No Network Connectivity on TCP/IP-Based Network

http://support.microsoft.com/kb/185753

نوشته شده توسط جواد شاهوند در 18:42 | | لینک به این مطلب

Proxy Server چیست ؟

Proxy Server نرم افزاري است كه در يك شبكه حد واسط بين اينترنت و كاربران واقع مي شود. فلسفه ايجاد Proxy Server قراردادن يك خط اينترنت در اختيار تعداد بيش از يك نفر استفاده كننده در يك شبكه بوده است ولي بعدها امكانات و قابليتهايي به Proxy Server افزوده شد كه كاربرد آن را فراتر از به اشتراك نهادن خطوط اينترنت كرد . بطور كلي Proxy Server ها در چند مورد كلي استفاده مي شوند .

يك كاربرد Proxy Server ها ، همان به اشتراك گذاشتن يك خط اينترنت براي چند كاربر است كه باعث كاهش هزينه و كنترل كاربران و همچنين ايجاد امنيت بيشتر مي شود . كاربرد دوم Proxy Serverها ، در سايتهاي اينترنتي به عنوان Firewall مي باشد . كاربرد سوم كه امروزه از آن بسيار استفاده مي شود ، Caching اطلاعات است . با توجه به گران بودن هزينه استفاده از اينترنت و محدود بودن پهناي باند ارتباطي براي ارسال و دريافت اطلاعات ، معمولا" نمي توان به اطلاعات مورد نظر در زمان كم و با سرعت مطلوب دست يافت . امكان Caching اطلاعات ، براي كمك به رفع اين مشكل در نظر گرفته شده است . Proxy Server ، سايتهايي را كه بيشتر به آنها مراجعه مي شود را دريك حافظه جداگانه نگاه مي دارد. به اين ترتيب براي مراجعه مجدد به آنها نيازي به ارتباط از طريق اينترنت نيست بلكه به همان حافظه مخصوص رجوع خواهد شد .

اين امر باعث مي گردد از يك طرف زمان دسترسي به اطلاعات كمتر شده و از سوي ديگر چون اطلاعات از اينترنت دريافت نمي شود ، پهناي باند محدود موجود با اطلاعات تكراري اشغال نشود . بخصوص آنكه معمولا" تغييرات در يك Website محدود به يك يا دو صفحه مي باشد و گرفتن اطلاعات از اينترنت بدون Caching به معناي گرفتن كل سايت مي باشد حال آنكه با استفاده از Proxy Server و امكان Caching اطلاعات ، ميتوان تنها صفحات تغيير كرده را دريافت كرد .

ويژگيهاي Proxy Server

ويژگي اول : با استفاده از Proxy Server مي توان از اكثر پروتكلهاي موجود در شبكه هاي محلي در محدوده نرم افزارهاي كاربردي در شبكه هاي LAN مرتبط با اينترنت استفاده كرد .

Proxy Server پروتكلهاي پر كاربرد شبكه هاي محلي مانند IPX/SPX (مورد استفاده در شبكه هاي ناول) ، NETBEUI (مورد استفاده در شبكه هاي LAN با تعداد كاربران كم) و TCP/IP (مورد استفاده در شبكه هاي Intranet) را پشتيباني مي كند. با اين ترتيب براي اينكه بتوان از يك نرم افزار كاربردي شبكه LAN كه مثلا" با پروتكل IPX/SPX روي ناول نوشته شده ، روي اينترنت استفاده كرد نيازي نيست كه قسمتهاي مربوط به ارتباط با شبكه كه از Function Call هاي API استفاده كرده را به Function Call هاي TCP/IP تغيير داد بلكه Proxy Server خود اين تغييرات را انجام داده و مي توان به راحتي از نرم افزاري كه تا كنون تحت يك شبكه LAN با ناول كار مي كرده است را در شبكه اي كه مستقيما" به اينترنت متصل است ، استفاده كرد .

همين ويژگي درباره سرويسهاي اينترنت مانند , FTP , Telnet , Gopher , IRC RealAudio , Pop3 و . . . وجود دارد . به اين معنا كه هنگام پياده سازي برنامه با يك سرويس يا پروتكل خاص ، محدوديتي نبوده و كدي در برنامه براي ايجاد هماهنگي نوشته نمي شود .



ويژگي دوم : با Cache كردن اطلاعاتي كه بيشتر استفاده مي شوند و با بروز نگاه داشتن آنها ، قابليت سرويسهاي اينترنت نمايان تر شده و مقدار قابل توجهي در پهناي باند ارتباطي صرفه جويي مي گردد.



ويژگي سوم :Proxy Server امكانات ويژه اي براي ايجاد امنيت در شبكه دارد . معمولا" در شبكه ها دو دسته امنيت اطلاعاتي مد نظر است . يكي آنكه همه كاربران شبكه نتوانند از همه سايتها استفاده كنند و ديگر آنكه هر كسي نتواند از روي اينترنت به اطلاعات شبكه دسترسي پيدا كند . با استفاده ازProxy Server نيازي نيست كه هر Client بطور مستقيم به اينترنت وصل شود در ضمن از دسترسي غيرمجاز به شبكه داخلي جلوگيري مي شود . همچنين مي توان با استفاده از SSL(Secure Sockets Layers) امكان رمز كردن داده ها را نيز فراهم آورد.



ويژگي چهارم :Proxy Server بعنوان نرم افزاري كه مي تواند با سيستم عامل شما مجتمع شود و همچنين با IIS(Internet Information Server) سازگار مي باشد، استفاده مي گردد.

خدمات Proxy Server

Proxy Server سه سرويس در اختيار كاربران خود قرار مي دهد:

1-Web Proxy Service : اين سرويس براي Web Publishing يا همان ايجاد Web Site هاي مختلف درشبكه LAN مفيد مي باشد . براي اين منظور قابليت مهم Reverse Proxing در نظر گرفته شده است . Reverse Proxing امكان شبيه سازي محيط اينترنت درمحيط داخل مي باشد. به اين ترتيب فرد بدون ايجاد ارتباط فيزيكي با اينترنت مي تواند برنامه خود را همچنان كه در محيط اينترنت عمل خواهد كرد، تست كرده و مورد استفاده قرا دهد. اين قابليت در بالا بردن سرعت و كاهش هزينه توليد نرم افزارهاي كاربردي تحت اينترنت موثر است.

2-Winsock Proxy Service : منظور، امكان استفاده از API Callهاي Winsock در Windows است . در Windows ، Function Call هاي مورد استفاده در سرويسهاي اينترنت مانند Telnet ، FTP ، Gopher و . . . ، تحت عنوان Winsock Protocols معرفي شده اند. در حقيقت براي استفاده از اين سرويسها در نرم افزارهاي كاربردي نيازي نيست كه برنامه نويس چگونگي استفاده از اين سرويسها را پيش بيني كند.

3-Socks Proxy Service : اين سرويس، سرويس Socks 4.3a را پشتيباني مي كند كه در واقع زير مجموعه اي از Winsock مي باشد و امكان استفاده از Http 1.02 و بالاتر را فراهم مي كند. به اين ترتيب مي توان در طراحي Website خارج از Firewall ، Security ايجاد كرد.



معيارهاي موثر در انتخاب Proxy Server

1- سخت افزار مورد نياز :براي هر چه بهتر شدن توانمنديهاي Proxy Server ، بايد سخت افزار آن توانايي تحمل بار مورد انتظار را داشته باشد .

2- نوع رسانه فيزيكي براي ارتباط با اينترنت : راه حلهاي مختلفي براي اتصال به شبكه اينترنت وجود دارد . ساده ترين راه ، استفاده از مودم و خطوط آنالوگ مي باشد . راه ديگر استفاده از ISDN و خطوط ديجيتال است كه هم احتياج به تبديل اطلاعات از آنالوگ به ديجيتال و برعكس در ارسال و دريافت اطلاعات ندارد و هم از سرعت بالاتري برخوردار است . روش ديگر استفاده از خط هاي T1/E1 با ظرفيت انتقال گيگا بايت مي باشد .

• پيشنهاد مي شود كه در شبكه هاي با كمتر از 250 كاربر از ISDN و از 250 كاربر به بالا از T1/E1 استفاده شود . ( البته در ايران به علت عدم وجود خطوط ISDN و كمبود خطوط T1/E1 اين استانداردها كمتر قابل پياده سازي هستند. )

3- هزينه ارتباط با اينترنت :دو عامل موثر در هزينه اتصال به اينترنت ، پهناي باند و مانايي ارتباط مي باشد . هر چه مرورگرهاي اينترنتي بيشتر و زمان استفاده بيشتر باشد ، هزينه بالاتر خواهد بود . با توجه به اينكه Proxy Server مي تواند با Caching اطلاعات اين موارد را بهبود بخشد ، بررسي اين عامل مي تواند در تعيين تعداد Proxy هاي مورد استفاده موثر باشد .

4- نوع و نحوه مديريت سايت :اين عامل نيز در تعيين تعداد Proxyها موثر است . مثلا" اگر در شبكه اي مشكل راهبري وجود داشته باشد ، با اضافه كردن تعداد Proxyها ، مشكل راهبري نيز بيشتر خواهد شد .

5- پروتكل هاي مورد استفاده :Proxy Server ها معمولا" از پروتكلهاي TCP/IP و يا IPX/SPX براي ارتباط با Client ها استفاده مي كنند . بنابراين براي استفاده از Proxy بايد يكي از اين پروتكل ها را در شبكه استفاده كرد .

• پيشنهاد مي شود در شبكه هاي كوچك با توجه به تعداد كاربرها Proxy Server و Web Server روي يك كامپيوتر تعبيه شوند و در شبكه هاي متوسط يا بزرگ تعدادserverProxyها بيش از يكي باشد .

نوشته شده توسط جواد شاهوند در 21:55 | | لینک به این مطلب

NAT چيست؟

نوشته شده توسط جواد شاهوند در 16:57 | | لینک به این مطلب

امنيت تجهيزات شبكه

امنیت تجهیزات شبکه

برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.
اهمیت امنیت تجهیزات به دو علت اهمیت ویژه‌ای می‌یابد :

الف – عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه می‌دهد که‌ با دستیابی به تجهیزات امکان پیکربندی آنها را به گونه‌ای که تمایل دارند آن سخت‌افزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکان‌پذیر خواهد شد.
ب – برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حمله‌ها نفوذگران می‌توانند سرویس‌هایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم می‌شود.
در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار می‌گیرد. عناوین برخی از این موضوعات به شرح زیر هستند :
<!--[if !supportLists]-->-       <!--[endif]-->امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه
<!--[if !supportLists]-->-       <!--[endif]-->امنیت تجهیزات شبکه در سطوح منطقی
<!--[if !supportLists]-->-       <!--[endif]-->بالابردن امنیت تجهیزات توسط افزونگی در سرویس‌ها و سخت‌افزارها
موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار می‌گیرند :
<!--[if !supportLists]-->-       <!--[endif]-->امنیت فیزیکی
<!--[if !supportLists]-->-       <!--[endif]-->امنیت منطقی


۱ – امنیت فیزیکی

امنیت فیزیکی بازه‌ وسیعی از تدابیر را در بر می‌گیرد که استقرار تجهیزات در مکان‌های امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جمله‌اند. با استفاده از افزونگی، اطمینان از صحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سخت‌افزار و یا سرویس‌دهنده مشابه جایگزین می‌شود) بدست می‌آید.
در بررسی امنیت فیزیکی و اعمال آن،‌ ابتدا باید به خطر‌هایی که از این طریق تجهزات شبکه را تهدید می‌کنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حمله‌ها می‌توان به راه‌حل‌ها و ترفند‌های دفاعی در برار این‌گونه حملات پرداخت.

۱-۱ – افزونگی در محل استقرار شبکه

یکی از راه‌کارها در قالب ایجاد افزونگی در شبکه‌های کامپیوتری، ایجاد سیستمی کامل،‌ مشابه شبکه‌ی اولیه‌ی در حال کار است. در این راستا، شبکه‌ی ثانویه‌ی، کاملاً مشابه شبکه‌ی اولیه، چه از بعد تجهیزات و چه از بعد کارکرد،‌ در محلی که می‌تواند از نظر جغرافیایی با شبکه‌ی اول فاصله‌ای نه چندان کوتاه نیز داشته باشد برقرار می‌شود. با استفاده از این دو سیستم مشابه، علاوه بر آنکه در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل می‌کند (مانند زلزله) می‌توان از شبکه‌ی دیگر به طور کاملاً جایگزین استفاده کرد، در استفاده‌های روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکه‌ی مشابه پخش می‌شود تا زمان پاسخ به حداقل ممکن برسد.
با وجود آنکه استفاده از این روش در شبکه‌های معمول که حجم جندانی ندارند، به دلیل هزینه‌های تحمیلی بالا، امکان‌پذیر و اقتصادی به نظر نمی‌رسد، ولی در شبکه‌های با حجم بالا که قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب می‌آیند از الزامات است.



۱-۲ – توپولوژی شبکه

طراحی توپولوژیکی شبکه،‌ یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی می‌تواند از خطای کلی شبکه جلوگیری کند.
در این مقوله،‌ سه طراحی که معمول هستند مورد بررسی قرار می‌گیرند :
الف – طراحی سری : در این طراحی با قطع خط تماس میان دو نقطه در شبکه، کلیه سیستم به دو تکه منفصل تبدیل شده و امکان سرویس دهی از هریک از این دو ناحیه به ناحیه دیگر امکان پذیر نخواهد بود.
ب – طراحی ستاره‌ای : در این طراحی، در صورت رخداد حمله فیزیکی و قطع اتصال یک نقطه از خادم اصلی، سرویس‌دهی به دیگر نقاط دچار اختلال نمی‌گردد. با این وجود از آنجاییکه خادم اصلی در این میان نقش محوری دارد، در صورت اختلال در کارایی این نقطه مرکزی،‌ که می‌تواند بر اثر حمله فیزیکی به آن رخ دهد، ارتباط کل شبکه دچار اختلال می‌شود، هرچند که با درنظر گرفتن افزونگی برای خادم اصلی از احتمال چنین حالتی کاسته می‌شود.
ج – طراحی مش : در این طراحی که تمامی نقاط ارتباطی با دیگر نقاط در ارتباط هستند، هرگونه اختلال فیزیکی در سطوح دسترسی منجر به اختلال عملکرد شبکه نخواهد شد،‌ با وجود آنکه زمان‌بندی سرویس‌دهی را دچار اختلال خواهد کرد. پیاده‌سازی چنین روش با وجود امنیت بالا، به دلیل محدودیت‌های اقتصادی،‌ تنها در موارد خاص و بحرانی انجام می‌گیرد.

۱-۳ – محل‌های امن برای تجهیزات

در تعیین یک محل امن برای تجهیزات دو نکته مورد توجه قرار می‌گیرد :
<!--[if !supportLists]-->-       <!--[endif]-->یافتن مکانی که به اندازه کافی از دیگر نقاط مجموعه متمایز باشد، به گونه‌ای که هرگونه نفوذ در محل آشکار باشد.
<!--[if !supportLists]-->-       <!--[endif]-->در نظر داشتن محلی که در داخل ساختمان یا مجموعه‌ای بزرگتر قرار گرفته است تا تدابیر امنیتی بکارگرفته شده برای امن سازی مجموعه‌ی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.
با این وجود، در انتخاب محل، میان محلی که کاملاً جدا باشد (که نسبتاً پرهزینه خواهد بود) و مکانی که درون محلی نسبتاً عمومی قرار دارد و از مکان‌های بلااستفاده سود برده است (‌که باعث ایجاد خطرهای امنیتی می‌گردد)،‌ می‌توان اعتدالی منطقی را در نظر داشت.
در مجموع می‌توان اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات در نظر داشت :
<!--[if !supportLists]-->-       <!--[endif]-->محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفل‌ها و مکانیزم‌های دسترسی دیجیتالی به همراه ثبت زمان‌ها، مکان‌ها و کدهای کاربری دسترسی‌های انجام شده.
<!--[if !supportLists]-->-       <!--[endif]-->استفاده از دوربین‌های پایش در ورودی محل‌های استقرار تجهیزات شبکه و اتاق‌های اتصالات و مراکز پایگاه‌های داده.
<!--[if !supportLists]-->-       <!--[endif]-->اعمال ترفند‌هایی برای اطمینان از رعایت اصول امنیتی.

۱-۴ – انتخاب لایه کانال ارتباطی امن

با وجود آنکه زمان حمله‌ی فیزیکی به شبکه‌های کامپیوتری، آنگونه که در قدیم شایع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روی به دست گرفتن کنترل یکی از خادم‌ها و سرویس‌دهنده‌های مورد اطمینان شبکه معطوف شده است،‌ ولی گونه‌ای از حمله‌ی فیزیکی کماکان دارای خطری بحرانی است.
عمل شنود بر روی سیم‌های مسی،‌ چه در انواع Coax و چه در زوج‌های تابیده، هم‌اکنون نیز از راه‌های نفوذ به شمار می‌آیند. با استفاده از شنود می‌توان اطلاعات بدست آمده از تلاش‌های دیگر برای نفوذ در سیستم‌های کامپیوتری را گسترش داد و به جمع‌بندی مناسبی برای حمله رسید. هرچند که می‌توان سیم‌ها را نیز به گونه‌ای مورد محافظت قرار داد تا کمترین احتمال برای شنود و یا حتی تخریب فیزیکی وجود داشته باشد، ولی در حال حاضر، امن ترین روش ارتباطی در لایه‌ی فیزیکی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنال‌های الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روش‌های معمول شنود به پایین‌ترین حد خود نسبت به استفاده از سیم در ارتباطات می‌شود.

۱-۵ – منابع تغذیه

از آنجاکه داده‌های شناور در شبکه به منزله‌ی خون در رگهای ارتباطی شبکه هستند و جریان آنها بدون وجود منابع تغذیه، که با فعال نگاه‌داشتن نقاط شبکه موجب برقراری این جریان هستند، غیر ممکن است، لذا چگونگی چینش و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی می‌کنند. در این مقوله توجه به دو نکته زیر از بالاترین اهمیت برخوردار است :
<!--[if !supportLists]-->-       <!--[endif]-->طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه‌. این طراحی باید به گونه‌ای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آنکه به شبکه‌ی تامین فشار بیش‌اندازه‌ای (که باعث ایجاد اختلال در عملکرد منابع تغذیه شود) وارد شود، بدست آورند.
<!--[if !supportLists]-->-       <!--[endif]-->وجود منبع یا منابع تغذیه پشتیبان به گونه‌ای که تعداد و یا نیروی پشتیبانی آنها به نحوی باشد که نه تنها برای تغذیه کل شبکه در مواقع نیاز به منابع تغذیه پشتیبان کفایت کند، بلکه امکان تامین افزونگی مورد نیاز برای تعدادی از تجهیزات بحرانی درون شبکه را به صورت منفرد فراهم کند.

۱-۶ – عوامل محیطی

یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برار عوامل محیطی است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه می‌شوند. از مهمترین عواملی در هنگام بررسی امنیتی یک شبکه رایانه‌ای باید در نظر گرفت می‌توان به دو عامل زیر اشاره کرد :
<!--[if !supportLists]-->-       <!--[endif]-->احتمال حریق (که عموماً غیر طبیعی است و منشآ انسانی دارد)
<!--[if !supportLists]-->-       <!--[endif]-->زلزله، طوفان و دیگر بلایای طبیعی
با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق، را می‌توان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی،‌ با هدف جلوگیری در اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبانی است که می‌توان از عدم اختلال در شبکه در صورت بروز چنین وقعایعی اطمینان حاصل کرد.


۲ – امنیت منطقی

امنیت منطقی به معنای استفاده از روش‌هایی برای پایین آوردن خطرات حملات منطقی و نرم‌افزاری بر ضد تجهیزات شبکه است. برای مثال حمله به مسیریاب‌ها و سوئیچ‌های شبکه بخش مهمی از این گونه حملات را تشکیل می‌‌دهند. در این بخش به عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار می‌گیرند می‌پردازیم.

۲-۱ – امنیت مسیریاب‌ها

حملات ضد امنیتی منطقی برای مسیریاب‌ها و دیگر تجهیزات فعال شبکه، مانند سوئیچ‌ها، را می‌توان به سه دسته‌ی اصلی تقسیم نمود :
<!--[if !supportLists]-->-       <!--[endif]-->حمله برای غیرفعال سازی کامل
<!--[if !supportLists]-->-       <!--[endif]-->حمله به قصد دستیابی به سطح کنترل
<!--[if !supportLists]-->-       <!--[endif]-->حمله برای ایجاد نقص در سرویس‌دهی
طبیعی است که راه‌ها و نکاتی که در این زمینه ذکر می‌شوند مستقیماً به امنیت این عناصر به تنهایی مربوط بوده و از امنیت دیگر مسیرهای ولو مرتبط با این تجهیزات منفک هستند.  لذا تأمین امنیت تجهیزات فعال شبکه به معنای تآمین قطعی امنیت کلی شبکه نیست، هرچند که عملاً مهمترین جنبه‌ی آنرا تشکیل می‌دهد.

۲-۲ – مدیریت پیکربندی

یکی از مهمترین نکات در امینت تجهیزات، نگاهداری نسخ پشتیبان از پرونده‌ها مختص پیکربندی است. از این پرونده‌ها که در حافظه‌های گوناگون این تجهیزات نگاهداری می‌شوند،‌ می‌توان در فواصل زمانی مرتب یا تصادفی، و یا زمانی که پیکربندی تجهیزات تغییر می‌یابند، نسخه پشتیبان تهیه کرد.
با وجود نسخ پشتیبان،‌ منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهزات، که می‌تواند منجر به ایجاد اختلال در کل شبکه شود، در کوتاه‌ترین زمان ممکن می‌توان با جایگزینی آخرین پیکربندی، وضعیت فعال شبکه را به آخرین حالت بی‌نقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه بیش از یک سخت‌افزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.
نرم‌افزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصله‌های زمانی متغیر دارا می‌باشند. با استفاده از این نرم‌افزارها احتمال حملاتی که به سبب تآخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید می‌آید به کمترین حد ممکن می‌رسد.

۲-۳ – کنترل دسترسی به تجهیزات

دو راه اصلی برای کنترل تجهزات فعال وجود دارد :
<!--[if !supportLists]-->-       <!--[endif]-->کنترل از راه دور
<!--[if !supportLists]-->-       <!--[endif]-->کنترل از طریق درگاه کنسول
در روش اول می‌توان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرس‌هایی خاص یا استاندارها و پروتکل‌های خاص، احتمال حملات را پایین آورد.
در مورد روش دوم، با وجود آنکه به نظر می‌رسد استفاده از چنین درگاهی نیاز به دسترسی فیزکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیت‌ها در روش اول عملاً امنیت تجهیزات را تآمین نمی‌کند.
برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب، که امکان دسترسی از راه‌دور دارند، اطمینان حاصل نمود.




۲-۴ – امن سازی دسترسی

علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روش‌های معمول امن‌سازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH(Secur Shell) است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمول‌ترین روش‌های حمله هستند را به حداقل می‌رساند.
از دیگر روش‌های معمول می‌توان به استفاده از کانال‌های VPN مبتنی بر IPsec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونه‌ای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریاب‌ها،‌ این روش را مرجح می‌دانند.

۲-۵ – مدیریت رمزهای عبور

مناسب‌ترین محل برای ذخیره رمزهای عبور بر روی خادم Authentication است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سخت‌افزار نگاه‌داری شوند. در این صورت مهم‌ترین نکته به یاد داشتن فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سخت‌افزارهای مشابه است.

نوشته شده توسط جواد شاهوند در 16:56 | | لینک به این مطلب

امنيت در شبكه هاي بي سيم

    از آن‌جا که شبکه‌های بی سیم، در دنیای کنونی هرچه بیشتر در حال گسترش هستند، و با توجه به ماهیت این دسته از شبکه‌ها، که بر اساس سیگنال‌های رادیویی‌اند، مهم‌ترین نکته در راه استفاده از این تکنولوژی، آگاهی از نقاط قوت و ضعف آن‌ست. نظر به لزوم آگاهی از خطرات استفاده از این شبکه‌ها، با وجود امکانات نهفته در آن‌ها که به‌مدد پیکربندی صحیح می‌توان به‌سطح قابل قبولی از بعد امنیتی دست یافت، بنا داریم در این سری از مقالات با عنوان «امنیت در شبکه های بی سیم» ضمن معرفی این شبکه‌ها با تأکید بر ابعاد امنیتی آن‌ها، به روش‌های پیکربندی صحیح که احتمال رخ‌داد حملات را کاهش می‌دهند بپردازیم.
 
شبکه‌های بی‌سیم، کاربردها، مزایا و ابعاد

    تکنولوژی شبکه‌های بی‌سیم، با استفاده از انتقال داده‌ها توسط اموج رادیویی، در ساده‌ترین صورت، به تجهیزات سخت‌افزاری امکان می‌دهد تا بدون‌استفاده از بسترهای فیزیکی همچون سیم و کابل، با یکدیگر ارتباط برقرار کنند. شبکه‌های بی‌سیم بازه‌ی وسیعی از کاربردها، از ساختارهای پیچیده‌یی چون شبکه‌های بی‌سیم سلولی -که اغلب برای تلفن‌های همراه استفاده می‌شود- و شبکه‌های محلی بی‌سیم (WLAN – Wireless LAN) گرفته تا انوع ساده‌یی چون هدفون‌های بی‌سیم، را شامل می‌شوند. از سوی دیگر با احتساب امواجی همچون مادون قرمز، تمامی تجهیزاتی که از امواج مادون قرمز نیز استفاده می‌کنند، مانند صفحه کلید‌ها،  ماوس‌ها و برخی از گوشی‌های همراه، در این دسته‌بندی جای می‌گیرند. طبیعی‌ترین مزیت استفاده از این شبکه‌ها عدم نیاز به ساختار فیزیکی و امکان نقل و انتقال تجهیزات متصل به این‌گونه شبکه‌ها و هم‌چنین امکان ایجاد تغییر در ساختار مجازی آن‌هاست. از نظر ابعاد ساختاری، شبکه‌های بی‌سیم به سه دسته تقسیم می‌گردند : WWAN، WLAN و WPAN.
 
    مقصود از WWAN، که مخفف Wireless WAN است، شبکه‌هایی با پوشش بی‌سیم بالاست. نمونه‌یی از این شبکه‌ها، ساختار بی‌سیم سلولی مورد استفاده در شبکه‌های تلفن همراه است.  WLAN پوششی محدودتر، در حد یک ساختمان یا سازمان، و در ابعاد کوچک یک سالن یا تعدادی اتاق، را فراهم می‌کند. کاربرد شبکه‌های WPAN یا Wireless Personal Area Network برای موارد خانه‌گی است. ارتباطاتی چون Bluetooth و مادون قرمز در این دسته قرار می‌گیرند.
 
    شبکه‌های WPAN از سوی دیگر در دسته‌ی شبکه‌های Ad Hoc نیز قرار می‌گیرند. در شبکه‌های Ad hoc، یک سخت‌افزار، به‌محض ورود به فضای تحت پوشش آن، به‌صورت پویا به شبکه اضافه می‌شود. مثالی از این نوع شبکه‌ها، Bluetooth است. در این نوع، تجهیزات مختلفی از جمله صفحه کلید، ماوس، چاپگر، کامپیوتر کیفی یا جیبی و حتی گوشی تلفن همراه، در صورت قرارگرفتن در محیط تحت پوشش، وارد شبکه شده و امکان رد و بدل داده‌ها با دیگر تجهیزات متصل به شبکه را می‌یابند. تفاوت میان شبکه‌های Ad hoc با شبکه‌های محلی بی‌سیم (WLAN) در ساختار مجازی آن‌هاست. به‌عبارت دیگر، ساختار مجازی شبکه‌های محلی بی‌سیم بر پایه‌ی طرحی ایستاست درحالی‌که شبکه‌های Ad hoc از هر نظر پویا هستند. طبیعی‌ست که در کنار مزایایی که این پویایی برای استفاده کننده‌گان فراهم می‌کند، حفظ امنیت چنین شبکه‌هایی نیز با مشکلات بسیاری همراه است. با این وجود، عملاً یکی از راه حل‌های موجود برای افزایش امنیت در این شبکه‌ها، خصوصاً در انواعی همچون Bluetooth، کاستن از شعاع پوشش سیگنال‌های شبکه است. در واقع مستقل از این حقیقت که عمل‌کرد Bluetooth بر اساس فرستنده و گیرنده‌های کم‌توان استوار است و این مزیت در کامپیوترهای جیبی برتری قابل‌توجه‌یی محسوب می‌گردد، همین کمی توان سخت‌افزار مربوطه، موجب وجود منطقه‌ی محدود تحت پوشش است که در بررسی امنیتی نیز مزیت محسوب می‌گردد. به‌عبارت دیگر این مزیت به‌همراه استفاده از کدهای رمز نه‌چندان پیچیده، تنها حربه‌های امنیتی این دسته از شبکه‌ها به‌حساب می‌آیند.
 
منشأ ضعف امنیتی در شبکه‌های بی‌سیم و خطرات معمول

    خطر معمول در کلیه‌ی شبکه‌های بی‌سیم مستقل از پروتکل و تکنولوژی مورد نظر، بر مزیت اصلی این تکنولوژی که همان پویایی ساختار، مبتنی بر استفاده از سیگنال‌های رادیویی  به‌جای سیم و کابل، استوار است. با استفاده از این سیگنال‌ها و در واقع بدون مرز ساختن پوشش ساختار شبکه، نفوذگران قادرند در صورت شکستن موانع امنیتی نه‌چندان قدرت‌مند این شبکه‌ها، خود را به‌عنوان عضوی از این شبکه‌ها جازده و در صورت تحقق این امر، امکان دست‌یابی به اطلاعات حیاتی، حمله به سرویس دهنده‌گان سازمان و مجموعه، تخریب اطلاعات، ایجاد اختلال در ارتباطات گره‌های شبکه با یکدیگر، تولید داده‌های غیرواقعی و گمراه‌کننده، سوءاستفاده از پهنای‌باند مؤثر شبکه و دیگر فعالیت‌های مخرب وجود دارد.
 
    در مجموع، در تمامی دسته‌های شبکه‌های بی‌سیم، از دید امنیتی حقایقی مشترک صادق است :
 
•                تمامی ضعف‌های امنیتی موجود در شبکه‌های سیمی، در مورد شبکه‌های بی‌سیم نیز صدق می‌کند. در واقع نه تنها هیچ جنبه‌یی چه از لحاظ طراحی و چه از لحاظ ساختاری، خاص شبکه‌های بی‌سیم وجود ندارد که سطح بالاتری از امنیت منطقی را ایجاد کند، بلکه همان گونه که ذکر شد مخاطرات ویژه‌یی را نیز موجب است.
•               نفوذگران، با گذر از تدابیر امنیتی موجود، می‌توانند به‌راحتی به منابع اطلاعاتی موجود بر روی سیستم‌های رایانه‌یی دست یابند.
•         اطلاعات حیاتی‌یی که یا رمز نشده‌اند و یا با روشی با امنیت پایین رمز شده‌اند، و میان دو گره در شبکه‌های بی‌سیم در حال انتقال می‌باشند، می‌توانند توسط نفوذگران سرقت شده یا تغییر یابند.
•             حمله‌های DoS به تجهیزات و سیستم‌های بی‌سیم بسیار متداول است.
•               نفوذگران با سرقت کدهای عبور و دیگر عناصر امنیتی مشابه کاربران مجاز در شبکه‌های بی‌سیم، می‌توانند به شبکه‌ی مورد نظر بدون هیچ مانعی متصل گردند.
•                با سرقت عناصر امنیتی، یک نفوذگر می‌تواند رفتار یک کاربر را پایش کند. از این طریق می‌توان به اطلاعات حساس دیگری نیز دست یافت.
•                کامپیوترهای قابل حمل و جیبی، که امکان و اجازه‌ی استفاده از شبکه‌ی بی‌سیم را دارند، به‌راحتی قابل سرقت هستند. با سرقت چنین سخت افزارهایی، می‌توان اولین قدم برای نفوذ به شبکه را برداشت.
•                یک نفوذگر می‌تواند از نقاط مشترک میان یک شبکه‌ی بی‌سیم در یک سازمان و شبکه‌ی سیمی آن (که در اغلب موارد شبکه‌ی اصلی و حساس‌تری محسوب می‌گردد) استفاده کرده و با نفوذ به شبکه‌ی بی‌سیم عملاً راهی برای دست‌یابی به منابع شبکه‌ی سیمی نیز بیابد.
•                در سطحی دیگر، با نفوذ به عناصر کنترل کننده‌ی یک شبکه‌ی بی‌سیم، امکان ایجاد اختلال در عمل‌کرد شبکه نیز وجود دارد.
 

پیشینه

    تکنولوژی و صنعت WLAN به اوایل دهه‌ی ۸۰ میلادی باز می‌گردد. مانند هر تکنولوژی دیگری، پیشرفت شبکه‌های محلی‌ بی‌سیم به کندی صورت می‌پذیرفت. با ارایه‌ی استاندارد IEEE 802.11b، که پهنای باند نسبتاً بالایی را برای شبکه‌های محلی امکان‌پذیر می‌ساخت، استفاده از این تکنولوژی وسعت بیشتری یافت. در حال حاضر، مقصود از WLAN تمامی پروتکل‌ها و استانداردهای خانواده‌ی IEEE 802.11 است. جدول زیر اختصاصات این دسته از استانداردها را به صورت کلی نشان می‌دهد
 
 
 
   اولین شبکه‌ی محلی بی‌سیم تجاری توسط Motorola پیاده‌سازی شد. این شبکه، به عنوان یک نمونه از این شبکه‌ها، هزینه‌یی بالا و پهنای باندی پایین را تحمیل می‌کرد که ابداً مقرون به‌صرفه نبود. از همان زمان به بعد، در اوایل دهه‌ی ۹۰ میلادی، پروژه‌ی استاندارد 802.11 در IEEE شروع شد. پس از نزدیک به ۹ سال کار، در سال ۱۹۹۹ استانداردهای 802.11a و 802.11b توسط IEEE نهایی شده و تولید محصولات بسیاری بر پایه‌ی این استانداردها آغاز شد. نوع a، با استفاده از فرکانس حامل 5GHz، پهنای باندی تا 54Mbps را فراهم می‌کند. در حالی‌که نوع b با استفاده از فرکانس حامل 2.4GHz، تا 11Mbps پهنای باند را پشتیبانی می‌کند. با این وجود تعداد کانال‌های قابل استفاده در نوع b در مقایسه با نوع a، بیش‌تر است. تعداد این کانال‌ها، با توجه به کشور مورد نظر، تفاوت می‌کند. در حالت معمول، مقصود از WLAN استاندارد 802.11b است.
 
    استاندارد دیگری نیز به‌تاز‌ه‌گی توسط IEEE معرفی شده است که به 802.11g شناخته می‌شود. این استاندارد بر اساس فرکانس حامل 2.4GHz عمل می‌کند ولی با استفاده از روش‌های نوینی می‌تواند پهنای باند قابل استفاده را تا 54Mbps بالا ببرد. تولید محصولات بر اساس این استاندارد، که مدت زیادی از نهایی‌شدن و معرفی آن نمی‌گذرد، بیش از یک‌سال است که آغاز شده و با توجه سازگاری‌ آن با استاندارد 802.11b، استفاده از آن در شبکه‌های بی‌سیم آرام آرام در حال گسترش است.
 
معماری‌ شبکه‌های محلی‌ بی‌سیم

    استاندارد 802.11b به تجهیزات اجازه می‌دهد که به دو روش ارتباط در شبکه برقرار شود. این دو روش عبارت‌اند از برقراری‌ ارتباط به صورت نقطه به نقطه –همان‌گونه در شبکه‌های Ad hoc به‌کار می‌رود- و اتصال به شبکه از طریق نقاط تماس یا دسترسی (AP=Access Point).
 
    معماری‌ معمول در شبکه‌های محلی‌ بی‌سیم بر مبنای استفاده از AP است. با نصب یک AP، عملاً مرزهای یک سلول مشخص می‌شود و با روش‌هایی می‌توان یک سخت‌افزار مجهز به امکان ارتباط بر اساس استاندارد 802.11b را میان سلول‌های مختلف حرکت داد. گستره‌یی که یک AP پوشش می‌دهد را BSS(Basic Service Set) می‌نامند. مجموعه‌ی تمامی سلول‌های یک ساختار کلی‌ شبکه، که ترکیبی از BSSهای شبکه است، را ESS(Extended Service Set) می‌نامند. با استفاده از ESS می‌توان گستره‌ی وسیع‌تری را تحت پوشش شبکه‌ی محلی‌ بی‌سیم درآورد.
 
    در سمت هریک از سخت‌افزارها که معمولاً مخدوم هستند، کارت شبکه‌یی مجهز به یک مودم بی‌سیم قرار دارد که با AP ارتباط را برقرار می‌کند. AP علاوه بر ارتباط با چند کارت شبکه‌ی بی‌سیم، به بستر پرسرعت‌تر شبکه‌ی سیمی مجموعه نیز متصل است و از این طریق ارتباط میان مخدوم‌های مجهز به کارت شبکه‌ی بی‌سیم و شبکه‌ی اصلی برقرار می‌شود. شکل زیر نمایی از این ساختار را نشان می‌دهد :
 
 
 
    همان‌گونه که گفته شد، اغلب شبکه‌های محلی‌ بی‌سیم بر اساس ساختار فوق، که به نوع Infrastructure نیز موسوم است، پیاده‌سازی می‌شوند. با این وجود نوع دیگری از شبکه‌های محلی‌ بی‌سیم نیز وجود دارند که از همان منطق نقطه‌به‌نقطه استفاده می‌کنند. در این شبکه‌ها که عموماً Ad hoc نامیده می‌شوند یک نقطه‌ی مرکزی‌ برای دسترسی وجود ندارد و سخت‌افزارهای همراه – مانند کامپیوترهای کیفی و جیبی یا گوشی‌های موبایل – با ورود به محدوده‌ی تحت پوشش این شبکه، به دیگر تجهیزات مشابه متصل می‌گردند. این شبکه‌ها به بستر شبکه‌ی سیمی متصل نیستند و به همین منظور IBSS (Independent Basic Service Set) نیز خواند می‌شوند. شکل زیر شمایی ساده از یک شبکه‌ی Ad hoc را نشان می‌دهد :
 
 
 
    شبکه‌های Ad hoc از سویی مشابه شبکه‌های محلی‌ درون دفتر کار هستند که در آنها نیازی به تعریف و پیکربندی‌ یک سیستم رایانه‌یی به عنوان خادم وجود ندارد. در این صورت تمامی تجهیزات متصل به این شبکه می‌توانند پرونده‌های مورد نظر خود را با دیگر گره‌ها به اشتراک بگذارند.


عناصر فعال شبکه‌های محلی بی‌سیم
 
    در شبکه‌های محلی بی‌سیم معمولاً دو نوع عنصر فعال وجود دارد :
 
-        ایستگاه بی سیم
    ایستگاه یا مخدوم بی‌سیم به طور معمول یک کامپیوتر کیفی یا یک ایستگاه کاری ثابت است که توسط یک کارت شبکه‌ی بی‌سیم به شبکه‌ی محلی متصل می‌شود. این ایستگاه می‌تواند از سوی دیگر یک کامپیوتر جیبی یا حتی یک پویش گر بارکد نیز باشد. در برخی از کاربردها برای این‌که استفاده از سیم در پایانه‌های رایانه‌یی برای طراح و مجری دردسر‌ساز است، برای این پایانه‌ها که معمولاً در داخل کیوسک‌هایی به‌همین منظور تعبیه می‌شود، از امکان اتصال بی‌سیم به شبکه‌ی محلی استفاده می‌کنند. در حال حاضر اکثر کامپیوترهای کیفی موجود در بازار به این امکان به‌صورت سرخود مجهز هستند و نیازی به اضافه‌کردن یک کارت شبکه‌ی بی‌سیم نیست.
    کارت‌های شبکه‌ی بی‌سیم عموماً برای استفاده در چاک‌های PCMCIA است. در صورت نیاز به استفاده از این کارت‌ها برای کامپیوترهای رومیزی و شخصی، با استفاده از رابطی این کارت‌ها را بر روی چاک‌های گسترش PCI نصب می‌کنند.
 
-        نقطه ی دسترسی
    نقاط دسترسی در شبکه‌های بی‌سیم، همان‌گونه که در قسمت‌های پیش نیز در مورد آن صحبت شد، سخت افزارهای فعالی هستند که عملاً نقش سوییچ در شبکه‌های بی‌سیم را بازی‌کرده، امکان اتصال به شبکه های سیمی را نیز دارند. در عمل ساختار بستر اصلی شبکه عموماً سیمی است و توسط این نقاط دسترسی، مخدوم‌ها و ایستگاه‌های بی‌سیم به شبکه‌ی سیمی اصلی متصل می‌گردد.
 
برد و سطح پوشش
 
    شعاع پوشش شبکه‌ی بی‌سیم بر اساس استاندارد 802.11 به فاکتورهای بسیاری بسته‌گی دارد که برخی از آن‌ها به شرح زیر هستند :
 
-        پهنای باند مورد استفاده
-        منابع امواج ارسالی و محل قرارگیری فرستنده‌ها و گیرنده‌ها
-        مشخصات فضای قرارگیری و نصب تجهیزات شبکه‌ی بی‌سیم
-        قدرت امواج
-        نوع و مدل آنتن
 
    شعاع پوشش از نظر تئوری بین ۲۹متر (برای فضاهای بسته‌ی داخلی) و ۴۸۵متر (برای فضاهای باز) در استاندارد 802.11b متغیر است. با این‌وجود این مقادیر، مقادیری متوسط هستند و در حال حاضر با توجه به گیرنده‌ها و فرستنده‌های نسبتاً قدرت‌مندی که مورد استفاده قرار می‌گیرند، امکان استفاده از این پروتکل و گیرنده‌ها و فرستنده‌های آن، تا چند کیلومتر هم وجود دارد که نمونه‌های عملی آن فراوان‌اند.
 
    با این وجود شعاع کلی‌یی که برای استفاده از این پروتکل (802.11b) ذکر می‌شود چیزی میان ۵۰ تا ۱۰۰متر است. این شعاع عمل‌کرد مقداری‌ست که برای محل‌های بسته و ساختمان‌های چند طبقه نیز معتبر بوده و می‌تواند مورد استناد قرار گیرد.
 
    شکل زیر مقایسه‌یی میان بردهای نمونه در کاربردهای مختلف شبکه‌های بی‌سیم مبتنی بر پروتکل 802.11b را نشان می‌دهد :
 
 
 
    یکی از عمل‌کردهای نقاط دسترسی به عنوان سوییچ‌های بی‌سیم، عمل اتصال میان حوزه‌های بی‌سیم است. به‌عبارت دیگر با استفاده از چند سوییچ بی‌سیم می‌توان عمل‌کردی مشابه Bridge برای شبکه‌های بی‌سیم را به‌دست‌ آورد.
 
    اتصال میان نقاط دست‌رسی می‌تواند به صورت نقطه‌به‌نقطه، برای ایجاد اتصال میان دو زیرشبکه به یکدیگر، یا به صورت نقطه‌یی به چند نقطه یا بالعکس برای ایجاد اتصال میان زیرشبکه‌های مختلف به یکدیگر به‌صورت همزمان صورت گیرد.
 
    نقاط دسترسی‌یی که به عنوان پل ارتباطی میان شبکه‌های محلی با یکدیگر استفاده می‌شوند از قدرت بالاتری برای ارسال داده استفاده می‌کنند و این به‌معنای شعاع پوشش بالاتر است. این سخت‌افزارها معمولاً برای ایجاد اتصال میان نقاط و ساختمان‌هایی به‌کار می‌روند که فاصله‌ی آن‌ها از یکدیگر بین ۱ تا ۵ کیلومتر است. البته باید توجه داشت که این فاصله، فاصله‌یی متوسط بر اساس پروتکل 802.11b است. برای پروتکل‌های دیگری چون 802.11a می‌توان فواصل بیشتری را نیز به‌دست آورد.
 
    شکل زیر نمونه‌یی از ارتباط نقطه به نقطه با استفاده از نقاط دست‌رسی مناسب را نشان می‌دهد :
 
 
 
 
    از دیگر استفاده‌های نقاط دسترسی با برد بالا می‌توان به امکان توسعه‌ی شعاع پوشش شبکه های بی‌سیم اشاره کرد. به عبارت دیگر برای بالابردن سطح تحت پوشش یک شبکه‌ی بی‌سیم، می‌توان از چند نقطه‌ی دست‌رسی بی‌سیم به‌صورت همزمان و پشت به پشت یکدیگر استفاده کرد. به عنوان نمونه در مثال بالا می‌توان با استفاده از یک فرستنده‌ی دیگر در بالای هریک از ساختمان‌ها، سطح پوشش شبکه را تا ساختمان‌های دیگر گسترش داد.


امنیت در شبکه‌های محلی بر اساس استاندارد 802.11

استاندارد 802.11 سرویس‌های مجزا و مشخصی را برای تأمین یک محیط امن بی‌سیم در اختیار قرار می‌دهد.  این سرویس‌ها اغلب توسط پروتکل WEP (Wired Equivalent Privacy) تأمین می‌گردند و  وظیفه‌ی آن‌ها امن‌سازی ارتباط میان مخدوم‌ها و نقاط دسترسی بی‌سیم است. درک لایه‌یی که این پروتکل به امن‌سازی آن می‌پردازد اهمیت ویژه‌یی دارد، به عبارت دیگر این پروتکل کل ارتباط را امن نکرده و به لایه‌های دیگر، غیر از لایه‌ی ارتباطی بی‌سیم که مبتنی بر استاندارد 802.11 است، کاری ندارد. این بدان معنی است که استفاده از WEP در یک شبکه‌ی بی‌سیم به‌معنی استفاده از قابلیت درونی استاندارد شبکه‌های محلی بی‌سیم است و ضامن امنیت کل ارتباط نیست زیرا امکان قصور از دیگر اصول امنیتی در سطوح بالاتر ارتباطی وجود دارد.
 
 
 
    شکل بالا محدوده‌ی عمل کرد استانداردهای امنیتی 802.11 (خصوصاً WEP) را نشان می‌دهد.
 
 قابلیت‌ها و ابعاد امنیتی استاندارد 802.11   
 
    در حال حاضر عملاً تنها پروتکلی که امنیت اطلاعات و ارتباطات را در شبکه‌های بی‌سیم بر اساس استاندارد 802.11 فراهم می‌کند WEP است. این پروتکل با وجود قابلیت‌هایی که دارد، نوع استفاده از آن همواره امکان نفوذ به شبکه‌های بی‌سیم را به نحوی، ولو سخت و پیچیده، فراهم می‌کند. نکته‌یی که باید به‌خاطر داشت این‌ست که اغلب حملات موفق صورت گرفته در مورد شبکه‌های محلی بی‌سیم، ریشه در پیکربندی ناصحیح WEP در شبکه دارد. به عبارت دیگر این پروتکل در صورت پیکربندی صحیح درصد بالایی از حملات را ناکام می‌گذارد، هرچند که فی‌نفسه دچار نواقص و ایرادهایی نیز هست.
    بسیاری از حملاتی که بر روی شبکه‌های بی‌سیم انجام می‌گیرد از سویی است که نقاط دسترسی با شبکه‌ی سیمی دارای اشتراک هستند. به عبارت دیگر نفوذگران بعضاً با استفاده از راه‌های ارتباطی دیگری که بر روی مخدوم‌ها و سخت‌افزارهای بی‌سیم، خصوصاً مخدوم‌های بی‌سیم، وجود دارد، به شبکه‌ی بی‌سیم نفوذ می‌کنند که این مقوله نشان دهنده‌ی اشتراکی هرچند جزءیی میان امنیت در شبکه‌های سیمی و بی‌سیم‌یی‌ست که از نظر ساختاری و فیزیکی با یکدیگر اشتراک دارند.
 
    سه قابلیت و سرویس پایه توسط IEEE برای شبکه‌های محلی بی‌سیم تعریف می‌گردد :
 
•         Authentication
    هدف اصلی WEP ایجاد امکانی برای احراز هویت مخدوم بی‌سیم است. این عمل که در واقع کنترل دست‌رسی به شبکه‌ی بی‌سیم است. این مکانیزم سعی دارد که امکان اتصال مخدوم‌هایی را که مجاز نیستند به شبکه متصل شوند از بین ببرد.
 
•         Confidentiality
    محرمانه‌گی هدف دیگر WEP است. این بُعد از سرویس‌ها و خدمات WEP با هدف ایجاد امنیتی در حدود سطوح شبکه‌های سیمی طراحی شده است. سیاست این بخش از WEP جلوگیری از سرقت اطلاعات در حال انتقال بر روی شبکه‌ی محلی بی‌سیم است.
 
•         Integrity
    هدف سوم از سرویس‌ها و قابلیت‌های WEP طراحی سیاستی است که تضمین کند پیام‌ها و اطلاعات در حال تبادل در شبکه، خصوصاً میان مخدوم‌های بی‌سیم و نقاط دسترسی، در حین انتقال دچار تغییر نمی‌گردند. این قابلیت در تمامی استانداردها، بسترها و شبکه‌های ارتباطاتی دیگر نیز کم‌وبیش وجود دارد.
 
    نکته‌ی مهمی که در مورد سه سرویس WEP وجود دارد نبود سرویس‌های معمول Auditing و Authorization در میان سرویس‌های ارایه شده توسط این پروتکل است.

استاندارد 802.11 سرویس‌های مجزا و مشخصی را برای تأمین یک محیط امن بی‌سیم در اختیار قرار می‌دهد.  این سرویس‌ها اغلب توسط پروتکل WEP (Wired Equivalent Privacy) تأمین می‌گردند و  وظیفه‌ی آن‌ها امن‌سازی ارتباط میان مخدوم‌ها و نقاط دسترسی بی‌سیم است. درک لایه‌یی که این پروتکل به امن‌سازی آن می‌پردازد اهمیت ویژه‌یی دارد، به عبارت دیگر این پروتکل کل ارتباط را امن نکرده و به لایه‌های دیگر، غیر از لایه‌ی ارتباطی بی‌سیم که مبتنی بر استاندارد 802.11 است، کاری ندارد. این بدان معنی است که استفاده از WEP در یک شبکه‌ی بی‌سیم به‌معنی استفاده از قابلیت درونی استاندارد شبکه‌های محلی بی‌سیم است و ضامن امنیت کل ارتباط نیست زیرا امکان قصور از دیگر اصول امنیتی در سطوح بالاتر ارتباطی وجود دارد.
 
 
 
    شکل بالا محدوده‌ی عمل کرد استانداردهای امنیتی 802.11 (خصوصاً WEP) را نشان می‌دهد.
 
 قابلیت‌ها و ابعاد امنیتی استاندارد 802.11   
 
    در حال حاضر عملاً تنها پروتکلی که امنیت اطلاعات و ارتباطات را در شبکه‌های بی‌سیم بر اساس استاندارد 802.11 فراهم می‌کند WEP است. این پروتکل با وجود قابلیت‌هایی که دارد، نوع استفاده از آن همواره امکان نفوذ به شبکه‌های بی‌سیم را به نحوی، ولو سخت و پیچیده، فراهم می‌کند. نکته‌یی که باید به‌خاطر داشت این‌ست که اغلب حملات موفق صورت گرفته در مورد شبکه‌های محلی بی‌سیم، ریشه در پیکربندی ناصحیح WEP در شبکه دارد. به عبارت دیگر این پروتکل در صورت پیکربندی صحیح درصد بالایی از حملات را ناکام می‌گذارد، هرچند که فی‌نفسه دچار نواقص و ایرادهایی نیز هست.
    بسیاری از حملاتی که بر روی شبکه‌های بی‌سیم انجام می‌گیرد از سویی است که نقاط دسترسی با شبکه‌ی سیمی دارای اشتراک هستند. به عبارت دیگر نفوذگران بعضاً با استفاده از راه‌های ارتباطی دیگری که بر روی مخدوم‌ها و سخت‌افزارهای بی‌سیم، خصوصاً مخدوم‌های بی‌سیم، وجود دارد، به شبکه‌ی بی‌سیم نفوذ می‌کنند که این مقوله نشان دهنده‌ی اشتراکی هرچند جزءیی میان امنیت در شبکه‌های سیمی و بی‌سیم‌یی‌ست که از نظر ساختاری و فیزیکی با یکدیگر اشتراک دارند.
 
    سه قابلیت و سرویس پایه توسط IEEE برای شبکه‌های محلی بی‌سیم تعریف می‌گردد :
 
•         Authentication
    هدف اصلی WEP ایجاد امکانی برای احراز هویت مخدوم بی‌سیم است. این عمل که در واقع کنترل دست‌رسی به شبکه‌ی بی‌سیم است. این مکانیزم سعی دارد که امکان اتصال مخدوم‌هایی را که مجاز نیستند به شبکه متصل شوند از بین ببرد.
 
•         Confidentiality
    محرمانه‌گی هدف دیگر WEP است. این بُعد از سرویس‌ها و خدمات WEP با هدف ایجاد امنیتی در حدود سطوح شبکه‌های سیمی طراحی شده است. سیاست این بخش از WEP جلوگیری از سرقت اطلاعات در حال انتقال بر روی شبکه‌ی محلی بی‌سیم است.
 
•         Integrity
    هدف سوم از سرویس‌ها و قابلیت‌های WEP طراحی سیاستی است که تضمین کند پیام‌ها و اطلاعات در حال تبادل در شبکه، خصوصاً میان مخدوم‌های بی‌سیم و نقاط دسترسی، در حین انتقال دچار تغییر نمی‌گردند. این قابلیت در تمامی استانداردها، بسترها و شبکه‌های ارتباطاتی دیگر نیز کم‌وبیش وجود دارد.
 
    نکته‌ی مهمی که در مورد سه سرویس WEP وجود دارد نبود سرویس‌های معمول Auditing و Authorization در میان سرویس‌های ارایه شده توسط این پروتکل است.


Authentication

    استاندارد 802.11 دو روش برای احراز هویت کاربرانی که درخواست اتصال به شبکه‌ی بی‌سیم را به نقاط دسترسی ارسال می‌کنند، دارد که یک روش بر مبنای رمزنگاری‌ست و دیگری از رمزنگاری استفاده نمی‌کند.
 
    شکل زیر شَمایی از فرایند Authentication را در این شبکه‌ها نشان می‌دهد :
 
 
 
    همان‌گونه که در شکل نیز نشان داده شده است، یک روش از رمزنگاری RC4 استفاده می‌کند و روش دیگر از هیچ تکنیک رمزنگاری‌یی استفاده نمی‌کند.
 



Authentication بدون رمزنگاری

    در روشی که مبتنی بر رمزنگاری نیست، دو روش برای تشخیص هویت مخدوم وجود دارد. در هر دو روش مخدومِ متقاضی پیوستن به شبکه، درخواست ارسال هویت از سوی نقطه‌ی دسترسی را با پیامی حاوی یک SSID (Service Set Identifier) پاسخ می‌دهد.
 
    در روش اول که به Open System Authentication موسوم است، یک SSID خالی نیز برای دریافت اجازه‌ی اتصال به شبکه کفایت می‌کند. در واقع در این روش تمامی مخدوم‌هایی که تقاضای پیوستن به شبکه را به نقاط دسترسی ارسال می‌کنند با پاسخ مثبت روبه‌رو می‌شوند و تنها آدرس آن‌ها توسط نقطه‌ی دسترسی نگاه‌داری می‌شود. به‌همین دلیل به این روش NULL Authentication نیز اطلاق می‌شود.
 
    در روش دوم از این نوع، بازهم یک SSID به نقطه‌ی دسترسی ارسال می‌گردد با این تفاوت که اجازه‌ی اتصال به شبکه تنها در صورتی از سوی نقطه‌ی دسترسی صادر می‌گردد که SSIDی ارسال شده جزو SSIDهای مجاز برای دسترسی به شبکه باشند. این روش به Closed System Authentication موسوم است.
 
    نکته‌یی که در این میان اهمیت بسیاری دارد، توجه به سطح امنیتی‌ست که این روش در اختیار ما می‌گذارد. این دو روش عملاً روش امنی از احراز هویت را ارایه نمی‌دهند و عملاً تنها راهی برای آگاهی نسبی و نه قطعی از هویت درخواست‌کننده هستند. با این وصف از آن‌جایی‌که امنیت در این حالات تضمین شده نیست و معمولاً حملات موفق بسیاری، حتی توسط نفوذگران کم‌تجربه و مبتدی، به شبکه‌هایی که بر اساس این روش‌ها عمل می‌کنند، رخ می‌دهد، لذا این دو روش تنها در حالتی کاربرد دارند که یا شبکه‌یی در حال ایجاد است که حاوی اطلاعات حیاتی نیست، یا احتمال رخداد حمله به آن بسیار کم است. هرچند که با توجه پوشش نسبتاً گسترده‌ی یک شبکه‌ی بی‌سیم – که مانند شبکه‌های سیمی امکان محدودسازی دسترسی به صورت فیزیکی بسیار دشوار است – اطمینان از شانس پایین رخ‌دادن حملات نیز خود تضمینی ندارد!
 
Authentication با رمزنگاری RC4

    این روش که به روش «کلید مشترک» نیز موسوم است، تکنیکی کلاسیک است که بر اساس آن، پس از اطمینان از اینکه مخدوم از کلیدی سری آگاه است، هویتش تأیید می‌شود. شکل زیر این روش را نشان می‌دهد :
 
 
 
    در این روش، نقطه‌ی دسترسی (AP) یک رشته‌ی تصادفی تولید کرده و آن‌را به مخدوم می‌فرستد. مخدوم این رشته‌ی تصادفی را با کلیدی از پیش تعیین شده (که کلید WEP نیز نامیده می‌شود) رمز می‌کند و حاصل را برای نقطه‌ی دسترسی ارسال می‌کند. نقطه‌ی دسترسی به روش معکوس پیام دریافتی را رمزگشایی کرده و با رشته‌ی ارسال شده مقایسه می‌کند. در صورت هم‌سانی این دو پیام، نقطه‌ی دسترسی از اینکه مخدوم کلید صحیحی را در اختیار دارد اطمینان حاصل می‌کند. روش رمزنگاری و رمزگشایی در این تبادل روش RC4 است.
 
    در این میان با فرض اینکه رمزنگاری RC4 را روشی کاملاً مطمئن بدانیم، دو خطر در کمین این روش است :
الف) در این روش تنها نقطه‌ی دسترسی‌ست که از هویت مخدوم اطمینان حاصل می‌کند. به بیان دیگر مخدوم هیچ دلیلی در اختیار ندارد که بداند نقطه‌ی دسترسی‌یی که با آن در حال تبادل داده‌های رمزی‌ست نقطه‌ی دسترسی اصلی‌ست.
 
ب) تمامی روش‌هایی که مانند این روش بر پایه‌ی سئوال و جواب بین دو طرف، با هدف احراز هویت یا تبادل اطلاعات حیاتی، قرار دارند با حملاتی تحت عنوان man-in-the-middle در خطر هستند. در این دسته از حملات نفوذگر میان دو طرف قرار می‌گیرد و به‌گونه‌یی هریک از دو طرف را گمراه می‌کند.
 

Privacy

    این سرویس که در حوزه‌های دیگر امنیتی اغلب به عنوان Confidentiality از آن یاد می‌گردد به‌معنای حفظ امنیت و محرمانه نگاه‌داشتن اطلاعات کاربر یا گره‌های در حال تبادل اطلاعات با یکدیگر است. برای رعایت محرمانه‌گی عموماً از تکنیک‌های رمزنگاری استفاده می‌گردد، به‌گونه‌یی‌که در صورت شنود اطلاعات در حال تبادل، این اطلاعات بدون داشتن کلیدهای رمز، قابل رمزگشایی نبوده و لذا برای شنودگر غیرقابل سوء استفاده است.
 
    در استاندارد 802.11b، از تکنیک‌های رمزنگاری WEP استفاده می‌گردد که برپایه‌ی RC4 است. RC4 یک الگوریتم رمزنگاری متقارن است که در آن یک رشته‌ی نیمه تصادفی تولید می‌گردد و توسط آن کل داده رمز می‌شود. این رمزنگاری بر روی تمام بسته‌ی اطلاعاتی پیاده می‌شود. به‌بیان دیگر داده‌های تمامی لایه‌های بالای اتصال بی‌سیم نیز توسط این روش رمز می‌گردند، از IP گرفته تا لایه‌های بالاتری مانند HTTP. از آنجایی که این روش عملاً اصلی‌ترین بخش از اعمال سیاست‌های امنیتی در شبکه‌های محلی  بی‌سیم مبتنی بر استاندارد 802.11b است، معمولاً به کل پروسه‌ی امن‌سازی اطلاعات در این استاندارد به‌اختصار WEP گفته می‌شود.
 
 
    کلیدهای WEP اندازه‌هایی از ۴۰ بیت تا ۱۰۴ بیت می‌توانند داشته باشند. این کلیدها با IV (مخفف Initialization Vector یا بردار اولیه ) ۲۴ بیتی ترکیب شده و یک کلید ۱۲۸ بیتی RC4 را تشکیل می‌دهند. طبیعتاً هرچه اندازه‌ی کلید بزرگ‌تر باشد امنیت اطلاعات بالاتر است. تحقیقات نشان می‌دهد که استفاده از کلیدهایی با اندازه‌ی ۸۰ بیت یا بالاتر عملاً استفاده از تکنیک brute-force را برای شکستن رمز غیرممکن می‌کند. به عبارت دیگر تعداد کلیدهای ممکن برای اندازه‌ی ۸۰ بیت (که تعدد آن‌ها از مرتبه‌ی ۲۴  است) به اندازه‌یی بالاست که قدرت پردازش سیستم‌های رایانه‌یی کنونی برای شکستن کلیدی مفروض در زمانی معقول کفایت نمی‌کند.
 
    هرچند که در حال حاضر اکثر شبکه‌های محلی بی‌سیم از کلیدهای ۴۰ بیتی برای رمزکردن بسته‌های اطلاعاتی استفاده می‌کنند ولی نکته‌یی که اخیراً، بر اساس یک سری آزمایشات به دست آمده است، این‌ست که روش تأمین محرمانه‌گی توسط WEP در مقابل حملات دیگری، غیر از استفاده از روش brute-force، نیز آسیب‌پذیر است و این آسیب‌پذیری ارتباطی به اندازه‌ی کلید استفاده شده ندارد.
 
    نمایی از روش استفاده شده توسط WEP برای تضمین محرمانه‌گی در شکل زیر نمایش داده شده است :
 
 
 




Integrity

    مقصود از Integrity صحت اطلاعات در حین تبادل است و سیاست‌های امنیتی‌یی که Integrity را تضمین می‌کنند روش‌هایی هستند که امکان تغییر اطلاعات در حین تبادل را به کم‌ترین میزان تقلیل می‌دهند.
 
    در استاندارد 802.11b نیز سرویس و روشی استفاده می‌شود که توسط آن امکان تغییر اطلاعات در حال تبادل میان مخدوم‌های بی‌سیم و نقاط دست‌رسی کم می‌شود. روش مورد نظر استفاده از یک کد CRC است. همان‌طور که در شکل قبل نیز نشان داده شده است، یک CRC-32 قبل از رمزشدن بسته تولید می‌شود. در سمت گیرنده، پس از رمزگشایی، CRC داده‌های رمزگشایی شده مجدداً محاسبه شده و با CRC نوشته شده در بسته مقایسه می‌گردد که هرگونه اختلاف میان دو CRC به‌معنای تغییر محتویات بسته در حین تبادل است. متأسفانه این روش نیز مانند روش رمزنگاری توسط RC4، مستقل از اندازه‌ی کلید امنیتی مورد استفاده، در مقابل برخی از حملات شناخته شده آسیب‌پذیر است.
 
    متأسفانه استاندارد 802.11b هیچ مکانیزمی برای مدیریت کلیدهای امنیتی ندارد و عملاً تمامی عملیاتی که برای حفظ امنیت کلیدها انجام می‌گیرد باید توسط کسانی که شبکه‌ی بی‌سیم را نصب می‌کنند به‌صورت دستی پیاده‌سازی گردد. از آنجایی که این بخش از امنیت یکی از معضل‌های اساسی در مبحث رمزنگاری است، با این ضعف عملاً روش‌های متعددی برای حمله به شبکه‌های بی‌سیم قابل تصور است. این روش‌ها معمولاً بر سهل انگاری‌های انجام‌شده از سوی کاربران و مدیران شبکه مانند تغییرندادن کلید به‌صورت مداوم، لودادن کلید، استفاده از کلیدهای تکراری یا کلیدهای پیش فرض کارخانه و دیگر بی توجهی ها نتیجه یی جز درصد نسبتاً بالایی از حملات موفق به شبکه‌های بی‌سیم ندارد. این مشکل از شبکه‌های بزرگ‌تر بیش‌تر خود را نشان می‌دهد. حتا با فرض تلاش برای جلوگیری از رخ‌داد چنین سهل‌انگاری‌هایی، زمانی که تعداد مخدوم‌های شبکه از حدی می‌گذرد عملاً کنترل‌کردن این تعداد بالا بسیار دشوار شده و گه‌گاه خطاهایی در گوشه و کنار این شبکه‌ی نسبتاً بزرگ رخ می دهد که همان باعث رخنه در کل شبکه می‌شود.


ضعف‌های اولیه‌ی امنیتی WEP

همان‌گونه که گفته شد، عملاً پایه‌ی امنیت در استاندارد 802.11 بر اساس پروتکل WEP استوار است. WEP در حالت استاندارد بر اساس کلیدهای ۴۰ بیتی برای رمزنگاری توسط الگوریتم RC4 استفاده می‌شود، هرچند که برخی از تولیدکننده‌گان نگارش‌های خاصی از WEP را با کلیدهایی با تعداد بیت‌های بیش‌تر پیاده‌سازی کرده‌اند.
 
    نکته‌یی که در این میان اهمیت دارد قائل شدن تمایز میان نسبت بالارفتن امنیت و اندازه‌ی کلیدهاست. با وجود آن که با بالارفتن اندازه‌ی کلید (تا ۱۰۴ بیت) امنیت بالاتر می‌رود، ولی از آن‌جاکه این کلیدها توسط کاربران و بر اساس یک کلمه‌ی عبور تعیین می‌شود، تضمینی نیست که این اندازه تماماً استفاده شود. از سوی دیگر همان‌طور که در قسمت‌های پیشین نیز ذکر شد، دست‌یابی به این کلیدها فرایند چندان سختی نیست، که در آن صورت دیگر اندازه‌ی کلید اهمیتی ندارد.
 
    متخصصان امنیت بررسی‌های بسیاری را برای تعیین حفره‌های امنیتی این استاندارد انجام داده‌اند که در این راستا خطراتی که ناشی از حملاتی متنوع، شامل حملات غیرفعال و فعال است، تحلیل شده است.
 
    حاصل بررسی‌های انجام شده فهرستی از ضعف‌های اولیه‌ی این پروتکل است :
 
1.استفاده از کلیدهای ثابت WEP

    یکی از ابتدایی‌ترین ضعف‌ها که عموماً در بسیاری از شبکه‌های محلی بی‌سیم وجود دارد استفاده از کلیدهای مشابه توسط کاربران برای مدت زمان نسبتاً زیاد است. این ضعف به دلیل نبود یک مکانیزم مدیریت کلید رخ می‌دهد. برای مثال اگر یک کامپیوتر کیفی یا جیبی که از یک کلید خاص استفاده می‌کند به سرقت برود یا برای مدت زمانی در دست‌رس نفوذگر باشد، کلید آن به‌راحتی لو رفته و با توجه به تشابه کلید میان بسیاری از ایستگاه‌های کاری عملاً استفاده از تمامی این ایستگاه‌ها ناامن است.
    از سوی دیگر با توجه به مشابه بودن کلید، در هر لحظه کانال‌های ارتباطی زیادی توسط یک حمله نفوذپذیر هستند.
 
۲. Initialization Vector (IV)
این بردار که یک فیلد ۲۴ بیتی است در قسمت قبل معرفی شده است. این بردار به صورت متنی ساده فرستاده می شود. از آن‌جایی‌که کلیدی که برای رمزنگاری مورد استفاده قرار می‌گیرد بر اساس IV تولید می شود، محدوده‌ی IV عملاً نشان‌دهنده‌ی احتمال تکرار آن و در نتیجه احتمال تولید کلیدهای مشابه است. به عبارت دیگر در صورتی که IV کوتاه باشد در مدت زمان کمی می‌توان به کلیدهای مشابه دست یافت.
    این ضعف در شبکه‌های شلوغ به مشکلی حاد مبدل می‌شود. خصوصاً اگر از کارت شبکه‌ی استفاده شده مطمئن نباشیم. بسیاری از کارت‌های شبکه از IVهای ثابت استفاده می‌کنند و بسیاری از کارت‌های شبکه‌ی یک تولید کننده‌ی واحد IVهای مشابه دارند. این خطر به‌همراه ترافیک بالا در یک شبکه‌ی شلوغ احتمال تکرار IV در مدت زمانی کوتاه را بالاتر می‌برد و در نتیجه کافی‌ست نفوذگر در مدت زمانی معین به ثبت داده‌های رمز شده‌ی شبکه بپردازد و IVهای بسته‌های اطلاعاتی را ذخیره کند. با ایجاد بانکی از IVهای استفاده شده در یک شبکه‌ی شلوغ احتمال بالایی برای نفوذ به آن شبکه در مدت زمانی نه چندان طولانی وجود خواهد داشت.
 
۳. ضعف در الگوریتم
    از آن‌جایی‌که IV در تمامی بسته‌های تکرار می‌شود و بر اساس آن کلید تولید می‌شود، نفوذگر می‌تواند با تحلیل و آنالیز تعداد نسبتاً زیادی از IVها و بسته‌های رمزشده بر اساس کلید تولید شده بر مبنای آن IV، به کلید اصلی دست پیدا کند. این فرایند عملی زمان بر است ولی از آن‌جاکه احتمال موفقیت در آن وجود دارد لذا به عنوان ضعفی برای این پروتکل محسوب می‌گردد.


 
4.استفاده از CRC رمز نشده

    در پروتکل WEP، کد CRC رمز نمی‌شود. لذا بسته‌های تأییدی که از سوی نقاط دست‌رسی بی‌سیم به‌سوی گیرنده ارسال می‌شود بر اساس یک CRC رمزنشده ارسال می‌گردد و تنها در صورتی که نقطه‌ی دست‌رسی از صحت بسته اطمینان حاصل کند تأیید آن را می‌فرستد. این ضعف این امکان را فراهم می‌کند که نفوذگر برای رمزگشایی یک بسته، محتوای آن را تغییر دهد و CRC را نیز به دلیل این که رمز نشده است، به‌راحتی عوض کند و منتظر عکس‌العمل نقطه‌ی دست‌رسی بماند که آیا بسته‌ی تأیید را صادر می کند یا خیر.
 
    ضعف‌های بیان شده از مهم‌ترین ضعف‌های شبکه‌های بی‌سیم مبتنی بر پروتکل WEP هستند. نکته‌یی که در مورد ضعف‌های فوق باید به آن اشاره کرد این است که در میان این ضعف‌ها تنها یکی از آن‌ها (مشکل امنیتی سوم) به ضعف در الگوریتم رمزنگاری باز می‌گردد و لذا با تغییر الگوریتم رمزنگاری تنها این ضعف است که برطرف می‌گردد و بقیه‌ی مشکلات امنیتی کماکان به قوت خود باقی هستند.
 
    جدول زیر ضعف‌های امنیتی پروتکل WEP را به‌اختصار جمع‌بندی کرده  است :
 


خطرها، حملات و ملزومات امنیتی


همان گونه که گفته شد، با توجه به پیشرفت های اخیر، در آینده یی نه چندان دور باید منتظر گسترده گی هرچه بیش تر استفاده از شبکه های بی سیم باشیم. این گسترده گی، با توجه به مشکلاتی که از نظر امنیتی در این قبیل شبکه ها وجود دارد نگرانی هایی را نیز به همراه دارد. این نگرانی ها که نشان دهنده ی ریسک بالای استفاده از این بستر برای سازمان ها و شرکت های بزرگ است، توسعه ی این استاندارد را در ابهام فرو برده است. در این قسمت به دسته بندی و تعریف حملات، خطرها و ریسک های موجود در استفاده از شبکه های محلی بی سیم بر اساس استاندارد IEEE 802.11x می پردازیم.
 
    شکل زیر نمایی از دسته بندی حملات مورد نظر را نشان می دهد :
 
 
 
    مطابق درخت فوق، حملات امنیتی به دو دسته ی فعال و غیرفعال تقسیم می گردند.
 
حملات غیرفعال

    در این قبیل حملات، نفوذگر تنها به منبعی از اطلاعات به نحوی دست می یابد ولی اقدام به تغییر محتوال اطلاعات منبع نمی کند. این نوع حمله می تواند تنها به یکی از اشکال شنود ساده یا آنالیز ترافیک باشد.
 
-        شنود
    در این نوع، نفوذگر تنها به پایش اطلاعات ردوبدل شده می پردازد. برای مثال شنود ترافیک روی یک شبکه ی محلی یا یک شبکه ی بی سیم (که مد نظر ما است) نمونه هایی از این نوع حمله به شمار می آیند.
 
-   آنالیز ترافیک

    در این نوع حمله، نفوذگر با کپی برداشتن از اطلاعات پایش شده، به تحلیل جمعی داده ها می پردازد. به عبارت دیگر بسته یا بسته های اطلاعاتی به همراه یکدیگر اطلاعات معناداری را ایجاد می کنند.
 
حملات فعال

    در این نوع حملات،  برخلاف حملات غیرفعال، نفوذگر اطلاعات مورد نظر را، که از منابع به دست می آید، تغییر می دهد، که تبعاً انجام این تغییرات مجاز نیست. از آن جایی که در این نوع حملات اطلاعات تغییر می کنند، شناسایی رخ داد حملات فرایندی امکان پذیر است. در این حملات به چهار دسته ی مرسوم زیر تقسیم بندی می گردند :
 
-   تغییر هویت

    در این نوع حمله، نفوذگر هویت اصلی را جعل می کند. این روش شامل تغییر هویت اصلی یکی از طرف های ارتباط یا قلب هویت و یا تغییر جریان واقعی فرایند پردازش اطلاعات نیز می گردد.
 
-   پاسخ های جعلی

    نفوذگر در این قسم از حملات، بسته هایی که طرف گیرنده ی اطلاعات در یک ارتباط دریافت می کند را پایش می کند. البته برای اطلاع از کل ماهیت ارتباط یک اتصال از ابتدا پایش می گردد ولی اطلاعات مفید تنها اطلاعاتی هستند که از سوی گیرنده برای فرستنده ارسال می گردند. این نوع حمله بیش تر در مواردی کاربرد دارد که فرستنده اقدام به تعیین هویت گیرنده می کند. در این حالت بسته های پاسخی که برای فرستنده به عنوان جواب به سؤالات فرستنده ارسال می گردند به معنای پرچمی برای شناسایی گیرنده محسوب می گردند. لذا در صورتی که نفوذگر این بسته ها را ذخیره کند و در زمانی که یا گیرنده فعال نیست، یا فعالیت یا ارتباط آن به صورت آگاهانه –به روشی- توسط نفوذگر قطع شده است، می تواند مورد سوء استفاده قرار گیرد. نفوذگر با ارسال مجدد این بسته ها خود را به جای گیرنده جازده و از سطح دسترسی مورد نظر برخوردار می گردد.
 
-   تغییر پیام

    در برخی از موارد مرسوم ترین و متنوع ترین نوع حملات فعال تغییر پیام است. از آن جایی که گونه های متنوعی از ترافیک بر روی شبکه رفت وآمد می کنند و هریک از این ترافیک ها و پروتکل ها از شیوه یی برای مدیریت جنبه های امنیتی خود استفاده می کنند،  لذا نفوذگر با اطلاع از پروتکل های مختلف می تواند برای هر یک از این انواع ترافیک نوع خاصی از تغییر پیام ها و در نتیجه حملات را اتخاذ کند. با توجه به گسترده گی این نوع حمله، که کاملاً به نوع پروتکل بسته گی دارد، در این جا نمی توانیم به انواع مختلف آن بپردازیم، تنها به یادآوری این نکته بسنده می کنیم که این حملات تنها دست یابی به اطلاعات را هدف نگرفته است و می تواند با اعمال تغییرات خاصی، به گمراهی دو طرف منجر شده و مشکلاتی را برای سطح مورد نظر دست رسی – که می تواند یک کاربر عادی باشد – فراهم کند.
 
-   حمله های DoS (Denial-of-Service)

    این نوع حمله،  در حالات معمول، مرسوم ترین حملات را شامل می شود. در این نوع حمله نفوذگر یا حمله کننده برای تغییر نحوه ی کارکرد یا مدیریت یک سامانه ی ارتباطی یا اطلاعاتی اقدام می کند. ساده ترین نمونه سعی در از کارانداختن خادم های نرم افزاری و سخت افزاری ست. پیرو چنین حملاتی،  نفوذگر پس از از کارانداختن یک سامانه، که معمولاً سامانه یی ست که مشکلاتی برای نفوذگر برای دست رسی به اطلاعات فراهم کرده است، اقدام به سرقت، تغییر یا نفوذ به منبع اطلاعاتی می کند. در برخی از حالات، در پی حمله ی انجام شده، سرویس مورد نظر به طور کامل قطع نمی گردد و تنها کارایی آن مختل می گردد. در این حالت نفوذگر می تواند با سوءاستفاده از اختلال ایجاد شده به نفوذ از طریق/به همان سرویس نیز اقدام کند.
 
    تمامی ریسک هایی که در شبکه های محلی، خصوصاً انواع بی سیم، وجود دارد ناشی از یکی از خطرات فوق است

نوشته شده توسط جواد شاهوند در 16:52 | | لینک به این مطلب

TCP/IP و لايه هاي 7 گانه

نوشته شده توسط جواد شاهوند در 16:49 | | لینک به این مطلب

الگوريتم RSA

الگوريتم RSA قسمت - 1



Rivest , Shamir , Adleman در مطلب قبل راجع به کليدهاي عمومي و خصوصي براي کد کردن و پنهان سازي اطلاعات صحبت کرديم و در آنجا صحبت از الگوريتمي بنام RSA نموديم. در اين مطلب سعي ميکنيم و با ذکر يک مثال ساده به تشريح اين لگوريتم بپردازيم. از اين الگوريتم براي تهيه کليد هاي مذکور، کد کردن اطلاعات، دي کد کردن يا آشکار سازي اطلاعات، تهيه امضاهاي الکترونيکي و .... استفاده مي شود.


الگوريتم RSA پس از آنکه ران ريوست (Ron Rivest)، آدام شامير (Adam Shamir) و لن ادلمن (Len Adleman) در سال 1977 آنرا بدست آوردند به اين نام مشهور شد، هرچند تکنيک هاي اوليه آن پيشتر در سال 1973 توسط فردي بنام کليفورد کوکس (Clifford Cocks) بدست آمده بود اما تا سال 1977 اولا" الگورتيم کاملا" محرمانه بود و ثانيا" به سادگي آنچه در زير بيان خواهيم کرد نبود.

تهيه کليد هاي عمومي و خصوصي
بطور خلاصه روش کار براي تهيه کليدها به شرح زير است :

1- دو عدد بزرگ (هر چه بزرگتر بهتر) اول به نام هاي p و q را انتخاب مي کنيم، بهتر است اين اعداد از لحاظ سايز نزديک به يکديگر باشند.

2- عدد ديگري بنام n را معادل با حاصلضرب p در q تعريف مي کنيم : n = p x q

3- عدد چهارم يعني m را معادل حاصلضرب p-1 در q-1 تعريف مي کنيم : (m = (p-1) x (q-1

4- عدد e را که از m کوچکتر است آنگونه پيدا مي کنيم که بزرگترين مقسوم عليه مشترک اين دو يک باشد به عبارتي نسبت به هم اول باشند.

5- عددي مانند d را پيدا کنيد که باقيمانده حاصلضرب d در e تقسيم بر m مساوي عدد 1 باشد، يعني : d x e) mod m = 1)

حال پس از طي اين مراحل شما مي توانيد از e و n بعنوان کليد عمومي و از d و n بعنوان کليد اختصاصي استفاده کنيد.

روش پنهان کردن و آشکار کردن
براي کد کردن اطلاعات کافي است عدد منتصب به هر کاراکتر - مثلا" ASCII - را که در اينجا M مي ناميم در فرمول زير قرار دهيد و بجاي ارسال آن عدد C = Me mod n را ارسال کنيد. در واقع دراينجا شما توانسته ايد با کمک کليد عمومي، کاراکتر M را به C تبديل کنيد.

حال گيرنده براي آشکار سازي کافي است عدد دريافتي يعني C را با استفاده از کليد خصوصي به M تبديل کند. براي اينکار کافي است از اين فرمول استفاده کنيد : M = Cd mod n ، بنابراين شما با دريافت کاراکتر کد شده C و در دست داشتن کليد خصوصي توانسته ايد کاراکتر اصلي را مشخص نماييد.

نوشته شده توسط جواد شاهوند در 16:48 | | لینک به این مطلب

آموزش و راه اندازی شبکه LAN

آموزش شبكه LAN

Lan چیست؟
شبكه‌ چيست‌؟
شبكه‌ مجموعه‌اي‌ از سرويس‌ دهنده‌ها و سرويس‌ گيرنده‌هاي‌ متعددي‌ مي‌باشد كه‌به‌ يكديگر متصل‌ هستند.
در اين‌ بين‌ سرويس‌ دهنده‌ها (server) نقش‌ سرويس‌ دهنده‌ و خدمات‌ دهي‌ وسرويس‌ گيرنده‌ها (Client) نقش‌ سرويس‌ گيرنده‌ يا همان‌ مشتري‌ را بازي‌ مي‌كنند.



انواع‌ شبكه‌: شبكه‌ها را مي‌توان‌ به‌ دو دسته‌ي‌ «شبكه‌هاي‌ محلي‌» LAN و شبكه‌هاي‌ بزرگ‌تر از آن‌(WAN) تقسيم‌ كرد.

شبكه‌هاي‌ محلي‌: Local Area Network اين‌ نوع‌ شبكه‌ها به‌ شبكه‌هاي(‌ (LAN) معروف‌ هستند. شبكه هاي محلي معمولا ميزبان 2 تا 20كامپيوتر و در غالب Work Group ميباشند. سرعت اين نوع شبكه بسيار زياد است (معمولا 100MB Per Sec) و مي توان حجم داده هاي بالا را در مدت بسيار كم انتقال داد.

شبكه‌هاي‌ گسترده‌: Wide Area Network اين نوع شبكه ها به شبكه هاي WAN معروف هستند.


اين شبكه ها بزرگتر از شبكه هاي LAN و اغلب براي امور عمومي از آن استفاده مي شود. ازجمله اين شبكه ها ميتوان شبكه هاي VAN و يا شبكه هاي بزرگتر مانند Internet و.. را نام برد. سرعت انتقال داده ها در اين نوع شبكه ها نسبت به LAN (در ايران) بسيار ناچيز ميباشد. اين سرعت به خاطر استفاده از خطوط 56K است. البته مي توان با استفاده از خطوط DSL يا ISDN و يا بي سيم Wire Less سرعت اين ارتباط را به اندازه 128K ,256 k , 512 kيا بالاتر افزايش داد. Internet Protocol: IP IP يك‌ عدد 32 بيتي‌ (bit) است‌ كه‌ پس‌ از اتصال‌ به‌ شبكه‌(... , Internet , LAN) به‌ ما متعلق‌ مي‌گيرد.
شكل كلي IP را مي توان به صورت http://www.xxx.yyy.zzz در نظر گرفت كه با هر بار اتصال به اينترنت به صورت Dial Up اين عدد تغيير مي كند.
به عنوان مثال در حال حاضر IP ما 213.155.55.104 است اما در اتصال بعدي ممكن است اين عدد به 213.155.55.20 تغيير كند.

IP چه كاربردي دارد؟
IP به عنوان يك شناسنامه در شبكه است و كاربردهاي بسياري دارد .براي توصيف كامل IP نياز به شرح TCP/IP است كه بعدا به آن اشاره خواهيم كرد. همان طور كه در جامعه شناسنامه وسيله اي براي احراز هويت ماست و بدون آن جزو آن جامعه محسوب نمي شويم ، IP نيز وسيله اي براي شناسايي ما در شبكه است و امكان اتصال به شبكه بدون آن وجود ندارد. به طور مثال هنگامي كه در شبكه مشغول چت (Chat) هستيم ، كامپيوتر شما داراي يك IP مي باشد. و جملاتي را كه شما تايپ مي كنيد به وسيله مسير يابها (Router ) مسير يابي (Routing) شده و به كامپيوتر شخص مقابل ميرسند و متني را هم كه شخص مقابل تايپ ميكند روي IP شما فرستاده مي شود.
خط فرمان در ويندوز چيست؟ خط فرمان يا همان ''Command Prompt'' در ويندوز نوعي شبيه ساز سيستم عامل Dos در ويندوز است كه فايلهاي اجرايي ''exe,com'' در آن اجرا مي شود. خط فرمان ويندوز دستورات بسيار زياد و كاربردي دارد كه به مرور زمان انها را خواهيم آموخت.

دسترسي به خط فرمان در ويندوز: دسترسي به خط فرمان به دو روش ميسر است. روش اول : روي Start Menu كليك كرده و گزينه Run را انتخاب مي كنيم . سپس در پنجره ظاهر شده اگر ويندوز شما 98/ME باشد عبارت ''Command'' و اگر 2000/2003/XP باشد عبارت ''CMD'' را تايپ مي كنيم هم اكنون محيط Command Prompt در جلوي شما قرار دارد! روش دوم : با طي كردن مسير Start> Programs>Accessories و كليك كردن برروي Command Prompt اين محيط براي شما باز ميشود. ادامه مبحث IP : چگونه IPخود را بدست آوريم :
براي بدست آوردن IP خود در سيستم عامل ويندوز كافي است همان طور كه در بالا توضيح داده شد به محيط Command Prompt رفته و عبارت '' IPCONFIG '' را تايپ كنيم.
به طور مثال پس از اجراي دستور به نتايج زير مي رسيد :
Windows IP Configuration 0 Ethernet adapter :
IP Address. . . . . . . . . : 213.155.55.232
Subnet Mask . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . : 213.155.55.232

فعلا تنها به سطر IP Address كه با رنگ قرمز مشخص شده است توجه كنيد (Default Gateway و Subnet Mask) بعدا برسي خواهد شد. ملاحظه ميكنيد كه IP ما213.155.55.232 است. آدرسهاي IP به چند دسته تقسيم مي شوند؟
آدرسهاي IP به پنج كلاس A,B,C,D,E تقسيم مي شوند. از بين اين كلاسها تنها كلاسهاي A,B,C كاربرد دارند كه به شرح آنها مي پردازيم .

كلاس A : تمام IP هايي كه www آنها (در درس قبل شكل كلي IP را به صورت http://www.xxx.yyy.zzz معرفي كرديم) بين 1 تا 126 است ، جزو كلاس A محسوب مي شوند. به عنوان مثال : 112.10.57.13 يك IP كلاس A است. اين كلاس ويژه پايگاهاي بزرگ اينترنتي است.

كلاس B : تمام IP هايي كه WWW آنها بين 128 تا 191 مي باشد را شامل مي شود. مانند IP ي 172.155.55.73 كه جزو كلاس B است.

كلاس C : اين كلاس تمام IP هايي كه WWW آنها بين 192 تا 223 است را شامل مي شود: مانند 213.133.52.138 كه جزو كلاس C محصوب مي شود. تحليل IP : همان طور كه گفته شد IP يك عدد 32 بيتي است. هم اكنون اين گفته را كاملتر شرح داده و مطلب را بازتر مي كنيم/ درك اين قسمت از مطلب نيازمند دانستن مفاهيم Bit و Byte است .

اين در حقيقت واحدهاي اندازه گيري حافظه كامپيوتر هستند كه در پايين آنها را شرح مي دهيم :
BIT :به كوچكترين واحد اندازه گيري حافظه كامپيوتري مي گويند. Byte : به مجموع 8 بيت ، يك بايت مي گويند. بنابر اين نتيجه مي گيريم 32 بيت همان 4 بايت در مبناي اعشاري (مبناي 10 ) است و براي اين كه كامپيوتر اعداد را در مبناي 2 در نظر مي گيرد آن را به صورت Binary (مبناي 2 ) مي نويسيم. براي اينكه اين مفاهيم را بهتر متوجه شويد آنها را در جدول برسي مي كنيم.
IP از چند قسمت تشكيل شده است؟
IP از دو قسمت Net ID و Host ID تشكيل شده است و مقادير بيت ها در اين دو قسمت در كلاسهاي مختلف IP متفاوت است. Net ID در واقع شناسه شبكه و Host ID شناسه ميزبان در IP است.

بررسي Net ID در كلاساهي مختلف: Net ID در كلاس A به صورت http://www.0.0.0 يعني تنها www را شامل مي شود.
در كلاس B به صورت : http://www.xxx.0.0 است يعني http://www.xxx در واقع Net Id مي باشد. و در كلاس C به صورت : http://www.xxx.yyy.0 است يعني NetID .. اين روديگه بايد فهميده باشيد چيه

كلاس A : در كلاس A : Net ID هشت بيت است و Host ID آن 24 بيت كه مجموعا 32 بيت مي شود. اين كلاس مي تواند 16.777.14 ميزبان (Host) داشته باشد يعني 16.777.14 IP كه زير مجموعه آن قرار مي گيرند. به عنوان مثال http://www.44.4.13 كه 44.4.13 يكي از ميزبان ها (Host) مي باشد.

كلاس B : در كلاس B : NetID از هشت بيت به شانزده بيت افزايش مي يابد و فضا را براي host ID كمتر مي كند، به همين دليل IP هاي زير مجموعه آن به 56.534 كاهش مي يابد. به عنوان مثال IP : http://www.xxx.55.137 كه 55.137 يكي از ميزبانهاست .

كلاس C : NetID باز هم بزرگتر شده و از 16 بيت در كلاس B به بيست و چهار افزايش مي يابد و Host ID به كوچكترين مقدار خود يعني هشت بيت مي رسد. اين كلاس تنها 242 IP را پشتيباني مي كند. به عنوان مثال http://www.xxx.yyy.93 كه در آن 93 يكي از ميزبانهاست.

نكات مهم درس :
1- سعي كنيد بيشتر در محيط Command Prompt كار كنيد تا به آن عادت كرده و دست خود را در اجراي دستورات سريع تر كنيد. سرعت در اجراي دستورات هنگام Hack كردن بخصوص Client بسيار مهم است.
2- با كمي دقت حتما متوجه مي شويد كه IP اي كه www آن 127 باشد در هيچ يك از كلاسهاي مطرح شده وجود ندارد. در حقيقت IP ي 127.0.0.1 از قبل براي كامپيوتر خودمان رزرو شده و به آن Local Host مي گويند.
3- هنگامي كه به صورت Dial Up به اينترنت متصل مي شويد معمولا IP كلاس C به شما تعلق مي گيرد. 4- توصيه و پيشنهاد براي استفاده از Command Line ويندوز 2000 يا XP است.

نوشته شده توسط جواد شاهوند در 16:42 | | لینک به این مطلب

انواع روتر

انواع روتر

استفاده از روترها در شبکه به امری متداول تبديل شده است . يکی از دلايل مهم گسترش استفاده از روتر ، ضرورت اتصال يک شبکه به چندين شبکه ديگر ( اينترنت و يا ساير سايت ها ی از راه دور ) در عصر حاضر است . نام در نظر گرفته شده برای روترها ، متناسب با کاری است که آنان انجام می دهند : " ارسال داده از يک شبکه به شبکه ای ديگر " . مثلا" در صورتی که يک شرکت دارای شعبه ای در تهران و  يک دفتر ديگر در اهواز باشد ، به منظور اتصال آنان به يکديگر می توان از يک خط  leased ( اختصاصی ) که به هر يک از روترهای موجود در دفاتر متصل می گردد ، استفاده نمود . بدين ترتيب ، هر گونه ترافيکی که لازم است از يک سايت به سايت ديگر انجام شود از طريق روتر محقق شده و تمامی ترافيک های غيرضروری ديگر فيلتر و در پهنای باند و هزينه های مربوطه ، صرفه جوئی می گردد .

انواع روترها
روترها را می توان به دو گروه عمده سخت افزاری و نرم افزاری تقسيم نمود:

روترهای سخت افزاری : روترهای فوق ، سخت افزارهائی می باشند که نرم افزارهای خاص توليد شده توسط توليد کنندگان را اجراء می نمايند (در حال حاضر صرفا" به صورت black box به آنان نگاه می کنيم ).نرم افزار فوق ، قابليت روتينگ را برای روترها فراهم نموده تا آنان مهمترين و شايد ساده ترين وظيفه خود که ارسال داده از يک شبکه به شبکه ديگر است را بخوبی انجام دهند . اکثر شرکت ها ترجيح می دهند که از روترهای سخت افزاری استفاده نمايند چراکه آنان در مقايسه با روترهای نرم افزاری، دارای سرعت و اعتماد پذيری بيشتری می باشند . شکل زير يک نمونه روتر را نشان می دهد . ( Cisco 2600 Series Multiservice Platform )



منبع : سايت سيسکو

روترهای نرم افزاری : روترهای نرم افزاری دارای عملکردی  مشابه با روترهای سخت افزاری بوده و مسئوليت اصلی آنان نيز ارسال داده از يک شبکه به شبکه ديگر است. يک روتر نرم افزاری می تواند يک سرويس دهنده NT  ، يک سرويس دهنده نت ور و يا يک سرويس دهنده لينوکس باشد . تمامی سيستم های عامل شبکه ای مطرح ،دارای قابليت های روتينگ از قبل تعبيه شده می باشند .

در اکثر موارد از روترها به عنوان فايروال و يا gateway  اينترنت ، استفاده می گردد . در اين رابطه لازم است به يکی از مهمترين تفاوت های موجود بين روترهای نرم افزاری و سخت افزاری ، اشاره گردد : در اکثر موارد نمی توان يک روتر نرم افزاری را جايگزين يک روتر سخت افزاری نمود ، چراکه روترهای سخت افزاری دارای سخت افزار لازم و از قبل تعبيه شده ای می باشند که به آنان امکان اتصال به يک لينک خاص WAN ( از نوع Frame Relay ، ISDN و يا ATM ) را خواهد داد .يک روتر نرم افزاری ( نظير سرويس دهنده ويندوز ) دارای تعدادی کارت شبکه است که هر يک از آنان به يک شبکه LAN متصل شده و ساير اتصالات به شبکه های WAN از طريق روترهای سخت افزاری ، انجام خواهد شد .

مثال 1 :  استفاده از روتر به منظور اتصال دو شبکه به يکديگر و ارتباط به اينترنت
فرض کنيد از يک روتر مطابق شکل زير به منظور اتصال دو شبکه LAN به يکديگر و اينترنت ، استفاده شده است . زمانی که روتر داده ای را از طريق يک شبکه LAN و يا اينترنت دريافت می نمايد ، پس از بررسی آدرس مبداء و مقصد ، داده دريافتی را برای هر يک از شبکه ها و يا اينترنت ارسال می نمايد . روتر استفاده شده در شکل زير ، شبکه را به دو بخش متفاوت تقسيم نموده است .( دو شبکه مجزاء ) . هر شبکه دارای يک هاب است که تمامی کامپيوترهای موجود در شبکه به آن متصل شده اند . علاوه بر موارد فوق ، روتر استفاده شده دارای اينترفيس های لازم به منظور اتصال هر شبکه به آن بوده و از يک اينترفيس ديگر به منظور اتصال به اينترنت ، استفاده می نمايد . بدين ترتيب ،  روتر قادر است داده مورد نظر را به مقصد درست ، ارسال نمايد .



 مثال 2:  استفاده از روتر در يک شبکه LAN
فرض کنيد از يک روتر مطابق شکل زير در يک شبکه LAN ، استفاده شده است . در مدل فوق ، هر يک از دستگاههای  موجود در شبکه با روتر موجود نظير يک gateway برخورد می نمايند . بدين ترتيب ، هر يک از ماشين های موجود بر روی شبکه LAN که قصد ارسال يک بسته اطلاعاتی ( اينترنت و يا هر محل خارج از شبکه LAN ) را داشته باشند ، بسته اطلاعاتی مورد نظر را برای gateway ارسال می نمايند . روتر ( gateway ) نسبت به محل ارسال داده دارای آگاهی لازم می باشد . ( در زمان تنظيم خصلت های پروتکل TCP/IP برای هر يک از ماشين های موجود در شبکه يک آدرس IP برای gateway در نظر گرفته می شود ) .  شکل زير نحوه استفاده از يک روتر به منظور دستيابی کاربران به اينترنت در شبکه LAN را نشان می دهد :



 مثال 3:  استفاده از روتر به منظور اتصال دو دفتر کار
فرض کنيد ، بخواهيم از روتر به منظور اتصال دو دفتر کار يک سازمان به يکديگر ، استفاده نمائيم . بدين منظور هر يک از روترهای موجود در شبکه با استفاده از يک پروتکل WAN نظير ISDN به يکديگر متصل می گردند . عملا" ، با استفاده از يک کابل که توسط ISP مربوطه ارائه می گردد ، امکان اتصال به اينترفيس WAN روتر فراهم شده و از آنجا سيگنال مستقيما" به شبکه ISP مربوطه رفته و سر ديگر آن به اينترفيس WAN روتر ديگر متصل می گردد . روترها ، قادر به حمايت از پروتکل های WAN متعددی نظير  Frame Relay , ATM , HDLC و يا PPP ، می باشند .



مهمترين ويژگی های يک روتر :

روترها دستگاههای لايه سوم ( مدل مرجع OSI ) می باشند .
روترها ماداميکه برنامه ريزی نگردند ، امکان توزيع داده را نخواهند داشت .
اکثر روترهای مهم  دارای سيستم عامل اختصاصی خاص خود می باشند .
روترها از پروتکل های خاصی به منظور مبادله اطلاعات ضروری خود ( منظور داده نيست ) ، استفاده می نمايند .
نحوه عملکرد يک روتر در اينترنت  : مسير ايجاد شده برای انجام مبادله اطلاعاتی بين سرويس گيرنده و سرويس دهنده در تمامی مدت زمان انجام تراکش ثابت و يکسان نبوده و متناسب با وضعيت ترافيک موجود و در دسترس بودن مسير ، تغيير می نمايد .


منبع:.srco

نوشته شده توسط جواد شاهوند در 16:39 | | لینک به این مطلب

تقسیم یک خط اینترنت بین چند کامپیوتر

ابتدا یاد آوری می کنم که ارتباط بین کامپیوتر ها به سه روش ممکن است:
١. از طریق کابل شبکه (RJ-45) که برای این نوع اشتراک به تعدادی از این کابل ها و یک دستگاه تقسیم کننده یا HUB نیاز دارید. تعداد پورت های HUB باید حداقل یکی بیشتر از تعداد کامپیوترهای شما باشد (مگر اینکه از یکی از خود کامپیوترها برای تقسیم اینترنت استفاده کنید). استفاده از این کابل ها بهترین، ارزانترین و پرطرفدارترین روش برای تشکیل شبکه است. اشکال این روش نیاز به سیم کشی است.
٢. روش دوم استفاده از شبکه های بی سیم یا WiFi است که این روزها خیلی ها بجای استفاده از کابل از این سیستم ها استفاده می کنند. برتری این کار عدم نیاز به سیم کشی و امکان حمل و نقل است که به ویژه برای laptop ها احمیت دارد. اشکال آن یکی هزینه بسیار بالای آن (چند صد دلار برای یک شبکه ساده) است و دیگری اینکه مقدار زیادی از قدرت آن بجای افزایش سرعت برای جلوگیری از اشکال در ارتباطات مصرف می شود. ولی با این همه سرعت این سیستم ها خوب است و قیمت بالا اشگال عمده آنها است.
٣. روش دوم استفاده از خط تلفن یا HomePNA است که همانطور که در مقاله ٢٧ توضیح دادم روش خوبی است چون خیلی از سیستمهای بی سیم ارزانتر است و برخلاف شبکه های کابلی نیاز به سیم کشی ندارد. اگر از این روش استفاده می کنید حتما از کارتهای جدیدتر استفاده کنید که سریعتر هستند. سیستم های قدیمی که به HPNA1 مشهور است آرام هستند و ممکن است گاهی دچار قطع ارتباطات شوند.
اگر فقط از دو کامپیوتر استفاده می کنید خیلی از شرکتهای ارائه دهنده سرویس به شما اجازی استفاده هر دو کامپیوتر را از طریق HUB می دهند و نیازی به تقسیم اینترنت نخواهید داشت. ولی برای بیشتر از دو کامپیوتر، از هر کدام از روشهای بالا که استفاده کنید سه روش برای تقسیم یک (یا چند) خط اینترنت بین تمام کامپیوترهای شبکه وجود دارد:
١. پر طرفدارترین روش استفاده از دستگاهی بنام Router است که یک خط اینترنت را بین چند کامپیوتر تقسیم می کند. این روش برای استفاده از شبکه های کابلی بخصوص برای تعداد محدودی کامپیوتر بهترین راه است چون اکثر Router ها یک دستگاه HUB در داخل خود دارند و میتوانید مستقیما کامپیوترها را به آنها وصل کنید. بعضی شرکتهای اینترنت به شما امکان این را می دهند که از Router بجای Modem های معمولی که در اختیارتان قرار می دهند استفاده کنید. البته برای این کار باید از Router ویژه ای که شرکتها در اختیارتان قرار می دهند استفاده کنید. متاسفانه فعلا هیچکدام از شرکتهای اصلی در تورنتو این امکان را ندارند ولی برخی شرکتهای جدید DSL بجای اجاره Modem به شما امکان خرید Router یا Modem را می دهند که در این صورت اجازه انتخاب دارید. ویندوز XP و لینوکس کامپیوترها را براحتی برای استفاده از Router تنظیم می کنند. قبل تنظیم کردن کامپیوترها ابتدا آنها را آزامایش کنید زیرا معمولا نیازی به تنظیم آنها نخواهید داشت. اگر کامپیوترها قبلا مستقیما به Modem وصل می شدند باید ابتدا تنظیمات Modem را پاک کنید.
٢. بجای استفاده از Router میتوانید یکی از کامپیوترها را مستقیما به اینترنت وصل کنید تا کامپیوترهای دیگر از اینترنت آن استفاده کنند. خرج این کار کم است، ولی برای اینکه کامپیوترهای دیگر به اینترنت وصل شوند، کامپیوتر اصلی باید همیشه روشن باشد. در ضمن این کامپیوتر نیاز به دو کارت شبکه دارد که یکی به شبکه وصل میشود و دیگری به Modem (مگر اینکه Modem طور دیگری به کامپیوتر وصل شود – مانند USB). برای استفاده از این روش در ویندوز باید از Internet Connection Sharing و در لینوکس از سرویس هایی به همین نام یا مشابه آن (بستگی به پخش لینوکس) استفاده کنید. برای تنظیم کامپیوترهای دیگر کامپیوتر اصلی حکم یک Router را دارد.
۳. روش بهتر ساختن Router خودتان با استفاده از یک کامپیوتر قدیمی است. (همانطور که گفتم اگر از شبکه های کابلی برای تعداد کمتری کامپیوتر استفاده می کنید و هنوز دستگاه HUB تهیه نکرده اید بهتر است بجای آن یک دستگاه Router بخرید، در غیر این این صورت احتمالا این روش سوم بهترین است). برای این کار به یک کامپیوتر قدیمی (مانند 386) با دو کارت شبکه و یک Floppy Drive و یک نرم افزار رایگان (نرم افزار هفته را بخوانید) نیاز دارید. این سیستم بهتر از یک Router پرقدرت و گرانقیمت عمل می کند و برای کاربرای منزل و حتی شرکت های بزرگتر ایده عال است.

نوشته شده توسط جواد شاهوند در 16:18 | | لینک به این مطلب

انواع کابل در شبکه های کامپيوتری

نوشته شده توسط جواد شاهوند در 16:13 | | لینک به این مطلب

مدیریت شبكه چیست؟

مدیریت شبكه چیست؟

--------------------------------------------------------------------------------


در حالت كلی وقتی صحبت از مدیریت شبكه به میان می‌آید توقع مدیریت و كنترل تمام جنبه‌های شبكه ایجاد می‌شود و همین مساله بنوعی مشكل ساز است.

برخی مجموعه‌های نرم‌افزاری با چنین دیدگاهی سعی می‌كنند كه مولفه‌های بسیار فراوان جدا از هم (كه هر یك بصورت خاصی كار می‌كنند) تشكیل‌دهنده یك شبكه را درك و به روش یكسانی ارائه كنند كه البته دشواری چنین كاری سبب هزینه مالی و زمانی بسیاری می‌شود.

محصولاتی كه روی یك جنبه تمركز می‌كنند معمولا كاراتر و ارزانتر هستند و استفاده از آنها ساده‌تر می‌باشد، ولی سادگی آنها سبب قابلیتهای كمتر آنها می‌شود.

از طرف دیگر، نسخه‌های كوچكتر محصولات پرقابلیت تر تقریبا هر كدام از جنبه‌های مدل ‪ FCAPS‬را، اگر چه با محدودیت‌هایی، با قیمت مناسب می‌پوشانند.

بر اساس مدل ‪ FCAPS‬مدیریت شبكه می‌تواند به پنج دسته كلی تقسیم شود كه عبارتند از:



‪Security Management‬
‪Fault Management‬
‪Configuration Management‬
‪۴ Performance Management‬
‪۵ Accounting Management‬
اهمیت هر كدام از این جنبه‌ها نیز برای مدیران شبكه معمولاگ بر اساس ترتیب ذكر شده است.

محدودیتهایی كه معمولا ابزارهای ارزان‌قیمت تر دارند بخاطر محدودیت كارهایی است كه ‪ SNMP‬می‌تواند انجام دهد.

ابزارهایی كه تنها متكی بر ‪ SNMP‬هستند، تنها می‌توانند بخشهای ‪ Fault Performance‬و از مدل ‪ FCAPS‬را پوشش دهند، بنابراین بسیاری از ابزارهای مدیریت جامع، ‪agent‬های خاص خود را دارند.

بهر حال باید توجه داشت ابزارهایی كه بتوانند تمام جنبه‌های مدل ‪FCAPS‬ را پوشش دهند، محدود و بسیار گرانقیمت هستند.

اغلب محصولات مدیریت شبكه ارزان قیمت تنها ابزارهای مانیتورینگ هستند.

این محصولات اطلاعات شبكه را بصورت طیف وسیعی از روشها از ‪pop-up‬ ‪system-tray‬ها و نمایه‌های چشمك زن گرفته تا گراف‌های پیچیده مقادیر حداقل و حداكثر و آستانه بر حسب زمان نشان می‌دهند.

تعداد محصولات مدیریت شبكه ارزان قیمت بسیار فراوان است.

این محصولات با هر تركیبی از ویژگیهای مختلف كه بتوان تصور كرد، ارائه شده‌اند، كه این ویژگی‌ها را می‌توان در موارد زیر دید.

‪inventory helpers, DNS managers, IP address figurers, switch and‬ ‪router watchers, event alarms, SNMP MIB everything, network‬ .‪diagrammers and packet analyzers‬
كشف شبكه یا ارائه نقشه شبكه یكی از اهداف اولیه ابزارهای مدیریت شبكه به حساب می‌آید.

اغلب محصولات سعی می‌كنند كه نقشه لایه ‪ ۳‬شبكه را با استفاده از ‪،ping‬ ‪ ،SNMP‬و پورتهای ‪ TCP‬و ‪ UDP‬استخراج كنند. ابزارهای پیشرفته‌تر سعی می‌كنند نقشه لایه دو را نیز استخراج كنند، اگرچه اكثرا بدلیل مشكلاتی نظیر یكسان نبودن پیاده‌سازیهای ‪ SNMP‬نمی‌توانند نقشه دقیقی در این مورد ارائه كنند.

بهرحال هیچ ابزاری كه بتواند توپولوژی فیزیكی شبكه را استخراج كند ارائه نشده است.

مساله مهم دیگری كه باید مدنظر قرار داد پشتیبانی محصولات است كه همواره باید در نظر باشد.

ابزارهای مدیریت شبكه ارزانقیمت معمولا از پایگاه داده‌های معمول، ‪ distributed processing‬و ‪ redundancy‬پشتیبانی نمی‌كنند و با شبكه‌های بسیار بزرگ مشكل پیدا می‌كنند.

بهرحال باید توجه داشت كه حتی بودجه ‪ ۱۰‬هزار دلاری برای مدیریت شبكه نشان از محدودیت منابع مالی دارد.

منبع :www.ictna.ir/

البته شکل ها را خودم گذاشتم

نوشته شده توسط جواد شاهوند در 16:10 | | لینک به این مطلب

بررسى فرآيند روتينگ

بررسى فرآيند روتينگ
روتينگ ( Routing ) يکى از مهمترين پتانسيل هاى مورد نياز در يک شبکه به منظور ارتباط با ساير شبکه ها است. در صورتى که امکان روتينگ پروتکل ها وجود نداشته باشد ، کامپيوترها قادر به مبادله داده نخواهند بود.



بسيارى از علاقه مندانى که جديدا" به دنياى گسترده شبکه هاى کامپيوترى پيوسته اند ، فکر مى کنند که به منظور ارتباط با يک ماشين صرفا" به آدرس IP آن نياز است . با مطالعه اين مطلب مشخص خواهد شد که در اين رابطه به اطلاعات بمراتب بيشترى نياز مى باشد. به منظور آشنائى با فرآيند روتينگ ، يک نمونه مثال را مرحله به مرحله دنبال نموده تا با فرآيند روتينگ اطلاعات، بيشتر آشنا شويم .

مثال : برررسى فرآيند روتينگ در دو شبکه LAN
دو شبکه فرضى A و B از طريق يک روتر ( روتر A ) که داراى دو اينترفيس E0 و E1 مى باشد ، به يکديگر متصل شده اند . اينترفيس هاى فوق ، مشابه اينترفيس هاى موجود بر روى کارت هاى شبکه بوده که درون روتر تعبيه شده اند ( RJ-45 ) . کامپيوتر A (موجود بر روى شبکه A ) ، قصد برقرارى يک ارتباط با کامپيوتر B ( موجود بر روى شبکه B) را دارد .



مرحله يک : کامپيوتر ( ميزبان ) A از طريق خط دستور ، فرمان ping 200.200.200.5 را تايپ مى نمايد .



مرحله دوم : پروتکل IP با پروتکل ARP ( اقتباس شده از کلمات Address Resolution protocol ) کار نموده تا مشخص گردد که بسته اطلاعاتى فوق عازم چه شبکه اى است . بدين منظور آدرس IP و Subnet Mask کامپيوتر A بررسى مى گردد. با توجه به اين که درخواست فوق براى يک کامپيوتر راه دور مى باشد ، مى بايست بسته اطلاعاتى براى روتر ( Gateway شبکه A ) ارسال تا وى بتواند آن را به شبکه مورد نظر هدايت نمايد ( در اين مورد خاص شبکه B ) .

مرحله سوم : کامپيوتر A به منظور ارسال بسته اطلاعاتى براى روتر، نيازمند آگاهى از آدرس سخت افزارى اينترفيس روتر است که به شبکه A متصل شده است.( منظور آدرس MAC مربوط به اينترفيس E0 است که شبکه A از طريق آن به روتر متصل شده است ) . به منظور دريافت آدرس MAC ، کامپيوتر A محتويات ARP cache خود را بررسى مى نمايد . ARP Cache ، محلى از حافظه است که آدرس هاى MAC براى چندين ثانيه در آنجا ذخيره مى گردند .

مرحله چهارم : در صورتى که آدرس MAC مربوط به اينترفيس روتر که به شبکه A متصل شده است در ARP Cache کامپيوتر A پيدا نشود ، نشاند هنده اين موضوع است که مدت زمان زيادى از ارتباط وى با روتر گذشته و يا وى قادر به يافتن آدرس MAC مربوط به روتر ( اينترفيسى که به شبکه A متصل شده است ) نمى باشد . با توجه به وضعيت فوق ، کامپيوتر A اقدام به ارسال يک ARP broadcast مى نمايد . پيام ارسالى در پى يافتن پاسخى مناسب بدين سوال است که : " آدرس MAC مربوط به IP:192.168.0.1 چيست ؟ ". پس از ارسال پيام broadcast ، روتر تشخيص مى دهد که آدرس IP مربوط به وى بوده و مى بايست به درخواست فوق ، پاسخ دهد . بدين ترتيب ، روتر با ارسال آدرس MAC مربوط به اينترفيس E0 ، پاسخ لازم را به کامپيوتر A خواهد داد . يکى از دلايلى که در برخى مواقع دستور Ping در اولين مرتبه با Time out مواجه مى شود به موضوع اشاره شده برمى گردد. در چنين مواردى مدت زمان زيادى طول خواهد کشيد که يک ARP ارسال و ماشين مربوطه با ارسال آدرس MAC خود به آن پاسخ دهد ( TTL:Time To Live اولين بسته اطلاعاتى Ping به سر آمده و پيام Time out را خواهيم داشت ) .

