تخطي إلى المحتوى

ذكاء السلوك: النموذج الجديد لتأمين المؤسسة الوكيلة —اقرأ المدونة.

احصل على عرض توضيحي

الطبقة الثانية من نموذج OSI: الوظائف الأساسية، البروتوكولات، الأمان والأداء

  • 12 minutes to read

فهرس المحتويات

    تقدم طبقة OSI الثانية، وهي طبقة ربط البيانات، نقل البيانات من عقدة إلى أخرى عبر رابط شبكة مادي من خلال تأطير البيانات في إطارات، واكتشاف وتصحيح الأخطاء، والتحكم في الوصول إلى وسائط الشبكة. تستخدم عناوين MAC لتوجيه الشبكة المحلية، وتتعامل مع التحكم في تدفق البيانات لمنع التحميل الزائد، وهي مسؤولة عن نقل البيانات بشكل موثوق بين الأجهزة المتجاورة في الشبكة مثل المحولات وبطاقات واجهة الشبكة (NICs).

    تشمل الوظائف الرئيسية لهذه الطبقة ما يلي:

    • إطار العمل: تقوم طبقة ربط البيانات بتغليف البيانات المستلمة من طبقة الشبكة (الطبقة 3) في إطارات، وهي قطع من البيانات لنقلها عبر الجزء المحلي من الشبكة.
    • اكتشاف الأخطاء وتصحيحها: يقوم بتنفيذ آليات لاكتشاف الأخطاء التي تحدث أثناء الإرسال عبر الطبقة المادية، وأحيانًا تصحيحها، مما يضمن سلامة البيانات.
    • التحكم في التدفق: تدير هذه الطبقة معدل نقل البيانات بين الأجهزة لمنع المرسل من إغراق المستقبل، وهي عملية تعرف باسم التحكم في التدفق.
    • تحكم الوصول إلى الوسائط (MAC): تتحمل طبقة MAC مسؤولية التحكم في كيفية وصول أجهزة الشبكة إلى الوسيط الفيزيائي، وحل التصادمات عندما تحاول أجهزة متعددة الإرسال في نفس الوقت.
    • العناوين الفيزيائية (عناوين MAC): تستخدم الطبقة 2 عناوين MAC، وهي معرفات فريدة مخصصة لبطاقات واجهة الشبكة، لتوجيه الإطارات إلى الوجهة الصحيحة داخل الشبكة المحلية.

    عادةً ما تُقسم طبقة ربط البيانات إلى طبقتين فرعيتين لإدارة وظائفها المتنوعة:

    • التحكم في الوصول إلى الوسائط (MAC): يدير الوصول إلى الوسيط الشبكي الفيزيائي ويستخدم عناوين MAC للتوجيه المحلي.
    • التحكم في الروابط المنطقية (LLC): يتعامل مع التحكم في الأخطاء والتحكم في التدفق، ويتفاعل مع الطبقات العليا من نموذج OSI.

    دور الطبقة الثانية في نموذج OSI

    تقوم الطبقة الثانية بسد الفجوة بين الأجهزة الفيزيائية والبروتوكولات ذات المستوى الأعلى. وهي مسؤولة عن تحويل البيانات الخام من الطبقة الفيزيائية إلى إطارات منظمة يمكن معالجتها بواسطة الطبقة الثالثة (طبقة الشبكة). ويتضمن ذلك إرفاق عناوين MAC المصدر والوجهة، التي تحدد الأجهزة داخل نفس الشبكة المحلية.

    إحدى مهام طبقة ربط البيانات هي ضمان اكتشاف الأخطاء والتعامل معها من خلال آليات مثل تسلسلات فحص الإطارات (FCS). كما تدير الوصول إلى الوسيط الفيزيائي باستخدام بروتوكولات مثل CSMA/CD في الإيثرنت وCSMA/CA في الواي فاي، حيث تتحكم في متى يمكن للأجهزة إرسال البيانات.

    تمكن الطبقة الثانية الأجهزة من التواصل ضمن نفس نطاق البث وتعتبر جزءًا أساسيًا من عمليات الشبكة المحلية (LAN). من خلال تغليف حزم الطبقة الثالثة في إطارات، تدعم قرارات التوجيه التي تتخذها المحولات وتوفر أساسًا لتقسيم الشبكة والشبكات المحلية الافتراضية (VLANs).

    الوظائف الأساسية لطبقة ربط البيانات

    إطار البيانات وتغليف البيانات

    في الطبقة الثانية، يتم تغليف البيانات المستلمة من المستويات العليا في هياكل تُعرف بالإطارات. تتضمن عملية التغليف هذه إضافة رؤوس وذيل إلى الحمولة البيانات الخام، مما يوفر المعلومات اللازمة للتوجيه، والتحكم، والتحقق من الأخطاء. كل إطار هو وحدة مستقلة تحدد نقاط البداية والنهاية، مما يساعد الأجهزة على التمييز بين الرسائل الفردية على وسط الشبكة وفصل الإرساليات الصحيحة عن الضوضاء الخلفية أو الأخطاء.

    يؤسس التغليف في طبقة ربط البيانات حدودًا للبيانات، مما يدعم التسليم الموثوق على الوسائط المشتركة. تضمن عناوين المصدر والوجهة، إلى جانب معلومات نوع الإطار، أن تتمكن الأجهزة الشبكية من معالجة الإطار أو توجيهه بشكل صحيح.

    كشف الأخطاء وتصحيحها

    يتم عادةً التعامل مع اكتشاف الأخطاء في الطبقة الثانية من خلال تضمين رموز خاصة أو مجموعات تحقق في نهاية الإطار، وغالبًا ما يتم استخدام طرق مثل فحص التكرار الدوري (CRC). عندما يصل الإطار إلى وجهته، يقوم الجهاز المستلم بإعادة حساب مجموعة التحقق ومقارنتها بالقيمة الموجودة في نهاية الإطار.

    إذا كانت القيم غير متطابقة، يتم تحديد الإطار على أنه تالف، مما يستدعي إجراءات التعامل مع الأخطاء مثل إسقاط الإطار أو طلب إعادة الإرسال. بينما يعد الكشف الأساسي عن الأخطاء أمرًا شائعًا في الطبقة الثانية، إلا أن ليس جميع بروتوكولات الطبقة الثانية تقوم بتنفيذ تصحيح الأخطاء تلقائيًا.

    بعض الأنظمة توفر فقط الكشف، تاركةً التصحيح للطبقات العليا أو العمليات اليدوية. بينما قد تتضمن أنظمة أخرى، مثل بعض البروتوكولات اللاسلكية، آليات محدودة لإعادة الإرسال أو التأكيد لتحسين الموثوقية.

    التحكم في التدفق والتسليم الموثوق

    تقوم آليات التحكم في التدفق في الطبقة الثانية بتنظيم سرعة نقل الإطارات بين المرسل والمستقبل. بدون التحكم في التدفق، قد يتسبب المرسلون الأسرع في إغراق المستقبلين الأبطأ، مما يؤدي إلى فقدان الإطارات وسوء استخدام الشبكة. تتناول معظم بروتوكولات الطبقة الثانية هذه المشكلة باستخدام تقنيات مثل إطارات التوقف (في الإيثرنت) أو مخططات إدارة الذاكرة المؤقتة التي تساعد في تنسيق النقل بناءً على الموارد المتاحة في كل نقطة نهاية.

    يدعم التسليم الموثوق به بشكل أكبر من خلال خطط الاعتراف، واستراتيجيات إعادة الإرسال، أو حقول المعلومات المحجوزة التي تتعقب حالة الإطارات أثناء النقل. على الرغم من أن هذه القدرات ليست متطورة مثل تلك الموجودة في الطبقات العليا مثل TCP، إلا أن التحكم في تدفق الطبقة الثانية وآليات الموثوقية تضمن عدم فقدان البيانات أو تكرارها بشكل غير ضروري في مرحلة النقل المحلية.

    التوجيه باستخدام عناوين MAC

    العنوان الفيزيائي هو ميزة من ميزات الطبقة الثانية، يتم تحقيقها من خلال استخدام عناوين التحكم في الوصول إلى الوسائط (MAC). يتم تعيين عنوان MAC فريد لكل واجهة شبكة على جهاز ما، والذي يتم تضمينه في رأس كل إطار. وهذا يضمن توصيل البيانات إلى الجهاز الفيزيائي الصحيح على الشبكة المحلية، بغض النظر عن عناوين IP أو البروتوكولات الأعلى التي قد توجد فوق الطبقة الثانية.

    تتيح عناوين MAC التواصل بين الأجهزة ضمن نفس شريحة الشبكة، وهي أساسية لكيفية اتخاذ المحولات قرارات التوجيه. بينما تمر الإطارات عبر الشبكة، يقوم كل محول بفحص عنوان MAC الوجهة ليقرر ما إذا كان سيوجه الإطار أو يفلتره أو يبثه.

    طبقات فرعية من طبقة ربط البيانات

    طبقة التحكم في الربط المنطقي (LLC)

    طبقة التحكم في الروابط المنطقية (LLC)، التي تم تعريفها في معيار IEEE 802.2، مسؤولة عن إدارة الاتصال بين الطبقة الثانية والطبقات العليا في نموذج OSI. تقدم LLC خدمات مثل إعداد الاتصال وصيانته وتفكيكه، بالإضافة إلى الإطارات والعناوين والتحكم الاختياري في الأخطاء وتدفق البيانات.

    تتعامل هذه الطبقة الفرعية مع بروتوكولات التعدد على نفس رابط البيانات، مما يعني أن بروتوكولات أعلى متعددة يمكن أن تشارك رابطًا ماديًا واحدًا دون تعارض. كما تدير LLC تسلسل وإقرار الإطارات، مقدمة خدمات مشابهة لتلك التي تقدمها بروتوكولات النقل، على الرغم من أن نطاقها محدود إلى الجزء المحلي.

    يضمن التعرف الصحيح على الإطارات وتوصيلها إلى بروتوكول الطبقة الثالثة المناسب أو خدمة التطبيق. يسمح هذا العزل بين التحكم المنطقي ومهام الوصول الفيزيائي بتطور الأجهزة والبرمجيات بشكل مستقل مع الحفاظ على التوافق ضمن الهيكل القياسي.

    طبقة التحكم في الوصول إلى الوسائط (MAC)

    تعمل طبقة التحكم في الوصول إلى الوسائط (MAC) بالقرب من البنية التحتية للشبكة الفيزيائية وتدير كيفية وصول الأجهزة على نفس قطاع الشبكة المحلية إلى وسيلة الاتصال المشتركة. تتولى تعيين والتعرف على عناوين الأجهزة (MAC)، وتطبق تقنيات تجنب وحل التصادم، وتحمي سلامة تدفقات البيانات من خلال فرض قواعد على الوصول إلى الوسائط.

    تختلف بروتوكولات الوصول المتعدد (MAC) حسب نوع الشبكة ويمكن أن تشمل الوصول المتعدد مع كشف التصادم (CSMA/CD)، تمرير الرمز، أو أنظمة الاستطلاع. كما تساعد الطبقة الفرعية MAC في إدارة حركة المرور من خلال تصفية الإطارات بناءً على عناوين MAC الوجهة.

    تستخدم المحولات جداول عناوين MAC لاتخاذ قرارات التوجيه، مما يضمن أن المستلمين المقصودين فقط هم من يتلقون البيانات وأن نطاقات البث تبقى محصورة. من خلال مراقبة استخدام الموارد المشتركة وتطبيق معايير العناوين المتسقة، تعتبر طبقة MAC حاسمة لعمليات الطبقة الثانية بكفاءة في الشبكات الحديثة.

    نصائح من الخبير

    Steve Moore

    ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

    نصائح من الخبير:

    من خلال تجربتي، إليك بعض النصائح التي يمكن أن تساعدك في تأمين وتحسين وحل مشكلات طبقة البيانات (Layer 2) في الشبكات المؤسسية:

    1. تنفيذ تحديد معدل عنوان MAC لمنع تسمم الجدول: حدد عتبات لعدد عناوين MAC التي يمكن أن يتعلمها منفذ واحد. هذا يقلل من هجمات فيضان MAC ويمنع الأجهزة غير المصرح بها من استنزاف موارد المحول.
    2. استخدم فحص ARP الديناميكي (DAI) مع مراقبة DHCP لسلامة ARP: قم بتمكين DAI بالتزامن مع مراقبة DHCP للتحقق من استجابات ARP مقابل الروابط المعروفة لـ DHCP. هذا ي thwart تزوير ARP من خلال التحقق من تطابقات MAC إلى IP بشكل ديناميكي.
    3. قم بتعزيز STP من خلال تكوين أدوار الجسر الجذر بشكل صريح: لا تعتمد على انتخابات STP الافتراضية؛ قم بتعيين أولويات الجسر يدويًا لضمان انتخاب المحولات الأساسية الحرجة كجسور جذر. هذا يمنع المهاجمين من اختطاف STP من خلال ادعاءات أولوية متفوقة.
    4. قم بتقسيم الشبكات السلكية واللاسلكية إلى VLANs منفصلة باستخدام قوائم التحكم في الوصول (ACLs): تجنب دمج العملاء السلكيين واللاسلكيين في نفس مجال الطبقة الثانية. استخدم تقسيم VLAN وقوائم التحكم في الوصول من الطبقة الثالثة (ACLs) للحد من التداخل غير الضروري واحتواء التهديدات الخاصة بالشبكات اللاسلكية.
    5. تمكين أمان المنفذ باستخدام عناوين MAC اللاصقة وإجراءات الانتهاك: استخدم التعلم لعناوين MAC اللاصقة للمنافذ الموثوقة وقم بتكوين استجابات الانتهاك (إيقاف التشغيل أو التقييد) لمنع الأجهزة غير المصرح بها من محاولة انتحال هوية النقاط النهائية الصالحة.

    كيف تتفاعل الطبقة الثانية مع الطبقات الأخرى في نموذج OSI

    العلاقة مع الطبقة الأولى (الطبقة الفيزيائية)

    تعتمد الطبقة الثانية على الطبقة الأولى (الطبقة الفيزيائية) لنقل البيانات غير المنظمة عبر الوسائط الفيزيائية للشبكة، سواء كانت سلك نحاسي أو ألياف ضوئية أو موجات راديوية لاسلكية. تتعامل الطبقة الفيزيائية مع الفولتية والتيارات والتعديل والتوقيت اللازم لإرسال البيانات من نقطة إلى أخرى، بينما تقوم الطبقة الثانية بتنظيم هذه البيانات في إطارات تحتوي على سياق ووجهة وآليات للتحقق من الأخطاء.

    التفاعل بين الطبقة الثانية والطبقة الأولى حاسم لنجاح تبادل البيانات. يجب على الطبقة الثانية أن تأخذ في الاعتبار القيود والسلوكيات للوسيط الأساسي، وتكيف أحجام الإطارات، والتوقيت، واستراتيجيات الإرسال وفقًا لذلك. في المقابل، تقدم الطبقة الثانية مستوى من التجريد والتنظيم، مما يساعد في تصفية البيانات غير الصحيحة أو المزعجة.

    العلاقة مع الطبقة الثالثة (طبقة الشبكة)

    تقوم طبقة ربط البيانات بتسليم البيانات إلى الطبقة الثالثة، وهي طبقة الشبكة، بمجرد أن تكون مؤطرة بشكل صحيح، وموجهة، ومراجعة للأخطاء. الطبقة الثالثة مسؤولة عن العناوين المنطقية، والتوجيه، وتسليم الحزم عبر الشبكات، مما قد يتطلب المرور عبر عدة مقاطع من الطبقة الثانية.

    الطبقة الثانية تمرر فقط البيانات ذات الصلة بالجزء المحلي وتعتمد على الطبقة الثالثة للتعامل مع التوصيل خارج الشبكة المحلية. هذا الفصل يمكّن من إنشاء شبكات مرنة وقابلة للتوسع. تضمن الطبقة الثانية أن يتم تسليم بيانات نظيفة ومُعتمَدة فقط إلى الطبقة الثالثة، مما يقلل من خطر الأخطاء الواسعة في الشبكة.

    تستفيد الطبقة الثالثة من الطبقة الثانية لتوفير تسليم موثوق محلي، وتركز مواردها الخاصة على التوجيه من النهاية إلى النهاية، والعناوين، وتنفيذ السياسات. إن التآزر بين هاتين الطبقتين ضروري للتشبيك الوظيفي ولدعم التوبولوجيات الشبكية المعقدة متعددة القطاعات.

    بروتوكولات ومعايير الطبقة الثانية الشائعة

    الإيثرنت (IEEE 802.3)

    الإيثرنت هو البروتوكول الأكثر انتشارًا في الطبقة الثانية، ويشكل الأساس تقريبًا لجميع الشبكات المحلية السلكية. تم تعريفه بواسطة معيار IEEE 802.3، حيث يحدد الإيثرنت هيكل الإطار، وعناوين MAC، وطرق الوصول إلى الوسائط (مثل CSMA/CD)، ومعدلات البيانات القياسية (التي تتراوح من 10 ميغابت في الثانية إلى 400 جيجابت في الثانية وما بعدها).

