مع الانتشار المتسارع للهواتف الذكية والأجهزة اللوحية، فإن الاتصال اللاسلكي أصبح واسع الانتشار وهو ما أصبح أمراً مسلماً به ولا تخلو منه أي مؤسسة. يمكن للضبط اللاسلكي الغير الآمن توفير باب مفتوح وسهل للمخترقين والقراصنة.

تعد سياسة الاتصالات اللاسلكية ضرورية لأمن الكمبيوتر نظراً لوجود طلب متزايد على المعدات اللاسلكية في كل (جهة عمل) اليوم. قد تحدد سياسة الاتصال اللاسلكي أنه لا يجب استخدام أي معدات لاسلكية، لكن ذلك لن يكون عملياً وواقعياً لأن ذلك قد يؤدي للجوء بعض الإدارات أو الأفراد إلى انتهاك لهذه السياسة، لذا كان من الأفضل تحديد الشروط وتحديد المعدات المعتمدة للاستخدام اللاسلكي لتقليل مخاطر الأمان المرتبطة باللاسلكي الذي لابد منه.

الوصول إلى هذه الموارد كامتياز ويجب أن تدار هذه الموارد بطريقة مسؤولة للحفاظ على سرية ونزاهة وتوافر جميع الأصول المعلوماتية.

كما تحدد هذه السياسة الشروط التي يجب أن تستوفيها أجهزة البنية التحتية اللاسلكية للاتصال بشبكة (جهة عمل)، بحيث لا تتم الموافقة إلا على أجهزة البنية التحتية اللاسلكية التي تفي بالمعايير المحددة في هذه السياسة أو تلك التي تم منحها استثناء من قبل إدارة أمن المعلومات للاتصال بشبكة (جهة عمل).

تنطبق هذه السياسة على جميع أجهزة البنية التحتية اللاسلكية المتصلة بشبكة (جهة عمل) أو تكون موجودة ضمن موقع (جهة عمل) والتي توفر اتصالاً لاسلكيًا بأجهزة طرفية، بما في ذلك على سبيل المثال لا الحصر، أجهزة الكمبيوتر المحمولة وأجهزة سطح المكتب والهواتف الخلوية والأجهزة اللوحية. ويشمل في ذلك أي شكل من أشكال أجهزة الاتصال اللاسلكي القادر على نقل حزم البيانات. لذلك يجب أن يلتزم بهذه السياسة جميع الموظفين والاستشاريين والعاملين المؤقتين وغيرهم في (جهة عمل)، كما تشمل جميع الموظفين التابعين لأطراف ثالثة والموكل لها إدارة أجهزة البنية التحتية اللاسلكية بالنيابة عن (جهة عمل).

جميع أجهزة البنية التحتية اللاسلكية الموجودة في موقع (جهة عمل) والمتصلة بشبكتها، أو التي توفر الوصول إلى معلومات مصنفة على أنها سرية يجب عليها ما يلي:

• الالتزام بالمعايير المحددة في معيار الاتصالات اللاسلكية.
• استخدام بروتوكولات المصادقة والبنية التحتية المعتمدة من قبل (جهة عمل).
• استخدام بروتوكولات التشفير المعتمدة لدى (جهة عمل).
• الحفاظ على العناوين المادية للأجهزة (MAC) التي يمكن تسجيلها وتتبعها.للحد من احتمال إساءة استخدام الشبكة اللاسلكية: 

• ينبغي أن تكون هناك مصادقة سليمة للمستخدم مع الاستبدال المناسب لآلية WEP وتتبع الشذوذ (Anomaly Tracking) على الشبكة المحلية اللاسلكية.
• في نفس الوقت، القائمة التالية تحوي عدداً من الأحداث المشبوهة التي قد تقع داخل الشبكة المحلية اللاسلكية والتي ينبغي دائماً أن تأخذ في الاعتبار عند ضبط أنظمة كشف التسلل:

• • إطارات الإرشاد (Beacon Frames) القادمة من نقطة وصول لاسلكية لم يطلب منها ذلك (unsolicited).
  • فيضان الأطر غير المصادق عليها (هجوم MITM)
  • اطر بيانات تحوي عنوان MAC مكرر.
  • تغيير عنوان MAC بشكل عشوائي.بروتوكولات التشفير اللاسلكية:

يفضل استخدام بروتوكول حماية الوصول للواي فاي الإصدار 2 (WAP2) كبروتوكول تشفير للشبكات اللاسلكية بدلاً من بروتوكول حماية الوصول للواي فاي الإصدار الأول (WAP) وبروتوكول الخصوصية المكافئة للشبكات السلكية (WEP) وذلك لأنه يوفر خوارزمية أمان أقوى وتشفيرًا متقدمًا كما يتحقق من صحة الرسالة وتكاملها.

