WEBVTT 00:00.270 --> 00:01.103 -: سنركز في هذا 00:01.103 --> 00:03.690 الدرس على المراقبة والتدقيق. 00:03.690 --> 00:05.343 لنبدأ بالمراقبة أولاً. 00:05.343 --> 00:06.930 عندما نتحدث عن المراقبة، 00:06.930 --> 00:09.090 فإن إحدى الوظائف الرئيسية لمحلل 00:09.090 --> 00:11.130 الأمن هي مراقبة الشبكة. 00:11.130 --> 00:12.150 نحن مثل المحققين. 00:12.150 --> 00:13.350 نحن نحاول استئصال أي 00:13.350 --> 00:14.970 شيء لا يبدو صحيحًا تمامًا 00:14.970 --> 00:18.180 ويمكن القيام بذلك يدويًا أو من خلال وسائل آلية. 00:18.180 --> 00:21.150 الآن، يعد سجل النظام بروتوكولًا لتمكين الأجهزة 00:21.150 --> 00:23.820 والتطبيقات البرمجية المختلفة من إرسال سجلاتها 00:23.820 --> 00:26.520 أو سجلات الأحداث إلى خادم مركزي. 00:26.520 --> 00:30.300 الآن سيتبع سجل النظام نموذج خادم العميل القياسي. 00:30.300 --> 00:33.030 وهذا هو المعيار الفعلي لتسجيل الأحداث 00:33.030 --> 00:35.490 من الأنظمة الموزعة عبر الشبكة. 00:35.490 --> 00:38.820 ستشاهد سجل النظام قيد الاستخدام في العديد من الأنظمة 00:38.820 --> 00:40.950 التي ستعمل عليها يوميًا. 00:40.950 --> 00:43.590 يعمل سجل النظام الآن على معظم أنظمة التشغيل 00:43.590 --> 00:45.270 وعلى معظم معدات الشبكات. 00:45.270 --> 00:47.310 لذا، سواء كنت تستخدم جهاز توجيه Cisco أو كنت تستخدم 00:47.310 --> 00:49.920 جهازًا يعمل بنظام التشغيل Windows أو خادم Linux، فيمكن لجميع 00:49.920 --> 00:51.630 هذه الأجهزة استخدام سجل النظام. 00:51.630 --> 00:53.490 الآن، عندما نرسل هذه الرسائل 00:53.490 --> 00:55.920 مرة أخرى، كيف تبدو رسالة سجل النظام؟ 00:55.920 --> 00:58.860 حسنًا، ستحتوي رسالة سجل النظام على شيئين. 00:58.860 --> 01:01.530 أنه يحتوي على رمز PRI، وهو رمز الأولوية. 01:01.530 --> 01:04.410 يحتوي على رأس ويحتوي على جزء من الرسالة. 01:04.410 --> 01:05.610 دعونا نتحدث عن كل من هذه. 01:05.610 --> 01:08.040 أولاً، لدينا رمز PRI هذا، وهذه الأولوية، 01:08.040 --> 01:10.200 وسيتم حسابها بناءً على المنشأة 01:10.200 --> 01:12.450 ومستوى خطورة البيانات. 01:12.450 --> 01:13.710 بعد ذلك، لدينا رأس وسيحتوي 01:13.710 --> 01:15.570 الرأس على الطابع الزمني للحدث 01:15.570 --> 01:17.190 واسم المضيف. 01:17.190 --> 01:20.160 لذلك نحن نعرف من أين جاء وفي أي وقت كان. 01:20.160 --> 01:22.230 وأخيرًا، لدينا جزء الرسالة، الذي يحتوي 01:22.230 --> 01:24.360 على العملية المصدر للحدث والمحتوى ذي 01:24.360 --> 01:27.330 الصلة، ما هي البيانات التي حدثت بشكل أساسي وما الذي تريد 01:27.330 --> 01:28.560 إخبارنا عنه؟ 01:28.560 --> 01:30.570 وهذه هي الفكرة هنا مع جزء الرسالة. 01:30.570 --> 01:33.390 هذا هو اللحم والبطاطس لهذه الرسالة. 01:33.390 --> 01:34.800 الآن، عندما تعاملنا مع سجل 01:34.800 --> 01:37.770 النظام، هناك بعض العيوب فيه في الإصدار الأصلي. 01:37.770 --> 01:40.230 يعتمد البروتوكول الأصلي على UDP. 01:40.230 --> 01:42.990 يمكن أن يتسبب هذا الآن في حدوث مشكلات في التسليم مع الشبكات 01:42.990 --> 01:45.510 المزدحمة لأن UDP عبارة عن بروتوكول حريق ونسيان. 01:45.510 --> 01:46.920 يرسلها ولا ينتظر الرد 01:46.920 --> 01:48.270 والاعتراف. 01:48.270 --> 01:50.250 ولذا فهو يفترض أنه وصل إلى هناك. 01:50.250 --> 01:51.420 إذا كانت لديك شبكة 01:51.420 --> 01:53.051 مزدحمة، فقد يتم إسقاط بياناتك 01:53.051 --> 01:55.500 وبالتالي لن تصل معلوماتك إلى خادم السجل 01:55.500 --> 01:57.630 ولن يتم تسجيلها. 01:57.630 --> 01:59.760 في الأيام الأولى، ربما كان هذا أمرًا جيدًا، 01:59.760 --> 02:00.930 لأن الناس افترضوا أن كل 02:00.930 --> 02:02.520 شخص على شبكتك جدير بالثقة، ولكن 02:02.520 --> 02:04.080 في هذه الأيام لا نريد ذلك. 02:04.080 --> 02:05.760 نريد التأكد من وصول بياناتنا إلى هناك. 02:05.760 --> 02:07.920 لذلك سيتعين علينا التوصل إلى حل لهذا الأمر. 02:07.920 --> 02:09.690 والشيء الثاني هو أنه لا يوجد الكثير 02:09.690 --> 02:11.640 من الضوابط الأمنية الأساسية. 02:11.640 --> 02:14.070 لم يكن هناك أي شيء مثل التشفير أو المصادقة المضمن 02:14.070 --> 02:16.080 بشكل افتراضي في سجل النظام. 02:16.080 --> 02:17.850 وكان هذا مرة أخرى عيبًا آخر. 02:17.850 --> 02:20.250 لذلك، في التطبيقات الحديثة لسجل النظام، 02:20.250 --> 02:21.750 قمنا بتصحيح هذه الأشياء. 02:21.750 --> 02:23.220 الآن، وبسبب هذه المشكلات الأمنية، 02:23.220 --> 02:25.590 أضافت تطبيقات سجل النظام الأحدث لدينا الكثير من 02:25.590 --> 02:27.510 الميزات والإمكانيات المختلفة. 02:27.510 --> 02:29.400 وسوف نتحدث عن اثنين منهم هنا. 02:29.400 --> 02:32.460 تستخدم التطبيقات الأحدث الأولى بروتوكول 02:32.460 --> 02:34.170 TCP للتسليم المتسق. 02:34.170 --> 02:36.360 بهذه الطريقة، إذا أصبحت الشبكة مزدحمة ولم تتمكن 02:36.360 --> 02:37.770 هذه الرسالة من الوصول إلى هناك، 02:37.770 --> 02:39.600 فسوف تقوم بإعادة تسليمها مرارًا وتكرارًا 02:39.600 --> 02:41.220 لأنها تستخدم TCP. 02:41.220 --> 02:43.470 التحسين الثاني، وهو التطبيقات الأحدث، 02:43.470 --> 02:46.230 يمكنه استخدام TLS، أو أمان طبقة النقل، لتشفير 02:46.230 --> 02:49.050 رسائلك المرسلة إلى الخوادم. 02:49.050 --> 02:50.760 وبهذه الطريقة لا يمكن لشخص آخر على الشبكة 02:50.760 --> 02:52.580 قراءة البيانات أثناء النقل. 02:52.580 --> 02:55.200 ولا يمكن قراءتها إلا من خلال نقطة النهاية التي 02:55.200 --> 02:57.510 أرسلتها والخادم الذي يستقبلها. 02:57.510 --> 02:58.343 الشيء الثالث 02:58.343 --> 03:02.130 هو أن التطبيقات الأحدث تستخدم أيضًا MD5 وSHA1 03:02.130 --> 03:04.950 لتوفير المصادقة والنزاهة. 