    تصميمها يسمح بالتوسع من الشبكات الصغيرة إلى النشر في المؤسسات الكبيرة. إحدى ميزات الإيثرنت هي دعمها لإطارات البث والإرسال المتعدد، مما يمكّن من اكتشاف الأجهزة والتواصل الجماعي. تستخدم المحولات عناوين MAC لإطارات الإيثرنت لتوجيه حركة المرور فقط إلى المستلمين المقصودين، مما يساعد في التحكم في الازدحام والتوسع.

    واي فاي (IEEE 802.11)

    تعمل تقنية الواي فاي، التي تحكمها عائلة معايير IEEE 802.11، على توفير وظائف الطبقة الثانية للشبكات اللاسلكية. فهي تحدد ليس فقط كيفية هيكلة الإطارات وعنوانها، ولكن أيضًا تفاصيل المصادقة والتشفير وإدارة الترددات الراديوية. تم تحسين طبقة MAC في الواي فاي للتعامل مع التحديات اللاسلكية مثل تداخل الإشارات والتنقل وتنافس القنوات المشتركة.

    جانب رئيسي من تشغيل Wi-Fi في الطبقة الثانية هو دعم الارتباط الديناميكي والمصادقة، مما يسمح للأجهزة المحمولة بالانضمام إلى الشبكات وتركها بسلاسة. الميزات مثل إعادة إرسال الإطارات، واختيار المعدل التكيفي، وتصحيح الأخطاء تجعل Wi-Fi مناسبًا لمجموعة من الإعدادات، من نقاط الوصول المنزلية إلى النشر في المؤسسات والأماكن العامة.

    PPP و HDLC

    بروتوكول النقطة إلى النقطة (PPP) وبروتوكول التحكم في البيانات عالي المستوى (HDLC) هما بروتوكولان من الطبقة الثانية متخصصان في الاتصالات التسلسلية المباشرة، مثل روابط الشبكة الواسعة (WAN) المخصصة بين أجهزة التوجيه. يقوم بروتوكول PPP بتغليف الإطارات لضمان التسليم الموثوق ويضيف ميزات مثل التحقق من الهوية (PAP، CHAP)، والتفاوض على الروابط، وتعدد بروتوكولات الطبقة الثالثة.

    يتم استخدامه على نطاق واسع في الاتصال الهاتفي، وDSL، والعديد من تطبيقات VPN. يخدم HDLC غرضًا مشابهًا ولكنه يوجد غالبًا في تطبيقات WAN المعتمدة على الأجهزة وداخل بيئات البائعين الخاصة. إطارات HDLC بسيطة وفعالة، مما يمكّن من التحكم المبسط وتقليل الأعباء.

    إطار الإرسال و ATM

    بروتوكولات Frame Relay و ATM هي بروتوكولات في الطبقة الثانية مصممة لبيئات الشبكات الواسعة (WAN)، حيث توفر نقل بيانات عالي السرعة وفعال عبر دوائر مخصصة أو اتصالات افتراضية.

    تستخدم تقنية فريم ريلاي إطارات ذات أحجام متغيرة لتعظيم الإنتاجية وتقليل التكاليف، مما يجعلها شائعة للروابط التجارية والروابط ذات الجودة العالية قبل انتشار الإنترنت عالي السرعة. وهي تعتمد على نموذج أبسط للتحقق من الأخطاء وتصحيحها، مع افتراض أن الروابط الفيزيائية الأساسية موثوقة.

    تتبع تقنية ATM نهجًا مختلفًا، حيث تقوم بتقسيم جميع البيانات إلى خلايا ثابتة الحجم (53 بايت) لدعم جودة الخدمة المنضبطة (QoS) والكمون المنخفض، وهو ما يكون مفيدًا للاتصالات الصوتية والفيديو وأنواع الحركة المختلطة. وقد حدت تعقيدات ATM وتكاليفها من انتشارها بشكل رئيسي في شبكات الناقلين والمؤسسات الكبيرة.