يجب توثيق عمليات ضبط الشبكة والتغييرات التي تتم عليها بشكل منتظم وذلك لفهم بنيتها، يجب أن يتضمن مستند توثيق الشبكات ما يلي:

• رسم تخطيطي للشبكة.
• ضوابط النظام (System configurations).
• قواعد الجدار الناري.
• عناوين بروتوكولات الأنترنت (IP Addresses).
• قوائم التحكم في الوصول.

الشبكة الخاصة الظاهرية (VPN) هي شبكة اتصال خاصة آمنة توفر طريقة ملائمة للوصول إلى موارد الشبكة الداخلية عن بعد عبر الشبكة العامة (الإنترنت)، حيث توفر VPN وصولاً آمنًا من خلال توفير وسيلة لحماية البيانات أثناء انتقالها عبر شبكة غير موثوق بها.

تهدف هذه السياسة إلى توفير إرشادات خاصة باتصالات الوصول عن بُعد عبر IPsec أو شبكة L2TP الخاصة الافتراضية (VPN) إلى شبكة (جهة عمل).

تطبق هذه السياسة على جميع موظفي (جهة عمل) والمقاولين والمستشارين والموظفين المؤقتين وغيرهم من العمال بما في ذلك جميع الموظفين المنتسبين إلى أطراف ثالثة المستخدمين لشبكات VPN ليتمكنوا من الدخول إلى الشبكة (جهة عمل). تنطبق هذه السياسة على تطبيقات VPN التي يتم توجيهها للمرور عبر مُركِّز IPsec (IPsec Concentrator).

• تقع على عاتق الموظفين الذين لديهم امتيازات استخدام الشبكة الافتراضية الخاصة VPN ضمان عدم السماح للمستخدمين غير المصرح لهم بالوصول إلى الشبكات الداخلية لـ(جهة عمل) عبر وصلات الـ(VPN) الخاصة بهم.
  
• يجب التحكم في استخدام الشبكة الافتراضية الخاصة VPN باستخدام مصادقة بكلمة المرور لمرة واحدة (one-time password) كجهاز إشارة السماح (Token Device) أو نظام المفتاح العام/الخاص مع اختيار عبارة مرور قوية passphrase)).
  
• عندما يكون الاتصال بشبكة (جهة عمل) نشطاً، فإن آلية الشبكات الافتراضية الخاصة (VPN) يجب أن تقوم بإجبار كل حركة المرور من وإلى الكمبيوتر عبر نفق VPN بينما يقوم بطرح وتجاهل أي حركة بيانات أخرى.
  
• تقاسم أو ازدواج الاتصال عبر نفق التشفير (Dual (split) tunneling) غير مسموح؛ إذ لا يسمح بحصول أكثر من اتصال شبكي واحد فقط في نفس الوقت. تقاسم أو ازدواج الاتصال عبر نفق التشفير يسمح بوجود اتصالين نشطين متزامنين في نفس الوقت، أحدهما لشبكة آمنة عبر الـ(VPN) والثاني لشبكة غير آمنة، هذا الوضع يشكل ثغرة تسهل الاتصال المباشر من الأنترنت الغير آمن إلى الشبكة المؤمنة باتصال بتقنية الـ(VPN).
  
• بوابات الشبكات الافتراضية الخاصة (VPN gateways) يتم أعدادها وإدارتها من قبل موظفي القسم الخاص بعمليات الشبكة لـ(جهة عمل).
  
• يجب على كل الأجهزة التي تتصل بالشبكة الداخلية لـ(جهة عمل) باستخدام الـ(VPN) أو غيرها من التقنيات أن تستخدم برامج مضادة للفيروسات محدثة ومطابقة للمعايير المتبعة من قبل (جهة عمل)؛ بما في ذلك الحواسيب الشخصية.
  
