثناء عمله اليومي في متابعة شبكته وحل المشاكل إن لم يكن يمتلك زمام الأمور.

زمام الأمور التي أقصدها هو معرفة إمكانيات البرنامج أو العتاد الذي تستخدمه، وبالتحديد الإلمام بكافة الإعدادات التي يتضمنها وخاصة تلك الإفتراضية. وأن يكون لديك سياسات واضحة وموثقة بهذه الإعدادات… إن لم يكن الأمر كذلك فسيأتي عليك وقت لتجد أن برنامج الحماية أو جدار النار يعيقان عملك، وأنهما أصبحا بشكل أو بآخر يعملان ضدك وليس معك.

قمت بتفعيل خيار “السماح للمستخدمين بالإتصال بهذا الكمبيوتر عن بعد” أو ما يسمى Remote Desktop على مجموعة من الأجهزة، عن طريق سياسات المجموعات Group Policy. ثم تأكدت من أن هذا الخيار قد فُعّل على الأجهزة بنجاح، من خلال معاينته عليها. لاحقاً لاحظت أنني لا أستطيع الوصول إلى جميع الأجهزة المعنية، فقد فشلت عملية الإتصال ببعضها… حسناً، لا داعي لسرد عشرات الإحتمالات التي فرضتها لتحديد سبب المشكلة. والتي بدأت بإعادة فحص إعدادات سياسات المجموعات وإعادة تطبيقها، مروراً بإعادة إدخال الأجهزة إلى الدومين، والتأكد من توصيلات الشبكة وإعداداتها على الأجهزة، و و… إلخ من إجراءات العمل الإعتيادية. وفي نهاية الأمر أتضح أن السبب بكل بساطة هو أحد إعدادات firewall الموجودة في برنامج Kaspersky المثبت على الأجهزة والتي تسببت في فشل عملية الإتصال !!!

كان هذا أحد الأمثلة لإحدى مشاكل الإعدادات التي حدثت معي -بدون الدخول في تفاصيل هذه الإعدادات- والتي تدخل ضمن تعريف السهل الممتنع؛ أي أنها بسيطة جداً في محصلة الأمر، لكنها قد تبعدك عن المسار الصحيح لحل المشكلة وقد تجعل يومك كئيباً إذا نسيت ولو للحظات –إن جاز لمدير الشبكات أن ينسى- أن لديك جدار نار.

كيف يمكن لأي مدير شبكات أن يجد طريقه في خضم هذه المعمعة من الجدران النارية، إذا كان لديه أمور غير واضحة في إعداداتها أو تصميمها ضمن بنية الشبكة ككل. خصوصاً إذا علمنا أن مستويات الحماية التي من المفترض أن نجدها في أي مؤسسة “عادية” في أيامنا هذه قد لا تقل عن خمسة مستويات:

  1. هناك أولاً البرامج المدمجة في نظام التشغيل (مثل Windows Firewall في نظام ويندوز)،
  2. ثم حزمة الحماية المثبتة على كل جهاز (مثل Kaspersky أو Symantec)،
  3. ثم قد يكون نظام Proxy Server للولوج للإنترنت بما يحويه من سياسات حماية،
  4. ثم عتاد حماية مثل Cisco ASA،
  5. وأخيراً جهاز الراوتر الذي يشكل الحد الفاصل بين الشبكة والشبكات الخارجية.

الأمر بسيط جداً… (بالطبع لن أستطيع حصر المشاكل وإحتمالات الحلول) لكن المفتاح الرئيسي هو تحديد ضمن أي مجال تقع المشكلة. فمثلاً إذا لم تستطع الوصول من جهازك لجهاز آخر ضمن الشبكة الداخلية فتفحص الإعدادات على أحد الجهازين (أي على المستوى 1 أو 2). وإذا لم تستطع الوصول إلى جهاز على DMZ فعلى الأغلب السبب هو في ASA (مستوى 4)… وإذا كان هناك مشكلة في الوصول إلى مواقع الإنترنت فجرب الدخول إليها دون المرور بـِ Proxy فإن نجحت المحاولة فهذا يعني أن المشكلة فيه وإلا تفحص السياسات والإعدادات على ASA أو الراوتر.

وللحديث بقية…

تدوينات ذات صله:

الأوسمة: , , , , ,

8 تعليقات to “إحذر جدران النار”

  1. medaad Says:

    كان عندي استاذ لمادة السيسكو يقول: “مهندس الشبكات الناجح لا يقوم بتنصيب شبكة ويصفق له الجميع.. مهندس الشبكات هو الذي يستكشف مشاكل الشبكة ويجد لها الحلول””
    أظن أنك منهم..
    كل التوفيق..

  2. حواديت شبكات Says:

    صديقي مداد

    التصفيق هو أمنية لا يجرؤ أن يفكر به أي مهندس شبكات…
    يكفيه أن يتوقفوا عن لومه وتحميله مسؤولية جميع مشاكل الكون 🙂🙂

  3. وائل العلواني Says:

    كبير يا ابو العبد🙂
    استمتعت بقراءة التدوينة وليس لي اضافة سوى شكرك على مجهودك.. وبالنسبة لمشاكل الكون، الناس دائما هيك، انت خود اجازة اسبوع وشوف كيف رح “يجنّوا” بدونك..🙂

  4. حواديت شبكات Says:

    أهليين أخي وائل

    ﻻ شكر على واجب
    أخجلتم تواضعنا🙂

  5. محمد فتحي Says:

    عزيزي ابو العبد
    جيت في وقتك .. عندي مشكلة مع ASA وابغى مشورتك ، فضلا لا أمرا هل يمكنك مراسلتي عبر الايميل mohmdfthy#gmail.com
    لك تحياتي

  6. مصرى Says:

    بصراحة استاذ واسلوبك جامد جدا انا استفدت كتير منك والى الامام دائما بأذن الله

  7. م.محمدالحسيني Says:

    اخي هذه المدونة الطيبة هي شئ رائع يستحق الزيارة باستمرار

    والاسلوب قوي وبسيط ورائع

    بارك الله فيك

  8. esam Says:

    ممكن اعرف هل اضع dhpc على الفايرول( هاردوير/سيرفر) ولا على الدومين سيرفر

أضف تعليقاً

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s


%d مدونون معجبون بهذه: