الخميس، 29 سبتمبر 2011

كيفية تحديد مشتركي الأنترنت في شبكة WorkGroup



منذ حوالي الأسبوع قام أحد الأشخاص بطرح سؤال في موقع Isecurity حول كيفية السماح لأشخاص معينين فقط بأستخدام الأنترنت في شبكة WorkGroup بحيث يستطيع 5 أشخاص الوصول للانترنت ومشاركة الملفات وخمسة آخرين يستطيعوا الوصول لملفات المشاركة فقط وأحببت أن أشارككم الطريقة التى أتبعتها في  أحد المرات

بداية أحب أن اوضح أن هناك أكثر من طريقة لذا سوف أذكر طريقتان للقيام بهذا الأمر
الطريقة الأولى : فكرته بسيطة جدا ولكن تحتاج إلى سويتش قابل للتحكم فيه أو Managed Switch وذلك من خلال الدخول على أعدادات السويتش والقيام بأغلاق البورت 80 والبورت 443 عن المنافذ التى لانريد السماح لها بالاتصال بالأنترنت وأنتهى الموضوع
الطريقة الثانية : وهي الطريقة التى قمت بتطبيقها في أحد الشركات وفكرتها ببساطة تتم من خلال أستخدام برنامج بروكسي يدعى CCPROXY وهو برنامج امكانياته كبيرة جدا من حيث تحديد الباندويدث تحديد الأيبات التى تريد السماح لها مع ربطها من خلال الماك أدريس وبالأضافة إلى Web Cashed لتسريع التصفح وفلترة المواقع والكثير الكثير تستطيع تحميل البرنامج من موقع البرنامج على الرابط التالي http://www.youngzsoft.net/ccproxy/ بعد تحميل البرنامج وتسطيبه على الجهاز نفتح البرنامج لنجد واجهة البرنامج التالية

وكما يتضح لكم من الصورة أن البرنامج تجريبي ويسمح لثلاث أشخاص فقط أستخدام البرنامج لذ فهو يحتاج إلى تسجيل وأول خطوة سوف نقوم بعملها هي الدخول إلى نافذة Options لأعداد البرنامج لذا نضغط عليها لتواجهنا هذه النافذة

من خلال هذه النافذة نستطيع أن نلاحظ ثلاث عواميد
الأول Proxy Services وهو خاص بالخدمات التى تريد السماح لها بالعمل عند أجهزة العملاء مع وجود بعض الخيارات الآخرى مثل تشغيل البرنامج مع أقلاع الويندوز بالأضافة إلى أمكانية تفعيل الـ Web Cashed من أجل حفظ الصفحات في الكاش تستطيع ان تتحكم بهذا الموضوع بشكل اكبر من خلال الخيارات المتقدمة
الثاني Protocol وهو خاص بتحديد البروتوكولات التى تريد السماح لها بالعمل على أجهزة العملاء
والثالث Port من اجل تحديد البورتات التى سوف تعمل عليها البروتوكولات التى قمنا بتحديدها وأن كان أكثر ما يلزمنا منها هو أول بورت وهو الخاص بي HTTP و (https) Secure
بعد عمل الأعدادات المناسبة وتحديد البروتوكولات التى نريد السماح لها بالعمل نقوم بالضغط على زر موافق وننتقل للخيار التالي وهو Account

اول شيء نقوم به هو تغيير Permit Category إلى Permit Only لنقوم بعدها بأضافة الأيبيات التى نريد السماح لها بأستخدام البروكسي وذلك من خلال الزر New وهذه صورة توضيحية لكيفية أضافة أيبي

اول شيء نقوم بكتابة الأيبي الخاص بالجهاز المراد السماح له بأستخدام البروكسي والماك أدريس الخاص به وبعدها نستطيع أن نحدد أقصى عدد للـConnections المسموح بها وطبعا تحديد سرعة التحميل والرفع وتحديد الخدمات المسموح له بها (اختيار -1 يعني عدد أو رقم غير محدد ) وإذا كان هناك مواقع تريد أن تقوم بفلترتها تستطيع من خيار Web Filter وآخيرا تحديد أوقات العمل المسموح بها وتحديد موقع أغلاق البروكسي على العميل أو المشترك لان البرنامج ممكن أن يفيدك في حال لو كان عندك شبكة وتقوم بتوزيع النت عليهم
إلى هنا نكون تقريبا انتهينا من أعداد البرنامج وبقي علينا خطوة واحدة وهي التوجه إلى جهاز العميل والدخول إلى أعدادات المتصفح وكتابة أيبي كرت الشبكة والذي يمثل الـ gateway والذي قمنا طبعا بتثبيت برنامج البروكسي عليه وتحديد البورت الذي قمنا بكتابته في البرنامج وهذه صورة توضيحية من متصفح فايرفوكس (هناك خطأ صغير في الايبي بحيث يجب ان يكون 192.168.238.1)