• يجب فصل مستخدمي VPN تلقائياً عن شبكة (جهة عمل) بعد ثلاثين دقيقة من عدم النشاط. ويجب على المستخدم تسجيل الدخول مرة أخرى لإعادة الاتصال بالشبكة. (يمنع استخدام pings أو عمليات شبكة مصطنعة أخرى للحفاظ على الاتصال مفتوحاً)
  
• يجب ضبط جهاز (VPN concentrator) بتحديد وقت أي اتصال بحيث لا يتجاوز الأربع وعشرين (24) ساعة.
  
• يجب على مستخدمي أجهزة الكمبيوتر التي ليست من الأجهزة التي تملكها (جهة عمل) تهيئة الأجهزة بحيث تتوافق مع سياسات الشبكة وسياسات الربط بتقنية الشبكة الافتراضية الخاصة (VPN) بـ(جهة عمل)
  
• باستخدام تكنولوجيا VPN مع الأجهزة الشخصية، يجب أن يعي المستخدمون أن أجهزتهم أصبحت امتداداً فعلياً وجزءاً من شبكة (جهة عمل) وبالتالي فهي تخضع لنفس القواعد واللوائح التي تنطبق على المعدات التي تستخدمها (جهة عمل).
  
• يجب توثيق عمليات ضبط الشبكة والتغييرات التي تتم عليها بشكل منتظم وذلك لفهم بنيتها، يجب أن يتضمن مستند توثيق الشبكات ما يلي:
  
• • رسم تخطيطي للشبكة.
    
  • ضوابط النظام (System configurations).
  • قواعد الجدار الناري.
    
  • عناوين بروتوكولات الأنترنت (IP Addresses).
    
  • قوائم التحكم في الوصول
    

إذا كان الاتصال بشبكة مفتوحة وغير آمنة مثل الإنترنت يؤدي إلى احتمالية فتح مدخلاً كبيراً للهجمات السيبرانية على الشبكة الداخلية لـ(جهة العمل). وأحد أفضل الطرق للدفاع ضد هذه الهجمات هي استخدام الجدران النارية عند نقطة الاتصال بشبكة الأنترنت، حيث أنه من الضروري حماية الشبكات الخاصة الداخلية ومرافق الاتصالات الخاصة بـ(جهة العمل).

يتم تعريف جدران الحماية (الجدار الناري) على أنها أنظمة أمان تتحكم وتقيّد اتصال الشبكة وخدماتها. جدران الحماية تنشئ نقطة تحكم يمكن عبرها فرض عناصر التحكم بالوصول. يسعى هذا المستند إلى مساعدة (جهة العمل) في فهم قدرات تقنيات جدار الحماية وسياسات جدار الحماية.

تحدد هذه السياسة القواعد الأساسية المتعلقة بإدارة وصيانة الجدران النارية، وتنطبق على جميع الجدران النارية التي تملكها أو تؤجرها أو تتحكم بها (جهة العمل).

1. مراجعة مجموعة القواعد للتأكد من اتباعها للترتيب كما يلي:
   

• مرشحات مكافحة الانتحال (حجب العناوين الخاصة والعناوين الداخلية التي تظهر من الخارج).
  
• قواعد تصريح المستخدم (على سبيل المثال، السماح بـ HTTP إلى خادم الويب العام).
  
• قواعد تصريح الإدارة (مثل رسائل تنبيه (SNMP traps) لخادم إدارة الشبكة).
  
• الرفض والتنبيه (تنبيه مسؤولي الأنظمة حول حركة المرور المشبوهة).
  

• الرفض والتوثيق (حفظ سجل حركة المرور للتحليل).

2. جدار الحماية القائم على التطبيق:

• في حالة الدخول على خادم مخصص، يجب وضع جدار ناري برمجي يعمل بالنيابة (وكيل) (Application Proxy Firewall) ما بين المستخدم المتصل عن بعد والخادم المخصص وذلك لإخفاء هوية الخادم.
  
•  التأكد من مراقبة المسؤولين لأية محاولات لانتهاك سياسة الأمن باستخدام سجلات التدقيق التي تم إنشاؤها بواسطة جدار الحماية على مستوى التطبيق.
  
