الأربعاء، مارس 24، 2010

الجدران النارية


تفجّرت في القرن المنصرم ظواهر تقنية عديدة تركت أثراً بيّناً في حياة الناس، لكن يبقى الحاسب الآلي أبرز هذه الظواهر قاطبة، وذلك لسرعة تطوره وانتشاره، ولعمق أثره في حياة الناس، بل وفي التقنيات التي سبقته وجوداً، فقلما تجد آلة أو جهازاً إلاّ وتجد الحاسب الآلي جزءً أصيلاً منه.
وقد ساهم الحاسب في رفع نوعية الحياة التي يعيشها الناس بتذليله كثيراً من الصعوبات، واختصاره للوقت والجهد، وأصبح كثير من الأمور لا يمكن أن يسير إلا بمساعدة الحاسب الآلي، ومن ذلك على سبيل المثال المعاملات المالية وتنظيم رحلات الطائرات، وتشغيل الكثير من الأجهزة الطبية والصناعية، إلى غير ذلك من الأمثلة التي جعلت الحاسب منا ملء السمع والبصر.
ثم جاءت شبكة المعلومات (الإنترنت)، فوسمت بميسمها وجه الحياة في السنوات العشر الماضية، كما زادت مقدار الخدمات التي يقدمها الحاسب، فضاعفت انتشار الحاسب وعمقت أثره، وأحدثت ثورة في مجال المعلومات صناعة وحفظاً ونقلاً ونشراً.
1. لمحة عن شبكة الإنترنت
إذا كان معظم الناس يملكون قدراً لا بأس به من المعرفة فيما يتعلق بالحاسب كجهاز، فإنهم قد لا يملكون القدر نفسه عندما يتعلق الأمر بالإنترنت. وللتوضيح نقول: إن الإنترنت شبكة مكونة من شبكات، وكل من هذه الشبكات قد يحوي بدوره شبكات أصغر، وهلم جرا حتى نصل إلى أصغر مستوى من هذه الشبكات التي تتكون من عدد من الحاسبات المرتبطة بعضها ببعض،
وحرص الناس على الاتصال بشبكة الإنترنت له ما يبرره، نظراً لما تقدمه من خدمات على المستوى الشخصي والتجاري والحكومي، فأنت إذا رغبت أن تشرح لابنك درساً في مادة العلوم يتحدث عن محرّك الاحتراق الداخلي، فإن بإمكانك أن تزور موقعاً مثل: http//www.hostuffwork.com، لتجد فيه شرحاً مفصلاً مدعوماً بالرسومات التوضيحية المتحركة. ومن جهة أخرى، يمكن لشركة ما أن تعرض وتبيع منتجاتها عن طريق شبكة الإنترنت، فتصل بذلك إلى عدد كبير من الزبائن. وقد اتجهت كثير من الحكومات إلى تقديم خدماتها للجمهور عن طريق شبكة الإنترنت؛ فإدارة المرور مثلاً تجعل لها موقعاً على الشبكة، وإذا كنت بحاجة إلى تسديد مخالفة فما عليك إلاّ زيارة الموقع ودفع الرسوم، دون الحاجة إلى الذهاب شخصياً إلى إدارة المرور.
وخلاصة القول، إن المقام سيطول بنا لو حاولنا سرد الخدمات التي توفّرها الإنترنت، وستكون معرفة الاستفادة منها عاملاً مهماً في نجاح الفرد والشركة والمجتمع، وبخاصة في زمن العولمة الذي ألغى الحدود الجغرافية تقريباً.
2. طرق الاتصال بشبكة الإنترنت
وهناك عدة طرق للاتصال بشبكة الإنترنت تختلف بحسب موقعك، فإذا كنت في منزلك فإن الاتصال غالباً ما يتوفر بربط جهاز الحاسب بأحد مزودي الخدمة
أما الشركات والدوائر الحكومية، فإنها غالباً ما تمتلك شبكات داخلية ترتبط بمزوّد الخدمة بواسطة خطوط اتصال خاصة تتميز بسرعة نقل كبيرة، ومن أمثلة هذه الخطوط ما يُعرف باسم (E1)، الذي يعطي سرعة تصل إلى (2 مليون نبضة في الثانية)، و (E3)، الذي يعطي سرعة تصل إلى (4،34 مليون نبضة في الثانية)، وهذه الخطوط السريعة تتصل بمزود الخدمة الذي يصلها بدوره بشبكة الإنترنت.