ونقوم بنفس العملية مع البرامج التى تحتاج أتصال مع الأنترنت مثل الماسنجرات
كلمة آخيرة وهي أمكانيات هذه البرنامج كبيرة جدا وهذه لائحة بها باللغة الانكليزية :
-Modem, Cable Modem, ISDN, ADSL, Satellite, DDN and so on are supported(more).
-HTTP, FTP, Gopher, SOCKS4/5, Telnet, Secure (HTTPS), News (NNTP), RTSP and MMS proxy are supported.
-Port Mapping is supported.
-Web cache can enhance browsing speed. The size and refresh time of the cache can be easily changed.
-Bandwidth control flexibly manages the traffic usage of clients.
-Time schedule can easily control the clients’ on-line time(access time control).
-Web filter can ban the specified web sites or content, It can also name specific web sites for browsing.
-URL filtering prevents users from downloading files with designated extensions via IE.
-There are seven types of account authentication: IP address, IP range, MAC address, User Name/Password, IP + User Name/Password, MAC + User Name/Password and IP + MAC.
Parent proxy function enables CCProxy to access the Internet via another proxy.
-Dial-On-Demand, remote dial up and auto disconnect are supported.
-Access Logging can keep a full record of the Internet access log.
-It enables IE and Netscape to access the Internet through HTTP/Secure/FTP (Web)/Gopher.
-SOCKS5 proxy support allows use of ICQ, MSN Messenger, Yahoo Messenger, CuteFTP, CuteFTP Pro and WS-FTP.
-Mail proxy supports Outlook, Eudora etc.
-Supports NetTerm accessing the Internet via Telnet proxy.
-Supports Outlook connecting to the News server via News proxy.
-Support SOCKS5 and web authentication.
-Support for Real Player RTSP proxy and Media Player MMS proxy.
-Built-in DNS can resolve domain names.
-Win98/WinMe/WinNT/Win2000/WinXP/Win2003/Vista compatible.
-Bandwidth usage statistics


الجمعة، 23 سبتمبر 2011

كيفية إعداد الـ Static Arp

لماذا أقوم بأعداد Static Arp على الروترات ؟

لكي أجيبك على السؤال يحتاج الأمر مني أن أعود قليلا لبعض الاساسات التى درسناها في الشبكات فكما نعلم أن الباكيت التى تصل إلى الروتر يتم عمل Deencapsulte للباكيت ويتم إعادة تغيير الماك أدريس الـSource& Destination لكي تطابق الـ Next Hop وغالبا مايعود الروتر إلى الـ Arp Table أو Arp cashe لمعرفة هذه التفاصيل فإن لم يجد مطلبه فسوف يتم إرسال Arp Request للوصول إلى الماك أدريس المطلوب وهي الفكرة التى أردت توصيلها لك فعوضا عن قيام الروتر بهذه العملية سوف نقوم بربط الأيبي بالماك أدريس الخاص فيه بشكل يدوي وذلك من خلال الـ Static ARP بهدف رفع اداء الروتر ولو كان هذا الرفع شيء بسيط لكن مفيد في نفس الوقت ولكي نقوم بالأعداد على أجهزة سيسكو نقوم بكتابة الأمر التالي في الـ Configuration Mode :
IOS
arp ip-address hardware-address type [alias