03:04.950 --> 03:07.770 بهذه الطريقة يمكن أن تتمتع الرسائل بمصادقة 03:07.770 --> 03:10.080 الرسالة وسلامتها أثناء عبورها لشبكتك 03:10.080 --> 03:12.930 للتأكد من عدم العبث بها من قبل أي شخص آخر. 03:12.930 --> 03:14.730 مرة أخرى، الكثير من الميزات الأخرى. 03:14.730 --> 03:16.920 أنا لا أركز كثيرًا على هذه المجموعة، 03:16.920 --> 03:19.290 لأن العناصر الثلاثة الكبرى التي نهتم بها 03:19.290 --> 03:21.900 هي أننا انتقلنا إلى TCP من أجل تسليم ثابت. 03:21.900 --> 03:23.910 لقد انتقلنا إلى TLS للتشفير، 03:23.910 --> 03:26.130 وبدأنا في استخدام MD5 وSHA1 للمصادقة 03:26.130 --> 03:28.050 والنزاهة. 03:28.050 --> 03:30.090 يُطلق على هذا الإصدار الأحدث 03:30.090 --> 03:33.810 من الخادم الآن اسم syslog-ng، أو rsyslog، أو الجيل 03:33.810 --> 03:35.490 التالي من سجل النظام. 03:35.490 --> 03:37.470 الآن الشيء الأخير الذي أريد أن أذكره حول سجل 03:37.470 --> 03:40.560 النظام هو أن سجل النظام غالبًا ما يستخدم ليعني ثلاثة أشياء. 03:40.560 --> 03:43.380 يمكن أن يشير إلى البروتوكول الذي نرسل البيانات من خلاله. 03:43.380 --> 03:46.410 ويمكن أن يشير إلى الخادم كما هو الحال في خادم سجل النظام، أو 03:46.410 --> 03:48.690 يمكنه الرجوع إلى إدخالات السجل نفسها، كما 03:48.690 --> 03:50.430 هو الحال في بيانات سجل النظام. 03:50.430 --> 03:51.990 غالبًا ما يقول الأشخاص syslog فقط 03:51.990 --> 03:54.090 ويقصدون الثلاثة جميعًا، أو أيًا من هؤلاء الثلاثة، 03:54.090 --> 03:55.470 اعتمادًا على السياق. 03:55.470 --> 03:56.700 لذا كن حذرًا بشأن ذلك 03:56.700 --> 03:58.530 عندما تسمع أشخاصًا يتحدثون 03:58.530 --> 03:59.790 في الصناعة للتأكد من 03:59.790 --> 04:01.860 أنك تفهم أيًا من الثلاثة الذين يتحدثون 04:01.860 --> 04:03.810 عن SNMP هو التالي. 04:03.810 --> 04:06.900 SNMP هو بروتوكول إدارة الشبكة البسيط. 04:06.900 --> 04:09.480 إنه بروتوكول TCP يساعد في مراقبة الأجهزة 04:09.480 --> 04:12.000 وأجهزة الكمبيوتر المتصلة بالشبكة. 04:12.000 --> 04:14.520 تم دمج SNMP في أنظمة إدارة ومراقبة 04:14.520 --> 04:16.830 الشبكة ويستخدم بكثافة في مفهوم 04:16.830 --> 04:18.840 الإدارة والمراقبة. 04:18.840 --> 04:21.870 يتم تقسيم SNMP إلى ثلاثة مكونات. 04:21.870 --> 04:24.030 هناك الأجهزة المُدارة، والوكيل، 04:24.030 --> 04:26.370 وأنظمة إدارة الشبكة نفسها. 04:26.370 --> 04:28.020 نحن نتحدث عن الأجهزة المدارة. 04:28.020 --> 04:30.510 هذه هي أجهزة الكمبيوتر والأجهزة الأخرى المتصلة بالشبكة 04:30.510 --> 04:32.400 والتي يتم مراقبتها من خلال استخدام الوكلاء 04:32.400 --> 04:34.380 بواسطة نظام إدارة الشبكة. 04:34.380 --> 04:37.560 الوكلاء عبارة عن برامج يتم تحميلها على جهاز مُدار. 04:37.560 --> 04:39.450 وهذا يسمح لنا بإعادة توجيه المعلومات 04:39.450 --> 04:41.040 إلى نظام إدارة الشبكة الذي 04:41.040 --> 04:42.510 سيقوم بالمراقبة. 