دوره امنیت شبکه - امنيت اطلاعات- امنيت فضاي سايبري –امنيت اينترنت- امنيت شبكه

مطالبي كه مي توانيد در اين وبلاگ پيدا كنيد

دریافت اسلاید سئو و روابط عمومی

آموزش سئو (SEO)-تیم سئو بیپ(BIP)

فیلم های آموزشی امنیت شبکه و اطلاعات

دریافت اسلاید امنیت شبکه


دريافت جزوه امنيت شبكه

دريافت سرفصل هاي  دوره امنيت شبكه -مخصوص بانك-سيلابس هاي دوره امنيت شبكه

/**/

دوره امنيت شبكه

Network Security Course

كلاس امنيت شبكه

Class network security

جزوه امنيت شبكه

Network security handbook

مدرك امنيت شبكه

Network Security Degree

استاد امنيت شبكه

Professor of Network Security

درس امنيت شبكه

Network Security Course

اسلايد امنيت شبكه

Network Security Slides

سرفصل امنيت شبكه

Network security curriculum

مقاله امنيت شبكه

Security Paper Network

doc   امنيت شبكه

Network Security Document

كارگاه امنيت شبكه

Workshop on Network Security

برگزاري دوره هاي  با عنوان امنيت وب - امنيت اطلاعات- امنيت فضاي سايبري امنيت اينترنت- امنيت شبكه  در قالب كارگاه آموزشي براي ادارات دولتي دانشگاه ها موسسات آموزش عالي شركت هاي خصوصي و مديران ارشد و مديران فناوري اطلاعات سازمان ها


اطلاعات تماس

ايميل:h.daghagh@gmail.com

تلفن تماس:09397262608

برچسب‌ها: دوره امنيت شبكه, كلاس امنيت شبكه, جزوه امنيت شبكه, مدرك امنيت شبكه
+ نوشته شده در شنبه پانزدهم مهر ۱۳۹۱ ساعت 10:38 توسط حسين دقاق زاده  | 

شبکه


800x600

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 st1\:*{behavior:url(#ieooui) } /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

 TCP/IP پروتکل استاندارد در اکثر شبکه های بزرگ است . با اينکه پروتکل فوق کند و مستلزم استفاده از منابع زيادی است ، ولی بدليل مزايای بالای آن نظير : قابليت روتينگ ، حمايت در اغلب پلات فورم ها و سيستم های عامل همچنان در زمينه استفاده از پروتکل ها حرف اول را می زند. با استفاده از پروتکل فوق کاربران با در اختيار داشتن ويندوز و پس از اتصال به شبکه اينترنت، براحتی قادر به ارتباط با کاربران ديگر خواهند بود که از مکينتاش استفاده می کند
 امروزه کمتر محيطی را می توان يافت که نيازبه دانش کافی در رابطه با TCP/IP نباشد. حتی سيستم عامل شبکه ای ناول که ساليان متمادی از پروتکل IPX/SPX برای ارتباطات  استفاده می کرد، در نسخه شماره پنج خود به ضرورت استفاده از پروتکل فوق واقف و نسخه اختصاصی خود را در اين زمينه ارائه نمود.
پروتکل TCP/IP در ابتدا برای استفاده در شبکه ARPAnet ( نسخه قبلی اينترنت ) طراحی گرديد. وزارت دفاع امريکا با همکاری برخی از دانشگاهها اقدام به طراحی يک سيستم جهانی نمود که دارای قابليت ها و ظرفيت های متعدد حتی در صورت بروز جنگ هسته ای باشد. پروتکل ارتباطی برای شبکه فوق ، TCP/IP در نظر گرفته شد.
اجزای پروتکل TCP/IP
پروتکل TCP/IP از مجموعه پروتکل های ديگر تشکيل شده که هر يک در لايه مربوطه، وظايف خود را انجام می دهند. پروتکل های موجود در لايه های Transport و Network دارای اهميت بسزائی بوده و در ادامه به بررسی آنها خواهيم پرداخت .
 

پروتکل های موجود در لايه Network پروتکل TCP/IP

- پروتکل TCP)Transmission Control Protocol) ، مهمترين وظيفه پروتکل فوق اطمينان از صحت ارسال اطلاعات است . پروتکل فوق اصطلاحا" Connection-oriented ناميده می شود. علت اين امر ايجاد يک ارتباط مجازی بين کامپيوترهای فرستنده و گيرنده بعد از ارسال اطلاعات است . پروتکل هائی از اين نوع ، امکانات بيشتری را بمنظور کنترل خطاهای احتمالی در ارسال اطلاعات فراهم نموده ولی بدليل افزايش بار عملياتی سيستم کارائی آنان کاهش خواهد يافت . از پروتکل TCP بعنوان يک پروتکل قابل اطمينان نيز ياد می شود. علت اين امر ارسال اطلاعات و کسب آگاهی لازم از گيرنده اطلاعات بمنظور اطمينان از صحت ارسال توسط فرستنده است . در صورتيکه بسته های اطلاعاتی بدرستی دراختيار فرستنده قرار نگيرند، فرستنده مجددا" اقدام به ارسال اطلاعات می نمايد.

- پروتکل UDP)User Datagram Protocol) . پروتکل فوق نظير پروتکل TCP در لايه " حمل " فعاليت می نمايد. UDP بر خلاف پروتکل TCP بصورت " بدون اتصال " است  . بديهی است که سرعت پروتکل فوق نسبت به TCP سريعتر بوده ولی از بعد کنترل خطاء تظمينات لازم را ارائه نخواهد داد. بهترين جايگاه استفاده از پروتکل فوق در مواردی است که برای ارسال و دريافت اطلاعات به يک سطح بالا از اطمينان ، نياز نداشته باشيم .

- پروتکل IP)Internet Protocol) . پروتکل فوق در لايه شبکه ايفای وظيفه کرده و مهمترين مسئوليت آن دريافت و ارسال بسته های اطلاعاتی به مقاصد درست است . پروتکل فوق با استفاده از آدرس های نسبت داده شده منطقی، عمليات روتينگ را انجام خواهد داد.

پروتکل های موجود در لايه Application پروتکل TCP/IP
 

پروتکل TCP/IP صرفا" به سه پروتکل TCP ، UDP و IP محدود نشده و در سطح لايه Application دارای مجموعه گسترده ای از ساير پروتکل ها است . پروتکل های فوق بعنوان مجموعه ابزارهائی برای مشاهده ، اشکال زدائی و اخذ اطلاعات و ساير عمليات مورد استفاده قرار می گيرند.در اين بخش به معرفی برخی از اين پروتکل ها خواهيم پرداخت .
 

- پروتکل FTP)File Transfer Protocol) . از پروتکل فوق برای تکثير فايل های موجود بر روی يک کاميپيوتر و کامپيوتر ديگر استفاده می گردد. ويندوز دارای يک برنامه خط دستوری بوده که بعنوان سرويس گيرنده ايفای وظيفه کرده و امکان ارسال و يا دريافت فايل ها را از يک سرويس دهنده FTP فراهم می کند.

- پروتکل SNMP)Simple Network Management Protocol) . از پروتکل فوق بمنظور اخذ اطلاعات آماری استفاده می گردد. يک سيستم مديريتی، درخواست خود را از يک آژانس SNMP مطرح و ماحصل عمليات کار در يک MIB)Management Information Base) ذخيره می گردد. MIB يک بانک اطلاعاتی بوده که اطلاعات مربوط به کامپيوترهای موجود در شبکه را در خود نگهداری می نمايد .( مثلا" چه ميزان فضا ی هارد ديسک وجود دارد)

- پروتکل TelNet . با استفاده از پروتکل فوق کاربران قادر به log on ، اجرای برنامه ها و مشاهده فايل های موجود بر روی يک کامپيوتر از راه دور می باشند. ويندوز دارای برنامه های سرويس دهنده و گيرنده جهت فعال نمودن و استفاده از پتانسيل فوق است .

- پروتکل SMTP)simple Mail Transfer Protocol) . از پروتکل فوق برای ارسال پيام الکترونيکی استفاده می گردد.

- پروتکل HTTP)HyperText Transfer Protocol) . پروتکل فوق مشهورترين پروتکل در اين گروه بوده و از آن برای رايج ترين سرويس اينترنت يعنی وب استفاده می گردد. با استفاده از پروتکل فوق کامپيوترها قادر به مبادله فايل ها با فرمت های متفاوت ( متن، تصاوير ،گرافيکی ، صدا، ويدئو و...) خواهند بود. برای مبادله اطلاعات با استناد به پروتکل فوق می بايست ، سرويس فوق از طريق نصب سرويس دهنده وب فعال و در ادامه کاربران و استفاده کنندگان با استفاده از يک مرورگر وب قادر به استفاده از سرويس فوق خواهند بود.

پروتکل NNTP)Network News Transfer Protocol) . از پروتکل فوق برای مديريت پيام های ارسالی برای گروه های خبری خصوصی و عمومی استفاده می گردد. برای عملياتی نمودن سرويس فوق می بايست سرويس دهنده NNTP بمنظور مديريت محل ذخيره سازی پيام های ارسالی نصب و در ادامه کاربران و سرويس گيرندگان با استفاده از برنامه ای موسوم به NewsReader از اطلاعات ذخيره شده استفاده خواهند کرد

مدل آدرس دهی IP
علاوه بر جايگاه پروتکل ها، يکی ديگر از عناصر مهم در زيرساخت شبکه های مبتنی بر TCP/IP مدل آدرس دهی IP است . مدل انتخابی می بايست اين اطمينان را بوجود آورد که اطلاعات ارسالی بدرستی به مقصد خواهند رسيد. نسخه شماره چهار IP ( نسخه فعلی ) از 32 بيت برای آدرس دهی استفاده کرده که بمنظور تسهيل در امر نمايش بصورت چهار عدد صحيح ( مبنای ده ) که بين آنها نقطه استفاده شده است نمايش داده می شوند.

نحوه اختصاص IP
نحوه اختصاص IP به عناصر مورد نياز در شبکه های مبتنی بر TCP/IP يکی از موارد بسيار مهم است . اختصاص IP ممکن است بصورت دستی و توسط مديريت شبکه انجام شده و يا انجام رسالت فوق بر عهده عناصر سرويس دهنده نرم افزاری نظير DHCP و يا NAT گذاشته گردد

Subnetting
يکی از مهمترين عمليات در رابطه با اختصاص IP مسئله Subnetting است . مسئله فوق بعنوان هنر و علمی است که ماحصل آن تقسيم يک شبکه به مجموعه ای از شبکه های کوچکتر (Subnet) از طريق بخدمت گرفتن ۳۲ بيت با نام Subnet mask بوده که بنوعی مشخصه (ID) شبکه را مشخص خواهد کرد.

کالبد شکافی آدرس های IP

هر دستگاه  در شبکه های مبتنی بر TCP/IP دارای يک آدرس منحصر بفرد است . آدرس فوق IP ناميده می شود. يک آدرس IP  مطابق زير است :

§  216.27.61.137

 

بمنظور بخاطر سپردن آسان آدرس های IP ، نحوه نما يش آنها بصورت دسيمال ( مبنای دهدهی ) بوده که توسط چهار عدد که توسط نقطه از يکديگر جدا می گردند ،  است .  هر يک از اعداد فوق را octet می گويند. کامپيوترها برای ارتباط با يکديگر از مبنای دو ( باينری ) استفاده می نمايند.  فرمت باينری آدرس IP اشاره شده بصورت زير است :

§  11011000.00011011.00111101.10001001

 

همانگونه که مشاهده می گردد ، هر IP از 32 بيت تشکيل می گردد.   بدين ترتيب می توان حداکثر 4.294.967.296 آدرس  منحصر   بفرد را استفاده کرد( 232 ) . مثلا" آدرس 255.255.255.255 برای Broadcast ( انتشار عام ) استفاده می گردد . نمايش يک IP بصورت چهار عدد ( Octet) صرفا" برای راحتی کار نبوده و از آنان برای ايجاد " کلاس های IP " نيز استفاده می گردد. هر Octet به دو بخش مجزا تقسيم می گردد:  شبکه (Net) و   ميزبان (Host) . اولين  octet نشاندهنده  شبکه بوده و از آن برای مشخص نمودن شبکه ای که کامپيوتر به آن تعلق دارد ، استفاده می گردد. سه بخش ديگر octet ، نشاندهنده آدرس کامپيوتر موجود در شبکه است

پنج کلاس متفاوت IP  بهمراه برخی آدرس های خاص ، تعريف شده است :

- Default Network . آدرس IP 0.0.0.0 ، برای شبکه پيش فرض در نظر گرفته شده است .آدرس فوق برای موارديکه کامپيوتر ميزبان از آدرس خود آگاهی ندارد استفاده شده تا به پروتکل هائی نظير DHCP  اعلام نمايد برای وی آدرسی را تخصيص دهد.

 

- کلاس A . کلاس فوق برای شبکه های بسيار بزرگ نظير يک شرکت بين المللی در نظر گرفته می شود. آدرس هائی که اولين octet آنها 1 تا 126 باشد ، کلاس A می باشند. از سه octet ديگر بمنظور مشخص نمودن هر يک از کامپيوترهای ميزبان استفاده می گردد. بدين ترتيب مجموع شبکه های کلاس A ، معادل 126 و هر يک از شبکه های  فوق  می توانند 16.777.214 کامپيوتر ميزبان داشته باشند. ( عدد فوق از طريق حاصل  2 - 224 بدست آمده است ) .بنابراين تعداد تمام کامپيوترهای ميزبان در شبکه های کلاس A معادل 2.147.483.648 (231) است . در شبکه های  کلاس A ، بيت با ارزس بالا در اولين octet همواره مقدار صفر را دارد.  

NET

Host (Node)

115.

24.53.107

- LoopBack . آدرس IP 127.0.0.1 برای LoopBack در نظر گرفته شده است . کامپيوتر ميزبان از آدرس فوق برای ارسال يک پيام برای خود استفاده می کند.( فرستنده و گيرنده پيام يک کامپيوتر می باشد) آدرس فوق اغلب برای تست و اشکال زدائی استفاده می گردد.

- کلاس B . کلاس فوق برای شبکه های متوسط در نظر گرفته می شود.( مثلا" يک دانشگاه بزرگ ) آدرس هائی که اولين octet آنها 128 تا 191 باشد ، کلاس B می باشند. در کلاس فوق از دومين octet هم برای مشخص کردن شبکه استفاده می گردد. از دو octet ديگر برای مشخص نمودن هر يک از کامپيوترهای ميزبان در شبکه استفاده می گردد بدين ترتيب 16.384 ( 214) شبکه از نوع کلاس B وجود دارد. تعداد کامپيوترهای ميزبان در اين نوع شبکه ها( هر شبکه )  معادل 65.534 (2 - 16 2 ) است . بنابراين تعداد تمام کامپيوترهای ميزبان در شبکه های کلاس B معادل 1.073.741.824 (230) است  در شبکه های  کلاس B ، اولين  و دومين بيت   در اولين octet  به ترتيب مقدار يک و صفر را دارا می باشند.

NET

Host (Node)

145.24.

53.107

- کلاس C . کلاس فوق برای شبکه های کوچک تا متوسط در نظر گرفته می شود.آدرس هائی که اولين octet آنها 192 تا 223 باشد ، کلاس C می باشند. در کلاس فوق از دومين و سومين  octet هم برای مشخص کردن شبکه استفاده می گردد. از آخرين octet  برای مشخص نمودن هر يک از کامپيوترهای ميزبان در شبکه استفاده می گردد . بدين ترتيب 2.097.152 ( 21 2 )  شبکه کلاس C وجود دارد.تعداد کامپيوترهای ميزبان در اين نوع شبکه ها( هر شبکه )  معادل 254 (2 - 8 2 ) است . بنابراين تعداد تمام کامپيوترهای ميزبان در شبکه های کلاس C معادل 536.870.912 ( 229 ) است .  در شبکه های  کلاس C ، اولين  ، دومين و سومين بيت   در اولين octet  به ترتيب مقدار يک ، يک و  صفر را دارا می باشند.

NET

Host(Node)

195.24.53.

107

- کلاس D . از کلاس فوق برای multicasts استفاده می شود. در چنين حالتی يک گره ( ميزبان)  بسته اطلاعاتی خود را برای  يک گروه خاص ارسال می دارد. تمام دستگاه های موجود در گروه ، بسته اطلاعاتی ارسال شده را دريافت خواهند کرد. ( مثلا" يک روتر سيسکو آخرين وضعيت بهنگام شده خود را برای  ساير روترهای سيسکو ارسال می دارد ) کلاس فوق نسبت به سه کلاس قبلی دارای ساختاری کاملا" متفاوت است. اولين ، دومين ، سومين و چهارمين بيت به ترتيب دارای مقادير يک ، يک ، يک و صفر می باشند.28 بيت باقيمانده بمنظور مشخص نمودن گروههائی از کامپيوتر بوده که پيام Multicast برای آنان در نظر گرفته می شود. کلاس فوق قادر به آدرسی دهی  268.435.456 (226 )  کامپيوتر است

NET

Host(Node)

224.

24.53.107

- کلاس E . از کلاس فوق برای موارد تجربی استفاده می شود. کلاس فوق نسبت به سه کلاس اوليه دارای ساختاری متفاوت است . اولين ، دومين ، سومين و چهارمين بيت به ترتيب دارای مقادير يک ، يک ، يک و يک می باشند.28 بيت باقيمانده بمنظور مشخص نمودن گروههائی از کامپيوتر بوده که پيام Multicast برای آنان در نظر گرفته می شود. کلاس فوق قادر به آدرسی دهی  268.435.456 (226 )  کامپيوتر است

NET

Host(Node)

240.

24.53.107

- BroadCast . پيام هائی با آدرسی از اين نوع ، برای تمامی کامپيوترهای در شبکه ارسال خواهد شد. اين نوع پيام ها همواره دارای آدرس زير خواهند بود :

§  255.255.255.255.