كما هو واضح من الأمر نقوم بكتابة الأمر arp وبعدها نقوم بكتابة الأيبي والماك أدريس الخاص فيه وكلمة Type من أجل Encapsulation description فقط فلو كان المنفذ من نوع إيترنت فهي سوف تكون arpa أما لو كان المنفذ فايبر فهي سوف تكون Snap أما الأضافة الآخيرة Alies فهي آختيارية لتمكين الـ IOS من الرد على طلبات الـ Arp Request على أساس أن هذا الأيبي هو خاص فيه .
أما طريقة الأعداد على أجهزة جونيبر فهي تتم أولا بالتوجه إلى المسار التالي [edit interfaces interface-name unit logical-unit-number family inet address address]
وكتابة الأمر التالي :
IOS
Set arp ip-address (mac) mac-address
لماذا أقوم بأعداد Static Arp على أنظمة التشغيل ؟
هدفنا الأساسي من هذه العملية هي الامن والحماية فنحن نعلم أن هناك هجمات تقوم بتزويير الماك أدريس والتى تعرف بي الـArp spoofing والتى سوف أتحدث عنها قريبا إن شاء الله لذا سوف أقوم بربط الأيبي مع الماك أدريس الخاص فيه خوفا من هذا النوع من الهجمات وطريقة الأعداد بسيطة جدا وهي موضحة بالصورة القادمة

كما هو واضح الأمر هو arp –s متبوعا بي الأيبي والماك أدريس المطلوب
وآخيرا لأعداد الـ Static Arp على الأنطمة المفتوحة المصدر مثل لينوكس وأبنتوا والخ…. فهي تتم من خلال الأمر التالي
arp -i eth0 -s ip-address mac-address

أكثر شخص حاصل على شهادة CCIE في العالم


تدوينة صغيرة جدا وأن كنت لا أعدها تدوينة بالأساس لكن أثرت أن أشير اليوم إلى أكثر شخص حاصل على شهادات CCIE في العالم اليوم وبالصدفة وجدت على موقع learningnetwork الخاص بسيسكو على شخص كوري الأصل يحمل خمس شهادات من CCIE الموضحة بالصورة فوق وهو الآن في مرحلة التجهيز للشهادة السادسة الخاصة بالوايرليس
الشاب الكوري والذي أسمه Chang-Min أتم الشهادة الخامسة من حوالي الثلاث أشهر فقط وقد تتفأجئ إذا أخبرتك بأنه بعد أربع أيام فقط من النجاح قد أنضم لمجموعة لدراسة وتجهيز شهادة الـ CCIE Wireless وسبب كتابتي عنه فقط من أجل أن تعلم يا أخي العزيز أن الوقت الذي لديك يساوي ذهب لكن أحيانا نسيئ تقديره وأعلم أيضا أن مهما كان عمرك أن هناك دائم وقت تستطيع ان تحقق فيه أكثر بكثير مما تحلم به فترتفع أنت ونحن وأمتنا إلى مستوى أعلى وأفضل مما نحن عليه لذا أخي العزيز أحرص دائما على أن تتعلم كل يوم شيء جديد ودمتم بود
ملاحطة صغيرة هدف التدوينة هو الإشارة إلى قيمة الوقت فقط وليس عدد الشهادات

أكثر من 170 برنامج خاص بالشبكات في ملف واحد

أثناء تفقدي للملفات القديمة الموجودة عندي وجدت بالصدفة تجميعة برامج خاصة بالشبكات تدعى Net Tools الأصدار الثالث وبعد زيارتي لموقع التجميعة وجدت أن الأصدار الخامس منها قد نزل ويحوي على 174 برنامج مفيد في الشبكات منها للمراقبة ومنها للمسح ومنها خاص بالأمن والحماية وطبعا قسم منها خاص بالأدارة وهذه قائمة بالبرامج الموجودة وحجم الملف 25 ميغا فقط