مرحله پنجم: روتر با ارسال آدرس IP:192.168.0.1 که به اينترفيس E0 آن نسبت داده شده است ، پاسخ مورد نظر را خواهد داد . بدين ترتيب ، کامپيوتر A تمامى اطلاعات مورد نياز به منظور ارسال يک بسته اطلاعاتى به خارج از شيکه و براى روتر را دارا مى باشد. لايه شبکه به لايه DataLink که بسته اطلاعاتى را توسط Ping ( يک ICMP echo request ) توليد نموده است ، به همراه آدرس سخت افزارى روتر ، اشاره مى نمايد. بسته اطلاعاتى شامل آدرس هاى IP مبداء و مقصد به همراه ICMP echo است که در لايه شبکه مشخص شده است .




مرحله ششم : لايه DataLink مربوط به کامپيوتر A ، يک فريم را توليد که يک بسته اطلاعاتى کپسوله شده به همراه اطلاعات مورد نياز براى ارسال بر روى شبکه محلى است ( شبکه A ).اطلاعات فوق ، شامل آدرس سخت افزارى کامپيوترهاى مبداء و مقصد ( آدرس MAC ) و فيلد نوع است که مسئوليت مشخص نمودن پروتکل لايه شبکه ( مثلا" IPv4 ) و ARP را برعهده دارد. در انتهاى فريم ، در بخش FCS فريم، لايه DataLink يک CRC را مستقر نموده تا ماشين دريافت کننده ( روتر ) قادر به تشخيص سالم بودن بسته اطلاعاتى دريافتى باشد .



مرحله هفتم : لايه DataLink کامپيوتر A ، فريم را در اختيار لايه فيزيکى قرار داده تا صفر و يک هاى موجود در آن به يک سيگنال ديجيتال تبديل و بر روى محيط فيزيکى شبکه ارسال گردد .

مرحله هشتم : سيگنال ارسالى توسط اينترفيس E0 روتر برداشته شده و فريم خوانده مى شود . روتر در ابتدا بخش CRC آن را بررسى و آن را با مقدار CRC اضافه شده به فريم توسط کامپيوتر A مقايسه مى نمايد ( حصول اطمينان از عدم خرابى فريم ) .

مرحله نهم : در ادامه ، آدرس سخت افزارى مقصد ( MAC ) فريم دريافتى، بررسى مى گردد . با توجه به وجود يک مورد آدرس که با آن مطابقت خواهد کرد، فيلد "نوع فريم" بررسى تا نحوه برخورد روتر با بسته اطلاعاتى ، مشخص گردد . IP در "فيلد نوع " بوده و روتر بسته اطلاعاتى را در اختيار پروتکل IP که بر روى روتر در حال اجراء است ، قرار خواهد داد . فريم از وضعيت موجود خارج و بسته اطلاعاتى اوليه اى که توسط کامپيوتر A توليد شده است در بافر روتر ذخيره مى گردد .

مرحله دهم : پروتکل IP بررسى لازم در خصوص آدرس IP مقصد را انجام داده تا مشخص گردد که آيا بسته اطلاعاتى براى روتر است.با توجه به اينکه آدرس IP : 200.200.200.5 ، مى باشد ، روتر با استفاده از جدول روتينگ خود تشخيص خواهد داد که آدرس فوق مربوط به شبکه اى است که از طريق اينترفيس E1 مستقيما" به روتر متصل شده است .



مرحله يازدهم : روتر ، بسته اطلاعاتى را در بافر اينترفيس E1 مستقر نموده و مى بايست يک فريم به منظور ارسال بسته اطلاعاتى براى کامپيوتر مقصد را توليد نمايد. روتر در ابتدا ARP Cache خود را به منظور يافتن آدرس سخت افزارى مربوط به IP:200.200.200.5 ، بررسى مى نمايد . در صورت عدم وجود آدرس فوق در ARP cache ، روتر يک ARP broadcast را از طريق اينترفيس E1 به منظور پيدا نمودن آدرس سخت افزارى فوق ، ارسال مى نمايد .

مرحله دوازدهم : کامپيوتر B با ارائه يک ARP Reply پاسخ لازم در خصوص آدرس سخت افزارى کارت شبکه مربوط به خود را خواهد داد . بدين ترتيب ، اينترفيس E1 روتر تمامى اطلاعات لازم به منظور ارسال بسته اطلاعاتى به مقصد نهائى را دارا مى باشد .

مرحله سيزدهم : فريم توليد شده توسط اينترفيس E1 روتر داراى آدرس سخت افزارى مبداء مربوط به اينترفيس E1 و آدرس سخت افزارى مقصد مربوط به کارت شبکه کامپيوتر B مى باشد.با اين که آدرس هاى سخت افزارى مبداء و مقصد فريم در هر يک از اينترفيس هاى روتر تغيير مى نمايد ، آدرس IP کامپيوترهاى مبداء و مقصد هرگز تغيير پيدا نمى نمايد ( بسته اطلاعاتى هرگز تغيير نکرده و صرفا" فريم تغيير مى نمايد ) .



مرحله چهاردهم : کامپيوتر B ، فريم را دريافت و بررسى لازم در خصوص CRC را انجام مى دهد . در صورتى که ماحصل بررسى انجام شده موفقيت آميز نباشد ، فريم دورانداخته مى شود. در ادامه، آدرس IP مقصد بررسى مى گردد. با توجه به اين که آدرس مقصد با پيکربندى IP انجام شده بر روى کامپيوتر B ، مطابقت مى نمايد ، فيلد پروتکل بسته اطلاعاتى بررسى تا اهداف بسته اطلاعاتى مشخص گردد .

مرحله پا نزدهم:با توجه به اين که بسته اطلاعاتى يک درخواست ICMP echo است، کامپيوتر B يک ICMP echo-reply جديد را که شامل آدرس IP مبداء ( کامپيوتر B ) و آدرس IP مقصد مربوط به کامپيوتر A مى باشد را ايجاد مى نمايد . فرآيند فوق، مجددا" و در جهت معکوس تکرار مى گردد. در اين مرحله ، آدرس سخت افزارى هر يک از دستگاه هاى موجود درطول مسير شناخته شده بوده و هر دستگاه صرفا" نيازمند بررسى ARP cache مربوط به خود به منظور تشخيص آدرس سخت افزارى هر يک از اينترفيس ها مى باشد


منبع :www.itiran.com   البته عکس ها را خودم اضافه کردم

نوشته شده توسط جواد شاهوند در 16:7 | | لینک به این مطلب

روش عيب‌يابي و برخي از ابزارهاي عيب‌يابي TCP/Ip

با افزايش كاربرد كامپيوتر در بخش‌هاي مختلفي نظير سازمان‌ها، شركت‌ها و تقريباً هر بنگاه اقتصادي و بازرگاني، به تدريج بحث به اشتراك‌گذاري منابع و ارتباط متقابل كامپيوترها و در واقع شبكه‌سازي (Networking) در ابعاد و مقياس‌هاي كوچك، متوسط و بزرگ مطرح گرديد. به طوري كه امروزه شبكه‌ها به يك جزء ضروري و مهم براي تمامي دست‌اندركاران رايانه تبديل شده است. به دنبال طراحي، ايجاد و به بهره‌برداري رسيدن شبكه‌ها، خود به خود موضوع نگهداري و پشتيباني و سرپانگهداشتن شبكه موجود مطرح مي‌گردد. در ادامه اين روند، موضوع عيب‌يابي كه شامل تشخيص و تعيين نوع مشكل و رفع آن مي‌شود نيز از مباحث مهم نگهداري شبكه‌ها به شمار مي‌رود. منشأ اين عيب مي‌تواند نرم‌افزاري، سخت‌افزاري، عدم تطابق تجهيزات، ناهماهنگي بين اجزا، تنظيمات نادرست و ... باشد. افراد دست‌اندركار رفع مشكلا‌ت شبكه در تمامي موارد، الزاماً نبايد مدارك علمي چندان سطح بالا‌يي داشته باشند. چون در اين ميدان تجربه و كارآزمودگي حرف اول را مي‌زند و معمولا‌ً داشتن اطلا‌عات اوليه و زيربنايي از شبكه‌ها كافي به نظر مي‌رسد. عيب‌يابي يك شبكه بسيار شبيه حل معما است. اگر يك ايده كلي در مورد نحوه عملكرد شبكه به دست آورده‌ايد و مي‌دانيد كدام بخش‌ها به يكديگر وابسته هستند، معمولا‌ً اشاره به محل مشكل كار چندان دشواري نخواهد بود. در اين گفتار به ذكر مختصر چند روش عيب‌يابي و برخي از ابزارهاي عيب‌يابي TCP/IP و ابزارهاي تحليل شبكه مي‌پردازيم.



 
1 - استفاده از مدل هفت لا‌يه‌اي OSI  
شناخت لا‌يه‌هاي مختلف شبكه و نحوه ارتباط آن‌ها و همچنين دانستن اين كه هر وسيله يا ابزار شبكه در كدام لا‌يه از شبكه قرار گرفته است و با كدام لا‌يه و تجهيزات ديگر مستقيماً در ارتباط است، كمك شاياني به تشخيص و پيدا كردن محل عيب مي‌نمايد. به عنوان مثال، چنانچه Cabling در يك نقطه از شبكه قطع يا شل شده باشد، اين مسئله به لا‌يه فيزيكي مربوط مي‌شود و به عنوان نمونه چك كردن bridge يا روتر كه در لا‌يه‌هاي دوم و سوم قرار گرفته‌اند، هيچ توجيه منطقي ندارد. در جدول 1 لا‌يه‌ها و تجهيزات و مشخصات مرتبط با هر لا‌يه آورده شده است. (مي‌توانيد براي اطلا‌ع بيشتر در مورد لايه‌هاي شبكه به پوستر لايه‌هاي شبكه ضميمه شماره 50 ماهنامه شبكه مراجعه نماييد. فايل اين پوستر در سايت مجله نيز موجود است.)

2 - عيب‌يابي جعبه سياه  
عيب‌يابي جعبه سياه (Black Box)، نحوه مواجه‌شدن با عملكرد يك سيستم پيچيده به عنوان يك سري سيستم‌هاي ساده‌تر است. ايجاد جعبه سياه در بسياري از موارد علمي، كاربر دارد و در عيب‌يابي نيز بسيار مفيد است. در اين روش نگران جزئيات كم‌اهميت نيستيم و محتويات پنهاني يك سيستم اهميت چنداني ندارند و ما بيشتر روي صحت ورودي و خروجي‌هاي هر سيستم تكيه مي‌نماييم. (نمودار1)

 

 
3 - روش تشخيص تغيير در شبكه
ايجاد يا به وجود آمدن هر گونه تغييري در شبكه را بايد به دقت بررسي كرد. به علا‌وه، چنانچه افراد ديگري نيز از شبكه شما استفاده مي‌كنند، بايد در رابطه با تغييراتي كه اخيراً انجام داده‌اند، از آن‌ها پرس‌وجو نماييد. تغيير نيروي كار هم مي‌تواند مشكلا‌تي را در شبكه ايجاد كند؛‌به‌ويژه اين‌كه افراد در ثبت رخدادها و رويدادها معمولا‌ً بي‌نقص عمل نمي‌كنند.



 لا‌يه‌
 كاربرد
 
لا‌يه كاربرد
 Program - to - (N)OS interaction  
 
  لا‌يه ارائه
 فرمت متن، رمزگذاري، تبديل كد
 
لا‌يه جلسه‌ (session)
 تصديق اعتبار، نگهداري، هماهنگي اتصالا‌ت
 
لا‌يه انتقال
 كنترل جريان، ترتيب‌دهي، تصديق
 
لا‌يه شبكه
 آدرس‌دهي منطقي، مسيريابي، (روترها،‌ سوييچ‌هاي لا‌يه 3)  
 
 لا‌يه Data Link
 فريم‌بندي و آدرس‌دهي فيزيكي (bridgeها و سوييچ‌ها)
 
لا‌يه فيزيكي
  تشخيص ولتاژ، سيگنالينگ‌ (cabling ،repeaters ،hubs ،NICS)
 

 


4- مستندسازي
در اختيار داشتن نقشه شبكه بسيار مهم است. معمولا‌ً شبكه‌هاي غيرمستند، مبهم و غيرقابل دركند. مستندات شامل نقشه كاربردي شبكه، مستندات فيزيكي (اطلا‌عات سيم‌كشي‌ها و...)، مستندات منطقي (Logical) كه بخش‌هاي غيرفيزيكي يا مجازي شبكه مانند VLAN را نشان مي‌دهد، برچسب‌گذاري كابل‌ها و دستگاه‌ها(Labeling) و ... را شامل مي‌شود.

همچنين ثبت رويدادها، هنري است كه حل بسياري از مشكلا‌ت بعدي را آسان‌تر مي‌نمايد. مي‌توان در كنار هر دستگاه مانند سرور، سوييچ يا مسيرياب، هر كار انجام گرفته در مورد آن‌ها را به همراه زمان انجام آن يادداشت كرد. در مورد يك شبكه غيرمستند نيز حتي‌المقدور بايد مستندسازي را در هر مرحله‌اي شروع كرد و اين كار به نظم و سرعت در عمل كمك شاياني خواهد كرد.

5 - روش تقسيم‌بندي
تقسيم‌بندي يك شبكه باعث مي‌شود كنترل آن آسان‌تر شود. در واقع منطقه‌بندي مشكل
(Problem Localization) هنگامي است كه شما نمي‌دانيد دقيقاً از كجا به جست‌وجوي مشكل بپردازيد. منطقه‌بندي سريع مشكل، اهميت بسياري دارد؛ زيرا هيچ‌كس نمي‌خواهد صدها دستگاه را به عنوان منبع بالقوه‌اي از مشكلا‌ت بررسي كند.

6- مقايسه با مواردي كه درست عمل مي‌كنند
چنانچه يك نمونه شبكه خراب‌شده داريد، مي‌توانيد با مقايسه آن با نمونه‌اي كه درست كار مي‌كند، روش سريعي براي تشخيص دقيق خرابي پيدا كنيد. اين كار مي‌تواند در مورد مقايسه تركيب‌بندي سرورها و همچنين وسايل سخت‌افزاري نظير مسيرياب‌ها، سوييچ‌ها و ... نيز به كار رود. بررسي مقايسه‌اي زماني خوب عمل مي‌كند كه شما بخواهيد ساير موضوعات شبكه مانند تنظيمات كاربر و تركيب‌بندي‌هاي ايستگاه كاري را نيز بررسي كنيد. گاهي، اگر مشكلي را در يك تركيب‌بندي خاص عيب‌يابي كرده باشيد، مي‌توانيد آن را كاملا‌ً با يك تركيب‌بندي كه عملكرد خوبي دارد، جايگزين كنيد.

7- فرمان‌هاي عيب‌يابي ipconfig و winipcfg در ويندوز
تركيب‌بندي اصلي IP با استفاده از ipconfig (در خانواده ويندوز NT) و winipfg (در خانواده ويندوز 9x) نشان داده مي‌شود. اين دو فرمان به شما امكان مي‌دهند اجازه نامه DHCP خود را تجديد يا ترخيص نماييد يا اين‌كه اطلا‌عات اصلي TCP/IP را نمايش دهيد. در اينجا برخي ديگر از فرمان‌هاي مفيد مختص خانواده ويندوز NT (اكس‌پي‌و2000) ارائه شده‌اند.

●ipconfig‌/‌all: همه اطلا‌عات تركيب‌بندي، نه فقط نشاني IP و نقاب (Mask) شبكه را نشان مي‌دهد.
 
● ipconfig/release: نشاني‌هاي DHCP را براي همه آداپتورهاي شبكه آزاد مي‌كند (براي پرهيز از آزاد‌شدن همهِ نشاني‌ها نام يك آداپتور مشخص را وارد كنيد.)

●‌‌ipconfig/renew: نشاني‌هاي DHCP را براي همه تطبيق‌گرها باز مي‌كند.

●‌‌ipconfig/flushdns: فقط در ويندوز 2000 و بالا‌تر يكباره نهانگاه (Cache) محلي DNS را توسعه مي‌دهد. اگر شماDNS را تغيير داده‌ايد و لا‌زم است آن را تا اين ايستگاه كاري تعميم‌دهيد، سوييچ مزبور بسيار سودمند خواهد بود. (اگر آن را تعميم ندهيد، تغيير مزبور براي لحظه‌اي در ايستگاه شما نشان داده نخواهد شد).

●ipconfig/display dns: فقط در ويندوز 2000 و بالا‌تر نهانگاه DNS را نمايش مي‌دهد.

8 - برخي از فرمان‌هاي اصلي خطايابي در TCP/IP و شبكه  

Arp‌-a: جدول تبديل نشاني Mac به IP را نشان مي‌دهد.
netstat‌-rn: جدول مسيريابي TCP/IP را به طور عددي نشان مي‌دهد.
netstat-an همه سوكت‌هاي TCP/IP مورد استفاده را به طور عددي براي همه كلا‌ينت‌ها و سرورها نشان مي‌دهد.
(Ping Address (Hostname اتصال اصلي IP را با Hostname يا Address بررسي مي‌كند.
مراحل Ping به ترتيب مي‌تواند به اين شكل باشد:

مرحله1‌:Ping كردن نشاني حلقه برگشتي (ping 127.0.0.1)

مرحله2: Ping كردن نشاني IP ايستگاه كاري

مرحله3: Ping كردن نشاني IP يك ايستگاه كاري ديگر در يك بخش

مرحله4: Ping كردن مسيرياب محلي

مرحله5: ping كردن سرور از طريق نشاني IP و نام (Tracert Address (Hostname مسيري كه يك بستك (Packet)  از ايستگاه كاري تا Hostname يا Address طي مي‌كند را رديابي مي‌نمايد. هر مسيريابي كه بستك مزبور از طريق آن به سمت Hostname يا Address مي‌رود را نشان مي‌دهد.

netsh: برنامه سودمند خط فرمان تعاملي كه به شما امكان مي‌دهد تركيب‌بندي لا‌يه شبكه را فهرست كنيد و آن را تغيير دهيد.

net session: همه جلسات شبكه‌سازي ويندوز كه  در اين دستگاه فعال هستند را نشان مي‌دهد (نظير اشتراك‌گذاري و ...)

net share: همه اشتراك‌گذاري‌هاي ويندوز كه در اين دستگاه قابل دسترس هستند را فهرست مي‌كند. همچنين در صورت داشتن Windows Resource Kit با استفاده از فرامين آن مي‌توان در بسياري موارد خطايابي‌هاي دقيقي انجام داد. Ressouce Kit نه تنها منبعي از ابزارها به شمار مي‌آيد،‌بلكه يك منبع عالي به عنوان دانش اضافي ويندوز است.

9 - تحليلگرهاي پروتكل  
استفاده از تحليلگرهاي پروتكل (Protocol Analyzer) در حلا‌جي و تحليل مشكلا‌ت شبكه بسيار سودمند است. يك تحليلگر پروتكل ابزاري  است كه به بستك‌هاي موجود در بخش اشتراكي شبكه گوش مي‌دهد، آن‌ها را از حالت رمز خارج مي‌نمايد و به شكل فرمت قابل خواندن براي انسان تبديل مي‌كند.

دو نوع اصلي از ابزارهاي تحليل پروتكل عبارتند از:
● تحليلگرهاي بستك (Packet analyzer): بستك‌هاي موجود در سيم را مي‌گيرند، آن‌ها را براي تحليل بعدي ذخيره مي‌كنند و چند تحليل آماري را نيز انجام مي‌دهند، ولي اين كار اصلي آن‌ها نيست.

●‌ تحليلگرهاي آماري (Statistical analyzer): كار اصلي آن‌ها جمع‌آوري داده‌هاي كمي است تا بعداً بتوانند درباره روش‌هاي مختلف آماري گزارش دهند، ولي معمولا‌ً بستك‌ها را براي تحليل بعدي، ذخيره نمي‌كنند.
اكثر تحليلگرهاي بستك دو حالت عملياتي دارند:

●‌ ‌حالت Capture/monitor (مانيتور / تسخير)

●‌ ‌حالت Decode (رمزگشايي)

در مرحله تسخير،‌تحليلگر مي‌تواند اطلا‌عات آماري، شامل تعداد خطاهاي هر ايستگاه، تعداد بستك‌هاي دريافتي/‌ارسالي توسط هر ايستگاه، ضريب بهره‌وري از شبكه (ميزان ازدحام در شبكه)  و .... را جمع‌آوري نمايد.

تحليلگرهاي بسيارخوب، با نشان دادن نمودارها به شما امكان مي‌دهند در مرحله تسخير، برحسب ايستگاه فعال‌تر و ساير موارد، عمل مرتب‌سازي را انجام دهيد. در مرحله رمزگشايي، داده‌هاي خاصي كه تحليلگر به دست مي‌آورد را بررسي مي‌كنيد. لا‌زم به ذكر است استفاده از تحليلگر متناسب با نوع شبكه اهميت زيادي دارد. مثلا‌ً اگر يك شبكه FDDI قديمي و بدقلق داشته باشيد، از تحليلگر خاص اترنتي كه اتفاقاً با FDDI هم كار مي‌كند، استفاده نكنيد. بدين منظور بهتر است يك تحليلگر مختص FDDI را به كار ببريد.

نكته جالب توجه در مورد تحليلگرهاي بستك اين است كه اگر داراي كارت شبكه مناسبي باشيد (يعني يك كارت شبكه كنجكاو كه قادر به شنيدن همه بستك‌هاي شبكه است) اين تحليلگرها مي‌توانند در اكثر پي‌سي‌ها اجرا شوند. براي دانلود يك تحليلگر رايگان مي‌توانيد به سايت مراجعه كنيد.

10 - ابزارهاي مديريت شبكه
دست آخر اين‌كه، ابزارهاي مديريت شبكه نيز نقشي مهم در عيب‌يابي و شناسايي شكل شبكه‌ها ايفا مي‌كنند. مديريت شبكه در واقع در بهترين شكل آن، شامل تركيب‌بندي و ديده‌باني دوردست Remote Monitoring) RMON)شبكه مي‌شود كه به شما امكان مي‌دهد علا‌وه بر انجام اصلا‌حات نهايي از راه‌دور، سالم‌بودن شبكه خود را نيز ارزيابي كنيد، جزئيات بيشتر در مورد عيب‌يابي به كمك ابزارهاي مديريت شبكه را به مجالي ديگر واگذار مي‌كنيم.
 
منبع :ماهنامه شبکه

نوشته شده توسط جواد شاهوند در 16:2 | | لینک به این مطلب

استفاده از کابل Cross برای ایجاد شبکه بین دو کامپیوتر

نوشته شده توسط جواد شاهوند در 16:1 | | لینک به این مطلب

آشنایی با مدارک رسمی MICROSOFT

نوشته شده توسط جواد شاهوند در 15:54 | | لینک به این مطلب

مدارک سيسکو چيست؟

همانطور که می‌دانيد شرکت Cisco بعنوان بزرگترين و معتبرترين شرکت در زمينه ساخت، طراحی و اجرای شبکه‌های کامپيوتری و تجهيزات آن در جهان شناخته شده است .
در کشور ما شرکتها و موسسات آموزشی متعددی نسبت به برگزاری اين دوره ها اقدام نموده اند، ولی به علت اينکه شرکت سيسکو در آمريکا قرار دارد و ما هم تحت تحريم قرار داريم، لذا هيچگونه مدرکی از طرف اين شرکت در داخل ايران صادر نمی گردد و دانش آموختگان بايستی پس از گذراندن اين دوره‌ها به يک کشور ديگر ( معمولا شهر دبی ) رفته و در امتحانات آنجا شرکت نموده و مدرک را در آن کشور اخذ نمايند.
می‌توان گفت اولين مدرک رسمی که از سوی شرکت به دانش آموختگان ارائه می‌شود، مدرک CCNA است. هرچند توصيه می‌شود قبل از گذراندن اين دوره بهتر است مدرک +Network يا ICND اخذ شود، ولی اجباری در گذراندن اين مدارک نيست .

- مدرک CCNA

CCNA مخفف کلمه Cisco Certified Network Associate است که به ‌معناي مدرکي است که دارنده آن را شرکت سيسکو به‌عنوان همکار شبکه قبول دارد! اين مدرک به کسانی تعلق می‌گيرد که پس از گذراندن آن توانائی نصب و راه اندازی و خطايابی صد Node در شبکه را داشته باشند. همچنين طی گذراندن اين مدرک فرد مورد نظر با پروتکلهای پايه شبکه مثل IP - IPX - VLAN - GRP آشنائی پيدا می‌کنند ولی نه بطور اخص و حرفه‌ای.


اما سرفصل های آموزشی :

الف) پروتکلهای WAN :
- تشريح عملکرد PPP و بسته‌بندی داده‌ها در روترهای سيسکو
- استفاده از دستورات مناسب جهت نا هنجاريهای شبکه
- تشريح مفاهيم پايه‌ای Frame Relay و ويژيگی‌های آن
- پيکربندی MAPها و LMIها و Subinerface هاست
- تبيين پروتکلهای ISDN و Working Group و Channels و نقاط ارتجاع
- تفاوت ميان سرويسهای مهم WAN مانند LAPB , Frame Relay , DDR , PPP ,HDLC , ISDN/LAPD
- پيکربندی ISDN BRI و مسيريابی DDR
- بررسی مدل مرجع OSI و ارتباطات بين لايه‌ها
- بررسی مدل OSI با TCP/IP
- استفاده از مدل OSI بعنوان خطاياب شبکه (Network Troubleshooting )
- تطابق تجهيزات شبکه با لايه‌های مربوط در OSI
- تشريح نحوه کارکرد لايه‌های شبکه و علت پديد آمدن آنها
- بررسی عملکرد DATA ENCAPSULATION
- بررسی سرويسهای شبکه‌ای ارتباط گرا و سرويسهای بدون ارتباط

ب) Bridging & Switching :
- مفهوم سوئيچينگ در شبکه‌های LAN
- َشرح عملکرد و فوايد VLAN
- بررسی نحوه عملکرد Spanning Tree Protocol روی سوئيچ‌ها
- طراحی و پيکربندی VLAN روی Switches
- طراحی و پيکربندی VTP و Trunking روی سوئيچ‌ها
- تفاوتهای Switches و Bridging
- نصب و پيکربندی يک سوئيچ
- بررسی نحوه کارکرد Spanning Tree Protocol روی سوئيچ‌ها

ج) Network Management و Support :
- بررسی حالتهای احراز هويت روی لينکهای PPP
- مديريت IOS و فايلهای پيکربندی ادوات سخت افزاري
- بارگزاری نرم‌افزار IOS از يک حافظه ROM يا TFTP Server يا Flash Memory
- پشتيبانی و بروزرسانی نرم افزار IOS
- استفاده از CDP برای تعيين همبندی شبکه
- LAN Troubleshooting
- Ethernet Collision ( امکان بروز تداخل در شبکه‌های اترنت )
- توضيح Half Duplex and Full Duplex in Ethernet Network
- تشريح عناصر يک روتر
- پيکربندی رمز عبور، Banner و Prompt و .... روی روتر
- پيکربندی ابتدائی روتر
- استفاده از راهنمای روتر
- استفاده از ICMP برای بررسی ارتباطات شبکه و رفع اشکالات احتمالی

د) پروتکلهای مسيريابی:
- شناخت کامل پروکلهای مسيريابی
- پيکربندی روتر برای ارتباطات VLAN
- پيکربندی آدرسهای IP و IP Troubleshooting
- بررسی عملکرد لايه انتقال و پروتکل TCP/IP و تعامل بين آنها
- تفاوت کلاسهای IP و مفهوم Subnetmask
و ...

- مدرک CCNP

CCNP مخفف عبارت Cisco Certified Network Professional است که معمولا افراد پس از گذراندن CCNA اقدام به گذراندن اين دوره CCNP می‌کنند. تفاوت عمده اين مدرک با CCNA اين است که فرد پس از گذراندن اين دوره توانائی شبکه‌بندی بين Nodeهای بيشتری ( از 100 نود تا 500 نود ) و افزوده شدن تعداد بيشتری پروتکلهای شبکه نظير PPP ,PSTN , ddr,x25 , isl ,isdn ,frame realy , ip , igrp , ipx, apple talk , rip,ip rip , vlsm , bgp , 802.10 , ospf , igrp دارد.


- ساير مدارک سيسکو

CCDA :
يکی ديگر از مدارک سيسکو که در ايران کمتر به آن توجه شده است، مدرک CCDA يا Cicso Certified Design Associate است. اين مدرک روی طراحی و مهندسی شبکه زوم نموده است.

CCDP :
مدرک CCDP يا Cicso Certified Design Professional يعنی طراح حرفه‌ای شبکه مورد تائيد سيسکو.

CCIE :
بعد از گذراندن CCDP، شما می‌توانيد مدرک CCIE را نيز اخذ کنيد. تفاوت اخذ اين مدرک با بقيه مدارک شرکت سيسکو در نحوه برگزاری آزمون آن می‌باشد، چون اين مدرک بصورت عملی و در لابراتوار برگزار می‌شود.

CCIP :
شرکت Cisco جديدا اقدام به برگزاری دوره CCIP نموده است که در آن بصورت محض روی مباحث IP , DSL پرداخته می‌شود.

نوشته شده توسط جواد شاهوند در 15:53 | | لینک به این مطلب

مدرك +Server برای متخصصان سرور

نوشته شده توسط جواد شاهوند در 15:52 | | لینک به این مطلب

دانلود کتابهای مهندسی شبکه MCSE,CCNA,CCNP,MCSA

نوشته شده توسط جواد شاهوند در 15:50 | | لینک به این مطلب

نكات كليدی برای دريافت مدرك CCNA

نكات كليدی برای دريافت مدرك CCNA (بخش اول)
‍CCNA ( برگرفته از  Cisco Certified Network Associate  )  اولين مدرك معتبر شركت سيسكو در رابطه با شبكه است كه می توان آن را پيش نياز ساير مدارك اين شركت در نظر گرفت . علاقه مندان به دريافت اين مدرك می بايست توانمندی خود را در زمينه های متعددی افزايش دهند .
در اين مطلب به برخی نكات كليدی و مهم به منظور افزايش آمادگی علاقه مندان جهت شركت در آزمون های CCNA اشاره می گردد . 

    *

      نكته اول : اولين مزيت bridging ، افزايش پهنای باند قابل دسترس بر روی يك سگمنت شبكه است ، چراكه با اين كار تعداد دستگاه های موجود در يك collision domain كاهش می يابد . از واژه bridging قبل از معرفی هاب و  روتر در شبكه استفاده  می گرديد . بنابراين طبيعی است كه برخی افراد از bridge  به عنوان سوئيچ ياد كنند . در واقع ، سوئيچ و bridge دارای عملكردی مشابه و يكسان می باشند ( كليات كار ) و اين دو دستگاه شبكه ای  collision domain در يك شبكه LAN را كاهش می دهند . به عبارت ديگر ، سوئيچ اساسا" يك bridge چندين پورت با قدرك اداراك بيشتری است .
      دو دستگاه فوق دارای تفاوت هائی نيز می باشند. به عنوان نمونه ، سوئيچ ها به منظور انجام وظايف خود دارای امكانات مديريتی و قابليت های پيشرفته ای می باشند . در اغلب موارد bridge صرفا" دارای يك ، دو  و  يا چهار پورت می باشد.
    *

      نكته دوم : سوئيچ ها ، بريج های چند پورته ای با سرعت بالا می باشند كه دارای قابليت هائی نظير bridge  بوده  و معمولا" دارای تعداد پورت بيشتری می باشند . هر پورت سوئيچ به منزله يك collision domain جداگانه می باشد و پهنای باند مختص به خود را ايجاد می نمايد .
    *

      نكته سوم : از شبكه های محلی مجازی ( VLANs ) ، برای گروه بندی پورت های سوئيچ در يك شبكه محلی استفاده می گردد . برای ارتباط بين شبكه های محلی مجازی به روتينگ نياز می باشد .
    *

      نكته چهارم : شبكه های محلی مجازی زمانی كه توسط يك trunk connection به يكديگر متصل شده باشند ، می توانند بين چندين سوئيچ كار كنند . از ISL ( برگرفته از Inter-Switch linking ) به منظور ايجاد trunk connection بين پورت های Fast Ethernet سوئيچ های سيسكو استفاده می گردد .
    *

      نكته پنجم : سوئيچ ها ، امكان اجرای دستگاه های اترنت در مد full-duplex را فراهم می نمايند . در مد فوق ، دو دستگاه از محيط انتقال اترنت بطور همزمان و انحصاری استفاده می نمايند . بدين ترتيب ، با توجه به عدم بروز collision  كارآئی شبكه افزايش خواهد يافت  .
    *

      نكته ششم :در سوئيچينگ Store-and-forward ، قبل از اتخاذ تصميم در خصوص فورواردينگ ، تمامی فريم خوانده می شود . اين در حالی است كه در سوئيچنگ Cut-through ، صرفا" شش بايت كه مربوط به آدرس MAC است جهت  اتخاذ تصميم در خصوص فورواردينگ خوانده می شود . همچنين ، در سوئيچينگ store-and-forward ، بررسی خطاء انجام می شود . پتانسيل فوق در سوئيچينگ cut-through وجود ندارد و اين فرآيند انجام نمی شود .
    *

      نكته هفتم : مزايای اوليه استفاده از روتر عبارت است از  :
      -  امكان اتصال دو شبكه محلی غيرمشابه
      - ارائه چندين مسير به يك شبكه خاص
      - امكان اتصال شبكه های بزرگ و پيچيده  به يكديگر
    *

      نكته هشتم : در ارتباطات Connection-oriented ، سرويس گيرنده يك ارتباط با استفاده از يكی از پورت های شناخته شده سرويس دهنده برقرار و در ادامه مبادله داده در يك كانال خصوصی انجام می شود . اين نوع ارتباطات از سه مرحله ايجاد ارتباط ، ارسال داده و اتمام ارتباط تشكيل می گردند . اين وضعيت در در ارتباطات Connectionless ، وجود ندارد . TCP نمونه ای از يك پروتكل  Connection-oriented و UDP نمونه ای از يك پروتكل  Connectionless  می باشد . 

    *

      نكته نهم : مدل مرجع OSI از هفت لايه زير تشكيل شده است :
      لايه هفتم : Application
      لايه ششم : Presentation
      لايه پنجم :  Session
      لايه چهارم :  Transport
      لايه سوم :  Network
      لايه دوم :  Data Link
      لايه اول :  Physical
    *

      نكته دهم : كپسوله سازی و يا tunneling ، فريم ها را از يك سيستم شبكه ای دريافت و آنها را درون فريم هائی از ساير سيستم های شبكه قرار می دهد .
    *

      نكته يازدهم : لايه Presentation با نمايش ، رمزنگاری و فشرده سازی داده سرو كار دارد و در آن پروتكل های مختلفی به منظور حمايت از متن ، داده ، صوت ، تصوير ، گرافيك و تصاوير با فرمت هائی نظير ASCII, MIDI, MPEG, GIF  و JPEG  ارائه شده است .
    *

      نكته دوازدهم :  لايه session مسئوليت ايجاد ، مديريت و خاتمه جلسات و يا نشست بين برنامه ها را برعهده دارد . NFS ( برگرفته از   Network file system  ) و  SQL ( برگرفته از structured query language  )  و RPC ( برگرفته از remote procedure calls ) نمونه هائی از پروتكل های لايه Session می باشند .
    *

      نكته سيزدهم : لايه Transport  بين لايه های بالا و پائين مدل مرجع OSI قرار دارد و كنترل جريان داده  را با استفاده از بافرينگ و مالتی پلكسينگ انجام می دهد . لايه فوق سرويس حمل داده end-to-end را  با سمگنت نمودن برنامه های سطح بالا ، ايجاد يك ارتباط end-to-end و ارسال سگمنت ها از  يك هاست به هاست ديگر و حصول اطمينان از حمل معتبر داده ارائه می نمايد.
    *

      نكته چهاردهم :  اولين وظيفه لايه شبكه در مدل مرجع OSI ، تعيين مسير و آدرس دهی منطقی است . روتينگ از جمله عملياتی است كه در اين حوزه انجام می شود .
    *

      نكته پانزدهم : وظايف اوليه لايه Data-Link مدل مرجع OSI عبارت است از :
      -  استقلال عملكرد  لايه های بالاتر لايه OSI از محيط فيزيكی
      -  آدرس دهی فيزيكی سخت افزار
      - ارائه امكاناتی خاص به منظور كنترل جريان داده
      - توليد پيام های خطاء
    *

      نكته شانزدهم : زمانی كه روتر ها در يك ارتباط بين شبكه ای بر روی مسيرهای بهينه به توافق رسيده باشند يك همگرائی ايجاد می گردد .  routing loop به دليل بروز اشكال در روتر ها و  عدم بهنگام سازی صحيح مسيرها در جداول مسيريابی ايجاد و يك بسته اطلاعاتی در يك حلقه روتينگ گرفتار و هرگز به مقصد خود نخواهد رسيد . 
    *

      نكته هفدهم : پروتكل های روتينگ Distance vector ، تمامی جداول روتنيگ خود را برای همسايگان ارسال می نمايند . پروتكل های Link state وضعيت اينترفيس خود را برای هر روتر در ارتباطات بين شبكه ای ارسال می نمايند .
    *

      نكته هجدهم : يكی از مسائل در ارتباط با پروتكل های distance vector ، مشكل "شمارش نامحدود " است كه می توان آن را با استفاده از روش هائی نظير :  split horizon ، route poisoning ، maximum hop count و hold-down timers حذف و يا بهبود داد .
    *

      نكته نوزدهم : TCP يك سرويس مطمئن و connection-oriented را برای برنامه هائی كه از سرويس های آن استفاده می نمايند ،‌ ارائه می كند . استفاده از acknowledgments ، بررسی دنباله اعداد، بررسی خطاء و استفاده از يك روش  handshake سه طرفه نمونه هائی از امكانات اين پروتكل در جهت انجام وظايف خود می باشند . UDP ، يك ارتباط connectionless را ايجاد می نمايد  .
    *

      نكته بيستم : پورت های خوش نام عبارتند از :
      - پورت شماره 21 برای FTP ( برگرفته از  File Transfer Protocol  )
      - پورت شماره 23 برای Telnet
      - پورت شماره 25 برای SMTP ( برگرفته از Simple Mail Transfer Protocol  )
      - پورت شماره 53 برای DNS  ( برگرفته از  Domain Name System  )
      - پورت شماره 69 برای TFTP 
      - پورت های 161 و 162 برای SNMP ( برگرفته از Simple Network Management Protocol )
      - پورت شماره 80 برای HTTP  ( برگرفته از   Hypertext Transfer Protocol   )

نوشته شده توسط جواد شاهوند در 15:49 | | لینک به این مطلب

پهنای باند چیست؟

براي مثال اگر شما صفحه‌اي را با حجم يك كيلوبايت (1kb) يا 1024 بايت دانلود مي‌كنيد، دقيقا به همان مقدار يعني يك كيلوبايت داده را از سرور آن سايت به كامپيوتر خود منتقل كرده‌ايد. اين مقدار براي حجمهاي ديگر به ترتيب زير است: KB Kilo Byte 1,024 MB Mega Byte 1,048,576 GB Giga Byte 1,073,741,824 پهناي باند يا Bandwidth پهناي ارتباطي است كه داده ها از طريق آن و از فضاي وب شما انتقال مي‌يابند. يك بازديد از صفحه 100 كيلوبايتي به همان مقدار پهناي باند مصرف مي‌كند كه 100 بازديد از يك صفحه يك كيلوبايتي. پس هنگام انتخاب يك ميزبان براي سايت خود همواره به اين نكته و پهناي باندي كه لازم داريد، توجه داشته باشيد. چه مقدار نياز داريم؟ تصور كنيد كه سه فرد داريم كه آنها را به ترتيب شماره 1، 2 و 3 مي‌ناميم. هر سه نفر 1،000،000 ريال پول دارند و مي‌خواهند كه آن را در يك فروشگاه خرج كنند. فرد شماره 1، تعداد زيادي وسيله با قيمت پايين براي هر يك از آنها خريداري مي‌كند. فرد شماره 2، تعداد كمتري وسيله نسبت به فرد شماره 1 اما با قيمتهاي متوسطي مي‌خرد. فرد شماره 3، چند وسيله بيشتر نمي‌تواند بخرد. چون براي هر يك قيمت زيادي پرداخت كرده است. اجازه دهيد موارد فوق را براي سايت و پهناي باند شبيه‌سازي كنيم. در نظر بگيريد كه مقدار موجودي هر يك همان پهناي باند است و وسايل خريداري شده اجزاي سايت و يا به عبارت ديگر فايلهاي آن هستند: فرد شماره 1، سايتي با فايلهاي و تصاوير كم حجم طراحي كرده، در نتيجه تعداد بازديد بيشتري از سايتش مي‌تواند صورت بگيرد. فرد شماره 2، داراي سايتي با فايلها و تصاوير كم و بيش حجيمي است كه به همان نسبت تعداد كمتري بازديد باعث مصرف پهناي باند آن سايت مي‌شود. فرد شماره 3، سايت مناسبي طراحي نكرده چون فايلها و صفحات سايتش بسيار حجيم بوده و با تعداد كمي بازديد از سايتش تمام پهناي باندش را مصرف مي‌شود.

معني اين مطالب چيست؟ مثالهاي بالا نشان مي‌دهد كه براي يك پهناي باند ثابت مي‌تواند تعداد بازديدهاي متفاوتي وجود داشته باشد كه با دانلود فايلهاي آن سايت در هر بار بازديد نسبت مستقيم دارد. بدين ترتيب كه يك بار دانلود براي صفحه‌اي با حجم زياد، تعداد بازديد كمتري را براي يك پهناي باند ثابت به دنبال خواهد داشت. مقدار پهناي باندي كه يك سايت مصرف مي‌كند به عوامل متعددي بستگي دارد. شما بايد انواع فايلهايي را كه بازديدكنندگان دانلود مي‌كنند، در نظر بگيريد. پهناي باند نامحدود وقتيكه شما يك پيشنهاد براي انتخاب ميزبان (Host) داريد كه گفته است پهناي باند نامحدودي در اختيارتان قرار مي‌دهد، احتمالا شما به طور دقيق به دنبال اجراي مفهوم پهناي باند نامحدود بر روي سايت خود هستيد. اما هيچ ميزباني نمي‌تواند يك پهناي باند نامحدود را در اختيارتان قرار دهد. اگر واقعا اين امكان‌پذير باشد كه شما بتوانيد پهناي باند نامحدودي براي سايت خود و با اين مبالغ ناچيز تهيه كنيد، به چه علت سايتهاي ياهو و يا مايكروسافت خود را بر روي اين ميزبانها منتقل نمي‌كنند؟ شما متوجه خواهيد شد كه هيچ چيز نامحدودي وجود ندارد. به عبارت ديگر اينگونه تعريفها نسبي هستند و براي دوره‌اي خاص مفهوم دارند. در برابر اين ادعا، يكي از حالات زير را پيش رو داريد:
1- سايت شما در يك بازه داراي پهناي باند نامحدود است: تعداد زيادي از هاستها مشمول اين حالت هستند. اگر سايت شما مثلا كمتر از 5 گيگابايت در ماه را مورد استفاده قرار مي‌دهد، اصطلاحا به شما گفته مي‌شود كه شما پهناي باند نامحدود داريد. ممكن است كه پس از مدتي ترافيك سايت شما بيشتر از بازه مشخص‌شده شود و اين شما را مجبور خواهد كرد كه به هاست ديگري اسباب‌كشي كنيد. به‌عبارت ديگر، نامحدود در بازه مشخص.
2- پهناي باند مشروط: در اين حالت هاست شما به شرطي پهناي باند نامحدود در اختيارتان مي‌گذارد كه شما قبول كنيد فايلهاي صوتي همچون mp3، فشرده مثل zip و tar، اجرايي مانند exe و تعدادي ديگر از فرمتهاي معمول بزرگتر از حد استاندارد يك فايل گرافيكي يا HTML را استفاده نكنيد. بعلاوه، آنها اغلب از شما مي‌خواهند كه تمامي فايلهاي شما روي فضاي خودتان مصرف شوند و شما نمي‌توانيد اجازه دهيد كه سايتهاي ديگر لينك مستقيمي به فايلهاي شما داشته باشند.
3- كذب محض: در برخي از موارد آنها چيزي را تبليغ كرده اند كه هيچگاه توانايي انجام آنرا ندارند. آنها معمولا چيزي شبيه اين را مي‌گويند: «ما نتيجه را تضمين نمي‌كنيم». و در صورت محبوبيت سايتتان شما خواهيد ديد كه پهناي باند مورد نظر برايتان غيرقابل دسترس است. تعداد زيادي از سايتها مفاد قرارداد خود را ناديده گرفته و به راحتي موانعي را در مقابل شما ايجاد مي‌كنند. تعداد اندكي از آنها اين عدم دسترسي را جبران كرده و يا وجه‌تان را به شما مسترد مي‌كنند. البته هاستهاي دسته سوم نمي‌توانند مدت زيادي در رقابت پايدار بمانند مگر اينكه سياست خود را قبل از ازدياد مشتريهايشان عوض كنند. چرا برخي از هاستها تبليغات دروغ انجام مي‌دهند؟ پاسخ اين سوال ساده است. آنها اينكار را مي‌كنند چون رقبايشان هم همين شيوه را در پيش گرفته‌اند. آنها گمان مي‌كنند كه بسياري از كاربرانشان بسيار كمتر از آنچه كه درخواست كرده‌اند، پهناي باند احتياج دارند و به همين دليل هيچگاه متوجه محدوديت پهناي باند خود نخواهند شد.

در حقيقت بسياري از كاربران هم درك درستي از پهناي باند ندارند. آنها تنها مي‌بينند كه يك هاست انها را در پهناي باند محدود كرده و ديگري آنرا به مقدار نامحدود ارائه مي‌دهد و تنها به همين علت دومي را انتخاب مي‌كنند. از زاويه آمار، بيشتر سايتها كمتر از 500 مگابايت و يا به عبارتي 5/0 گيگابايت در ماه پهناي باند مصرف مي‌كنند. در صورتيكه شما mp3 و يا نرم‌افزار خاصي را براي دانلود در سايت خود قرار نداده باشيد، نبايد نگران پهناي باند خود باشيد. و به اين دقت كنيد كه اگر هاستي در تبليغات خود مدعي پهناي باند نامحدود باشد، راه خاصي هم براي اثبات دروغ وي موجود نيست. تفاوت بين پهناي باند (Bandwidth) و انتقال داده (Data Transfer) جيست؟ اين دو مفهوم در بسياري از موارد مترادف هستند و هر دو تصور يكساني را در ما برانگيخته مي‌كنند. بطور خلاصه، هر دو با مقدار داده‌اي كه شما به صورت فايل روي سايتتان آپلود كرده‌ايد بستگي دارند. كاربران سايت شما را مرور كرده و با اين كار فايلها يا ايميلها (در صورتي كه شما از هاستتان براي خدمات ايميل استفاده مي‌كنيد)، را از هاست دانلود مي‌كنند.

و اما تفاوت... بگذاريد با يك مثال مساله را كمي روشن‌تر كنم. تصور كنيد كه يك ارتباط اينترنتي مانند يك لوله آب و داده‌ها همان آب است. پهناي باند در اين مثال به ضخامت لوله اطلاق مي‌شود. هر گاه سخني از انتقال داده نامحدود (Unlimited data transfer) به ميان مي‌آيد، درست به مانند اين است كه به شما بگويند شما مي‌توانيد از يِك لوله باريك هر چقدر كه مي‌خواهيد آب بنوشيد ولي در عمل شما نمي‌توانيد آب زيادي از همچنين ضخامت كمي بنوشيد. در صنعت هاستينگ، پهناي باند بسيار پربهاست و اطلاق عبارت نامحدود درباره آن ممكن نيست. دزدي از پهناي باند در بسياري از سايتها فايلهاي گرافيكي و يا صوتي قرار دارد. فرض كنيد كه وب‌مسترسايت ديگر از تصوير و يا صوت موجود در سايتتان خوشش آمده باشد. ممكن است كه او با بدست آوردن آدرس آن فايل (مثلا با گرفتن properties از آن) همان فايل را در ميان صفحات خود جاي دهد. با اين كار هر بار كه سايت او مرور مي‌شود، فايلهاي مورد نظر از هاست شما به مرورگر فرد بازديدكننده هدايت مي گردد. با اينكار بدون آنكه كسي از سايت شما بازديد كرده باشد، شما مقداري از پهناي باند خود را از دست داده ايد. به اين كار (كه در بسياري از موارد ناآگاهانه صورت مي‌گيرد)، دزدي پهناي باند يا Bandwidth theft مي‌گويند. براي جلوگيري از اين مساله بهترين راه اين است كه از طريق ايميل با وب‌مستر آن سايت تماس گرفته و از وي خواهش كنيد كه فايل مورد نظر را بر روي هاست خود منتقل كرده و آدرس آنرا به هاست خود تغيير دهد.

نوشته شده توسط جواد شاهوند در 13:50 | | لینک به این مطلب

آجاکس AJAX

آژاکس (آجاکس AJAX) سرنام عبارت Asynchronous JavaScript and XML یا XML و جاوا اسکریپت (Java Script) غیر همزمان می‌باشد. که سرو کله آن در دنیای وب و اینترنت حدود یک سال است که پیدا شده. این اندیشه که جاوا اسکریپت را همراه یا بدون XML بکار برد تا قابلیت هایی همچون هوشمندی و تعاملی (Interactive) بودن با به صفحه وب افزود به روزهای نخست تولد وب (WEB) باز می‌گردد. اما اکنون آژاکس یا معادل مایکروسافتی آن Atlas ، بهترین شیوه برای آن است تا برنامه های تحت وب سمت کاربر(Client side) را با کمترین دردسر تولید کنیم.
اگر شما هم به این همه امکانات چه از نوع اوپن سورس آن و چه بسته های تجاری آماده ، علاقه مند هستید در پاسخ باید بگوییم که در بعضی موارد و نه همیشه این بسته های اوپن سورس پاسخگوی شما خواهند بود.
برخی از شناخته شده ترین و خوشنام ترین بسته های نرم افزاری آجاکس همچون : Backbase, JackBe, General Interface و Tibco's امکانات عالی برنامه نویسی را در کنار محیط توسعه پیشرفته در اختیار شما می نهند. ماژول های خبره برای رویدادها و دیباگر های (debug) حرفه ای نیز، بخشی از این امکانات هستند که با کمک آنها شما می‌توانید برنامه های کاملی را برای اجرا در محیط محدود و بسته مرور گر اینترنت خلق کنید.
برنامه هایی در حد و اندازه نرم افزارهای کامپایل شده تحت ویندوز (Native code) .

البته امکانات هیچ یک از مجموعه های اوپن سورس که من بررسی نمودم در قد و قواره بسته های تجاری نبودند اما این بدان معنا نیست که نکات ارزشمند و توانایی های برجسته ای در این مجموعه ها وجود نداشته باشد.

نوشته شده توسط جواد شاهوند در 13:44 | | لینک به این مطلب

آموزش استفاده از Remote Desktop

آيا تا به حال به اين فكر افتاده ايد كه چگونه مي توانيد از منزل و از راه دور سيستم محل شركت و يا اداره خود را به نحوي Remote كنيد كه حتي صفحه دسك تاپ آن را به همان شكل و شمايل بر روي سيستم خود داشته باشيد .به عبارت ديگر آيا مي توان به نحوي از تمامي امكانات آن سيستم بهره برده و به راحتي برنامه هاي آن را از راه دور اجرا كنيد و بر روي سيستم خود ملاحظه كنيد.
شركت مايكروسافت با قراردادن برنامهRemote Desktop در نسخه Xp Profesional خود اين امكان را براي كاربران فراهم ساخته تا از راه دور به كامپيوتري در محل ديگر دسترسي يابند .از طريق اين ويژگي مي توانيد از منزل به كامپيوتر محل كارتان مرتبط شويد و به تمام برنامه ها ، فايلها و منابع موجود در شبكه محل كارتان ، دسترسي يابيد . حتي مي توانيد محيط دسك تاپ سيستم محل كارتان را عينا در كامپيوتر راه دور اجرا نمائيد .

در واقع شيوه كار اين برنامه به نحوي است كه به محض برقراري ارتباط ، سيستم راه دور بطور اتوماتيك Lock مي شود و ماداميكه به آن مرتبط هستيد هيچ شخص ديگري نمي تواند به برنامه ها ، فايلها و ساير منابع آن دسترسي داشته باشد و هنگاميكه به محل كارتان بازگرديد مي توانيد آن را با فشار دادن كليد هاي CTRL+ALT+DEL از حالت Lock خارج نمائيد .

از ديگر ويژگي هاي اين برنامه امكان login در يك زمان بر روي چند سيستم مي باشد - حتي در حالتي كه ديگران نيز به آن سيستم Log in كرده باشند- و كاربر مي تواند برنامه هاي آنها را بطور همزمان اجرا كند.

براي دسترسي به امكانات و اجراي اين برنامه بايد موارد زير را در نظر داشته باشيد :

- يك كامپيوتر كه در آن ويندوز Xp Profesional نصب شده و دسترسي به محيط اينترنت و يا شبكه را دارد .

- يك كامپيوتر ديگر در منزل و يا در همان محل شركت (كه از طريق شبكه داخلي با هم مرتبط هستند) با امكان دسترسي به اينترنت ، مودم

- نام كاربري ، كلمه رمز عبور و مجوزهاي مناسب


برپايي سيستم Remote Desktop :

1- به Control Panel وارد شده و سپس گزينه System را انتخاب كنيد .

2- در برچسب Remote ، گزينه Allow users to connect remotely to this computer را كه در پائين پنجره قرار دارد انتخاب نمائيد .

3- در محيط Remote Desktop ، گزينه Select Remote Users ... را كليك كنيد .

4- در كادر محاوره اي Remote Desktop Users گزينه Add… را انتخاب نمائيد.

5- در كادر محاوره اي Select Users گزينه Locations … را براي تعيين موقعيت جستجو كليك نمائيد .

6- براي تعيين نوع آبجكتها ي مورد نظرتان نيز گزينه Object Types… را كليك نمائيد .

7- هنكامي كه نام مورد نظرتان را يافتيد ان را انتخاب كرده و سپس Ok را كليك نمائيد .در اين مرحله نام مورد نظر شما در ليست كاربران Remote Desktop قرار مي گيرد.



در اين مرحله سيستم مزبور آماده برقراري ارتباط از راه دور مي باشد. بدين منظور:

1- از منوي Start گزينهPrograms و سپس گزينه Accessorise را انتخاب كرده و از قسمت Communications نيز گزينه Remote Desktop Connection را انتخاب كنيد.

2- در اين مرحله پنجره Remote Desktop Connection نمايان مي شود .

3- گزينه Options را انتخاب كنيد تا امكان تعيين گزينه هاي بيشتري براي تان فراهم شود.

4- از قسمت Computer و از منوي پائين افتادني آن نام كامپيوتر مورنظر تان را انتخاب كنيد .و يا گزينه browse more for… را براي دسترسي به نام كامپيوتر هاي ديگر انتخاب كنيد .

5- در كادر هاي user name و password و domain به ترتيب شناسه يا نام كاربري ، رمز عبور و نام domain مربوط به شبكه را وارد كنيد.

6- سپس براي برقراري ارتباط گزينه Connect را انتخاب كنيد..