- آدرس های رزو شده . آدرس های IP زير بمنظور استفاده در شبکه های خصوصی (اينترانت ) رزو شده اند :

§  10.x.x.x

§  172.16.x.x - 172.31.x.x

§  192.168.x.x

 

 

- IP  نسخه شش . نسخه فوق برخلاف نسخه فعلی که از 32 بيت بمنظور آدرس دهی استفاده می نمايد ، از 128 بيت برای آدرس دهی استفاده می کند. هر شانزده بيت بصورت مبنای شانزده نمايش داده می شود. :

2b63:1478:1ac5:37ef:4e8c:75df:14cd:93f2

 

خلاصه :

Class

1st Octet

2nd Octet

3rd Octet

4th Octet

 

Net ID

Host ID

A

 

 

 

 

 

Net ID

Host ID

B

 

 

 

 

 

Net ID

Host ID

C

 

 

 

 

 

Network Type

Address Range

Normal Netmask

Comments

Class A

001.x.x.x to 126.x.x.x

255.0.0.0

For very large networks

Class B

128.1.x.x to 191.254.x.x

255.255.0.0

For medium size networks

Class C

192.0.1.x to 223.255.254.x

255.255.255.0

For small networks

Class D

224.x.x.x to 239.255.255.255

 

Used to support multicasting

Class E

240.x.x.x to 247.255.255.255

 

 

 

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 11:16 توسط حسين دقاق زاده  | 

شبکه


800x600

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

پنج کلاس متفاوت IP  بهمراه برخی آدرس های خاص ، تعريف شده است :

- Default Network . آدرس IP 0.0.0.0 ، برای شبکه پيش فرض در نظر گرفته شده است .آدرس فوق برای موارديکه کامپيوتر ميزبان از آدرس خود آگاهی ندارد استفاده شده تا به پروتکل هائی نظير DHCP  اعلام نمايد برای وی آدرسی را تخصيص دهد.

 

- کلاس A . کلاس فوق برای شبکه های بسيار بزرگ نظير يک شرکت بين المللی در نظر گرفته می شود. آدرس هائی که اولين octet آنها 1 تا 126 باشد ، کلاس A می باشند. از سه octet ديگر بمنظور مشخص نمودن هر يک از کامپيوترهای ميزبان استفاده می گردد. بدين ترتيب مجموع شبکه های کلاس A ، معادل 126 و هر يک از شبکه های  فوق  می توانند 16.777.214 کامپيوتر ميزبان داشته باشند. ( عدد فوق از طريق حاصل  2 - 224 بدست آمده است ) .بنابراين تعداد تمام کامپيوترهای ميزبان در شبکه های کلاس A معادل 2.147.483.648 (231) است . در شبکه های  کلاس A ، بيت با ارزس بالا در اولين octet همواره مقدار صفر را دارد.  

NET

Host (Node)

115.

24.53.107

- LoopBack . آدرس IP 127.0.0.1 برای LoopBack در نظر گرفته شده است . کامپيوتر ميزبان از آدرس فوق برای ارسال يک پيام برای خود استفاده می کند.( فرستنده و گيرنده پيام يک کامپيوتر می باشد) آدرس فوق اغلب برای تست و اشکال زدائی استفاده می گردد.

- کلاس B . کلاس فوق برای شبکه های متوسط در نظر گرفته می شود.( مثلا" يک دانشگاه بزرگ ) آدرس هائی که اولين octet آنها 128 تا 191 باشد ، کلاس B می باشند. در کلاس فوق از دومين octet هم برای مشخص کردن شبکه استفاده می گردد. از دو octet ديگر برای مشخص نمودن هر يک از کامپيوترهای ميزبان در شبکه استفاده می گردد بدين ترتيب 16.384 ( 214) شبکه از نوع کلاس B وجود دارد. تعداد کامپيوترهای ميزبان در اين نوع شبکه ها( هر شبکه )  معادل 65.534 (2 - 16 2 ) است . بنابراين تعداد تمام کامپيوترهای ميزبان در شبکه های کلاس B معادل 1.073.741.824 (230) است  در شبکه های  کلاس B ، اولين  و دومين بيت   در اولين octet  به ترتيب مقدار يک و صفر را دارا می باشند.

NET

Host (Node)

145.24.

53.107

- کلاس C . کلاس فوق برای شبکه های کوچک تا متوسط در نظر گرفته می شود.آدرس هائی که اولين octet آنها 192 تا 223 باشد ، کلاس C می باشند. در کلاس فوق از دومين و سومين  octet هم برای مشخص کردن شبکه استفاده می گردد. از آخرين octet  برای مشخص نمودن هر يک از کامپيوترهای ميزبان در شبکه استفاده می گردد . بدين ترتيب 2.097.152 ( 21 2 )  شبکه کلاس C وجود دارد.تعداد کامپيوترهای ميزبان در اين نوع شبکه ها( هر شبکه )  معادل 254 (2 - 8 2 ) است . بنابراين تعداد تمام کامپيوترهای ميزبان در شبکه های کلاس C معادل 536.870.912 ( 229 ) است .  در شبکه های  کلاس C ، اولين  ، دومين و سومين بيت   در اولين octet  به ترتيب مقدار يک ، يک و  صفر را دارا می باشند.

NET

Host(Node)

195.24.53.

107

- کلاس D . از کلاس فوق برای multicasts استفاده می شود. در چنين حالتی يک گره ( ميزبان)  بسته اطلاعاتی خود را برای  يک گروه خاص ارسال می دارد. تمام دستگاه های موجود در گروه ، بسته اطلاعاتی ارسال شده را دريافت خواهند کرد. ( مثلا" يک روتر سيسکو آخرين وضعيت بهنگام شده خود را برای  ساير روترهای سيسکو ارسال می دارد ) کلاس فوق نسبت به سه کلاس قبلی دارای ساختاری کاملا" متفاوت است. اولين ، دومين ، سومين و چهارمين بيت به ترتيب دارای مقادير يک ، يک ، يک و صفر می باشند.28 بيت باقيمانده بمنظور مشخص نمودن گروههائی از کامپيوتر بوده که پيام Multicast برای آنان در نظر گرفته می شود. کلاس فوق قادر به آدرسی دهی  268.435.456 (226 )  کامپيوتر است

NET

Host(Node)

224.

24.53.107

- کلاس E . از کلاس فوق برای موارد تجربی استفاده می شود. کلاس فوق نسبت به سه کلاس اوليه دارای ساختاری متفاوت است . اولين ، دومين ، سومين و چهارمين بيت به ترتيب دارای مقادير يک ، يک ، يک و يک می باشند.28 بيت باقيمانده بمنظور مشخص نمودن گروههائی از کامپيوتر بوده که پيام Multicast برای آنان در نظر گرفته می شود. کلاس فوق قادر به آدرسی دهی  268.435.456 (226 )  کامپيوتر است

NET

Host(Node)

240.

24.53.107

برچسب‌ها: معرفی سخت افزارهای کامپیوتر, امنیت شبکه, توسعه و نصب وراه اندازی شبکه
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 11:15 توسط حسين دقاق زاده  | 

شبکه


800x600

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

کالبد شکافی آدرس های IP

هر دستگاه  در شبکه های مبتنی بر TCP/IP دارای يک آدرس منحصر بفرد است . آدرس فوق IP ناميده می شود. يک آدرس IP  مطابق زير است :

§  216.27.61.137

بمنظور بخاطر سپردن آسان آدرس های IP ، نحوه نما يش آنها بصورت دسيمال ( مبنای دهدهی ) بوده که توسط چهار عدد که توسط نقطه از يکديگر جدا می گردند ،  است .  هر يک از اعداد فوق را octet می گويند. کامپيوترها برای ارتباط با يکديگر از مبنای دو ( باينری ) استفاده می نمايند.  فرمت باينری آدرس IP اشاره شده بصورت زير است :

§  11011000.00011011.00111101.10001001

 

همانگونه که مشاهده می گردد ، هر IP از 32 بيت تشکيل می گردد.   بدين ترتيب می توان حداکثر 4.294.967.296 آدرس  منحصر   بفرد را استفاده کرد( 232 ) . مثلا" آدرس 255.255.255.255 برای Broadcast ( انتشار عام ) استفاده می گردد . نمايش يک IP بصورت چهار عدد ( Octet) صرفا" برای راحتی کار نبوده و از آنان برای ايجاد " کلاس های IP " نيز استفاده می گردد. هر Octet به دو بخش مجزا تقسيم می گردد:  شبکه (Net) و   ميزبان (Host) . اولين  octet نشاندهنده  شبکه بوده و از آن برای مشخص نمودن شبکه ای که کامپيوتر به آن تعلق دارد ، استفاده می گردد. سه بخش ديگر octet ، نشاندهنده آدرس کامپيوتر موجود در شبکه است

برچسب‌ها: ابزار سئو, اخبار آتی, بهینه سازی وب, طراحی سایت فیس بوک
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 11:14 توسط حسين دقاق زاده  | 

شبکه


800x600

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

مدل آدرس دهی IP
علاوه بر جايگاه پروتکل ها، يکی ديگر از عناصر مهم در زيرساخت شبکه های مبتنی بر TCP/IP مدل آدرس دهی IP است . مدل انتخابی می بايست اين اطمينان را بوجود آورد که اطلاعات ارسالی بدرستی به مقصد خواهند رسيد. نسخه شماره چهار IP ( نسخه فعلی ) از 32 بيت برای آدرس دهی استفاده کرده که بمنظور تسهيل در امر نمايش بصورت چهار عدد صحيح ( مبنای ده ) که بين آنها نقطه استفاده شده است نمايش داده می شوند.

نحوه اختصاص IP
نحوه اختصاص IP به عناصر مورد نياز در شبکه های مبتنی بر TCP/IP يکی از موارد بسيار مهم است . اختصاص IP ممکن است بصورت دستی و توسط مديريت شبکه انجام شده و يا انجام رسالت فوق بر عهده عناصر سرويس دهنده نرم افزاری نظير DHCP و يا NAT گذاشته گردد

Subnetting
يکی از مهمترين عمليات در رابطه با اختصاص IP مسئله Subnetting است . مسئله فوق بعنوان هنر و علمی است که ماحصل آن تقسيم يک شبکه به مجموعه ای از شبکه های کوچکتر (Subnet) از طريق بخدمت گرفتن ۳۲ بيت با نام Subnet mask بوده که بنوعی مشخصه (ID) شبکه را مشخص خواهد کرد

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 11:13 توسط حسين دقاق زاده  | 

شبکه


800x600

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

مدل آدرس دهی IP
علاوه بر جايگاه پروتکل ها، يکی ديگر از عناصر مهم در زيرساخت شبکه های مبتنی بر TCP/IP مدل آدرس دهی IP است . مدل انتخابی می بايست اين اطمينان را بوجود آورد که اطلاعات ارسالی بدرستی به مقصد خواهند رسيد. نسخه شماره چهار IP ( نسخه فعلی ) از 32 بيت برای آدرس دهی استفاده کرده که بمنظور تسهيل در امر نمايش بصورت چهار عدد صحيح ( مبنای ده ) که بين آنها نقطه استفاده شده است نمايش داده می شوند.

نحوه اختصاص IP
نحوه اختصاص IP به عناصر مورد نياز در شبکه های مبتنی بر TCP/IP يکی از موارد بسيار مهم است . اختصاص IP ممکن است بصورت دستی و توسط مديريت شبکه انجام شده و يا انجام رسالت فوق بر عهده عناصر سرويس دهنده نرم افزاری نظير DHCP و يا NAT گذاشته گردد

Subnetting
يکی از مهمترين عمليات در رابطه با اختصاص IP مسئله Subnetting است . مسئله فوق بعنوان هنر و علمی است که ماحصل آن تقسيم يک شبکه به مجموعه ای از شبکه های کوچکتر (Subnet) از طريق بخدمت گرفتن ۳۲ بيت با نام Subnet mask بوده که بنوعی مشخصه (ID) شبکه را مشخص خواهد کرد

برچسب‌ها: ابزار سئو, اخبار آتی, بهینه سازی وب, طراحی سایت فیس بوک
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 11:12 توسط حسين دقاق زاده  | 

شبکه

800x600

پروتکل های موجود در لايه Application پروتکل TCP/IP
 

پروتکل TCP/IP صرفا" به سه پروتکل TCP ، UDP و IP محدود نشده و در سطح لايه Application دارای مجموعه گسترده ای از ساير پروتکل ها است . پروتکل های فوق بعنوان مجموعه ابزارهائی برای مشاهده ، اشکال زدائی و اخذ اطلاعات و ساير عمليات مورد استفاده قرار می گيرند.در اين بخش به معرفی برخی از اين پروتکل ها خواهيم پرداخت .
 

- پروتکل FTP)File Transfer Protocol) . از پروتکل فوق برای تکثير فايل های موجود بر روی يک کاميپيوتر و کامپيوتر ديگر استفاده می گردد. ويندوز دارای يک برنامه خط دستوری بوده که بعنوان سرويس گيرنده ايفای وظيفه کرده و امکان ارسال و يا دريافت فايل ها را از يک سرويس دهنده FTP فراهم می کند.

- پروتکل SNMP)Simple Network Management Protocol) . از پروتکل فوق بمنظور اخذ اطلاعات آماری استفاده می گردد. يک سيستم مديريتی، درخواست خود را از يک آژانس SNMP مطرح و ماحصل عمليات کار در يک MIB)Management Information Base) ذخيره می گردد. MIB يک بانک اطلاعاتی بوده که اطلاعات مربوط به کامپيوترهای موجود در شبکه را در خود نگهداری می نمايد .( مثلا" چه ميزان فضا ی هارد ديسک وجود دارد)

- پروتکل TelNet . با استفاده از پروتکل فوق کاربران قادر به log on ، اجرای برنامه ها و مشاهده فايل های موجود بر روی يک کامپيوتر از راه دور می باشند. ويندوز دارای برنامه های سرويس دهنده و گيرنده جهت فعال نمودن و استفاده از پتانسيل فوق است .

- پروتکل SMTP)simple Mail Transfer Protocol) . از پروتکل فوق برای ارسال پيام الکترونيکی استفاده می گردد.

- پروتکل HTTP)HyperText Transfer Protocol) . پروتکل فوق مشهورترين پروتکل در اين گروه بوده و از آن برای رايج ترين سرويس اينترنت يعنی وب استفاده می گردد. با استفاده از پروتکل فوق کامپيوترها قادر به مبادله فايل ها با فرمت های متفاوت ( متن، تصاوير ،گرافيکی ، صدا، ويدئو و...) خواهند بود. برای مبادله اطلاعات با استناد به پروتکل فوق می بايست ، سرويس فوق از طريق نصب سرويس دهنده وب فعال و در ادامه کاربران و استفاده کنندگان با استفاده از يک مرورگر وب قادر به استفاده از سرويس فوق خواهند بود.

پروتکل NNTP)Network News Transfer Protocol) . از پروتکل فوق برای مديريت پيام های ارسالی برای گروه های خبری خصوصی و عمومی استفاده می گردد. برای عملياتی نمودن سرويس فوق می بايست سرويس دهنده NNTP بمنظور مديريت محل ذخيره سازی پيام های ارسالی نصب و در ادامه کاربران و سرويس گيرندگان با استفاده از برنامه ای موسوم به NewsReader از اطلاعات ذخيره شده استفاده خواهند کرد

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

برچسب‌ها: معرفی سخت افزارهای کامپیوتر, امنیت شبکه, توسعه و نصب وراه اندازی شبکه
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 11:11 توسط حسين دقاق زاده  | 

شبکه

800x600

پروتکل های موجود در لايه Network پروتکل TCP/IP

- پروتکل TCP)Transmission Control Protocol) ، مهمترين وظيفه پروتکل فوق اطمينان از صحت ارسال اطلاعات است . پروتکل فوق اصطلاحا" Connection-oriented ناميده می شود. علت اين امر ايجاد يک ارتباط مجازی بين کامپيوترهای فرستنده و گيرنده بعد از ارسال اطلاعات است . پروتکل هائی از اين نوع ، امکانات بيشتری را بمنظور کنترل خطاهای احتمالی در ارسال اطلاعات فراهم نموده ولی بدليل افزايش بار عملياتی سيستم کارائی آنان کاهش خواهد يافت . از پروتکل TCP بعنوان يک پروتکل قابل اطمينان نيز ياد می شود. علت اين امر ارسال اطلاعات و کسب آگاهی لازم از گيرنده اطلاعات بمنظور اطمينان از صحت ارسال توسط فرستنده است . در صورتيکه بسته های اطلاعاتی بدرستی دراختيار فرستنده قرار نگيرند، فرستنده مجددا" اقدام به ارسال اطلاعات می نمايد.

- پروتکل UDP)User Datagram Protocol) . پروتکل فوق نظير پروتکل TCP در لايه " حمل " فعاليت می نمايد. UDP بر خلاف پروتکل TCP بصورت " بدون اتصال " است  . بديهی است که سرعت پروتکل فوق نسبت به TCP سريعتر بوده ولی از بعد کنترل خطاء تظمينات لازم را ارائه نخواهد داد. بهترين جايگاه استفاده از پروتکل فوق در مواردی است که برای ارسال و دريافت اطلاعات به يک سطح بالا از اطمينان ، نياز نداشته باشيم .