وتسعى الشركات والمنظمات وحتى الجهات الحكومية لربط شبكاتها الداخلية أو بعضها بشبكة الإنترنت، وذلك لدواعٍ عدة، منها:
1. تحقيق المكسب المادي، فالشركات التي تعرض منتجاتها أو تقدم خدماتها، تصل لعدد كبير من الزبائن إن هي ربطت نفسها بشبكة الإنترنت.
2. نشر المبادئ والمفاهيم التي تتبناها المنظمات غير الربحية.
3. تقديم الخدمات بمقابل أو بدونه كشأن بعض الجهات الحكومية، بحيث تمكن الموطنين مثلاً من تسديد الرسوم وتحصيل الخدمات عن طريق الإنترنت، فترقى بمستوى معيشة المجتمع وتقلل الضغط على موظفي الجهة مقدمة الخدمة.
3. الجرائم المتعلقة بالمعلومات
وكما أدخل الحاسب والإنترنت خدمات وتسهيلات ومعارف، بل ومصطلحات جديدة، فقد أعطيا عالم الجريمة آفاقاً أخري، فصار من الممكن ارتكاب جريمة اختلاس أو سرقة أو تزوير عن بعد. وأصبحت وسائل الأمن والحماية المحسوسة من حراسات وصناديق حفظ وأماكن تخزين لا تكفي وحدها لحماية المعلومات من اللصوص. وظهر مصطلح (Cybercrime)، الذي يعني الجرائم التي ترتكب باستخدام الحاسب الآلي وشبكة الإنترنت، وقد وصل الأمر إلى أن الحكومة الأمريكية أطلقت في فبراير 2004م مبادرة لحماية المجال المعلوماتي (Cyberspace) القومي الأمريكي أسمتها (Strategy to Secure Cyberspace National)
 وقد حذا عدد من الدول حذوها. ومما ينبغي ذكره في هذا المقام، أن من المشروعات المقترحة في الخطة الوطنية لتقنية المعلومات في المملكة العربية السعودية مشروع إنشاء مركز وطني لأمن المعلومات، ومشروع إنشاء وحدة خاصة للمتابعة والتحقيق في المخالفات المتعلقة بأمن المعلومات. مكونات أمن المعلومات
عند ذكر كلمة أمن المعلومات وجرائم الحاسب، فإن ما يتبادر إلى الذهن غالباً هو كشف معلومات كان يجب أن تبقى سراً، والحقيقة أن الحفاظ على سرّية المعلومات هو أحد جوانب الأمن، بيد أن المتخصصين يرون أن لأمن الحواسب والمعلومات مكونات ثلاثة على درجة واحدة من الأهمية، وهذه المكونات هي:
أ. سرّية المعلومات: (Data Confidentiality) وهذا الجانب يشمل كافة التدابير اللازمة لمنع اطلاع غير المصرّح لهم على المعلومات الحساسة أو السرية. وهذا كما أسلفنا هو ما يتبادر إلى ذهن السامع عند الحديث عن أمن المعلومات. ومن أمثلة المعلومات التي يحرص على حفظ سريتها: المعلومات الشخصية، الموقف المالي لشركة ما قبل إعلانه، والمعلومات العسكرية.
ب. سلامة المعلومات: (Data Integrity) خلافاً لما جاء في الفقرة السابقة، فإنه لا يعنينا هنا أن نحافظ على سرّية المعلومات، ولكن ما يهمنا هو اتخاذ التدابير اللازمة لحماية المعلومات من التغيير. وهناك أمثلة كثيرة لهذا المطلب، فقد تنشر جهة ما قوائم أسماء المقبولين ممن تقدموا بطلبات للعمل لديها، وكما نرى جميعاً فإننا عندما نتحدث عن أمن هذه القوائم نعني حمايتها من التغيير، إذ من المحتمل أن يقوم شخص ما بحذف بعض الأسماء وإدراج أسماء أخرى بدلاً منها مسبباً كثيراً من الإرباك للناس والحرج للجهة المعنية.
ج. ضمان الوصول إلى المعلومات والموارد الحاسوبية (Availability): إن الحفاظ على سرّية المعلومات وسلامتها أمر مهم ولا ريب، لكن هذه المعلومات تصبح غير ذات قيمة إذا كان من يحق له الاطلاع عليها لا يمكنه الوصول إليها. ويتخذ المهاجمون وسائل شتى لحرمان المستفيدين من الوصول إلى المعلومات، إما بحذف المعلومات نفسها أو بمهاجمة الأجهزة التي تخزن المعلومات فيها.