نوشته شده توسط جواد شاهوند در 18:11 | | لینک به این مطلب

اترنت 10 گیگابیت

با سلام
آشنایی با اترنت 10 گیگابیت

اترنت 10 گیگا بیت توسط IEEE در تاریخ 12 زوئن 2002 به تصویب رسید که با نام IEEEE 802.3ae ارائه شده
برای همکاری در تدوین استاندارد IEEE 802.3ae , بالغ بر 250موسسه گروه دانشگاه و
حمایت کننده مالی به فراخوان جهانی IEEE پاسخ مثبت دادندکه در این فهرست طولانی
نام 80 شرکت عظیم که با پشتوانه اقتصادی فنی /تخصصی بسیار غنی (مثل CISCO-Foundry-SUN-INTEL-3COM)
به چشم می خورد این ائتلاف بزرگ به نام "10gea" یا (10 Giagabit Ethernet Alliance) مشهور شد

ویزگیهای این استاندارد :

1- با نرخ 10Gbps به صورت FULL DUPLEX کار میکند
2- نوع کانال ارتباطی صرفا فیبر نوری است .
3- قابلیت استفاده در انواع شبکه (WAN-RAN-MAN-LAN)
4- سازگاری کامل با استاندارد SONET در سطح لایه فیزیکی که در فواصل بسیار طولانی قادر به انتقال اطلاعات توسط الگوی STS-192C میباشد
5- لایه فیزیکی کاملا ماژولار طراحی شده تا بتواند بدون تغییر در سخت افزار لایه بالایی با LAN و WAN کار کند
6 - به سادگی با سویچهای قبلی کار میکند (1Gbps-100Mbps)

حالا باید ببینیم که چه تفاوتهایی با اترنت گیگابیت دارد :
--------------------------------------------------------------------------
اترنت 10 گیگا بیت \\\ اترنت گیگابیت
--------------------------------------------------------------------------
روش انتقال=> FULL DUPLEX - CSMA/ CD \\\ FULLDUPLEX
--------------------------------------------------------------------------
کانال انتقال=> فیبر نوری \\\ سیم مسی و فیبر نوری
--------------------------------------------------------------------------
حد اکثر طول کانال در LAN => قابل افزایش تا 70 کیلومتر \\\ 5 کیلومتر
--------------------------------------------------------------------------
مشکل تاثیر طول در کارایی => تاثیر ندارد \\\ در حالت CSMA/CD
--------------------------------------------------------------------------
سازگاری با WAN => با SONET/SDH سازگار است\\\ ندارد
--------------------------------------------------------------------------

نوشته شده توسط جواد شاهوند در 15:55 | | لینک به این مطلب

سیستم های ویدئویی تحت شبکه 1

مقدمه :
از مشکلاتی که طراحان سیستمهای امنیتی همیشه در گیر آن بوده اند بحث محدودیتهای کابلی و مسائل مرتبط تصویری با سیستمهای تصویری مانند : وجود نویز ، فواصل طولانی ، محدودیتهای کنترلی ، هوشمند نبودن سیستم و .... می باشد .
محصولات ارائه شده در زمینه انتقال تصاویر انالوگ از طریق خطوط شبکه ای گسترده رایانه ای موجود در سرتاسر دنیا تحولی عظیم در این بخش را برای طراحان سیستم و نیز بحثی جدید در زمینه Networking برای طراحان شبکه به وجود آورده است. از این رو با توجه به جدید بودن این بحث در دنیا و استفاده از امکانات بدست آمده ، باعث شده همه روزه شاهد اختراعات و ابتکارات جدیدی در این مبحث باشیم . گرچه این تکنولوژی به حداقل یک دهه گذشته برمیگردد ولی به علت رویکرد جوامع به سوی استفاده از سیستمهای امنیتی بحث آن گرم شده است.
از این رو باتوجه به گستردگی مباحث و سیستمهای مختلف شبکه های کامپیوتری در جهان این سیستمها ( سیستمهای ویدئویی تحت شبکه ) به تناسب انواع سازگاریها را متناسب طرحها و سولوشنهای مختلف پیدا نموده اند طوریکه قابل استفاده در انواع سیستم های SOHO ISDN Modem, SOHO Router, RAS server, ADSL Modem and VOD (Video-on-demand) system…می باشد.
از مزایای اصلی این سیستم ها قابلیت تبدیل سیستم های تصویری و کنترل محیطی قدیمی با هزینه کم به سیستم های روز ، قابل تنطیم و سازگار بودن با انواع سیستم های روز و نیز انعطاف پذیری بالای آن در کنترل ، نمایش Real Time ، مدیریت ، امنیت بالای انتقال اطلاعات ، ثبات عملکرد طولانی و استیبل بودن سیستم ، ذخیره سازی و دسترسی سریع به اطلاعات و قابل اتصال با انواع سیستم های امنیتی و ایمنی و ... می باشد.
سعی شده بصورت خلاصه به معرفی محصولات مختلفیدر این زمینه جهت آشنایی دوستان پرداخته شود . خوشحال میشوم اگر دوستان کاستی هارا با قبول زحمت تکمیل نمایند تا مجموعه ارائه شده کامل تر گردد.



معرفی محصولات سرویس دهنده ویدئویی تحت شبکه
می توان محصولات ارائه شده مرتبط با این مبحث را به چند بخش زیر دسته بندی نمود:

1. Network Video Server سیستم های سرویس دهنده ویدئویی تحت شبکه
2. Network Camera Server دوربین های تحت شبکه
3. NVR(Network Video Recorder) Server سیستم های ضبط تصویر شبکه ای
4. DVR(Digital Video Recorder) Server سیستمهای ضبط تصویر بصورت دیجیتال
5. Network Media Decoderسیستم صوتی تحت شبکه ای
6. Network DVR Software نرم افزارهای تخصصی ضبط و کنترل تصاویر تحت شبکه
7. AOIP(Always-On-IP Dynamic) Server سیستم نمایش و کنترل از طریقی اینترنت
8. Accessories تجهیزات جانبی و تکمیلی

سیستم های سرویس دهنده ویدئویی تحت شبکه
Network video Server

ویدئو سرورها سیستم هایی هستند که امکان اتصال انواع دوربینهای آنالوگ به شبکه های کامپیوتری و نیز کنترل آنها و ارسال تصاویر گرفته شده بصورت Real Time را دارند. انواع این سیستم های دارای ورودیهای ویدئویی استاندارد BNC و نیز خروجیهای تصویری بصورت آنالوگ برای اتصال به سیستمهای دیگر می باشند.

سیستم های ویدئو سرور می توانند با استفاده از ورودی ها و خروجی های استاندارد (RS232,RS485,DI/DO,…) با سیستمهای جانبی دیگر مانند: انواع مودمها و روترها، کنترل کننده های حرکتی دوربین ها (PTZ) ، سیستمهای ایمنی و... ، ارتباط بر قرار نموده و همرا با ضبط تصاویر از طریق انواع شبکه های کابلی و بیسیم (Wire Less) آنها را بصورت همزمان کنترل و وقایع را ثبت نماید.
اساس کار این سیستمها بر پایه پروتکل TCP/IP و بصورت Web Base می باشد. سیستمهای فوق با استفاده از نرم افزار تخصصی خود می تواند مدیریتی کامل را بر سیستم تصویر برداری ، ضبط ، کنترل ، امنیت و ... در مدیریت به مدیران و کاربران ارائه دهد.لازم به ذکر است این سیستمهای بصورت External امکان اتصال به تجهیزات جانبی ضبط صدا را نیز دارند.
بطور کلی ویدئو سرورها سیستمهای Stand-alone با امکانات شبکه ای جهت کنترل سیستمهای تصویری

هستند.

سیستمهای ویدئو سرور میتوانند بصورت تک کانال یا چند کاناله وحتی بصورت USB کار کنند. لازم به ذکر است سیستمهای ویدئو سرور تفاوتهای زیادی با کارتهای Capture تصویری دارند . گرچه هردو یک عملیات را انجام میدهند ولی سیستم های متفاوتی دارند که توضیح خواهیم داد.

دوربین های تحت شبکه
Network Camera Server
دوربین های تحت شبکه در اصل یک مجموعه کامل از سخت افزارهای مختلف شامل دوربینهای CCD ویدئو سرورIP Base و سیستم کنترل و... می باشند . استفاده از این دوربین ها در طراحی سیستم های نظارت تصویری باعث صرفه جویی در هزینه ها ، زمان اجرا ، کیفیت بهره برداری ، دسترسی آسان و... می شود.

قابلیت اصلی این دوربینها ارسال تصاویر و کنترل سیستم به صورت همزمان یا Real Time از طریق خروجی RG45 و شبکه های LAN می باشد این قابلیت باعث شده دسترسی به اطلاعات تصویی از طریق اینترنت یا حتی سیستم های Dial-up به سادگی امکان پذیر بوده و بدون احتیاج به تجهیزات ویدئویی و شبکه ای گران قیمت از طریق PC های معمولی یا PDA ها تصاویر را مشاهده ، ضبط و سیستم را کنترل نمود .
سری های مختلف این دوربین ها قابلیت اتصال چندین دوربین آنالوگ دیگر را با استفاده از ورودی های استاندارد BNC را داشته و می توانند به صورت همزمان تا 3 دوربین جانبی را پشتیبانی و از طریق شبکه و خروجی استاندارد ویدئویی تصاویر را مشاهده نمود. مشاهده کنترل و ضبط تصاویر نیاز به نرم افزار جانبی نداشته و فقط یک مرورگر اینترنتی استاندارد مانند Internet Explorer یا Netscape ،... کافی می باشد.



وجود درگاههای RS232-RS485-DI/DO-IRIS در سریهای مختلف قابلیت سازگاری با سیستمهای کنترلی PTZ و دید در شب و نیز کنترل سیستمهای ایمنی را به ما میدهد. با استفاده از ویژگی خاص این دوربینها امکان تعریف سیستم هوشمند شناسایی تصویر و ارسال پیام می باشد . این سیستم میتواند با شناسایی حرکت در تصویر یا قسمتهای خاصی از تصویر گرفته شده توسط دوربین آن را شناسایی کرده و به روشهای مختلف آشکار سازی نماید. سیستم امکان ذخیره تصاویر از 15 ثانیه قبل از وقوع اتفاق با توجه به حافظه بافر موجود در دوربینها را دارد. کنترل سیستمهای ایمنی بطور همزمان ( آژیر خطر ، کنترل درب ها ، ارسال E-mail یا SMS و ...) با ضبط تصاویر امکان پذیر خواهد بود.

 

سیستم های ضبط تصویر شبکه ای
NVR (Network Video Recorder) Server

در ادامه بحث قبلی از دستگاههایی که معمولا همراه Video Server ها مورد استفاده قرار می گیرند سیستم های ضبط تصاویر هستند .

این سیستم ها داای تنوع زیاد و قابلیتهای مختلفی میتوانند باشد . نوع قدیمی این سیستم ها که مثل ویدئو های قدیمی عمل میکردند و آنالوگ بود که با عنوان سیستمهای VCR (VIDEO CASSETTE RECORDER) و TLC(Time Lapse Recording ) معروف بودن که امروزه با گسترش سیستمهای دیجیتال دستگاههای Stand Alone یا PC Base که تصاویر را بصورت آنالوگ دریافت نموده و بصوت دیجیتال ذخیره می کنند بسیار مرسوم شذه اند .

این سیستم ها را DVR(Digital Video Recorder) می گویند . لازم به ذکر است این سیستمها دارای کانالهای مختلف 4-6-8-16-32و ... هستند. سیستمهای DVR انقلاب جدیدی در تکنولوژی سیستمهای ضبط تصاویر بصورت آنالوگ ایجاد نموده اند بطوریکه در این سیستم ها کیفیت و شفافیت ذخیره سازی ، سرعت عمل در بازیابی تصاویر، حجم زیاد ، مدت طولانی و قابل برنامه ریزی ذخیره سازی ، ... به وجود آمده است این در حالیست که محصولات جدید گام را فراتر گذاشته و سیستمهایی بر گرفته از تکنولوژی DVR و Networking را تولید کرده است که انواع NVR ها را شامل می شود. این محصولات با حذف کردن تجهیزات ویدئویی جانبی و با استفاده از شبکه های کامپیوتری سرعت و کیفیت انجام عملیات ذخیره سازی بازیابی و از همه مهمتر تعریف سطوح دسترسی به اطلاعات را در اختیار مدیران قرار داده است .

یکی از مزایای مهم سیستم های NVR را میتوان Stand-alone بودن این سیستم ها به معنی بی نیاز به سیستم جانبی کامپیوتری و PC Server ها بر شمرد که باعث پایداری (Stable) سیستم و تضمین انجام وظایف در طولانی مدت میگردد.

سیستم های NVR با توجه به سیستم عامل Linux موجود در سیستم و امکان افزایش فضای ذخیره سازی اطلاعات ، توانایی تهیه پشتیبان اطلاعاتی (backup) از تصاویر بصورت همزمان روی حافظه های نوری مانند CD یا DVD و ... را دارد. در عین حال با بهره گیری از جدید ترین روشهای فشرده سازی تصویر حجم و زمان Recording را افزایش داده و با انجام Encoding خاص امنیت اطلاعات را حفظ می کند.

DVR ها و NVR ها هر دو قابلیت ذخیره سازی اطلاعات را وی هاردهای کامپیوتری دارند و سیستم سخت افزاری آنها قابلیت افزایش ظرفیت تا بیش از چند ترابایت را ایجاد میکنند.

وجود سیستمهای نرم افزاری خاص روی این دستگاههاباعث هوشمند شدن سیستم شده است بطوریکه با شناسایی وقایع تعریف شده امکان انجام ضبط یا فعال کردن سیستمهای ایمنی یا حتی کنترل دربها و آلارم ها و.... را به دنبال داشته است .

معمولا دستگاههای DVR و NVR دارای ورودی و خروجیهای مختلفی مثل ورودی های تصویری بصورت آنالوگ، خروجیهای تصویری آنالوگ و دیجیتال ، پورتهای RS232/248/DO/DI و RJ45 شبکه برای ارتباط با شبکه داخلی و ... می باشند.

Solution های قابل استفاده از این سیستم ها نیز خیلی متنوع میباشند. تعدادی از ای راهحلهای کاربردی رو معرفی می کنم.
سولوشن مخصوص شبکه های محلی LAN Monitoring

Small Scale LAN surveillance application

- Convenience Store, Franchise office, Gas Station
(when small number of video channels installed)

Medium Scale LAN surveillance application

- Office network (when10-20 video channels installed)

Large Scale LAN surveillance application

- Intelligent building, campus, airport, factory, etc.

سولوشن مخصوص شبکه های گسترده WAN Monitoring

Public Static IP from Leased Line
- In case of using Leased Line, you are most likely to use a Public Static IP. Then you assign this static IP to ٌSpecial website so that you can view images not only from the local site but also from remote sites through the Internet.

Static IP from Cable/xDSL Modem
- You can use IPBASE products by using a Static IP from Cable/xDSL modem.

Public Dynamic IP from Cable/xDSL Modem
- You can use Special IPBASE products by using a Dynamic IP from Cable/xDSL modem. In this case, you need to register for an AOIP server, which is provided for supporting Dynamic IP by Seyeon Tech or distributors in your area.

Dial-Out Connection using AOIP Service
- In case of using Dial-out connection from a modem, you use the modem to connect to the Internet by calling your local ISP(Internet Service Provider). At that time your IP base product makes a connection to the Internet, your IP Base product get assigned a dynamic IP from the ISP, which is then used in connection with an AOIP server provided by Special Company or distributors in your area.

Dial-In Connection through PSTN Line
- In case of using a direct connection to the modem installed in a IPBASE product, a remote user makes a call from his PC directly to the IPbase product, and then the ipbase product will receive the call from the remote site so that the remote user can view images from the Web server.

__________________

 

نوشته شده توسط جواد شاهوند در 15:46 | | لینک به این مطلب

با Thin Clientها آشنا شویم

با Thin Clientها آشنا شوید
همچنان كه فناوری اطلا*عات، توسعه بیشتری می*یابد، شبكه*ها نیز به عنوان یكی از پیامدهای این توسعه اهمیت بیشتری می*یابند. اما شبكه*ها فقط منحصر به انواع متداول LANها یا WANها نمی*گردند و شبكه*سازی روش*های دیگری نیز دارد. در این زمینه تجهیزاتی مانند Thin Clientها، Net PCها و یا Network computerها مطرح می*گردند كه هر یك ویژگی*های خاص خود را دارند. در این مقاله قصد داریم به معرفی فناوری مرتبط با Thin Clientها بپردازیم.
شبكه مبتنی بر Thin Client، شبكه*ای مبتنی بر سرور است كه تقریباً كلیه پردازش ها در آن توسط این سرور صورت می*پذیرد. كلیه برنامه*های كاربردی روی سرور اجرا شده و توسط Clientها قابل استفاده هستند. واژه thin در این تكنولوژی، به دلیل حجم پایین پردازشی است كه توسط Clientها صورت می*پذیرد. در مقابلِ این تكنولوژیFat Clientها مطرح می*باشند كه كلیه پردازش*ها را روی Client انجام می*دهند. به طور كلی ساختار شبكه های مبتنی بر Thin Client از یك سرور با قدرت بالا و تعدادی Client تشكیل شده است كه كارآیی محدودی دارند.




Thin Client چیزی جز یک کامپیوتر جمع و جور نیست اما این کامپیوتر برای استفاده به صورت یک پایانه*ی شبکه*ای طراحی و تنظیم شده است. شکل بالا نمونه*ای از یک Thin Client ساخت HP را نشان می*دهد. برای دیدن عکس در ابعاد بزرگتر، روی آن کلیک کنید.

یك شبكه مبتنی بر Thin Client چگونه فعالیت می*كند؟
یك شبكه مبتنی بر این تكنولوژی دارای یك یا چند سرور با ویژگی*های خاص می*باشد. سیستم**عامل این سرورها می*تواند هریك از سیستم عامل*های موجود (با توجه به برنامه*های كاربردی موردنظر) نظیر یونیكس، لینوكس،
(Windows NT Terminal Server Edition (NT TSE ، یا ویندوز باشد. علاوه بر سیستم*عامل، بر روی هر یك از این سرورها یك نرم افزار كنترلی وجود دارد كه فعالیت*های Clientها را كنترل می*نماید. بسیاری از این نرم افزارهای كنترلی به صورت رایگان عرضه می*شوند و معمولا*ً توسط شركت*های نرم*افزاری، تولید می*گردند.

كاربردها
این شبكه*ها در بسیاری از سازمان*ها مورد استفاده قرار می گیرند. اما بزرگترین مشتریان این شبكه*ها، بانك*ها، آژانس*های هوایی و سازمان*هایی هستند كه دارای شعبات متعدد می*باشند. امروزه از این تجهیزات برای تجهیز مدارس نیز استفاده می*شود. با توجه به این نكته كه سیستم*های Thin Client دارای هارددیسك نمی*باشند و امكان download كردن نرم*افزار نیز روی آن*ها وجود ندارد، هیچ نوع ویروسی نمی تواند سیستم را مورد حمله قرار دهد. به این ترتیب امنیت این نوع سیستم ها تضمین شده می*باشد. ارتقاء و نگهداری Thin Clientها بسیار ساده و مقرون به صرفه است. زیرا برای ارتقاء شبكه لازم است فقط سرور مربوطه را upgrade نمود.



مزایا و معایب
مدیریت*پذیری، هزینه* پایین، امكان كنترل ونظارت و مواردی از این دست از جمله مزایای این*گونه از شبكه*ها می*باشند كه در ادامه به آن*ها اشاره خواهیم كرد.

مدیریت پذیری
در این شبكه فقط كافی است سرور مدیریت گردد. جهت رفع نقایص احتمالی نیز سرور اصلی مد نظر می باشد.

امنیت
در سیستم*های Thin Client به علت عدم وجود نقطه ورود به شبكه، عدم امكان download كردن نرم*افزار از اینترنت و نصب آن بر روی Clientها و همچنین عدم وجود هارددیسك، ویروسی شدن سیستم*ها غیرممكن است. همچنین با استفاده از امكانات سیستم مدیریتی و كنترلی موجود بر روی سرورها می*توان دسترسی كاربران را نیز به نحو مطلوب محدود نمود.

كنترل و نظارت
كاربران شبكه*های Thin Client نمی*توانند applicationهای خود را بر روی Client نصب نمایند همچنین قادر به تغییر پیكربندی سیستم نیز نمی*باشند.

هزینه سخت افزار
این تجهیزات از PCها به مراتب ارزان*تر می*باشند. به علاوه به دلیل عدم وجود قطعات جانبی، كمتر دچار خرابی می شوند. نكته قابل ذكر در این در نتیجه هزینه نگهداری این تجهیزات نیز كمتر است.

سهولت ارتقاء
برای اضافه كردن ترمینال*های جدید به شبكه، فقط كافی است از طریق نرم افزار مركزی كه روی سرور نصب شده نرم افزار كنترلی را روی Client جدید نصب نمود. در صورت خرابی نیز می*توان به راحتی ترمینال مورد نظر را از شبكه خارج نمود.

ذخیره انرژی
در مقایسه با كامپیوترهای شخصی، این سیستم*ها انرژی كمتری مصرف می نمایند. در این سیستم*ها به علت پردازش پایین، توان مصرفی آنها در حدود ده الی بیست وات در ساعت می*باشد. در حالی كه توان مصرفی یك كامپیوتر از نوع PC در حدود 250 وات در ساعت می باشد.
اما معایب استفاده از این كلا*ینت*ها را می*توان این*گونه برشمرد:

عدم انعطاف پذیری
در صورتی كه نرم افزاری بر روی سرور نصب نشده باشد، كاربران نمی توانند از آن استفاده نمایند.

وابستگی به سرور
با توجه به ساختار Thin Client، لازم است سرور از امنیت بالایی برخوردار باشد. زیرا در صورت از كار افتادن سرور، شبكه به طور كامل مختل خواهد شد. در نتیجه برای جلوگیری از این امر، روش*های مختلفی جهت ایجاد redundancy نرم افزاری و سخت*افزاری استفاده می شود. مكانیزم*های متفاوت Failover نیز برای پردازنده*ها و پایگاه داده مورد استفاده قرار می*گیرد. امكان Load balancing سخت*افزاری و نرم*افزاری نیز برای این سرورها از موارد ضروری می باشد كه همه این*ها قیمت سرور موردنظر را به شدت بالا* می*برد.

پهنای باند
مانند سایر شبكه های كامپیوتری، پهنای باند این شبكه نیز وابسته به تعداد Clientها می باشد. با توجه به انجام كلیه فرآیندهای پردازشی توسط سرور، ترافیك این شبكه بسیار بالا است. زیرا كلیه دستورات پردازشی باید به سرور منتقل شده و نتایج به Clientها تحویل گردند.

كمبود فضای حافظه
با توجه به ساختار این سیستم ها امكان استفاده از هیچ نوع حافظه جانبی نظیر انواع دیسك ها وجود ندارد.

استفاده از تجهیزات جانبی
در این نوع شبكه*ها تجهیزات جانبی محدود می*باشند. تجهیزاتی نظیر دوربین*های دیجیتال یا تجهیزات تصویری را نمی*توان به این ترمینال*ها متصل نمود. اما در حال حاضر انواعی از ترمینال*ها وجود دارند كه پورت های مختلفی را پشتیبانی می*كنند.

امكانات ضعیف پشتیبانی از مالتی مدیا
برنامه*های كاربردی كه نیاز به پردازش*های تصویری زیاد دارند، روی این شبكه*ها به خوبی كار نمی*كنند. زیرا كلیه فرآیندهای پردازشی توسط سرور مركزی صورت می گیرد كه در صورت تخصیص پردازنده به applicationهای مالتی مدیا، كارآیی شبكه به شدت كاهش می یابد. پیشرفت هایی كه در زمینه تكنولوژی های پردازنده ها و سرورها صورت پذیرفته است، تا حدودی این قبیل مشكلات را كاهش داده است. اما هنوز هم عدم پشتیبانی از این چنین كاربردهایی از نقاط ضعف Thin Clientها محسوب می گردد.

انواع Thin Client
همان*گونه كه اشاره شد این سیستم ها نیز انواع مختلفی دارند كه با توجه به میزان پردازشی كه توسط Clientها و سرور صورت می گیرد از یكدیگر متمایز می*گردند. در ادامه تعدادی از انواع این* سیستم ها معرفی می گردند.

Ultra thin client
در این سیستم كاربر یك صفحه كلید، ماوس و مانیتور دارد. كلیه پردازشی كه توسط Clientها در این سیستم انجام می شود پردازش ورودی صفحه كلید، ماوس و خروجی روی مانیتور می*باشد و سایر پردازش*ها توسط سرور انجام می*شود. ترمینال*های ویژه*ای از این نوع، امكان پردازش كارت*های هوشمند را نیز دارند.

(Windows Based Terminal (WBT
این ترمینال*ها خود بر دو نوع هستند:
1- ترمینال*های استانداردی كه از پروتكل*های (RDP (Remote Desktop Protocol مایكروسافت یا Citrix ICA (Independent Computing Architecture) استفاده می نمایند.

2- ترمینال*هایی كه از سیستم عامل*های نوشته شده توسط یك سازنده خاص (برای Clientهای خاص) استفاده می نمایند. البته ا*ین سیستم*ها از پروتكل*های استاندارد نیز پشتیبانی می*نمایند.
عمده ترین شركت هایی كه این نوع ترمینال*ها را تولید می كنند عبارتند از: NCD ،Wyse ،Neoware و Compaq
در رابطه با این نوع ترمینال*ها نكته قابل ذكر این است كه مجموعه*ای ازPC *ها نیز وجود دارند كه با محدود كردن عملكردشان می*توان از آن*ها در شبكه*های Thin Client استفاده نمود. از این PCها برای مواردی كه كاربردهای چندرسانه*ای در شبكه*ها وجود دارد استفاده می شود. مثلا*ً به این ترتیب پردازش*های تصویری و صوتی توسط خود Client انجام می شود.

Internet terminal
این ترمینال*ها مرورگرهای اینترنت را به طور توكار ضمنی همراه دارند.

Low spec PC solution
به علت عدم نیاز به پردازش توسط Clientها می*توان از PCهایی كه از رده خارج شده*اند نیز برای ایجاد شبكه*هایThin Client استفاده نمود. از این راه*حل بیشتر در مدارس استفاده می شود.

Tubby client
این نوع Clientها در حقیقت PCهایی می*باشند كه خود دارای سیستم عامل و applicationهایی مستقل هستند این PCها با استفاده از یك نرم افزار امكان اتصال به شبكه Thin Client را نیز دارند. به ترتیب می*توانند از application *هایی كه روی سرور موجود می*باشند نیز استفاده نمایند.

Disabled PC solution
در این نوع از ترمینال*ها، از امكانات موجود در PCها نظیر Floppy disk و CD استفاده نمی*شود. و به اصطلا*ح آن*هاDisable می*شوند. البته این روش برای مدت زمان طولانی روش مناسبی محسوب نمی شود. در صورتی كه از این شبكه در كنار یك شبكه استاندارد استفاده شود، راه*حل بهینه*ای است.

Blade PC architecture
از این ساختار برای Clustering یا خوشه*بندی استفاده می*شود. در ساختار Blade PC از PCها به عنوان سرور استفاده می شود. این سرورها در یك محل به صورت متمركز گرد*آوری شده و یك سرور مدیریت، كلیه PCها را كنترل می نماید و ترافیك را میان آن*ها تقسیم می*نماید. كلیه اجزای جانبی نظیر صفحه كلید، ماوس و مانیتور كاربران از طریق یك ارتباط استاندارد (به طور مثال 5-Cat) به PCها متصل می*شود. البته ا*ین راه حل بسیار گران بوده و در عین حال ساختار مدیریتی پیچیده*ای نیز دارد.

پروتكل*های ارتباطی
همان گونه كه ذكر شد، دو پروتكل مطرح در این زمینه وجود دارند.
پروتكل Citrix ICA: پروتكلی است محصول شركت Citrix كه به Clientها این امكان را می*دهد تا با سرور مركزی ارتباط برقرار نمایند. با استفاده از این پروتكل بسیاری از applicationهای تحت ویندوز قابل اجرا هستند.
پروتكل RDP: این پروتكل كه توسط شركت مایكروسافت توسعه داده شده، نیز یك پروتكل ارتباطی است كه امكان برقراری ارتباط میان سرور و Clientها را میسر می سازد.



نتیجه*گیری
در این نوشتار با نوع دیگری از شبكه سازی مبتنی*بر فناوری Thin Clientها آشنا شدید. شبكه*هایی كه تمركز اصلی آن بر روی سرور بوده و كلا*ینت*ها با حداقل توان پردازشی در اختیار كاربران قرار می*گیرند. كاربر عمده این قبیل شبكه*ها، با توجه به معایب و مزایای گفته شده، مكان*هایی نظیر آژانس*های هواپیمایی، بانك*ها و مراكز آموزشی می*باشند.

نوشته شده توسط جواد شاهوند در 13:27 | | لینک به این مطلب

آشنائى با عناصر يک شبکه محلى

 با اين که هر شبکه محلى داراى ويژگى ها و خصايص منحصر بفرد مختص به خود مى باشد که به نوعى آن را از ساير شبکه ها متمايز مى نمايد ، ولى در زمان پياده سازى و اجراى يک شبکه محلى ، اکثر آنان از استانداردها و عناصر شبکه اى مشابه اى استفاده مى نمايند . شبکه هاى WAN نيز داراى وضعيتى مشابه شبکه هاى محلى بوده و امروزه در اين نوع شبکه ها از مجموعه اى گسترده از اتصالات (از Dial-up تا broadband ) استفاده مى گردد که بر پهناى باند ، قيمت و تجهيزات مورد نياز به منظور برپاسازى اين نوع شبکه ها تاثير مى گذارد .
در ادامه به برخى از مهمترين ويژگى ها و عناصر شبکه اى استفاده شده در شبکه هاى محلى اشاره مى گردد :

رسانه هاى انتقال داده در شبکه هاى کامپيوترى ، ستون فقرات يک شبکه را تشکيل مى دهند . هر شبکه کامپيوترى مى تواند با استفاده از رسانه هاى انتقال داده متفاوتى ايجاد گردد . وظيفه رسانه هاى انتقال داده ، حمل اطلاعات در يک شبکه محلى مى باشد . شبکه هاى محلى بدون کابل از اتمسفر به عنوان رسانه انتقال داده استفاده مى نمايند . رسانه هاى انتقال داده عناصر لايه يک و يا فيزيکى شبکه هاى محلى مى باشند .

هر رسانه انتقال داده داراى مزايا و محدوديت هاى مختص به خود مى باشد . طول کابل ، قيمت و نحوه نصب از مهمترين ويژگى هاى رسانه هاى انتقال داده مى باشند .

اترنت ، متداولترين تکنولوژى استفاده شده در شبکه هاى محلى مى باشد که اولين مرتبه با همکارى سه شرکت ديجيتال ، اينتل و زيراکس و با نام DIX ارائه گرديد . در ادامه و در سال 1983 موسسه IEEE با استفاده از DIX ، استاندارد IEEE 802.3 را مطرح نمود . در ادامه استانداردهاى متعددى توسط کميته هاى تخصصى IEEE ارائه گرديد .

قبل از انتخاب يک مدل خاص اترنت براى پياده سازى شبکه ، مى بايست کانکتورهاى مورد نياز براى هر نمونه پياده سازى را بررسى نمود . در اين رابطه لازم است سطح کارآئى مورد نياز در شبکه نيز بررسى گردد .

مشخصه هاى کابل و کانکتورهاى مورد نياز براى پياده سازى هر يک از نمونه هاى اترنت ، متاثر از استانداردهاى ارائه شده توسط انجمن هاى صنايع الکترونيک و مخابرات ( EIA/TIA ) مى باشد .

با توجه به لايه فيزيکى مربوطه ، از اتصالات متفاوتى در شبکه هاى اترنت استفاده مى گردد . کانکتور RJ-45 ( برگرفته از registered jack ) متداولترين نمونه در اين زمينه است .

براى اتصال دستگاه هاى شبکه اى از کابل ها ى متفاوتى استفاده مى گردد . مثلا" براى اتصال سوئيچ به روتر ، سوئيچ به کامپيوتر ، هاب به کامپيوتر از کابل هاى straight-through و براى اتصال سوئيچ به سوئيچ ، سوئيچ به هاب ، هاب به هاب ، روتر به روتر ، کامپيوتر به کامپيوتر و روتر به کامپيوتر از کابل هاى crossover استفاده مى گردد .

Repeater ، يک سيگنال را دريافت و با توليد مجدد آن ، امکان ارسال آن را در مسافت هاى طولانى تر قبل از تضعيف سيگنال فراهم مى نمايد . در زمان توسعه سگمنت هاى يک شبکه محلى، مى بايست از استانداردهاى موجود در اين زمينه استفاده نمود . مثلا" نمى توان بيش از چهار repeater را بين کامپيوترهاى ميزبان در يک شبکه استفاده نمود .

هاب در واقع repeater هاى چند پورته مى باشند . در اغلب موارد تفاوت بين دو دستگاه فوق ، تعداد پورت هاى ارائه شده توسط هر يک از آنان است . با اين که يک repeater معمولا" داراى صرفا" دو پورت مى باشد ، يک هاب مى تواند داراى چهار تا بيست و چهار پورت باشد . در شبکه هاى Ethernet 10BAST-T و يا Ethernet 100BASE-T استفاده از هاب بسيار متداول است . با استفاده از هاب ، توپولوژى شبکه از bus خطى که در آن هر دستگاه مستقيما" به ستون فقرات شبکه متصل مى گردد ، به يک مدل ستاره و يا star تبديل مى شود . داده دريافتى بر روى يک پورت هاب براى ساير پورت هاى متصل شده به يک سگمنت شبکه اى مشابه نيز ارسال مى گردد . ( بجزء پورتى که داده را ارسال نموده است ) . به موازات افزايش دستگاه هاى متصل شده به يک هاب ، احتمال بروز تصادم و يا Collision افزايش مى يابد . يک تصادم زمانى بروز مى نمايد که دو و يا بيش از دو ايستگاه در يک لحظه اقدام به ارسال داده در شبکه نمايند . در صورت بروز يک تصادم ، تمامى داده ها از بين خواهد رفت . هر دستگاه متصل شده به يک سگمنت مشابه شبکه ، عضوى از يک collision domain مى باشند .

در برخى موارد لازم است که يک شبکه بزرگ محلى به سگمنت هاى کوچکتر و قابل مديريتى تقسيم گردد. هدف از انجام اين کار کاهش ترافيک و افزايش حوزه جغرافيائى يک شبکه است . از دستگاه هاى شبکه اى متفاوتى به منظور اتصال سگمنت هاى متفاوت يک شبکه به يکديگر استفاده مى گردد . Bridge ، سوئيچ ، روتر و gateway نمونه هائى در اين زمينه مى باشند . سوئيچ و Bridge در لايه Data Link مدل مرجع OSI کار مى کنند . وظيفه Bridge ، اتخاذ تصميم هوشمندانه در خصوص ارسال يک سيگنال به سگمنت بعدى شبکه است . پس از دريافت يک فريم توسط Bridge ، آدرس MAC مقصد فريم در جدول Bridge بررسى تا مشخص گردد که آيا ضرورتى به فيلترينگ فريم وجود دارد و يا مى بايست فريم به سمت يک سگمنت ديگر هدايت گردد .
فرآيند تصميم گيرى با توجه به مجموعه قوانين زير انجام مى شود :
□ در صورتى که دستگاه مقصد بر روى سگمنت مشابه باشد ، Bridge فريم دريافتى را بلاک و آن را براى ساير سگمنت ها ارسال نمى نمايد . به فرآيند فوق، فيلترينگ مى گويند .
□ در صورتى که دستگاه مقصد بر روى يک سگمنت ديگر باشد ، Bridge آن را به سگمنت مورد نظر فوروارد مى نمايد .
□ در صورتى که آدرس مقصد براى Bridge ناشناخته باشد ، Bridge فريم را براى تمامى سگمنت هاى موجود در شبکه بجزء سگمنتى که فريم را از آن دريافت نموده است ، فوروارد مى نمايد . به فرآيند فوق flooding مى گويند. استفاده مناسب از Bridge ، افزايش کارآئى يک شبکه را به دنبال خواهد داشت .

از سوئيچ در برخى موارد به عنوان يک bridge چند پورته نام برده مى شود . با اين که يک Bridge معمولى ممکن است داراى صرفا" دو پورت باشد که دو سگمنت شبکه را به يکديگر متصل مى نمايد ، سوئيچ مى تواند داراى چندين پورت باشد. همانند bridge ، سوئيچ ها داراى دانش و آگاهى لازم در خصوص بسته هاى اطلاعاتى دريافتى از دستگاه هاى متفاوت موجود در شبکه مى باشند و دانش خود را نيز متناسب با شرايط موجود ارتقاء مى دهند(يادگيرى) . سوئيچ ها از اطلاعات فوق به منظور ايجاد جداول موسوم به جداول فورواردينگ استفاده نموده تا در ادامه قادر به تعيين مقصد داده ارسالى توسط يک کامپيوتر براى کامپيوتر ديگر موجود بر روى شبکه باشند .

با اين که سوئيچ و Bridge داراى شباهت هائى با يکديگر مى باشند ، ولى سوئيچ ها دستگاه هائى بمراتب پيشرفته تر و حرفه اى تر نسبت به Bridge مى باشند . همانگونه که اشاره گرديد ، معيار اتخاذ تصميم Bridge براى فورواردينگ يک فريم ، آدرس MAC يک فريم است . سوئيچ داراى چندين پورت است که سگمنت هاى متفاوت شبکه به آنان متصل مى گردند . سوئيچ ها با توجه به تاثير محسوس آنان در افزايش کارآئى شبکه از طريق بهبود سرعت و پهناى باند ، به يکى از متداولترين دستگاه هاى ارتباطى شبکه تبديل شده اند .

سوئيچينگ ، يک فن آورى است که کاهش ترافيک و افزايش پهناى باند در شبکه هاى محلى اترنت را به دنبال خواهد داشت . سوئيچ ها را بسادگى مى توان جايگزين هاب نمود ، چراکه آنان از زيرساخت سيستم کابل موجود مى توانند استفاده نمايند .

سوئيچ ها داراى سرعتى بمراتب بيشتر از Bridge بوده و قادر به حمايت از پتانسيل هاى جديدى نظير شبکه هاى VLAN مى باشند .

يک سوئيچ اترنت داراى مزاياى متعددى است ، مثلا" به کاربران متعددى اجازه داده مى شود که به صورت موازى از طريق مدارات مجازى و سگمنت هاى اختصاصى شبکه در يک محيط عارى از تصادم ، با يکديگر ارتباط برقرار نمايند . بدين ترتيب از پهناى باند موجود به صورت بهينه استفاده مى گردد .

روتر مسئوليت روتينگ بسته هاى اطلاعاتى از مبداء به مقصد را در شبکه هاى محلى برعهده دارد و امکان ارتباطى را براى شبکه هاى WAN فراهم مى نمايد . در شبکه هاى محلى روتر شامل broadcast بوده و سرويس هاى ترجمه آدرس محلى نظير ARP و RARP را ارائه مى نمايد و مى تواند با استفاده از يک ساختار Subnetwork ، شبکه را سگمنت نمايد . به منظور ارائه سرويس هاى فوق ، روتر مى بايست به LAN و WAN متصل باشد .

وظيفه کارت شبکه ( NIC ) ، اتصال يک دستگاه ميزبان به محيط انتقال شبکه است . کارت شبکه يک برد مدار چاپى است که درون يکى از اسلات هاى موجود بر روى برداصلى کامپيوتر و يا دستگاه جانبى يک کامپيوتر نصب مى گردد . اندازه کارت شبکه بر روى کامپيوترهاى Laptop و يا notebook به اندازه يک کارت اعتبارى است .

کارت هاى شبکه به منزله دستگاه هاى لايه دوم مدل مرجع OSI مى باشند ، چراکه هر کارت شبکه به همراه خود يک کد منحصربفرد را که به آن آدرس MAC مى گويند ، ارائه مى نمايد . از آدرس فوق به منظور کنترل مبادله اطلاعات در شبکه استفاده مى گردد .

هر کارت شبکه داراى کانکتورهائى است که امکان اتصال آن را به محيط انتقال فراهم مى نمايد . در برخى موارد ممکن است نوع کانکتور موجود بر روى يک کارت شبکه با نوع رسانه انتقال داده مطابقت ننمايد . مثلا" در روترهاى سيسکو مدل 2500 از يک کانکتور AUI استفاده شده است و براى اتصال به يک کابل اترنت UTP cat 5 مى بايست از يک transmitter/receiver که به آنان transceiver گفته مى شود ، استفاده گردد . transceiver ، مسئوليت تبديل يک نوع سيگنال و يا کانکتور به نوع ديگرى را برعهده دارد . به عنوان نمونه ، يک transceiver مى تواند يک اينترفيس AUI پانزده پين را به يک RJ-45 jack متصل نمايد . transceiver ، به عنوان يک دستگاه لايه يک شبکه ايفاى وظيفه مى نمايد چراکه صرفا" با بيت ها کار مى نمايد و داراى اطلاعات آدرس دهى خاصى و يا پروتکل هاى لايه بالاتر نمى باشد .

در شبکه هاى LAN و يا WAN ، تعدادى کامپيوتر با يکديگر متصل شده تا سرويس هاى متفاوتى را در اختيار کاربران قرار دهند . براى انجام اين کار ، کامپيوترهاى موجود در شبکه داراى وظايف و يا مسئوليت هاى مختص به خود مى باشند . در شبکه هاى نظير به نظير ( peer-to-peer ) ، کامپيوترهاى موجود در شبکه داراى وظايف و مسئوليت هاى معادل و مشابه مى باشد( هم تراز ) . هر کامپيوتر مى تواند هم به عنوان يک سرويس گيرنده و هم به عنوان يک سرويس دهنده در شبکه ايفاى وظيفه نمايد . مثلا" کامپيوتر A مى تواند درخواست يک فايل را از کامپيوتر B نمايد . در اين وضعيت ، کامپيوتر A به عنوان يک سرويس گيرنده ايفاى وظيفه نموده و کامپيوتر B به عنوان يک سرويس دهنده رفتار مى نمايد . در ادامه ، کامپيوترهاى A و B مى توانند داراى وظايف معکوسى نسبت به وضعيت قبل باشند .

در شبکه هاى نظير به نظير ، هر يک از کاربران کنترل منابع خود را برعهده داشته و مى توانند به منظور به اشتراک گذاشتن فايل هائى خاص با ساير کاربران ، خود راسا" تصميم گيرى نمايند . کاربران همچنين ممکن است ، به منظور دستيابى به منابع اشتراک گذاشته شده ، ساير کاربران را ملزم به درج رمز عبور نمايند . با توجه به اين که تمامى تصميمات فوق توسط هر يک از کاربران و به صورت جداگانه اتخاذ مى گردد ، عملا" يک نقطه مرکزى براى کنترل و يا مديريت شبکه وجود نخواهد داشت . در اين نوع شبکه ها هر يک از کاربران مسئوليت گرفتن Backup از داده هاى موجود بر روى سيستم خود را برعهده داشته تا در صورت بروز مشکل بتوانند از آنان به منظور بازيافت اطلاعات استفاده نمايند . زمانى که يک کامپيوتر به عنوان يک سرويس دهنده در شبکه ايفاى وظيفه مى نمايد ، سرعت و کارآئى آن متناسب با حجم درخواست هاى دريافتى کاهش خواهد يافت .

نصب و عملکرد شبکه هاى Peer-to-Peer ساده بوده و در اين رابطه به تجهيزات اضافه اى به جزء نصب يک سيستم عامل مناسب بر روى هر يک از کامپيوترها، نياز نخواهد بود . با توجه به اين که کاربران مسئوليت کنترل منابع خود را برعهده دارند ، به مديريت متمرکز و اختصاصى نياز نمى باشد .

به موازات رشد شبکه هاى Peer-To-Peer ، تعريف ارتباط بين کامپيوترهاى موجود در شبکه و ايجاد يک هماهنگى منسجم بين آنان ، به يک مشکل اساسى در شبکه تبديل مى شود . اين نوع شبکه ها تا زمانى که تعداد کامپيوترهاى موجود در شبکه کمتر از ده عدد باشد ، به خوبى کار مى کنند و همزمان با افزايش تعداد کامپيوترهاى موجود در شبکه ، کارآئى شبکه به شدت کاهش پيدا خواهد کرد . با توجه به اين که کاربران مسئوليت کنترل دستيابى به منابع موجود بر روى کامپيوترهاى خود را برعهده دارند ، امنيت در اين نوع شبکه ها داراى چالش هاى جدى مختص به خود مى باشد .

در شبکه هاى سرويس گيرنده - سرويس دهنده ، سرويس هاى شبکه بر روى يک کامپيوتر اختصاصى با نام سرويس دهنده قرار گرفته و سرويس دهنده مسئول پاسخگوئى به درخواست سرويس گيرندگان مى باشد . سرويس دهنده يک کامپيوتر مرکزى است که به صورت مستمر به منظور پاسخگوئى به درخواست سرويس گيرندگان براى فايل ، چاپ ، برنامه ها و ساير سرويس ها در دسترس مى باشد .

سرويس دهندگان در شبکه هاى سرويس گيرنده - سرويس دهنده بگونه اى طراحى شده اند که بتوانند بطور همزمان به درخواست هاى سرويس گيرندگان متعددى پاسخ دهند . قبل از اين که يک سرويس گيرنده قادر به دستيابى منابع موجود بر روى سرويس دهنده باشد ، مى بايست سرويس گيرنده شناسائى و به منظور استفاده از منبع درخواستى تائيد گردد . بدين منظور به هر يک از سرويس گيرندگان يک account name و رمز عبور نسبت داده مى شود . بدين ترتيب بر خلاف شبکه هاى Peer-To-Peer ، امنيت و کنترل دستيابى متمرکز و توسط مديران شبکه پياده سازى و مديريت مى گردد . هزينه برپاسازى و مديريت شبکه هاى سرويس گيرنده - سرويس دهنده نسبت به شبکه هاى Peer-to-Peer بمراتب بيشتر است و تمرکز سرويس ها در يک نقطه مى تواند آسيب پذيرى سيستم را افزايش داده و ارائه سرويس هاى online را دچار مشکل نمايد . بدين منظور لازم است از راهکارهائى منطقى به منظور برخورد با مسائل غيرقابل پيش بينى و استمرار ارائه خدمات توسط سرويس دهنده استفاده گردد .

نوشته شده توسط جواد شاهوند در 13:22 | | لینک به این مطلب

آشنایی با ابزار IPTables

در این مقاله به معرفی يكي از ابزارهاي قدرتمند تصفيه كننده بسته*ها به* نام IPtables مي*پردازيم. IPtables به عنوان نسل چهارم پياده*سازي شده از ابزارهاي تصفيه كننده سيستم*عامل لينوكس معرفي مي*شود. این مقاله شامل بخش*های زیر است.

• معرفي سيستم* تصفيه كننده بسته*ها
• تاريخچه حفاظ*های سيستم*عامل لينوکس
• زنجيرها، جداول* و قوانين IPtables
• قوانين IPtables
• پياده*سازی چند سياست ساده امنيتی
• راه*اندازي و استفاده از IPtables
• جهت مطالعه بيشتر
• مراجع

يك سيستم تصفيه*كننده بسته*ها (همان*طور كه از نامش پيداست) براي كنترل ترافيك ورودي و خروجي بسته*ها بين يك شبكه داخلي و شبكه خارجي به* كار مي*رود. به كمك يك تصفيه كننده مي*توان:

1. دسترسي به اينترنت از طريق بعضي ماشين*ها را محدود كرد.
2. ترافيك ناخواسته و نيز پويش*هاي انجام شده از خارج را مسدود كرد.
3. از امكان ترجمه آدرس*هاي شبكه استفاده كرد. به كمك NAT مي*توان تعداد زيادي از كامپيوترهاي داخل شبكه را تنها با داشتن يك آدرس IP معتبر به شبكه خارجي متصل نمود.
4. استفاده از کارگزار Proxy را از ديد کاربران شفاف نمود(Redirect).

سيستم*های تصفيه کننده بسته*ها به* طور کلی به دو نوع تقسيم می*شوند:

1. سيستم*های بدون حالت : در اين سيستم*ها تصفيه هر بسته مستقل از بسته*های ديگر و اينکه متعلق به چه ارتباطی است، صورت می*گيرد.
2. سيستم*های مبتنی بر حالت: در اين سيستم*ها حافظه جداگانه*ای تاريخچه هر ارتباطی که به آن وارد، خارج يا از آن می*گذرد، را ثبت می*کند. اين ويژگی برای پيکربندی مؤثر FTP، DNS و ساير سرويس*های شبکه ضروری می*باشد. عموماً حفاظ*های مبتنی بر حالت از نمونه*های بدون حالت امن*تر می*باشند. چرا که با استفاده از آنها می*توان مجموعه قوانين سخت*تری برای کنترل ترافيک اعمال کرد.

محصولات ارائه شده تحت عنوان تصفيه کننده بسته*ها چهار نسل تکامل را پشت سر گذاشته*اند:

• IPFW: اين نسخه يادآور اولين پشتيبانی لينوکس از سرويس تصفيه بسته*ها می*باشد که در داخل هسته 1.2 لينوکس تعبيه شده بود. IPFW ويژگي*های ابتدايی مورد انتظار از يک حفاظ را پياده*سازی کرده بود. بعضی از محدوديت*های آن عبارت بودند از:
  • عمل تصفيه را تنها روی يک پورت انجام می*داد
  • Mason از آن پشتيبانی نمی*کرد
  • در محيط*های توزيع شده قابل استفاده نبود.
  • مبتنی بر حالت نبود.
• IPFWADM: در هسته 2.0 لينوکس قرار داده شده است. تصفيه بسته*ها را از روی آدرس درگاه*های مبداء و مقصد انجام می*داد و امکان مخفی*سازی آدرس*های IP (ترجمه چند به يک) در آن قرار داده شده بود. با اين وجود يک حفاظ مبتنی بر حالت نبود و تنها از قراردادهای TCP، UDP و ICMP پشتيبانی می*کرد.
• IPChains: در هسته 2.2 لينوکس قرار داده شده بود. با وجود اينکه يک حفاظ مبتنی بر حالت نبود، ولی از زيرنوع*های ICMP و ساير قراردادها )علاوه بر از TCP، UDP و ICMP) پشتيبانی می*کرد.
• از هسته 2.4 لينوکس به بعد IPtables به عنوان حفاظ پيش فرض لينوکس همراه با آن نصب می*شد. IPtables نسبت به حفاظ*های نسل قبل خود چند تفاوت مهم داشت:
  • يک حفاظ مبتنی بر حالت بود.
  • از قرارداد اينترنت نسخه 6.0 پشتيبانی می*کرد.
  • از طراحی پیمانه*ای برخوردار بود.
  • علاوه بر جهش*های فوق، با نسخه*های دو نسل قبل خود، يعنی IPFWADM و ipchains مطابقت داشت. (Backward Compatibility)

جدول و زنجیر دو مفهوم اساسی در IPtables هستند که شناخت اين ابزار و نحوه عملکرد آن و نوشتن قوانين مورد نظر مستلزم درک کامل اين مفاهيم می*باشد.
در IPtables جدول*ها مجموعه*ای از قوانين مرتبط را در برمی*گيرند. اين قوانين در ساختار ديگری تحت عنوان زنجیرها معنی پيدا می*کنند. زنجیرها انواع نحوه عبور بسته*ها از حفاظ را بيان می*کنند. بسته به اينکه هر بسته در ورود، خروج يا عبور از حفاظ چه مسيری را بپيمايد، بخشی از قوانين جدول*ها روی آن اعمال می*شود. نحوه اعمال قوانين جدول به اين صورت است که بسته*های رسيده با تک تک قوانين آن مقايسه می*شوند و اولين قانونی که با شرايط بسته مطابق باشد، در مورد آن اعمال می*شود. در غير اين صورت سياست پيش فرض حفاظ روی آن اعمال می شود. (قبوليا دور ریختن )
سه جدول عمده مورد استفاده در IPtables عبارتند از:

1. جدول تصفيه :
   
   اين جدول تصفیه در واقع مجموعه قوانين مربوط به تصفيه بسته*ها را در برمی*گيرد. عمل تصميم*گيری درباره*ی تصفيه بسته*ها روی ويژگي*های خاصی از آنها صورت می*گيرد که در ادامه به*صورت کامل*تر به آنها اشاره خواهيم کرد. بايد به نحوی به حفاظ فهماند چه تصميمی درباره*ی بسته*هايی که در يک قانون صدق می*کنند، اتخاذ کند. مهمترين اعمال انجام شده روی يک بسته عبارتند از قبول و دور ريختن.
2. جدول ترجمه آدرس:
   
   جدول ترجمه*ی آدرس برای ترجمه*ی آدرس بسته*ها به*کار می*رود که اصطلاحاً به آن NAT گفته می*شود. بسياري از شبكه*هاي داخلي سازمان*ها و حتي بسياري از فراهم *آورندگان خدمات اينترنتي تنها از يك IP معتبر براي اتصال مجموعه وسيعي از كامپيوترهاي خود به شبكه اينترنت استفاده مي*كنند. مكانيسمي كه اين امكان را براي آنها فراهم مي*آورد، NAT مي*باشد. برای استفاده از NAT حداقل به يک آدرس IP معتبر احتياج است که اين آدرس از طريق ISP به صورت پويا يا استيا به شبکه اختصاص داده می*شود. اين آدرس به عنوان آدرس خارجی دروازه شبکه مورد استفاده قرار می*گيرد و برای آدرس داخلی دروازه و ساير گره*های شبکه از مجموعه آدرس*های رزرو شده برای شبکه*های داخلی استفاده می*شود. به اين ترتيب آدرس همه بسته*های ايجاد شده در ماشين*های داخلی که به مقصدی خارج از شبکه محلی فرستاده می*شوند، در دروازه (که حفاظ روی آن در حال اجراست) ترجمه می*شوند. ترجمه*ی آدرس*ها به اين صورت است که جايگزين آدرس مقصد و شماره درگاه مورد استفاده در بسته اوليه آدرس IP معتبر دروازه و شماره درگاه جديد تخصيص داده شده می*شوند. در واقع ماشين خارجی يک بسته از جانب دروازه دريافت می*کند و بسته*های برگشتی را نيز به همان آدرس IP معتبر برمی*گرداند. اطلاعات ترجمه آدرس در يک جدول مراجعه در دروازه ذخيره می*شود تا بتوان با استفاده از آن، بسته*های برگشتی را به ماشين داخلی مورد نظر (که ايجاد کننده*ی اصلی بسته بوده) هدايت کرد. شکل زير نمونه*ای از پيکربندی شبکه داخلی برای اتصال به اينترنت با استفاده از NAT را نشان می*دهد:

اين کار در نهايت منجر به تغيير آدرس مبداء يا مقصد بسته*های گذرنده از حفاظ يا ايجاد شده در آن می*گردد. اعمال انجام شده روی بسته*ها در اين جدول عبارتند از:

• DNAT: اين گزينه برای تغيير آدرس مقصد بسته به*کار می*رود. اين نوع ترجمه*ی آدرس زمانی مفيد خواهد بود که با در اختيار داشتن تنها يک IP مجاز، بخواهيم بسته*های دريافت شده از شبکه اينترنت را به DMZ يا يک ماشين از شبکه داخلی خود بفرستيم.
• SNAT: عموماً برای تغيير آدرس مبداء بسته*ها به*کار می*رود. از اين نوع ترجمه برای مخفی کردن آدرس ماشين*های شبکه داخلی يا DMZ استفاده می*شود. مثلاً يک زمانی که آدرس بسته*های گذرنده از حفاظ از داخل شبکه به آدرس IP معتبر حفاظ ترجمه می*شود و از آن خارج می*شود نمونه*ای از این مورد کاربرد است. بديهی است که برای هدايت بسته*های برگشتی به گره*های مبداء، بايد از يک جدول مراجعه کمک گرفت.
• MASQUERADE: مورد استفاده اين گزينه تقريباً مشابه SNAT می*باشد. با اين تفاوت که به*جای ترجمه آدرس*ها به يک آدرس ثابت و مشخص، آدرس مورد نظر بايد محاسبه شود. در صورتي که يک فراهم*کننده خدمات اينترنتی هستيد و با استفاده از DHCP و به*صورت پويا به ماشين*های کاربران خود آدرس IP اختصاص می*دهيد، ناگزير به استفاده از اين نوع ترجمه*ی آدرس هستيد.

3. جدول Mangle:
جدول Mangle عموماً برای تغيير ويژگي*های خاصی از بسته*ها، از جمله TTL، ToS و يا برچسب زدن روی آنها به*کار می*رود. شکل زير ساختار کلی زنجیرهای استاندارد تعريف شده در IPtables و نحوه پيمايش بسته*ها از مسيرهای مختلف را نشان می*دهد.



همانطور که از شکل پيداست، يک بسته ممکن است به سه صورت مختلف از زنجیرهای IPtables عبور کند.

