الوحدة السادسة: التطبيقات العملية في أمن الشبكات والخوادم

من النظرية إلى التنفيذ: مختبر الأمن السيبراني

IDS/IPS أمن الطبقة 2 Cisco ASA Palo Alto VoIP Security
وحدات المقرر
الوحدة 1: أساسيات الأمن في نظام الاتصالات الوحدة 2: مصادقة المستخدم الوحدة 3: الشبكات الخاصة الافتراضية (VPN) الوحدة 4: جدران الحماية الوحدة 5: إدارة التهديدات الوحدة 6: تطبيقات عملية الوحدة 7: مفاهيم أمن الشبكات I الوحدة 8: مفاهيم أمن الشبكات II الوحدة الختامية: ملخص وتطبيقات
العودة إلى المقرر

وصف الوحدة

تركز هذه الوحدة على تطبيق المفاهيم النظرية في بيئة عملية، من خلال تنفيذ تكوينات حقيقية لأنظمة الحماية، الشبكات الخاصة الافتراضية (VPN)، أجهزة الكشف والمنع (IDS/IPS)، وخوادم الحماية. تهدف إلى تدريب المتعلم على استخدام أدوات وتقنيات ميدانية لتعزيز أمن الشبكات والخوادم.

الهدف من الوحدة: بنهاية هذه الوحدة، ستكون قادرًا على تطبيق المعرفة النظرية التي اكتسبتها في الوحدات السابقة على سيناريوهات عملية، مما يعزز مهاراتك الفنية في أمن الشبكات.

أهداف الوحدة

  • تنفيذ بيئات VPN آمنة بين المواقع.
  • إعداد وتشغيل أنظمة IDS وIPS فعالة.
  • تكوين جدران حماية متقدمة باستخدام Cisco وPalo Alto.
  • تأمين الشبكات على مستوى الطبقة الثانية.
  • حماية بروتوكولات الاتصال الصوتي VoIP.

المفردات التعليمية

🧩 القسم الأول: أنظمة كشف ومنع التسلل (IDS/IPS)

IDS (نظام كشف التسلل): يُراقب حركة المرور ويُصدر تنبيهات عند اكتشاف نشاط مشبوه. وظيفته الأساسية هي الكشف.

IPS (نظام منع التسلل): يُراقب ويمنع الهجمات بشكل فوري. وظيفته الأساسية هي المنع.

أدوات شهيرة:
  • Snort: محرك كشف تسلل مفتوح المصدر يُستخدم على نطاق واسع.
  • Suricata: نظام كشف ومنع تسلل مفتوح المصدر متعدد الوظائف.
🧩 القسم الثاني: أمان الطبقة الثانية (Layer 2 Security)

تُعد الطبقة الثانية (طبقة الربط) في نموذج OSI مسؤولة عن نقل البيانات بين الأجهزة في نفس الشبكة المحلية. يمكن استغلال هذه الطبقة من خلال هجمات مثل:

  • MAC Spoofing: انتحال عنوان MAC لجهاز آخر.
  • ARP Poisoning: إرسال رسائل ARP احتيالية لإعادة توجيه حركة المرور.
  • VLAN Hopping: القفز بين شبكات VLANs مختلفة.
الضوابط الأمنية:

Port Security: لتقييد عدد الأجهزة المسموح بها على منفذ التبديل (Switch port).

DHCP Snooping: للتحقق من سلامة رسائل DHCP ومنع خوادم DHCP الاحتيالية.

Dynamic ARP Inspection: للتحقق من صحة رسائل ARP ومنع هجمات ARP Poisoning.

🧩 القسم الثالث: تكوين شبكة VPN من موقع إلى موقع باستخدام Cisco IOS

في هذا القسم، سنتعلم كيفية إعداد نفق VPN آمن بين جهازين راوتر من Cisco لربط شبكتين مختلفتين. سنغطي الخطوات العملية مثل إعداد IPsec وIKE، وتحديد سياسات التشفير، وإعدادات التوجيه.

🧩 القسم الرابع: تكوين جدار حماية باستخدام Cisco ASA

سنقوم بتطبيق عملي على جهاز Cisco ASA، وهو جهاز حماية متكامل. سنتعلم كيفية تكوين قواعد التحكم في الوصول (ACL)، وإعداد NAT، وتحديد المناطق الأمنية لتأمين الشبكة الداخلية.

🧩 القسم الخامس: تثبيت وتكوين جهاز Palo Alto

سننتقل إلى أحد أبرز جدران الحماية من الجيل التالي (Next-Generation Firewall). سنقوم بخطوات التكوين الأساسية، ونتطرق إلى الميزات المتقدمة مثل فلترة التطبيقات (App-ID) والتحكم بالمحتوى، وكيفية ربطه بـ Active Directory لإدارة المستخدمين.

🧩 القسم السادس: أمن الصوت عبر بروتوكول الإنترنت (VoIP Security)

سنتعلم كيفية حماية الاتصالات الصوتية عبر الإنترنت من المخاطر المحتملة مثل التنصت أو انتحال الهوية. سنتعرف على تقنيات مثل تشفير SRTP وكيفية استخدام Session Border Controller (SBC) كجدار حماية متخصص لخدمات VoIP.

تمارين الوحدة

تمرين 1: إعداد IDS/IPS

تكوين نظام Snort/Suricata على سيرفر Linux لمراقبة حركة المرور.

بدء التمرين
تمرين 2: تكوين Cisco ASA

إعداد قواعد ACL و NAT على جهاز Cisco ASA لحماية الشبكة.

بدء التمرين
تمرين 3: أمن الطبقة الثانية

تطبيق Port Security على سويتش Cisco لمنع هجمات Spoofing.

بدء التمرين

موارد إضافية

دليل تكوين Cisco ASA

وثيقة PDF تشرح خطوات تكوين جدار حماية Cisco ASA.

تحميل
فيديو شرح Palo Alto App-ID

شرح مرئي لميزة فلترة التطبيقات في أجهزة Palo Alto.

مشاهدة
الوحدة السابقة الوحدة التالية: مفاهيم أمن الشبكات I