- پروتکل IP)Internet Protocol) . پروتکل فوق در لايه شبکه ايفای وظيفه کرده و مهمترين مسئوليت آن دريافت و ارسال بسته های اطلاعاتی به مقاصد درست است . پروتکل فوق با استفاده از آدرس های نسبت داده شده منطقی، عمليات روتينگ را انجام خواهد داد.
Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

برچسب‌ها: معرفی سخت افزارهای کامپیوتر, امنیت شبکه, توسعه و نصب وراه اندازی شبکه
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 10:41 توسط حسين دقاق زاده  | 

شبکه

800x600

TCP/IP

TCP/IP پروتکل استاندارد در اکثر شبکه های بزرگ است . با اينکه پروتکل فوق کند و مستلزم استفاده از منابع زيادی است ، ولی بدليل مزايای بالای آن نظير : قابليت روتينگ ، حمايت در اغلب پلات فورم ها و سيستم های عامل همچنان در زمينه استفاده از پروتکل ها حرف اول را می زند. با استفاده از پروتکل فوق کاربران با در اختيار داشتن ويندوز و پس از اتصال به شبکه اينترنت، براحتی قادر به ارتباط با کاربران ديگر خواهند بود که از مکينتاش استفاده می کند
 امروزه کمتر محيطی را می توان يافت که نيازبه دانش کافی در رابطه با TCP/IP نباشد. حتی سيستم عامل شبکه ای ناول که ساليان متمادی از پروتکل IPX/SPX برای ارتباطات  استفاده می کرد، در نسخه شماره پنج خود به ضرورت استفاده از پروتکل فوق واقف و نسخه اختصاصی خود را در اين زمينه ارائه نمود.
پروتکل TCP/IP در ابتدا برای استفاده در شبکه ARPAnet ( نسخه قبلی اينترنت ) طراحی گرديد. وزارت دفاع امريکا با همکاری برخی از دانشگاهها اقدام به طراحی يک سيستم جهانی نمود که دارای قابليت ها و ظرفيت های متعدد حتی در صورت بروز جنگ هسته ای باشد. پروتکل ارتباطی برای شبکه فوق ، TCP/IP در نظر گرفته شد.
اجزای پروتکل TCP/IP
پروتکل TCP/IP از مجموعه پروتکل های ديگر تشکيل شده که هر يک در لايه مربوطه، وظايف خود را انجام می دهند. پروتکل های موجود در لايه های Transport و Network دارای اهميت بسزائی بوده و در ادامه به بررسی آنها خواهيم پرداخت .

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 10:40 توسط حسين دقاق زاده  | 

v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

800x600 Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

- فيبر  نوری

يکی از جديدترين محيط های انتقال در شبکه های کامپيوتری ، فيبر نوری است . فيبر نوری از يک ميله استوانه ای که هسته ناميده می شود و جنس آن از سيليکات است تشکيل می گردد. شعاع استوانه بين دو تا سه ميکرون است . روی هسته ، استوانه ديگری ( از همان جنس هسته ) که غلاف ناميده می شود ، استقرار می يابد. ضريب شکست هسته را با M1 و ضريب شکست غلاف را با M2  نشان داده و همواره M1>M2 است . در اين نوع فيبرها ، نور در اثر انعکاسات کلی در فصل مشترک هسته و غلاف ، انتشار پيدا خواهد کرد. منابع نوری در اين نوع کابل ها ، ديود ليزری و يا ديودهای ساطع کننده نور می باشند.منابع فوق ، سيگنال های الکتريکی را به نور تبديل می نمايند.

مزايای فيبر نوری :

§       حجم و وزن کم

§       پهنای باند بالا

§       تلفات  سيگنال کم و در نتيجه فاصله تقويت کننده ها زياد می گردد.

§       فراوانی مواد تشکيل دهنده آنها

§       مصون بودن از اثرات القاهای الکترو معناطيسی مدارات ديگر

§       آتش زا نبودن آنها بدليل عدم وجود پالس الکتريکی در آنها

§       مصون بودن در مقابل عوامل جوی و رطوبت

§       سهولت در امر کابل کشی و نصب

§       استفاده در شبکه های  مخابراتی آنالوگ و ديجيتال

§       مصونيت در مقابل پارازيت

معايب فيبر نوری :

§       براحتی شکسته شده و می بايست دارای يک پوشش مناسب باشند. مسئله فوق با ظهور فيبر های تمام پلاستيکی و پلاستيکی / شيشه ای کاهش پيدا کرده است .

§       اتصال دو بخش از فيبر يا اتصال يک منبع نور به فيبر ، فرآيند دشواری است . در چنين حالتی می توان از فيبرهای ضخيم تر استفاده کرد اما اين مسئله باعث تلفات زياد و کم شدن پهنای باند می گردد.

§       از اتصالات T شکل در فيبر نوری نمی توان جهت گرفتن انشهاب استفاده نمود. در چنين حالتی فيبر می بايست بريده شده و يک Detector اضافه گردد. دستگاه فوفق می بايست قادر به دريافت و تکرار سيگنال را داشته باشد.

§       تقويت سيگنال نوری يکی از مشکلات اساسی در زمينه فيبر نوری است . برای تقويت سيگنال می بايست سيگنال های توری به سيگنال های الکتريکی تبديل ، تقويت و مجددا" به علائم نوری تبديل شوند.

کابل های استفاده شده در شبکه های اترنت

Specification

Cable Type

Maximum length

10BaseT

Unshielded Twisted Pair

100 meters

10Base2

Thin Coaxial

185 meters

10Base5

Thick Coaxial

500 meters

10BaseF

Fiber Optic

2000 meters

100BaseT

Unshielded Twisted Pair

100 meters

100BaseTX

Unshielded Twisted Pair

220 meters
 

برچسب‌ها: معرفی سخت افزارهای کامپیوتر, امنیت شبکه, توسعه و نصب وراه اندازی شبکه
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 7:54 توسط حسين دقاق زاده  | 

شبکه


800x600

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

کابل کواکسيال

يکی از مهمترين محيط های انتقال در مخابرات کابل کواکسيال و يا هم محور می باشد . اين نوع کابل ها از سال 1936 برای انتقال اخبار و اطلاعات در دنيار به کار گرفته شده اند. در اين نوع کابل ها، دو سيم تشکيل دهنده يک زوج ، از حالت متقارن خارج شده و هر زوج از يک سيم در مغز و يک لايه مسی بافته شده در اطراف آن تشکيل می گردد. در نوع ديگر کابل های کواکسيال ، به حای لايه مسی بافته شده ، از تيوپ مسی استوانه ای استفاده می شود. ماده ای پلاستيکی اين دو هادی را از يکديگر جدا می کند. ماده پلاستيکی ممکن است بصورت ديسکهای پلاستيکی يا شيشه ای در فواصل مختلف استفاده و مانع از تماس دو هادی با يکديگر شود و يا ممکن است دو هادی در تمام طول کابل بوسيله مواد پلاستيکی از يکديگر جدا گردند.

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

مزايای کابل های کواکسيال :

§       قابليت اعتماد بالا

§       ظرفيت بالای انتقال ، حداکثر پهنای باند 300 مگاهرتز

§       دوام و پايداری خوب

§       پايطن بودن مخارج نگهداری

§       قابل استفاده در سيستم های آنالوگ و ديجيتال

§       هزينه پائين در زمان توسعه

§       پهنای باند نسبتا" وسيع که مورد استفاده اکثر سرويس های مخابراتی از جمله تله کنفرانس صوتی و تصويری است .

معايب کابل های کواکسيال :

§       مخارج بالای نصب

§       نصب مشکل تر نسبت به کابل های بهم تابيده

§       محدوديت فاصله

§       نياز به استفاده از عناصر خاص برای انشعابات

از کانکتورهای BNC)Bayone -Neill - Concelman) بهمراه کابل های کواکسيال استفاده می گردد.  اغلب کارت های شبکه دارای کانکتورهای  لازم در اين خصوص می باشند.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در دوشنبه دوم اردیبهشت ۱۳۹۲ ساعت 7:52 توسط حسين دقاق زاده  | 

شبکه

800x600

مزايای کابل های بهم تابيده :

§       سادگی و نصب آسان

§       انعطاف پذيری مناسب

§       دارای وزن کم بوده و براحتی بهم تابيده می گردند.

معايب کابل های بهم تابيده :

§       تضعيف فرکانس

§       بدون استفاده از تکرارکننده ها ، قادر به حمل سيگنال در مسافت های طولانی نمی باشند.

§       پايين بودن پهنای باند 

§       بدليل پذيرش پارازيت در محيط های الکتريکی سنگين بخدمت گرفته  نمی شوند.

کانکتور استاندارد برای کابل های UTP  ، از نوع  RJ-45 می باشد. کانکتور فوق شباهت زيادی به کانکتورهای تلفن (RJ-11) دارد. هر يک از پين های کانکتور فوق می بايست بدرستی پيکربندی  گردند. (RJ:Registered Jack)

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در یکشنبه یکم اردیبهشت ۱۳۹۲ ساعت 8:0 توسط حسين دقاق زاده  | 

شبکه


v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

800x600 Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

● کابل در شبکه

در  شبکه های محلی از کابل بعنوان محيط انتقال و بمنظور ارسال اطلاعات استفاده می گردد.ازچندين نوع کابل در شبکه های محلی استفاده می گردد.  در برخی موارد ممکن است در يک شبکه  صرفا" از يک نوع کابل استفاده و يا با توجه به شرايط موجود از چندين نوع کابل استفاده گردد. نوع کابل انتخاب شده برای يک شبکه به عوامل متفاوتی نظير : توپولوژی شبکه،  پروتکل و اندازه  شبکه بستگی خواهد داشت . آگاهی از خصايص و ويژگی های متفاوت هر يک از کابل ها و تاثير هر يک از آنها بر ساير ويژگی های شبکه،  بمنظور طراحی و پياده سازی يک شبکه موفق بسيار لازم است .

- کابل Unshielded Twisted pair )UTP)

متداولترين نوع کابلی که در انتقال اطلاعات استفاده می گردد ، کابل های بهم تابيده می باشند. اين نوع کابل ها دارای دو رشته سيم به هم پيچيده بوده که هر دو نسبت زمين  دارای يک امپدانش يکسان می باشند. بدين ترتيب امکان تاثير پذيری اين نوع کابل ها از کابل های مجاور و يا ساير منابع خارجی کاهش خواهد يافت . کابل های بهم تابيده دارای دو مدل متفاوت : Shielded ( روکش دار ) و Unshielded ( بدون روکش ) می باشند. کابل UTP نسبت به کابل STP بمراتب متداول تر بوده و در اکثر شبکه های محلی استفاده می گردد.کيفيت کابل های UTP متغير بوده و از کابل های معمولی استفاده شده برای تلفن تا کابل های با سرعت بالا را شامل می گردد. کابل دارای چهار زوج  سيم بوده  و درون يک روکش قرار می گيرند.  هر زوج  با تعداد مشخصی پيچ تابانده شده ( در واحد اينچ ) تا تاثير پذيری آن از ساير زوج ها و ياساير دستگاههای الکتريکی  کاهش يابد.

v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

800x600 Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";} v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

800x600 Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";} v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

800x600 Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

 کابل های UTP دارای استانداردهای متعددی بوده که در گروههای (Categories) متفاوت  زير تقسيم شده اند:


800x600

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

 Type

کاربرد

Cat 1

فقط صوت ( کابل های تلفن )

Cat 2

داده  با سرعت 4 مگابيت در ثانيه

Cat 3

داده با سرعت 10 مگابيت در ثانيه

Cat 4

داده با سرعت 20 مگابيت در ثانيه

Cat 5

داده با سرعت 100 مگابيت در ثانيه

برچسب‌ها: ابزار سئو, اخبار آتی, بهینه سازی وب, طراحی سایت فیس بوک
+ نوشته شده در یکشنبه یکم اردیبهشت ۱۳۹۲ ساعت 7:57 توسط حسين دقاق زاده  | 

شبکه


800x600

Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

تقسيم بندی بر اساس حوزه جغرافی تحت پوشش . شبکه های کامپيوتری با توجه به حوزه جغرافيائی تحت پوشش به سه گروه تقسيم می گردند :

§       شبکه های محلی ( کوچک ) LAN

§       شبکه های متوسط MAN

§       شبکه های گسترده WAN

شبکه های LAN . حوزه جغرافيائی که توسط اين نوع از شبکه ها پوشش داده می شود ، يک محيط کوچک نظير يک ساختمان اداری است . اين نوع از شبکه ها دارای ويژگی های زير می باشند :

§       توانائی ارسال اطلاعات با سرعت بالا

§       محدوديت فاصله

§       قابليت استفاده از محيط مخابراتی ارزان نظير خطوط تلفن بمنظور ارسال اطلاعات

§       نرخ پايين خطاء در ارسال اطلاعات با توجه به محدود بودن فاصله

شبکه های MAN . حوزه جغرافيائی که توسط اين نوع شبکه ها پوشش داده می شود ، در حد و اندازه يک شهر و يا شهرستان است . ويژگی های اين نوع از شبکه ها بشرح زير است :

§       پيچيدگی بيشتر نسبت به شبکه های محلی

§       قابليت ارسال تصاوير  و صدا 

§       قابليت ايجاد ارتباط بين چندين شبکه

شبکه های WAN . حوزه جغرافيائی که توسط اين نوع شبکه ها پوشش داده می شود ، در حد و اندازه کشور و قاره است . ويژگی اين نوع شبکه ها بشرح زير است :

§       قابليت ارسال اطلاعات بين کشورها و قاره ها

§       قابليت ايجاد ارتباط بين شبکه های LAN

§       سرعت پايين ارسال اطلاعات نسبت به شبکه های LAN

نرخ خطای بالا با  توجه به گستردگی محدوده تحت پوشش

برچسب‌ها: معرفی سخت افزارهای کامپیوتر, امنیت شبکه, توسعه و نصب وراه اندازی شبکه
+ نوشته شده در یکشنبه یکم اردیبهشت ۱۳۹۲ ساعت 7:53 توسط حسين دقاق زاده  | 

شبکه


v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

800x600 Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

توپولوژی RING . در اين نوع توپولوژی تمام کامپيوترها بصورت يک حلقه به يکديگر مرتبط می گردند. تمام کامپيوترهای موجود در شبکه ( سرويس دهنده ، سرويس گيرنده ) به يک کابل که بصورت يک دايره بسته است ، متصل می گردند. در مدل فوق  هر گره به دو و فقط دو همسايه مجاور خود متصل است . اطلاعات از گره مجاور دريافت و به گره بعدی ارسال می شوند. بنابراين داده ها فقط در يک جهت حرکت کرده و از ايستگاهی به ايستگاه ديگر انتقال پيدا می کنند.

مزايای توپولوژی RING

- کم بودن طول کابل . طول کابلی که در اين مدل بکار گرفته می شود ، قابل مقايسه به توپولوژی BUS نبوده و طول کمی را در بردارد. ويژگی فوق باعث کاهش تعداد اتصالات ( کانکتور) در شبکه شده و ضريب اعتماد به شبکه را افزايش خواهد داد.

- نياز به فضائی خاص جهت انشعابات در کابل کشی نخواهد بود.بدليل استفاده از يک کابل جهت اتصال هر گره به گره همسايه اش ، اختصاص محل هائی خاص بمنظور کابل کشی ضرورتی نخواهد داشت .

- مناسب جهت فيبر نوری . استفاده از فيبر نوری باعث بالا رفتن نرخ سرعت انتقال اطلاعات در شبکه است.  چون در توپولوژی فوق ترافيک داده ها در يک جهت است ، می توان از فيبر نوری بمنظور محيط انتقال استفاده کرد.در صورت تمايل می توان در هر بخش ازشبکه از يک نوع کابل بعنوان محيط انتقال استفاده کرد . مثلا" در محيط های ادرای از مدل های مسی و در محيط کارخانه از فيبر نوری استفاده کرد.

معايب توپولوژی RING

- اشکال در يک گره باعث اشکال در تمام شبکه می گردد. در صورت بروز اشکال در يک گره ، تمام شبکه با اشکال مواجه خواهد شد. و تا زمانيکه گره معيوب از شبکه خارج نگردد ، هيچگونه ترافيک اطلاعاتی را روی شبکه نمی توان داشت .

- اشکال زدائی مشکل است . بروز اشکال در يک گره می تواند روی تمام گرههای ديگر تاثير گذار باشد. بمنظور عيب يابی می بايست چندين گره بررسی تا گره مورد نظر پيدا گردد.

- تغيير در ساختار شبکه مشکل است . در زمان گسترش و يا اصلاح حوزه جغرافيائی تحت پوشش شبکه ، بدليل ماهيت حلقوی شبکه مسائلی بوجود خواهد آمد .

- توپولوژی بر روی نوع دستيابی تاثير می گذارد. هر گره در شبکه دارای مسئوليت عبور دادن داده ای است که از گره مجاور دريافت داشته است . قبل از اينکه يک گره بتواند داده خود را ارسال نمايد ، می بايست به اين اطمينان برسد که محيط انتقال برای استفاده قابل دستيابی است .

برچسب‌ها: ابزار سئو, اخبار آتی, بهینه سازی وب, طراحی سایت فیس بوک
+ نوشته شده در یکشنبه یکم اردیبهشت ۱۳۹۲ ساعت 7:52 توسط حسين دقاق زاده  | 

شبکه


v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

800x600 Normal 0 false false false EN-US X-NONE FA MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman","serif";}

توپولوژی STAR . در اين نوع توپولوژی همانگونه که از نام آن مشخص است ، از مدلی شبيه "ستاره" استفاده می گردد. در اين مدل تمام کامپيوترهای موجود در شبکه معمولا" به يک دستگاه خاص  با نام " هاب " متصل خواهند شد.

مزايای توپولوژی STAR

- سادگی سرويس شبکه . توپولوژی STAR شامل تعدادی از نقاط اتصالی در يک نقطه مرکزی است . ويژگی فوق تغيير در ساختار و سرويس  شبکه را آسان می نمايد.

- در هر اتصال يکدستگاه . نقاط اتصالی در شبکه ذاتا" مستعد اشکال هستند. در توپولوژی STAR  اشکال در يک اتصال ، باعث خروج آن خط  از شبکه و سرويس و اشکال زدائی خط مزبور است . عمليات فوق تاثيری در عملکرد ساير کامپيوترهای موجود در شبکه نخواهد گذاشت .