5. الجدران النارية:
سبقت الإشارة أعلاه إلى أن الفوائد والخدمات التي جاءت بها شبكة الإنترنت لم تأتِ خلواً من المنغصات، فراجت سوق الطفيليين (Hckers)، الذين لا همّ لهم سوى التلصّص على معلومات الآخرين، كما ظهر أناس يستمتعون بإلحاق الأذى بالآخرين، إما بحذف وثائقهم المهمة، أو العبث بمحتوياتها، أو نشر البرامج السيئة (Malware) مثل: الديدان، والفيروسات، وأحصنة طروادة ... وغيرها.
ولمقاومة تلك الأخطار والحدّ منها ظهرت تقنيات ومفاهيم متعددة، من أكثرها انتشاراً الجدران النارية (Firewalls)، ولتقريب المعنى للأذهان نقول: إن الجدار الناري نظام مؤلف من برنامج (Software) يجري في حاسب آلي متخصص أو حاسب آلي عادي مثل الحاسبات الشخصية.
ولتوفير بعض الحماية لنفسها، تقوم المنشآت بوضع جدار ناري لعزل شبكتها الداخلية عن شبكة الإنترنت، بيد أن هذا العزل لا يمكن أن يكون كلياً، وذلك للسماح للجمهور بالاستفادة من الخدمات المقدمة، وفي الوقت ذاته منع الطفيليين والمخربين من الدخولويقوم البرنامج الموجود في الجدار الناري بمراقبة المعلومات بين الشبكة الداخلية للمنشأة والعالم الخارجي، ولتحقق الغاية من الجدار الناري فلابد من وضعه في موقع استراتيجي يضمن أن لا تخرج المعلومات أو تدخل إلى الشبكة الداخلية إلاّ عن طريقه، ولذلك فإن الوضع  غير محبذ عند المختصين في مجال أمن المعلومات، لأن الوصول للشبكة الداخلية ممكن عن طريق الاتصال بجهاز المودم، الذي يشكِّل في هذه الحالة بوابة خلفية يلج المتطفلون والمخربون من خلالها.
6. كيف تعمل الجدران النارية؟
لتبسيط هذا الموضوع نقول: إن هناك ثلاثة أساليب في تصميم الجدران النارية، وهي:
أ. غربلة مظاريف البيانات المرسلةPacket Filtering) تنتقل المعلومات على شبكة الإنترنت في صورة مظروف إلكتروني، وإذا كان الجدار الناري مصمماً بهذه الطريقة، فإنه يفحص كل مظروف يمر عبره ويتحقق من الموافقة لشروط معينة، وهذه الشروط تدخل بطريقة خاصة في البرنامج المكوّن للجدار الناري.
ب. غربلة المظاريف مع تغيير عناوين المظاريف القادمة من الشبكة الداخلية (الصادرة)، بحيث لا يرى من الشبكة الداخلية سوى الجدار الناري، فيحجب الجدار كل أجهزة الشبكة المراد حمايتها وينصب نفسه وكيلاً (proxy) عنها، وبهذا تأخذ كل المظاريف القادمة (الواردة) إلى الشبكة الداخلية عنوان الجدار الناري، ويقوم هو عند استلامها بغربلتها، ثم توجيهها إلى وجهتها النهائية. ولابد في هذه الحالة أن يحتفظ الجدار بجدول متابعة يربط فيه بين عناوين المظاريف الصادرة والواردة، وهذا التنظيم يوفّر مقعداً كبر من الحماية مقارنة بالطريقة الأولى، لأن الجدار يحجب عناوين الشبكة الداخلية، مما يصعّب مهمة من أراد مهاجمتها.
ج. مراقبة السياق (Stateful Inspection): هنا يقوم الجدار الناري بمراقبة حقول معينة في المظروف الإلكتروني ويقارنها بالحقول المناظرة لها في المظاريف الأخرى التي في السياق نفسه، ونعني بالسياق هنا مجموعة المظاريف الإلكترونية المتبادلة عبر شبكة الإنترنت بين جهازين لتنفيذ عملية ما، وتجري غربلة المظاريف التي تنتمي لسياق معين إذا لم تلتزم بقواعده، لأن هذا دليل على أنها زرعت في السياق وليست جزءاً منه، مما يولّد غلبة ظن بأنها برامج مسيئة أو مظاريف أرسلها شخص متطفل.
