تأمين الشبكة المنزلية باستخدام OPNSense – الجزء الثالث

by | يونيو 28, 2023 | أمور عامة حول لينيكس | 0 comments

محوّلات الشبكة هي جزء أساسي لا يتجزأ من الشبكة. في الجزء الأول والثاني من الشرح تعاملنا مع الجدار الناري من خلال كمبيوتر واحد فقط، ولكن في المنزل لا يوجد كمبيوتر واحد فقط بل عدد من أجهزة الكمبيوتر، الهواتف المحمولة، التلفاز الذكي وغيرها من الأدوات والأجهزة التي تستخدم الإنترنت. ليس من المنطقي أن نستخدم كل جهاز على حدى لنصل إلى الإنترنت وبالتالي نستخدم محولات الشبكة راعينا أن تكون الخطوات واضحة قدر الإمكان ومدعّمة بالصور اللازمة لتقريب الفهم للمستخدم المبتدئ.

أجزاء المقال

هذا المقال طويل جدا ولهذا السبب تقرر تقسيمة لعدد من المقالات الصغيرة لتسهيل إتباع الشرح وتركيز المعلومات في كل مقال بموضوع معين.

الجزء الأول: تثبيت الجدار الناري.

الجزء الثاني: ضبط إعدادات الجدار الناري.

الجزء الثالث: تكوين الشبكة الداخلية وربط الاجهزه بها.

الجزء الرابع: تكوين شبكة VPN من نوع OpenVPN و WireGuard.

ما هي محولات الشبكة

في الشبكات، الـ Switch (المحوّل) هو جهاز يستخدم لربط و توصيل أجهزة الكمبيوتر في الشبكة المحلية (LAN). يعمل الـ Switch على توجيه حركة البيانات بين أجهزة الكمبيوتر المتصلة به.

الـ Switch يتلقى حزم البيانات من جهاز مرسل ويقوم بتحليل عنوان وجهة الحزمة، ثم يقوم بتوجيهها إلى الجهاز المستلم المناسب. وبهذه الطريقة، يتيح الـ Switch إنشاء اتصالات مباشرة بين أجهزة الكمبيوتر في الشبكة دون أن يؤثر على حركة البيانات بين الأجهزة الأخرى في الشبكة.

يعمل الـ Switch على مستوى الشبكة المحلية (LAN) ويعتبر أحد الأجهزة الأساسية في بنية الشبكة. باستخدام الـ Switch، يمكن تحقيق سرعات عالية لنقل البيانات وتحسين أداء الشبكة وتوزيع البيانات بشكل فعال. كما يوفر الـ Switch أيضًا ميزات إضافية مثل إدارة الشبكة وتأمين البيانات وتوزيع العرض الترددي (bandwidth) بين الأجهزة المتصلة.

الفرق بين المحولات المُدارة والمحولات الغير مُدارة

هناك اختلافات رئيسية بين الـ Managed Switch والـ Unmanaged Switch. الفرق الرئيسي يكمن في مستوى التحكم والإدارة الذي يتيحه كل نوع منها. الفرق الرئيسي بينهما هو مدى الإدارة والتحكم الموجود، والسعر. أجهزة Unmanaged Switch ارخص بفارق ضخم من أجهزة Managed Switch ولكنها لا تقدم ولا أي نوع إدارة ولا تحكم.

Unmanaged Switch: يُعد الـ Unmanaged Switch هو الأبسط والأكثر تواضعًا من بين النوعين. فهو يعمل بشكل تلقائي وليس لديه واجهة تحكم مستخدم أو خيارات إدارة. يتم تثبيته بسهولة وعادةً ما يكون “Plug-and-Play”، مما يعني أنه يعمل فور توصيله دون الحاجة إلى تكوين إضافي. يقوم الـ Unmanaged Switch بتوجيه حركة البيانات فقط ولا يوفر خيارات تحكم إضافية.

Managed Switch: يتميز الـ Managed Switch بواجهة تحكم مستخدم التي تتيح لمدير الشبكات إعدادات مفصلة وتخصيص العديد من الخصائص والخيارات. يوفر التبديل المُدار ميزات إدارة مثل توجيه الشبكة (Routing) وقواعد الأمان وجدولة البيانات ومراقبة حركة البيانات وتفصيلات تسجيل الأحداث وتوزيع العرض الترددي (bandwidth) وإعدادات VLAN (Virtual LAN) وأكثر من ذلك. يتطلب التبديل المُدار مستوى إضافيًا من المعرفة والخبرة لتكوينه وإدارته بشكل فعال.

اختيار نوع المحوّل المناسب يتم وفقًا لاحتياجات الشبكة المحددة. إذا كنت تحتاج إلى مرونة وتحكم أكبر في إدارة الشبكة وتكوينات متقدمة، فإن الـ Managed Switch يكون الخيار الأنسب. أما إذا كنت تبحث عن حلاً بسيطًا ومكلفة أقل لشبكة صغيرة غير معقدة، فإن الـ Unmanaged Switch يكون الاختيار الأمثل.