1) IP Address Scanner
2) IP Calculator
3) IP Converter
4) Port Listener
5) Port Scanner
6) Ping
7) NetStat (2 ways)
8 ) Trace Route (2 ways)
9) TCP/IP Configuration
10) Online – Offline Checker
11) Resolve Host & IP
12) Time Sync
13) Whois & MX Lookup
14) Connect0r
15) Connection Analysator and protector
16) Net Sender
17) E-mail seeker
18) Net Pager
19) Active and Passive port scanner
20) Spoofer
21) Hack Trapper
22) HTTP flooder (DoS)
23) Mass Website Visiter
24) Advanced Port Scanner
25) Trojan Hunter (Multi IP)
26) Port Connecter Tool
27) Advanced Spoofer
28) Advanced Anonymous E-mailer
29) Simple Anonymous E-mailer
30) Anonymous E-mailer with Attachment Support
31) Mass E-mailer
32) E-mail Bomber
33) E-mail Spoofer
34) Simple Port Scanner (fast)
35) Advanced Netstat Monitoring
36) X Pinger
37) Web Page Scanner
38) Fast Port Scanner
39) Deep Port Scanner
40) Fastest Host Scanner (UDP)
41) Get Header
42) Open Port Scanner
43) Multi Port Scanner
44) HTTP scanner (Open port 80 subnet scanner)
45) Multi Ping for Cisco Routers
46) TCP Packet Sniffer
47) UDP flooder
48) Resolve and Ping
49) Multi IP ping
50) File Dependency Sniffer
51) EXE-joiner (bind 2 files)
52) Encrypter
53) Advanced Encryption
54) File Difference Engine
55) File Comparasion
56) Mass File Renamer
57) Add Bytes to EXE
58) Variable Encryption
59) Simple File Encryption
60) ASCII to Binary (and Binary to ASCII)
61) Enigma
62) Password Unmasker
63) Credit Card Number Validate and Generate
64) Create Local HTTP Server
65) eXtreme UDP Flooder
66) Web Server Scanner
67) Force Reboot
68) Webpage Info Seeker
69) Bouncer
70) Advanced Packet Sniffer
71) IRC server creater
72) Connection Tester
73) Fake Mail Sender
74) Bandwidth Monitor
75) Remote Desktop Protocol Scanner
76) MX Query
77) Messenger Packet Sniffer
78) API Spy
79) DHCP Restart
80) File Merger
81) E-mail Extractor (crawler / harvester bot)
82) Open FTP Scanner
83) Advanced System Locker
84) Advanced System Information
85) CPU Monitor
86) Windows Startup Manager
87) Process Checker
88) IP String Collecter
89) Mass Auto-Emailer (Database mailer; Spammer)
90) Central Server (Base Server; Echo Server; Time Server; Telnet Server; HTTP Server; FTP Server)
91) Fishing Port Scanner (with named ports)
92) Mouse Record / Play Automation (Macro Tool)
93) Internet / LAN Messenger Chat (Server + Client)
94) Timer Shutdown/Restart/Log Off/Hibernate/Suspend/ Control
95) Hash MD5 Checker
96) Port Connect – Listen tool
97) Internet MAC Address Scanner (Multiple IP)
98) Connection Manager / Monitor
99) Direct Peer Connecter (Send/Receive files + chat)
100) Force Application Termination (against Viruses and Spyware)
101) Easy and Fast Screenshot Maker (also Web Hex Color Picker)
102) COM Detect and Test
103) Create Virtual Drives
104) URL Encoder
105) WEP/WPA Key Generator
106) Sniffer.NET
107) File Shredder
108) Local Access Enumerater
109) Steganographer (Art of hiding secret data in pictures)
110) Subnet Calculater
111) Domain to IP (DNS)
112) Get SNMP Variables
113) Internet Explorer Password Revealer
114) Advanced Multi Port Scanner
115) Port Identification List (+port scanner)
116) Get Quick Net Info
117) Get Remote MAC Address
118) Share Add
119) Net Wanderer
120) WhoIs Console
121) Cookies Analyser
122) Hide Secret Data In Files
123) Packet Generator
124) Secure File Splitting
125) My File Protection (Password Protect Files, File Injections)
126) Dynamic Switch Port Mapper
127) Internet Logger (Log URL)
128) Get Whois Servers
129) File Split&Merge
130) Hide Drive
131) Extract E-mails from Documents
132) Net Tools Mini (Client/Server, Scan, ICMP, Net Statistics, Interactive, Raw Packets, DNS, Whois, ARP, Computer’s IP, Wake On LAN)
133) Hook Spy
134) Software Uninstaller
135) Tweak & Clean XP
136) Steganographic Random Byte Encryption
137) NetTools Notepad (encrypt your sensitive data)
138) File Encrypter/Decrypter
139) Quick Proxy Server
140) Connection Redirector (HTTP, IRC, … All protocols supported)
141) Local E-mail Extractor
142) Recursive E-mail Extractor
143) Outlook Express E-mail Extractor
144) Telnet Client
145) Fast Ip Catcher
146) Monitor Host IP
147) FreeMAC (MAC Address Editor)
148) QuickFTP Server (+user accounts support)
149) NetTools Macro Recorder/Player (Keybord and Mouse Hook)
150) Network Protocol Analyzer
151) Steganographic Tools (Picture, Sounds, ZIP Compression and Misc Methods)
152) WebMirror (Website Ripper)
153) GeoLocate IP
154) Google PageRank Calculator
155) Google Link Crawler (Web Result Grabber)
156) Network Adapter Binder
157) Remote LAN PC Lister
158) Fast Sinusoidal Encryption
159) Software Scanner
160) Fast FTP Client
161) Network Traffic Analysis
162) Network Traffic Visualiser
163) Internet Protocol Scanner
164) Net Meter (Bandwidth Traffic Meter)
165) Net Configuration Switcher
166) Advanced System Hardware Info
167) Live System Information
168) Network Profiler
169) Network Browser
170) Quick Website Maker and Web Gallery Creator
171) Remote PC Shutdown
172) Serial Port Terminal
173) Standard Encryptor
174) Tray Minimizer
175) Extra Tools (nmap console & win32 version)