وهناك عدة معايير يمكن استخدام واحد منها أو أكثر لغربلة صحيح المظاريف من سقيمها، ومن هذه المعايير ما يلي:
أ. العنوان الرقمي (IP Address)، وهو رقم يميّز كل مشترك في شبكة الإنترنت، فيمكن للجدار الناري أن يجيز أو يمنع مرور مظروف ما بناء على العنوان الرقمي للمرسل أو المستقبل.
ب. اسم النطاق (Domain Name)، مثل ksu.edu.sa، الذي يدل على جامعة الملك سعود، وتمكن برمجة الجدار الناري، بحيث يمنع مرور المظاريف الإلكترونية القادمة من نطاق معين.
ج. بروتوكول التخاطب المستخدم: المقصود بالبروتوكول هنا الطريقة المعينة للتخاطب وتبادل المعلومات بين طالب الخدمة والجهة التي تقدم تلك الخدمة. وطالب الخدمة هنا قد يكون إنساناً أو برنامجاً مثل المتصفح (Browser)، ومن هذه البروتوكولات:
(1) بروتوكول HTTP: يستخدم لتبادل المعلومات بين برنامج المتصفح ومزود الخدمة في الموقع الذي يزوره المتصفح.
(2) بروتوكول FTP: يستخدم لنقل الملفات وخصوصاً كبيرة الحجم منها بدلاً من إرسالها كمرفقات (Attachments) في البريد الإلكتروني.
(3) بروتوكول SMTP: يستخدم لنقل البريد الإلكتروني.
(4) بروتوكول SNMP: يستخدم لإدارة الشبكات وجمع المعلومات عن بعد.
(5) بروتوكول Telnet: يستخدم للدخول على جهاز ما من بعد وتنفيذ بعض الأوامر داخله.
وهنا نقول إن الشخص المسؤول عن الجدار الناري يمكنه برمجة الجدار الناري، بحيث يغربل المظاريف بناء على البروتوكول المستخدم لتراسل البيانات. وهناك خانة في المظروف تدل على نوع البروتوكول، فيقوم الجدار الناري بمعاينتها، فإن وجد أنه بروتوكول مسموح به، فإن الجدار الناري يسمح للمظروف بالمرور وإلاّ فإنه يحذف المظروف. وهناك معايير أخرى يمكن استخدامها أساساً للغربلة مثل رقم المنفذ الذي سيستقبل المظروف في الجهاز المرسل إليه.
كما يمكن برمجة بعض الجدران النارية للبحث عن كلمات أو عبارات معينة في المظاريف فتحذف منها ما يحتوي على تلك العبارات وتمرر الباقي.
7. لماذا نحتاج إلى تطوير قدراتنا الذاتية لبناء الجدران النارية؟
إن تحقيق قدر معقول من الأمن للمعلومات أمر عسير للغاية، وهذا القول ينطبق على ما كان مستقراً منها في وسائط التخزين في أجهزة الحاسب، أو كان منتقلاً في الشبكات. وتبعاً لذلك يمكن تقسيم أساليب الحماية بشكل إجمالي إلى ما يلي:
(1) حماية سرّية وسلامة المعلومات المستقرة في وسائط التخزين في أجهزة الحاسب (Resident Data): من أهم وسائل الحماية النارية (Firewalls)، وأنظمة كشف الاختراق والتشفير (Intrusion Detection Systems).
(2) حماية سرّية وسلامة المعلومات المنتقلة في الشبكة (Data in Transient): هناك العديد من بروتوكولات الاتصال التي صُممت لتوفير مستويات مختلفة من الحماية للمعلومات المتبادلة مثل (IPSec)، و (SSL/TLS) وغيرهما.
غير أن هناك فرقاً جوهرياً بين الوسائل المتاحة للحماية في القسمين السابقين، ذلك أن التصميم الفني لغالب هذه البروتوكولات المستخدمة لحماية سرّية وسلامة المعلومات المنتقلة في الشبكة متاح للعموم، بل إنه توجد تطبيقات مفتوحة المصدر (Open Source شأنه أن يتيح للمتخصص التحقُّق من أن هذه البروتوكولات تقوم بالوظائف التي يزعم أنها صُممت من أجلها، فالمواصفات الفنية لبروتوكول (SSL/TLS) مثلاً مفصّلة في وثيقة RFC2246، التي يمكن تنزيلها من شبكة الإنترنت، كما يمكن تنزيل تطبيق مفتوح المصدر لبروتوكول (SSL/TLS) من موقع (http//www.openssl.org).