    توسيم VLAN (IEEE 802.1Q)

    توسيم VLAN، كما هو معرف في معيار IEEE 802.1Q، يسمح بتقسيم الشبكة الفيزيائية إلى عدة شبكات محلية افتراضية (VLANs) على الطبقة الثانية. علامات VLAN المدخلة في إطارات الإيثرنت تمكن الأجهزة الشبكية من التعرف على التقسيم المنطقي وتطبيقه، حتى عندما تتشارك حركة المرور في المحولات والكابلات الفيزيائية.

    هذا يعزز الأمان، ويبسط الإدارة، ويعزل مجالات البث، مما يساعد في الحد من الازدحام في الشبكة وتأثير الفشل. وسم 802.1Q ضروري لتصميم الشبكات الحديثة، خاصة في البيئات متعددة المستأجرين أو المؤسسات. تستخدم المحولات وسوم VLAN لتوجيه الإطارات إلى المنافذ المناسبة، مما يحافظ على الفصل بين مجموعات المستخدمين المختلفة أو الأقسام أو التطبيقات.

    تهديدات الأمن وطرق الهجوم في الطبقة الثانية

    استنفاد جدول MAC

    تستهدف هجمات استنفاد جدول MAC مفاتيح الشبكة، وخاصة تلك التي تعمل في الوضع الافتراضي أو غير المدارة. يقوم المفتاح بتتبع العلاقة بين عناوين MAC والمنافذ الفيزيائية باستخدام جدول عناوين MAC لتمرير الإطارات بكفاءة.

    يقوم المهاجمون بإغراق الشبكة بإطارات تحتوي على عناوين MAC مزيفة وعشوائية، مما يتسبب في ملء جدول العناوين في المحول إلى الحد الأقصى. بمجرد أن يمتلئ الجدول، تعود معظم المحولات إلى سلوك "فتح الفشل"، حيث تبث جميع الإطارات الواردة إلى كل المنافذ. هذا يؤدي إلى تدهور أداء الشبكة ويسمح للمهاجمين بالتنصت على حركة المرور التي لم تكن موجهة لهم، مما قد يؤدي إلى التقاط بيانات حساسة.

    تزييف ARP

    تستغل تقنية تزوير ARP (أو تسمم ARP) بروتوكول حل العناوين، وهو وظيفة أساسية في الطبقة الثانية/الطبقة الثالثة تقوم بربط عناوين IP بعناوين MAC. يقوم المهاجمون بإرسال رسائل ARP مزورة على جزء من الشبكة المحلية، مما يخدع الأجهزة لربط عنوان MAC الخاص بالمهاجم بعنوان IP لجهاز شرعي، مثل البوابة الافتراضية أو الخادم.

    هذا التوجيه يمكّن هجمات "الرجل في المنتصف"، حيث يقوم المهاجم باعتراض أو تعديل أو إعادة توجيه حركة مرور الشبكة. يمكن أن تتراوح التأثيرات من اختطاف الجلسات وسرقة بيانات الاعتماد إلى تعطيل الخدمة.

    تزييف DHCP

    تستهدف هجمات انتحال بروتوكول DHCP بروتوكول تكوين المضيف الديناميكي، الذي يقوم بتعيين عناوين IP وإعدادات الشبكة الأخرى على مقاطع الطبقة الثانية. يقوم المهاجم بنشر خادم DHCP مزيف على الشبكة المحلية، مستجيبًا بشكل أسرع من الخادم الشرعي لطلبات عناوين IP من العملاء.

    هذا يتسبب في قبول المضيفين غير المدركين لإعدادات تكوين ضارة، مثل بوابات افتراضية غير صحيحة أو خوادم DNS خاطئة. ونتيجة لذلك، يحصل المهاجمون على القدرة على اعتراض أو إعادة توجيه حركة مرور الشبكة، أو إطلاق هجمات أخرى من نوع "الرجل في المنتصف"، أو تعطيل عمليات الشبكة.

    تلاعب BPDU

    تستهدف هجمات التلاعب بوحدات بيانات بروتوكول الجسر (BPDU) بروتوكول الشجرة الممتدة (STP)، الذي يتحمل مسؤولية منع الحلقات في الشبكات من الطبقة الثانية. يقوم المهاجمون بحقن BPDUs مزيفة مع أولويات أو معلمات جسر الجذر معدلة، مما قد يؤدي إلى تغيير الهيكل المنطقي للشبكة أو التسبب في انقطاعات في الخدمة بينما تعيد المحولات حساب المسارات.