04:42.510 --> 04:44.700 ونظام إدارة الشبكة، أو NMS، هو البرنامج 04:44.700 --> 04:47.100 الذي يتم تشغيله على خادم واحد أو أكثر يتحكم 04:47.100 --> 04:48.120 في مراقبة جميع الأجهزة 04:48.120 --> 04:52.230 وأجهزة الكمبيوتر المتصلة بالشبكة عبر الشبكة. 04:52.230 --> 04:54.840 SNMP هو الغراء الذي يجعل هذه الأجهزة الثلاثة 04:54.840 --> 04:58.080 تتحدث مع بعضها البعض، باستخدام بروتوكول SNMP. 04:58.080 --> 05:00.570 إذًا كيف يبدو كل هذا داخل الشبكة؟ 05:00.570 --> 05:03.180 حسنًا، هنا على الشاشة، يمكنك رؤية رسم تخطيطي مختصر. 05:03.180 --> 05:05.910 لدينا على اليسار محطة إدارة الشبكة، أو NMS، 05:05.910 --> 05:09.000 والتي تعد جزءًا من نظام إدارة الشبكة لدينا. 05:09.000 --> 05:10.830 سيكون هذا بمثابة مديرنا وسيقوم بإرسال 05:10.830 --> 05:12.630 واستقبال الرسائل إلى جميع الأجهزة المُدارة 05:12.630 --> 05:15.060 عبر الشبكة، وأجهزة التوجيه الخاصة بك، والمحولات 05:15.060 --> 05:17.850 الخاصة بك، والخوادم الخاصة بك، أليس كذلك؟ 05:17.850 --> 05:19.290 الآن، عندما يريد معلومات، 05:19.290 --> 05:20.860 فإنه سيرسل طلب الحصول، 05:20.860 --> 05:23.970 وبعد ذلك سترسل هذه الأجهزة المعلومات مرة أخرى 05:23.970 --> 05:25.890 باستخدام طلب محدد. 05:25.890 --> 05:27.960 الآن هناك أيضًا شيء يسمى طلب الاعتراض، 05:27.960 --> 05:29.910 والذي سيتلقى معلومات غير مرغوب فيها 05:29.910 --> 05:31.320 من أجهزة الإدارة تلك، حيث 05:31.320 --> 05:32.970 يرسلون المعلومات حسب الحاجة 05:32.970 --> 05:34.440 على فترات دورية. 05:34.440 --> 05:38.070 لذلك، عند إجراء كل إدارة الشبكة باستخدام SNMP، يكون لديك 05:38.070 --> 05:40.620 خياران حيث يمكن إرسال البيانات. 05:40.620 --> 05:42.690 يمكنك إرساله عبر الشبكة التي تستخدمها، 05:42.690 --> 05:44.670 والتي تُعرف باسم الاتصال داخل النطاق، 05:44.670 --> 05:46.830 أو يمكنك إرساله خارج النطاق. 05:46.830 --> 05:47.940 الآن، عندما تفعل ذلك 05:47.940 --> 05:49.890 داخل النطاق، فهذا يعني أنك سترسل بيانات 05:49.890 --> 05:51.810 الإدارة هذه عبر نفس الشبكة التي تحمل 05:51.810 --> 05:54.120 معلومات شركتك والبيانات العادية. 05:54.120 --> 05:57.600 وهذا أرخص وأسهل ولكنه أقل أمانًا. 05:57.600 --> 05:58.710 الآن لكي تكون أكثر أمانًا، 05:58.710 --> 06:00.930 يجب عليك إنشاء شبكة خارج النطاق. 06:00.930 --> 06:02.760 هذه شبكة ثانوية حيث تتم كل الإدارة، 06:02.760 --> 06:04.560 ولكن لا يزال لديك تلك الشبكة 06:04.560 --> 06:06.780 الأساسية داخل النطاق حيث ستحدث جميع 06:06.780 --> 06:10.050 البيانات التي سيحصل عليها المستخدمون. 06:10.050 --> 06:11.610 يجب أن تتم الإدارة دائمًا 06:11.610 --> 06:14.490 على شبكة خارج النطاق لأنها تزيد من الأمان وتخرج 06:14.490 --> 06:17.160 وظيفة الإدارة هذه من المكان الذي يمكن للمستخدمين 06:17.160 --> 06:18.993 لمسها أو رؤيتها.