- کنترل مرکزی و عيب يابی . با توجه به اين مسئله که نقطه  مرکزی  مستقيما" به هر ايستگاه موجود در شبکه متصل است ، اشکالات و ايرادات در شبکه بسادگی تشخيص  و مهار خواهند گرديد.

- روش های ساده دستيابی . هر اتصال در شبکه شامل يک نقطه مرکزی و يک گره جانبی است . در چنين حالتی دستيابی به محيط انتقال حهت ارسال و دريافت اطلاعات دارای الگوريتمی ساده خواهد بود.

معايب توپولوژی STAR

- زياد بودن طول کابل . بدليل اتصال مستقيم هر گره به نقطه مرکزی ، مقدار زيادی کابل مصرف می شود. با توجه به اينکه هزينه کابل نسبت به تمام شبکه ، کم است ، تراکم در کانال کشی جهت کابل ها و مسائل مربوط به نصب و پشتيبنی آنها بطور قابل توجهی هزينه ها را افزايش خواهد داد.

- مشکل بودن توسعه . اضافه نمودن يک گره جديد به شبکه مستلزم يک اتصال از نقطه مرکزی به گره جديد است . با اينکه در زمان کابل کشی پيش بينی های لازم جهت توسعه در نظر گرفته می شود ، ولی در برخی حالات نظير زمانيکه طول زيادی از کابل مورد نياز بوده و يا اتصال مجموعه ای از گره های غير قابل پيش بينی اوليه ، توسعه شبکه را با مشکل مواجه خواهد کرد.

- وابستگی به نقطه مرکزی . در صورتيکه نقطه مرکزی ( هاب ) در شبکه با مشکل مواجه شود ، تمام شبکه غيرقابل استفاده خواهد بود.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در یکشنبه یکم اردیبهشت ۱۳۹۲ ساعت 7:51 توسط حسين دقاق زاده  | 

ssl , تامین امنیت وب سایتها

SSL

تامین امنیت وب سایت‌ها

امروزه با افزایش استفاده از اینترنت برای تبادل اطلاعات مهم و اساسی بحث امنیت در فضای مجازی از اهمیت بالایی برخوردار شده است. شرکت‌های امنیتی برای پیشگیری از سرقت اطلاعات خدمات گوناگونی را ارائه می‌دهند که از جملهٔ این امکانات می‌توان به گواهی امنیتی  SSL، فایروال، اسکنرهای سنجش امنیت و ارزیابی سالیانه امنیتی وب سایت‌ها اشاره کرد.
همان‌طور که می‌دانید بسیاری از مردم از طریق اینترنت خرید می‌کنند، ایمیل ارسال می‌کنند، به مدیریت حساب‌های بانکیشان و کارهایی از این دست می‌پردازند، اما اگر اندکی در خصوص تعداد کاربران اینترنت تأمل کنید، شگفت زده و البته کمی نگران خواهید شد. ۱۵ سال پیش تنها ۱۵ درصد از آمریکایی‌ها به اینترنت وصل می‌شدند، حالا این آمار حدود ۸۰ درصد است. جالب است بدانید که آمار جهانی کاربران اینترنت از این هم چشمگیر‌تر است. آمار به ما نشان می‌دهد که در یک دههٔ قبل تنها حدود ۳۵۰ میلیون نفر در سراسر جهان از اینترنت استفاده می‌کردند، حال آنکه در ۱۰ سال گذشته این رقم به حدود ۲ میلیارد نفر رسیده است.
هر چقدر به تعداد کاربران اینترنت افزوده شود، به‌‌ همان نسبت وب سایت‌ها بیشتر در معرض حملات سایبری از قبیل سرقت رمزهای عبور کاربران قرار خواهند گرفت. تهدید کاربران اینترنت روز به روز افزایش می‌یابد. بر طبق گزارش‌ها هر ساله بیش از 5. 3 میلیون نفر در آمریکا مورد سرقت اطلاعات در فضای مجازی قرار می‌گیرند.
بسیاری از کاربران فضای مجازی که خود یا افراد نزدیک به آن‌ها مانند دوستان و خانواده‌شان مورد سرقت اطلاعات قرار می‌گیرند و یا اینکه خبر مربوط به این سرقت‌ها را می‌شنوند، پس از آن به راحتی و با آسودگی اطلاعات شخصی مانند نام واقعیشان را در فضای اینترنت منتشر نخواهند کرد.
نتایج یک گزارش تحقیقاتی که به تازگی منتشر شده است، نشان می‌دهد که بیش از ۶۲ درصد از کاربران اینترنت در ایالت متحده بابت مسألهٔ امنیت اطلاعاتشان در فضای مجازی نگرانی‌های جدی دارند. واضح است که اگر کاربری در فضای مجازی برای دادن اطلاعات شخصی ساده مانند اسم واقعی‌اش احساس امنیت نکند، صحبت در خصوص استفادهٔ این کاربر از کارت اعتباری برای خرید اینترنتی یک شوخی بی‌مورد بیشتر نخواهد بود!
 تحقیقات نشان می‌دهد که اگر وب سایتی در سطح مطلوبی از امنیت قرار نداشته باشد، کاربران اینترنت به سادگی اطلاعات خود را در آن به اشتراک نخواهند گذاشت.
خوشبختانه در حال حاضر فناوری SSL وجود دارد. SSL یک راه حل استاندارد برای محافظت از اطلاعات حساس و مهم در فضای مجازی است. البته به اعتقاد متخصصان مزایای SSL تنها به مباحث امنیت ابتدایی وب سایت‌ها خلاصه نمی‌شود. این راهنما به شما در آشنایی با مفاهیم SSL، طرز کار آن و چگونگی ایمن سازی وب سایت‌ها در فضای مجازی کمک شایانی خواهد کرد.

 

 

SSL Authentication
برای صدور گواهی SSL و تأیید ایمنی وب سایت‌ها لازم است هویت قانونی و حقوقی صاحب وب سایت و وب سایت‌ها به اثبات برسد. صاحب وب سایت برای پیشبرد پروژهٔ تأیید هویت با مرکزی به نام certificate authority (CA) که مسئول صدور گواهی‌های SSL است، مرتبط می‌شود. در صورتی که وب سایتی درخواست استفاده از گواهی SSL را به CA بدهد، این مؤسسه به بررسی و تحقیق در خصوص سایت می‌پردازد تا اطمینان حاصل کند که سایت قانونی و حقوقی است. معمولاً کار‌شناسان این مؤسسه برای تأیید محل سکونت و هویت صاحب وب سایت به بررسی اسناد ثبت شدهٔ تجاری و حقوقی وب سایت خواهند پرداخت.
هر چند وب سایت‌ها خود امکان تهیه و امضای گواهی SSL را دارند، اما معمولاً به دلیل امنیت بیشتر و مدیریت بهتر، صدور گواهی نامه توسط نهاد معتبر سومی صورت می‌گیرد. وقتی صدور این گواهی نامه توسط یک نهاد بی‌طرف و سومی صورت بپذیرد، دیگر شکی برای قانونی نبودن وب سایت وجود نخواهد داشت. البته برخی از سایت‌های ارائه دهندهٔ خدمات، به طور مستقیم گواهی نامهٔ SSL را تهیه و صادر می‌کنند که این مورد بیشتر برای سایت‌ها و محیط‌های آزمایشی اتفاق می‌افتد.
فروشندگان بزرگ ارائه دهنده خدمات SSL مانند مایکروسافت توصیه اکید دارند در صورتی که وب سایت عمومی است صدور گواهی SSL حتماً توسط نهاد و مؤسسهٔ بی‌طرف و سومی انجام پذیرد.
در حال حاضر بهره گیری از پروتکل امنیتی SSL فراگیر شده است و طیف گسترده‌ای از وب سایت‌ها و مرورگر‌ها برای ایمن سازی از این فناوری بهره گرفته‌اند. جالب است بدانید که این فناوری نه تنها از وب سایت‌ها که از ارتباطات در فضای مجازی نیز محافظت می‌کند. SSL همچنین از محتوای ایمیل‌ها، پیام‌ها و ارتباطات تلفنی و اطلاعات رد و بدل شده بین دو سرور در فضای مجازی به خوبی محافظت می‌کند.

 

چگونگی عملکرد  SSL
در یک وب سایت که مجهز به گواهی SSL است، تمام اطلاعات تبادل شده میان سرور و مرورگر بیش از ارسال کدگذاری خواهند شد.
برای این کار، گواهی SSL دو کد دارد که کلید نامیده می‌شوند. کلید امنیتی (private key) منحصراً به سرور میزبان وب سایت اختصاص دارد و کلید عمومی (public key) در دسترس تمام مرورگر‌ها قرار خواهد گرفت. داده‌هایی که توسط کلید امنیتی رمز گذاری شوند تنها توسط کلید عمومی رمزگشایی شده و بالعکس داده‌هایی که توسط کلید عمومی رمزگذاری می‌شوند توسط کلید امنیتی رمزگشایی خواهند شد.
سطح امنیتی که توسط SSL ایجاد می‌شود به عوامل محدودی از جمله نوع گواهی SSL وب سایت، نوع مرور گر استفاده شده توسط کاربر و قابلیت‌ها و ویژگی‌های سرور میزبان بستگی خواهد داشت.
یکی از ویژگی‌های گواهی SSL، وجود طیفی از سطح رمزگذاری نظیر «بالا‌تر از ۲۵۶ بیت» است.
در این بخش مثالی برای مقایسهٔ قدرت رمزگذاری SSL آورده شده است. جالب است بدانید که قدرت SSL صد و بیست و هشت بیتی 88^2 برابر گواهی SSL  چهل بیتی است. به عبارت دیگر تریلیون‌ها بار قوی‌تر است. می‌توان گفت که یک سارق اطلاعات (هکر) باید برای شکستن حصار امنیتی یک گواهی SSL ۱۲۸ بیتی و رمز گشایی کدهای آن یک تریلیون سال وقت صرف کند و این زمان برای گواهی SSL ۲۵۶ بیتی بسیار بیشتر خواهد بود.

 

تجربیات کاربران از  SSL
شما برای دانستن اینکه سایتی از گواهی SSL استفاده می‌کند، نیازی به دانش آی تی و آشنایی با روش برنامه نویسی HTML نخواهید داشت. در واقع، مرورگرهای اینترنتی به نشانه‌های بصری مجهز هستند که به شما برای اطلاع از استفادهٔ سایت از گواهی SSL کمک می‌کند. برای مثال، آدرس سایتی که گواهی SSL دارد با https:// شروع می‌شود. در حالی که سایت‌های غیر امن با http:// شروع می‌شوند.
در صورتی که شما از یک وب سایت دارای گواهی SSL بازدید نمایید بسیاری از مرورگرهای اینترنتی مانند اینترنت اکسپلورر، فایر فاکس و سافاری یک آیکون کوچک قفل را در بالای صفحه نمایش خواهند داد.

 

 

 

تجربهٔ امنیت در سطحی بالا‌تر با بهره گیری از  EV SSL
اخذ گواهی SSL معمولی برای فروشگاه‌های مجازی و وب سایت‌های معاملاتی امری ضروری است، اما شما می‌توانید از فناوری پیشرفته و سطح بالای SSL استفاده نمایید که رمزگذاری پیچیده‌تر و فرآیند صحه‌گذاری سخت گیرانه‌تری را اجرا می‌کند. این نوع از SSL در اصطلاح فناوری EV SSL نامیده می‌شود و نشانهٔ واضح آن برای کابران وب سایت قرار گرفتن آدرس سایت در نواری سبز رنگ درون کادر مرورگر خواهد بود که نتیجهٔ آن امنیت بیشتر سایت شما و اعتماد بیشتر کاربران به ضریب امنیت وب سایتتان خواهد بود.

 

چگونگی عملکرد  EV SSL
برخی از ارائه دهندگان خدمات SSL هنگامی که با تقاضا برای قیمت پایین‌تر این گواهی نامه مواجه شدند، اقدام به عرضهٔ گواهی‌هایی کردند که از لحاظ سطح رمزگذاری و تصدیق هویت با گواهی‌های SSL با قیمت بالا تفاوت‌های چشمگیری دارد. یک گروه مستقل صنعتی با نام CA/Browser Forum۷ برای جلوگیری از سردرگمی کاربران و تسهیل شناسایی وب سایت‌هایی که از گواهی SSL قویتری استفاده می‌کنند، اقدام به اعطای گواهی EV SSL کرده است.
گواهی‌های EV SSL به مانند گواهی‌های امنیتی SSL از‌‌ همان روش رمزگذاری کلید عمومی / امنیتی برای محافظت از انتقال داده‌ها استفاده می‌کنند. با این حال وب سایت‌هایی که از EV SSL بهره می‌گیرند، ضریب امنیتی بسیار بالاتری دارند. وقتی سایتی از EV SSL بهره می‌گیرد، فرآیند دقیق‌تری برای تصدیق هویت انجام خواهد شد.‌‌ همان‌طور که قبلاً به آن اشاره شد یکی از نشانه‌های ورود به یک سایت امن مجهز به گواهی EV SSL سبز شدن آدرس سایت در داخل کادر مرورگر است

نتیجه: مزایای بهره گیری از گواهی‌های  SSL
وقتی شما از گواهی SSL استفاده می‌کنید، این پیام روشن را به کاربرانتان می‌دهید که ما مراقب ایمنی شما هستیم و سایت ما مورد اعتماد است. با این وجود تمام گواهی‌های SSL از لحاظ سطح امنیتی موقعیت یکسانی ندارند. هنگامی که قصد خرید SSL را دارید باید از اعتبار، قابل اعتماد بودن و حسن شهرت شرکت ارائه دهنده اطمینان حاصل فرمایید. توصیه متخصصان به خریداران استفاده از گواهی EV SSL است. بهره گیری از گواهی EV SSL که از شرکت ارائه دهندهٔ معتبری خریداری شده باشد، امنیت و اعتبار سایت شما در فضای مجازی را تضمین خواهد کرد. علاوه بر این موارد گواهی EV SSL کاربران را تشویق می‌کند تا زمان بیشتری را در سایت شما حضور داشته باشند که این اتفاق به افزایش فروش و در نتیجه موفقیت سایت شما منجر خواهد شد.
برای خرید SSL، ارائه دهنده‌ای قابل اعتماد، معتبر و مستقل را انتخاب نمایید. این گواهی باید حداقل سطح رمزگذاری‌اش ۱۲۸ بیتی باشد، اما به گفتهٔ متخصصان یک حالت خوب برای آن سطح رمزگذاری ۲۵۶ بیتی است. برای حفاظت بهتر از داده‌ها و اطلاعات، باید SSL به مراکز دادهٔ قوی و سایت‌های بازیابی اطلاعات قدرتمند مجهز باشد. از نمونه شرکت‌های معتبر در زمینهٔ ارائهٔ گواهی SSL می‌توان به KPMG، دلویت و تاچ، ارنست و یانگ و ژئوتراست اشاره کرد.

برچسب‌ها: امنیت شبکه, امنیت وب
+ نوشته شده در شنبه دهم فروردین ۱۳۹۲ ساعت 13:6 توسط حسين دقاق زاده  | 

honeypot چیست؟

HONEYPOT چیست؟

برنامه نویسان و متخصصان امنیت شبکه پس از مدتی سعی و تلاش موفق شده اند قطعه برنامه ای به نام ظرف عسل یا honeypot را تولید کنند که بهترین طعمه برای فریب دادن نفوذگران جهت ارایه اطلاعات نادرست و گمراه کننده به نفوذگران است.یک honeypot یک منبع سیستم اطلاعاتی می باشد که با استفاده از ارزش کاذب خود اطلاعاتی از فعالیتهای بی مجوز و نا مشروع را در خود جمع آوری می کند.

Honeypot ها قادر به انجام کارهای بسیاری می باشند.از کشف حملات پنهانی در شبکه های ipv6 تا ضبط آخرین کارت اعتباری جعل شده و همین انعطاف پذیری باعث توجه مدیران شبکه به این ابزارها شده است.

مزایا:

1) داده های کوچک با ارزش فراوان:

honeypotها به جای اینکه در یک روز چندین گیگا بایت اطلاعات در فایل های ثبت رویدادها ذخیره کنند حجم کوچکی از داده ها را ذخیره می کنند.به جای تولید چندین هزار زنگ خطر در یک روز آنها تنها یک زنگ خطر تولید می کنند.honeypotها تنها فعالیت های مخرب و بدون مجوز را ثبت می کنند و به این دلیل تجزیه و تحلیل اطلاعات را بسیار ساده می کنند.

2) تاکتیک های جدید:

honeypotها از ابزارها و تاکتیک های جدیدی که در سایر محصولات دیگر استفاده نشده اند بهره میبرند و از این ابزارها برای ذخیره و ثبت رویدادها استفاده میکنند.

3) بهره گیری کم از منابع سیستم:

honeypotها به دلیل اینکه تنها فعایت های مخرب را ثبت میکنند از منابع سیستم به کمترین میزان استفاده میکنند و با یک سیستم قدیمی نیز به راحتی میتوان آنها را پیاده سازی کرد.

4) سازگاری با ipv6 و سیستمهای رمز گذاری:

برخلاف برخی تکنولوژیهای امنیتی مانند IDS ها, honeypotها با محیطهای رمز شده وipv6 سازگار هستند و به راحتی با این محیطها کار میکنند.

 

معایب:

1) محدودیت دید:

Honeypotها تنها فعالیتهایی را میتوانند پیگیری و ثبت کنند که به صورت مستقیم با آنها در ارتباط باشند لذا حملاتی را که بر علیه سیستمهای دیگر در حال انجام باشند را نمیتوانند ثبت کنند مگر آنکه نفوذگر فعل و انفعالی را با honeypoy  داشته باشد.

2) خطرات امنیتی:

Honeypotها هم مانند تکنولوژیهای دیگر دارای خطرات امنیتی مختص به خود هستند. honeypotها ممکن است خطر به دست گرفتن کنترل سیستم توسط یک نفوذگر و صدمه زدن به سیستمهای دیگر را داشته باشند.البته این خطر برای انواع honeypotها متفاوت است.