1. بسته*هايی که آدرس مقصد آنها ماشينی است که حفاظ روی آن نصب شده است.
   
   
   قبل از اينکه چنين بسته*ای از حفاظ عبور داده شود، از زنجیرهای زير می*گذرد و قوانين جداول زير روی آنها قابل اعمال است:

2. بسته*هايی که در ماشين محلی توليد می*شوند
قبل از اينکه چنين بسته*ای بتواند ماشين محلی را ترک کند، از زنجیرهای زير می*گذرد و قوانين جداول زير روی آنها قابل اعمال است:







3. بسته*هايی که از حفاظ عبور می*کنند
قبل از اينکه چنين بسته*ای بتواند از کارت واسط شبکه ورودی به کارت واسط شبکه خروجی منتقل شود، از زنجیرهای زير می*گذرد و قوانين جداول* زير روی آنها قابل اعمال است:





قوانين ابزار اصلی کار با هر حفاظی را تشکيل می*دهند. پيچيده*ترين و پرهزينه*ترين سياست*های امنيتی يک سازمان در نهايت برای تصفيه بسته*ها به قوانين نه چندان پيچيده حفاظ تبديل می*شوند. فرمت کلی دستورات IPtables را می*توان به صورت زير بيان کرد:

گزينه –t برای مشخص کردن جدول حاوی دستور به*کار می*رود.
Packet-Criteria-Specification برای تعيين ويژگي*های بسته مورد استفاده قرار می*گيرد. target بيانگر عملی است که در صورت انطباق بسته با قانون مورد نظر، بايد روی آن انجام شود. در ادامه این گزارش فرمت کلی این دستور توضیح داده می*شود.

1. دستورات مهم و پایه*ای برای تغییر قوانین موجود در IPtable

• اضافه کردن قوانين

دستور فوق يک قانون جديد قبل از قانون با شماره rulenum به زنجیر chain اضافه می*کند. اين قانون به صورت پيش*فرض به ابتدای قوانين اضافه می*شود.

• اضافه کردن قوانين (به انتهای قوانين قبلی)

• جايگزينی قوانين

• حذف قوانين

• حذف دسته جمعی قوانين

• ايجاد يک زنجیر جديد

• حذف زنجیر جديد ايجاد شده

• مشاهده قوانين تعريف شده در يک زنجیر

در دستورات IPtables شماره اولين قانون 1 منظور می*شود.

2. پارامترهای مهم دستورات IPtable
بعضی از ويژگي*های بسته*ها که برای تعيين انطباق آنها در دستورات IPtables بکار می*رود، عبارتند از:

• قرارداد ارتباطی: قرارداد استفاده شده در انتقال بسته(TCP، UDP، ICMP، ...). برای مشخص کردن اين ويژگی از گزينه –p استفاده می*شود.
• آدرس مبداء: آدرس مبداء بسته را مشخص می*کند. با استفاده از آن می*توان آدرس نقاب شبکه را نيز مشخص کرد (مثلاً 192.168.0.0/16 معادل يک کلاس B با آدرس نقاب شبکه 255.255.0.0 می*باشد). با استفاده از علامت ! می*توان تفسير قانون را معکوس کرد. برای مشخص کردن آن از گزينه –s استفاده می**شود.
• آدرس مقصد: دارای امکاناتی مشابه آدرس مبداء می*باشد. برای مشخص کردن از علامت –d استفاده می*شود. بسته های ورودی از واسط شبکه: برای مشخص کردن کليه بسته*هايی که به واسط شبکه مشخصی وارد می*شوند، بکار می*رود. مثلاً بسته*های ورودی به کارت واسط شبکه eth0 را با –i eth0 نشان می*دهيم.
• بسته*های خروجی از واسط شبکه: مشابه دستور فوق.
  
  در صورتيکه از قرارداد ارتباطی TCP يا UDP استفاده کنيم، به گزينه*های بيشتری برای تصفيه بسته*ها دسترسی داريم.
• تعيين محدوده شماره درگاه*ها :

• تصفيه مبتنی بر حالت: همانطور که ذکر شد، IPtables يک حفاظ مبتنی بر حالت است. در IPtables، چهار حالت مختلف برای ارتباط*هایايجاد شده در نظر گرفته می*شود که با استفاده از آنها می*توان بسته*های متعلق به آنها را تصفيه کرد. حالت*های مختلف عبارتند از:
  • New: مشخصه ارتباط*هايی است که تنها يک بسته در يک جهت ارسال کرده*اند. در واقع پس از ديدن اولين بسته از هر ارتباط (بسته*ای که پرچم SYN از سرآيند TCP آنها روشن باشد.)، وضعيت آن به New تغيير می*کند.
  • Established: مشخصه ارتباط*هايی است که بسته در هر دو جهت از طريق آنها ارسال شده است. پس از ديدن اولين پاسخ به بسته ارسال شده (بسته*ای که پرچم ACK از سرآيند TCP آنها روشن باشد)، مشخصه ارتباط ايجاد شده از New به Established تغيير می*کند.
  • Related: مشخصه ارتباط*هايی است که بسته جديدی ملاقات می*کنند، با اين تفاوت که بسته ايجاد شده به: ارتباط برقرار شده قبلی مرتبط است. يک مثال شناخته شده از اين نوع ارتباطات، ارتباط داده*ای در قرارداد FTP می*باشد که به ارتباط کنترلی از آن مربوط می*شود.
  هدف*ها(targets)
  
• همانگونه که ذکر شد، target بيان کننده*ی عملی است که در صورت صدق کردن بسته مورد نظر در يکی از قوانين، روی آن انجام می*شود. برای مشخص کردن هدف*ها از گزينه*ی –j استفاده می*شود. بعضی از هدف*های پرکاربرد IPtables عبارتند از:
  LOG: برای ثبت يک رويداد در رويدادنامه IPtables بکار میرود (گاهی فقط می*خواهيم ترافيک گذرنده از حفاظ را ثبت کنيم)
  REJECT: يک پيغام خطا به عنوان پاسخ به مبداء بسته فرستاده می*شود و سپس دور انداخته می*شود.
  DROP: بسته دور انداخته می*شود. بدون اينکه پاسخی برای فرستنده ارسال شود.
  ACCEPT: بسته پذيرفته می*شود.
  SNAT: آدرس مبداء بسته به آدرس جديدی ترجمه می*شود.
  DNAT: آدرس مقصد به آدرس جديدی ترجمه می*شود.
  MASQUERADE: آدرس مبداء جديد محاسبه شده و جايگزين آدرس فعلی می*شود.
  REDIRECT: برای برگرداندن بسته*ها به ماشين محلی (که حفاظ روی آن نصب شده) مورد استفاده قرار می*گيرد. از اين امکان IPtables زمانی استفاده می*شود که بخواهيم سرويس*های نصب شده در ماشين حفاظ از ديد کاربران شفافباشد. فرض کنيد می*خواهيم در کنار http server از يک http proxy مثل squid استفاده کنيم. با استفاده از اين امکان براحتی می*توان، همه بسته*هايی که می*خواهند به درگاه 80 از ماشين حفاظ متصل شوند، را براحتی به سمت squid هدايت کرد. دستور زير اين هدف را برآورده می*کند:

(3128 پورت استاندارد squid می باشد.)
Jump: همچنين هدف می*تواند پرش به يک زنجیر از پيش تعريف شده از همان جدول باشد.


در ادامه سعی می*کنيم با استفاده از قوانين معرفی شده در IPtables بعضی از سياست*های امنيتی ساده را پياده*سازی کنيم. در اين مثال*ها فرض کنيد که کارت واسط شبکه eth0 به LAN و کارت واسط شبکه eth1 به WAN متصل است. آدرس*های شبکه محلی دارای آدرس*های مجازی 192.168.x.y و آدرس IP حفاظ برابر 192.168.1.1 می*باشد.

1. می*خواهيم زنجیر جديدی تعريف کنيم که فقط بتوان از شبکه*ی داخلی به بيرون ارتباط جديدی برقرار کرد. (بسته*های رسيده از شبکه WAN فقط بسته*های پاسخ يا مرتبط با بسته*های قبلی باشند.)

دستورات فوق عمل تصفيه بسته*ها را در داخل زنجیر تعريف شده block انجام می*دهند. تنها کافی است بسته*های گذرنده از حفاظ را به سمت اين زنجیر هدايت کنيم:

2. می*خواهيم درگاه*های خاصی را برای ارتباط با حفاظ از شبکه اينترنت مسدود يا باز نماييم

• در ابتدا ارتباط از کارت واسط شبکه eth1 به درگاه*های با شماره پايين*تر از 1023 را مسدود می*کنيم:

• در ادامه می*خواهيم دسترسی به سرويس وب را از شبکه خارجی به داخل امکان پذير کنيم:

• سپس دسترسی به سرويس SSH را برای يک ماشين مطمئن از شبکه خارجی ميسر می*کنيم:

3. می خواهيم آدرس همه بسته های خروجی از شبکه را با استفاده از گزينه MASQUERADE پنهان کنيم. اين کار می تواند به روشهای زير انجام پذيرد :

• در ابتدا آدرس همه بسته*های خروجی را بصورت پويا مخفی می*کنيم

• سپس از يک آدرس استاتيک برای مخفی کردن آدرس بسته*های داخلی استفاده می*کنيم:

لازم به ذکر است که اضافه کردن قانون ساده زير نياز ما را برآورده می*کند، ولی در آن صورت به بسته*های خارجی از شبکه داخلی نيز اجازه می*دهيد که آدرس خود را با استفاده از حفاظ شما تغيير دهند:

ابزار IPtables در بسياری از نسخه*های سيستم*عامل لينوکس، بويژه RedHat بصورت پيش فرض همراه ساير بسته*های نرم*افزاری نصب می*شود. برای اينکه از نصب IPtables در دستگاه خود مطمئن شويد، کافی است دستور IPtables را در خط فرمان تايپ کنيد. برای اجرای چنين دستوری يا بايد با شناسه کاربری root به سيستم وارده شده باشيد و يا با استفاده از sudo حق اجرای IPtables را داشته باشيد. در صورتی که IPtables روی دستگاه شما نصب شده باشد، پيغامی مشابه پيغام زير روی صفحه نمايش ظاهر می شود:

در غير اين صورت بايد سورس يا بسته نرم*افزاری قابل نصب IPtables را دريافت کرده و آن را نصب کنيد. نصب برنامه از روی RPM به سادگی امکان*پذير است. در اينجا نحوه*ی نصب IPtables از روی سورس آن توضيح داده می*شود:

• اولين قدم دريافت سورس IPtables از سايت netfilter می*باشد نام فايل مورد نظر به صورت IPtables-1.*.*.tar.bz2 می*باشد که ستاره*ها، شماره آخرين نسخه IPtables را نشان می*دهند.
• با استفاده از دستور tar فايل فشرده شده را باز کنيد:

• مسير جاری را به فهرست ايجاد شده در دستور فوق تغيير دهيد:

• دستور make و بدنبال آن دستور make install را اجرا کنيد

برای اينکه دستورات جاری IPtables در سيستم مانا شوند و در هر بار راه*اندازی سيستم بصورت خودکار در داخل حافظه بار شوند، بايد از يک نبشته راه*اندازی استفاده کرد. اين نبشته در مسير /etc/init.d قرار گرفته و بعد از هر مرتبه راه*اندازی سيستم بصورت خودکار اجرا می شود. البته اين سرويس را می*توان بصورت دستی و با استفاده از دستور زير فعال کرد:

يک نمونه از نبشته راه اندازی به همراه دستورات پيش فرض آن در اين آدرس آمده است. شما می*توانيد دستورات دلخواه خود را در هر يک از بدنه*های start، stop يا restart اضافه کنيد.

دستورات IPtables مقيم در حافظه را همچنين می*توان با استفاده از دو دستور سودمند iptables-save و iptables-restore که توسط خود ابزار IPtables در اختيار کاربران قرار می*گيرد، در داخل فايل ذخيره و بازيابی کرد. برای ذخير دستورات IPtables در فايلی با نام IPtables-save کافی است دستور زير را اجرا کنيم:

مشابه دستور فوق می*توانيم دستورات ذخيره شده در يک فايل را با استفاده از دستور IPtables-restore بازيابی کنيم.

شايد پيکربندی IPtables با استفاده از دستورات خط فرمان برای کسانی که تجربه عملی زيادی با لينوکس ندارند، آسان نباشد. بدين*منظور ابزارهای گرافيکی ديگری برای اين اشخاص که نمی*خواهند دستان خود را با خط فرمان لينوکس کثيف کنند(!)، در دسترس می*باشد.
در ادامه به بعضی از اين ابزارهای اشاره می*شود:

1. MonMotha’s FireWall
2. Firewallscript
3. Ferm-0.0.18
4. AGT-0.83
5. Knetfilter-1.2.4
6. qShield-2.0.2

ابزارهای ذکر شده در شماره*های 1 تا 4 عموماً از يک فايل پيکربندی با فرمت خاص برای پيکربندی فايروال استفاده می*کنند که توصيه می*شود بجای صرف زمان و انرژی برای يادگيری فرمت اين فايل، روی يادگيری دستورات خط فرمان IPtables وقت گذاشته شود!
Knetfilter يک ابزار با واسط گرافيکی مناسب برای پيکربندی حفاظ*های مبتنی بر ميزبان می*باشد. اين ابزار امکاناتی برای ذخيره و بازيابی قوانين، تست آنها، اجرای ابزارهای پويش شبکه از جمله tcpdump و نيز ترجمه و مخفی*سازی آدرس*ها را فراهم می*سازد. يکی از کمبودهای Knetfilter اين است که از پروتکل PPP پشتيبانی نمی*کند. در نتيجه نمی*توان از آن برای پيکربندی حفاظ سيستم*هايی که با خط تلفن به اينترنت متصل می*شوند، استفاده کرد.
gShield کامل*ترين ابزار پيکربندی گرافيکی IPtables به نظر می*رسد. چرا که بصورت کامل مستندسازی شده و فايل*های پيکربندی آن قابل فهم است. علاوه بر اين از امکانات ترجمه آدرس بسته*ها و پيکربندی استاتيک (اتصال از طريق واسط ppp0) و پويای (اتصال از طريق واسط eth0) حفاظ برخوردار است.
با اين وجود به نظر می*رسد هيچ يک از اين ابزارها نمی*توانند به کلی جايگزين امکانات فراوانی شوند که از طريق خط فرمان IPtables در اختيار کاربران قرار می*گيرد. ضمن اينکه به هيچ وجه شما را از درک عميق ساختار داخلی (دستورات، جدول*ها، زنجیرها، ...) IPtables بی*نياز نمی*کنند.

سايت netfilter به نوعی سايت رسمی IPtables محسوب می*شود که آخرين نسخه*های اين حفاظ به همراه اخبار آخرين تغييرات، مستندات آموزشی و راهنمای کاربر مربوط به آن را در برگرفته و به عنوان يکی از معتبرترين و در دسترس ترين مراجع می تواند مورد استفاده قرار گيرد.
سايت LinuxGuruz مجموعه کامل و مفيدی از لينک*های مرتبط با IPtables را گردآوری کرده است.
يک صفحه آموزنده و جامع برای يادگيری IPtables توسط Oskar Andreasson در اين آدرس جمع*آوری شده است.يک صفحه پرسش و پاسخ مناسب در مورد حفاظ*ها از اين آدرس قابل دسترسی است.

مراجع :
[1] کارگاه آموزشی IPtables، دوره آموزشی برگزارشده توسط مرکز امنيت شبک شريف در شرکت ايزايران، مهدی صمدی، زمستان 1381.

[2] http://www.jollycom.ca/iptables-tuto...-tutorial.html
[3] http://www.securityfocus.com/infocus/1410
[4] https://www.cae.wisc.edu/fsg/linux/linux-iptables.html

نوشته شده توسط جواد شاهوند در 13:14 | | لینک به این مطلب

وب سرويس چيست ؟

کسانی که با صنعت IT آشنايی دارند حتما ً نام وب سرويس را شنيده اند . برای مثال ، بيش از 66 درصد کسانی که در نظر سنجی مجله InfoWorld شرکت کرده بودند بر اين توافق داشتند که وب سرويس ها مدل تجاری بعدی اينترنت خواهند بود . به علاوه گروه گارتنر پيش بينی کرده است که وب سرويس ها کارآيی پروژه های IT را تا 30 در صد بالا می برد . اما وب سرويس چيست و چگونه شکل تجارت را در اينترنت تغيير خواهد داد ؟

برای ساده کردن پردازش های تجاری ، برنامه های غير متمرکز (Enterprise) بايد با يکديگر ارتباط داشته باشند و از داده های اشتراکی يکديگر استفاده کنند . قبلا ً اين کار بوسيله ابداع استاندارد های خصوصی و فرمت داده ها به شکل مورد نياز هر برنامه انجام می شد . اما دنيای وب و XML – تکنولوژی آزاد برای انتقال ديتا – انتقال اطلاعات بين سيستم ها را افزايش داد . وب سرويس ها نرم افزارهايی هستند که از XML برای انتقال اطلاعات بين نرم افزارهای ديگر از طريق پروتوکول های معمول اينترنتی استفاده می کنند . به شکل ساده يک وب سرويس از طريق وب اعمالی را انجام می دهد (توابع يا سابروتين ها ) و نتايج را به برنامه ديگری می فرستد . اين يعنی برنامه ای در يک کامپيوتر در حال اجراست ، اطلاعاتی را به کامپيوتری می فرستد و از آن درخواست جواب می کند ، برنامه ای که در آن کامپيوتر دوم است کارهای خواسته شده را انجام می دهد و نتيجه را بر روی ساختارهای اينترنتی به برنامه اول بر می گرداند . وب سرويس ها می توانند از پروتکول های زيادی در اينترنت استفاده کنند اما بيشتر از HTTP که مهم ترين آنهاست استفاده می شود .

وب سرويس هر توع کاری می تواند انجام دهد . برای مثال در يک برنامه می تواند آخرين عنوان های اخبار را از وب سرويس Associated Press بگيرد يا يک برنامه مالی می تواند آخرين اخبار و اطلاعات بورس را از وب سرويس بگيرد . کاری که وب سرويس انجام می دهد می تواند به سادگی ضرب 2 عدد يا به پيچيدگی انجام کليه امور مشترکين يک شرکت باشد .

وب سرويس دارای خواصی است که آن را از ديگر تکنولوژی و مدل های کامپيوتری جدا می کند ، Paul Flessner ، نايب رييس مايکروسافت در dot NET Enterprise Server چندين مشخصه برای وب سرويس در يکی از نوشته هايش ذکر کرده است ، يک ، وب سرويس ها قابل برنامه ريزی هستند . يک وب سرويس کاری که می کند را در خود مخفی نگه می دارد وقتی برنامه ای به آن اطلاعات داد وب سرويس آن را پردازش می کند و در جواب آن اطلاعاتی را به برنامه اصلی بر می گرداند . دوم ، وب سرويس ها بر پايه XML بنا نهاده شده اند . XML و XML های مبتنی بر SOAPيا Simple Object Access Protocol تکنولوژی هايی هستند که به وب سرويس اين امکان را می دهند که با ديگر برنامه ها ارتباط داشته باشد حتی اگر آن برنامه ها در زبانهای مختلف نوشته شده و بر روی سيستم عامل های مختلفی در حال اجرا باشند . همچين وب سرويس ها خود ، خود را توصيف می کنند . به اين معنی که کاری را که انجام می دهند و نحوه استفاده از خودشان را توضيح می دهند . اين توضيحات به طور کلی در WSDL يا Web Services Description Language نوشته می شود . WSDL يک استاندارد بر مبنای XML است . به علاوه وب سرويس ها قابل شناسايی هستند به اين معنی که یرنامه نويس می تواند به دنبال وب سرويس مورد علاقه در دايرکتوری هايی مثل UDDI يا Universal Description , Discovery and Integration جستجو کند . UDDI يکی ديگر از استاندارد های وب سرويس است .



نکات تکنولوژی وب سرويس :

همانطور که در ابتدا توضيح داده شد يکی از دلايل اينکه وب سرويس از ديگر تکنولوژی های موجود مجزا شده است استفاده از XML و بعضی استاندارد های تکنيکی ديگر مانند SOAP ، WSDL و UDDI است . اين تکنولوژی های زمينه ارتباط بين برنامه ها را ايجاد می کند به شکلی که مستقل از زبان برنامه نويسی ، سيستم عامل و سخت افزار است . SOAP يک مکانيزم ارتباطی را بين نرم افزار و وب سرويس ايجاد می کند . WSDL يک روش يکتا برای توصيف وب سرويس ايجاد می کند و UDDI يک دايرکتوری قابل جستجو برای وب سرويس می سازد . وقتی اينها با هم در يک جا جمع می شود اين تکنولوژی ها به برنامه نويس ها اجازه می دهد که برنامه های خود را به عنوان سرويس آماده کنند و بر روی اينترنت قرار دهند .

شکل زير نقش هر کدام از استاندارد ها را در ساختار وب سرويس نمايش می دهد . در قسمت های بعدی هر کدام از اين تکنولوژی ها را بررسی می کنيم .





XML يا eXtensible Markup Language :



XML يک تکنولوژی است که به شکل گسترده از آن پشتيبانی می شود ، همچنين اين تکنولوژی Open است به اين معنی که تعلق به شرکت خاصی ندارد . اولين بار در کنسرسيوم WWW يا W3C در سال 1996 برای ساده کردن انتقال ديتا ايجاد شده است . با گسترده شدن استفاده از وب در دهه 90 کم کم محدوديت های HTML مشخص شد . ضعف HTML در توسعه پذيری ( قابليت اضافه و کم کردن خواص ) و ضعف آن در توصيف ديتاهايی که درون خود نگهداری می کند برنامه نويسان را از آن نا اميد کرد . همچنين مبهم بودن تعاريف آن باعث شد از توسعه يافتن باز بماند . در پاسخ به اين اشکالات W3C يک سری امکانات را در جهت توسعه HTML به آن افزود که امکان تغيير ساختار متنهای HTML مهم ترين آن است . اين امکان را CSS يا Cascade Style Sheet می نامند .

نوشته شده توسط جواد شاهوند در 13:6 | | لینک به این مطلب

Integrated Services Digital Network - ISDN

اساس طراحی تکنولوژی ISDN به اواسط دهه 80 میلادی باز میگردد که بر اساس یک شبکه کاملا دیجیتال پی ریزی شده است. در حقیقت تلاشی برای جایگزینی سیستم تلفنی آنالوگ با دیجیتال بود که علاوه بر داده های صوتی، داده های دیجیتال را به خوبی پشتیبانی کند. به این معنی که انتقال صوت در این نوع شبکه ها به صورت دیجیتال می باشد. در این سیستم صوت ابتدا به داده ها ی دیجیتال تبدیل شده و سپس انتقال می یابد.
ISDN به دو شاخه اصلی تقسیم می شود: N-ISDN و B-ISDN.

B-ISDN: Broadband ISDN
B-ISDN بر تکنولوژی ATM استوار است که شبکه ای با پهنای باند بالا برای انتقال داده می باشد که اکثر BACKBONE های جهان از این نوع شبکه برای انتقال داده استفاده می کنند (از جمله شبکه دیتا ایران).


N-ISDN: Narrowband ISDN
نوع دیگر N-ISDN یا ISDN با پهنای باند پایین است که برای استفاده های شخصی طراحی شده است. درN-ISDN دو استاندارد مهم وجود دارد، BRI و PRI .

نوع PRI برای ارتباط مراکز تلفن خصوصی (PBX)ها با مراکز تلفن محلی طراحی شده است. E1یکی از زیر مجموعه های PRI است که امروزه استفاده زیادی دارد. E1 شامل سی کانال حامل (B-Channel) و یک کانال برای سیگنالینگ (D-Channel) میباشد که هر کدام 64Kbps پهنای باند دارند. بعد از سال 94 میلادی و با توجه به گسترش اینترنت، از PRI ISDN ها برای ارتباط ISP ها با شبکه PSTN استفاده شد که باعث بالا رفتن تقاضا برای این سرویس شد. همچنانکه در ایران نیز ISP هایی که خدمات خود را با خطوط E1 ارایه می کنند روز به روز در حال گسترش است.

نوع دیگر BRI است( نوعی که در کیش از آن استفاده شده) که برای کاربران نهایی طراحی شده است. این استاندارد دو کانال حامل (B-Channel) با پهنای باند 64Kbps و یک کانال برای سیگنالینگ (D-Channel) با پهنای باند 16kbps را در اختیار مشترک قرار می دهد. این پهنای باند در اواسط دهه 80 میلادی که اینترنت کاربران مخصوصی داشت و سرویسهای امروزی همچون HTTP، MultiMedia، Voip و... به وجود نیامده بود، مورد نیاز نبود همچنین برای مشترکین عادی تلفن نیز وجود یک ارتباط کاملا دیجیتال چندان تفاوتی با سیستمهای آنالوگ فعلی نداشت و به همین جهت صرف هزینه های اضافی برای این سرویس از سوی کاربران بی دلیل بود و به همین جهت این تکنولوژی استقبال چندانی نشد. تنها در اوایل دهه 90 بود که برای مدت کوتاهی مشترکین ISDN افزایش یافتند.
پس از سال 95 نیز با وجود تکنولوژیهایی با سرعتهای بسیار بالاتر مانند ADSL که سرعتی حدود 10Mb/s برای دریافت و 1Mb/s را برای ارسال با هزینه کمتر از ISDN در اختیار مشترکین قرار میدهد، انتخاب ISDN از سوی کاربران عاقلانه نبود.
در حقیقت می توان گفت که BRI ISDN تکنولوژی بود که در زمانی به وجود آمد که نیازی به آن نبود و زمانی که به آن نیاز احساس می شد، با تکنولوژیهای جدید تری که سرعت بالاتر و قیمت بیشتر داشتند جایگزین شده بود.


بررسی اختلاف بین قابلیتهای ارسال (B-Channel) و مودم های آنالوگ

یک مودم بسیار عالی می تواند با سرعت 4.14Kb/s اطلاعات صوتی را انتقال دهد و 56Kb/s بطور مقطعی دریافت کند. در حالی که ISDN می تواند اطلاعات را با سرعت 64Kb/s منتقل کند و اگر دو کانال بطور همزمان استفاده شوند، سرعت انتقال به دو برابر یعنی 128Kb/s خواهد رسید. قابلیت (D-Channel)، برابر16Kb/s است که در نتیجه می توان به سرعت 144Kb/s دسترسی پیدا کرد. بنابراین 10 برابر سریعتر از یک مودم پیشرفته عمل می کند. عملکرد این کانال ها مستقل است یعنی می توان دو مکالمه یا دو اطلاعات و یا یک مکالمه و یک اطلاعات را بطور همزمان از مقصد های مختلف دریافت نمود.
با استفاده از (D-Channel) می توان از خط سوم برای انتقال اطلاعات کوچک و یا کارت اعتباری استفاده نمود.


امکاناتی که خطوط ISDN برای مشترکین فراهم می آورد


ISDN سرعت بالاتری را برای انتقال اطلاعات فراهم نموده است.اگر شما برای انتقال فایلها از مودم استفاده می کنید و یا در حال استفاده ار اینترنت هستید، محدودیت قابل قبول یک مودم آنالوگ را شناخته اید و با استفاده از خطوط ISDN بطور عمده ای کارایی شما افزایش پیدا می کند.
ISDN می تواند یک صدای دیجیتال واضح کریستالی را برایتان فراهم نماید.حتی اگر هنوز یکی از خطوط شما آنالوگ باشد،همچنان می توانید مکالمه را واضح بشنوید.
یک خط ISDN می تواند دو خط تلفن (دو شماره تلفن) و یک خط سومی را جهت پیوند ارتباط دادهای در بر داشته باشد.
خصوصیات کنترلی مکالمات در خطوط ISDN مشابه با خصوصیات Switch Board تلفنی می باشد. شما می توانید از وضعیت HOLD , TRANSFER , CONFERENCE, CALLER ID، زنگهای تلفن مخصوص، همچنین مجموعه ای از کارایی های مختلف دیگر استفاده نمائید.


سخت افزار مورد نیاز برای استفاده از ISDN

خط ISDN مانند خطوط آنالوگ از دو رشته سیم تشکیل شده است که بطور مستقیم نمی توان دستگاه آنالوگ مثل تلفن های معمولی را به آن متصل کرد.بدین منظور از سخت افزاری استفاده می شود که پورت های دیجیتال و آنالوگ مورد نیاز شما را تامین میکند.

نوشته شده توسط جواد شاهوند در 13:1 | | لینک به این مطلب

پِيامهاي Error در هنگام مشاهده صفحات اينترنت

نوشته شده توسط جواد شاهوند در 12:54 | | لینک به این مطلب

نگاهي به طراحي اتاق سرور استاندارد

نگاهي به طراحي اتاق سرور استاندارد


ايجاد مكاني امن در جهت متمركز كردن سرورهاي شبكه و استفاده از منابع مشترك نگهداري، از عوامل مهم و تاثيرگذار پيشبرد كاري يك سازمان مي باشند لذا در اين راستا اتاق سرور ايجاد شده و مورد بهره برداري قرار مي گيرد . اهداف اصلي در پياده سازي اتاق سرور عبارتند از مقاومت سازه،ايمني نفوذپذيري و اطمينان از صحت داده ها.دراين نوشتار مواردي كه در طراحي و پياده سازي اتاق سرور استاندارد مبتني بر استاندارد مديريت امنيت اطلاعات مدنظر مي باشد آورده شده است.

ساختار فيزيكي

• تقويت ساختار، مقاوم سازي و ضدزلزله سازي

زلزله خيز بودن كشورمان ايران و لزوم پيشبيني صدمات در هنگام وقوع آن امري اجتناب نا پذير مي باشد كه در طراحي و پياده سازي سازه هاي مختلف سازماني مدنظر مي باشد. با توجه به اينكه اكثر ساختمان ها ، قديمي ساز بوده و از ايمني لازم برخوردار نيستند لذا بايد تمهيداتي براي آن درنظر گرفت لذا پس از بازديد دقيق از محل ساختمان مناسب ترين مكان جهت استقرار اتاق سرور انتخاب شده و در صورتي كه نتايج حاصل از لرزه سنجي ( تست براي سنجش ميزان مقاومت سازه در برابر لرزه) مناسب نباشند اقدام به مقاوم سازي خواهد شد. بديهي است در صورتيكه اتاق سرور در مكاني غير از پايين ترين طبقه سازه باشد مقاوم سازي را بايد از پي آغاز كرد و اين خود مستلزم هزينه است.





مراحل كار مقاوم سازي :

• ديوارها تا رسيدن به سطح آجري تراشيده مي شود.
• سوراخ ها و منافذ پر مي شوند
• سطوح با يك لايه سيماني پوشيده مي شود
• لايه اي از ماده ضد آتش Fire Tard روي لايه سيماني كشيده مي شود
• مسيرگذاري كف و سقف جهت عبور لوله هاي اطفاي حريق ، برق و شبكه انجام مي شود.
• پس از انجام مراحل فوق اقدام به آهن كشي و ستون گذاري مي شود
• شبكه هاي فلزي نصب شده و روي آن گچ كاري مي شود
• پس از خشك شدن گچ لايه محافظتي و ضد آتش Epoxy پوشانده مي شود.

مكان مناسب جهت اتاق سرور :
معمولا اتاق سرور را در پايين ترين طبقه درنظر مي گيرند و اين مكان بايد با كانال ها و رايزرهاي ساختمان در ارتباط باشد. در صورتيكه از اين اتاق به اتاق هاي ديگر و همچنين به طبقات ديگر كانالي وجود نداشته باشد بايد آن را ايجاد كرد.


سيستم هاي مكمل

• سيستم تهويه و تخليه گردوخاك

از عوامل مهم استهلاك تجهيزات الكترونيكي ، گرد و خاك مي باشد. با نشستن گردو خاك روي Chipset هاي مختلف بردهاي دستگاه ها و ايجاد لايه جانبي روي آن ها ، عمل خنك سازي آن ها با مشكل روبرو شده و خرابي زودرس را سبب مي شود از اينرو سيستم تهويه هواي اتاق سرور نصب شده و مورد بهره برداري قرار مي گيرد.

• سيستم اطفاي حريق

آتش سوزي به دليل اتصال كوتاه ادوات برقي و همچنين وجود تجهيزات مختلف آتش زا از عوامل اصلي تخريب در سازمان ها مي باشد لذا در اين خصوص نصب تجهيزات مناسب اخطار و اطفاي حريق مدنظر مي باشد. نحوه كار چنين است :

• با توجه به محدوديت فضاي اتاق سرور جهت انتقال گاز مونواكسيد كربن به داخل اتاق، از لوله هاي حامل استفاده مي شود. محل قرارگرفتن نازل هاي نهايي بايد در مكانهايي نزديك به محل استقرار سرور ها و تجهيزات برقي تعبيه شود.
• مخزن هاي گاز در مكاني خارج اتاق سرور قرار مي گيرد و اين مخزن ها به لوله هاي تعبيه شده داخلي مرتبط خواهند شد.
• درمكان هاي مختلف اتاق سرور نظير داخل ركها ، تجهيزات برقي داخلي و ... سنسورهاي تشخيص حريق نصب مي شود.

• درب ضدحريق و مقاوم

با توجه به اهميت محصور نمودن آتش و جلوگيري از گسترش آن ، درب اتاق سرور بايد از جنس نسوز انتخاب شود.

• رنگ ضد حريق يا EPOXY

جهت پر كردن كليه درزها و ايجاد لايه حفاظتي بيروني ضد آتش از Epoxy استفاده مي شود. Epoxy در رنگ هاي مختلف موجود بوده و براي گرفتن جواب مؤثر حتما بايد سطح زيرين كاملا خشك شده باشد.
رنگ هاي پلاستيكي و پلي استري محصولات جانبي پتروشيمي بوده و قابليت اشتعال بالايي دارند لذا استفاده از آن ها مناسب اتاق سرور نمي باشند. درحال حاضر پوشش مناسب جهت اتاق سرور Epoxy مي باشد كه كليه سطوح داخلي ( كف ، سقف ، ديواره هاي جانبي) را پوشش مي دهد. داراي رنگ هاي متنوعي است و كاملا ضد حريق مي باشد.

• دوربين هاي كنترلي

باتوجه به اهميت اطلاعات و لزوم مراقبت بيشتر ازتجهيزات اتاق سرور، نصب دوربين هاي كنترلي درون اتاق سرور بسيار مؤثر است. دوربين ها بطور 24 ساعته اتاق سرور را مانيتور كرده و Log ها را در سرور مربوطه ذخيره مي كنند.

• سيستم جارو برقي Vacum Cleaner

باتوجه به احتمال آلودگي اتاق سرور ناشي از تردد افراد در آن علي الرقم پوشيدن لباس هاي مخصوص توسط اين افراد ، دستگاه جاروبرقي پيشبيني مي شود. موتور و ساير تشكيلات اين دستگاه در بيرون از اتاق سرور قرار گرفته و تنها لوله جمع كننده در داخل سرور قرارداده مي شود.

• سيستم كنترل دسترسي تردد

استقرار سيستم كنترلي مناسب جهت ثبت تردد افراد و مديريت آن جهت اتاق سرور الزامي است. اين سيستم داراي يك دستگاه كارت خوان چند گزينه اي (Multi Option Checking) ، كنترلر و مبدل هاي مرتبط با آن مي باشد. افراد مجاز براي ورود به اتاق سرور بايد كارت تردد را همراه داشته باشند. همچنين ثبت اثر انگشت و وارد كردن كدمخصوص از ديگر گزينه هايي است كه مي توان آن ها را فعال نمود.

• سيستم تامين روشنايي

روشنايي داخل اتاق سرور بايد به گونه اي طراحي شود تا در هنگام خروج شخص از اتاق سرور خاموش شوند و دليل آن علاوه بر صرفه جويي برق ، جلوگيري از توليد حرارت توسط آن هاست. همچنين مسيرهاي كنترلي و اصلي برق در تابلو برق اتاق سرور پيشبيني مي شود.

• سيستم خنك كننده داخلي

جهت برقراري دماي مناسب 18 درجه سانتي گراد اتاق سرور استفاده از دستگاه هاي خنك كننده درون آن الزامي است. مرسوم ترين خنك كننده در ايران ، كولرهاي گازي هستند كه توان آن ها باتوجه به ميزان حرارت توليد شده اتاق سرور محاسبه مي شوند.



ساختار برق شهر و برق اضطراري
كابل كشي اتاق سرور بايد مطابق استاندارد هاي كابل كشي ساخت يافته با تجهيزات باكيفيت پياده سازي شود. قسمت هاي مختلف جهت داشتن سيستم برق رساني مطمئن شامل موارد زير است :

• تابلو برق
• يو پي اس
• ژنراتور تامين
• چاه ارت

تابلو برق و ATS
كنترل خطوط ورودي و خروجي برق و برق اضطراري ، همچنين لزوم مانيتور كردن جريان و ولتاژ خطوط استفاده از تابلو برق را الزامي مي سازد. تابلو برق علاوه بر داشتن ولت متر و آمپرمتر داراي يك سري كليدهاي مينياتوري بوده كه جهت جريان و وضعيت ولتاژ را كنترل مي نمايد همچنين توسط اين كليدها قادر خواهيم بود تا برق قسمتي از سازمان را روي برق شهر Set كنيم و يا مي توانيم آن را به UPS مرتبط سازيم.
يو پي اس
قطع ناگهاني برق در تجهيزات اتاق سرور نظير روتر ها ، سوئيچ ها ، سرورها و . . . باعث اختلال در اكثر فعاليت هاي اين دستگا هها شده و دربرخي موارد امكان ادامه كار آنها را كاملا ازبين مي برد. بايد درنظر داشت تنها قطع برق شهر اثرات مخرب به همراه ندارد. سيستم هاي كامپيوتري نسبت به نارسايي هايي مانند افت لحظه اي ولتاژ،ولتاژهاي لحظه اي بالا ، نويز و تاثيرات فركانس راديويي و تغييرات فركانس درمنبع تغذيه خود حساس هستند. يك UPS مناسب داراي شرايط زير است :

• Online Double Conversion باشد
• توان كار با ژنراتور را داشته باشد يعني Power Factor Correction را پشتيباني كند
• جهت مانيتوركردن Online ، پروتكل SNMP را پشتيباني كند

نكته : اگر UPS مشخصه PFC را نداشته باشد توان ژنراتور بايد 5/1 برابر UPS درنظر گرفته شود و اگر داشته باشد 15/1 برابر UPS باشد.


ژنراتور تامين
دستگاه هاي تامين كننده برق اضطراري UPS با توجه به گران بودن و عدم كارايي مناسب براي برق دهي طولاني مدت مناسب نبوده و استفاده از ژنراتور در دستور كار قرار مي گيرد. نحوه كار بدين صورت است كه در هنگام قطع برق اتاق سرور و براي جلوگيري از اختلال در سيستم برق دهي آن در طول زمان به كار افتادن ژنراتور، UPS بطور آني وارد مدار شده و برق اتاق سرور را تامين مي كند. به محض آماده شدن ژنراتور جهت برق دهي ، UPS از مدار خارج شده و برق اتاق سرور از ژنراتور تامين مي شود.توان UPS با توجه به ميزان توان مصرفي دستگاه هاي مختلف مستقر در اتاق سرور نظير سرور ها، كولرهاي گازي و ... محاسبه مي شود. توان UPS مناسب را بادرنظر گرفتن باتري هاي داخلي آن براي مدت 7 الي 15 دقيقه (باتوجه به زمان به كار افتادن ژنراتور) درنظر مي گيرند. ميزان توان ژنراتور 15% بيشتر از توان UPS درنظر گرفته مي شود و درهنگام كار بايد 70% زيربار باشد. زيربار قرارگرفتن ژنراتور بيش از 80% توان و يا كمتر از 60% توان اكيدا توصيه نمي شود.ژنراتورهاي با توان بالاي 15 KVA سه فاز هستند.

• • چرا بايد از ژنراتور استفاده كنيم ؟

با توجه به گراني UPS هاي با توان بالا و همچنين نياز به استفاده از باتري هاي متعدد جهت برق دهي طولاني مدت ، استفاده از ژنراتور الزامي است. نكته ديگري كه بايد درنظر بگيريم جاگير بودن حجم زيادي باتري خارجي در فضاي محدود اتاق سرور است.

دسته بندي ژنراتورها
ژنراتور ها را معمولا به دو دسته توان پايين و توان بالا دسته بندي مي كنند. ژنراتورهاي توان پايين تا 10 KVA برق دهي را پشتيباني مي كنند و معمولا سوخت آن ها بنزين است. سوخت ژنراتورهاي توان بالا ديزلي است. ژنراتورها را به دو گونه دستي و اتوماتيك راه اندازي مي كنند. زمان راه اندازي اتوماتيك حدود 2 دقيقه و راه اندازي دستي حدود 10 دقيقه مي باشد. با توجه ايجادصداي بلند ژنراتور از محفظه صداگير به نام كناپي استفاده مي شود. اين محفظه تا 85% كاهش صدا را به دنبال خواهد داشت.

چاه ارت :
جهت جلوگيري از بارهاي اضافي و مخرب روي سيستم برقي ، سيستم زمين يا Earth بايد برقرار شود دراين سيستم ، نول واقعي شده و به چاه ارت توسط كابل مسي مرتبط مي شود. شرايط ايجاد چاه ارت استاندارد در زير آمده است :

• حفر چاه تا رسيدن به خاک نم دار بايستي انجام شود .
• پودر ذغال و نمک (كلريد سديم) به نسبت يك به دو ( هرکيلو ذغال دو کيلو نمک ) به مقدار 40 کيلوگرم در چاه ريخته شود ( اين مواد با مقاومت خاک نسبت عکس دارند و کم يا زياد کردن اين مواد مقاومت خاک را زياد و يا کم می گرداند )
• صفحه ای مسی به اندازه 50cm X 50cm و به قطر 1سانتی متربصورت تيغه ای( عمودی ) روی نمک و ذغال قرار می گيرد .
• سيم مسی به قطر 50 ميليمتر توسط کابلشو مسی و پيچ و مهره مخصوص از جنس مس جهت جلوگيری از پوسيدگی و زنگ زدگی به صفحه مسی متصل می شود .
• لوله پوليکا به قطر 4 يا 6 سانتی متر کنار هر چاه نصب می گردد . لازم به توجه است سوراخهای متعددی در بدنه لوله ها ايجاد شده تا اطراف لوله و چاه را مرطوب گرداند .
• در پايان نيز چاه با خاک رس و نرم پر می شود .
• مقاومت چاه با استفاده از دستگاه ارت سنج بايد زير 2 اهم باشد .

ساختار شبكه كامپيوتري اتاق سرور
آماده سازي اتاق سرور جهت ارتباطات شبكه اي سرورها با ايستگاه هاي مختلف شبكه از جمله كارهاي پايه اي در اتاق سرور مي باشد. درواقع كليه كارها و هزينه هايي كه در اتاق سرور انجام مي شود هدفش استفاده منطقي و مطمئن از تجهيزات اتاق سرور مي باشد. در زير دو ساختار فيزيكي . منطقي شبكه آمده است :

• ساختار فيزيكي شبكه

مركز اطلاعات و پردازش روي شبكه سرورها هستند لذا ارتباط مناسب اين سرورها با مجموعه شبكه امري اجتناب ناپذير است. دراين راستا سه عامل زير مدنظر هستند :

• • • پياده سازي مدل سه لايه
    • كابل كشي استاندارد
    • ثابت كردن رك ها
    • كانال هاي عبور

• پياده سازي مدل سه لايه :

كابل كشي و پيشبيني مسيرهاي داخل اتاق سرور بايد به گونه اي باشد تا بتوان پياده سازي مدل سه لايه شبكه را عملياتي ساخت از اين لحاظ داشتن نقشه منطقي و فيزيكي سوئيچ هاي مختلف شبكه بايد پيش از اجراي مسيرگذاري در دستور كار قرار گيرد.

• كابل كشي استاندارد :

رعايت اصول كابل كشي ساخت يافته و همچنين درنظر داشتن خم ها و زواياي مختلف در كابل كشي اتاق سرور بايد در نظر گرفته شود.

• ثابت كردن رك ها :

به دليل جلوگيري از واژگون شدن رك ها در هنگام زلزله ، رك ها بايد به كف وصل و مهار شوند. پيش از اجراي كف و ايجاد كانال هاي مختلف بايد محل استقرار رك ها تعيين شده و بست ها و Holder هاي نگهدارنده در آن تعبيه شود لذا دانستن نوع و مدل رك ها ، اندازه آن ها ، موقعيت مكاني نسبت به يكديگر بايد تعيين شوند.
نكته : برخي از رك ها نظير رك هاي HP داراي اتصالات مخصوص بوده و جهت نصب صحيح رك بايد از آن ها استفاده كرد.

• كانال هاي عبور :

جهت نظم بخشيدن به كابل هاي Portable نظير كابل هاي رابط برق ، Patch Cordها و ... ، مسير عبور استاندارد كابلي توكار در اتاق سرور صورت مي گيرد. اين كانال ها بايد داراي درپوش مناسب بوده و بين مسيرهاي Data و برق فاصله ايجاد نمايد.

• ساختار منطقي شبكه

ساختار منطقي و نرم افزاري سرورها امكان استفاده مطمئن از اطلاعات روي سرورها را مهيا مي سازد لذا اتخاذ استراتژي مناسب ارتباط سرورها با يكديگر و همچنين ارتباط ايستگاه هاي كاري با آن ها بايد پس از نصب فيزيكي اتاق سرور انجام شود. درزير به برخي از تنظيمات منطقي و نرم افزاري اشاره شده است:

• دامين كنترلر و سرويس هاي شبكه نظير DHCP ، DNS و ...
• VLAN و تقسيم سوئيچي
• ايجاد Access List روي سوئيج هاي شبكه
• ايجاد Routing و Gatewayشبكه
• و ...

امنيت
آسيب ها و نفوذ هاي گزارش شده به سيستم های مبتني بر اطلاعات در سرتاسر جهان رو به افزايش است. با گذشت زمان ابزارها و روشهای نفوذ به سيستم های اطلاعاتی و شبکه های کامپيوتری ساده و ساده تر می شوند و نفوذگرها با اين ابزار و حداقل دانش مجال نفوذ را می يابند.
بر اين اساس محرمانه بودن، در دسترس بودن و يكپارچگي اطلاعات، امري اجتناب ناپذير براي توسعه سيستم ها كامپيوتري و سرورها است و بايد در برنامه تجهيز اتاق سرور مدنظر قرار گيرد. مرسوم ترين روش هاي امنيتي عبارتند از :

• استفاده از ويروس كش مناسب
• استفاده از فايروال با تنظيم صحيح
• نصب سيستم هاي نمايشگر نظير IDS

نسخه پشتيبان
ايجاد امكانات مناسب برگرداندن اطلاعات ازبين رفته از تدابيري است كه بايد مدير شبكه در دستور كار خود قراردهد. استفاده از ساختار SAN و تجهيزات مبتني بر NAS ، همچنين Mediaهاي ذخيره سازي متنوع با توجه به حجم اطلاعات و اهميت آن ها مثال هايي از آنهاست.
نكته: درصورتيكه راه اندازي SAN را در دستور كاري خود داريد بايد بستر اصلي پياده سازي آن را در اتاق سرور پيشبيني نماييد.
سرور مناسب :
سرورها ، كامپيوترهاي قدرتمند با توان پردازش و ذخيره سازي بالايي هستند كه به عنوان مركز منطقي نرم افزارهاي مختلف شبكه درنظر گرفته مي شوند. Data Base هاي مختلف نظير SQL ، Oracle و ... روي اين بستر ايجاد شده و ايستگاه هاي كاري مرتبط با شبكه را تغذيه مي نمايند. با توجه به فضاي محدود اتاق سرور و لزوم بهينه از فضا ، استفاده از سرور هاي كشويي Rackmount پيشنهاد مي شود.اين سرور ها سرپرست شبكه را قادر خواهند ساخت تا به راحتي به آن ها دسترسي داشته و بنا به شرايط آن ها را افزايش يا كاهش دهد.

نوشته شده توسط جواد شاهوند در 12:23 | | لینک به این مطلب

اصول تکنولوژی اينترنت و وب

مقدمه

اينترنت هسته اصلی تجارت امروزی است و هسته اصلی اينترنت وب می باشد . اما ، اينترنت چيست ؟ وب به چه معنی می باشد ؟ چه تفاوتی با هم دارند ؟ اول اينترنت ، شاخه های اينترنت را می توان در پرتاب ماهواره روسی در اکتبر 1957 جستجو کرد . دستاورد اين آزمايش برای شوروی آنچنان بود که در آمريکا يک بحران ايجاد کرد . اگر پرتاب اين ماهواره در خارج از آمريکا برای مردم اهميت نداشت آنها اين ناراحتی را داشتند که روسها در زمينه علم و تکنولوژی از آنها جلو افتاده اند . در آن زمان ، وزير دفاع آمريکا Neil McElroy بود ، وی همچنين رئيس اجرايی شرکت Procter & Gamble بود . او همان زمانی که مدير آن شرکت بود در ذهنش ايده فروختن صابون را در نمايشهای تلويزيونی و راديويی می پروراند ، که به نمايش صابون معروف شد . اين کاملا ً مشخص بود که آمريکا می بايست دوباره به قدرت اول علم و تکنولوژی تبديل شود . برای رسيدن به اين هدف ، McElroy ، همزمانی که شرکت Procter & Gamble را اداره می کرد پيشنهاد ايجاد Advanced Research Projects Agency يا ARPA را ارائه کرد . بودجه اين طرح در سال 1958 در مجلس به تصويب رسيد و اين گروه کار خود را شروع کردند . (سايت Procter & Gamble http://www.pg.com )

به سال 1966 می رويم . Bob Taylor مدير بخش Information Processing Techniques Office يا IPTO در ARPA بود . وی 3 کامپيوتر در دفتر خود داشت . يک ترمينال به کامپيوتر ِ Boston متصل بود ، يکی ديگر به San Francisco و ديگری به Santa Monica . هر کامپيوتر زبان و دستورات خاص خودش را داشت و نمی توانست با کامپيوتر های ديگر صحبت کند . اين اشکال هميشه ذهن Taylor را مشغول می کرد و اين مساله باعث توليد و ساختن ARPANET شد .

شبکه ARPA بر پايه تکنولوژی به نام Packet Switching استوار بود که منجر به ساختن پروتکول شبکه ای TCP/IP يا transmission control protocol/internet protocol شد . برای خيلی از مردم کلمه پروتکول مفهوم يک کلمه در روابط سياسی را دارد . دليل استفاده از اين کلمه در شبکه به خاطر Tom Marill و پروژه ای است که او در سال 1966 برای ARPA انجام داد . در دنيای شبکه ها ، کلمه پروتکول به معنی قوانينی است که برای انتقال پيام ها بر روی شبکه وضع شده است . بنابراين اين طور فکر کنيد که يک پروتکول قانونی است که کامپيوتر ها برای صحبت کردن با يکديگر بر روی شبکه بايد رعايت کنند . يک پروتکول شبکه بايد دارای قوانين مربوط به اعلام وصول پيغام ؛ پيدا کردن خطا و ساختار اطلاعات باشد . در بخش بعدی ، اصول شبکه های کامپيوتری ، شرح مختصری بر تکنولوژی شبکه های کامپيوتری می دهيم . خيلی از شبکه های کامپيوتری از Packet Switching استفاده می کنند ، بنابراين بخشی نيز برای اين موضوع اختصاص داديم . ARPANET رشد پيدا کرد و تبديل به اينترنت شد ، در حقيقت اينترنت شبکه ای از کامپيوتر هاست که از TCP/IP استفاده می کنند .

در سال 1995 بيل گيتس گفت ،" اينترنت مهمترين چيزی است که بعد از IBM PC در سال 1981 ساخته شده است . اين حتی مهم تر از به وجود آمدن رابط تصويری کاربران GUI است ، اينترنت يک موج بزرگ اقيانوس است . اينترنت همه قوانين را تغيير خواهد داد ". برای چند سال اينترنت بيشتر در دانشگاه ها استفاده می شد . اينترنت يک ابزار تحقيقاتی بود نه يک ابزار تجاری . پست الکترونيکی متداول ترين ابزار اينترنتی بود . اين موضوع وقتی World Wide Web توسط Tim Bernerslee ايجاد شد تغيير پيدا کرد . در بخش وب درباره اينکه چرا يک شاخص مهم اينترنت است و چگونه از اينترنت استفاده می کند می پردازيم ، اما توجه داشته باشيد ، وب اينترنت نيست و اين دو با هم تفاوت دارند . وب وقتی محبوب شد که Marc Andreesen که دانشجوی دانشگاه Illinois بود برای آن رابط گرافيکی ساخت و نام آن را موزايک نهاد . درک سريع مايکروسافت از اهميت پشتيبانی از وب و مرورگر آن باعث ايجاد يکی از داغ ترين مباحث روز ، جنگ مرورگر ها ، بين آنها و Netscape شد . سياست مايکروسافت در حذف کردن رقيبانش باعث دادگاهی شدن آن شده که هنوز به جايی نرسيده است . مرورگرها يک استاندارد خاص دارند که در پايه و اساس مهم نيست محصول چه شرکتی باشند ، مهم اين است که ابزار ديدن وب ، مرورگر ها هستند . در بخش وب درباره HTML ؛ URL و HTTP توضيحاتی داده خواهد شد . اين سه چيز وب را تعريف می کنند . وب تنها يک ابزار اينترنتی است ، در بخش ابزار های اساسی اينترنت درباره چند ابزار ديگر اينترنت مانند FTP ، Telnet توضيحاتی می دهيم . قسمتی از URL مربوط می شود به نام گذاری کامپيوتر ها . نام ها و شماره های کامپيوتر ها يکی از مهمترين مفاهيم اينترنت است ، نحوه تبديل نام ها به آدرس های اينترنتی را در بخش سيستم Domain ها بررسی می کنيم .همچنين يکی ديگر از مصارف مهم اينترنت در حال حاضر جستجو به دنبال اطلاعات است ، در بخشی به همين نام روش های اينکه چگونه سريع تر به هدف خود برسيم بررسی می شود . در آخر نيز نگاهی به آينده اين تکنولوژی خواهيم داشت .

اصول شبکه های کامپيوتر



تجارت اينترنتی بدون وجود يک شبکه کامپيوتری بی معنی است . در حقيقت ، اين يک توانايی ِ کامپيوترها است که آنها را به ابزارهای قدرت مندی برای تجارت تبديل کرده است . تصور کنيد که يک Floppy Disk يا Zip Disk را فقط می توانستيد از طريق پست يا پيک به شخص ديگری بفرستيد ، يا تصور کنيد که ديگر نمی توانستيد از طريق اينترنت کالايی را سفارش دهيد چه مشکلاتی پيش می آمد ؟. در اين بخش اصول شبکه های کامپيوتری را بررسی می کنيم . در شکل 1 يک شبکه ساده کامپيوتر نمايش داده شده است . به خاطر دلايلی به آن شبکه ستاره ای گفته می شود . HUB که در مرکز اين شبکه قرار دارد يک سخت افزار شبکه ای ساده است که اطلاعات را از يک کامپيوتر در شبکه می گيرد و به کامپيوتر ديگر انتقال می دهد . شبکه ای که در شکل يک نشان داده شده است به LAN يا Local Area Network يا شبکه محلی معروف است . يک LAN شبکه ارتباطی است که از کابلها ، کامپيوتر ها و بعضی سخت افزارهای شبکه ای تشکيل شده است و در يک منطقه فيزيکی محدود مانند يک ساختمان يا يک طبقه از آن به کار می رود .

