‫ما هو أمان الخادم؟‬

‫تأمين الخادم هي مجموعة من اإلجراءات لحماية الخادم من جميع أنواع التهديدات مثل هجمات ‪ ،DDos‬هجمات القوة الغاشمة ‪brute‬‬
‫‪ ،force attacks‬و عدم االهتمام من قبل المستخدمين‪.‬‬

‫لماذا حماية الخادم من األمور الهامة؟‬

‫تلعب الخوادم دورًا هامًا في معالجة الداتا الحساسة وتخزينها‪ ،‬حماية الخوادم من التهديدات الخارجية هو أمر ضروري لتحقيق‪:‬‬
‫النزاهة‪:‬تأمين الخوادم يضمن دقة المعلومات وسالمتها‪.‬‬

‫التوافرية‪:‬الحفاظ على المخدم و ال ‪ services‬التي تعمل عليه متاحة لألشخاص المصرح لهم فقط‪.‬‬

‫السرية‪:‬حماية الداتا الحساسة المخزنة على المخدم يضمن منع المستخدمين الغير المصرح لهم بالوصول للداتا‪.‬‬
‫السمعة‪ :‬ان أي اختراق أمني يؤدي الى خسارة البيانات أو تعطيل الخدمة سوف يشكل أثرًا سلبيًا على سمعة المنظمة ويؤدي الى خسائر‬
‫مالية‪.‬‬
‫االلتزام‪:‬‬
‫بنود سياسة تأمين الخوادم‪:‬‬
‫تأمين االتصال بالمخدم‪:‬‬ ‫‪-1‬‬
‫–انشاء واستخدام قناة اتصال أمنة‪:‬‬ ‫‪1-1‬‬
‫استخدام بروتوكول )‪ ssh(secure shell‬إلنشاء قناة اتصال عن بعد بديًال لبروتوكول ‪ telnet‬حيث يتميز‬ ‫‪‬‬
‫بروتوكول ال ‪ ssh‬بتشفيره لكامل الداتا المنتقلة عبر القناة‪.‬‬
‫يستخدم ‪ ssh‬المنفذ رقم ‪ 22‬ينصح بتغيير رقم المنفذ المستخدم الى رقم بين ‪ 1024‬حتى ‪.32767‬‬ ‫‪‬‬
‫–استخدام مفاتيح ‪ ssh‬للمصادقة‪:‬‬ ‫‪1-2‬‬
‫ينصح باستخدام زوج المفاتيح (‪ )private key / public key‬المستتخدمان في عملية التشفير‪.‬‬

‫تأمين بروتوكول نقل الملفات‪:‬‬ ‫‪-2‬‬

‫ًال‬
‫‪– 2-1‬استخدام بروتوكول )‪ FTPS(file transfer protocol secure‬لنقل الملفات بد من بروتوكول ال ‪ TFTP‬او ‪FTP‬‬
‫لنقل الملفات من وإلى الخادم دون خطر تخريب أو سرقة الداتا من قبل المخترقين‪.‬‬
‫‪– 2-2‬يقوم ال ‪ FTPS‬بتشفير الداتا خالل عملية النقل فقط و حالما تصل البيانات الى الخادم فيتم الغاء تشفيرها ولهذا السبب‬
‫ينصح بتشفير الملفات قبل ارسالها إلضافة طبقة ثانية من الحماية‪.‬‬

‫شهادات طبقة المقابس األمنة(‪:)SECURE SOKETS LAYER CERTIFICATES‬‬ ‫‪-3‬‬

‫‪– 3-1‬استخدام شهادات ‪ ssl‬لتأمين خدمات الويب التي يقدمها المخدم هذا يفيد في تشفير البيانات المنقلة بين الطرفين باستخدام‬
‫بروتوكول ‪ ،HTTPS‬كما يفيد في توثيق الهوية‪.‬‬

‫استعمال الشبكات الخاصة االفتراضية ‪:VPN‬‬ ‫‪-4‬‬

‫‪– 4-1‬يتم استعمال الشبكات االفتراضية الخاصة لحماية إضافية لإلتصال بالمخدمات‪.‬‬

‫مراقبة محاوالت الدخول‪:‬‬ ‫‪-5‬‬

‫‪- 5-1‬استخدام ‪ IPS INTRUSION PREVENTION SOFTWARE‬وذلك لمراقبة محاوالت تسجيل الدخول للسيرفر وه ي‬
‫طرقة مفيدة للحماية من هجمان القوة الغاشمة ‪ BRUTS FORCE ATTACKS، IPS‬يراقب جميع رسائل الخوادم ‪LOGS‬‬
‫ويكتشف التجاوز في عدد محاوالت الدخول الفاشلة عندها يقوم بحظر ال ‪ IP‬لمدة معينة‪.‬‬

