تأمين الشبكة ضد الوصول غير المصرح

حلول عملية لمنع الوصول غير المصرح حسب حجم الشبكة

حل منزلي / مكتب صغير

حل سهل وسريع التنفيذ

1. تفعيل جدار الحماية UFW

sudo apt update
sudo apt install ufw

# إعداد قواعد أساسية
sudo ufw default deny incoming
sudo ufw default allow outgoing

# السماح للخدمات المطلوبة
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# تفعيل UFW
sudo ufw enable
sudo ufw status verbose
                            

2. تثبيت fail2ban

sudo apt install fail2ban

# إنشاء ملف الإعداد
sudo tee /etc/fail2ban/jail.d/local.conf > /dev/null <<'EOF'
[sshd]
enabled = true
port = 22
filter = sshd
maxretry = 5
bantime = 3600
EOF

sudo systemctl restart fail2ban
sudo fail2ban-client status sshd
                            

3. تأمين Wi-Fi

استخدم WPA3 أو WPA2-AES (لا تستخدم WEP)
اختر كلمة مرور قوية وطويلة
عطل WPS إذا كان ممكناً
غيّر كلمات مرور أجهزة الشبكة الافتراضية

حل مؤسسة صغيرة إلى متوسطة

حل احترافي باستخدام NAC

1. إعداد iptables المتقدم

# مسح القواعد الحالية
sudo iptables -F
sudo iptables -X

# سياسة افتراضية
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

# السماح للحركة المرتبطة
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# السماح للـ localhost
sudo iptables -A INPUT -i lo -j ACCEPT

# السماح للـ SSH من شبكة داخلية
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# حفظ القواعد
sudo apt install iptables-persistent
sudo netfilter-persistent save
                            

2. إعداد FreeRADIUS + 802.1X

الخطوات:

جهّز خادم FreeRADIUS
ربطه بقاعدة مستخدمين (LDAP/AD)
اضبط سويتشات الشبكة لـ 802.1X
افرض سياسات VLAN ديناميكية

3. PacketFence (مفتوح المصدر)

يوفر PacketFence:

مصادقة 802.1X
بوابة استيعاب (captive portal) للضيوف
فصل VLAN تلقائي
فحص امتثال الأجهزة

نصائح سريعة

تحديثات منتظمة

حدث النظام والأجهزة بانتظام

كلمات مرور قوية

استخدم كلمات مرور طويلة ومعقدة

إقفال المنافذ

أغلق المنافذ غير المستخدمة

مراقبة مستمرة

راقب الشبكة باستمرار للكشف عن التهديدات