                           الرابط

ماذا يقدم بروتوكول الـ CGMP للشبكة ؟

ماهي المشكلة التى يسببها الـIGMP في الشبكة ؟
لنتفق بداية على أن بروتوكول الـ IGMP هو بروتوكول يعمل على الطبقة الثالثة ووظيفته الرئيسية هي ربط الأجهزة التى تريد الأنضمام إلى سيرفرات الملتي كاست

في هذا المجسم البسيط يتضح لنا أن الجهاز رقم ثلاثة يحتاج إلى الأنضمام إلى الملتي كاست سيرفر وللأنضمام يقوم هذا الجهاز بأرسال IGMP Membership Report كما تعلمنا من التدوينة السابقة والتى يأخذها السويتش بدوره ويمررها إلى الروتر الذي يستجيب لهذا الطلب من خلال أرسال البث إلى الجهاز لكن لنتوقف لحظة هنا ونتأمل قليلا الموقف الروتر يرسل الطلب إلى السويتش والسويتش كما هو معروف عنه انه من الطبقة الثانية ولايستطيع ان يفهم أو يتعلم ماهو الأيبي لانه يتعامل دائما مع الماك أدريس ولنفرض مثلا أن عنوان السيرفر هو 220.8.8.8 عندها سوف يكون الماك أدريس الخاص بهذا الملتي كاست ترافيك هو o100.5e08.0808 يستلم السويتش هذا الترافيك وهذا العنوان ويبحث في الماك أدريس تايبل ولا يجد شيء والحل الأفتراضي له هو عمل Flooding لكل المنافذ التي لديه وطبعا الذي سوف يستجيب لهذا الترافيك هو الجهاز رقم ثلاثة فقط أما باقي الأجهزة فلن تستفيد منه شيء وأتوقع انك بدأت تفهم المشكلة التى وقعت في الشبكة هنا ؟ لانك تستطيع ان تتخيل معي الباندويث الذي يستهلك على الشبكة وخصوصا اننا هنا وفي هذا المثال نتحدث عن شبكة صغيرة تضم أربع أجهزة فقط فما بالك لو كانت شبكة تضم مئات المستخدمين.
ولحل هذه المشكلة لدينا حلان أثنان :
الأول ان نستخدم بروتوكول الـ CGMP .وهو حديثنا لهذا اليوم
الثاني أن نستخدم IGMP Snooping .لاحقا ان شاء الله
ماهو بروتوكول الـ CGMP ؟
CGMP أو Cisco Group Management Protocol وكما يتضح لكم أن أحد تطويرات شركة سيسكو وخاص وحصري على أجهزتها وهو بروتوكول يعمل على الطبقة الثانية Data Link ويتم أعداده على كل من الروتر والسويتش.
ماذا يقدم لنا هذا البروتوكول ؟
الهدف الرئيسي لهذا البروتوكول هو أتاحة أمكانية التواصل بين الروترات مع أجهزة الطبقة الثانية أي السويتشات وتقديم المعلومات اللأزمة لها والتى استلمها من بروتوكول الـ IGMP لان الروتر هو الوحيد الذي يعلم العنوان الفيزيائي للأجهزة التى تبحث عن الملتي كاست سيرفر وبالتالي أرسالها عبر بروتوكول الـ CGMP إلى السويتش لكي يقوم بأضافته إلى الـ CAM Table وبهذه الطريقة نكون قد حللنا المشكلة.
آلية عمل البروتوكول
فهم آية عمل البروتوكول هي غايتي من كل هذه التدوينة وهي مربط الفرس لكل حديثنا هذا ولفهم الخطوات سوف نأخذ هذا الشكل ونبدأ الشرح عليه وقبل أن ننطلق لاتنسى ان علينا تفعيل البروتوكول على الروتر وعلى السويتش وكل واحد على المنفذ المتصل مع الآخر ومن خلال أمر واحد وبسيط “ip cgmp“