‫إدارة المستخدمين‪:‬‬ ‫‪-6‬‬

‫‪– 6-1‬كل مخدم يمتلك مستخدم بصالحيات لتنفيذ جميع األوامر مثل المستخدم ‪ ADMINISTRATOR‬ضمن نظام ‪windows‬‬
‫والمستخدم ‪ ROOT‬ضمن نظام ‪ linux‬وبالتالي من الخطير جدًا وقوع هذا المستخدم في األيدي الخاطئة لذلك ينصح بإلغاء‬
‫تفعي هذا المستخدم عند االتصال ‪.SSH‬‬
‫‪– 6-2‬بما أن هذا المستخدم يكون محط أنظار المخترقين لما يملكه من صالحيات واسعة لذلك ينصح بتعطيله لحماية‬
‫المخدمات من خطر التهديدات المحتملة‪.‬‬
‫‪– 6-3‬انشاء مستخدمين بصالحيات محدودة ألداء مهام محددة وتخصيص الحساب ال(‪ )root/administrator‬للمهام‬
‫الضرورية‪.‬‬

‫متطلبات كلمات المرور‪:‬‬ ‫‪-7‬‬

‫‪– 7-1‬منع كلمات المرور الفارغة أو االفتراضية‪.‬‬
‫‪– 7-2‬الزام المستخدمين بكلمة مرور معقدة و ذات طول محدد‪.‬‬
‫‪– 7-3‬اعداد سياسة قفل الحساب ‪.LOCKOUT‬‬
‫‪– 7-4‬عدم تخزين كلمات المرور بشكل مقروء و واضح‪.‬‬
‫‪– 7-5‬وضع مدة محددة إلنهاء الجلسة عند الخمول‪.‬‬
‫‪– 7-6‬وضع مدة صالحية لكلمات المرور‪.‬‬
‫‪– 7-7‬عدم كتابة كلمات األمرور على أوراق‪.‬‬
‫‪– 7-8‬عدم استعمال المعلومات الشخصية في كلمات المرور (تاريخ الميالد‪ ،‬السكن‪ ،‬االسم)‪.‬‬
‫‪ – 7-9‬عدم استعمال كلمة المرور نفسها لعدة حسابات‪.‬‬

‫تحديث وترقية البرمجيات بانتظام‪:‬‬ ‫‪-8‬‬

‫‪– 8-1‬اجراء تحديثات للبرمجيات بشكل مستمر وألي يفيد في اغالق الثغرات المحتملة االستغالل من قبل المخترقين‪.‬‬
‫‪– 8-2‬اجراء التحديثات النظم الحساسة ضمن بيئة اختبارية في البداية للتحقق من توافق التحديثات مع باقي البرمجيات‬
‫والتجهيزات‪.‬‬

‫إزالة أو تعطيل الخدمات الغير ضرورية‪:‬‬ ‫‪-9‬‬

‫‪– 9-1‬تثبيت وتشغيل الحد األدنى من المتطلبات التي نحتاجها لتشغيل الخدمات‪.‬‬
‫‪– 9-2‬عدم فتح أي منافذ باستثناء تلك المستخدمة من قبل النظام ومكوناته‪.‬‬

‫إخفاء معلومات المخدمات‪:‬‬ ‫‪-10‬‬

‫‪– 10-1‬إخفاء المعلومات الخاصة ببنية تكنولوجيا المعلومات قدر اإلمكان وحصر معرفة تلك المعلومات باألشخاص المعنيين‬
‫من قسم تكنولوجيا المعلومات‪.‬‬
‫‪– 10-2‬إخفاء المعلومات مثل ارقام اإلصدارات للبرمجيات المستخدمة أمر هام ألن معرفة نوع اإلصدار المستخدم في أي‬
‫نظام أو برمجية يساعد المخترقين في تحديد نقاط الضعف‪.‬‬

‫استخدام )‪:IDS(INTRUSION DETECTION SYSTEM‬‬ ‫‪-11‬‬

‫‪– 11-1‬مراقبة العملية والخدمات التي يديرها المخدم باستخدام ‪ IDS‬للكشف عن النشاطات الغير مصرح بها من خالل التحقق‬
‫من العمليات اليومية او جدولة عمليات الفحص بشكل دوري‬

‫تدقيق الملفات‪:‬‬ ‫‪-12‬‬

‫–تفعيل عملية تدقيق الملفات لمراقبة وتسجيل النشاطات المرتبطة بالملفات والمجلدات على النظام الحاسوبي بهدف‪:‬‬ ‫‪12-1‬‬
‫تتبع تغيرات الملفات‪ :‬تسجيل عملية التعديل على الملفات والتي تتضمن التعديل‪ ،‬اإلنشاء‪ ،‬الحذف‪ ،‬الدخول‬ ‫‪‬‬
‫مراقبة نشاط المستخدم على الملفات‪.‬‬ ‫‪‬‬
‫الكشف عن النشاطات المشبوهة‪.‬‬ ‫‪‬‬

‫تدقيق الخدمات‪:‬‬ ‫‪-13‬‬

‫‪– 13-1‬توثيق كافة الخدمات قيد التشغيل على المخدم والبروتوكوالت والمنافذ التي تستخدمها ألن تلك المعلومات تفيد في‬
‫الحماية من خطر التهديدات المحتملة‪.‬‬

‫تطبيق نسخ احتياطي للمخدمات مع اجراء اختبارات تحقق من االستعادة(‪.)SANITY CHECKS‬‬ ‫‪-14‬‬