Lecture 8 - Security Fundamentals
مقدمة
- ا Network Security هي حماية المعلومات والأنظمة والـ hardware اللي بيستخدم ويخزن وينقل المعلومات دي
- بتشمل الخطوات اللي بنضمن بيها السرية و السلامة و التوفر للبيانات والموارد
CIA Triad
| ا Confidentiality (السرية) | ا Integrity (السلامة) | ا Availability (التوفر) |
|---|---|---|
| الـ authorized users بس هم اللي يقدر يوصلوا للبيانات, فيه معلومات بتبقي متاحه للكل ومعلومات تانية لا | البيانات متتعدلش من غير إذن , البيانات لازم تكون correct و authentic |
الشبكة والأنظمة تكون شغالة ومتاحة للمستخدمين المصرح لهم |
Vulnerability, Exploit, Threat, Mitigation
- ا Vulnerability: أي ضعف محتمل ممكن يهدد CIA
- ا Exploit: حاجة بتستغل الـ vulnerability
- ا Threat: احتمال إن الـ vulnerability تستخدم exploit (زي ان hacker بيستغل ضعف في نظامك)
- ا Mitigation: إجراءات حمائية ضد الـ threats — بنطبّقها على كل حتة: client devices, servers, switches, firewalls, إلخ
مفيش نظام أمن 100% — دايمًا في مخاطر
Common Attacks
DoS (Denial-of-Service)
الهدف: يوقف السيرفر عن الشغل
- بيهدد الـ Availability — يخلي الموقع أو الخدمة مش متاحة
- ا TCP SYN flood: تخيل حد يرن الجرس ويطلع يجري (SYN) وصاحب البيت يقوم يفتح ويشوف مين الي رن (SYN-ACK)، لكن اللي رن جري اصلا (مفيش ACK ) — تخيل ده بس آلاف المرات , ساعتها لو شخص عادي جه يرن الجرس صاحب البيت مش هيفتح, نفس الفكره هنا , الهاكر يبعت طلب للسرفر الاف المرات فالسرفر موارده تخلص فلما مستخدم حقيقي يبعت طلب السرفر ميقدرش يرد عليه
- ا DDoS: نفس الكلام لكن آلاف الأجهزة بتدق الباب في نفس الوقت (باستخدام botnet)
لو مش فاكر ايه هو الـ SYN-ACK ارجع للمحاضرة 4
Spoofing
الهدف: يتخفي في شخصية حد تاني
- بيزوّر المصدر — يبعت حاجة و يكتب إنه من عنوان مزيف (IP أو MAC)
- مثال: DHCP exhaustion: تخيل ان عندك عزومه وعندك 100 كرت دعوه, شخص جه وعمل الـ 100 دعوه كلهم باسماء اشخاص وهميين. ف لما حد حقيقي يطلب دعوه متلاقيش اي كروت فاضله.
- نفس الفكره هنا, الـ attacker يبعت Discover messages بـ MAC addresses مزيفه, الـ DHCP يفكرهم أجهزة جديدة ويخصّص لهم IPs من الـ pool. الـ pool يخلص فالأجهزة الحقيقية متاخدش عناوين -> DoS
- الحل: DHCP Snooping — الـ switch يسمح بـ DHCP من الـ trusted port بس
Reflection/Amplification
الهدف: يضرب الضحية بإيد حد تاني
- ا Reflection: الـ attacker يبعت رسالة لـ DNS server و يكتب إن العنوان الي الرد هيروح ليه هو العنوان بتاع الضحية — الـ server يرد على الضحية مش على الـ attacker, ولو الرد كبير كفايه ده ممكن يأدي لـ denial of services (DoS)
- ا Amplification: نفس الفكرة لكن الرسالة صغيرة (مثلاً "قولي كل حاجة عن فلان") والرد كبير جداً — الضحية تستقبل 100 ضعف الحجم الأصلي
- الخلاصة: attacker بيستغل سيرفرات عامة عشان يضرب الضحية
Man-in-the-Middle (MITM)
الهدف: يقف بينك وبين وجهتك عشان يسمع ويعدّل اللي بتقوله
- مثال: واحد يركب سلك تليفونك ويسمع المكالمة — أو يغيّر الكلام قبل ما يوصلك
ARP Spoofing (ARP Poisoning)
- ا PC1 يسأل "مين عنده IP
10.0.0.1؟" - السرفر الحقيقي يرد — والـ attacker يرد بردو متأخر عشان يعمل overwrite في ARP Table الي موجوده في PC1
- بعد كده: PC1 يبعت data للسرفر -> تروح للـ attacker
- الـ attacker يقدر يتنصت (يهدد Confidentiality) و يعدّل البيانات (يهدد Integrity) قبل ما يوديها للسرفر
الـ ARP Table : جدول صغير في جهازك بيربط عنوان IP بالـ MAC Address بتاعه، عشان تعرف تبعت البيانات لمين.