    يمكن أن يؤدي ذلك إلى تعيين جهاز معادي كجسر رئيسي، مما يمنحه رؤية أو تحكم على أجزاء كبيرة من حركة مرور الشبكة. قد يقوم المهاجمون أيضًا بتقويض استقرار الشبكة عمدًا، مما يتسبب في انقطاعات أو تدهور في الأداء.

    تعرف على المزيد في دليلنا المفصل حول هجمات طبقات OSI (سيصدر قريبًا)

    أفضل الممارسات لتحسين أداء الطبقة الثانية

    إليك بعض الطرق التي يمكن للمنظمات من خلالها تحسين أداء Layer 2.

    1. الحفاظ على تصميم دقيق لشبكات VLAN وتقسيمها.

    يعتبر تصميم الشبكة الافتراضية (VLAN) الدقيق أساسًا لتقسيم الشبكة بكفاءة ويساعد في تحديد حركة البث، مما يقلل من الازدحام غير الضروري ويحسن عزل الأعطال. يجب أن يتوافق كل VLAN مع احتياجات المؤسسة، حيث يتم تجميع الأجهزة ذات الوظائف أو متطلبات الأمان المماثلة.

    تجنب تداخل الشبكات الفرعية أو VLANs الكبيرة جدًا، حيث يمكن أن يزيد ذلك من مجالات التصادم ويعقد عملية استكشاف الأخطاء. توثيق تخصيصات VLAN والسياسات يضمن أن يبقى النمو والتغييرات وجهود استكشاف الأخطاء قابلة للإدارة. توفر تقنيات تخصيص VLAN الديناميكية، مثل 802.1X مع تكامل RADIUS، مرونة إضافية مع فرض معايير الأمان.

    2. تنفيذ بروتوكول الشجرة الممتدة (STP) بكفاءة

    بروتوكول شجرة التمدد (STP)، الذي تم تعريفه بواسطة IEEE 802.1D وتعزيزاته، ضروري لمنع الحلقات في الطبقة الثانية التي يمكن أن تؤدي إلى عواصف بث وانقطاع الشبكة. يضمن تكوين STP بشكل صحيح أن تبقى المسارات غير الزائدة نشطة فقط، مع توفر الروابط الزائدة للتعافي الفوري من الأخطاء.

    يتضمن تنفيذ بروتوكول STP بكفاءة تحديد أولويات الجسور، وتمكين ميزات الفشل السريع مثل RSTP (802.1w)، وحماية اختيار الجسر الجذري. كما أن تعزيز STP بميزات مثل حماية BPDU، وحماية الجسر الجذري، وحماية الحلقة يمنع التغييرات الضارة أو غير المقصودة في الطوبولوجيا التي قد تعطل الشبكة.

    3. تقليل نطاقات البث

    يمكن أن تؤدي النطاقات الواسعة للبث إلى الازدحام، واستخدام مرتفع لوحدة المعالجة المركزية على الأجهزة النهائية، ومخاطر أمنية، حيث يتم توصيل حركة مرور البث إلى جميع العقد داخل النطاق. إن تقسيم الشبكة إلى VLANs أصغر ومجزأة منطقياً يحد من نطاق عواصف البث ويعزل الأعطال أو التكوينات الخاطئة إلى مقاطع محددة، مما يحمي الشبكة الأوسع.

    تؤدي وضع حدود من الطبقة الثالثة بشكل استراتيجي أو الاستفادة من تصميمات "راوتر على عصا" إلى تقليل حجم مجالات البث. تمنع هذه الطريقة حركة المرور غير الضرورية من الانتشار عبر الشبكة بأكملها، وتحسن الأمان، وتبسط استجابة الحوادث.

    4. تأمين طبقة ربط البيانات (تصفية MAC، 802.1X)

    تأمين الوصول إلى الطبقة الثانية أمر حيوي لمنع الاستخدام غير المصرح به للشبكة، وتقليد الأجهزة، والحركة الجانبية من قبل المهاجمين. قم بفرض تصفية MAC للسماح فقط للأجهزة المعروفة والموثوقة على المنافذ الحساسة، واستفد من بروتوكول IEEE 802.1X للتحكم في الوصول إلى الشبكة بناءً على المنافذ مع بروتوكولات المصادقة مثل EAP (بروتوكول المصادقة القابل للتوسيع).