 

انواع :honeypot

1)honeypotهای کم واکنش :

Honeypotهای کم واکنش دارای ارتباطات و فعالیتهای محدودی میباشند و معمولا با سرویسها و سیستم عاملهای شبیه سازی شده کار میکنند و سطح فعالیتهای یک نفوذگر را با سطحی از برنامه های شبیه سازی شده محدود میکنند.به عنوان مثال یک سرویس ftp  شبیه سازی شده که با پورت 21 کار میکند ممکن است تنها یک صفحه login  و یا حداکثر تعدادی از دستورات ftp را شبیه سازی کرده باشد. به این ترتیب نفوذگر هیچگاه نمیتواند به سیستم عامل دسترسی پیدا کند و به وسیله آن به سیستمهای دیگر آسیب برساند.به عنوان مثال دیگر هر ابزاری که قصد داشته باشد با یک ipغیر قابل استفاده با شبکه ارتباط برقرار کند,ارتباطش را با شبکه اصلی قطع کرده وبا نفوذگر ارتباط برقرار میکند و خودش را جای قربانی جا میزند.به صورت پیش فرض honeypotها تمامی پورت های  tcp,udpرا زیر نظر میگیرد و تمامی درخواستهای آنها را ثبت میکند.

یکی از فواید این دسته از honeypotها سادگی آنهاست و منظور از واکنش در اصل نوع ارتباطی است که نفوذگر با honeypot دارد.نگهداری honeypotهای کم واکنش بسیار آسان است و به راحتی میتوان آنها را گسترش داد.ساختار آنها بیشتر به این موضوع      می پردازد که چه نرم افزارهایی باید روی چه سیستم عاملی نصب شود و همچنین می خواهید چه سرویسهایی را برای آن شبیه سازی و دیده بانی کنید.از honeypotهای کم واکنش میتوان honey,spector,kfsensor  را نام برد.

 

معایب :

1) تنها میتوانند اطلاعات محدودی را ثبت نمایند و تنها میتوانند اطلاعات مربوط به حملات شتاخته شده را ثبت نمایند.

2) شناسایی یک honeypot  کم واکنش و تشخیص کاذب بودن آن برای یک نفوذگر حرفه ای آسان است.

3) اگر نفوذگر دستوراتی را وارد کند که هیچ پاسخی برای آنها شبیه سازی نشده باشد, honeypot نمیداند که چه پاسخی باید برای نفوذگر ارسال کند و تنها یک پیغام خطا را نشان میدهد.

 

2)honeypotهای پر واکنش:

این نوع honeypotها از راه حل های پیچیده تری استفاده میکنند و از سیستم عامل و سرویسهای واقعی استفاده میکنند.هیچ چیز شبیه سازی شده نیست و یک سیستم واقعی در اختیار نفوذگر قرار داده میشود.به طور کلی یک honeypot پر واکنش علاوه بر کارهایی که یک honeypot  کم واکنش انجام میدهد  اقدامات بیشتری را در جهت به دام انداختن نفوذگر انجام میدهد وhoneynet ها یک مثال از اینگونه honeypot ها میباشند.البته honeynetها نرم افزار نیستند بلکه نوعی معماری میباشند که یک شبکه  بی عیب را معماری میکنند تا تمامی ارتباطات شبکه را از این طریق بتوان کنترل کرد و زیر نظر گرفت.درون این معماری چندین قربانی خیالی در نظر میگیریم سپس نفوذگر این سیستمها را می یابد و مورد حمله قرار میدهد.اما طبق ابتکار و راهکارهای ارایه شده همه چیز در کنترل مدیر شبکه است.honeynet ها این کار را توسط دروازه ای به نام honeywall  انجام میدهند.این دروازه به تمام ترافیکهای ورودی اجازه حرکت  به سیستمهای قربانی را میدهد اما ترافیک خروجی باید از سیستمهای مجهز به IDS هاعبور کند و اجازه نمیدهد نفوذگر به سیستمهای اصلی صدمه وارد کند.

 

مزایا:

 

1)    با در اختیار قرار دادن یک سیستم واقعی به نفوذگر, مدیر شبکه میتواند تمامی رفتار نفوذگر را از rootkit های جدید گرفته تا یک نشستirc  زیر نظر بگیرد.

2)    با ارایه دادن یک محیط باز به نفوذگر, دیگر جای هیچ فرضیه ای روی رفتار نفوذگر باقی نمیگذارد و تمامی فعالیتهای او را زیر نظر میگیرد و از این طریق میتواند رفتارهایی از نفوذگر را ذخیره سازی کند که مدیران شبکه انتظار آنها را نداشته و یا نمیتوانستند آنها را حدس بزنند.

 

جمع بندی:

اگر سازمانی ازhoneypot  استفاده کند, نفوذگر همیشه نگران این موضوع هست که آیا با سیستمی که در ارتباط است یک سیستم حقیقی است و یا در یک honeypot گرفتار شده است.ممکن است همین موضوع منجر به منصرف شدن او از حمله شود و همچنین از طریق گزارشهای  honeypotها مدیران شبکه میتوانند از ضعف های امنیتی موجود در شبکه شان آگاهی یابند.

 

برچسب‌ها: امنيت شبكه, كلاس امنيت شبكه, مقاله امنيت شبكه, نرم افزارامنیت
+ نوشته شده در شنبه نوزدهم اسفند ۱۳۹۱ ساعت 11:38 توسط حسين دقاق زاده  | 

آموزش اسکن رایانه با چندین آنتی ویروس گوناگون

1

شاید شنیده باشید که همیشه باید از یک آنتی ویروس بر روی سیستم خود استفاده کنید ولی هیچ آنتی ویروسی کامل نیست و نمیتواند به طور صد درصد از رایانه شما محافظت کند. اما کلید ایمن کردن قطعی رایانه شما استفاده از یک آنتی ویروس اصلی و بهره گرفتن از اسکن دیگر آنتی ویروس ها در هر هفته یا هر ماه میباشد. حتی به کمک برخی وب سایت ها میتوانید یک فایل مشکوک را به طور هم زمان با ۴۶ آنتی ویروس مختلف اسکن نمایید.

چرا نباید چندین آنتی ویروس را یکجا استفاده کرد؟

بیشتر برنامه های حفاظتی و آنتی ویروس ها برای تکی کار کردن ساخته شده اند. به طوری که در حالت پیش فرض رایانه شما را اسکن نمایند و تهدید ها را برطرف کنند. وقتی که یک فایل را دانلود میکنید و یا اقدام به باز کردن سایتی یا اجرا برنامه ای می نمایید آنتی ویروس شما تمامی آنها را چک میکند تا هیچ خطری رایانه تان را تهدید نکند.

اما تمامی موارد ذکر شده تا زمانی به درستی کار میکنند که شما فقط از یک آنتی ویروس استفاده کنید. این برنامه ها به طور گسترده ای وارد سیستم شما میشوند و از قابلیت های آن استفاده میکنند و به همین دلیل نمیتوانند در کنار یک دیگر به کارشان ادامه دهند. در بهترین حالت اجرای چند آنتی ویروس در کنار یک دیگر باعث میشود که عملکرد رایانه شما کاهش یابد. اما در حالت های بدتر ممکن است برنامه ها با یک دیگر تداخل پیدا کنند و به طور کلی موجب از کار افتادن رایانه شوند.

2

اسکن رایانه با چندین آنتی ویروس

همان طور که گفتیم هیچ آنتی ویروسی بی عیب و نقص نیست. برخی از آنها مشکلاتی را پیدا میکنند که بقیه قادر به تشخیص آنها نیستند. اما برای این که رایانه شما تحت حفاظت بیشتری باشد میتوانید از برخی دیگر آنتی ویروس ها به صورت جانبی استفاده کنید در حالی که یک آنتی ویروس اصلی بر روی رایانه شما نصب شده است. مثلا در ویندوز ۸ به صورت پیش فرض برنامه MicroSoft Security Essentials این کار را بر عهده دارد که با نام Windows Defender نیز شناخته میشود.

اما تفاوت برنامه های جانبی با آنتی ویروس اصلی در اجرای آنها میباشد. آنتی ویروس اصلی به طور مداوم در پس زمینه رایانه مشغول به کار میباشد در حالی که برنامه های جانبی فقط یکبار اجرا میشوند و پس از آن گزارش مورد نظر را به کاربر میدهند. بهتر است هر هفته یکبار از این برنامه ها برای اسکن کردن رایانه خود استفاده کنید. اما برای این که سرعت اسکن کردن را بالا ببرید باید حفاظت آنتی ویروس اصلی خود را به طور موقت خاموش نمایید.

وقتی که یک برنامه جدید را انتخاب کردید مطمئن شوید که در پس زمینه رایانه شما مشغول به کار نمیباشد. این قابلیت با نام های مختلفی مثل  real-time protection ، on-access scanning و background protection و یا resident shield شناخته میشود. موارد گوناگونی وجود دارند که میتوانید از آنها استفاده کنید و در قسمت پایین دو نمونه از آنها برای شما ذکر شده است.

  • Malwarebytes : نسخه رایگان این برنامه باید به صورت دستی اجرا شود و در پس زمینه اجرا نخواهد شد. این گزینه یکی از بهترین برنامه های موجود برای این کار میباشد.
  • ESET Online Scanner : یک برنامه اسکن سریع که سازنده آن برنامه NOD32 را نیز در کارنامه دارد. برخلاف بسیاری دیگر از برنامه های اسکن آنلاین ، میتواند فایل ها و ویروس های شناسایی شده را از بین نیز ببرد.

3

در هنگام انتخاب یک آنتی ویروس سعی کنید از برنامه های سبک پرهیز کنید. به طور مثل Bitdefender QuickScan یکی از این موارد میباشد که میتواند رایانه شما را بسیار سریع اسکن کند ولی در واقع توانایی چندانی برای یافتن فایل های آلوده ندارد. برنامه هایی از این قبیل فقط در صورتی به خوبی کار میکنند که شما نسخه اصلی آن را خریداری کنید و نسخه های رایگان تاثیر چندانی ندارند.

اسکن فایل با چندین آنتی ویروس

اگر شما یک فایل آلوده یا مشکوک بر روی رایانه خود دارید میتوانید آن را با چندین آنتی ویروس اسکن کنید. در چنین مواردی ممکن است فایل را دانلود کرده باشید و یا  آنتی ویروس شما آن را مورد مشکوک شناسایی کند در حالی که سازنده فایل بر روی ایمن بودن آن پافشاری نماید.

متاسفانه وقتی که برنامه های آنتی ویروس بر روی رایانه شما نصب نشده باشند کار کمی سخت میشود. حتی اگر هم آنها را بر روی رایانه داشته باشید آپدیت کردن مداوم آنها دشوار به نظر میرسد. برای اسکن فایل توسط چندین آنتی ویروس میتوانید از وب سایت VirusTotal استفاده کنید که امروزه مالک آن گوگل میباشد. شما میتوانید فایل هایی با حجم ۳۲ مگابایت را بر روی آن آپلود کنید و یا حتی آدرس فایل دانلود مورد نظر خود را بر روی اینترنت بدهید تا اقدام به آنالیز آن کنید. فایل شما توسط ۴۶ برنامه مختلف اسکن خواهد شد و در آخر شما میتوانید گزارش مربوطه را مشاهده کنید.

4

ولی مثل تمامی آنتی ویروس ها نمیتوان به طور قطعی به نتیجه و یا گزارش نهایی اکتفا کرد. یک فایل میتواند آلوده باشد در حالی که هیچ آنتی ویروسی قادر به شناسایی آن نیست. اما به کمک وب سایتی که در بالا معرفی کردیم میتوانید بسیاری از موارد آلوده را شناسایی کنید.

منبع : Howtogeek

برچسب‌ها: اجرا چند آنتی ویروس, استفاده از چند آنتی ویروس, اسکن آنلاین, اسکن آنلاین فایل
+ نوشته شده در دوشنبه بیست و سوم بهمن ۱۳۹۱ ساعت 16:22 توسط حسين دقاق زاده  | 

امنیت شبکه


رویکردی عملی به امنیت شبکه لایه بندی شده (۴)

در شماره قبل به دومین لایه که لایه شبکه است، اشاره شد، در این شماره به لایه میزبان به عنوان سومین لایه می پردازیم.

 

سطح ۳-  امنیت میزبان

سطح میزبان در مدل امنیت لایه بندی شده، مربوط به ابزار منفرد مانند سرورها، کامپیوترهای شخصی، سوئیچ ها، روترها و غیره در شبکه است. هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند، می توانند سوراخ های امنیتی نفوذپذیری ایجاد کنند. این پارامترها شامل تنظیمات رجیستری، سرویس ها، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزارهای مهم می شود.

 

 

 

تکنولوژی های زیر امنیت را در سطح میزبان فراهم می کنند:

·         IDS در سطح میزبان ـ IDSهای سطح میزبان عملیاتی مشابه IDSهای شبکه انجام می دهند؛ تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است. IDSهای سطح میزبان برای مشخصات عملیاتی بخصوصی از ابزار میزبان تنظیم می گردند و بنابراین اگر به درستی مدیریت شوند، درجه بالایی از مراقبت را فراهم می کنند.

 

·         VA (تخمین آسیب پذیری) سطح میزبان - ابزارهای VA سطح میزبان یک ابزار شبکه مجزا را برای آسیب پذیری های امنیتی پویش می کنند. دقت آنها نسبتا بالاست و کمترین نیاز را به منابع میزبان دارند. از آنجایی که VA ها بطور مشخص برای ابزار میزبان پیکربندی می شوند، درصورت مدیریت مناسب، سطح بسیار بالایی از پوشش را فراهم می کنند.

 

·         تابعیت امنیتی کاربر انتهایی روش های تابعیت امنیتی کاربر انتهایی وظیفه دوچندانی ایفا می کنند و هم شبکه (همانگونه در بخش قبلی مطرح شد) و هم میزبان های جداگانه را محافظت می کنند. این روش ها بطور پیوسته میزبان را برای عملیات زیان رسان و آلودگی ها بررسی می کنند و همچنین به نصب و به روز بودن فایروال ها و آنتی ویروس ها رسیدگی می کنند.

 

·         آنتی ویروس - هنگامی که آنتی ویروس های مشخص شده برای ابزار در کنار آنتی ویروس های شبکه استفاده می شوند ، لایه اضافه ای برای محافظت فراهم می کنند.

 

·         کنترل دسترسی\تصدیق هویت- ابزار کنترل دسترسی در سطح ابزار یک روش مناسب است که تضمین می کند دسترسی به ابزار تنها توسط کاربران مجاز صورت پذیرد. در اینجا نیز، احتمال سطح بالایی از تراکنش بین ابزار کنترل دسترسی شبکه و کنترل دسترسی میزبان وجود دارد.

 

مزایا

این تکنولوژی های در سطح میزبان حفاظت بالایی ایجاد می کنند زیرا برای برآورده کردن مشخصات عملیاتی مخصوص یک ابزار پیکربندی می گردند. دقت و پاسخ دهی آنها به محیط میزبان به مدیران اجازه می دهد که به سرعت مشخص کنند کدام تنظمیات ابزار نیاز به به روز رسانی برای تضمین عملیات امن دارند.

 

معایب

بکارگیری و مدیریت سیستم های سطح میزبان می تواند بسیار زمان بر باشند. از آنجایی که این سیستم ها نیاز به نمایش و به روز رسانی مداوم دارند، اغلب ساعات زیادی برای مدیریت مناسب می طلبند. اغلب نصبشان مشکل است و تلاش قابل ملاحظه ای برای تنظیم آنها مورد نیاز است.

 همچنین، هرچه سیستم عامل بیشتری در شبکه داشته باشید، یک رویکرد برپایه میزبان، گران تر خواهد بود و مدیریت این ابزار مشکل تر خواهد شد. همچنین، با تعداد زیادی ابزار امنیتی سطح میزبان در یک شبکه، تعداد هشدارها و علائم اشتباه می تواند بسیار زیاد باشد.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در چهارشنبه هجدهم بهمن ۱۳۹۱ ساعت 7:56 توسط حسين دقاق زاده  | 

امنیت شبکه


ملاحظات

موفقیت ابزارهای امنیت سطح شبکه به نحوی به سرعت اتصالات داخلی شبکه شما وابسته است. زیرا ابزارهای IDS/IPS ، مدیریت آسیب پذیری و امنیت کاربر انتهایی ممکن است منابعی از شبکه ای را که از آن محافظت می کنند، مصرف کنند. سرعت های اتصالی بالاتر تأثیری را که این ابزارها بر کارایی شبکه دارند  به حداقل خواهد رساند. در پیاده سازی این تکنولوژی ها شما باید به مصالحه بین امنیت بهبودیافته و سهولت استفاده توجه کنید، زیرا  بسیاری از این محصولات برای کارکرد مؤثر باید به طور پیوسته مدیریت شوند و این ممکن است استفاده از آن محصولات را در کل شبکه با زحمت مواجه سازد.

 

وقتی که این تکنولوژی ها را در اختیار دارید، بهبود پیوسته شبکه را در خاطر داشته باشید. در شبکه هایی با پویایی و سرعت گسترش بالا، تطبیق با شرایط و ابزار جدید ممکن است مسأله ساز گردد.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در چهارشنبه هجدهم بهمن ۱۳۹۱ ساعت 7:45 توسط حسين دقاق زاده  | 

امنیت شبکه


مزایا

تکنولوژی های IDS، IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبکه انجام می دهند. در حالیکه فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند. با این تکنولوژی های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.