الجهاز رقم ثلاثة يرغب بالأنضمام إلى مجموعة البث على السيرفر 220.8.8.8 وهذا طبعا يتم من خلال أرسال طلب الأنضمام إلى الروتر المسؤول عن هذه العملية من خلال بروتوكول الـ IGMP
عندما يستلم الروتر الطلب يرد على هذا الطلب بأرسال CGMP Join Message لكن إلى من ؟ إلى السويتش طبعا وتكون محتويات هذه الرسالة على الشكل التالي :
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>
1 byte
6 bytes
1 byte
6 bytes
1 byte
Version
Unicast Source Address
Type
Group Destination Address
Count
Version دائما صفر لان هذا البروتوكول يملك أصدار واحد فقط.
Unicast Source Address أو USA فيه يتم أرسال الماك أدريس الخاص بالجهاز (الكمبيوتر رقم ثلاثة).
Type وفيه تتحدد نوعية هذه الرسالة Join=0, Leave=1.
Group Destination Address أو GDA وفيه يتم كتابة الماك أدريس الخاص بالسيرفر.
Count عدد الثنائيات التى أرسلها USA&GDA لانه أحيانا يرسل أكثر من ثنائي.
لنجمع الآن معلوماتنا بعد أن يستلم الروتر الطلب يقوم بأرسال هذا الفريم لكل السويتشات الموجودة على الشبكة من خلال عنوان فيزيائي تعرفه وتفهمه سويتشات سيسكو فقط وعنوانه o100.0cdd.dddd.
عندما ترسل هذه الرسالة تكون السويتشات في حالة تنصت على الشبكة وتحديدا على العنوان الفيزيائي السابق

عندما يستلم السويتش هذه الرسالة يقوم أولا بالبحث عن الماك أدريس الموجود في خانة الـ USA ويحدد على أي منفذ هو موجود ولنفرض مثلا على المنفذ fe0/0 .
في الخطوة القادمة يقوم السويتش بعمل جدول يجمع الماك أدريس الموجود في خانة الـGDA ويربطه مع المنفذ الخاص بالماك أدريس للجهاز الذي يريد الدخول إلى الملتي سيرفر والذي فرضنا أنه fe0/0 وطبعا هذه الخطوة تمت في الخطوة السابقة وهي معرفة المنفذ .
بهذه الخطوة يكون السويتش جاهز لتحديد هوية الشخص الذي يريد الدخول إلى السيرفر وبهذه الطريقة نكون قد حللنا هه المشكلة لان الترافيك الخاص بالملتي كاست عندما يصل إلى السويتش سيتوجه حسب جدول الـ CGMP والذي يوضح من هي البورتات التى تريد هذا الترافيك .
شاهد معي هذه الصورة التوضيحية السريعة لكيفية سير العملية

وقبل أن أنهي تدوينتي أرغب أن أذكر بالأمر الذي يقوم بعرض الجدول الذي يقوم السويتش بعمله والذي يجمع الـGDA مع المنفذ الخاص بالجهاز وهو
Cisco's
Switch_B (enable) show cam system
* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
X = Port Security Entry
VLAN Dest MAC/Route Des    [CoS]      Destination Ports or VCs / [Protocol Type]
—- —————— —– ——————————————-
1 00-10-2f-00-14-00                  #                         7/1
1 00-e0-fe-4b-f3-ff                      #                          1/9