Reconnaissance
- جمع معلومات عن الـ target (بتكون أول مرحلة في أي هجوم كبير)
- نوعين:ا
- ا Passive: مفيش تفاعل مباشر مع الـ target — مراقبة traffic، بحث في معلومات عامة
- ا Active: تفاعل مباشر مع الـ target — port scans, service fingerprinting
Malware
| ا Virus (فيروس) | ا Worm | ا Trojan Horse |
|---|---|---|
| بيبقي لازق في ملف . بتفتح ملف مكتوب فيه كود خبيث والكود ينتشر للملفات التانية. بتشارك الملف المصاب والناس تتصاب زيك بالظبط | مش محتاج ملف — بيدخل الجهاز لوحده (مثلاً من ثغرة في النظام) وينتشر تلقائياً. بيستهلك الشبكة والجهاز ويقدر يعمل حاجات تانية اخطر | بيعمل نفسه حاجة مفيدة (لعبة, برنامج, أداة) — لما تنزله يفتح backdoor للـ attacker. مش بيدخل لوحده — أنت اللي تفتح له الباب بنفسك (تنزيل, email) |
Password Attacks
| ا النوع | بيتعمل إزاي؟ |
|---|---|
| Guessing | التخمين — جرب 123456, password, اسمك |
| Dictionary | برنامج يجرب كل الكلمات المعروفة (dictionary) |
| Brute Force | برنامج يجرب كل حرف ورقم ورمز — من a لـ zzzzzzzz |
كلمة سر قوية: ≥ 8 أحرف، خلط uppercase + lowercase + أرقام + رموز خاصة (# @ ! ?)
Social Engineering
الهدف: يخدع الإنسان مش الجهاز
- بدل ما يحاول يخترق السرفر، يكلمك على التليفون ويقولك "أنا من الدعم الفني، عايز كلمة السر عشان أصلح مشكلة" — وانت تصدقه
- أمثلة: Phishing (إيميل وهمي)، Pretending (يتنكر في شخصية حد)
Multi-Factor Authentication (MFA)
- اثنين أو أكتر من:
| Something You Know | Something You Have | Something You Are |
|---|---|---|
| username/password, PIN | notification على التليفون, badge | biometrics (face, fingerprint, palm, retina scan) |
لو attacker عرف كلمة السر (something you know)، لسه مش هيعرف يدخل من غير الـ factors التانية
Digital Certificates
- طريقة مصادقة لإثبات هوية حامل الـ certificate
- بتستخدم للمواقع عشان تثبت إن الموقع اللي بتدخل عليه حقيقي
- الـ entity اللي عايز certificate يبعت CSR (Certificate Signing Request) لـ CA (Certificate Authority) — وCA تعمل وتوقع الـ certificate
AAA (Authentication, Authorization, Accounting)
- Framework للتحكم في المستخدمين ومراقبتهم
| ا Authentication | ا Authorization | ا Accounting |
|---|---|---|
| التحقق من هوية المستخدم — الـ login | منح المستخدم الصلاحيات المناسبة | تسجيل نشاط المستخدم على النظام |
| "مين أنت؟" | "إيه الي مسموحلك تعمله؟" | "عملت إيه؟" |
- الشركات بتستخدم AAA server زي ISE (Cisco Identity Services Engine)
- بروتوكولات الـ AAA:
| ا RADIUS | ا TACACS+ |
|---|---|
| Open standard | Cisco proprietary |
| UDP ports 1812, 1813 | TCP port 49 |
Security Program Elements
User Awareness Programs
- توعية الموظفين بمخاطر الأمن
- مثال: الشركة تبعث إيميلات phishing وهمية — اللي يقع فيها يتنبه إنه يبقى حريص
User Training Programs
- تدريب رسمي — ازاي تعمل strong passwords، إزاي تتجنب التهديدات
Physical Access Control
- حماية المعدات والبيانات بمنع الدخول المادي للأماكن المحمية
- أقفال متعددة العوامل (badge + بصمة)
- صلاحيات الموظفين (البادجات مثلا) تتعدل بسهولة (مثلا لو موظف استقال)
Firewalls
ليه محتاج Firewall؟