سیستم های مدیریت آسیب پذیری روند بررسی آسیب پذیری های شبکه شما را بصورت خودکار استخراج می کنند. انجام چنین بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. بعلاوه، شبکه ساختار پویایی دارد. ابزار جدید، ارتقاءدادن نرم افزارها و وصله ها، و افزودن و کاستن از کاربران،  همگی می توانند آسیب پذیری های جدید را پدید آورند. ابزار تخمین آسیب پذیری به شما اجازه می دهند که شبکه  را مرتب و کامل برای جستجوی آسیب پذیری های جدید پیمایش کنید.

روش های تابعیت امنیتی کاربر انتهایی به سازمان ها سطح بالایی از کنترل بر روی ابزاری را می دهد که به صورت سنتی کنترل کمی بر روی آنها وجود داشته است. هکرها بصورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبکه هستند، همچانکه پدیده های اخیر چون Mydoom، Sobig، و Sasser گواهی بر این مدعا هستند. برنامه های امنیتی کاربران انتهایی این درهای پشتی خطرناک به شبکه را می بندند.

 

معایب

IDSها تمایل به تولید تعداد زیادی علائم هشدار غلط دارند، که به عنوان false positives نیز شناخته می شوند. در حالیکه IDS ممکن است که یک حمله را کشف و به اطلاع شما برساند، این اطلاعات می تواند زیر انبوهی از هشدارهای غلط یا دیتای کم ارزش مدفون شود. مدیران IDS ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند. برای تأثیرگذاری بالا، یک IDS  باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری های کشف شده در محیط شما تنظیم گردد. چنین نگهداری معمولاً میزان بالایی از منابع اجرایی را مصرف می کند.

سطح خودکار بودن در IPSها می تواند به میزان زیادی در میان محصولات، متفاوت باشد. بسیاری از آنها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در آن نصب شده اند منعکس کنند. تأثیرات جانبی احتمالی در سیستمهایی که بهینه نشده اند، مسدود کردن تقاضای کاربران قانونی و قفل کردن منابع شبکه معتبر را شامل می شود.

بسیاری، اما نه همه روش های امنیتی کاربران انتهایی، نیاز به نصب یک عامل در هر نقطه انتهایی دارد. این عمل می تواند مقدار قابل توجهی بار کاری اجرایی به نصب و نگهداری اضافه کند.

تکنولوژی های کنترل دسترسی ممکن است محدودیت های فنی داشته باشند. برای مثال، بعضی ممکن است با تمام ابزار موجود در شبکه شما کار نکنند، بنابراین ممکن است به چند سیستم برای ایجاد پوشش نیاز داشته باشید. همچنین، چندین فروشنده سیستم های کنترل دسترسی را به بازار عرضه می کنند، و عملکرد می تواند بین محصولات مختلف متفاوت باشد. پیاده سازی یک سیستم یکپارچه در یک شبکه ممکن است دشوار باشد. چنین عمل وصله-پینه ای یعنی رویکرد چند محصولی ممکن است در واقع آسیب پذیری های بیشتری را در شبکه شما به وجود آورد

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در چهارشنبه هجدهم بهمن ۱۳۹۱ ساعت 7:44 توسط حسين دقاق زاده  | 

امنیت شبکه


رویکردی عملی به امنیت شبکه لایه بندی شده  (۳)

در مطلب قبلی به اولین لایه که لایه پیرامون است، اشاره شد، در این شماره به لایه امنیت شبکه می پردازیم.

 

سطح ۲-  امنیت شبکه

سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی شما اشاره دارد. شبکه داخلی شما ممکن است شامل چند کامپیوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید. این قضیه بخصوص برای سازمان های کوچک تا متوسط صدق می کند که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش دیگر به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند:

·   IDSها (سیستم های تشخیص نفوذ) و IPSها (سیستم های جلوگیری از نفوذ) ـ تکنولوژیهای IDS و IPS ترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهای IDS مسؤولین IT را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار ترافیک  آسیب رسان را مسدود می کنند. IDSها و IPSها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPSها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی ها از نام آنها استنباط می شود. محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند. پیکربندی های IDS و IPS  استاندارد در شکل نشان داده شده اند:

 

·   مدیریت آسیب پذیری سیستم های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام می دهند: (۱) شبکه را برای آسیب پذیری ها پیمایش می کنند و (۲)روند مرمت آسیب پذیری یافته شده را مدیریت می کنند. در گذشته، این تکنولوژی VA )تخمین آسیب پذیری( نامیده می شد. اما این تکنولوژی اصلاح شده است، تا جاییکه بیشتر سیستم های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می دهند.

   سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می کنند. آنها معمولاً پایگاه داده ای از قوانینی را نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبکه را مشخص می کنند. در طول یک پیمایش، سیستم هر ابزار یا برنامه ای را با بکارگیری قوانین مناسب می آزماید.

   همچنانکه از نامش برمی آید، سیستم  مدیریت آسیب پذیری شامل ویژگیهایی است که روند بازسازی را مدیریت می کند. لازم به ذکر است که میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می کند.

 

·   تابعیت امنیتی کاربر انتهایی روش های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می کنند که تضمین می کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند، رعایت کرده اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای VPN و RAS می گیرد.

  روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آنها از این تست ها معمولاً برای بررسی  (۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی ویروس های به روز شده و غیره و (۲) کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.

 

·   کنترل دسترسی\تأیید هویت کنترل دسترسی نیازمند تأیید هویت کاربرانی است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.

نکته: در این سلسله مباحث،  به کنترل دسترسی و تأییدهویت در سطوح شبکه، میزبان، نرم افزار و دیتا در چارچوب امنیتی لایه بندی شده می پردازیم. میان طرح های کنترل دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد. معمولاً تراکنش های تأیید هویت در مقابل دید کاربر اتفاق می افتد. اما به خاطر داشته باشید که کنترل دسترسی و تأیید هویت مراحل پیچیده ای هستند که برای ایجاد بیشترین میزان امنیت در شبکه، باید به دقت مدیریت شوند.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در چهارشنبه هجدهم بهمن ۱۳۹۱ ساعت 7:43 توسط حسين دقاق زاده  | 

هکرها

افزودن به ضریب عملکرد هکرها

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد (work factor) استفاده می کنند که مفهومی مهم در پیاده سازی امنیت لایه بندی است. ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوذگر بمنظور تحت تأثیر قراردادن یک یا بیشتر از سیستمها و ابزار امنیتی تعریف می شود که باعث رخنه کردن در شبکه می شود. یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می گیرد در حالیکه یک شبکه با ضریب عملکرد پایین می تواند نسبتاً به راحتی مختل شود. اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، که فایده رویکرد لایه بندی شده نیز هست، احتمالاً شبکه شما را رها می کنند و به سراغ شبکه هایی با امنیت پایین تر می روند و این دقیقاً همان چیزیست که شما می خواهید.

تکنولوژی های بحث شده در این سری مقالات مجموعاً رویکرد عملی خوبی برای امن سازی دارایی های دیجیتالی شما را به نمایش می گذارند. در یک دنیای ایده آل، شما بودجه و منابع را برای پیاده سازی تمام ابزار و سیستم هایی که بحث می کنیم خواهید داشت. اما متأسفانه در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه تان را ارزیابی کنید چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و غیره و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنید.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در چهارشنبه هجدهم بهمن ۱۳۹۱ ساعت 7:41 توسط حسين دقاق زاده  | 

رویکردی عملی به امنیت شبکه لایه بندی شده  (۱)

مقدمه

امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است. {گروه امداد امنیت کامپیوتری ایران}

در این سلسله مقالات رویکردی لایه بندی شده برای امن سازی شبکه به شما معرفی می گردد.  این رویکرد هم یک استراتژی تکنیکی است که ابزار و امکان مناسبی را در سطوح مختلف در زیرساختار شبکه شما قرار می دهد و هم یک استراتژی سازمانی است که مشارکت همه از هیأت مدیره تا قسمت فروش را می طلبد.

رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستمهای امنیتی و روال ها در پنج لایه مختلف در محیط فناوری اطلاعات متمرکز می گردد.

۱- پیرامون

۲- شبکه

۳- میزبان

۴- برنامه  کاربردی

۵- دیتا

در این سلسله مقالات هریک از این سطوح تعریف می شوند و یک دید کلی از ابزارها و سیستمهای امنیتی گوناگون که روی هریک عمل می کنند، ارائه می شود. هدف در اینجا ایجاد درکی در سطح پایه از امنیت شبکه و پیشنهاد یک رویکرد عملی مناسب برای محافظت از دارایی های دیجیتال است. مخاطبان این سلسله مقالات متخصصان فناوری اطلاعات، مدیران تجاری و تصمیم گیران سطح بالا هستند.

محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و عجیب و غریب نیاز ندارد. با درکی کلی از مسأله،  خلق یک طرح امنیتی استراتژیکی و تاکتیکی می تواند تمرینی آسان باشد. بعلاوه، با رویکرد عملی که در اینجا معرفی می شود، می توانید بدون هزینه کردن بودجه های کلان، موانع موثری بر سر راه اخلال گران امنیتی ایجاد کنید.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در پنجشنبه پنجم بهمن ۱۳۹۱ ساعت 7:48 توسط حسين دقاق زاده  | 

امنیت شبکه


امنیت تجهیزات شبکه

    برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.

    اهمیت امنیت تجهیزات به دو علت اهمیت ویژه‌ای می‌یابد :

الف عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه می‌دهد که‌ با دستیابی به تجهیزات امکان پیکربندی آنها را به گونه‌ای که تمایل دارند آن سخت‌افزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکان‌پذیر خواهد شد.

ب برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حمله‌ها نفوذگران می‌توانند سرویس‌هایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم می‌شود.

    در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار می‌گیرد. عناوین برخی از این موضوعات به شرح زیر هستند :

-       امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه

-       امنیت تجهیزات شبکه در سطوح منطقی

-       بالابردن امنیت تجهیزات توسط افزونگی در سرویس‌ها و سخت‌افزارها

    موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار می‌گیرند :

-       امنیت فیزیکی

-       امنیت منطقی

۱ امنیت فیزیکی

    امنیت فیزیکی بازه‌ وسیعی از تدابیر را در بر می‌گیرد که استقرار تجهیزات در مکان‌های امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جمله‌اند. با استفاده از افزونگی، اطمینان از صحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سخت‌افزار و یا سرویس‌دهنده مشابه جایگزین می‌شود) بدست می‌آید.

    در بررسی امنیت فیزیکی و اعمال آن،‌ ابتدا باید به خطر‌هایی که از این طریق تجهزات شبکه را تهدید می‌کنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حمله‌ها می‌توان به راه‌حل‌ها و ترفند‌های دفاعی در برار این‌گونه حملات پرداخت.

۱-۱ افزونگی در محل استقرار شبکه

    یکی از راه‌کارها در قالب ایجاد افزونگی در شبکه‌های کامپیوتری، ایجاد سیستمی کامل،‌ مشابه شبکه‌ی اولیه‌ی در حال کار است. در این راستا، شبکه‌ی ثانویه‌ی، کاملاً مشابه شبکه‌ی اولیه، چه از بعد تجهیزات و چه از بعد کارکرد،‌ در محلی که می‌تواند از نظر جغرافیایی با شبکه‌ی اول فاصله‌ای نه چندان کوتاه نیز داشته باشد برقرار می‌شود. با استفاده از این دو سیستم مشابه، علاوه بر آنکه در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل می‌کند (مانند زلزله) می‌توان از شبکه‌ی دیگر به طور کاملاً جایگزین استفاده کرد، در استفاده‌های روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکه‌ی مشابه پخش می‌شود تا زمان پاسخ به حداقل ممکن برسد.

    با وجود آنکه استفاده از این روش در شبکه‌های معمول که حجم جندانی ندارند، به دلیل هزینه‌های تحمیلی بالا، امکان‌پذیر و اقتصادی به نظر نمی‌رسد، ولی در شبکه‌های با حجم بالا که قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب می‌آیند از الزامات است.

۱-۲ توپولوژی شبکه

    طراحی توپولوژیکی شبکه،‌ یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی می‌تواند از خطای کلی شبکه جلوگیری کند.

    در این مقوله،‌ سه طراحی که معمول هستند مورد بررسی قرار می‌گیرند :

الف طراحی سری : در این طراحی با قطع خط تماس میان دو نقطه در شبکه، کلیه سیستم به دو تکه منفصل تبدیل شده و امکان سرویس دهی از هریک از این دو ناحیه به ناحیه دیگر امکان پذیر نخواهد بود.

ب طراحی ستاره‌ای : در این طراحی، در صورت رخداد حمله فیزیکی و قطع اتصال یک نقطه از خادم اصلی، سرویس‌دهی به دیگر نقاط دچار اختلال نمی‌گردد. با این وجود از آنجاییکه خادم اصلی در این میان نقش محوری دارد، در صورت اختلال در کارایی این نقطه مرکزی،‌ که می‌تواند بر اثر حمله فیزیکی به آن رخ دهد، ارتباط کل شبکه دچار اختلال می‌شود، هرچند که با درنظر گرفتن افزونگی برای خادم اصلی از احتمال چنین حالتی کاسته می‌شود.

 

ج طراحی مش : در این طراحی که تمامی نقاط ارتباطی با دیگر نقاط در ارتباط هستند، هرگونه اختلال فیزیکی در سطوح دسترسی منجر به اختلال عملکرد شبکه نخواهد شد،‌ با وجود آنکه زمان‌بندی سرویس‌دهی را دچار اختلال خواهد کرد. پیاده‌سازی چنین روش با وجود امنیت بالا، به دلیل محدودیت‌های اقتصادی،‌ تنها در موارد خاص و بحرانی انجام می‌گیرد.

 

 

 

 

 

 

۱-۳ محل‌های امن برای تجهیزات

    در تعیین یک محل امن برای تجهیزات دو نکته مورد توجه قرار می‌گیرد :

-       یافتن مکانی که به اندازه کافی از دیگر نقاط مجموعه متمایز باشد، به گونه‌ای که هرگونه نفوذ در محل آشکار باشد.

-       در نظر داشتن محلی که در داخل ساختمان یا مجموعه‌ای بزرگتر قرار گرفته است تا تدابیر امنیتی بکارگرفته شده برای امن سازی مجموعه‌ی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.

با این وجود، در انتخاب محل، میان محلی که کاملاً جدا باشد (که نسبتاً پرهزینه خواهد بود) و مکانی که درون محلی نسبتاً عمومی قرار دارد و از مکان‌های بلااستفاده سود برده است (‌که باعث ایجاد خطرهای امنیتی می‌گردد)،‌ می‌توان اعتدالی منطقی را در نظر داشت.

    در مجموع می‌توان اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات در نظر داشت :

-       محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفل‌ها و مکانیزم‌های دسترسی دیجیتالی به همراه ثبت زمان‌ها، مکان‌ها و کدهای کاربری دسترسی‌های انجام شده.

-       استفاده از دوربین‌های پایش در ورودی محل‌های استقرار تجهیزات شبکه و اتاق‌های اتصالات و مراکز پایگاه‌های داده.

-       اعمال ترفند‌هایی برای اطمینان از رعایت اصول امنیتی.

۱-۴ انتخاب لایه کانال ارتباطی امن

    با وجود آنکه زمان حمله‌ی فیزیکی به شبکه‌های کامپیوتری، آنگونه که در قدیم شایع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روی به دست گرفتن کنترل یکی از خادم‌ها و سرویس‌دهنده‌های مورد اطمینان شبکه معطوف شده است،‌ ولی گونه‌ای از حمله‌ی فیزیکی کماکان دارای خطری بحرانی است.

    عمل شنود بر روی سیم‌های مسی،‌ چه در انواع Coax و چه در زوج‌های تابیده، هم‌اکنون نیز از راه‌های نفوذ به شمار می‌آیند. با استفاده از شنود می‌توان اطلاعات بدست آمده از تلاش‌های دیگر برای نفوذ در سیستم‌های کامپیوتری را گسترش داد و به جمع‌بندی مناسبی برای حمله رسید. هرچند که می‌توان سیم‌ها را نیز به گونه‌ای مورد محافظت قرار داد تا کمترین احتمال برای شنود و یا حتی تخریب فیزیکی وجود داشته باشد، ولی در حال حاضر، امن ترین روش ارتباطی در لایه‌ی فیزیکی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنال‌های الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روش‌های معمول شنود به پایین‌ترین حد خود نسبت به استفاده از سیم در ارتباطات می‌شود

۱-۵ منابع تغذیه

    از آنجاکه داده‌های شناور در شبکه به منزله‌ی خون در رگهای ارتباطی شبکه هستند و جریان آنها بدون وجود منابع تغذیه، که با فعال نگاه‌داشتن نقاط شبکه موجب برقراری این جریان هستند، غیر ممکن است، لذا چگونگی چینش و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی می‌کنند. در این مقوله توجه به دو نکته زیر از بالاترین اهمیت برخوردار است :

-       طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه‌. این طراحی باید به گونه‌ای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آنکه به شبکه‌ی تامین فشار بیش‌اندازه‌ای (که باعث ایجاد اختلال در عملکرد منابع تغذیه شود) وارد شود، بدست آورند.

-       وجود منبع یا منابع تغذیه پشتیبان به گونه‌ای که تعداد و یا نیروی پشتیبانی آنها به نحوی باشد که نه تنها برای تغذیه کل شبکه در مواقع نیاز به منابع تغذیه پشتیبان کفایت کند، بلکه امکان تامین افزونگی مورد نیاز برای تعدادی از تجهیزات بحرانی درون شبکه را به صورت منفرد فراهم کند.

۱-۶ عوامل محیطی

    یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برار عوامل محیطی است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه می‌شوند. از مهمترین عواملی در هنگام بررسی امنیتی یک شبکه رایانه‌ای باید در نظر گرفت می‌توان به دو عامل زیر اشاره کرد :

-       احتمال حریق (که عموماً غیر طبیعی است و منشآ انسانی دارد)

-       زلزله، طوفان و دیگر بلایای طبیعی

    با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق، را می‌توان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی،‌ با هدف جلوگیری در اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبانی است که می‌توان از عدم اختلال در شبکه در صورت بروز چنین وقعایعی اطمینان حاصل کرد.