في هذا الشرح استخدمنا Managed Switch لان فيه خصائص أعلى بشكل ملحوظ ويمكن دائما استخدامه في المستقبل من أجل مشاريع أكبر وأعقد من هذا المقال. ننصح وبقوه أن يكون لديكم Managed Switch ولكن النوع الآخر يعمل أيضا ولو كان بشكل أقل جودة.

توصيل محوّل للجدار الناري

في الحقيقة، لا يهم لو كان لديك محوّل مُدار أم لا، عملية التوصيل سهله بشكل لا يُصدق. المحوّل المُدار لدي عمل بشكل مباشر وبدون أي إعدادات. كما تذكر، أعددنا الجدار الناري ليعمل مجهاز توجيه وخادم DHCP ليقوم بتزويد عناوين IP بشكل تلقائي للأجهزة المرتبطه مع الجدار الناري. بطبيعة الحال، المحوّل يقوم بالتعرف على هذه الإعدادات وضبط نفسه ليعمل بهذا الشكل. تحتاج لعمل بعض التعديلات فقط في حال أنك قررت تشغيل بعض الأجهزة على VLAN مختلف.

في حال أردت تكوين VLAN مختلف في الجدار الناري، ستتمكن من عمل ذلك دون الحاجة إلى المحوّل أو أي جهاز آخر.

للتأكد من عنوان المحوّل وأنه مرتبط بالفعل معه الجدار الناري، يمكنك البحث عن عناوين IP للأجهزة المرتبطه بالجدار الناري من خلال الإتصال بالمحوّل وتنفيذ الأمر التالي في الطرفية:

nmap -sP 10.110.220.0/24

لا يجب أن تجب أكثر من جهازين، جهازك الشخصي، وجهاز التحويل. يمكنك دخول لوحة التحكم الخاصة بالجهاز لفحص الإعدادات الخاصة بك أو تعديل اللازم إن كنت تعلم أنك بحاجة إلى تعديل أي شيء. الكود التالي يُمثّل مخرجات تقريبية لما يمكن أن تراه في جهازك:

[ahmad@Ahmad-PC ~]$ nmap -sP 10.110.220.0/24
Starting Nmap 7.94 ( https://nmap.org ) at 2023-06-27 19:17 IDT
Nmap scan report for OPNsense.localdomain (10.110.220.1)Host is up (0.00026s latency).
Nmap scan report for 10.110.220.10
Host is up (0.000028s latency).
Nmap scan report for 10.110.220.13
Host is up (0.0059s latency).
Nmap scan report for 10.110.220.14
Host is up (0.053s latency).
Nmap done: 256 IP addresses (4 hosts up) scanned in 3.67 seconds
[ahmad@Ahmad-PC ~]$

توصيل الشبكة اللاسلكية

توصيل الشبكة اللاسلكية أسهل من توصيل المُحوّل. بشكل عام، ليس هناك طريقة محددة للتوصيل ولكل جهاز هناك طريقة معينه. لأنوع معينه من أجهزة نقاط التوصيل أو الـ Access point، يمكنك توصيل الكيبل بالمحوّل وسيبدأ العمل بشكل تلقائي. بالنسبة لي، إحتجت لتحويل وضع عمل الجهاز من موجّه Router إلى نقطة وصول من خلال توصيل الجهاز مباشرة بالكمبيوتر وضبط الإعدادات لما تراه في الشاشة التالية:

في جهاز التوجيه الخاص بي، هذا الأمر يقوم بتعطيل جميع أنوع الإتصالات في الجهاز وتحويلة إلى نقطة وصول لا أكثر. قمت أيضا بتعطيل خادم DHCP الداخلي لأكون متأكد 100% انه لن يتعارض مع الجدار الناري على الرغم من أنه لن يتعارض:

قد تحتاج لتعطيل خيار DHCP في جهازك لأن الأجهزة المختلفة تعمل بطرق مختلفة وليس هناك معيار معيين لطريقة عمل أي جهاز.

عند الإتصال بشبكة الوايفاي، تأكد من أنك حصلت على عنوان IP ملائم للجدار الناري وهو من ناحيتنا سيكون كالتالي:

10.110.220.x

في مواضيع لاحقة سوف أقوم بعمل شرح كامل لضبط VLAN وفصل الأجهزة والشبكات عن بعضها البعض لزيادة الأمان. هذا الأمر يسمح لك بتشغيل الشبكة اللاسلكية مثلا على شبكة منفصلة تماما عن الكمبيوتر المكبتي أو تشغيل الأجهزة المنزلية الذكية على شبكة منفصلة تماما عن أي جهاز آخر ممكن يجعل إختراقها شبه مستحيل إلا إذا تمكن المخترق من الوصول إلى الشبكة التي تعمل عليها الأجهزة.