شکل يک :


چند اصطلاح :



* Packet : وقتی يک پيغام بر روی شبکه ارسال می شود ( مانند يک ايميل) ، آن پيغام به پيغام های کوچک تری شکسته می شود که به آنها packet می گويند .
* Ethernet : يکی از مهمترين تکنولوژی های موجود در LAN ها Ethernet است . اين تکنولوژی توسط Robert Metcalfe و David Boggs در Xerox PARC ايجاد شد . بوسيله Ethernet هر کامپيوتری بر روی شبکه می تواند به هر کامپيوتر ديگری اطلاعات بفرستد . اما ، هيچ وقت دو کامپيوتر همزمان نمی توانند بر روی خط مطلب خود را بيان کنند . اگر دو کامپيوتر همزمان packet ی را ارسال کنند يک برخورد يا Collision اتفاق می افتد . Ethernet تکنولوژی است که در آن راه هايی برای جلوگيری از اين برخورد و دوباره فرستادن اطلاعات در نظر گرفته شده . وقتی يک برخورد رخ داد اطلاعات بعد از يک مدت زمان کوتاه تصادفی دوباره ارسال می شود . Ethernet يک پروتکول ساده برای متصل شدن يک کامپيوتر به شبکه است .
* Bandwidth : وقتی درباره شبکه های کامپيوتری بحث می شود bandwidth يا پهنای باند به ظرفيت آن شبکه گفته می شود . پهنای باند معمولا ً با واحد های کيلو بيت در ثانيه ، مگابيت در ثانيه و گيگابيت در ثانيه بيان می شود . کلمات broadband ، narrowband و midband نيز برای اين منظور استفاده می شود . اين کلمات مقدار دقيقی را بيان نمی کنند و هر چند سال مفهوم سرعت در آنها تغيير می کند در حال حاضر broadband به شبکه هايی با پهنای باند حداقل 10 مگابيت در ثانيه ، midband از 1 تا 10 مگابيت در ثانيه و narrowband زير 1 مگابيت در ثانيه است .



ALOHAnet :

ALOHAnet يک شبکه راديويی کامپيوتری بود و برای جزاير هاوايی طراحی شده بود تا کامپيوترهای آنجا بتوانند با يکديگر ارتباط داشته باشند . آن شبکه بوسيله Norman Abramson ، پروفسور دانشگاه هاوايی طراحی شده بود . ALOHAnet بر روی نظريه اصلی Ethernet که فرستادن دوباره packet ها در صورت برخورد بود طراحی شد .

وقتی LAN های سازمان های بزرگ در يک گستره وسيع جغرافيايی به يکديگر متصل شدند شبکه بزرگ تری به نام WAN يا Wide Area Network ساخته شد . شکل دو نمونه ای از اين شبکه است . Router يک سخت افزار شبکه ای است مسئول فرستادن و مسيريابی يک packet از يک LAN به LAN ديگری است . LAN ها می توانند بوسيله هر نوع تکنولوژی به يک ديگر متصل شده باشند ، کابل نوری ، سيستم های بی سيم ، leased phone line .

شکل دو



اگر می خواهيد برای يک شرکت ، شبکه کامپيوتری نصب کنيد يا شبکه موجود را ارتقا دهيد بهتر است به نکات زير توجه کنيد :

1 , چه نوع اطلاعاتی بر روی اين شبکه فرستاده می شود ؟ صدا ، تصوير يا متن ؟

2 , پهنای باند شبکه چه مقدار خواهد بود ؟

3 , تا چه حد شبکه قابل اطمينان خواهد بود ؟

4 , آيا پهنای باند آن نيازهای آينده را نيز بر طرف خواهد کرد ؟

5 , سرعت با اضافه شدن ترافيک تا چه ميزان پايين می آيد ؟

6 , هزينه آن چقدر است ؟

7 , تا چه ميزان امنيت دارد ؟

8 , پروتکول های آن چيست ؟ آيا با شبکه های ديگر سازگار است ؟



Packet switching و TCP/IP



شکل سه را در نظر بگيريد . فرض کنيد کامپيوتر A در شيکاگو می خواهد با کامپيوتر B در San Antonio ارتباط برقرار کند . مسيرهای مختلفی بين اين دو نقطه وجود دارند . برای برقراری ارتباط ، آنها بايد يک مسير را انتخاب کرده و شروع به ارسال اطلاعات بکنند . تا موقعی که A و B از اين مسير استفاده می کنند کامپيوتر های ديگر نمی توانند بر روی آن مسير اطلاعاتی بفرستند . برقراری ارتباط از طريق يک مسير مشخص و فرستادن اطلاعات بر روی آن به Circuit Switching معروف است . اين روش کاملا ً مشابه سيستم های تلفن است (Public Switched Telephone Network , PSTN) . همچنين به آن POTS يا Plain Old Telephone Service نيز گفته می شود . سيستم عمومی تلفن آنالوگ است و از امواج برای انتقال اطلاعات استفاده می شود .

يکی از مشکلات circuit switching در نظر گرفتن نوع و ميزان اطلاعات هنگام گرفتن مسير است . برای مثال ، circuit switching را مانند يک بزرگراه فرض کنيد . شکل سه را يک شبکه ای از بزرگراه ها فرض کنيد و شخصی می خواهد از شيکاگو به San Antonio برود . با تئوری circuit switching بايد ابتدا يک مسير انتخاب کند ، مثلا ً ، شيکاگو به Memphis و به San Antonio . تمام بزرگراه های بين اين سه شهر در مدت زمانی که لازم است تا از شيکاگو به San Antonio برسد توسط آن شخص رزرو می شود . اين بدان معنی است که اگر شخصی بخواهد از شيکاگو به Nashville برود مسير شيکاگو تا Memphis تا زمانی که شخص اول به San Antonio نرسيده است بسته شده .

شکل سه


Circuit Switching يک مشکل برای کامپيوترها است بدليل اينکه انتقال اطلاعات در آن پيوسته می باشد و حتما ً مسير مورد نظر بايد برقرار بشود تا انتقال اطلاعات شروع شود . راه دوم برای انتقال اطلاعات به جای circuit switching استفاده از packet switching است . مبحث packet switching بوسيله Paul Baron و Donald Watts Davies در سالهای 1960 ابداع شد . Paul Baron متنهايی را در توصيف packet switching در زمانی که در شکل RAND بوده است نوشته . اين کارها در زمان جنگ سرد انجام شد و محرک وی برای اين کار طرحی بود که شبکه ها حتی هنگام حمله اتمی نيز قابليت خود را از دست ندهند .

برای درک مفهوم packet switching ، فرستادن يک نامه را از شيکاگو به San Antonio در نظر بگيريد . به جای اينکه کل نامه از يک مسير خاص برود می توانيم نامه را به تعدادی packet تقسيم کنيم . بر روی packet ها آدرس منبع و مقصد نوشته شده و هر کدام به صورت جداگانه ارسال می شود .

* هر packet شماره ای خاص دارد به طوری که در مقصد آنها را دوباره مانند حالت اول می توان به هم متصل کرد .

* هر packet دارای آدرس منبع و مقصد است .

* packet وقتی فرستاده می شوند که به ظرفيت مورد نظر برسند .

* Packet ها به شکل جداگانه بر روی شبکه فرستاده می شوند و ممکن است که از يک مسير حرکت نکنند . ممکن است مسيری که packet اول رفته اشغال بشود و packet بعد از آن بايد مسير جداگانه ای را طی کند .

در آن زمان Packet switching يک فکر بنيادی بود . AT&T در آن زمان انجام چنين کاری را غير ممکن می دانست . اما ، کارهای زيادی که بر روی اين مدل انجام می شد بر روی Larry Roberts که در ARPA کار می کرد تاثير زيادی داشت . او شروع به ساختن packet switching در ARPA کرد . دو شرکت بزرگ آن زمان ، IBM و AT&T ، در آن کار شرکت نکردند .

Packet switching يک تئوری در شبکه ها است و يک پروتکول نيست . پروتکولی که در اينترنت استفاده می شود TCP/IP است . IP در TCP/IP پروتکول اينترنت است و مسئول انتقال اطلاعات در آن می باشد . کامپيوتر هايی که در اينترنت هستند بايد نرم افزاری برای IP داشته باشند . به packet هايی که از الگوی IP تبعيت می کنند IP Datagram گفته می شود . اين ديتاگرام ها دارای دو بخش هستند ، يکی header و ديگری بخش داده ها . در مثال سيستم نامه ، header مطالبی است که روی پاکت نامه نوشته می شود و داده ها مطالب درون پاکت نامه است . header معمولا ً دارای اطلاعات زير است :

* کل طول packet

* IP مقصد

* IP منبع

* زمان انتقال : هر packet دارای طول عمری است که اگر صفر بشود هر router ی که آن را ببيند آن packet را حذف می کند . اين خاصيت از گردش بدون پايان packet در شبکه جلوگيری می کند .

* اطلاعات برای کنترل خطا

آدرس های IP از سخت افزار مجزا هستند . برای انتقال بر روی شبکه های مختلف packet ها بوسيله قاب ها فرستاده می شود . سخت افزار ها می توانند قاب ها را درک کنند و بوسيله آنها packet ها را بخوانند .

TCP در TCP/IP مسئول ارسال و دريافت اطلاعات است . اين نرم افزار همانطور که از نامش پيدا است ، packet ها را بازسازی می کند و اگر packet ی خراب شده بود اطلاع می دهد . اگر packet ی گم شده بود درخواست دوباره فرستادن آن را می کند و اگر از يک packet دو نسخه وجود داشت يکی را حذف می کند . نرم افزار TCP همچنين مسئول برقراری ارتباط ِ دو کامپيوتر بر روی شبکه است . نرم افزارهای TCP و IP با يکديگر کار می کنند .

هر packet مانند نامه دارای آدرس برگشت است . يک آدرس کامپيوتری به چه شکلی است ؟ چون کامپيوتر است ، فقط مفهوم 0 و 1 برای آن روشن است . يک نوع آدرس دهی مشهود برای اين کار استفاده از آدرس های باينری است . البته ، آدرس های IP به شکل مقدار 32 بيتی هستند ، مانند 128.135.130.201 .

تمام آدرس های IP از اين شکل تبعيت می کنند ، چهار قسمت برای عدد و سه نقطه بين آنها . به اين روش نشانه گذاری dotted-decimal می گويند . هر بخش احتياج به يک بايت يا 8 بيت دارد که در کل 32 بيت می شود . با اين شکل آدرس دهی در مبنای ده راحت تر از مبنای دو است .

NAP : به ايستگاه های switch در شهرهای بزرگ گفته می شود که در آن شبکه های با پهنای باند بسيار بالا با يکديگر آميخته می شوند .

طبق تعريف ما ، اينترنت به شبکه ای از کامپيوتر ها گفته می شود که از TCP/IP استفاده می کنند .اما چه کسی آن شبکه را می سازد و از آن نگهداری می کند ؟ ستون فقرات اينترنت ، کابلهای نوری با پهنای بايد بسيار بالا شهرهای مهم دنيا را به هم متصل کرده اند ، اين کابلها توسط شرکتهای مهم مخابراتی مانند MCI WorldCom(!!) ، Sprint ، AGIS ، PSINet و ... کنترل می شود . ISP ها بزرگ در NAP ها به اين ستون فقرات متصل هستند . کاربران برای اتصال به اينترنت از اين ISP ها استفاده می کنند . اين نکته را هم در نظر داشته باشيد که تعداد زيادی پروتکول ِ ديگر وجود دارد . مانند Token Ring ، AppleTalk و Novell NetWare .

وب

اينترنت شبکه ای از کامپيوتر هاست که از TCP/IP استفاده می کند . اما ، وب چيست ؟ وب محصول تفکرات Tim Berners-Lee درباره hypertext و ادغام آن با اينترنت است .

اول ، ايده hypertext . اين کلمه مربوط به Ted Nelson می شود . خواندن کتاب به شکل سطر به سطر و از صفحه اول است . بحث hypertext اين است که به شخص اجازه دهد که بدون خواندن به شکل سطر به سطر به مطلب مورد نظر خود برسد . بحث کليدی در اينجا اين است که hypertext دارای پيوند (link) هايی به متنهای ديگر است . با دنبال کردن پيوند ها ، خواننده نياز به تبعيت از روش معمول سطر به سطر را ندارد . hypertext می تواند به منابعی به غير از text نيز پيوند داده شود ، مانند صدا و تصوير . قبل از اينکه وب به شکل کنونی اش تبديل شود يک محصول تجاری برای اين کار وجود داشت ، نام آن Guide بود که توسط Owl Ltd. پخش می شد . اگر روی يک پيوند در Guide کليک می کرديد مطلب مربوط به آن پيوند جايگزين آن می شد . شرکت اپل نيز محصولی به نام Hypercard داشت که همين کار ها را انجام می داد ، ولی هيچ کدام از آنها از اينترنت استفاده چندانی نمی کردند .

Tim Berners-Lee در CERN در قسمت پردازش و ذخيره نتايج مطالعات علمی فعاليت می کرد . (CERN يک موسسه آزمايشگاهی فيزيک در سويس بود ) . در CERN دانشمندان زيادی از کشور های مختلف کار می کردند ، بنابراين آنها از سيستم عامل ها و مدل های مختلف فايلها استفاده می کردند . خواندن اطلاعات سيستم های کامپيوتری مختلف برای آن دانشمندان کار دشواری بود . اين همان مشکلی بود که Bob Taylor در ARPA داشت . Berners-Lee مطمئن بود که نمی تواند دانشمندان آن را مجبور کند که از سيستم جديدی برای انجام کارهايشان استفاده کنند . اين خيلی مهم بود که هر کسی با سيستم مورد علاقه اش کار کند و در ضمن بتواند اطلاعات را با ديگران به اشتراک قرار بدهد . راه حلی که Berners-Lee ايجاد کرد ادغام اينترنت و hypertext بود که منجر به ايجاد World Wide Web شد . سه عنصر اساسی HTML ، HTTP و URL که هر سه توسط خودش ساخته شده بود نيز در وب گنجانده شد .

1 ) HTTP يا HyperText Transfer Protocol : به ياد بياوريد که پروتکول به مجموعه قوانينی گفته می شد که برای انتقال اطلاعات بر روی شبکه از آن ها استفاده می شد . HTTP يک پروتکول سطح بالا برای انتقال اطلاعات بين server و مرورگر است . HTTP از TCP/IP برای ايجاد يک اتصال بين server و مرورگر استفاده می کند . پيغامهايی که بين مرورگر و سرور ارسال می شود يا request (درخواست ) است يا response (پاسخ) . پيغام درخواست حاوی ، 1 ، نام فايل مورد نظر و حالت post يا get است ، 2 ، header ی که حاوی نام و مدل مرورگر و سيستم عامل است ، 3 ، متن که حاوی اطلاعات است ، مانند فرستادن اطلاعات يک فرم . پاسخی که از سرور فرستاده می شود دارای ، 1 ، يک خط که آيا فايل مورد نظر در سرور وجود داشت يا اينکه خطايی رخ داده است ، 2 ، header ی که حاوی اطلاعات نرم افزار سرور است ، 3 ، بدنه که حاوی متن html ِ فايل مورد نظر است . يک درخواست و پاسخ http در شکل د نشان داده شده است .

GET و POST :حالت GET هنگامی است که بدنه درخواست خالی است و می خواهيم اطلاعات بگيريم و POST زمانی است که می خواهيم به سرور اطلاعاتی را بفرستيم .

2) HTML يا HyperText Markup Language : اين زبانی است که توسط مرورگر ها تفسير می شود و بوسيله آن متن ها و گرافيک را نمايش می دهند .

3) URL يا Uniform Resource Locator : اين آدرس صفحه وب است . هر پيوند شما را به آدرس صفحه مورد نظر می برد . هر URL بايد از قوانينی که در ادامه ذکر خواهد شد تبعيت کند .



شکل چهار



هر URL دارای سه بخش است ،

* پروتکول اينترنتی مانند HTTP و ....

* آدرس يا نام سرور

* آدرس و نام فايل در سرور



URL که در شکل پنج نمايش داده شده را در نظر بگيريد . در اين مثال پروتکول HTTP است . آدرس يا نام سرور gsbkip.uchicago.edu است . فايل مورد نظر نيز foo.html است که اين فايل در دايرکتوری htmls/tmp قرار دارد .

شکل پنج



تصور کنيد که شخصی صفحه ای را می بيند که در آن پيوندی به فايل foo.html دارد . پيوند ، مشخص می کند که نام سرور و آدرس آن کجا است ، همچنين می گويد که فايل مورد نظر در چه دايرکتوری وجود دارد . وقتی اين درخواست به سرور فرستاده شد ، سرور فايل را به صورت packet به ماشين درخواست کننده می فرستد در نتيجه در مرورگر وی نمايش داده می شود. نکته مفيد اين سيستم اين است که لزومی ندارد سيستم های کامپيوتر سرور و کامپيوتری که مرورگر در آن نصب است يکسان باشد .

اين سيستم احتياج به دو برنامه دارد ، يکی مرورگر مانند Internet Explorer يا Netscape که در کامپيوتر بيننده نصب می شود و ديگری يک سرور HTTP که در سرور نصب می شود . سرور های HTTP به packet های ارسالی به آن گوش می دهند . وقتی فهميد که فايلی را از آن درخواست می کنيم آن را به شکل packet به کامپيوتر ما می فرستد .

نرم افزارهای مختلفی برای سرور ِ HTTP وجود دارد که معروف ترين آن Apache که 60 در صد از بازار را در دست دارد است . آپاچی بر روی سيستم عامل های Linux ، Unix و ويندوز نصب می شود . نام آپاچی به خاطر اين است که هر تکه از آن را برنامه نويس های مختلف که به هم ربطی هم نداشته اند نوشته و می نويسند . بعد از آپاچی ، Internet Information Server ِ مايکروسافت در ويندوز 2000 است که 20 در صد بازار را در اختيار دارد ، بعد از آن نيز ، IPlanet ِ شرکت سان با 6.5 در صد ِ بازار وجود دارد .

نوشته شده توسط جواد شاهوند در 12:20 | | لینک به این مطلب

وین گیت از نصب تا راه اندازی

 با سلام
نصاب وینگیت رو اجرا نمایید .
توجه داشته باشید تنها در صورتی وینگیت رو اجرا کنید که تمامی کارت های شبکه نصب شده باشند و به اونها آدرس آی پی مورد نظرتون رو اختصاص داده باشید .
یه صفحه باز میشه که مربوط به لایسنس وینگیت هست . قسمت موافقت رو انتخاب کنید
I Agree
چنانچه وینگیت رو جهت سرور نصب میکنید رادیو باتون دوم و جهت ریموت قسمت اول رو انتخاب کنید .
Continue
Next
کلید ساز را اجرا کرده و یک نام جهت لایسنس در کلید ساز وارد کرده و خروجی را کپی و بعد از انتخاب رادیو باتون در حالت لایسنسد ورشن آن را در قسمت مربوطه در نصاب وینگیت پیست نمایید .
Next
چنانچه کرک بدرستی ایجاد و انتقال داده شده باشد این مرحله با موفقیت طی خواهد شد .
در این قسمت باید یک مسیر برای نصب وینگیت انتخاب کنید .
توجه داشته باشید در این بخش باید مسیری را انتخاب کنید که فضای کافی جهت کش و لوگ های وینگیت وجود داشته باشد .
پیشنهاد : درایو دوم - با فضای ده گیگابایت
Next
در حالت اکسپرس یا سفارشی نصب را ادامه دهید .
Next
باکس احراز هویت را بصورت غیر فعال رها کرده و نصب را ادامه دهید .
Next
باکس وینگیت میل سرور را نیز غیر فعال کرده و نصب را ادامه دهید .
Next
قسمت ای ان اس یا
Extended Networks
را فعال کرده و ادامه دهید
Next
بخش وی پی ان یا
Virtual Private Wingate
را غیر فعال کرده و نصب را ادامه دهید
Next
باکس بروز رسانی خودکار را غیر فعال کرده و نصب را ادامه دهید.
Next
دکمه شروع
Begin
را کلیک نمایید .
پس از اتمام نصب وینگیت و بستن تمام پنجره های باز به سوال وینگیت مبنی بر راه اندازی مجدد جهت آماده سازی وینگیت پاسخ موافق بدهید .
OK
پس از راه اندازی مجدد سیستم وینگیت به حالت آماده جهت استفاده در آمده است .

در اولین اجرا :
یک آیکون سمت راست پایین صفحه نمایش اضافه شده است که تشخیص آن به راحتی امکان پذیر است .
روی آم کلیک راست نمایید .

Start Gate Keeper اجرای کنسول مربوط به وینگیت
Start Engine راه اندازی سرویس های وینگیت
Stop Engine متوقف کردن سرویس های وینگیت
Exit خروج و بستن وین گیت

قسمت اول را انتخاب کنید .
بصورت پیش فرض ادیمینیستریتور بدون کلمه عبور وارد شده و سپس وینگیت از شما جهت بالا بردن امنیت خود کلمه ی رمز را درخواست میکند . پس از وارد کردن رمز وین گیت اجرا میشود .
به وین گیت خوش آمدید !

در صفحه اصلی وینگیت دو بخش کلی وجود دارد .
قسمت بزرگتر که سمت راست شما قرار دارد مربوط به وضعیت کاربران و بطور کلی وینگیت میباشد .
در این بخش میتوانید با استفاده از تب های پایین صفحه وضعیت وینگیت و کاربران را چک نمایید .
قسمت اول فعالیت ها : در این بخش چنانچه هر سیستمی با استفاده از وینگیت به اینترنت دتسرسی داشته باشد با آدرس آی پی از سایرین جدا شده و درخواست های نت شده با آیکون آبی رنگ و درخواست ها منتهی به پروکسی با آیکون زرد رنگ قابل تشخیص هستند .
در بخش شبکه یا نتورک میتوانید لیست سیستم های موجود در شبکه را ببینید .
در قسمت هیستوری اتفاقات رخ داده از ابتدای اجرا وینگیت تا کنون رو میبینید .
در قسمنت فایر وال هم درخواست هایی که بیرون ریخته میشوند را میتوانید ببینید.

در قسمت کوچکتری که سمت چپ قرار دارد کنترل وینگیت را میتوانید انجام دهید .
سرویس های دی اچ سی پی + وین ساک + جی دی پی + پاپ تری + اس ام تی پی را متوقف کنید . در صورتی که به آنهای نیاز داشتید آن را استارت کنید . اینکار را با کلیک راست روی آن میتوانید انجام دهید .
برای متوقف کردن این سرویس ها بهتر است روی آنها دو بار کلیک کرده و از بخش سرویس استارت آپ سرویس ایز دیزیبلد را انتخاب کنید . سپس روی آن سرویس کلیک راست کرده و استپ سرویس را انتخاب نمایید .

قسمت کشینگ را باز کرده و تنظیمات مربوط به کش را انجام دهید . (حجم کش و از دیگر تب ها انتخاباتی برای آنچه که باید و نباید کش شود )
قسمت اسکتندد نتورک را باز کرده و فایر وال را روی قسمت کاستوم قرار دهید .
تب فایر وال را باز کرده و دو باکس دوم و سوم را غیر فعال کنید . در صورتی که بخواهید سایرین بتوانند سیستم شما را پینگ کنند میتوانید این دو بخش را فعال نگه دارید .
به قسمت پورت سکیوریتی وارد شده و تمامی پورت های آللو رو حذف کنید .
اینکار را در تمامی قسمت ها یعنی :
Connection From the Internet
LAN connection to WinGate PC
LAN connection to Internet
ور روی پروتکل های
TCP , UDP
انجام دهید .
پورت های
135 - 137 - 139 - 443 - 445
را با استفاده از قسمت اد و انتخاب تمامی باکس های مربوط به کانکشن ها و پروتکل ها ببندید .
سایر پورت هایی که فکر میکنید از طریق آنها احتمال حمله وجود دارد را نیز ببنید .
در قسمت لوگینگ همه ی انتخاب ها را فعال کنید تا از وقایع وینگیت با خبر باشید .
در قسمت کنترل روی بخش سرویس ها کلیک کرده و همه سرویس ها را به غیر از
WWW Proxy Server
حذف کنید .
توجه داشته باشید این سرویس ها را بعدا هم میتوانید اضافه کنید .
روی سرویس دوبار کلیک کرده و تنظیمات مورد نظر خود را وارد کنید .
تنظیماتی نظیر پورت که بطور پیش فرض 80 میباشد .
بایندینگز که مربوط به کارت شبکه ای می باشد که کاربران از طریق آن به سرور و در نهایت به پروکسی سرور دسترسی داشته باشند .
کارت های فعال در بخش بالاتر و غیر فعال در بخش پایینی قرار دارند .
اضافه کردن یا برداشتن کارت ها را میتوانید با دو بار کلیک کردن روی آن ها انجام دهید .
بخش اینتر فیس را روی رادیو باتون اول قرار دهید .
در بخش کانکشن چنانچه میخواهید درخواست کاربرانی که از پروکسی استفاده میکنند را به سیستم یا سروری دیگر انتقال دهید رادیو باتون دوم را فعال کرده و آدرس و پورت سرور مورد نظر را وارد کنید .
در غیر این صورت این بخش را در حالت دایرکتلی رها کنید .
قسمت لوگینگ را نیز بطور کامل فعال کنید .

بخش کاربران یا یوزرز
در این بخش میتوانید یوزر نیم و پسورد کاربر وینگیت را ایجاد / حذف یا تغییر دهید .
با دو بار کلیک روی آخرین قسمت یعنی سیستم پولیسیز و دوبار کلیک روی قسمت اوری وان و باز کردن قسمت بن لیست میتوانید از طریق وین گیت نیز فیلترینگ را اعمال کنید .
باکس اینیبل بن لیست را فعال کرده و با استفاده از دکمه اد دست به کار شوید .

در آخر کار دکمه ی ذخیره
Save
را کلیک کرده و یکبار سیستم را بطور کلی راه اندازی مجدد نمایید .

با اجرای وینگیت میتوانید وضعیت کاربران را همانطور که گفته شد ببنینید .
امیدوارم تونسته باشم اون چیزی که مد نظرتون بود رو عرض کرده باشم .

نوشته شده توسط جواد شاهوند در 11:45 | | لینک به این مطلب

نصب و پیکربندی سرویس*دهنده Squid

نصب و پیکربندی سرویس*دهنده Squid

یک پراکسی سرور یک سرویس کارآمد جهت شبکه شما یا شبکه شما و اینترنت است که امنیت بالاتری را جهت کاربران اینترنت فراهم می کند و هم چنین می تواند بعنوان یک کش سرور هم استفاده شود که باعث بالا رفتن بازدهی سرور شما و سرعت آن در دسترسی به اینترنت می شود.

Squid اولین برنامه Proxy-Cache با کارآیی بالا بود که به عنوان بخشی از پروژه ی Harvest توسعه داده شد. Squid به راحتی نصب می شود و فایل پیکربندی پیش فرض آن برای نود درصد نصب*ها درست است و نیازی نیست فایل را تغییر دهید و بهتر است بعضی انتخاب*ها مثل قوانین نوسازی را تا زمانی که تجربه ی کافی به دست نیاورده*اید، تغییر ندهید. در این مقاله بر روی انتخاب های پایه ی squidکار خواهیم کرد. در حقیقت در این مقاله انتخاب هایی را که در ده درصد ماشین های دیگر تغییر می کند، معرفی می*کنیم.

نصب از طریق Pack

جهت نصب Squid ابتدا اطمینان حاصل نمایید که شما بعنوان root وارد شده اید. سپس از فرمان rpm به صورت زیر استفاده کنید:

# rpm –ivh /mnt/cdrom/RedHat/RPMS/squid-*.rpm

شما در هنگام نصب تعداد زیادی از هش (#) را مشاهده می کنید که نشان از نصب squid دارد. برای نصب Squid در توزیع دبیان و توزیع*های مبتنی بر آن می*توانید از دستور apt-get install squid استفاده نمایید.

نصب از طریق کد منبع

اگر شما مایل به نصب squid از طریق فایل های source هستید، می*توانید این کار را جهت همه نسخه*های لینوکس انجام دهید. یادآور شوم که شما احتیاج به دریافت جدیدترین سورس پایدار squid از وب سایت آن هستید. سورس squid به صورت فایل فشرده شده tar است که شما احتیاج دارید ابتدا آن را غیر فشرده نمایید :

# tar -zxf squid-2.3.STABLE4-src.tar.gz

هنگامی که شما فایل فشرده tar را غیر فشرده نمودید شما از این طریق احتیاج به تنظیم و نصب Squid به صورت زیر دارید:

# cd squid-2.3.STABLE4
# ./configure
# make all
# make install

برای کسب اطلاعات بیشتر جهت نصب آن فایل INSTALL را که در سورس کد موجود است را می توانید مورد بررسی قرار دهید.

تنظیم نمودن Squid

همه تنظیمات این پراکسی سرور در فایل پیکربندی آن است ( squid.conf ) که بستگی به نسخه لینوکس شما ممکن است در مسیرusr/local/squid/etc/squid.conf/ یا etc/squid.conf/ یا etc/squid/squid.conf/ باشد. قبل از انجام هرکاری شما باید مسیر این فایل را در سیستم تان پیدا نمایید:

# updatedb
# locate squid.conf

فایل پیکربندی Squid خود دارای صد و بیست وپنح برچسب جهت انجام تنظیمات است که ما در اینجا همه آن ها را پوشش نخواهیم داد و به اصلی ترین آن ها اشاره خواهیم نمود.

شروع تنظیمات مقدماتی

در فایل پیکربندی squid.conf تعداد زیادی توضیح وجود دارد که قابل استفاده هستند که در این حالت حجم فایل در حدود 76 کیلو بایت است که در صورت حذف این توضیحات حجم آن به 600 بایت کاهش می یابد! که در این صورت ویرایش آن از طریق ویرایش گرها آسان تر خواهد شد.

تعیین درگاه squid

در این مرحله آدرس درگاهی را که squid از آن به درخواست های سرویس*گیرنده*ها گوش می دهد را مشخص می کنیم:

http_port 3128

در صورتی که squid cache ما به عنوان web server نیز عمل کند، شماره درگاه را 80 قرار می دهیم.

همچنین می توان از چند درگاه برای این کار استفاده کرد:

http_port 80 3128

تنظیم محل ذخیره objectهای Cache شده:


پارامتر اول نوع سیستم فابل جهت دایرکتوری ذخیره objectها را تعیین می کند. نوع قدیمی تر آن ufs می باشد. پارامتر دوم مسیر ذخیره داده*ها را مشخص می*کند. پارامتر سوم حجم داده*ها بر روی دیسک بر حسب (مگابایت) را مشخص می کند. پارامترهای چهارم و پنجم تعداد زیر شاخه ها (اولین و دومین رده) برای ایجاد در این شاخه را مشخص می*کنند. این کار جستجو برای یافتن یک object را راحتتر می کند.

برای استفاده از دو هارد دیسک جهت ایجاد کارآیی بهتر و دسترسی سریعتر به صورت زیر عمل می کنیم:

cache_dir /var/spool/squid/ 100 16 256
cache_dir /mnt/hdb2 100 16 256

/mnt/hdb2 نقطه اتصال هارد دیسک دوم است.

ID قابل اجرای گروه و کاربر:

Squid اگر به عنوان root شروع شود، تنها می تواند به پورت های شماره پایین (مثل پورت80 ) بچسبد. در ضمن از لحاظ امنیتی هم صحیح نیست که پروسه*ای به عنوان root در حال اجرا باشد. Squid به محض چسبیدن به پورت شبکه ID های گروه و کاربر را تغیر می دهد. این ID ها را به صورت زیر مشخص می کنیم:

cache_effective_user squid
cache_effective_group squid

e-mail برای مدیر cache

اگر Squid از کار بیفتد، یک e-mail به آدرس مشخص شده با برچسب cache_mgr ارسال می شود. همچنین این آدرس به انتهای صفحه های خطایی که به کاربران ارسال می*شود، اضافه می شود. (به حتم با این صفحات در ضمن کار با اینترنت در منزلتان برخورد کرده اید.)

cache_mgr admin@domain.com

اطلاعات FTP login

FTP جهت انتقال فایل های تصدیق شده (فایل هایی که احتیاج به نام کاربر و کلمه عبور دارند) نوشته شده است. برای دسترسی عمومی، یک حساب کاربر مخصوص به نام کاربر anonymouse ساخته شده است. وقتی که شما به یک سرور FTP وارد می شوید، از آن به عنوان نام کاربری خود استفاده می کنید. به عنوان کلمه ی عبور هم از آدرس email خود استفاده کنید. Squid به شما اجازه می دهد که آدرس e-mail ی که به این منظور استفاده می شود را به وسیله ی برچسب ftp_user تنظیم کنید:


کنترل دسترسی و عملگرهای کنترل دسترسی:

access contro list یاACL جهت کنترل دسترسی به Cache مورد استفاده قرار می گیرد. در کنترل دسترسی دو عنصر وجود دارد: کلاس ها و عملگرها.

کلاس ها: یک کلاس معمولا به مجموعه ای از کاربرها ارجاع داده می*شود.

عملگرها: روی مجموعه ای از acl ها برای ICP و HTTP عمل می کند. یعنی شما می توانید مجموعه های مختلفی از پروتکل های مختلف داشته باشید. برای هر پروتکل یک acl_operator متفاوت وجود دارد. به عنوان مثال برچسب های icp_access و http_access و snmp_access.

acl name type (string|”filename”) [string2][string3][“filename2”]

-Name تعریف شده باید در فایل unique باشد.

-String می تواند یک رشته از IPها باشد:

acl mynet src 10.0.0.0/255.0.0.0

-اگر دو string را پشت سر هم بیاوریم آنها را با or جدا می کنیم:

acl mynet src 10.0.0.0/255.0.0.0 10.1.0.0/255.255.0.0

-اگر String ها بسیار بزرگ باشند آنها را در یک فایل ذخیره کرده و سپس نام فایل را به جای String می آوریم.

acl mynets src “/etc/squid/mynets”

در زیر انواع مشهور ACL که کاربرد فراوانی دارند تشریح می کینم:

1. source/destination IP address

تطابق آدرس های IP در محدوده ی تعریف شده که کلمات کلیدی src برای آدرس های مبدا و src برای مقصد استفاده می شوند:

acl mynet src -------/--------

acl mynet dst -------/--------

نکته اینکه به جای ذکر فرمت استاندارد ماسک شبکه از فرمت غیر استاندارد، یعنی ذکر تعداد یک ها، استفاده کنید. مثال:


2. source/destination Domain address

برای محدودیت دامنه ها به کار می رود. کلمات کلیدی srcdomain برای دامنه های مبدا و dstdomain برای دامنه های مقصد استفاده می شود. مثال:


نکته: برای مسدود کردن یک سایت باید هم domain و هم آدرس IP آن را مسدود کنید.

3. regular expression match of requested domain

این نوع از ACLها برای مسدود کردن سایت هایی که حاوی کلمات خاصی است، استفاده می شود. البته این دستور case sensitive است و برای گریز از آن باید از پارامتر-i استفاده کنید. مثال:


همچنین نوع دیگری به نام urlpath_regex وجود دارد که فقط مسیر و نام فایل را چک می*کند.

4. current day/time

اجازه دسترسی در زمان خاص(روز-ساعت)


که روزهای هفته به صورت زیر است:


مثال:

acl night time 17:00-24:00
acl week time SA

5. Destination port

برای تعریف مجموعه ای از پورت ها که قرار است به آنها دسترسی داشته باشید یا نداشته باشید.مثلا اگر بخواهیم دسترسی را فقط برای مجموعه خاصی از پورت ها تعریف کنیم به صورت زیر عمل می کنیم. مثال:

acl safe_port port 80 21 443 70 210 1025-65535
http_access deny !safe_port

6. protocol

برای مسدود کردن پروتکل ها با استفاده از پیشوند های سایت مثل http:// یا frp:// برای مثال:

acl ftp proto FTP

7. method

برای مسدود کردن methodها. مانند GET و POST. مثال:

acl post_class method POST

سایر ACL_OPERATOR هایی که در فایل squid.conf مورد استفاده قرار می گیرند:

no_cache - برای جلوگیری از cache کردن موارد خاص.

miss_access - اگر بخواهیم یک سری اطلاعات داخل cache را غیر قابل دسترس کنیم.

مثالی از یک مجموعه acl و acl_operator:


Logging -

به طور پیش فرض Squid فعالیت های انجام شده را در چندین فایل ذخیره می*کند:

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none

با اضافه نمودن این پارامترها Squid پیغام های خطا را در مسیر var/log/squid/cache.log/ و پیغام های دسترسی به سرور را در var/log/squid/access.log/ ذخیره می*کند که البته برنامه هایی نیز جهت آنالیز access.log قابل دریافت هسنتد که از آنها می توان به قابل دریافت هسنتد که از آن ها می توان به اشاره نمود. (که با نام sqmgrlog شهرت دارد). برای مشاهده ی نحوه گزارشگیری Squid از دستور tail استفاده می کنیم. دستور tail محتویات یک فایل گزارش را بر روی صفحه نمایش چاپ می کند.

# tail /var/log/squid/access.log

برای انکه دستور tail را مجبور کنیداین عمل را به طور پیوسته انجام دهد از سوییچ –F استفاده کنید.

اندکی در مورد upstream Proxy

شاید یکی از برتری های Squid استفاده از upstream Proxy باشد که می تواند دسترسی به اینترنت تا حد قابل ملاحظه ای بالا ببرد. بعنوان مثال وقتی ISP شما دارای کش جهت کاربرانش می باشد کش سرور شما می تواند سایت های بسیاری را در خود ذخیره کند که این خود تا حد زیادی بازدهی را در مواقع ضروری بالا می برد. یکی دیگر از مزایای Squid پشتیبانی به صورت چندگانه است بدین مفهوم که می توان چندین کش سرور را با هم ارتباط داد که Squid این کار را از طریق پروتکول ICP انجام می دهد. ICP این اجازه را به کش سرورها می دهد که از طریق پکت های سریع UDP با هم ارتباط برقرار نمایند. خوب جهت استفاده از این مزایا شما اول باید مد نظر داشته باشید که آدرس کش سرور ها چیست (proxyserver.yourisp.com) و هم چنین از چه پورتی بدین منظور استفاده می کند . استفاده از upstream Proxy به راحتی امکان پذیر است :

cache_peer proxy.yourisp.com parent 3128 3130
prefer_direct off

خط cache_peer اسم هاستینگ و نوع کشینگ "parent" و پورت پراکسی " 3128 " و پورت 3130 "ICP"را مشخص می کند. اگر کش سرور شما پروتکل ICP را پشتیبانی نمیکند. از این خط استفاده نمایید:

cache_peer proxy.yourisp.com parent 3128 7 no-query default
prefer_direct off

Sharing Caches -

توجه داشته باشید که در مواقع ضروری که یک شرکت چندین ارتباط جهت دسترسی به اینترنت داشته باشد، Squid کش نمودن سرور ها در حالت اشتراک گذاری آن ها می*پذیرد ( بدین مفهوم که چندین کش سرور با هم ارتباط داشته باشند .) در این صورت باید هر کش سرور این خط را در فایل پیکربندی خود داشته باشد:

cache_peer theotherproxy.yournetwork.com sibling 3128 3130

که اگر دقت نمایید یکی از پارامترها به sibling تغییر یافته بدین مفهوم که فایل های کش را چنانچه در کش سرور دیگر باشد آن ها را دریافت می کند.

پراکسی به صورت ترانسپرنت

ترانسپرنت نمودن پراکسی یک روش است که شما می*توانید که یک پراکسی سرور را بین شبکه و اینترنت بگذارید و بدون اینکه نیاز به تنظیمات خاصی باشد ما مستقیما به اینرنت وصل خواهیم گردید جهت نصب پراکسی به صورت ترانسپرنت شما به این چیزها احتیاج خواهید داشت :

- یک قانون فایروال (rule) و Redirect نمودن ترافیک خروجی شبکه به پراکسی سرور.
- یک قانون Squid جهت فعال کردن Squid تا اینکه به صورت ترانسپرنت عمل نماید.

جهت اجرای یک قانون فایروال شما به قانونی نظیر زیر احتیاج خواهید داشت :

# iptables –t nat –A PREROUTING –d 207.216.150.1 –p tcp –m tcp –dport 80 –j ACCEPT
# iptables –t nat –A PREROUTING –p tcp –m tcp –dport 80 –j REDIRECT –-to-ports 3128

تنظیمات مورد احتیاج Squid جهت فعال کردن Squid به صورت ترانسپرنت در اینجا ذکر شده اند:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

راه اندازی Squid:

همانطور که اشاره شد هیچ مسیر پیش فرضی جهت دخیره داده ها برای Squid وجود ندارد و مسیر آن را قبلا در فایل squid.conf تعیین کرده ایم. اشیا download شده در شاخه های swap به صورت سلسه مراتبی ذخیره می*شوند. برای ساخت شاخه های swap به صورت دستی از دستور زیر استفاده می کنیم:

# squid –z

راه اندازی پراسس squid با دستور زیر انجام می شود:

# squid –D –d 1

پارامتر –d 1 برای گزارش عملیات انجام شده مورد استفاده قرار می گیرد. حال می توانید از دستور tail برای تست کردن عملیات انجام شده استفاده کنید.

نوشته شده توسط جواد شاهوند در 11:44 | | لینک به این مطلب

ساختن Firewall با استفاده از IPTABLE

مقدمه
همراه با لینوکس یک سیستم دیواره آتشین کاملا موثر و کارا موسوم به Netfilter/iptables اراپه می شود.قسمت Netfilter بیانگر سیستم دیواره آتشین است که در سیستم عامل از پیش کارگذاشته می شود.یعنی در هسته لینوکس و iptables رابطی است که آن را کنترل می کند.
سیستم iptables بسته های IP راکه ستون اصلی اینترنت محسوب می شوند از فیلتر می گذرانند. شما می توانید با به کاربردن iptables دریافت این بسته ها راتایید ویا وجود آنها را برحسب مقصدبسته ها، نشانی های منبع و درگاها نادیده بگیرید و اجازه ورود به سیستم را به آنها ندهید.
آیپی تیبلها از کارآیی خوبی برخوردارند،زیرااز Stateful Filtering استفاده می کنند.Stateful Filtering بدین معناست که دیواره آتشین می تواند قادربه پی گیری وضعیت هر اتصال به شبکه باشد.یعنی آیپی تیبلها می دانند که کدام بسته ها معتبر بوده و باید استفاده شوند وکدام بسته ها قابل اعتماد نمی باشند.
مقررات حاکم بر فیلترسازی برای دیواره آتشین مانند آجرهایی می باشند که باچیدن آنها بر روی یکدیگر،دیواره آتشین ساخته می شود.در اصل،دستورهای فیلترسازی برای دیواره آتشین،عامل تعیین کننده اطلاعاتی است که از کامپیوتر شما می تواند به دیگر کامپیوترها ارسال ویا از کامپیوتر های دیگر دریافت شود.هنگام طراحی دستور برای فیلترسازی در دیواره آتشین، می توانید یکی از دوحالت زیر را در نظر بگیرید:

* به همه کامپیوتر های دیگر اجازه اتصال به کامپیوتر خود را بدهید،ولی از بعضی از دسترسی های خاص به سیستم خود جلوگیری کنید.

* بنابه پیش فرض کلیه اتصالهای کامپیوترهای دیگر به کامپیوتر خودرانادیده گرفته و فقط دسترسی های ویژه ای را مجاز سازید.
به نظرمی رسدکه اعمال روشی که در آن برقراری کلیه ارتباطات مجاز شمرده می شود و سپس تک تک ارتباطات بررسی و بعضی از آنا نادیده انگاشته می شوند، بهترین روش نصب دیواره آتشین می باشد. اشکال این روش در این است که شما به طور ناخواسته به ترافیک خطرناک اینترنت اجازه می دهید تا به کامپیوترشما وارد شود.
روش دیگر، این است که هرنواع اتصال و برقراری ارتباط با کامپیوتر خود را نادیده بگیرید و سپس از میان اتصالهای نادیده انگاشته شده،اتصال مورد نظررا انتخاب وبه کامپیوتر مربوط به آن مرتبط گردید.این روش بازدارنده و محدودکننده،از جنبه نظر ایمنی، بسیار بهتر است،زیرا به این ترتیب فقط دسترسی کامپیوترهایی به سیستم شما امکانپذیر می گرددکه خودتان آنها را انتخاب کرده باشید.ولی در هر صورت این روش نیز نقاط ضعف خود را دارد زیرا ممکن است به طور ناخواسته مانع اتصال و دریافت اطلاعات از کامپیوترهایی شوید که اطلاعات آنها کاملا مورد نیاز شما می باشد.دراین مقاله به دو دلیل زیر نحوه بکارگیری روش بازدارنده فوق را شرح می دهیم:
* امنیت بیشتر این روش: روش بازدارنده یک روش امن تر برای اتصال به اینترنت بشمار می رود.زیرا تقریبا به طور کامل مانع پویش درگاه و دسترسی نفوذگران به سیستم می گردد.
* سهولت بیشترپیکربندی دیواره آتشین با این روش: با توجه به این که قادربه پیگیری وضعیت هر اتصالی به شبکه می باشد. برای ساخت یک دیواره آتشین ایمن،فقط کافی است که دو دستور رعایت شوند در حالی که در روش مجازکننده باید دستورات گوناگونی را رعایت کرد و در هر حال پیچیدگی های بیش از اندازه و غیرلازم،خود نیز می تواند منجر به کاهش میزان ایمنی سیستم گردد.

برای نصب دیواره آتشین به این روش،مرحله های زیر را به دقت یک به یک انجام دهید،درغیر اینصورت ممکن است خودتان نیز نتوانید به اینترنت وصل شوید.
با حساب ریشه وارد سیستم شوید ودستورات زیر را در ترمینال وارد کنید:

ورودی های iptables منجر به پاک شدن فیلترهای موجود یا دستورات و مقررات( Network Address Translation(NAT می گردد.تحت NAT rules نشانی شبکه به صورت نشانی دیگری نمایش داده می شود و به نظر خواهد رسید که کامپیوتر شما توسط شخص دیگری استفاده می شود. NAT بیشتر هنگامی به کار می رود که کامپیوتر شما از طرف ISP اراپه شود و الزامی به ثبت یک نشانی IP برای کامپیوتر شما وجود نداشته باشد.
با تایپ دستورات زیر کلیه ارتباطات شبکه از/به کامپیوتر خود را نادیده بگیرید:
i با درج سه فرمان بالا در واقع دیواره آتشین مانع ورود هر ترافیک اینترنتی به INPUT rule یا از OUTPUT rule کامپیوتر و انتقال اطلاعات از طریق رابط های چندگانه شبکه( FORWARD rule) می گردد.
دستورات زیر را تایپ کنید تا ترافیک شبکه بتواند از طریق ابزار مجازی loopback انتقال داده شود.



درسیستم لینوکس از یک شبکه داخلی موسوم به loopback interface استفاده می شود.loopback یک ابزار فیزیکی نیست بلکه یک ابزار مجازی است.لینوکس از این ابزار مجازی (lo) برای ارتباطات داخلی خود استفاده می کند.
برقراری کلیه ارتباطات از کامپیوتر خود به دیگر کامپیوترها را باتایپ دستورات زیر ممکن سازید.



این دستورات هیچیک مشخص کننده رابط خاصی برای شبکه نمی باشند. ولی ازآنجایی که این فیلتر کلیه کامپیوترهایی راکه به کامپیوتر شما وصل می شوند شناسایی می کند، دستورات فوق به خوبی برای رابطهای نوع Ethernet، بی سیم و یا رابط شماره گیر نقطه به نقطه (PPP) به کار می روند. بر طبق اولین دستور کلیه ازتباطات خروجی انجام می گیرد. گزینه State NEW,RELATED,ESTABLISHED از دیواره آتشین می خواهد تا بسته های مربوط به اتصالهای جدید و اتصالات قبلی، انتقال داده شوند. حتی انتقال بسته های مربوط به اتصال فعلی که از درگاهی دیگر استفاده می کنند، مانند انتقال داده ای FTP نیز مجاز می گردد.بر طبق دستور دوم، بسته های برگشتی در این اتصال که در ارتباط با بسته های ارسال شده می باشند، کنترل می شوند.
(اختیاری) از دستور زیر برای برقراری ارتباطات SHH به سیستم لینوکس استفاده کنید.



با این فرمان ارتباط SHH ازطریق پورت 22 با کامپیوتر شما برقرار می شود.
تا این مرحله دیواره آتشین شما آماده شده است. مسلما نمی خواهید که با هربار راه اندازی مجدد کامپیوتر، این دستورها را دوباره تایپ کنید.بنابراین شما می توانید این دستورات را در یک اسکریپت ذخیره کنید. به عنوان مثال :



برای شروع دیواره آتشین Netfilter/iptables، در ردهت از دستور etc/init.d/iptables/ استفاده می شود. و دستورهای فیلتر دیواره آتشین در پرونده etc/sysconfig/iptables/ برای اجراهای بعدی دیواره آتشین ذخیره می گردند.شما می توانید دیواره آتشین را با اجرای اسکریپت iptables با فرمان زیر شروع کنید:


البته باید به صورت کاربر ریشه وارد سیستم شده باشید. در صورتی که به جای کلمه start در دستور فوق کلمه stop را درج کنید دیواره آتشین غیرفعال می گردد.

توجه: باوجودی که دیواره های آتشین امنیت بسیار بالایی را برای سیستم فراهم می سازند، ولی تنها وسیله امنیتی نیستند که می توانید به کار برید. دیواره های آتشین همانند قفل کردن درهای منزل می باشد ولی صددرصد مانع ورود دزدان به منزل نخواهند شد.بنابراین علاوه ایجاد یک دیواره آتشین برای حفاظت از سیستم خود باید لایه های دیگر ایمنی، همانند قفل کردن پنجره ها،استفاده از زنگ خطر وامثالهم(سایر ابزارهای ایمنی) استفاده کنید.

برگرفته از کتاب Red Hat Linux 9
نوشته جان هال،پل سری.
مترجمین: سیدامیرحسین رضوی،ملیحه دهقان، معصومه حزین
ناشر: کتاب پایتخت.

برای کسانی که می خواهند از یک GUI برای تنظیم IPtables استفاده کنند دو ابزار بسیار خوب موجود است ......كه بعد از جستجو هاي زيادي بدست آوردم.....و به راستي كم نظيرند......

1) GaurdDog

(2
FireStarter

نوشته شده توسط جواد شاهوند در 11:43 | | لینک به این مطلب

تنظیم Linux و Squid به عنوان Web Proxy

 

نوشته شده توسط جواد شاهوند در 11:39 | | لینک به این مطلب

راهنماى نصب CacheXpress

نصب CacheXpress (قسمت اول! )

روش های نصب پروكسی بصورت نامحسوس (Transparent)

1- CacheServer in LINE

اين روش ساده و راحت بهتر است برای شبكه های كوچك استفاده شود.
در اين حالت تمام تقاضا ها از Cache عبور ميكند و سپس به اينترنت ميرسد. Server فقط تقاضاهای مربوط به HTTP را بررسی كرده و در صورت امكان Cache ميكند.
در اين حالت فقط ميتوان از يک Server در شبكه استفاده كرد و در ضمن اگر سرور شما از مدار خارج شود (مثلا Crash كند) ارتباط شبکه با اينترنت، كاملا قطع می شود.
برای استفاده از اين روش بايد Gateway تمام Client ها را CacheXpress گذاشت.


2- Router Policy

با استفاده از Router فقط تقاضاهای Port 80 را به Cache Server ارسال ميکنيم و ساير تقاضا ها مسير عادی را طی ميكنند.
در اين حالت امكان استفاده از چند Cache Server را نيز داريم.
اگر Cache مشكلی پيدا كند، فقط HTTP قطع ميشود.
بار روی روتر اضافه ميشد.

براي استفاده از اين روش بايد تنظيمات زير را در Router انجام دهيد:
اين Access-List را ايجاد ميکنيم.



حال تعيين ميکنيم که Traffic ليست بالا به کجا ارسال شود.

حالا Route Policy را در Interface مورد نظر فعال ميكنيم.


حال Gateway تمام Client ها را IP Router تنظيم ميکنيم. تنظيمات Proxy نبايد در IE تنظيم شده باشد. چند صفحه وب باز ميكنيم . ترافيك بايد در قسمت Network در CacheXpress مشاهده شود و صفحه هم باز شود. (درخواستها پاسخ دريافت کنند.)


3- WCCP V1 & V2

اگر IOS روتر شما 11.3 به بعد باشد ميتوانيد از Wccp V1 و اگر از 12.0(5) T بالاتر باشد از V2 استفاده كنيد.

در اين روش حتی اگر Cache Server از مدار خارج شود، Router بصورت خودکار متوجه اين مسئله ميشود و درخواستها را به Cache Server ارسال نميکند و مستقيما بر روی شبکه ميفرستد. (ارتباط با اينترنت قطع نميشود و صرفا Cache Server از مدار خارج شده است.) با ورود مجدد Cache Server به مدار، Router پس از چند لحظه بصورت خودکار متوجه ميشود و مجددا درخواستها را به Cache Server هدايت ميکند.

براي استفاده از اين روش:

وارد محيط تنظيمات Router شويد (Configure Terminal) (Conf T)

براي از كار انداختن تنظيمات قبلی: no ip wccp web-cache
اگر با وارد کردن اين دستور، پيغام خطا (error) دريافت کرديد، بايد از WCCP Version 1 استفاده كنيد؛ در غير اينصورت Router شما قابليت استفاده از Version 2 را نيز دارد.
اين دستورات را وارد كنيد
ip wccp version 2
ip wccp web-cache
اين دستور را هم در Interface ای كه ميخواهيد عمل Redirect را انجام بدهد وارد كنيد.
ip wccp web-cache redirect out


در برنامه CacheXpress هم بايد اين تنظيمات را انجام دهيد:
از Menu ی سمت چپ، وارد قسمت WCCP شويد: (Configuration > WCCP)
WCCP را با تيک زدن! فعال كنيد.
ورژن WCCP مورد استفاده را انتخاب كنيد.
WCCP Service Group را وارد کنيد: Web-cache
WCCP Router در اين قسمت IP مربوط به Router را وارد كنيد و با کليک بر روی دکمه Save، کليه تنظيمات را ذخيره کنيد.

براي تست كردن:
در خط فرمان Router بنويسيد: show ip wccp web-cache detail
با وارد کردن اين دستور، توضيحاتی مانند آنچه در زير نوشته شده است مشاهده خواهيد کرد.


قسمت State بايد Usable باشد. و Hash Allotment هم در صورتی كه فقط يک Cache Server داشته باشيد 100 % نمايش داده ميشود.
در قسمت Packet Redirected هم تعداد Packet های فرستاده شده به Cache را ميبينيد. وقتی دوباره اين دستور را وارد کنيد، اين عدد بايد سير صعودی داشته باشد.


نصب CacheXpress (قسمت دوم! )

برنامه CacheXpress را نصب كنيد!

پس از نصب برنامه:

1- نصب درايور ترانسپرنت روي كارت شبكه

روي كارت شبكه Right Click كنيد و سپس Properties را انتخاب کنيد.. روی Install كليک كرده و Service را انتخاب كنيد. Add را بزنيد و بعد Have Disk... Browse و از مسيری كه CacheXpress در آن نصب شده است، مثلا:

را انتخاب كنيد. هنگام نصب چند اخطار ميدهد كه با کليک بر Cantinue Anyway عمليات نصب ادامه می يابد.
درايور Logisense transparent proxy driver بايد در كارت شما نصب شده باشد و تيک خورده باشد.

2- Enable IP routing

در مسير START > Program > CacheXpress ، روی Enable IP routing کليک کنيد.
با اين کار، تنظيمات مربوط به Routing در Registry ذخيره ميشود.

كامپيوتر را Restart كنيد.

حالا بايد به CacheXpress متصل شويم و تنظيمات آن را انجام دهيم. کل تنظيمات CacheXpress از طريق Web Interface آن انجام ميشود.
برای دسترسی به آن، در Browser وارد ميکنيم:


نصب CacheXpress (قسمت سوم!)

1- اولين ورود !
وقتي برای اولين بار به CacheXpress وارد می شويد، پيغامی مبنی بر وارد كردن Username و Password ميبينيد. بعد از OK كردن ، در قسمت Web management Username و Web management Password کاربر و کلمه عبور مورد نظر خود را وارد کنيد.

در اين قسمت Port های پيش فرض را هم مشاهده ميکنيد که قابل تغيير هستند. مثلا Port مربوط به Web Interface را که به آن متصل هستيد را نيز ميتوان در همين قسمت تغيير داد.

در اين قسمت مقدار Threshold را نيز که بصورت پيش فرض 1MB است را ميتوان تغيير داد. کاربرد اين گزينه در زمانی است که از دو يا چند Cache بصورت موازی استفاده ميکنيد. فايل هايی که حجم آنها از ميزان تعيين شده بيشتر باشد، بين Cache ها به اشتراک گذاشته ميشوند. اگر هم يک Server داشته باشيد، فايده اين تنظيم در اين است که فايل هايی که حجم آنها بيشتر از اين مقدار است را ميتوانيد بصورت مستقيم دريافت کنيد. دقت کنيد که اين عدد با کارايی (Performance) سيستم Cache رابطه مستقيم دارد و کم کردن اين عدد، فشار بيشتری را بر Cache وارد ميکند.

در انتها با کليک بر روی Save تغييرات را ذخيره کنيد.