•  ضمان أن هناك آلية لتحديث وسد ثغرات الجدار الناري على مستوى التطبيقات والتحقق بأنها محدثة لسد آخر الثغرات.
  
•  تأكد من وجود عملية لتحديث البرنامج بأحدث بصمات الهجوم.
  
•  في حالة تنزيل التواقيع من موقع الموردين والشركات المصنعة، يجب التأكد بأنها من موقع موثوق.
  
•  في حالة إرسال البصمات بالبريد الإلكتروني إلى مسؤول النظام، يجب التأكد من استخدام التوقيعات الرقمية للتحقق من المورد وأن المعلومات المنقولة لم يتم تغييرها أثناء النقل.
  
•  يجب حظر الأوامر التالية لـ SMTP في جدار الحماية على مستوى التطبيق:
  
• EXPN (التوسيع – expand)
• VRFY (تحقق–  verify)
• DEBUG
• WIZARD
• يجب حظر الأمر التالي لـ FTP:
  
• PUT
• مراجعة وحظر العناوين URL’s) (والتأكد بانها ملائمة، فعلى سبيل المثال. يجب حظر أي عنوان URL لمواقع المخترقين.
  
• التأكد من أن المستخدمين المخولين هم فقط من يتم التصديق عليهم بواسطة جدار الحماية على مستوى التطبيق.
  

3. تفحص بحالة الاتصال (Stateful Inspection)

• مراجعة جداول الحالة (State Tables) للتأكد من إعداد القواعد المناسبة من حيث عناوين المصدر والوجهة ومنافذ المصدر والوجهة والمهلة.
  
• تأكد من أن المهلة مناسبة حتى لا تعطي المتسلل الكثير من الوقت لشن هجوم ناجح.
  
• وبالنسبة لعناوين URL :
  
  • في حالة استخدام خادم تصفية عناوين URL، تأكد من تحديده بشكل مناسب في برنامج جدار الحماية. (إذا كان خادم التصفية من خارج (جهة العمل)، فتأكد من أنه مصدر موثوق به).
    
  • إذا كان الترشيح على عناوين MAC مسوح به، فيجب مراجعة المرشحات للتأكد من أنها مقتصرة على عناوين MAC المناسبة لـ (جهة العمل).
    

4. تسجيل الأحداث:

• تأكد من تفعيل خاصية تسجيل الاحداث وأن يتم مراجعة السجلات لتحديد أي أنماط محتملة قد تشير إلى وجود هجوم.
  
•  سجلات إدارة جدار حماية الشبكة (الأنشطة الإدارية) وسجلات الأحداث (نشاط حركة المرور) يجب أن:
  
• يتم تخزينها على وحدة تخزين بديلة (وليس على نفس الجهاز)
  
• تتم مراجعتها يوميًا على الأقل، مع الاحتفاظ بالسجلات لمدة تسعين (90) يوماً
  

5. التصحيحات والتحديثات:

• تأكد من اختبار وتثبيت أحدث التصحيحات والتحديثات المتعلقة بجدار الحماية الخاص بك.
  
•  إذا تم تنزيل التصحيحات والتحديثات تلقائيًا من مواقع الويب الخاصة بالموردين، فتأكد من استلام التحديث من موقع موثوق به.
  
•  في حالة إرسال التصحيحات والتحديثات بالبريد الإلكتروني إلى مدير النظام، تأكد من استخدام التوقيعات الرقمية للتحقق من المورد (Vendor) والتأكد من عدم تعديل المعلومات في الطريق.
  

6. تقييم اختبار الضعف:

• يجب التحقق ما إذا كان هناك إجراء لاختبار المنافذ المفتوحة باستخدام (NMAP)، وما إذا كانت المنافذ غير الضرورية مغلقة.
  
• التأكد من وجود إجراء لاختبار القواعد عند تأسيسها أو تغييرها حتى لا يؤدي إلى رفض الخدمة أو السماح باستمرار وجود نقاط الضعف دون أن يتم اكتشافها.
  

7. الالتزام بسياسة الأمن:

• تأكد من أن القواعد تتوافق مع سياسة أمن (جهة العمل).
  