أما الجدران النارية وأنظمة كشف الاختراق، فإن الغالب احتكار تصميمها الفني وبرامجها المصدرية، يضاف إلى هذا أن نظام التشغيل من شركة مايكروسوفت (Windows) واسع الانتشار في عالم أجهزة الحاسبات الشخصية محتكر برنامجه المصدري، وعلى هذا فإن وجود أبواب خلفية (Backdoors) في هذه الأنظمة أمر لا يمكن استبعاده، ولأن تطوير نظام تشغيل متكامل مهمة شاقة، تدعو الحاجة إلى تطوير أنظمة جدران نارية، وأنظمة كشف الاختراق بقدرات وطنية لتقليل المخاطر الناجمة عن الأبواب الخلفية المشار إليها آنفاً. ويجب ألاّ يغيب عن الذهن أن هذه المخاطر تطال كل أنظمة المعلومات التابعة للدولة أو للقطاع الخاص على حد سواء.
ومما يشجع على تطوير أنظمة جدران نارية وأنظمة كشف الاختراق بقدرات وطنية، حجم سوق هذه الأنظمة، فقد بلغ حجم سوق أنظمة الجدران النارية (1،3) مليار دولار عام 2003م، ويُتوقع أن يصل إلى (6،18) ملياراً عام 2009م(3). أما سوق أنظمة كشف الاختراق فقد بلغ حجمها (600) مليون دولار عام 2001م، ويُتوقع أن يصل إلى (45،1) مليار عام 2006م
ولكن تطور هذه الأنظمة يستلزم توطين تقنياتها محلياً، وهذا بدوره يجعل إنشاء مراكز أبحاث خاصة بهذه التقنيات أمراً محتماً، ولهذا نقترح إنشاء مركز للأبحاث المتقدمة في مجال أمن المعلومات، وتتلخص مهمة المركز في الحصول على التقنية المتعلقة بأمن المعلومات، وتوطين تلك التقنية بالمساهمة في خلق بيئة تقنية تساعد في تحويل المعرفة المكتسبة في هذا المجال إلى مشاريع تجارية تحقق بدورها عائدات ربحية.
والتقنية المتعلقة بأمن المعلومات لها شقان، أحدهما دفاعي والآخر هجومي، وما يعنينا من تقنيات هذين الشقين هو ما يلي:
أ. الشق الدفاعي:
(1) بناء الجدران النارية (Firewalls).
(2) بناء أنظمة كشف الاختراق (Intrusion Detection Systems).
ب. الشق الهجومي:
(1) تطوير تقنيات اختراق أنظمة المعلومات.
(2) تطوير البرمجيات المفخخة (Miliclouse Code).
وأري أنه رغم أن مهمة المركز الوطني السعودي لأمن المعلومات الرئيسة ستكون تطوير وتوطين التقنيات ذات الصبغة الدفاعية، إلا أنه يجب أن يضطلع أيضاً بتطوير وتوطين التقنيات ذات الصبغة الهجومية، لأن كلا النوعين مطلوب كجزء من منظومة حرب المعلومات التي يتحتم امتلاكها.
ويقترح لتنفيذ المشروع مراعاة التالي:
أ. الاستعانة بالخبرات الأجنبية في المراحل الأولى لتكوين النواة الأولى (Core Team)، مع إحلال السعوديين تدريجياً.
ب. التعاون مع الجامعات لاستقطاب الخريجين المتميزين.
ج. في بيئة البحث، يراعى استخدام التقنيات (الآمنة) المتاحة حالياً، لتقليل الصعوبات الفنية التي سيواجهها الباحثون، وتركيز جهودهم البحثية على تطوير الأنظمة ذاتها بدلاً من تشتيتها في محاولة تطوير حلول متكاملة منذ البداية.
ومن المقترحات في هذا الصدد:
(1) استخدام معدات الحاسب التجارية المخصصة بدلاً من بنائها من العدم.
(2) استخدام نظام (Linux) مفتوح المصدر كنظام تشغيل تعمل فوقه الأنظمة بعد تطويرها مع التخطيط، لإحلال نظام تشغيل خاص محله، على أن يبني المختصون في المركز هذا النظام الخاص في مراحل لاحقة.