2 - دادن دسترسي به يوزرها

CacheXpress بصورت پيش فرض دسترسی همه را به سرور Deny كرده است و شما بايد با توجه به نياز شبکه خود، دسترسی ها را تنظيم کنيد.
از منوی سمت چپ Configuration و سپس HTTP Access را انتخاب كنيد. در سمت راست روي دكمه Edit كليک كنيد و Match Type را روی All بگذاريد، Next كنيد، Action Type را Allow قرار بدهيد، Next كنيد.
حالا دسترسی جهت استفاده از Cache Server را برای همه مجاز کرده ايد.

براي اينكه مثلا فقط به يک محدوده IP خاص شبكه خود اجازه دسترسی بدهيد، بصورت زير عمل کنيد:

از منوی سمت چپ Configuration و سپس HTTP Access را انتخاب كنيد. همه Access list های قبلی را Delete كنيد. روی Add كليک كنيد. در قسمت Match Type گزينه Source IP address را انتخاب كنيد. Next، در قسمت Parameters محدوده IP را به اين صورت وارد كنيد:
مثلا براي محدوده 192.168.10.1 با Subnet 255.255.255.0 به اين صورت بنويسيد:
يا اگر فقط يک IP مورد نظرتان است، فقط همان يک IP را وارد کنيد. در قسمت Action هم Allow را انتخاب کنيد.
حالا بايد دسترسی ديگران را به Cache Server محدود کنيد تا فقط محدوده تعريف شده بعنوان محدوده مجاز، اجازه استفاده داشته باشند.
دوباره Add را بزنيد، Match Type را روی All قرار دهيد و Action Type را Deny كنيد. دقت كنيد كه Access list دوم كه همه را Deny كرديد حتما در پايين ترين (آخرين) قسمت قرار بگيرد.

با مطالعه بيشتر ميتونيد حالت های بيشتری نيز ايجاد كنيد.

3- مقدار فضای (حجم) Cache

از منوي سمت چپ گزينه Cache را از زير مجموعه Configuration انتخاب كنيد. در سمت راست و قسمت بالا ميتوانيد اندازه Cache را تعيين كنيد. به طور پيش فرض هيچ Drive ای تعيين نشده و 0 هست. حتما بايد اين مقدار را وارد كنيد تا Cache Server شما شروع بکار کند. براي هر 10 GB بايد 128MB حافظه آزاد (RAM) در نظر بگيريد. حالا ADD را بزنيد و روي يكی از Partition ها (بهتر است خالی باشد) به اندازه لازم! فضا به كش اختصاص بدهيد. مقدارش به مگابايت است. پس از پايان تنظيمات، با کليک بر روی Save تنظيمات را ذخيره کنيد.

در قسمت Cache control rules ميتوانيد مشخص كنيد كه مثلا سايت خاصي Cache نشود و يا بيشتر از مدت زمان خاصی در Cache باقی نماند. براي اينكار : در قسمت Cache control rules روي Add كليک كنيد و Match Type را HTTP URL انتخاب كنيد، NEXT، در قسمت Parameters آدرس سايت مورد نظر را وارد كنيد و سپس Cache Override را برايش انتخاب كنيد.
next و مقدار 0 رو انتخاب كنيد باز هم Next و تمام. اگه ميخواهيد كه براي سايت مورد نظر، زمان Time to Live بدهيد آن مقدار را كه 0 وارد کرديد، به مقدار لازم افزايش دهيد.


کنترل كنيد كه Transparent Driver را درست نصب کرده باشيد، براي اينكار :
از منوي سمت چپ و از زير مجموعه Configuration گزينه WCCP را انتخاب كنيد. سمت راست در بالای صفحه بايد نوشته شده باشد:

اگر از Wccp استفاده نمی*كنيد ، در اين قسمت دقت كنيد كه Wccp تيک نخورده باشد!

در حالت عادی هيچ نيازی به دستكاری در ساير قسمت ها نيست و در حال حاضر بايد Cache شما کار کند.

از سمت چپ، Report و سپس Overview را انتخاب كنيد. عدد روبروی HTTP Requests بايد افزايش پيدا كند. شما ميتوانيد تقاضاها را در قسمت Network از زير مجموعه Report مشاهده کنيد. در اين قسمت:
رنگ سبز = تقاضا از Cache پاسخ داده ميشود.
رنگ زرد = تقاضا در حال Cache شدن هست.
رنگ قرمز = تقاضا غير قابل Cache شدن ميباشد.

حال بايد Crack را روی برنامه اعمال کنيد. (اين کار را ميتوانيد قبل از انجام تنظيمات نيز انجام دهيد. زمان آن تفاوتی نميکند.) برای اينكار از :

سرويس CacheXpress را Stop كنيد. Crack را اجرا كنيد و فايل chachexpress.exe را از محل نصب انتخاب کنيد. پس از اعمال موفقيت آميز Crack، سرويس را مجددا Start كنيد.

نوشته شده توسط جواد شاهوند در 11:37 | | لینک به این مطلب

نصب و پیکربندی Squid

نصب و راه اندازی سرویس Squid

یک پراکسی سرور یک سرویس کارآمد جهت شبکه شما یا شبکه شما با اینترنت است که امنیت بالاتری را جهت کاربران اینترنت فراهم می کند و هم چنین می تواند بعنوان یک کش سرور استفاده شود که باعث
صرفه جویی در پهنای باند و بالا رفتن سرعت اینترنت شما شود.
Squid یکی از بسته های لینوکس میباشد که لینوکس را به عنوان یک پروکسی سرور یا همان کش سرور نتظیم میکند
حالا میرویم Squid را نصب کنیم
اگر داخل CD Linux قرار داشت این دستورات را در ترمینال لینوکس وارد میکنیم با کاربر ریشه وارد میشویم و بعد دستورات زیر را وارد میکنیم
# mount /media/cdrom
# rpm –ivh /media/cdrom/Fedora Core/RPMS/squid-*.rpm
توجه کنید این مسیر بر حسب مثال بوده شما باید مسیر کامل را وارد کنید
و بعد ار نصب این دستور را در ترمینال وارد میکنید
umount /media/cdrom
اگر شما RPM یا Pack Squid را نداشتید میتوانید Source برنامه را از سایت www.squid-cache.org دریافت نموده و آن را Compile کرده و استفاده نمایید
موقعی که شما Source برنامه را دریافت میکنید این فایل یک فایل فشرده میباشد که باید ابتدا آن را Extract نمایید که با دستور زیر این کار را میکنیم
# tar -zxf squid-2.5.STABLE4-src.tar.gz
حالا فایل فشره باز شده و فولدر با نام فایل به وجود آمده داخل فولدر شده و عملیات Compile را شروع میکنیم
# cd squid-2.5.STABLE4
# ./configure
# make all
# make install
بعد از وارد کردن دستورات بالا Squid بر روی سیستم ما نصب شده و ما میخواهیم فایل squid.conf را پیکربندی کنیم
تذکر: برای نصب Squid بهتر است همیشه RPM Squid را نصب کنیم.
حالا بسته به نوع روش نصب ما squid.conf در مسیرهای مختلفی قرار میگیرد که ما با دستور
locate squid.conf
فایل squid.conf را پیدا میکنیم و میریم سراغ پیکربندی (در اینجا مسیر را /etc/squid/squid.conf در نظر میگیریم)
فایل squid.conf دارای صد و بیست وپنح برچسب(Tag) جهت انجام تنظیمات است که ما در اینجا به همه آن ها اشاره نخواهیم داد و به اصلی ترین آن ها اشاره خواهیم نمود
خود فایل squid.conf دارای توضیحاتی میباشد که میتوانید برای کمک از آنها هم استفاده نمایید.
حالا فایل مورد نظر(squid.conf) را پیکربندی میکنیم
http_port
از این گزینه برای مشخص کردن پورت پروکسی استفاده میشود یا به عبارتی آدرس درگاهی را که squid از آن به درخواست های سرویس*گیرنده*ها گوش می دهد که پیش فرض 3128 میباشد که ما میتوانیم از چندین پورت استفده کنیم اگر از پروکسی سرور به عنوان وب سرور نیز استفاده میشود پورت 80 را نیز قرار میدهیم و یا اگر سیستم شما چند IP دارد و میخواهید به یک رنج گوش دهد به این صورت عمل میکنید
http_port 8080 3128
http_port 80 3128
http_port 45.58.69.8 3128
icp_port
مخفف Internet Cache Portocol میباشد که از این برچسب موقعی استفاده میشود که بخواهیم چند کش سرور را به هم متصل نمایم تا از اطلاعات همدیگر استفاده نماین که پورت پیش فرض آن 3130 میباشد
icp_port 3130
cache_peer Ip Or ProxyDomain parent 3128 3130
از این گزینه برای ارتباط با با کش سرورهای دیگر استفاده میشود که IP Or ProxyDomain کش سرور دیگر داده میشود Parent نوع کشینگ که سه حالت میباشد و پورت کش با پورت ICP که به شکل زیر استفاده میکنیم
cache_peer 217.218.155.147 parent 3128 3130
cache_peer 214.215.155.14 sibling 3128 3130
که sibling فقط Object های کش شده را Share میکند
hierarchy_stoplist
این برچسب یکی از برچسب های مهم Squid میباشد که میگوید مثلا
hierarchy_stoplist cgi-bin ?
پوشه های cgi-bin کش به همراه? هر فایلی داخل این پوشه(cgi-bin) بود کش نشود که پیش فرض آن این است
hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
این دو خط هم از برچسب های مهم Squid میباشند که برای این میباشد که پوشه cgi-bin و آدرس بعد این پوشه \? به هیچ وضح کش نشود no_cache
پوشه cgi-bin فایلهای با پسوند *.cgi را دارد که این فایلها مانند سایت Dynamic میباشند و بهتر است هیچ وقت کش نشوند چون اطلاعات این فایلها همیشه تغییر میکند این آدرس داخل فایل squid.conf قرار ندهید این مثال از cgi-bin میباشد.
http://55.59.57.52/cgi-bin/cachemgr.cgi
پیش فرض همین برچسبها خودشان میباشد
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem
مقدار حافظه ای که Squid برای عملیات خود در احتیاج دارد که بهتر است این مقداربسته به اندازه Ram شما بیشتر از 200-128 نباشد و از مقدار بر حسب MB میباشد
cache_mem 64 MB

maximum_object_size
بیشترین حجم فایلی که Squid میتواند کش کند را مشخص میکند که اگر این حجم زیاد باشد کش سرور شما از لحاظ امنیتی دچار ضعف شده و هکرها به راحتی میتوانند با درخواست های سنگین سرور شما را از پا در بیارند و مقدار فایل را شما با KB یا MB میتوانید مشخص کنید سعی کنید حجم فایل بیشتر از 128 MB نباشد
maximum_object_size 100 MB

minimum_object_size
کمترین حجم فایلی که Squid میتواند کش کند که سعی شود این را همیشه 0 KB بگذارید اگر Bit یا Byte گذاشته شود Squid اخطار میدهد و Run نخواهد شد
minimum_object_size 0 KB

cache_dir Type Directory-Name Fs-specific-data L1 L2
محل ذخیره objectهای Cache شده را مشخص میکند که Type مشخ کننده فرمت ذخیره شدن میباشد (Format Cache Dir) Directory-Name محل ذخیره شدن یا مسیر ذخیره کردن Object Fs حجم داده*ها بر روی دیسک بر حسب (مگابایت) را مشخص می کند پارامترهای چهارم و پنجم تعداد زیر شاخه ها (اولین و دومین رده) برای ایجاد در این مسیر را مشخص می*کنند.
فرمت به ترتیب عبارتند از
ufs فرمت قدیمی Squid میباشد
aufs فرمت که بعد از ufs وارد شد
diskd بهترین فرمت Squid که دارای 2 Option میباشد که از این مثال خواهم زد.
cache_dir diskd /var/spool/squid 3000 32 128 Q1=64 Q2=72
Q1 وQ2 از Option فرمت diskd میباشد که پیش فرض 64 و72 میباشند
cache_access_log
cache_store_log
cache_log
این سه برچسب برای گرفتن Log از کارکرد Squid و اینکه کاربران به چه سایتی میروند و کدام Object در حال کش شدن میباشد که Log مقداری از حجم هارد دیسک شما را خواهد گرفت اگر هارد شما حجم کمی دارد بهتر است این Log ها را None کنید تا هارد شما فضای خالی داشته باشد برای none کردن به این شکل عمل میکنیم
cache_access_log none
cache_store_log none
cache_log none
و اگر هارد شما فضا زیاد دارد و میخواهید Log داشته باشید به این شکل عمل کنید
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_log /var/log/squid/cache.log
که اگر این کار را انجام دهید احتیاج به یک برچسب دیگری به نام
logfile_rotate
دارید که این برچسب بر حسب روزی که مشخص میکنید Log فایلهای شما را فشره کرده تا حجمی که Log فایل میگیرد کم شود اگه این برچسب گذاشته نشود Squid شما بعد از مدتی به خاطر یاد شدن Log میخوابد و تا موقعی که Log ها را پاک نکرده Run نمیشود
logfile_rotate 4

ftp_user
برای انتقال فایلهای که از سور سرور FTP احتیاج به نام کاربر دارند مورد استفاده میشوند که شما میتوانید ایمیل خود را داده یا از کاربر میهمان anonymous استفاده نمایید
ftp_user anonymous@

dns_nameservers
Squid از DNS های که در فایل /etc/resolv.conf استفاده میکند شما با این برچسب میتوانید از DNS های دیگر استفاده نمایید
dns_nameservers 192.9.9.3 4.2.2.2

auth_param
از این ابزار برای احزار هویت کاربران استفاده میشود که پیش فرض آن چند خط میباشد
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
که از لحاظ امنیتی باید 2 برچسب دیگر اضافه نماییم تا امنیت سرور بالا رود
authenticate_ttl 1 hour
authenticate_ip_ttl 2 seconds
پارامتر authenticate_ttl تعریف کننده این مورد است که تا چه مدت زمان Squid اطلاعات Authenticate کلاینت را به خاطر بسپارد . این تنظیم در واقع کلاینت را وادار می*نماید که تا بعد از یک دوره زمانی خود را دوباره Authenticate کند
request_header_max_size
این پارامتر در این رابطه استفاده می*شود که تا مقدار سایز قابل پذیرش HTTP Header را محدود نماید . مقدار پیش فرض در اینجا ۱۰ کیلو بایت بوده که از مقدار منطقی بیشتر به نظر میرسد به این دلیل که سایز متوسط header ۵۱۲ بایت است در صورتی که سنگین ترین header ممکن است در حد کیلوبایت باشند. بیشتر حملات DoS نسبت به پراکسی سرورها اینگونه رخ می*دهد که headerهایی برای آن*ها فرستاده شود که از مقداری که پراکسی سرور می*تواند جوابگو باشد بیشتر باشد که شما میتوانید مقدار آن را تغییر دهید سعی منید بیشتر از 10 KB نباشد
request_header_max_size 8 KB

refresh_pattern
این برچسب یکی از مهمترین برچسب های Squid میباشد که برای Refresh کردن سایتهابه کار برده میشود که موقعی که سایت به روز شد یا تغییراتی در آن اعمال شد و موقعی که کاربر آن سایت را درخواست کرد این برچسب سایت را مجددا سایت را بازبینی Refresh میکند اگر این برچسبها درست باشد موقعی که سایت در خواست شد سایت فورا سایت باز میشود حتی اگر به روز شده باشد نیز نشان داده میشود اگر اشتباه باشد در باز شدن سایت تاخیر به وجود می آید و یا اگر سایت به روز شده باشد چیزی نشان داده نمیشود.
من چند خط اینجا قرار میدهم که درست میباشد و شما میتوانید از آنها استفاده نمایید
refresh_pattern ^ftp: 1440 60% 10080
refresh_pattern ^gopher: 1440 20% 1440
refresh_pattern . 0 30% 4320
اینها هم Refresh_pattern های Microsoft که تغییراتی داده ام تا درست کار کنند
refresh_pattern http://*.windowsupdate.microsoft.com/ 0 60% 20160
refresh_pattern http://office.microsoft.com/ 0 60% 20160
refresh_pattern http://windowsupdate.microsoft.com/ 0 60% 20160
refresh_pattern http://wxpsp2.microsoft.com/ 0 60% 20160
refresh_pattern http://xpsp1.microsoft.com/ 0 60% 20160
refresh_pattern http://w2ksp4.microsoft.com/ 0 60% 20160
refresh_pattern http://download.microsoft.com/ 0 60% 20160

Time Out
در این قسمت تعدادی برچسب وجود دارد که Time Out انها در اینجا تعیین میشود که میتوانید اینها را بدین شکل پیکربندی نمایید
negative_ttl 5 minutes
positive_dns_ttl 30 minutes
negative_dns_ttl 1 minute
connect_timeout 1 minute
read_timeout 15 minutes
request_timeout 5 minutes
client_lifetime 14 hours
pconn_timeout 120 seconds
shutdown_lifetime 10 seconds
که اینجا به توضیح دو برچسب میپردازیم که از لحاظ امنیتی مهم هستند
برچسب client_lifetime بیشترین زمانی است که کلاینت می*تواند به عنوان یک پروسه Squid قرار گرفته باشد. در واقع این تنظیم سرور شما را از باز بودن تعداد زیادی سوکت محافظت می*نماید . بستگی به شرایط شما ممکن است 8 ساعت مناسب باشد در صورتی که پیش فرض آن 1 روز کمی*زیاد به نظر می*رسد. با بررسی در مورد وصل شدن کلاینت*ها می*توان زمان مناسب را تشخیص داد یک نفوذگر می*تواند با استفاده از lifetime طولانی تعداد زیادی سوکت را باز نماید و این خود باعث نوعی حمله DoS می*گردد. اما پارامتر pconn_timeout شبیه به client_lifetime می*باشد با این تفاوت که فقط شامل ارتباط بیکار(Idle Connection) ها می*گردد.
acl
مخفف Access Control List میباشد جهت کنترل دسترسی به Cache مورد استفاده قرار می گیرد. در کنترل دسترسی دو عنصر وجود دارد: کلاس ها و عملگرها
کلاس ها: یک کلاس معمولا به مجموعه ای از کاربرها ارجاع داده می*شود(IP Range)
عملگرها: روی مجموعه ای از acl ها برای ICP و HTTP عمل می کند. یعنی شما می توانید مجموعه های مختلفی از پروتکل های مختلف داشته باشید. برای هر پروتکل یک acl_operator متفاوت وجود دارد. به عنوان مثال برچسب های icp_access و http_access و snmp_access

برای رد نمودن ویروسهایی که از CMD برای انتقال اسفاده میکنند
acl VIRCMD urlpath_regex winnt/system32/cmd.exe?
http_access deny VIRCMD
برای تعریف یک رنج IP
acl mynet src 217.218.0.0/24
http_access allow mynet
برای مسدود کردن سایتهای که حاوی کلمات خاصی هستند
acl badurl url_regex –i sx
http_access deny badurl
برای مسدود کردن پورتهای که از کش سرور رد میشوند
acl badports port 7 20 81
http_access deny badports
اجازه دسترسی در زمان خاص(روز-ساعت)
acl shab time 17:00-24:00
http_access allow shab
به طور پیش فرض در Squid چند خط acl وجود دارد که میتوانید از آنها استفده نمایید
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl local src 192.168.0.0/24
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow local
http_access deny all
icp_access allow all
که من این چند خط رو در این مقاله قرار دادم تا شما به راحتی بتوانید استفده متید تنها کافی است که شما Ip خود را در acl مربوط به local قرار دهید
reply_body_max_size
با استفاده از این برچسب میتوانید یک رنج را محدود به استفاده از اینترنت نمایید که بر حسب bytes میباشد
acl net src 192.168.1.0/24
reply_body_max_size 800000000000 allow net

cache_mgr
اگر Squid از کار بیفتد، یک e-mail به آدرس مشخص شده با برچسب cache_mgr ارسال می شود. همچنین این آدرس به انتهای صفحه های خطایی که به کاربران ارسال می*شود، اضافه می شود
cache_mgr Metal_S2004@Yahoo.CoM

cache_effective_user
cache_effective_group
Squid اگر به عنوان root شروع شود، تنها می تواند به پورت های شماره پایین (مثل پورت80 ) بچسبد. در ضمن از لحاظ امنیتی هم صحیح نیست که پروسه*ای به عنوان root در حال اجرا باشد. Squid به محض چسبیدن به پورت شبکه ID های گروه و کاربر را تغیر می دهد. این ID ها را به صورت زیر مشخص می کنیم
cache_effective_user squid
cache_effective_group squid

visible_hostname
برای پروکسی سرور یک نام مشخص میکنیم
visible_hostname CacheServer

httpd_accel_host
اگر ما بخواهیم از Squid برای پروکسی استفاده کنیم باید این برچسب را در squid.conf گذاشته این برچسب به این معنی است که پروکسی برای کجا استفده میشود که پیش فرض آن virtual میباشد که همه کس از هر جای دنیا میتوانند استفاده کنند یا میتوانید IP بدهید تا فقط یک رنج بتواند به عنوان پروکسی استفده کنید
httpd_accel_host virtual
httpd_accel_host 217.218.155.140

httpd_accel_port
مشخص کننده این است که به چه پورتهایی جواب بدهم که پیش فرض آن 80 میباشد
httpd_accel_port 80

httpd_accel_with_proxy
مشخص کننده این است که آیا به عنوان پروکسی سرور در شبکه عمل کنم یا نه اگر پهنای باند شما کم میباشد بهتر است این گزینه را off کنید زیرا که اگر on باشد همه میتوانند از پروکسی سرور شما استفاده نمایند
httpd_accel_with_proxy off
httpd_accel_uses_host_header
این برچسب کنترل کننده کاربرانی هست که از پروکسی سرور شما استفاده میکنند که همیشه این برچسب باید on باشد
httpd_accel_uses_host_header on
این 4 برچسب همیشه باید در squid.conf باشد تا بتوان کش سرور را run کرد

نوشته شده توسط جواد شاهوند در 11:34 | | لینک به این مطلب

Proxy Server چيست ؟

Proxy Server نرم افزاري است كه در يك شبكه حد واسط بين اينترنت و كاربران واقع مي شود. فلسفه ايجاد Proxy Server قراردادن يك خط اينترنت در اختيار تعداد بيش از يك نفر استفاده كننده در يك شبكه بوده است ولي بعدها امكانات و قابليتهايي به Proxy Server افزوده شد كه كاربرد آن را فراتر از به اشتراك نهادن خطوط اينترنت كرد . بطور كلي Proxy Server ها در چند مورد كلي استفاده مي شوند .

يك كاربرد Proxy Server ها ، همان به اشتراك گذاشتن يك خط اينترنت براي چند كاربر است كه باعث كاهش هزينه و كنترل كاربران و همچنين ايجاد امنيت بيشتر مي شود . كاربرد دوم Proxy Serverها ، در سايتهاي اينترنتي به عنوان Firewall مي باشد . كاربرد سوم كه امروزه از آن بسيار استفاده مي شود ، Caching اطلاعات است . با توجه به گران بودن هزينه استفاده از اينترنت و محدود بودن پهناي باند ارتباطي براي ارسال و دريافت اطلاعات ، معمولا" نمي توان به اطلاعات مورد نظر در زمان كم و با سرعت مطلوب دست يافت . امكان Caching اطلاعات ، براي كمك به رفع اين مشكل در نظر گرفته شده است . Proxy Server ، سايتهايي را كه بيشتر به آنها مراجعه مي شود را دريك حافظه جداگانه نگاه مي دارد. به اين ترتيب براي مراجعه مجدد به آنها نيازي به ارتباط از طريق اينترنت نيست بلكه به همان حافظه مخصوص رجوع خواهد شد .

اين امر باعث مي گردد از يك طرف زمان دسترسي به اطلاعات كمتر شده و از سوي ديگر چون اطلاعات از اينترنت دريافت نمي شود ، پهناي باند محدود موجود با اطلاعات تكراري اشغال نشود . بخصوص آنكه معمولا" تغييرات در يك Website محدود به يك يا دو صفحه مي باشد و گرفتن اطلاعات از اينترنت بدون Caching به معناي گرفتن كل سايت مي باشد حال آنكه با استفاده از Proxy Server و امكان Caching اطلاعات ، ميتوان تنها صفحات تغيير كرده را دريافت كرد .

ويژگيهاي Proxy Server

ويژگي اول : با استفاده از Proxy Server مي توان از اكثر پروتكلهاي موجود در شبكه هاي محلي در محدوده نرم افزارهاي كاربردي در شبكه هاي LAN مرتبط با اينترنت استفاده كرد .

Proxy Server پروتكلهاي پر كاربرد شبكه هاي محلي مانند IPX/SPX (مورد استفاده در شبكه هاي ناول) ، NETBEUI (مورد استفاده در شبكه هاي LAN با تعداد كاربران كم) و TCP/IP (مورد استفاده در شبكه هاي Intranet) را پشتيباني مي كند. با اين ترتيب براي اينكه بتوان از يك نرم افزار كاربردي شبكه LAN كه مثلا" با پروتكل IPX/SPX روي ناول نوشته شده ، روي اينترنت استفاده كرد نيازي نيست كه قسمتهاي مربوط به ارتباط با شبكه كه از Function Call هاي API استفاده كرده را به Function Call هاي TCP/IP تغيير داد بلكه Proxy Server خود اين تغييرات را انجام داده و مي توان به راحتي از نرم افزاري كه تا كنون تحت يك شبكه LAN با ناول كار مي كرده است را در شبكه اي كه مستقيما" به اينترنت متصل است ، استفاده كرد .

همين ويژگي درباره سرويسهاي اينترنت مانند , FTP , Telnet , Gopher , IRC RealAudio , Pop3 و . . . وجود دارد . به اين معنا كه هنگام پياده سازي برنامه با يك سرويس يا پروتكل خاص ، محدوديتي نبوده و كدي در برنامه براي ايجاد هماهنگي نوشته نمي شود .



ويژگي دوم : با Cache كردن اطلاعاتي كه بيشتر استفاده مي شوند و با بروز نگاه داشتن آنها ، قابليت سرويسهاي اينترنت نمايان تر شده و مقدار قابل توجهي در پهناي باند ارتباطي صرفه جويي مي گردد.



ويژگي سوم :Proxy Server امكانات ويژه اي براي ايجاد امنيت در شبكه دارد . معمولا" در شبكه ها دو دسته امنيت اطلاعاتي مد نظر است . يكي آنكه همه كاربران شبكه نتوانند از همه سايتها استفاده كنند و ديگر آنكه هر كسي نتواند از روي اينترنت به اطلاعات شبكه دسترسي پيدا كند . با استفاده ازProxy Server نيازي نيست كه هر Client بطور مستقيم به اينترنت وصل شود در ضمن از دسترسي غيرمجاز به شبكه داخلي جلوگيري مي شود . همچنين مي توان با استفاده از SSL(Secure Sockets Layers) امكان رمز كردن داده ها را نيز فراهم آورد.



ويژگي چهارم :Proxy Server بعنوان نرم افزاري كه مي تواند با سيستم عامل شما مجتمع شود و همچنين با IIS(Internet Information Server) سازگار مي باشد، استفاده مي گردد.

خدمات Proxy Server

Proxy Server سه سرويس در اختيار كاربران خود قرار مي دهد:

1-Web Proxy Service : اين سرويس براي Web Publishing يا همان ايجاد Web Site هاي مختلف درشبكه LAN مفيد مي باشد . براي اين منظور قابليت مهم Reverse Proxing در نظر گرفته شده است . Reverse Proxing امكان شبيه سازي محيط اينترنت درمحيط داخل مي باشد. به اين ترتيب فرد بدون ايجاد ارتباط فيزيكي با اينترنت مي تواند برنامه خود را همچنان كه در محيط اينترنت عمل خواهد كرد، تست كرده و مورد استفاده قرا دهد. اين قابليت در بالا بردن سرعت و كاهش هزينه توليد نرم افزارهاي كاربردي تحت اينترنت موثر است.

2-Winsock Proxy Service : منظور، امكان استفاده از API Callهاي Winsock در Windows است . در Windows ، Function Call هاي مورد استفاده در سرويسهاي اينترنت مانند Telnet ، FTP ، Gopher و . . . ، تحت عنوان Winsock Protocols معرفي شده اند. در حقيقت براي استفاده از اين سرويسها در نرم افزارهاي كاربردي نيازي نيست كه برنامه نويس چگونگي استفاده از اين سرويسها را پيش بيني كند.

3-Socks Proxy Service : اين سرويس، سرويس Socks 4.3a را پشتيباني مي كند كه در واقع زير مجموعه اي از Winsock مي باشد و امكان استفاده از Http 1.02 و بالاتر را فراهم مي كند. به اين ترتيب مي توان در طراحي Website خارج از Firewall ، Security ايجاد كرد.



معيارهاي موثر در انتخاب Proxy Server

1- سخت افزار مورد نياز :براي هر چه بهتر شدن توانمنديهاي Proxy Server ، بايد سخت افزار آن توانايي تحمل بار مورد انتظار را داشته باشد .

2- نوع رسانه فيزيكي براي ارتباط با اينترنت : راه حلهاي مختلفي براي اتصال به شبكه اينترنت وجود دارد . ساده ترين راه ، استفاده از مودم و خطوط آنالوگ مي باشد . راه ديگر استفاده از ISDN و خطوط ديجيتال است كه هم احتياج به تبديل اطلاعات از آنالوگ به ديجيتال و برعكس در ارسال و دريافت اطلاعات ندارد و هم از سرعت بالاتري برخوردار است . روش ديگر استفاده از خط هاي T1/E1 با ظرفيت انتقال گيگا بايت مي باشد .

• پيشنهاد مي شود كه در شبكه هاي با كمتر از 250 كاربر از ISDN و از 250 كاربر به بالا از T1/E1 استفاده شود . ( البته در ايران به علت عدم وجود خطوط ISDN و كمبود خطوط T1/E1 اين استانداردها كمتر قابل پياده سازي هستند. )

3- هزينه ارتباط با اينترنت :دو عامل موثر در هزينه اتصال به اينترنت ، پهناي باند و مانايي ارتباط مي باشد . هر چه مرورگرهاي اينترنتي بيشتر و زمان استفاده بيشتر باشد ، هزينه بالاتر خواهد بود . با توجه به اينكه Proxy Server مي تواند با Caching اطلاعات اين موارد را بهبود بخشد ، بررسي اين عامل مي تواند در تعيين تعداد Proxy هاي مورد استفاده موثر باشد .

4- نوع و نحوه مديريت سايت :اين عامل نيز در تعيين تعداد Proxyها موثر است . مثلا" اگر در شبكه اي مشكل راهبري وجود داشته باشد ، با اضافه كردن تعداد Proxyها ، مشكل راهبري نيز بيشتر خواهد شد .

5- پروتكل هاي مورد استفاده :Proxy Server ها معمولا" از پروتكلهاي TCP/IP و يا IPX/SPX براي ارتباط با Client ها استفاده مي كنند . بنابراين براي استفاده از Proxy بايد يكي از اين پروتكل ها را در شبكه استفاده كرد .

• پيشنهاد مي شود در شبكه هاي كوچك با توجه به تعداد كاربرها Proxy Server و Web Server روي يك كامپيوتر تعبيه شوند و در شبكه هاي متوسط يا بزرگ تعدادserverProxyها بيش از يكي باشد .

نوشته شده توسط جواد شاهوند در 11:31 | | لینک به این مطلب

Firewall چيست؟

وقتي قرار باشد از يك ساختمان و وسايل داخل آن محافظت كنيم، اولين كاري كه انجام می دهيم، كنترل مبادي ورود و خروج ساختمان است. به بيان ديگر فقط به افراد منتخبي ، اجازه وارد شدن (و يا خارج شدن) از ساختمان را می دهيم. معيار انتخاب افراد براي كسي كه مامور كنترل ورود و خروج است بايستي در چارچوب يك خط مشي امنيتي، از قبل مشخص باشد.

در مورد شبكه*هاي كامپيوتري نيز بطور مشخص، همين روال را پيش می گيريم. يعني مرزهاي شبكه داخلي خود را كنترل مي*كنيم. منظور از مرز شبكه، لبه تماس شبكه داخلي با شبكه(هاي) خارجي نظير اينترنت، شبكه يكي از شعب سازمان و يا شبكه يك سازمان ديگر است.

با پياده*سازي تكنيك*هاي Packet Filtering، بخشي از وظايف يك Firewall را می توان به Router(هاي) لب مرز واگذار كرد. ولي Routerها به تنهايي قادر به انجام كل وظايف يك Firewall نيستند و استفاده از Firewallها امري اجتناب ناپذير است. دليل ناكافي بودن Packet Filtering در Router لب مرز دو چيز است: يكي اينكه اصولا" تمامي تكنيك*هايي كه در Firewallها پياده سازي مي*شوند، در Router قابل اجرا نيست و گذشته از آن، اصل دفاع لايه به لايه (يا دفاع در عمق) ميگويد كه محافظت بايستي در بيش از يك لايه انجام شود. (مانند دژهاي قديمي كه با لايه*هاي مختلف (خندق، دروازه اصلي، دروازه*هاي فرعي، برجها و ...) از آنها محافظت مي*شد.

در شكل*هاي زير يك نمونه از پياده سازي Firewallها را مشاهده می كنيد.



----------------------------------------------------------------------------------------------------------



در شكل*هاي فوق، Router لب مرز، ترافيك را در سطح IP كنترل می كند. اين Router اولين لايه دفاعي شبكه محسوب مي*شود. همانطور كه مشاهده مي*شود در اين Router فقط به كاربراني از اينترنت اجازه عبور داده مي* شود كه متقاضي يكي از سرويس*هاي وب، پست الكترونيك و يا DNS باشند.

در هر شكل ناحيه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در اين ناحيه سرورهايي را قرار ميدهيم كه بايستي از اينترنت ديده شوند مانند Web Server، E-Mail Server و DNS Server. اگر بخواهيم DMZ را با يك مثال روشنتر توصيف كنيم، بايستي بگوييم كه DMZ مانند نمايشگاه و فروشگاه يك شركت است كه تقريبا" به همه اجازه داده مي*شود به داخل آن بيايند و از محصولات ما ديدن كنند، اصولا" نمايشگاه به همين منظور ايجاد شده، فلسفه وجودي Web Server اين است كه از اينترنت ديده شود.

ناحيه ديگري كه در شبكه*ها وجود دارد، ناحيه Private Network است. هيچ بسته*اي از طريق اينترنت اجازه ورود به ناحيه اختصاصي شبكه ما را ندارد مگر آنكه يكي از طرف يكي از كاربران داخلي درخواست شده باشد.

پس در ساده*ترين شكل، شبكه ما از سه ناحيه Public Network، DMZ و Private Network تشكيل شده و در مرز هر كدام از اين نواحي بايستي تمهيدات كنترلي اتخاذ كرده و عبور و مرور بسته*هاي اطلاعاتي را كنترل كنيم. در ادامه مقاله از اين سه بخش تحت عناوين Internat، DMZ و LAN نام خواهيم برد.

ممكن است علاوه بر سه ناحيه فوق، در ناحيه LAN، بخشي داشته باشيم كه از نظر حساسيت در سطح بالاتري نسبت به ساير LAN باشد. اين ناحيه، ناحيه*ايست كه سرورهاي حساس شبكه مانند سرور مالي و يا فايل سرور بخش تحقيق و توسعه قرارداد. براي اين ناحيه لازم است Firewall مجزايي پياده سازي شود. اين Firewall لايه*اي است كه به لايه*هاي امنيتي اضافه شده و دسترسي غير مجاز به اين ناحيه را مشكل*تر مي*كند:



به شكل زير توجه كنيد: (Routerها با R و Firewallها با F مشخص شده*اند)

همانطور كه ملاحظه مي*كنيد، R1 و R2 بعنوان Routerهاي لب مرز شبكه*ها را از اينترنت جدا كرده*اند. در كل مجموعه، يك DMZ داريم كه با F1 از بقيه مجموعه جدا شده است. F3 و F5 دو وظيفه بعهده دارند، يكي مرز بين اينترنت و LANهاي مربوط به خود را كنترل ميكنند، و ديگر اينكه ارتباط بين دو LAN را كنترل مي*كنند اين ارتباط ممكن است Lease Line، Wireless و يا يك زوج سيم مسي باشد. اين Firewalها با پشتيباني از سرويس VPN، ارتباط داخلي امني را بين دفترمركزي و شعبه برقرار ميكنند.

اما F2 و F4 نيز در شرايط مشابهي هستند، اين دو وظيفه جدا سازي منطقه حساس را از بقيه LAN بر عهده دارند و علاوه برآن F2 دو Subnet موجود در شبكه دفتر مركزي را نيز از هم جدا ميكند. جداسازي Subnetها از هم در راستاي محدود كردن حملات احتمالي است. اگر به نحوي يكي از Subnetها مورد حمله واقع شد، (مثلا" با Wormي كه از طريق e-mail و يا حتي از طريق ديسكت و CD وارد آن شده) اين آلودگي به همان Subnet محدود شده و ساير بخشهاي شبكه ايمن باقي بمانند.



نتيجه گيري:

ديديم كه برای تامين امنيت يك شبكه، Firewall اولين چيزی است كه بايستی پياده سازی شود. نكته حائز اهميت آنكه، نصب يك Firewall در شبكه به تنهايی امنيت آن شبكه را تامين نخواهد كرد، آنچه مهمتر است، تعريف قواعد كنترل (Rules) و اعمال تنظيمات اوليه و همچنين مهمتر از آن به روزرسانی قواعد برمبنای تكنيكهای نفوذ و حملات جديد است.

نوشته شده توسط جواد شاهوند در 11:30 | | لینک به این مطلب

Valid , Public , Static , Dynamic , Private , Invalid IP

فرقی بین Valid و Public وجود ندارد. یعنی IP های اینترنتی که Valid و Unique هستند و بایستی بابت آنها پول پرداخت کنید. حالا یا پول را نقدا پرداخته اید و یا بابت دریافت Bandwidth از شما گرفته اند. برای اتصال به اینترنت حتما باید Valid IP داشته باشید.

IP های Private که در RFC1918 تعریف شده اند و معمولا به این دلیل استفاده می شوند تا در شبکه های داخلی استفاده شوند و البته هدف اصلی آنها استفاده در NAT و بالا بردن امنیت شبکه است.

IP های Invalid آنهایی هستند که در اینترنت کار نمی کنند مثل Private ها. مثل 127.0.0.0

Static IP : از اسمش پیداست. IP شما ثابت است و هیچ وقت تغییر نمی کند. معمولا هنگام خرید سرویس های گرانقیمت اینترنت به همراه Bandwidth داده می شود و مطمئن باشید برای ISP صرف کرده که یک Static IP به شما داده است. Static IP را شخصا هم می توانید بخرید.

Dynamic IP : آی پی متغیر است. اگر با Dial up وصل شوید می بینید که در هر بار اتصال به اینترنت IP تغییر می کند. دلیلش هم ساده است. ISP که از آن سرویس اینترنت دارید یک تعداد محدودی IP دارد و لازم نیست برای هر User یک IP ثابت بخرد!!! برای همین IP های خریداری شده را داخل یک IP Pool قرار می دهد تا در هر بار اتصال User ها بشود از آنها استفاده کرد.

نوشته شده توسط جواد شاهوند در 21:51 | | لینک به این مطلب

امنیت روترهای سیسکو.

 

مطالعه این رو هم به دوستانی که در این زمینه فعالیت میکنند پیشنهاد میکنم.

نوشته شده توسط جواد شاهوند در 17:53 | | لینک به این مطلب

آموزش تصویری راه اندازی Domain

خوب با توجه به درخواست دوستان سعی کردم آموزشی رو در این زمینه به صورت تصویری قرار بدم.البته همونطور که قبلا هم اشاره کردم نصب و راه اندازی Domain نیاز به دانش کافی در این زمینه داره بنابراین از توضیح قسمت های که ضروری نیستند خودداری میکنم و در بخش هایی که نیاز به توضیح یا تغییر خاصی باشه توضیح خواهم داد در غیر اینصورت بقیه موارد -فیلدها و ... به صورتی که در شکل مشاهده میکنید خواهد بود.

نکته مهم : در این سناریو چون DNS Server هم به همراه Active Directory بر روی یک کامپیو تر نصب میشه می بایست در تنظیمات ای پی آدرس سرور Preferd DNS Server را ای پی 127.0.0.1 قرارا دهیم.

اولین قدم:نصب ویندوز 2003 سرور

بعد از نصب و اعمال تغییرات لازم از جمله IP Address ها ساعت کامپیوتر و .. از منوی استارت Run را باز کرده عبارت زیر را برای شروع Wizard راه اندازی DC آغاز میکنیم :DCPROMO.exe




خوب طی شکل مراحل رو تا شکل 4 ادامه میدیم.

همونطور که در این شکل ملاحضه می کنید باید DomainName رو برای شبکه انتخاب کنید که من Secure.Local رو انتخاب کردم

نکته : از انتخاب پسوند های Root نظیر com , net , org و ... خودداری کنید .پسوند های متداول برای شبکه های خصوصی عبارتند از local , Private , Home و ...


در بخش بعدی NetBios Name هست که خود wizard انتخاب میکنه.و تا آخر Wizard همه مراحل رو طبق شکل طی کنید فقط در قسمت Restore password mode یک پسورد دلخواه انتخاب کنید.








نکته قبل از اینکه Next آخر رو بزنید سی دی ویندوز 2003 رو در سی دی رام قرار بدید.

سپس تا اتمام نصب که یک اخطار مبنی بر Restart کردن سیستم ظاهر میشه صبر کرده بعد سیستم رو Restart کنید.

نکته : بعد از Restart کردن پروسه Preparinل for network Connection زمانی در حدود 5 دقیقه به طول خواهد کشید

فعلاتا اینجا سرور ما به یک Domain Controller تبدیل شده.

خوب حالا نوبت Join کردن کامپیوتر کاربران به Domain هست .برای این منظور ابتدا به بخش Administrative Tools رفته و گزینه Active Directory Users and Computers رو باز میکنیم سپس از مسیری که در شکل های زیر نشان داده شده یک Username برای هر کاربر ایجاد میکنیم.






خوب بعد از ایحاد username از طریق نشان داده شده با استفاده از کاربر Administrator دومین تمامی کامپیوتر ها رو Join به دومین میکنیم.

نکته : قبل از Join کردن کامپیوتر ها به دومین می بایست ای پی آدرس Preferd ِDNS Server کاربران را ای پی آدرس سرور DC قرار رهیم در غیر اینصورت کاربران قادر به Join شدن به دومین نخواهند بود.





بعد کامپیوتر را Restart کرده کاربران با استفاده از Username ای که در Active Directory برای آنها ایجاد کرده ایم Log On میکنند و به عبارتی Log On to Domain
خسته نباشید

نوشته شده توسط جواد شاهوند در 19:17 | | لینک به این مطلب

آموزش تصویری راه اندازی CCProxy

 قبل از هر چیز لازم به ذکره که برنامه CProxy با CCProxy تفاوت داره.
همونطور که میدونید از نرم افزار CCProxy برای Share کردن پهنای باند استفاده میشه.این نرم افزار در عین کوچکی و ساده گی قابلیت های جالب و قدرتمندی داره.
به خصوص نیاز به چنین برنامه هایی در کافی نت ها گاها محسوس هستش.

خوب و اما آموزش:
بعد از نصب برنامه به قسمت Account میریم.همونطور که مشاهده میکنید پنل اصلی مدیریتی این برنامه در این بخش هست.
در قسمت Permit Category سه گزینه موجوده .
1-Permit All
2-Permit Only
3-Permit All But


این قسمت بیانگر این هست که چه کاربرانی اجازه دسترسی به اینترنت رو داشته باشن و چه کاربر هایی نداشته باشند بطبع گزینه Permit All به همه کاربران این اجازه رو صادر میکنه.

Permit Only تنها به کاربران محدود و Permit All But اجازه دسترسی به اینترنت رو به همه به جز کاربران مشخص شده رو صادر میکنه.خوب فعلا برای ادامه کار گزینه Permit Only را انتخاب میکنیم

در قسمت Auth Type گزینه IP Address رو انتخاب میکنیم.

بعد در قسمت مشخص شده گزینه Auto Scan رو میزنیم. با این کار لیستی از کاربران که با سرور اتصال دارن رو مشاهده میکنیم.

نکته :مقدار -1 در این برنامه مفهوم خاصی داره به این معنی که هیچ محدودیتی روی کاربران اعمال نشده.

خوب فعلا تنظیمات مقدماتی سرور کافیه. بر روی کاپیوتر کلاینت ها رفته در قسمت تنظیمات پروکسی برنامه هایی که نیاز داریم از اینترنت استفاده کنند این مشخصات رو وارد میکنیم:

Proxy Setting:

Address:Server IP Address
Port:808
تنظیمات پروکسی روی هر برنامه ای که به اینترنت متصل میشه وجود داره.مثلا روی Yahoo Messenger,DAP,Fire Fox,Internet Explorer,Babylon,Emule,Merphues,LimeWire,Flash Get

البته تنظیمات بر روی Fire Fox متفاوته.برای توضیحات کامل تر راجع به پورت ها به Help این برنامه مراجعه کنید.در قسمتClient Proxy Configuration


تا اینجای کار پهنای باند اینترنتی رو برای رنامه هایی که روی اون ها پروکسی ست شده فراهم کردیم.

نوشته شده توسط جواد شاهوند در 19:8 | | لینک به این مطلب

افزايش سرعت شبكه در ويندوز XP

نوشته شده توسط جواد شاهوند در 20:37 | | لینک به این مطلب

معرفی رادیو Linksys WRT54G Wireless G Route

 This Product Has Limited Exchange Privileges.

Linksys WRT54G Wireless G Router
Wireless-G is the 54Mbps wireless networking standard that's almost five times as fast as the widely deployed Wireless-B (802.11b) products found in homes, businesses, and public wireless hotspots around the country — but since they share the same 2.4GHz radio band, Wireless-G devices can also interoperate with existing 11Mbps Wireless-B equipment.

Since both standards are built in, you can protect your investment in existing 802.11b infrastructure, and migrate to the new screaming fast Wireless-G standard as your needs grow.

The Linksys Wireless-G Broadband Router is really three devices in one box. First, there's the Wireless Access Point, which lets you connect Wireless-G or Wireless-B devices to the network. There's also a built-in 4-port full-duplex 10/100 Switch to connect your wired-Ethernet devices. Connect four PCs directly, or daisy-chain out to more hubs and switches to create as big a network as you need. Finally, the Router function ties it all together and lets your whole network share a high-speed cable or DSL Internet connection, files, and other resources such as printers and hard disk storage space.

To protect your data and privacy, the Wireless-G Broadband Router can encode all wireless transmissions using 128-bit WEP encryption, and also supports industrial-strength Wi-Fi Protected Access™ (WPA) wireless security. The Router protects your PC from most known Internet attacks with a powerful Stateful Packet Inspection firewall. It can also serve as a DHCP Server, supports VPN pass-through, and can be configured to filter internal users' access to the Internet. And even with all this power, set up is a snap with the web browser-based configuration utility.

With the Linksys Wireless-G Broadband Router at the center of your home or office network, you can share a high-speed Internet connection, files, printers, and multi-player games with the flexibility, speed, and security you need!

Specifications

• Standards:
  - IEEE 802.3
  - IEEE 802.3u
  - IEEE 802.11g Draft
  - IEEE 802.11b
• Channels:
  - 11 Channels (US, Canada)
  - 13 Channels (Europe)
  - 14 Channels (Japan)
• Ports/Buttons:
  - Internet: One 10/100 RJ-45 Port
  - LAN: Four 10/100 RJ-45 Switched Ports
  - One Power Port
  - One Reset Button
• Cabling Type: Ethernet Network Cable
• LEDs:
  - Power
  - DMZ
  - WLAN
  - LAN (1, 2, 3, 4/DMZ)
  - Internet
• RF Power Output: 15 dBm
• Security:
  - Stateful Packet Inspection (SPI) Firewall
  - Internet Policy
  - Packet Filters
  - Wireless Security Wi-Fi Protected Access (WPA)
  - Wireless MAC Filtering
• Dimensions:
  - Length: 7.32 in. (186 mm)
  - Width: 1.89 in. (48 mm)
  - Height: 7.87 in. (200 mm)
• Weight: 17 oz. (0.48 kg)
• Power: External 5V DC, 2.0A
• Certifications: FCC
• Operating Temperature: 32°F~104°F (0°C~40°C)
• Storage Temperature: -4°F~158°F (-25°C~70°C)
• Operating Humidity: 10% to 85% Non-Condensing
• Storage Humidity: 5% to 90% Non-Condensing

A Closer Look

 

 

Wireless-G Broadband Router Setup CD-ROM with User Guide and Symantec Internet Security 2003 Power Adapter Ethernet Network Cable Quick Installation Guide Registration Card

نوشته شده توسط جواد شاهوند در 20:21 | | لینک به این مطلب

VPN ، نظری و عملی

برقرار کردن امنیت برای یک شبکه درون یک ساختمان کار ساده ای است . اما هنگامی که بخواهیم از نقاط دور رو ی داده های مشترک کار کنیم ایمنی به مشکل بزرگی تبدیل می شود . در این بخش به اصول و ساختمان یک VPN برای سرویس گیرنده های ویندوز و لینوکس می پردازیم .

اصول VPN
فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلا” در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است . انجام این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است .
استفاده از FTP هم به سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که اصلا” قابل اطمینان نیست .
یکی از راه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم ، پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود . از این گذشته ، هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است . اما اگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد . در این حالت ، کاربران می توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند . به این ترتیب بسیاری از راه های خرابکاری برای نفوذ کنندگان بسته می شود .
شبکه های شخصی مجاری یا VPN ( Virtual private Network ) ها اینگونه مشکلات را حل می کند . VPN به کمک رمز گذاری روی داده ها ، درون یک شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز عبور را در اختیار داشته باشد می تواند به این شبکه وارد شود . مدیران شبکه ای که بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی شبکه محلی هم پیاده کنند . اگر چه نفوذ کنندگان می توانند به کمک برنامه های Packet sniffer جریان داده ها را دنبال کنند اما بدون داشتن کلید رمز نمی توانند آنها را بخوانند .

-4.1.1 VPN چیست ؟
VPN دو کامپیوتر یا دو شبکه را به کمک یک شبکه دیگر که به عنوان مسیر انتقال به کار می گیرد به هم متصل می کند . برای نمونه می توان ب دو کامپیوتر یکی در تهران و دیگری در مشهد که در فضای اینترنت به یک شبکه وصل شده اند اشاره کرد . VPN از نگاه کاربر کاملا” مانند یک شبکه محلی به نظر می رسد . برای پیاده سازی چنین چیزی ، VPN به هر کاربر یک ارتباط IP مجازی می دهد .
داده هایی که روی این ارتباط آمد و شد دارند را سرویس گیرنده نخست به رمز در آورده و در قالب بسته ها بسته بندی کرده و به سوی سرویس دهنده VPN می فرستد . اگر بستر این انتقال اینترنت باشد بسته ها همان بسته های IP خواهند بود .
سرویس گیرنده VPN بسته ها را پس از دریافت رمز گشایی کرده و پردازش لازم را روی آن انجام می دهد . روشی که شرح داده شد را اغلب Tunneling یا تونل زنی می نامند چون داده ها برای رسیدن به کامپیوتر مقصد از چیزی مانند تونل می گذرند . برای پیاده سازی VPN راه های گوناگونی وجود دارد که پر کاربرد ترین آنها عبارتند از
Point to point Tunneling protocol یا PPTP که برای انتقال NetBEUI روی یک شبکه بر پایه IP مناسب است .
Layer 2 Tunneling protocol یا L2TP که برای انتقال IP ، IPX یا NetBEUI روی هر رسانه دلخواه که توان انتقال Datagram های نقطه به نقطه ( Point to point ) را داشته باشد مناسب است . برای نمونه می توان به IP ، X.25 ، Frame Relay یا ATM اشاره کرد .
IP Security protocol یا Ipsec که برای انتقال داده های IP روی یک شبکه بر پایه IP مناسب است .

-4.1.2 پروتکل های درون تونل
Tunneling را می توان روی دو لایه از لایه های OSI پیاده کرد . PPTP و L2TP از لایه 2 یعنی پیوند داده استفاده کرده و داده ها را در قالب Frame های پروتکل نقطه به نقطه ( PPP ) بسته بندی می کنند . در این حالت می توان از ویژگی های PPP همچون تعیین اعتبار کاربر ، تخصیص آدرس پویا ( مانند DHCP ) ، فشرده سازی داده ها یا رمز گذاری داده ها بهره برد.
با توجه به اهمیت ایمنی انتقال داده ها درVPN ، دراین میان تعیین اعتبار کاربر نقش بسیار مهمی دارد . برای این کار معمولا” از CHAP استفاده می شود که مشخصات کاربر را در این حالت رمز گذاری شده جابه جا میکند . Call back هم دسترسی به سطح بعدی ایمنی را ممکن می سازد . در این روش پس از تعیین اعتبار موفقیت آمیز ، ارتباط قطع می شود . سپس سرویس دهنده برای برقرار کردن ارتباط جهت انتقال داده ها شماره گیری می کند . هنگام انتقال داده ها ، Packet های IP ، IP X یا NetBEUI در قالب Frame های PPP بسته بندی شده و فرستاده می شوند . PPTP هم Frame های PPP را پیش از ارسال روی شبکه بر پایه IP به سوی کامپیوتر مقصد ، در قالب Packet های IP بسته بندی می کند . این پروتکل در سال 1996 از سوی شرکت هایی چون مایکرو سافت ، Ascend ، 3 com و Robotics US پایه گذاری شد . محدودیت PPTP در کار تنها روی شبکه های IP باعث ظهور ایده ای در سال 1998 شد .L2TP روی X.25 ،Frame Relay یا ATM هم کار می کند . برتری L2TP در برابر PPTP این است که به طور مستقیم روی رسانه های گوناگون WAN قابل انتقال است .

4.1.3 - VPN-Ipsec فقط برای اینترنت
Ipsec برخلافPPTP و L2TP روی لایه شبکه یعنی لایه سوم کار می کند . این پروتکل داده هایی که باید فرستاده شود را همراه با همه اطلاعات جانبی مانند گیرنده و پیغام های وضعیت رمز گذاری کرده و به آن یک IP Header معمولی اضافه کرده و به آن سوی تونل می فرستد .
کامپیوتری که در آن سو قرار دارد IP Header را جدا کرده ، داده ها را رمز گشایی کرده و آن را به کامپیوتر مقصد می فرستد .Ipsec را می توان با دو شیوه Tunneling پیکر بندی کرد . در این شیوه انتخاب اختیاری تونل ، سرویس گیرنده نخست یک ارتباط معمولی با اینترنت برقرار می کند و سپس از این مسیر برای ایجاد اتصال مجازی به کامپیوتر مقصد استفاده می کند . برای این منظور ، باید روی کامپیوتر سرویس گیرنده پروتکل تونل نصب شده باشد . معمولا” کاربر اینترنت است که به اینترنت وصل می شود . اما کامپیوترهای درون LAN هم می توانند یک ارتباط VPN برقرا کنند . از آنجا که ارتباط IP از پیش موجود است تنها برقرار کردن ارتباط VPN کافی است . در شیوه تونل اجباری ، سرویس گیرنده نباید تونل را ایجاد کند بلکه این کار ار به عهده فراهم ساز (Service provider ) است . سرویس گیرنده تنها باید به ISP وصل شود . تونل به طور خودکار از فراهم ساز تا ایستگاه مقصد وجود دارد . البته برای این کار باید همانگی های لازم با ISP انجام بگیرد .ٍ

۴.۱.۴- ویژگی های امنیتی در IPsec
Ipsec از طریق Authentication Header ( AH ) مطمئن می شود که Packet های دریافتی از سوی فرستنده واقعی ( و نه از سوی یک نفوذ کننده که قصد رخنه دارد ) رسیده و محتویات شان تغییر نکرده . AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی (Seguence Number ) در خود دارد تا از حملات Replay جلوگیری کند . اما AH رمز گذاری نمی شود . رمز گذاری از طریق Encapsulation Security Header یا ESH انجام می گیرد . در این شیوه داده های اصلی رمز گذاری شده و VPN اطلاعاتی را از طریق ESH ارسال می کند .
ESH همچنین کارکرد هایی برای تعیین اعتبار و خطایابی دارد . به این ترتیب دیگر به AH نیازی نیست . برای رمز گذاری و تعیین اعتبار روش مشخص و ثابتی وجود ندارد اما با این همه ، IETF برای حفظ سازگاری میان محصولات مختلف ، الگوریتم های اجباری برای پیاده سازی Ipsec تدارک دیده . برای نمونه می توان به MD5 ، DES یا Secure Hash Algorithm اشاره کرد . مهمترین استانداردها و روش هایی که در Ipsec به کار می روند عبارتند از :
• Diffie-Hellman برای مبادله کلید ها میان ایستگاه های دو سر ارتباط .
• رمز گذاری Public Key برای ثبت و اطمینان از کلیدهای مبادله شده و همچنین اطمینان از هویت ایستگاه های سهیم در ارتباط .
• الگوریتم های رمز گذاری مانند DES برای اطمینان از درستی داده های انتقالی .
• الگوریتم های درهم ریزی ( Hash ) برای تعیین اعتبار تک تک Packet ها .
• امضاهای دیجیتال برای تعیین اعتبارهای دیجیتالی .