    تقدم هذه التدابير خط الدفاع الأول على مستوى الميناء ضد الهجمات الشائعة أو انتهاكات السياسات. إن دمج أمان الطبقة الثانية مع أنظمة المصادقة والمحاسبة المركزية يسمح بتنفيذ السياسات بشكل متسق، وتتبع المستخدمين، والاستجابة السريعة للنشاطات المشبوهة.

    5. راقب وأتمتة مقاييس أداء الطبقة الثانية

    المراقبة المستمرة لصحة وأداء الطبقة الثانية أمر حيوي لاستباق المشكلات والاستجابة السريعة للحوادث. تتبع مقاييس مثل معدلات أخطاء الإطارات، واستخدام المنافذ، واحتلال جدول عناوين MAC، وأنماط حركة مرور VLAN، وحالة STP. نشر أنظمة إدارة الشبكات التي تجمع هذه البيانات وتطلق تنبيهات في حالة الظروف غير الطبيعية أو الأداء المتدهور.

    يمكن أن تبسط أدوات الأتمتة تنفيذ التكوين، وتحديثات البرنامج الثابت، والامتثال للسياسات عبر نطاق Layer 2. يجب أن تكمل التدقيقات المجدولة وتقييمات الثغرات المهام الآلية، مما يضمن تقليل المخاطر بشكل استباقي والتخفيف السريع من المشكلات.

    أمن الشبكات مع Exabeam

    تساهم منصة Exabeam لعمليات الأمن في تعزيز أمان الشبكة، بما في ذلك الجوانب المتعلقة بالطبقة الثانية من نموذج OSI. تقوم المنصة بجمع وتحليل مصادر بيانات متنوعة، بما في ذلك معلومات تدفق الشبكة، وسجلات النظام، وسجلات نشاط المستخدم. توفر هذه المجموعة الشاملة من البيانات رؤية حول أنماط الاتصال وسلوك الأجهزة التي تحدث في طبقة ربط البيانات. من خلال إنشاء معايير للعمليات الطبيعية في الطبقة الثانية، يمكن للمنصة اكتشاف الانحرافات التي قد تشير إلى اختراق أو نقطة هجوم.

    عندما يتم تحديد نشاط مشبوه، مثل تغييرات غير متوقعة في عنوان MAC، أو حركة ARP غير العادية، أو محاولات خادم DHCP غير المصرح به، يقوم النظام بربط هذه الأحداث بمعلومات أمنية أخرى. تساعد هذه العلاقة في وضع سياق للشذوذات في الطبقة الثانية ضمن مشهد تهديد أوسع، مما يسمح لفرق الأمن بفهم التأثير المحتمل وأصل الهجوم. تساعد قدرة النظام على تتبع الجلسات وهويات المستخدمين عبر طبقات مختلفة في نسب الأفعال الخبيثة في الطبقة الثانية إلى مستخدمين أو أجهزة معينة.

    من خلال الاستفادة من التحليلات المتقدمة ونمذجة السلوك، تدعم المنصة الكشف عن هجمات متطورة من الطبقة الثانية التي قد تتجاوز الدفاعات التقليدية المعتمدة على التوقيع. الهدف هو تزويد فرق الأمان برؤى قابلة للتنفيذ للتحقيق في التهديدات والاستجابة لها بكفاءة. هذه الطريقة تمكّن من تعزيز موقف الأمان من خلال معالجة الثغرات والأنشطة الخبيثة التي تستهدف بشكل خاص آليات الاتصال الأساسية في طبقة ربط البيانات.

    تعلم المزيد عن إكزابييم

    تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.

    • مدونة

      الأمان المتركي للذكاء الاصطناعي مفقود.

      اقرأ الآن
    • دليل

      14 حالة استخدام التحليلات السلوكية ينبغي على فرق عمليات الأمن تقييمها

      اقرأ الآن
    • مدونة

      ذكاء السلوك: النموذج الجديد لتأمين المؤسسة الوكيلة

      اقرأ الآن
    • مدونة

      خمسة أسباب تجعل فرق عمليات الأمان تعزز Microsoft Sentinel باستخدام New-Scale Analytics.

      اقرأ الآن
    • عرض المزيد