۲ امنیت منطقی

    امنیت منطقی به معنای استفاده از روش‌هایی برای پایین آوردن خطرات حملات منطقی و نرم‌افزاری بر ضد تجهیزات شبکه است. برای مثال حمله به مسیریاب‌ها و سوئیچ‌های شبکه بخش مهمی از این گونه حملات را تشکیل می‌‌دهند. در این بخش به عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار می‌گیرند می‌پردازیم

۲-۱ امنیت مسیریاب‌ها

    حملات ضد امنیتی منطقی برای مسیریاب‌ها و دیگر تجهیزات فعال شبکه، مانند سوئیچ‌ها، را می‌توان به سه دسته‌ی اصلی تقسیم نمود :

-       حمله برای غیرفعال سازی کامل

-       حمله به قصد دستیابی به سطح کنترل

-       حمله برای ایجاد نقص در سرویس‌دهی

    طبیعی است که راه‌ها و نکاتی که در این زمینه ذکر می‌شوند مستقیماً به امنیت این عناصر به تنهایی مربوط بوده و از امنیت دیگر مسیرهای ولو مرتبط با این تجهیزات منفک هستند.  لذا تأمین امنیت تجهیزات فعال شبکه به معنای تآمین قطعی امنیت کلی شبکه نیست، هرچند که عملاً مهمترین جنبه‌ی آنرا تشکیل می‌دهد.

 

۲-۲ مدیریت پیکربندی

    یکی از مهمترین نکات در امینت تجهیزات، نگاهداری نسخ پشتیبان از پرونده‌ها مختص پیکربندی است. از این پرونده‌ها که در حافظه‌های گوناگون این تجهیزات نگاهداری می‌شوند،‌ می‌توان در فواصل زمانی مرتب یا تصادفی، و یا زمانی که پیکربندی تجهیزات تغییر می‌یابند، نسخه پشتیبان تهیه کرد.

    با وجود نسخ پشتیبان،‌ منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهزات، که می‌تواند منجر به ایجاد اختلال در کل شبکه شود، در کوتاه‌ترین زمان ممکن می‌توان با جایگزینی آخرین پیکربندی، وضعیت فعال شبکه را به آخرین حالت بی‌نقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه بیش از یک سخت‌افزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.

    نرم‌افزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصله‌های زمانی متغیر دارا می‌باشند. با استفاده از این نرم‌افزارها احتمال حملاتی که به سبب تآخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید می‌آید به کمترین حد ممکن می‌رسد.

۲-۳ کنترل دسترسی به تجهیزات

    دو راه اصلی برای کنترل تجهزات فعال وجود دارد :

-       کنترل از راه دور

-       کنترل از طریق درگاه کنسول

    در روش اول می‌توان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرس‌هایی خاص یا استاندارها و پروتکل‌های خاص، احتمال حملات را پایین آورد.

    در مورد روش دوم، با وجود آنکه به نظر می‌رسد استفاده از چنین درگاهی نیاز به دسترسی فیزکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیت‌ها در روش اول عملاً امنیت تجهیزات را تآمین نمی‌کند.

    برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب، که امکان دسترسی از راه‌دور دارند، اطمینان حاصل نمود.

۲-۴ امن سازی دسترسی

    علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روش‌های معمول امن‌سازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH(Secur Shell) است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمول‌ترین روش‌های حمله هستند را به حداقل می‌رساند.

    از دیگر روش‌های معمول می‌توان به استفاده از کانال‌های VPN مبتنی بر IPsec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونه‌ای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریاب‌ها،‌ این روش را مرجح می‌دانند.

 

۲-۵ مدیریت رمزهای عبور

    مناسب‌ترین محل برای ذخیره رمزهای عبور بر روی خادم Authentication است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سخت‌افزار نگاه‌داری شوند. در این صورت مهم‌ترین نکته به یاد داشتن فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سخت‌افزارهای مشابه است.

۳ ملزومات و مشکلات امنیتی ارائه دهندگان خدمات

    زمانی که سخن از ارائه دهندگان خدمات و ملزومات امنیتی آنها به میان می‌آید، مقصود شبکه‌های بزرگی است که خود به شبکه‌های رایانه‌ای کوچکتر خدماتی ارائه می‌دهند. به عبارت دیگر این شبکه‌های بزرگ هستند که با پیوستن به یکدیگر، عملاً شبکه‌ی جهانی اینترنت کنونی را شکل می‌دهند. با وجود آنکه غالب اصول امنیتی در شبکه‌های کوچکتر رعایت می‌شود، ولی با توجه به حساسیت انتقال داده در این اندازه، ملزومات امنیتی خاصی برای این قبیل شبکه‌ها مطرح هستند.

۳-۱ قابلیت‌های امنیتی

    ملزومات مذکور را می‌توان، تنها با ذکر عناوین، به شرح زیر فهرست نمود :

۱ قابلیت بازداری از حمله و اعمال تدابیر صحیح برای دفع حملات

۲ وجود امکان بررسی ترافیک شبکه، با هدف تشخیص بسته‌هایی که به قصد حمله بر روی شبکه ارسال می‌شوند. از آنجاییکه شبکه‌های بزرگتر نقطه تلاقی مسیرهای متعدد ترافیک بر روی شبکه هستند، با استفاده از سیستم‌های IDS بر روی آنها، می‌توان به بالاترین بخت برای تشخیص حملات دست یافت.

۳ قابلیت تشخیص منبع حملات. با وجود آنکه راه‌هایی از قبیل سرقت آدرس و استفاده از سیستم‌های دیگر از راه دور، برای حمله کننده و نفوذگر، وجود دارند که تشخیص منبع اصلی حمله را دشوار می‌نمایند، ولی استفاده از سیستم‌های ردیابی، کمک شایانی برای دست یافتن و یا محدود ساختن بازه‌ی مشکوک به وجود منبع اصلی می‌نماید. بیشترین تآثیر این مکانیزم زمانی است که حملاتی از نوع DoS از سوی نفوذگران انجام می‌گردد.

۳-۲ مشکلات اعمال ملزومات امنیتی

    با وجود لزوم وجود قابلیت‌هایی که بطور اجمالی مورد اشاره قرار گرفتند، پیاده‌سازی و اعمال آنها همواره آسان نیست.

    یکی از معمول‌ترین مشکلات،‌ پیاده‌سازی IDS است. خطر یا ترافیکی که برای یک دسته از کاربران به عنوان حمله تعبیر می‌شود، برای دسته‌ای دیگر به عنوان جریان عادی داده است. لذا تشخیص این دو جریان از یکدیگر بر پیچیدگی IDS افزوده و در اولین گام از کارایی و سرعت پردازش ترافیک و بسته‌های اطلاعاتی خواهد کاست. برای جبران این کاهش سرعت تنها می‌توان متوسل به تجهیزات گران‌تر و اعمال سیاست‌های امنیتی پیچیده‌تر شد.

    با این وجود،‌ با هرچه بیشتر حساس شدن ترافیک و جریان‌های داده و افزایش کاربران، و مهاجرت کاربردهای متداول بر روی شبکه‌های کوچکی که خود به شبکه‌های بزرگتر ارائه دهنده خدمات متصل هستند، تضمین امنیت، از اولین انتظاراتی است که از اینگونه شبکه‌ها می‌توان داشت.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در پنجشنبه پنجم بهمن ۱۳۹۱ ساعت 7:45 توسط حسين دقاق زاده  | 

امنیت شبکه


5- طرح امنیت شبکه

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :

1-     ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH

2-     فایروالها

3-     مجتمع کننده های VPN برای دسترسی از دور

4-     تشخیص نفوذ

5-  سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه

6-     مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه

 

6- نواحی امنیتی

تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز       می شود.

نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.

1-  تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

2-  سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.

3-  سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.

4-     استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در پنجشنبه پنجم بهمن ۱۳۹۱ ساعت 7:41 توسط حسين دقاق زاده  | 

امنیت شبکه


مفاهیم امنیت شبکه

امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:

 

1-     شناسایی بخشی که باید تحت محافظت قرار گیرد.

2-     تصمیم گیری درباره  مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3-     تصمیم گیری درباره چگونگی تهدیدات

4-  پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5-     مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

 

1- منابع شبکه

در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

 

1-     تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها

2-  اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.

3-     منابع نامحسوس شبکه مانند عرض باند و سرعت

4-     اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی

5-     ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.

6-     اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان

7-     خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.

مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

 

2- حمله

حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:

 

1-     دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه

2-     دستکاری غیرمجاز اطلاعات بر روی یک شبکه

3-     حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.

 

کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:

1-     ثابت کردن محرمانگی داده

2-     نگهداری جامعیت داده

3-     نگهداری در دسترس بودن داد

 

3- حلیل خطر

پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :

1-     احتمال انجام حمله

2-     خسارت وارده به شبکه درصورت انجام حمله موفق

 

4- سیاست امنیتی

پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:

1-     چه و چرا باید محافظت شود.

2-     چه کسی باید مسئولیت حفاظت را به عهده بگیرد.

3-     زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.

سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:

1-     مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

2-     محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.

 

معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در پنجشنبه پنجم بهمن ۱۳۹۱ ساعت 7:41 توسط حسين دقاق زاده  | 

اینفوسک ۲۰۰۹


تازه‌ترین دستاوردهای امنیت دیجیتال
در اینفوسک ۲۰۰۹

با ظهور بحران فراگیر اقتصادی، شرکت‌های امنیتی برای امنیت بیشتر در انتقال داده‌ها، حفظ اطلاعات محرمانه شرکت‌ها و ایجاد فضایی امن‌تر در شبکه‌های اجتماعی تلاش می‌کنند.
امنیت، تأثیر عمیق یکسانی بر شرکت‌های گوناگون و مصرف‌کنندگان کالا‌های آنها دارد. از همان آغاز گسترش کامپیوتر و اینترنت، این مساله نیز مطرح شد که چه راههای بهتری برای حفظ اطلاعات وجود دارند؛ یا کلمات عبوری که مؤثرتر عمل کنند، باید از کدام ویژگی‌ها برخوردار باشند. هر سال نیز راه‌حل‌های جدیدی ارایه شده است. اینفوسک۲۰۰۹، نمایشگاهی است که تازه‌ترین دستاوردهای امنیتی و حفاظتی سال ۲۰۰۹ را به کاربران عرضه می‌کند. در ادامه، نگاهی داریم به برترین دستاوردهای امنیتی ارایه شده در این نمایشگاه.


● قفل‌های سخت‌افزاری
این قفل سخت‌افزاری، یک دیسک سخت قابل‌حمل با شماره شناسایی اختصاصی (PIN) است که روی آن، صفحه کلیدی برای اعلام رمز تعبیه شده است.
طراحی این دستگاه توسط شرکتOrigin Storage حدود یک سال به طول انجامیده و سازندگان آن، امنیت اطلاعات را که به شکل فزاینده‌ای نیاز به انتقال یا خروج از شرکت دارند، توسط آن ضمانت کرده‌اند.
صفحه کلید این دستگاه به استفادهکنندگان اجازه می‌دهد کلمه عبوری شامل شش تا هجده کاراکتر را انتخاب کنند که بدون آن، دسترسی به اطلاعات این دیسک سخت به هیچ وجه مقدور نخواهد بود. این دستگاه کمی از یک گوشی هوشمند متوسط بزرگ‌تر است و بسیار سبک طراحی شده است.
اندی کوردیال، مدیرعامل اریجین‌استوریج می‌گوید: «ما این دستگاه را آن‌قدر کوچک و سبک طراحی کرده‌ایم که به‌ سادگی قابل حمل و جابجایی باشد، البته نه آن‌قدر کوچک که به همان سادگی هم گم شود».
این دستگاه در سه ظرفیت حافظه ۱۶۰، ۳۲۰ و ۵۰۰ گیگابایتی وارد بازار خواهد شد و قابلیت رمزگذاری اطلاعات را برپایه استانداردهای ۱۲۸ یا ۲۵۶ بیت دارا است. قیمت آن نیز از ۱۹۹ یورو/ ۲۶۰ هزار تومان آغاز می‌شود. از دی ماه گذشته این یو اس بی با هدف تسخیر بازاری شامل شرکت‌های مختلف تجاری و دوایر دولتی، در دسترس قرار گرفته‌است.


● مبارزه با تهدیدهای درونی
با آغاز رکود اقتصادی در جهان، بسیاری از کارمندان با این حقیقت که هر لحظه ممکن است کارشان را از دست بدهند، مواجهند و همین، باعث می‌شود شرکت‌ها هم بیش‌از پیش در خطر انتقال غیرقانونی اطلاعات محرمانه کاری توسط کارکنان ناراضی باشند.
خوشبختانه شرکت‌ها به این‌که باید از اطلاعاتشان بیش از قبل مراقبت کنند، پی برده‌اند؛ اما در شرایط فعلی، تمام افراد می‌توانند با استفاده از کلمه عبور مدیریت، به کلیه اطلاعات سیستم دسترسی داشته باشند و از این داده‌ها استفاده یا سوءاستفاده کنند.
شرکت سایبرآرک یکی از شرکت‌هایی است که برای ارائه محصولاتش در اینفوسک شرکت کرده و توانسته است خریداران خوبی برای بسته نرم‌افزاری مدیریت ایمن هویت پیدا کند. این نرم‌افزار برای مبارزه با تهدیدهای داخلی و سرقت اطلاعات طراحی شده‌است و امنیت حساب‌های کاربری، مدیریت آنها، بررسی و ثبت دسترسی‌ها را توسط حساب‌های کاربری ویژه، مانند حساب‌هایی که در اختیار مدیران دامنه قرار دارند، به عهده خواهد گرفت.
نتایج تحقیقات این شرکت از مدیران فناوری اطلاعات نشان داده است بیش از ۳۰ درصد آنها از حساب‌های کاربری برای دسترسی به اطلاعات محرمانه یا حساس شرکت استفاده می‌کنند و این در حالی است که ۸۵ درصد از این افراد گفته‌اند، ممکن است در صورت ترک شرکت، اطلاعات را با خود ببرند.
شرکت سایبر‌آرک در حال حاضر حدود ۵۰۰ مشتری در سراسر دنیا دارد که شامل بانکها، فروشگاه‌های برزگ و سازمان‌های دولتی است.


● دیوار آتشین برای وب ۲.۰
پالو آلتو ادعا می‌کند نسل جدیدی از نرم‌افزارهای فایروال را اختراع کرده است که می‌توانند کنترل برنامه‌های کاربردی مورد استفاده در شبکههای اجتماعی یا سایت‌های به اشتراک‌گذاری فایل را که می‌توانند فایروال‌های فعلی را دور بزنند، به عهده بگیرد. بنا به اعلام این شرکت، این نرم‌افزار می‌تواند با استفاده از فناوری شناسایی برنامه‌هایی کاربردی که در مرحله اختراع مشروط قرار دارد، بیش از ۸۰۰ برنامه را دیده‌بانی کند.
در حالی‌که فایروال‌های فعلی با استناد به مدخل‌ها و پروتکلها، ترافیک شبکه را دسته‌بندی می‌کنند، فناوری شناسایی برنامه‌های کاربردی از ۴ روش شناسایی متفاوت برای تشخیص استفاده می‌کند تا ببیند، دقیقا کدام وب‌افزارها مورد استفاده شبکه قرار می‌گیرند.
از فناوری سایت‌های به اشتراک گذاری فایل گرفته تا نقض‌کنندگان قوانین کپی‌رایت، پالو آلتو ادعا دارد که می‌تواند هم محتوی و هم سوءاستفادهکنندگان را شناسایی کند. الکس رایس تریک، مدیر شعبه انگلیسی پالو آلتو می‌گوید: «ما می‌توانیم تمام این کنترل‌ها را یک جا و روی محیط شبکه انجام بدهیم».


● شبکه اینترنتی امن‌تر؟
شرکت امنیتیAladdin موفق شده است برای اولین بار، امنیت شرکت‌های ارائه دهنده خدمات اینترنت را تأمین و محتوای اطلاعات آنلاین را پایش کند. این شرکت، پاییز امسال همکاری با شرکت‌های ارائه‌دهنده خدمات اینترنت در انگلستان را اعلام خواهد کرد.
علاءالدین، بسته امنیتی محتوای الکترونیکی ایمن را که شامل دفاع علیه تهدیدات اینترنتی بدافزارها، هرزنامه‌ها، تروژان‌ها و ویروس‌های رایانه‌ای خواهد بود، به این شرکت‌ها پیشنهاد خواهد کرد. این شرکت در حال حاضر با دو شرکت ارائه‌دهنده خدمات اینترنت که حدود ۱۶۰ هزار مشترک دارند، همکاری می‌کند.
علاءالدین علاوه بر ارائه این بسته امنیتی علیه تهدیدهای همیشگی، به والدین اجازه می‌دهد بر محتوای مورد استفاده توسط فرزندانشان نظارت کنند.