- أي جهاز متصل بالإنترنت معرّض لملايين الأنظمة
- الـ switches والـ routers مصمّمة تنقل traffic مش توقف attacks
- الـ firewall هو أول خط دفاع — بيمنع الـ traffic المشبوه قبل ما يوصل للشبكة الداخلية
إزاي الـ Firewall بيشتغل؟
-
بيشتغل على Layer 4 (OSI) — بيقرأ headers من Layer 2 (MAC), Layer 3 (IP), Layer 4 (Port)
-
بيستخدم 6-tuple عشان يعرّف الـ network flow بشكل unique:
Source IP + Source Port + Destination IP + Destination Port + Protocol + Direction
-
مثال:
192.168.1.10 : 51514 → 23.0.13.20 : 443 (TCP outbound)— الـ admin يقرر يسمح أو يمنع الفلو ده
Security Levels
- كل interface على الـ firewall ليه security level من 0 لـ 100
- Inside = 100 (أكتر ثقة) — Outside = 0 (أقل ثقة) — DMZ = 50 (وسط)
القاعدة الأساسية — من غير ما تكتب Rule واحد
Higher Security → Lower Security = مسموح (Inside → Outside)
Lower Security → Higher Security = ممنوع (Outside → Inside)
- يعني الـ firewall بيحمي out of the box: الموظفين يفتحوا إنترنت (100 -> 0 مسموح)، لكن أي حد من برة يدخل على الشبكة الداخلية (0 -> 100 ممنوع) — حتى لو مفيش rules مكتوبة
Stateful Inspection
- الـ firewall مش بيتعامل مع كل packet لوحدها — بيتتبع حالة الـ connections
- أول ما موظف يفتح موقع (Inside → Outside), الـ firewall يعمل entry في State Table فيه: Source/Destination IP, Ports, Protocol, Connection State
- أي return traffic يطابق الـ entry ده يسمح بيه تلقائيًا حتى لو مفيش rule صريح للـ inbound
- الـ TCP: بيتتبع الـ Three-way handshake — يشوف SYN ->يعني Established — يصدق إنها connection حقيقية مش هجوم من برة
تشبيه
- ا Stateful: زي البواب عنده نوتة. كل ما موظف يطلب حاجة من برة، البواب يكتبها في النوتة. لما الرد يجي، يشوف النوتة ويقول "أه ده مطلوب" — يدخله.
IPS (Intrusion Prevention System)
ليه محتاج IPS الـ firewall قصر في ايه؟
- الـ firewall بيشتغل على الـ 6-tuple: IP, Port, Protocol — مش بيفرق بين login legit و login malicius
- لو سمحت بالـ SSH على الـ firewall، أي حد يستخدم SSH عادي — حتى لو attacker بيحاول يخترق الـ SQL database
- ا IPS هو جهاز أمني بيقف inline مع الـ traffic ويفحص الـ packets بعمق ويمنع الـ threats في real-time
IPS vs IDS
| ا IDS (Detection) | ا IPS (Prevention) |
|---|---|
| بيشتغل out-of-band — بياخد copy من traffic عشان يحلّله ومش بيمنع حاجة | بيشتغل inline — كل الـ traffic بيمر عليه ويقدر يمنع الـ packets قبل ما توصل |
| بيبعت alert لـ admin بس | بيblock الـ traffic فورًا |
| مناسب في بيئات الـ false positives مشكلة — عشان admin يراجع الأول | مناسب في البيئات اللي الأمن فيها أهم من false positives (data centers, حكومة, بنوك) |
الـ False Positive: لما الـ IPS يفكر إن traffic legit هو attack ويعمله block ويطلع في الاخر legit ومش هاكر
Actions الـ IPS يقدر يعملها
- ا Alert and Log: ا syslog + alert للـ team (دي IDS mode)
- ا Drop the Packet: يتخلص من الـ packet الضار
- ا Reset the Connection: يبعت TCP reset للـ source والـ destination — يقطع الاتصال
- ا Block the Source (Quarantine): يضيف مصدر الهجوم لـ block list — أو يعزل الـ host المصاب في network segment منفصل