8. تأكد من أن العناوين التالية الخاصة، (RFC 1918) المنتحلة والعشوائية محظورة:

• عناوين خاصة (RFC 1918) 

10.0.0.0 – 10.255.255.255

172.16.0.0 – 172.31.255.255

192.168.0.0 – 192.168.255.255

• عناوين محجوزة
  

240.0.0.0

• عناوين غير قانونية
  

0.0.0.0

• echo UDP
• بث (RFC 2644) ICMP

9. الوصول عن بعد:

• في حالة استخدام الوصول عن بعد، تأكد من استخدام بروتوكول SSH (المنفذ 22) بدلاً من Telnet.
  

10. نقل الملفات:

• إذا كان بروتوكول FTP مطلوبا، فتأكد من وضع الخادم، الذي يدعم FTP، في شبكة فرعية مختلفة عن تلك المخصصة للشبكة المحمية الداخلية.
  

11. حركة البريد الإلكتروني:

• التحقق من البروتوكول المستخدم للبريد والتأكد من وجود قاعدة لحظر حركة البريد الوارد باستثناء تلك القاصدة خادم البريد الداخلي.
  

12. حظر حركة ICMP غير المرغوب فيها (ICMP 8, 11, 3):

• تأكد من وجود قاعدة تمنع طلبات ورسائل ارتداد ICMP.
  
•  تأكد من وجود قاعدة تمنع أرسال رسائل تجاوز الوقت (Time Exceeded) ورسائل الإبلاغ عن عدم القدرة عن وصول للهدف (Unreachable).
  

13. الخوادم الحرجة والحساسة (Critical Servers):

• التأكد من وجود قاعدة تمنع حركة المرور الموجهة إلى عناوين داخلية حرجة وحساسة من مصادر خارجية. يجب أن تستند هذه القاعدة إلى المتطلبات التنظيمية، نظراً لأن بعض (جهات العمل) قد تسمح بتوجيه حركة المرور عبر تطبيق ويب وعبر المنطقة المجردة من السلاح (DMZ).
  

14. جدران الحماية الشخصية:

• تأكد من حصول مستخدمي الكمبيوتر المحمول على التدريب المناسب فيما يتعلق بالتهديدات وأنواع العناصر المحظورة بواسطة جدار الحماية والمبادئ التوجيهية لتشغيل جدار الحماية الشخصي. هذا العنصر ضروري، حيث تعتمد الجدران النارية الشخصية أحيانًا على مطالبة المستخدم بالرد على الهجمات. على سبيل المثال، ما إذا كنت تريد قبول / رفض طلب من عنوان معين.
  
• قم بمراجعة إعدادات الحماية الخاصة بجدار الحماية الشخصي للتأكد من أنه يقيد الوصول إلى منافذ معينة، ويحمي من الهجمات المعروفة، وأن هناك تنبيهات كافية لتسجيل الدخول وتنبيهات للمستخدم في حالة حدوث اختراق.
  
• تأكد من وجود إجراء لتحديث البرنامج لأية هجمات جديدة أصبحت معروفة. ويمكن بدلاً من ذلك الاعتماد على ما توفره معظم الأدوات المشابهة من خيارات تحميل التحديثات التلقائية عبر الإنترنت. في مثل هذه الحالات، يجب التأكد من تلقي التحديثات من مواقع موثوق بها.
  

15. جدران الحماية الموزعة:

• التأكد من توزيع سياسة الأمن باستمرار على جميع الأجهزة المضيفة، خاصة عند وجود تغييرات في السياسة.
  
•  التأكد من وجود ضوابط كافية لضمان سلامة السياسة أثناء النقل، على سبيل المثال، IPsec لتشفير السياسة عند النقل.
  
•  تأكد من وجود ضوابط كافية لمصادقة المضيف المناسب.
  

مرة أخرى يمكن استخدام IPsec للمصادقة مع شهادات التشفير.

16. استمرار توافر جدران الحماية:

• تأكد من وجود جدار حماية بديل عن جدار الحماية الأساسي (hot standby for the primary firewall)

17. يجب توثيق عمليات ضبط الشبكة والتغييرات التي تتم عليها بشكل منتظم وذلك لفهم بنيتها، يجب أن يتضمن مستند توثيق الشبكات ما يلي:

• رسم تخطيطي للشبكة.
  
• ضوابط النظام (System configurations).
• قواعد الجدار الناري.
  
• عناوين بروتوكولات الانترنت (IP Addresses).
  
• قوائم التحكم في الوصول.