4.1.5 - Ipsec بدون تونل
Ipsec در مقایسه با دیگر روش ها یک برتری دیگر هم دارد و آن اینست که می تواند همچون یک پروتکل انتقال معمولی به کار برود .
در این حالت برخلاف حالت Tunneling همه IP packet رمز گذاری و دوباره بسته بندی نمی شود . بجای آن ، تنها داده های اصلی رمزگذاری می شوند و Header همراه با آدرس های فرستنده و گیرنده باقی می ماند . این باعث می شود که داده های سرباز ( Overhead ) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود . اما روشن است که در این وضعیت ، خرابکاران می توانند به مبدا و مقصد داده ها پی ببرند . از آنجا که در مدل OSI داده ها از لایه 3 به بالا رمز گذاری می شوند خرابکاران متوجه نمی شوند که این داده ها به ارتباط با سرویس دهنده Mail مربوط می شود یا به چیز دیگر .

4.1.6 – جریان یک ارتباط Ipsec
بیش از آن که دو کامپیوتر بتوانند از طریق Ipsec داده ها را میان خود جابجا کنند باید یکسری کارها انجام شود .
• نخست باید ایمنی برقرار شود . برای این منظور ، کامپیوترها برای یکدیگر مشخص می کنند که آیا رمز گذاری ، تعیین اعتبار و تشخیص خطا یا هر سه آنها باید انجام بگیرد یا نه .
• سپس الگوریتم را مشخص می کنند ، مثلا” DEC برای رمزگذاری و MD5 برای خطایابی.
• در گام بعدی ، کلیدها را میان خود مبادله می کنند .
Ipsec برای حفظ ایمنی ارتباط از Security Association (SA ) استفاده می کند . SA چگونگی ارتباط میان دو یا چند ایستگاه و سرویس های ایمنی را مشخص می کند . SA ها از سوی SPI ( Security parameter Index ) شناسایی می شوند . SPI از یک عدد تصادفی و آدرس مقصد تشکیل می شود . این به آن معنی است که همواره میان دو کامپیوتر دو SPI وجود دارد :
یکی برای ارتباط A و B و یکی برای ارتباط B به A . اگر یکی از کامپیوترها بخواهد در حالت محافظت شده داده ها را منتقل کند نخست شیوه رمز گذاری مورد توافق با کامپیوتر دیگر را بررسی کرده و آن شیوه را روی داده ها اعمال می کند . سپس SPI را در Header نوشته و Packet را به سوی مقصد می فرستد .

4.1.7 - مدیریت کلیدهای رمز در Ipsec
اگر چه Ipsec فرض را بر این می گذارد که توافقی برای ایمنی داده ها وجود دارد اما خودش برای ایجاد این توافق نمی تواند کاری انجام بدهد .
Ipsec در این کار به IKE ( Internet Key Exchange ) تکیه می کند که کارکردی همچون IKMP ( Key Management Protocol ) دارد. برای ایجاد SA هر دو کامپیوتر باید نخست تعیین اعتبار شوند . در حال حاضر برای این کار از راه های زیر استفاده می شود :
• Pre shared keys : روی هر دو کامپیوتر یک کلید نصب می شود که IKE از روی آن یک عدد Hash ساخته و آن را به سوی کامپیوتر مقصد می فرستد . اگر هر دو کامپیوتر بتوانند این عدد را بسازند پس هر دو این کلید دارند و به این ترتیب تعیین هویت انجام می گیرد .
• رمز گذاری Public Key : هر کامپیوتر یک عدد تصادفی ساخته و پس از رمز گذاری آن با کلید عمومی کامپیوتر مقابل ، آن را به کامپیوتر مقابل می فرستد .اگر کامپیوتر مقابل بتواند با کلید شخصی خود این عدد را رمز گشایی کرده و باز پس بفرستد برا ی ارتباط مجاز است . در حال حاضر تنها از روش RSA برای این کار پیشنهاد می شود .
• امضاء دیجیتال : در این شیوه ، هر کامپیوتر یک رشته داده را علامت گذاری ( امضاء ) کرده و به کامپیوتر مقصد می فرستد . در حال حاضر برای این کار از روش های RSA و DSS ( Digital Singature Standard ) استفاده می شود . برای امنیت بخشیدن به تبادل داده ها باید هر دو سر ارتبا طنخست بر سر یک یک کلید به توافق می رسند که برای تبادل داده ها به کار می رود . برا ی این منظور می توان همان کلید به دست آمده از طریق Diffie Hellman را به کاربرد که سریع تر است یا یک کلید دیگر ساخت که مطمئن تر است .

4.1.8 – خلاصه
تبادل داده ها روی اینرنت چندان ایمن نیست . تقریبا” هر کسی که در جای مناسب قرار داشته باشد می تواند جریان داده ها را زیر نظر گرفته و از آنها سوء استفاده کند . شبکه های شخصی مجازی یا VPN ها کار نفوذ را برا ی خرابکاران خیلی سخت می کند .

نوشته شده توسط جواد شاهوند در 21:28 | | لینک به این مطلب

مبانی شبکه در ویندوز

شاید این چیزهایی که من آموزش دادم رو بلد باشین .
خودتون به بزرگواری تون ببخشید .

مباني شبكه در ويندوز

ويندوز ميكرو سافت در رده سيستم هاي عامل روميزي است كه شبكه هاي نقطه به نقطه را پشتيباني مي كند . راه اندازي و گرداندن چنين شبكه اي آسان است. بسياري از مفاهيم شبكه از يونيكس گرفته شده و در يك رابط كاربري گرافيكي با كاربردي آسان و زيبا بسته بندي شده است.



كاررا با تئوري در مورد تفاوتهاي بين روشهاي حوزه و گروههاي كاري توضيح مي دهيم از آنجا كه شبكه سازي TCP/IP در ويندوز اختلافات خاص خود را داراست، ابتدا به طور خلاصه به شرح آن مي پردازيم ودر آخر به برسي عناويني نظير پيكر بندي هاي ايستگاه كاري و عيب يابي شبكه توكار ويندوز و ابزار لازم برا ي مسلط شدن بر مشكلات خواهم پرداخت.

بومي سازي

ما در اينجا تنها روي ابزار شبكه سازي ميكرو سافت متمركز خواهيم شد. اگر از تئوري شبكه سازي ويندوز آگاه باشيد، بهتر خواهيد توانست مشكل آن را حل كرد. هفت مؤلفه در شبكه سازي ويندوز موفق بايد مد نظر قرار گيرد:
● سرويس هاي نامگذاري (WINS, NetBIOS, DNS)
● سرويس هاي تصديق گيري(حوزه NT يا اشتراك در گروه كاري)
● سرويس فايل و چاپ(SNB)
● سرويس ها يخاص پروتكل(WINS,DHCP)

يادداشت : به مجموعه شبكه اي ميكروسافت برخي اوقات فايل و چاپ ميكرو سافت گفته مي شود.

همانطور كه انتظار داريد،اجزاي ويندوز 95 ساده تر از تنظيم يك شبكه .يندوز NT است البته بلوك هاي ساختماني مشابه هستند. اگر از شبكه سازي فايل و چاپ ميكرو سافت استفاده مي كنيد.

NetBEUI

NetBEUI يك پرتكل غير قابل مسير يابي است كه در بالاي خود NetBIOS را اجرا مي كند؛ تصور كنيد كه NetBEUI زبان محلي يا بومي NetBIOS مي باشد. ايت روشي است كه پيغام NetBIOS به سادگي بسته بندي شده و از طريق سيم تحويل داده مي شود.
هر انتشار هنكامي رخ مي دهد كه يك گره از شبكه اطلاعاتي را به تمامي گره هاي ديگر در يك بخش از شبكه ارسال مي كند،كه اين به طرزي آشكا رباعث ترافيك زيادي در شبكه مي شود. اين كار بع اين دليل صورت مي گيردكه رديابي تمامي گره هاي شبكه كاري مشكل است- اگر براي يكي از ايستگاهها تفاوتي نكند كه با چه كسي صحبت مي كند، بايد به روشي در شبكه وجو داشته باشد كه بتوان رد افراد موجوددر شبكه را پيگيري نمود و نگه داشت. كه NetBEUI پروتكلي ساده است،از ساده ترين شكل استفاده مي كند و ما نگاهي به روش NetBEUI خواهيم داشت.

NetBIOS

NetBIOS (سيستم ورودي/خروجي پايه شبكه) سرويس هاي نام و سرويس هاي جلسه براي برنامه ها ياشتراك فايل و چاپ بين دو كامپيوتر را فراهم مي كند. ويندوز مي تواند از پروتكل غير قابل مسير يابي NetBEUI براي حملNetBIOS ازدستگاهي به دستگاه ديگر استفاده كرد.
به طور مشخص تر،NetBIOS سرويس هاي چاپ و فايل مايكروسافت را به انجام مي رسانند. كار ديگر آن حمل پيغام ها براي گروههاي كاري در شبكه و حصول اطمينان از وجود اسامي تكراري ايستگاه كاري در گروه كاري و حوزه مي باشد.
يك نوع خطاي NetBIOS بسيار معمول است، اين خطا هنگامي اتفاق مي افتد كه تكنسيني محتويات يك ديسك سخت سالم را روي ديسك سخت مشكل زايي كپي كند و ايستگاه كاري مشكل زا را راه اندازي كند. بلافاصله، او با اين خطاي ويندوز كه در واقع خطايي مربوط به NetBIOS مواجه مي شود.
البته تكنسين مي تواند به راحتي به Control panel مراجعه كند، برگه Identification را انتخاب و اسم PC را به منظور رفع اين مشكل تغيير دهد. اين موضوع هنگامي كه دو نفردر ايستگاه كاري خود اسم مشابهي داشته باشند به وقوع مي پيوندد .

مرور
سيستم مرور از يك كارفرماي مرور، مرور گرهاي پشتيبان و كامپيوتر هاي سرويس گيرنده تشكيل شده است. هر كامپيوتر سرويس گيرنده مي تواند اطلاعاتي را در مورد منابع شبكه دريافت كند، اينكه آيا منابع سرويس دهنده ، گروه كاري،NT و نظاير آن هستند يا خير. براي مثال،هنگامي كه روي شمايل Network Neighborhood كليك كنيد، فهرست كامپيوتري كه مشاهده مي كنيد از كار فرماي مرور مربوط به گروه كاري يا حوزه مربوطه دريافت مي شود.

نكته: هر كامپيوتر ويندوز 95 تنها در صورت كاركرد به صورت سرويس دهنده در فهرست مرور ظاهر مي شود.براي آنكه كامپيوتر ويندوز 95 شما نظير يك سرويس دهنده عمل نمايد،مراحل زير را انجام دهيد:
1- Cotrol panel ويندوز را باز كنيد.
2- روي شمايل Network كليك كنيد.
3- روي Add كليك كنيد.
4- Serviceرا انتاخاب كنيد.
5- روي Microsoft كليك كرده و آنكاه گزينه File and printer sharing for microsoft Networks را برگزينيد.
6- در صورت اعلام،CD-ROM ويندوز را وارد نموده و در صورت درخواست سيستم را راه انداز ي مجدد نماييد.
نكته: كافرماي مربوط به حوزهNT هميشه سرويس دهنده NT است كه به عنوان كنترل كننده اوليه حوزه(PCD)كار مي كند.
نكته: با اينكه حوزه NT مي تواند در سراسر زير شبكه ها وجود داشته باشدگروههاي كاري اين امكان را در اخيتار قرار نمي گذارند. به جاي آن، گروه كاري در دو بخش مختلف شبكه،دو بار وجود دارد ،هر يك داراي كارفرماي مرور و فهرست مرور خود مي باشد. اين بدان معنا است كه كارفرماي مرور در شبكه A چيزي در مورد فهرست مرور شبكه B نمي داند.
كار فرماي مربوط به گروه كاري يا حوزه،ماشيني است كه مسئوليت نگهداري از فهرست ايستگاههاي كاري شركت كننده را برعهده دارد. اگر كارفرماي پيمايش گروه كاري را ترك نمايد، مرور گر ديگري از فهرست مرورگرهاي پشتيبان بايد كار را بر عهده بگيرد. اهميت اين موضوع تنها به اين دليل است كه از لحاظ منطقي كارفرماي مرور ضعيف باعث اختلا در شبكه هاي ويندوز شده و باعث بروز مشكلاتي مي شود. همچنين اگر اين ايستگاه كاري ادعا كند كه كارفرماي مرور گر استآن هم در زماني كه چنين نيست، اين موضوع مي تواند سر منشاً مشكلاتي باشد.
SMB
بعد از اينكه اسامي ايجاد گروههاي كاري به يكديگر متصل شدند،اشتراك فايل و چاپ در ويندوز از طريق مكانيزمي به نام بلوك پيغام سرويس دهنده، ياSMB اتفاق مي افتد. SMB يكي از امكانات موجود در NT و ويندوز 9x مي باشد، اما با نگارشها ي متفاوت. برنامه سرويس دهنده SMB ، مسئوليت ايجاد امكان اشتراك بين كامپيوتر ها يPC را بر عهده دارد. به همين صورت، برنامه سرويس گيرنده SMB در هر كامپيوتر سرويس دهندهاين امكان را فراهم مي كند كه بتوان از فايل ها و چاپگرهاي پيشنهادي SMB موجود در سرويس دهنده استفاده نمود.SMB و NetBIOS در ريشه به هم مي پيوندند-براي مثال،SMB براي تحليل نام خود از NetBIOS استفاده مي كند. نمي توان SMB را بدون استفاده از NetBIOS اجرا نمود.
SMB تركيب ساده اي دارد و به ندرت خراب مي شود. مشكلات مربوط به SMB اغلب در مشكلات پروتكل، سرويس نام،WINS,DHCP و مشكلات امنيتي حوزه نهفته است.
حوزه بزرگ
پروتكل ساده SMB هميشه به عنوان پروتكليب نا امن و ضعيف ديده شده است. اين باعث شد كه ميكروسافت از يك مدل امنيتي جديد به نام مدل امنيتي حوزه استفاده نمود. اين مدل بر پايه يك يا چند سرويس دهنده كه ازيك پايگاه اطلاعاتي مشترگك حاوي اسامي كاربران و رمز عبور آنها تشكيل شده است، مي باشد.
هر حوزه NT بايد به يك سرويس دهنده NT مجهز باشد كه به عنوان كنترل كننده اوليه حوزه عمل نمايد. اين سرويس دهنده ممكن است داراي چندين كنترل كننده پشتيبان حوزه باشد كه سرويس هاي تصديق گيري را هنگامي كه PDC فعال و مرتب است به انجام مي رسانند و در صورت خرابي PDC كل امور را به عهده مي گيرند.

كشتي گرفتن با ايستگاه كاري
اگر از ايستگاه كاريNT استفاده مي كنيد، توجه داشته باشيد كه شبكه سازي با سرويس دهنده NT ، قدري با اين كار در مورد كاربران 9x متفاوت است. در مدل امنيتي حوزه، مفهومي به نام ايستگاه كاري امن وجود دارد؛ هر ايستگاه كاري NT بايد با استفاده از مخجموعه اي از استوارنامه هاي مديريتي قبل از آنكه بتواند در اشتراك چاپ و فايل شركت كند،به ثبت برسد. ماشينهاي امني محسوب نمي شوند و بنا بر اين نيازي به ثبت آنها وجود ندارد .
بخشي از مفهوم نهفته در ايستگاه كاري امن NT اين ديدگاه است كه نمي توانيد قبل از شناساندن خود،به يك خرابي شبكه نا ممكن است. براي مثال، فرض كنيدبه خاطر خرابي مسير يابي كه بين شما و سرويس دهنده NT rvhv nhvn، به آن متصل شويد، به هيچ روشي قادر نخواهيد بود تصديق اعتبار خود را دريافت كنيد، در نتيجه امكان ارتباط با ايستگاه كاري را نخواهيد داشت و حتي نمي توانيد به صورت محلي كار خود را انجام دهيد( نمي توانيد به سادگي از اعلان ورود به سيستم نظير آن كاري كه در ماشين ويندوز 95 مي كنيد، رد شود، لازم است كه روال ورود به سيستم را صورت دهيد.) خوشبختانه ، از آنجا كه يك كپي از اطلاعات حوزه كه براي آخرين بار مورد استفاده قرار گرفته روي گردونه ي ديسك سخت ذخيره مي شود،مي توانيد تصديق ورود به ايستگاه كاري را دريافت نماييد. كاربراني كه بيش از يك ايستگاه كاري استفاده مي كنند،چنين مشكلاتي را تجربه نموده ايد.
نكته: بسياري از سازندگان ويندوز NT را بدون رمز عبور سرپرست ارائه مي كنند. اگر به علت عدم توانايي در ارتباط با حوزه نمي توانيد به ايستگاه كاري خود متصل شويد، همواره با استفاده از اسم كاربري Administrator و بدون رمز وارد سيستم شويد.اين كار بيش از آنچه كه فكر مي كنيدموثر واقع مي شود. چه ايستگاههاي كاري امني !
موضوع اطمينان
از آنجا كه حوزه هاي در واقع سرويس فهرست نيستند، بايد راهي وجود داشته باشد كه كاربر بتواندمنابع مربوط به حوزه NT ديگر را در مورد استفاده قرار دهد. مكانيزمي كه امكان استفاده كاربران يك حوزه از منابع حوزه ديگر را فراهم مي اورد اطمينان نام دارد. ارتباط اطمينان ممكن است رابطه اي يك طرفه يا دو طرفه باشد.
اگر در مورد اطمينان حوزه NT تصميم گيري مي كنيد اگر كه مي خواهيد كارمندان حوزه A به حوزه B دسترسي داشته باشند،اما نه بر عكس، يك ارتباط اطمينان بين حوزه A وB ايجاد مي كنيد. اين حالت را با عبارات A مورد اطمينان واقع شد ويا B بع A اطمينان مي كند، بيان مي داريم. اگر يكي از افراد حوزه B نتواند به منبعي در يكي ديگر از حوزه هاي NT مثل حوزه A دسترسي پيدا كند،بهتر است ارتباط اطمينان را وارسي نماييم . بايد مطمئن شويم كه حوزه فراهم كننده منبع اطمينان دارد و حوزه اي كه به منبع نياز دارد، مورد اطمينان است. مراحل زير را دنبال نماييد:
1- به سرويس دهنده NT مربوط به حوزه اي كه منابع را در اختيار دارد مراجعه فرماييد.
2- از منوي Start، گزينه Program | Administrative Tools | User Manager for Domains را انتخاب نماييد.
3- از منو Policies در User Manager ، گزينهTrust Relationships را انتخاب نماييد.
4- حوزه ديگر(حوزهB) بايد در فهرست به شكل trusted ظاهر شده باشد.
5- به سرويس دهنده NT در حوزه اطمينان شده برويد.
6- مجدداً لازم است ارتباطات اطمينان را با استفاده از User Manager بازرسي نماييد.
7- حوزه اول (حوزهA) بايد در فهرست به شكل trusting ظاهر شده باشد.
هنگامي، در جايي لازم داشتيم كه ارتباط اطمينان دو طرفه اي را بين دو حوزه از طريق يك پيوند راه دور ايجاد كنيم با وجود درستي نحوه ايجاد ارتباط اطمينان، به نظر مي رسيد كه به درستي كار نمي كنند . سرپرست سيستم هنگامي كه تلاش مي كرد از راه دور به حوزه ديگري دسترسي داشته باشد پيغام زير را دريافت مي نمود.
There are no logon servers available to service the logon request نكته در اينجا بود كه از آنجا كه اين حوزه ها به صورت راه دور به يكديگر متصل شده بودند،روي TCP/IP به عنوان پروتكل ارتباطي اتكا مي نمودند. بنا براين به منظور انجام سرويس هاي نام از WINS استفاده مي كردند.
سنگ نبشته هاي TCP/IP
دست نبشته هاي رو ي ديوارها حاكي از آن هستند كه توابع ويندوز بيشتر و بيشتري بر TCP/IP مبتني خواهند بود، بخصوص در WANها. بر اين اساس ممكن است كه بخواهيد با مفاهيم مختلف TCP/IP و دستوراتي كه در آن وجود دارد هم تحت ويندوز و هم به ساير سيستم هاي عامل ديگر آشنا شويد.
در اين بخش نگاهي به برنامه ها يسرويس دهنده كه زندكي شما را به عنوان عيب ياب و سرپرست نيمه وقت شبكه را به آسانترين شكل ممكن ميسر مي سازند. نگاهي ،خواهيم داشت .در اين راستا نگاهي ويژه به پيكربندي خودكار شبكه خواهيم داشت. اين بررسي را با DHCP شروع خواهيم نمود كه به صورت خودكار آدرس هاي ايستگاههاي كاري را به جاي تخصيص آدرس براي هر ايستگاه توسط شما،به انجام مي رساند. آنگاه تحليل نام شبكه در ويندوز را برسي خواهيم نمود.
DHCP
DHCP (پروتكل پيكربندي پوياي ميزبان)يكي از مهمترين فن آوري هاي به كا رفته در TCP/IP از زمان شكوفايي آن در سالهاي گذشته به شمار مي رود.DHCP اين امكان را فراهم مي كند كه هر ايستگاه كاري TCP/IP با شروع هر جلسه كاري، يكبار پيغامي را منتشر كند و به صورت خودكار آدرس و ساير اطلاعات را از سرويس دهنده DHCP به دست آورد.
در حقيقت روش كار به اين صورت است كه ايستگاه كاري اي كه فاقد اطلاعات TCP/IP لازم است،بايد پيغامي را در سطح كل آن بخش از شبكه منتشر كند تا از سرويس دهنده يك آدرس TCP/IP را اجاره نمايد. هنگامي كه اجازه آدرس به اتمام مي رسد، انتشاري دوباره لازم است تا اجاره نامه تجديد گردد.مدت زمان اجره در DHCP در سرويس دهنده قابل پيكر بندي است. علاوه برآن ميدان DHCP – يعني گستره اي از آدرس ها كه مي توانند به ماشين هاي سرويس گيرنده تخصيص داده شوند-را نيز پيكر بنديو تنظيم نمود. رديابي و نگهداري از آدرس هايI P با استفاده از DHCP بسيار آسانتر از تخصيص آدرس به هر ايستگاه مي باشد. من در عمل مشاهده نموده ام كه DHCP به صورت به صورت كاملاً جدي تعداد آدرس هاي IP تكراري در شبكه را كم مي كند و در نتيجه تعدادي مشكلاتي كه شما با آن سروكار داريدنيز كاهش مي يابد. نكته: از آنجا كه يكي از نقاط قوت DHCP آن است كه امكان تعويض تعداد زيادي آدرسIP مربوط به ايستگاههاي كاري را در اختيار مي گذارد،بهتر است طول اجاره را به اندازه كافي كوتاه انتخاب نماييد تا بتوانيد از تغييرات پيكر بندي پايان هفته استفاده نماييد-يعني بهتر است طول اجاره بيشتر از يك يا دو روز نباشد.
DHCP پتانسيل توزيع خودكار اقلام پيكربندي متعددي را دارا مي باشد كه يكي از آنها آدرس WINS و/ ياآدرس سرويس دهندهDNS شبكه مي باشد.
مي توانيد مطمئن باشيدكه اگر يك ايستگاه كاري اطلاعات DNS و WINS صحيص رادر اختيار داشته باشد،اين وضع در مورد همگي صدق مي كند.اين وضعيت هنگام عيب يابي زمان زيادي را صرفه جويي مي كند.
افرادي كه از ماسك زير شبكه استفاده مي كنند اغلب دو سرويس دهنده DHCP دارند،چرا كه چنين شبكه اي به نسبت بزرگ است ؛به اين شكل،مي توان ميدان را به دو بخش با 127 آدرس تقسيم نمود. به خاطر داشته باشيد كخ ميدانDHCP گستره اي از آدرس ها استط سرويس دهنده به كار مي رود.
تحليل نام در TCP/IP
چيزي كه هميشه من را هنگام آغاز شبكه سازي در ويندوز با TCP/IP به اشتباه مي اندازد،اين مطلب است:چرا دو نوع تحليل نام وجود دارد؟ بعد از بحث مطرح شده در فصل اول، احتمالاً با اين حقيقت كنار آمده ايد كه هر نام شبكه اي را بايد به يك آدرس شبكه اي تحليل نمود.
WINS در ويندوز
سرويس نام اينترنت ويندوز،يا WINS ، به منظور آسان كردن كار سبكه سازي ويندوز، حتي در ناحيه اي وسيع،اختراع شده است. همان طور كه مي دانيدNetBEUI پروتكلي قابل مسير يابي نيست و بنا براين منطقي به نظر مي رسد كه براي اتصال ماشين هاي شبكه اي ويندوز به پروتكل ديگري نياز داشته باشيم.TCP/IP مناسب بود و مي توانستNetBIOS حمل كند، اما برخي از روشهايي كه در تحليل نام توسطNetBEUI مورد استفاده قرار مي گرفتند،لازم بود براي TCP/IP دوباره به انجام برسد.بخصوص، هنگامي كه حوزه شما مي تواند در سطح چندين زير شبكه گسترده شده باشد،استفاده ازانتشار براي تحليل نام ديگر كار نمي كند-انتشار اغلب تنها زير شبكه محلي را تحت تاثير قرار مي دهد.
برنامه سرويس دهنده WINS،مثلDHCP تنها در ويندوز NT اجرا مي شود. سرويس دهنده WINSباي گروههاي كاري و اسامي PC ها و توزيع اين اسامي و شماره هاي IP متناظر آنها به هر كسي است كه آنها را مطالبه مي نمايد.
تمامي گزينه هاي لازم براي تكرار پايگاه داده اي مورد استفاده، در يك سرويس دهنده WIINSديگر در اختيارتان وجود دارد. امكاناتي نظيرايجاد تطابق هاي ايستا ونظاير آن نيزهستند،بهتر استدر اينجا وارد جزئيات آنها نشويم. اگر اين موضوع ها براي تان جالب هستن هستند،مي توانيد به كيت منابع NT مراجعه كنيد.و اما آخرين مطلبي كه مي خواهيم در مورد WINS بگوييم:
1-اجراي WINS را آغاز مي كنيد.
2-با اتصال PC ها به آن، اسامي كامپيوترها در پايگاه اطلاعاتي به ثبت مي رسند.
3-WINS اين اطلاعات را در هنگام مقتضي ودرخواست توسط ايستگاههاي كاري و سرويس دهنده هاي ديگر توزيع مي كند.
نكته: به كار گيري آخرين بسته ها ي سرويس NT از اهميت خاصي در مورد WINS برخوردار است. برخي ازمشكلات درد سر ساز در آن حل شده است. بسته هاي سرويس حاوي رفع اشكالهايي هستند كه ميكروسافت آنها را از طريق وب و CD-ROM ها عرضه مي كند. به كار گيري چنين بسته اي بسياري ازمشكلات احتمالي راحل مي كند. بسته سرويس با تصحيح حساس تفاوت دارد چرا كه بسته هاي سرويس به منظور استفاده تمامي كاربران ايجادشدهاست در حالي كه تصحيحات حساس باي كاربراني است كه مشكل بخصوصي دارند.
استفاده از DNS
DNS را مي توان به شكل يك سرويس نامگذاري مورد استفاده قرار داد، اما يان باعث مي شود كه اتصالات اوليه تان تا حدودي آهسته تر باشند. DNS فاقد تسهيلات لازم برا ي تشخيص تفاوت بين گروههاي كاري،حوزه ها، و اسامي كامپيوتر ها مي باشد. هر ورودي DNS تنها نامخ يك ميزبان را مشخص مي نمايد.
ويندوز 95 به صورتخودكار هنگام خرابي بقيه امكانات، تحليل DNS را مورد استفاده قرار مي دهد؛ در NT لازم است اين تنظيم صريحا در پروتكل TCP/IP تعريف شده تحت بخش شبكه Control panel،اعلان گردد. اگر مي خواهيد DNS را مورد استفاده قرار دهيد،بايد چك باكس Use DNS for Name Resolutionعلامت خورده باشد.
بيشتر اوقات استفاده از DNS مد نظر نيست؛ WINS كه همراه NT عرضه مي شود، به صورت پويا كار مي كندو به نسبت استفاده از آن آسان است. تنظيم DNS تا حدودي به ترفندهاي بيشتري احتياج دارد و چيز زيادي را نسبت به دنياي شبكه عرضه مي كند.
تحليل نام ايستا
بايد بدانيد علاوه بر سرويس ها ينام پويا كه توسط سرويس دهنده هاي نام د شبكه در دسترس قرار مي گيرند روش ايستاي براي هر PC وجود دارد تا بتواند يك اسم شبكه اي را به آدرس شبكه اي متناظر آن تحليل كند. هرPC مي تواند به يك جدول HOSTS مجهز باشد كه براي شبكه سازي TCP/IP عادي بكار مي رود. هر PC مي تواند يك فايل LMHOSTS نيز داشته باشد كه بسيار شبيه فايل HOSTS مي باشد اما براي تحليل نام NetBIOS مورد استفاده قرار مي گيرد.
هر دوي اين فايلها در فهرست C :\WINDOS قرار دارند. LMHOSTS.SAM يك فايل نمونه است كه مي توانيد قالب چنين فايلي را از روي ان فرا بگيريد. اما نبايد از اين فايلها استفاده كرد مگر اينكه شبكه تان كوچكترين شبكه دنيا باشد. كار يكنواخت بر روي اين فايلها شما را وادرا مي كند آرزو مي كرديد به جاي اين كاربا مشكلات پيچيده شبكه اي مواجه بوديد. مي توانيد چنين فرض كنيد كه تطابق هاي ايستاي از لحاظ كارايي از رده خارج هستند، اما خوب است كه از وجود آنها آگاه باشيد. ممكن است در مورد يك مشكل تحلي نام در ارتباط با يك ايستگاه كاري، بدانيد كه كسي در فايل LMHOSTS دستكاري كرده يا خير..
پيكربندي ايستگاه كاري
اجازه دهيد كه به بررسي راههاي ارتباطي در شبكه هاي ويندوز بپردازيم و نگاهي داشته باشيم به روش پيكربندي يك ايستگاه كاري ويندوز و همچنين پروتكل ها و سروريس دهنده هايي كه مي توان آنها را در چنين دستگاهي پيكربندي نمود.
Network در Control panel
نگاهي به برنامه Network ويندوز 9x بيندازيد تصويري سطح بالا از مؤلفه هاي شبكه اي پيكربندي شده روي اين دستگاه نشان داده مي شود برنامه Network ويندوز NT از لحاظ ظاهري كمي متفاوت است،اما تمامي مؤلفه هاي شبكه اي شما را با همديگر ارتباط مي دهد و به شما اجازه مي دهد آنها را از يك جا مديريت كرده و وضعيت پيكربندي را وارسي نماييد مؤلفه ها شامل وارد زير است:
• سرويس گيرنده – اين مؤلفه ها PC را قادر مي سازند كه از يك سرويس در شبكه استفاده كند.
• آداپتورهاي شبكه – اين مؤلفه ها و پروتكل ها تنظيم لازم براي ارتباط با شبكه را صورت مي دهند.
• پروتكل ها
• سرويس ها – برنامه هايي هستند كه اطلاعات يا منابع موجود در شبكه را ارائه مي كنند.
در بخشهاي آتي اين مؤلفه ها را به صورت مجزا مورد بررسي قرار مي دهم ابتدا كار را از سرويس گيرنده ها شروع مي كنيم و آنگاه به مسأله مقيدسازي فرايندي كه به ايستگا كاري شما اجازه مي دهد كه بداند كدام مؤلفه هاي شبكه اي ديگري متصل شده اند خواهيم پرداخت.
سرويس گيرنده ها
براي آنكه با كامپيوتر ديگري ارتباط برقرار كنيد،خواه اين كامپيوتر pc ويندوز ديگري داشته باشد و يا سرويس دهنده اي در مركز اطلاعات هميشه به يك سرويس دهنده طوري رفتار كند كه گويي در ايستگاه كاري محلي قرار گرفته اند اين كار اغلب توسط عمل تغيير جهت فايل و چاپ صورت مي پذيرد يعني گردونه G: در واقع يك ديسك گردان در سرويس دهنده يا گردونه CD-ROM دوست تان مي باشد و LPT3 در واقع چاپگري است كه در جايي ديگر به يكي از سيستم ها متصل شده است .به منظور انجام عمل تغيير جهت گردونه و چاپگر بايد نرم افزار گردونه را به ويندوز اضافه كنيد اين كار از طريق رفتن به control panel و انتخاب Network صورت مي پذيرد از آنجايي كه control panel نشان مي دهد كه من داراي سرويس گيرنده هاي لازم براي شبكه هاي ميكروسافت و سرويس گيرنده Internete Ware ناول مي باشم ،بايد بتوانم هم با شبكه هاي ميكروسافت و هم با شبكه هاي ناول ارتباط برقرار كنم.
البته،همان گونه كه افراد مختلف دست خطهايي متفاوتي دارند،سرويس دهنده هاي مختلف به انواع متفاوتي سرويس گيرنده نياز دارند برخي از پركاربردترين آنها عبارتند از:
• سرويس گيرنده Banyan براي DOS/ ويندوز
• سرويس گيرنده براي شبكه هاي ميكروسافت
• سرويس گيرنده براي Intra Netware ناول
• سرويس گيرنده هاي مختلف دسته سوم يونيكس (NFS، يا سيستم فايلي شبكه)
نكته:با اينكه ويندوز سرويس گيرنده هاي سازندگان متعددي را عرضه مي كنند،نگارش هاي موجود در CD-ROM نصب ويندوز اغلب قديمي تر هستند و احتمالا نسبت به نگارش هايي كه مي توانيد آنها را از سازندگان دريافت كنيد حاوي اشكالات بيسشتري مي باشند هميشه بهتر است نرم افزار توليد كننده اش را دريافت كنيد.
مقيدسازي
پس دانستيم كه سرويس گيرنده مسئول ايجاد دسترسي به منابع فايل و چاپ توسط برنامه هاي مختلف مي باشد تا اينجا هم هچيز مرتب است اما سرويس گيرنده چگونه با شبكه صحبت مي كند؟سرويس گيرنده بايد زبان مناسب براي صحبت كردن را بداند،بداند كه چگونه از پروتكل استفاده كند و چگونه از كارت شبكه بخواههد يك فراخواني را آغاز نمايد.ويندوز داراي پروتكل،سرويس گيرنده و كارت شبكه هاي بسياري است كه تحت يك مفهوم با عنوان مقيدسازي معرفي مي گردند اين مفهوم آنچه كه مي تواند در مورد پروتكل ،سرويس ها،سرويس گيرنده ها و كارت شبكه رخ دهد ساده مي نمايد،اگر از سطح بالاتري شروع كنيم هر سرويس گيرنده را مي تواند به يك يا چند پروتكل مقيد نمود.هر پروتكل را به نوبه خود مي تواند به يك يا چند كارت شبكه (كه برخي اوقات آداپتور شبكه ناميده مي شوند )مقيد نمود.
نكته:تنها پروتكل هايي را به كارت شبكه مورد استفاده مقيد كنيد كه عملا از آن استفاده مي نماييد هر پروتكلي به يك آداپتور مقيد مي شود،پردازش بيشتري توسط CPU را مي طلبد و CPU بايد هر بار كه به آن آداپتور اشاره مي شود،سربار بيشتري را تحمل نمايد.فرض كنيد كه براي مثال آداپتور تلفني را براي ارتباط با اينترنت از طريق TCP/IP به كار مي بريد مقيدسازي IPX/SPX به اين آداپتور كاري بيهوده است چرا كه اينترنت به زبان IPX/SPX صحبت نمي كند از آن گذشته اگر كارت شبكه اي با مقدسازي هاي بيش از حد،به يك CPU كند متصل شده باشد حتي ممكن است مشكلات شبكه اي بروز نمايند.
نكته:يكي از خير نامه هاي شبكه اي كه در آن عضو هستم اشاره اي داشت به اينكه تشخيص خود كار را در محيط IPX/SPX براي تشخيص انواع قاب استفاده نكنيد،چرا كه اين كار ترافيك شبكه اي بيهوده اي را توليد ميكند و مي تواند به ميزان زيادي كار شبكه را در مجموعه هاي بزرگ كند نمايد .
انواع قاب موضوعي است كه تا كنون در مورد آن صحبت نكرده ام هر نوع قاب،روشي است كه كارت شبكه با آن بسته هاي شبكه اي را مي سازد مي توانيد تصور كنيد كه هر نوع قاب نظير لهجه پروتكل مي باشد درك لهجه ها كار مشكلي است حتي اگر به زبان تعلق داشته باشند.
مي توانيد نوع قاب مورد استفاده در شبكه نت ور خود را با تايپ دستور config در محل كنسول سرويس دهنده نت ور پيدا كنيد آنگاه مي توانيد آن را در ايستگاههاي كاري ويندوز خود وارد نماييد از آنجا كه تشخيص خودكار هميشه هم كار نمي كند اين روش مي تواند فكر خوبي باشد از اين طريق من توانسته ام مشكلات ايستگاه هاي كاري را حل كنم كه به گونه اي عجيب رفتار مي كردم.
اما اگر ايستگاههاي كاري زيادي داشته باشيد چطور؟كار زيادي مي برد؟
گفتني است كه مقيد سازي خياباني دو طرفه است هر كارت شبكه نيز به يك يا چند پروتكل مقيد مي گردد براي مشاهده .وضعيت در مودر كارت شبكه خود،مراحل زير را دنبال كنيد:
1-Network را از control panel انتخاب كنيد.
2-آداپتور شبكه خود را انتخاب نماييد.
3-روي properties كليك نماييد.
4-روي برگه Bindings كليك نماييد.
كادر تبادلي properties امكان فعال كردن يا غير فعال كردن يك پروتكل را براي سرويس گيرنده يا سرويسي ميسر مي سازد اين تنها محلي است كه مي توان مقيدسازي را تنظيم نمود ترجيح هم بر اين است كه تمامي تنظيمات لازم در يك محل صورت گيرد در اين حالت مي توانيد پروتكل TCP/IP را از Network انتخاب نموده روي properties كليك كنيد و آنگاه برگه Bindings را برگزينيد.
خوشبختانه تحت ويندوز NT مقيدسازي به شكل مستقيم تري صورت مي گيرد هر كارت شبكه به همراه پروتكل هاي مرتبط سرويس گيرنده ها و سرويس هاي وابسته اش نشان دهده مي شود و كلا هر چيزي را مي توان از اين محل كنترل نمود.دسترسي به اين كادر تبادلي از طريق control panel مربوز به NT و با انجام مراحل زير صورت مي پذيرد:
1-روي Network دوبار كليك كنيد.
2-روي برگه Bindings كليك نماييد.
3-گزينه All Adapters را از ليست show Bindings انتخاب نماييد.
4-با كليك كردن روي مؤلفه هاي ،زير مؤلفه هاي مربوط به آن را نشان دهيد (اگر كنار مؤلفه اي علامت منفي قرار دارد تمامي زير مولفه هاي آن به نمايش در آنده اند.)
5-با كليك روي دكمه Disable قيد موجود روي آن مولفه برداشته مي شود روشن كردن اين مقيد سازي نيز از طريق دكمه Enable صورت مي گيرد.
فرمانروايي و تسلط
به قسمت جالب اين بخش رسيديم،عملا كارهايي را صورت خواهيد داد بخشهاي آتي برخي از دستورات TCP/IP كه اطلاعات لازم براي تحليل و بررسي هوشمندانه را د راختيار مي گذارند ملاحظه خواهيد نمود.
Winipcfg
هر زماني كه به عيب يابي TCP/IP مي پردازيد مي خواهيد بدانيد كه ايستگاه كاري چگونه پيكربندي شده است مي توانيد به control panel برويد اما در آنجا اطلاعات چنداني را نخواهيد يافت بخصوص اگر ايستگاه كاري از DHCP استفاده مي كند.
بجاي آن از محل اعلان DOS در ويندوز 9X دستور زير را اجرا كنيد:
Winipcfg
براي دريافت خروجي كامل بايد روي دكمه More Info كليك كنيد يا دستور را با سوئيچ /all اجرا نماييد در غير اين صورت صفحه كاملي ظاهر نخواهد شد صفحه نمايش داده شده خلاصه دقيق و كاملي از تمامي گزينه هاي پيكربندي شده TCP/IP در اين ايستگاه كاري را به نمايش مي گذارد توجه داشته باشيد كه حتي اگر كارت شبكه از طريق DHCP پيكربندي نشده باشد مي توان پيكربندي آن را از اين طريق مشاهده نمود.
نكته:يك مقايسه سريع بين اطلاعات پيكربندي IP دو ايستگاه كاري مي تواند به تحليل سريع مشكل كمك نمايد البته هر زمان كه ايستگاه كاري را مقايسه مي كنيد بايد مطمئن شويد كه مقايسه بين دو ايستگاه كاري از يك زير شبكه صورت مي پذيرد موارد زير بايد در مقايسه مدنظر داشته باشيد:
• آدرس هاي IP- ادرس هاي IP ايستگاه هاي كاري بايد نظير هم باشند به غير از بخش مربوط به شماره گره (192.168.10.5 و 192.168.10.6 يكي هستند اما 192.168.9.5 و 192.168.11.6 يكي نيستند)
• سرويس دهنده (هاي)DNS
• سرويس دهنده(هاي) WINS
اگر شانس داشته باشيد در صورت وجود تفاوت بين تنظيمات،به جاي مشكل سخت افزاري يا شبكه اي،تنها با يك مشكل پيكربندي روبرو هستيد.
دستورات اطلاعاتي
اگر مشكل آزاردهنده تر از يك موضوع پيكربندي باشد مفيد خواهد بود اگر از ديدگاه ايستگاه كاري مشكل زا آگاه شويد،يعني آنچه را كه اين ايستگاه مي تواند ببيند و آنچه را كه نمي تواند ببيند وضعيت دستورات اطلاعاتي مختلفي كه مي توان در ايستگاه كاري اجرا نمود.

نوشته شده توسط جواد شاهوند در 21:21 | | لینک به این مطلب

مراحل امنیتی در شبکه

حال که مفهوم امنیت واصول کلی ان را می دانیم نوبت به چگونگی ایجاد ان میرسد در شروع هر کاری ما باید بدانیم چه داریم و باید از چه چیز محافظت کنیم مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
1- شناسایی بخشی که باید تحت محافظت قرار گیرد.
2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
3- تصمیم گیری درباره چگونگی تهدیدات
4- پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

منابع شبکه
در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.
1- تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
2- اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده
3- منابع نامحسوس شبکه مانند عرض باند و سرعت
4- اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
5- ترمینالهایی که برای استفاده از منابع مختلف به شبکه متصل می شوند.
6- اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان
7- خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

تهديدات عليه امنيت شبکه:
تهديدات و حملات عليه امنيت شبکه از جنبه هاي مختلف قابل بررسي هستند. از يک ديدگاه حملات به دو دسته فعال و غير فعال تقسيم مي شوند و از ديدگاه ديگر مخرب و غير مخرب و از جنبه ديگر ميتوان براساس عامل اين حملات آنهارا تقسيم بندي نمود. بهرحال حملات رايج در شبکه ها بصورت ذيل ميباشند:

در حالت کلی این تهدیدات شامل:
۱- حمله جلوگيري از سرويس (DOS):
در اين نوع حمله، کاربر ديگر نميتواند از منابع و اطلاعات و ارتباطات استفاده کند. اين حمله از نوع فعال است و ميتواند توسط کاربر داخلي و يا خارجي صورت گيرد.

2- استراق سمع:
در اين نوع حمله، مهاجم بدون اطلاع طرفين تبادل داده، اطلاعات و پيامها را شنود مي کند. اين حمله غيرفعال است و ميتواند توسط کاربر داخلي و يا خارجي صورت گيرد.

3- تحليل ترافيک:
در اين نوع حمله مهاجم براساس يکسري بسته هاي اطلاعاتي ترافيک شبکه را تحليل کرده و اطلاعات ارزشمندي را کسب ميکند. اين حمله يک نوع حمله غير فعال است و اکثرا توسط کاربران خارجي صورت مي گيرد.

4- دستکاري پيامها و داده ها:
اين حمله يک حمله فعال است که در آن مهاجم جامعيت و صحت اطلاعات را با تغييرات غير مجاز بهم مي زند و معمولا توسط کاربر خارجي صورت مي گيرد.

5- جعل هويت:
يک نوع حمله فعال است که در آن مهاجم هويت يک فرد مجاز شبکه را جعل مي کند و توسط کاربران خارجي صورت ميگيرد.

و در حالت تخصصی تر و توضیحی حملات شامل :

حملات تحت شبكه


Back Door (در پشتي )
• به هر معبر باز در نرم افزار، به طوري كه كسي بتواند بدون اطلاع صاحب نرم افزار و كاربر نرم افزار ، از آن عبور كرده و به داخل سيستم نفوذ كند ، Back Door گفته مي شود.
• Back Door ها اغلب به دليل عدم توجه ايجاد كننده نرم افزار ، به صورت باز رها مي شود و همين امر باعث مي شود علاوه بر ايجاد كننده ، ديگران نيز از آن سوءاستفاده كنند.

Spoofing
• تكنيكي است براي دسترسي غير مجار به كامپيوتر ها
• هكر ابتدا آدرس IP يك كامپيوتر مورد اعتماد را پيدا مي كند.
• پس از به دست آوردن اين اطلاعات هكر شروع ارسال اطلاعات به سيستم قرباني كرده و خود را مورد اعتماد وانمود مي كند (خود را به جاي يك كامپيوتر مورد اعتماد جا مي زند! )
• پس از برقراري ارتباط شروع به دريافت اطلاعاتي مي كند كه در حالت معمول ، مجاز به دسترسي به آنها نيست
Man in the Middel
• نفوذگر بين دو كامپيوتر كه در حال تبادل اطلاعات هستند قرار مي گيرد.
• نفوذگر ترتيبي را اتخاذ مي كند كه دو كامپيوتر از وجود او بي اطلاع باشند.
• به اين ترتيب دسترسي كاملي به اطلاعات دارد. يعني هم مي تواند آنها را دريافت كند و هم مي تواند آنها را مطابق ميل خود تغيير دهد و به نفر بعدي تحويل دهد.
• سيستم هاي Wireless در معرض اين حمله قرار دارند.
Replay
• وقتي يك هكر به وسيله ابزار Sniffer بسته هاي اطلاعاتي را از روي سيم بر مي دارد ، يك حمله Replay رخ داده است
• وقتي بسته ها دزديده شدند ، هكر اطلاعات مهم و نامهاي كاربري و كلمات عبور را از درون آن استخراج مي كند.
• وقتي كه اطلاعات ازبسته ها استخراج شدند ، دوباره بسته ها روي خط قرار مي گيرند و يا بدانها به صورت دروغين پاسخ داده مي شود.

TCP/IP Hijacking
• معمولا به آن جعل نشست (Session Hijacking ) نيز گفته مي شود.
• هكر مي تواند نشست TCP بين دو ماشين را به دست آورد
• يك روش مشهور استفاده از Source-rout كردن IP ها مي باشد.
• Source-rout كردن يعني بسته هاي IP را طوري تغيير دهيم كه از مسيري خاص بگذرند.
DNS Poisoning
• اين حمله هنگامي است كه فايل DNS شما با اطلاعات ناجوري پر شود
• به صورت ساده تر هنگامي مي باشد كه نفوذگر ركوردهاي DNS را كه به Host هاي صحيحي اشاره دارند ، به Host مورد نظر خود تغيير مي دهد.

Denial Of Service ( DOS ) و Distributed Denial Of Service ( DDOS)
• اين نوع حملات به منظور از كار انداختن يك سرويس و يا از دسترس كاربران خارج كردن يك سرويس به كار مي رود.
• نوع توزيع شده اين نوع حملات ، از تعداد زيادي كامپيوتر ( Zompbie ) در سراسر دنيا استفاده مي شود. و در لحظه اي كه حمله كننده اصلي دستور مي دهد تمام اين Zompbie ها به طور همزمان به يك قرباني خاص از پيش تعييد شده ، حمله مي كنند.
• نمونه ايراني آن كرم دامبي بود كه پس از انتشار به سايتهاي IIRIB و ISNA و ... حمله مي كرد

Social Engineering (مهندسي اجتماعي )
• بيشتري زماني رخ مي دهد كه هكر به سيستم هاي واقعي قصد نفوذ دارد
• راه ديگر هنگامي مي باشد كه نفوذگر با استفاده از نقاط ضعف كاربر انتهايي (End User ) راه نفوذ به شبكه را پيدا مي كند.
• سوءاستفاده از نقاط ضعف افراد با به دست آوردن عادت هاي شخصيتي افراد براي اغفال آنها و يا تحت فشار قرار دادن آنها تا اطلاعات مورد نياز براي نفوذ به شبكه را در اختيار فرد هكر قرار دهد
Birthday
• يك حمله Birthday نامي است براي يك رده از حملات Brute-Force
• براي فهم بهتر اين حمله شما بايد به روشهاي رمز كردن و شكاندن آنها، اطلاع داشته باشيد
Brute force
• يك روش براي به شكستن كلمات رمز و به دست آوردن آنهاست
• حمله Brute-force حروف را به صورت تركيبي استفاده مي كند و با تست كردن آنها رمز عبور را پيدا مي كند.
• براي مقابله با اين روش بايد كلمات رمز با طول زياد انتخاب كرد و يا كلمات رمز را هر دفعه تغيير داد
Dictionary
• يك روش براي به دست آوردن كلمات رمز عبور است
• كلمه Dictionary در اصل لغتنامه اي از كلمات معروف مي باشد كه در يك فايل ذخيره شده اند و به وسيله يك ابزار براي شكستن كلمات رمز ، مورد استفاده قرار مي گيرند
• براي مقابله با اين حمله بايد از كلماتي استفاده كرد كه در لغتنامه وجود ندارد
Software Exploitation
• حمله عليه سوراخها و باگهاي موجود در كدهاي سيستم
• براي اصلاح آنها بايد از Hotfix ها و Service Pack ها استفاده كرد
War Dialing
• استفاده از يك ابزار پويشگر براي اتصال به يك رنجي از شماره هاي تلفن به وسيله مودم براي اهداف نفوذگرانه
• يك War Dialer نرم افزار مي باشد كه با استفاده از مودم با يك رنجي از شماره ها تماس گرفته و شماره هايي كه تماسي موفق داشته اند را جمع آوري مي كند
Buffer Overflow
• حمله سرريزي بافر از كدهاي نوشته شده ضعيف استفاده مي كند
اگر در كدهاي مختلف نرم افزاري طول آرگومانها بررسي نگردد در معرض اين حمله قرار دارند

SYN flood

. حملات SYN flood از مكانيزم دست تكاني سه مرحله اي (Three-Way handshaking ) در پروتكلهاي TCP/IP سوءاستفاده مي كند.
• . تعداد زيادي از درخواست ها به صورت نصفه كاره ارسال و رها مي شود و باعث مي شود كه سيستم
به علت مواجهه با كمبود حافظه از كار بيافتد

Smurfing
• سوء استفاده از ICMP
• فرستادن بسته هاي به سوي يك شبكه سراسري با آدرسهاي منبع دروغين
• قرباني به صورت ناگهاني با سيلي از اينگونه بسته ها مواجهه مي گردد و از كار مي افتد

Sniffing
• حملات Sniffing با استفاده از شنود و جذب كليه اطلاعات شبكه انجام مي گيرد
• با استفاده از يك تحليلگر داده هاي شبكه ، كليه اطلاعات جذب شده ، تجزيه و تحليل مي شود و كليه رمزهاي عبور و نامهاي كاربري شبكه استخراج مي گردد.


Ping of Death
• فرستادن بسته هاي بزرگتر از حد معمول براي درهم شكستن سيستم شما
• اين حمله به صورت واقعي روي سيستمهاي قديمي ويندوز ، لينوكس و مسيريابهاي سيسكو انجام مي گيرد.

پويش پورت
• پويش كردن پورت به وسيله نرم افزارهايي انجام مي شود تا پورتهاي باز سيستم مشخص شود
• بعد از آن با پيدا كردن نقاط آسيب پذير پورتهاي فوق ، يك حمله شكل مي گيرد

حملات قطعه قطعه كردن (Fragmentation Attack )
• هدف اين دسته از حملات قطعه قطعه كردن يك بسته IP و دوباره بازيابي كردن آن و ايجاد يك كد اجرايي مي باشد.
• اين دسته حملات بسيار متنوع مي باشد از جمله :
o Teardrop
o Teardrop2
o NewTear
o SynDrop
o Bonk
o Boink
شناخت انواع حملات رایج بخش مهمی از امنیت شبکه است تا زمانی که یک کاربر نداند چه تهدیداتی و چگونه ممکن است شبکه را مورد حمله قرار دهد نمی تواند ارزیابی درستی از انچه باید در جهت ایمنی انجام دهد داشته باشد لیست سریع فوق تنها توضیحی اجمالی در جهت شناخت کلی نوع حملات است حال انکه چگونگی جلوگیری و دفع تک تک این حملات در بحث ما نمی گنجد و نیازمند دوره های تخصصی است.
3-2هدف امنیت
هدف های امنيتي عبارتند از
1- حفظ محرمانگي: يعني کاربران خاصي از داده بتوانند استفاده کنند
2- حفظ جامعيت داده: يعني داده ها بدرستي در مقصد دريافت شوند.
3- احراز هويت: يعني گيرنده از هويت فرستنده آگاه شود.
4- کنترل دستيابي مجاز: يعني فقط کاربران مجاز بتوانند به داده ها دستيابي داشته باشند.
5- عدم انکار: يعني فرستنده نتواند ارسال پيام توسط خودش را انکار کند.

تحلیل خطر
پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :
1- احتمال انجام حمله
2- خسارت وارده به شبکه درصورت انجام حمله موفق
سیاست امنیتی
سیاست امنیتی یک سازمان سندی است که برنامه های سازمان برای محافظت سرمایه های فیزیکی و مرتبط با فناوری ارتباطات را بیان می نماید. به سیاست امنیتی به عنوان یک سند زنده نگریسته می شود، بدین معنا که فرایند تکمیل و اصلاح آن هیچ گاه متوقف نشده، متناسب با تغییر فناوری و نیازهای کاربران به روز می شود. چنین سندی شامل شرایط استفاده مجاز کاربران، برنامه آموزش کاربران برای مقابله با خطرات، توضیح معیارهای سنجش و روش سنجش امنیت سازمان و بیان رویه ارزیابی موثر بودن سیاست های امنیتی و راه کار به روز رسانی آنها می باشد.
هر سیاست امنیتی مشخص کننده اهداف امنیتی و تجاری سازمان است ولی در مورد راه کارهای مهندسی و پیاده سازی این اهداف بحثی نمی کند. سند سیاست امنیتی سازمان باید قابل فهم، واقع بینانه و غیر متناقض باشد، علاوه بر این از نظر اقتصادی امکان پذیر، از نظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات مدیریت آن سطح حافظتی قابل قبولی را ارائه نماید.
بهترین روش برای دستیابی به امنیت اطلاعات، فرموله نموده سیاست امنیتی است. مشخص نمودن سرمایه های اصلی که باید امن شوند و تعیین سطح دسترسی افراد (به عبارت دیگر اینکه چه افرادی به چه سرمایه هایی دسترسی دارند) در اولین گام باید انجام شود.
.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:
1- چه و چرا باید محافظت شود.
2- چه کسی باید مسئولیت حفاظت را به عهده بگیرد.
3- زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
1- مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.
2- محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.
نواحی امنیتی
تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود.
نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.
1- تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.
2- سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.
3- سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.
4- استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.

نوشته شده توسط جواد شاهوند در 21:20 | | لینک به این مطلب