● الگوهای تازه برای کلمه عبور
شرکت انگلیسی GrIDsureامیدوار است روزی بتواند تعیین هویت شخصی را جایگزین پین یا شماره شناسایی شخصی افراد کند. در این روش، کاربران با به خاطر آوردن طرحی شامل حداقل چهار مربع از یک جدول ۵ در ۵ -که قبلا انتخاب کرده‌اند- هویتشان را تصدیق می‌کنند.
به گفته جاناتان کرایمر، مدیرعامل این شرکت، استفاده از یک جدول ۵ در ۵ امکان انتخاب بیش از ۹ میلیون طرح متفاوت را به کاربر ارایه می‌دهد. اعداد به صورت اتفاقی روی صفحه ظاهر می‌شوند و کاربر باید مطابق طرحی که به خاطر سپرده است، حروف را انتخاب کند. ریاضی‌دانان دانشگاه کمریج پیش‌بینی می‌کنند که این سیستم یکصد بار دقیق‌تر از پین‌کد‌های فعلی عمل کند.
البته این فناوری جدیدی نیست و حدود دو سالی هست که دارد روی آن کار می‌شود؛ اما کارشناسان به تازگی از آن در ابزارهای الکترونیکی استفاده کرده اند.
گریدشر به‌تازگی قراردادی با مایکروسافت امضا کرده که به این غول نرم‌افزاری اجازه می‌دهد از این اختراع در دستگاههای فرستنده و گیرنده کارگران سیار این شرکت به عنوان وسیله اعلام هویت در ارتباطات بی‌سیم به جای استفاده از کارت‌های حضور و غیاب گران قیمت استفاده کند. شرکت شارپ نیز این سیستم جدید را در چاپگرهای چند منظوره جدید خود به‌کار گرفته است.

برچسب‌ها: News Site map SitemapIndex RSS Feed Channel li
+ نوشته شده در سه شنبه سوم بهمن ۱۳۹۱ ساعت 10:23 توسط حسين دقاق زاده  | 

امنیت شبکه


کلیاتی در مورد امنیت شبکه
کلیاتی در مورد امنیت شبکهوقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که " حالا باید از کجا شروع کرد؟ اول کجا باید ایمن شود؟ چه استراتژی را در پیش گرفت و کجا کار را تمام کرد؟ به این ترتیب " انبوهی از این قبیل سوالات فکر شما را مشغول می کند.
وقتی از امنیت شبکه صحبت می کنیم، مباحث زیادی قابل طرح و بررسی هستند، موضوعاتی که هر کدام به تنهایی می توانند در عین حال جالب، پرمحتوا و قابل درک باشند. اما وقتی صحبت کار عملی به میان می آید، قضیه تا حدودی پیچیده می شود. ترکیب علم و عمل، احتیاج به تجربه دارد و نهایت هدف یک علم بعد کاربردی آن است.
وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که " حالا باید از کجا شروع کرد؟ اول کجا باید ایمن شود؟ چه استراتژی را در پیش گرفت و کجا کار را تمام کرد؟ به این ترتیب " انبوهی از این قبیل سوالات فکر شما را مشغول می کند و کم کم حس می کنید که تجربه کافی ندارید (که البته این حسی طبیعی است ).
پس اگر شما نیز چنین احساسی دارید و می خواهید یک استراتژی علمی - کاربردی داشته باشید، تا انتهای این مقاله را بخوانید.
همیشه در امنیت شبکه موضوع لایه های دفاعی، موضوع داغ و مهمی است. در این خصوص نیز نظرات مختلفی وجود دارد. عده ای فایروال را اولین لایه دفاعی می دانند، بعضی ها هم Access List رو اولین لایه دفاعی می دانند، اما واقعیت این است که هیچکدام از این‌ها، اولین لایه دفاعی محسوب نمی شوند. به خاطر داشته باشید که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی وجود یک خط مشی (Policy) هست. بدون policy، لیست کنترل، فایروال و هر لایه دیگر، بدون معنی می شود و اگر بدون policy شروع به ایمن سازی شبکه کنید، محصول وحشتناکی از کار در می آید.
با این مقدمه، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می دانید که چه می خواهید و چه نمی خواهید، کار را شروع می‌شود. حال باید پنج مرحله رو پشت سر بگذاریم تا کار تمام شود. این پنج مرحله عبارت اند از :
۱) Inspection ( بازرسی )
۲) Protection ( حفاظت )
۳) Detection ( ردیابی )
۴) Reaction ( واکنش )
۵) Reflection ( بازتاب)
در طول مسیر ایمن سازی شبکه از این پنج مرحله عبور می کنیم، ضمن آن که این مسیر، احتیاج به یک تیم امنیتی دارد و یک نفر به تنهایی نمی تواند این پروسه را طی کند.
۱) اولین جایی که ایمن سازی را شروع می کنیم، ایمن کردن کلیه سندیت های (authentication) موجود است. معمولا رایج ترین روش authentication، استفاده از شناسه کاربری و کلمه رمز است.
مهمترین قسمت هایی که باید authentication را ایمن و محکم کرد عبارتند از :
- کنترل کلمات عبور کاربران، به ویژه در مورد مدیران سیستم.
- کلمات عبور سوییچ و روتر ها ( در این خصوص روی سوییچ تاکید بیشتری می شود، زیرا از آنجا که این ابزار (device) به صورت plug and play کار می کند، اکثر مدیرهای شبکه از config کردن آن غافل می شوند. در حالی توجه به این مهم می تواند امنیت شبکه را ارتقا دهد. لذا به مدیران امنیتی توصیه میشود که حتما سوییچ و روتر ها رو کنترل کنند ).
- کلمات عبور مربوط به SNMP.
- کلمات عبور مربوط به پرینت سرور.
- کلمات عبور مربوط به محافظ صفحه نمایش.
در حقیقت آنچه که شما در کلاس‌های امنیت شبکه در مورد Account and Password Security یاد گرفتید این جا به کار می رود.
۲) گام دوم نصب و به روز رسانی آنتی ویروس ها روی همه کامپیوتر ها، سرورها و میل سرورها است. ضمن اینکه آنتی ویروس های مربوط به کاربران باید به صورت خودکار به روز رسانی شود و آموزش های لازم در مورد فایل های ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک نیز باید به کاربران داده شود.
۳) گام سوم شامل نصب آخرین وصله های امنیتی و به روز رسانی های امنیتی سیستم عامل و سرویس های موجود است. در این مرحله علاوه بر اقدامات ذکر شده، کلیه سرورها، سوییچ ها، روتر ها و دسک تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند.
۴) در این مرحله نوبت گروه بندی کاربران و اعطای مجوزهای لازم به فایل ها و دایرکتوری ها است. ضمن اینکه اعتبارهای( account) قدیمی هم باید غیر فعال شوند.
گروه بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود. بعد از پایان این مرحله، یک بار دیگر امنیت سیستم عامل باید چک شود تا چیزی فراموش نشده باشد.
۵) حالا نوبت device ها است که معمولا شامل روتر، سوییچ و فایروال می شود. بر اساس policy موجود و توپولوژی شبکه، این ابزار باید config شوند. تکنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین علت این مرحله خیلی مهم است. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست نیز می تواند مورد توجه قرار گیرد تا اطمینان حاصل شود که از حداقل ممکن برای IP Assign به شبکه ها استفاده شده است.
۶) قدم بعد تعیین استراژی تهیه پشتیبان(backup) است. نکته مهمی که وجود دارد این است که باید مطمئن بشویم که سیستم backup و بازیابی به درستی کار کرده و در بهترین حالت ممکن قرار دارد.
۷) امنیت فیزیکی. در این خصوص اول از همه باید به سراغ UPS ها رفت. باید چک کنیم که UPS ها قدرت لازم رو برای تامین نیروی الکتریکی لازم جهت کار کرد صحیح سخت افزار های اتاق سرور در زمان اضطراری را داشته باشند. نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت،ایمنی در برابر سرقت و آتش سوزی است. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم های الکترونیکی آسیب وارد نکند. به طور کل آنچه که مربوط به امنیت فیزیکی می شود در این مرحله به کار می رود.
۸) امنیت وب سرور یکی از موضوعاتی است که باید وسواس خاصی در مورد آن داشت.به همین دلیل در این قسمت، مجددا و با دقت بیشتر وب سرور رو چک و ایمن می کنیم. در حقیقت، امنیت وب نیز در این مرحله لحاظ می شود.
(توجه:هیچ گاه اسکریپت های سمت سرویس دهنده را فراموش نکنید )
۹) حالا نوبت بررسی، تنظیم و آزمایش سیستم های Auditing و Logging هست. این سیستم ها هم می تواند بر پایه host و هم بر پایه network باشد. سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید که تمام اطلاعات لازم ثبت و به خوبی محافظت می شود. در ضمن ساعت و تاریخ سیستم ها درست باشد چرا که در غیر این صورت کلیه اقداما قبلی از بین رفته و امکان پیگیری های قانونی در صورت لزوم نیز دیگر وجود نخواهد داشت.
۱۰) ایمن کردن Remote Access با پروتکل و تکنولوژی های ایمن و Secure گام بعدی محسوب می شود. در این زمینه با توجه به شرایط و امکانات، ایمن ترین پروتکل و تکنولوژی ها را باید به خدمت گرفت.
۱۱) نصب فایروال های شخصی در سطح host ها، لایه امنیتی مضاعفی به شبکه شما میدهد. پس این مرحله را نباید فراموش کرد.
۱۲) شرایط بازیابی در حالت های اضطراری را حتما چک و بهینه کنید. این حالت ها شامل خرابی قطعات کامپیوتری، خرابکاری کاربران، خرابی ناشی از مسایل طبیعی ( زلزله - آتش سوزی – ضربه خوردن - سرقت - سیل) و خرابکاری ناشی از نفوذ هکرها، است. استاندارد های warm site و hot site را در صورت امکان رعایت کنید.
به خاطر داشته باشید که " همیشه در دسترس بودن اطلاعات "، جز، قوانین اصلی امنیتی هست.
۱۳) و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی هست، عضو شدن در سایت ها و بولتن های امنیتی و در آگاهی ازآخرین اخبار امنیتی است.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در دوشنبه دوم بهمن ۱۳۹۱ ساعت 9:40 توسط حسين دقاق زاده  | 

شبكه هاي كا


مقاله اي كامل در مورد شبكه هاي كا

● تقسيم بندی بر اساس توپولوژی . الگوی هندسی استفاده شده جهت اتصال کامپيوترها ، توپولوژی ناميده می شود. توپولوژی انتخاب شده برای پياده سازی شبکه ها، عاملی مهم در جهت کشف و برطرف نمودن خطاء در شبکه خواهد بود. انتخاب يک توپولوژی خاص نمی تواند بدون ارتباط با محيط انتقال و روش های استفاده از خط مطرح گردد. نوع توپولوژی انتخابی جهت اتصال کامپيوترها به يکديگر ، مستقيما" بر نوع محيط انتقال و روش های استفاده از خط تاثير می گذارد. با توجه به تاثير مستقيم توپولوژی انتخابی در نوع کابل کشی و هزينه های مربوط به آن ، می بايست با دقت و تامل به انتخاب توپولوژی يک شبکه همت گماشت . عوامل مختلفی جهت انتخاب يک توپولوژی بهينه مطرح می شود. مهمترين اين عوامل بشرح ذيل است :
هزينه . هر نوع محيط انتقال که برای شبکه LAN انتخاب گردد، در نهايت می بايست عمليات نصب شبکه در يک ساختمان پياده سازی گردد. عمليات فوق فرآيندی طولانی جهت نصب کانال های مربوطه به کابل ها و محل عبور کابل ها در ساختمان است . در حالت ايده آل کابل کشی و ايجاد کانال های مربوطه می بايست قبل از تصرف و بکارگيری ساختمان انجام گرفته باشد. بهرحال می بايست هزينه نصب شبکه بهينه گردد.
انعطاف پذيری . يکی از مزايای شبکه های LAN ، توانائی پردازش داده ها و گستردگی و توزيع گره ها در يک محيط است . بدين ترتيب توان محاسباتی سيستم و منابع موجود در اختيار تمام استفاده کنندگان قرار خواهد گرفت . در ادارات همه چيز تغيير خواهد کرد.( لوازم اداری، اتاقها و ... ) . توپولوژی انتخابی می بايست بسادگی امکان تغيير پيکربندی در شبکه را فراهم نمايد. مثلا" ايستگاهی را از نقطه ای به نقطه ديگر انتقال و يا قادر به ايجاد يک ايستگاه جديد در شبکه باشيم .
سه نوع توپولوژی رايج در شبکه های LAN استفاده می گردد :
BUS
STAR
RING
توپولوژی BUS . يکی از رايجترين توپولوژی ها برای پياده سازی شبکه های LAN است . در مدل فوق از يک کابل بعنوان ستون فقرات اصلی در شبکه استفاده شده و تمام کامپيوترهای موجود در شبکه ( سرويس دهنده ، سرويس گيرنده ) به آن متصل می گردند.
مزايای توپولوژی BUS
- کم بودن طول کابل . بدليل استفاده از يک خط انتقال جهت اتصال تمام کامپيوترها ، در توپولوژی فوق از کابل کمی استفاده می شود.موضوع فوق باعث پايين آمدن هزينه نصب و ايجاد تسهيلات لازم در جهت پشتيبانی شبکه خواهد بود.
- ساختار ساده . توپولوژی BUS دارای يک ساختار ساده است . در مدل فوق صرفا" از يک کابل برای انتقال اطلاعات استفاده می شود.
- توسعه آسان . يک کامپيوتر جديد را می توان براحتی در نقطه ای از شبکه اضافه کرد. در صورت اضافه شدن ايستگاههای بيشتر در يک سگمنت ، می توان از تقويت کننده هائی به نام Repeater استفاده کرد.


معايب توپولوژی BUS
- مشکل بودن عيب يابی . با اينکه سادگی موجود در تويولوژی BUS امکان بروز اشتباه را کاهش می دهند، ولی در صورت بروز خطاء کشف آن ساده نخواهد بود. در شبکه هائی که از توپولوژی فوق استفاده می نمايند ، کنترل شبکه در هر گره دارای مرکزيت نبوده و در صورت بروز خطاء می بايست نقاط زيادی بمنظور تشخيص خطاء بازديد و بررسی گردند.
- ايزوله کردن خطاء مشکل است . در صورتيکه يک کامپيوتر در توپولوژی فوق دچار مشکل گردد ، می بايست کامپيوتر را در محلی که به شبکه متصل است رفع عيب نمود. در موارد خاص می توان يک گره را از شبکه جدا کرد. در حالتيکه اشکال در محيط انتقال باشد ، تمام يک سگمنت می بايست از شبکه خارج گردد.
- ماهيت تکرارکننده ها . در موارديکه برای توسعه شبکه از تکرارکننده ها استفاده می گردد، ممکن است در ساختار شبکه تغييراتی نيز داده شود. موضوع فوق مستلزم بکارگيری کابل بيشتر و اضافه نمودن اتصالات مخصوص شبکه است .
توپولوژی STAR . در اين نوع توپولوژی همانگونه که از نام آن مشخص است ، از مدلی شبيه "ستاره" استفاده می گردد. در اين مدل تمام کامپيوترهای موجود در شبکه معمولا" به يک دستگاه خاص با نام " هاب " متصل خواهند شد.
مزايای توپولوژی STAR
- سادگی سرويس شبکه . توپولوژی STAR شامل تعدادی از نقاط اتصالی در يک نقطه مرکزی است . ويژگی فوق تغيير در ساختار و سرويس شبکه را آسان می نمايد.
- در هر اتصال يکدستگاه . نقاط اتصالی در شبکه ذاتا" مستعد اشکال هستند. در توپولوژی STAR اشکال در يک اتصال ، باعث خروج آن خط از شبکه و سرويس و اشکال زدائی خط مزبور است . عمليات فوق تاثيری در عملکرد ساير کامپيوترهای موجود در شبکه نخواهد گذاشت .
- کنترل مرکزی و عيب يابی . با توجه به اين مسئله که نقطه مرکزی مستقيما" به هر ايستگاه موجود در شبکه متصل است ، اشکالات و ايرادات در شبکه بسادگی تشخيص و مهار خواهند گرديد.
- روش های ساده دستيابی . هر اتصال در شبکه شامل يک نقطه مرکزی و يک گره جانبی است . در چنين حالتی دستيابی به محيط انتقال حهت ارسال و دريافت اطلاعات دارای الگوريتمی ساده خواهد بود.
معايب توپولوژی STAR
- زياد بودن طول کابل . بدليل اتصال مستقيم هر گره به نقطه مرکزی ، مقدار زيادی کابل مصرف می شود. با توجه به اينکه هزينه کابل نسبت به تمام شبکه ، کم است ، تراکم در کانال کشی جهت کابل ها و مسائل مربوط به نصب و پشتيبنی آنها بطور قابل توجهی هزينه ها را افزايش خواهد داد.
- مشکل بودن توسعه . اضافه نمودن يک گره جديد به شبکه مستلزم يک اتصال از نقطه مرکزی به گره جديد است . با اينکه در زمان کابل کشی پيش بينی های لازم جهت توسعه در نظر گرفته می شود ، ولی در برخی حالات نظير زمانيکه طول زيادی از کابل مورد نياز بوده و يا اتصال مجموعه ای از گره های غير قابل پيش بينی اوليه ، توسعه شبکه را با مشکل مواجه خواهد کرد.
- وابستگی به نقطه مرکزی . در صورتيکه نقطه مرکزی ( هاب ) در شبکه با مشکل مواجه شود ، تمام شبکه غيرقابل استفاده خواهد بود.
توپولوژی RING . در اين نوع توپولوژی تمام کامپيوترها بصورت يک حلقه به يکديگر مرتبط می گردند. تمام کامپيوترهای موجود در شبکه ( سرويس دهنده ، سرويس گيرنده ) به يک کابل که بصورت يک دايره بسته است ، متصل می گردند. در مدل فوق هر گره به دو و فقط دو همسايه مجاور خود متصل است . اطلاعات از گره مجاور دريافت و به گره بعدی ارسال می شوند. بنابراين داده ها فقط در يک جهت حرکت کرده و از ايستگاهی به ايستگاه ديگر انتقال پيدا می کنند.
مزايای توپولوژی RING
- کم بودن طول کابل . طول کابلی که در اين مدل بکار گرفته می شود ، قابل مقايسه به توپولوژی BUS نبوده و طول کمی را در بردارد. ويژگی فوق باعث کاهش تعداد اتصالات ( کانکتور) در شبکه شده و ضريب اعتماد به شبکه را افزايش خواهد داد.
- نياز به فضائی خاص جهت انشعابات در کابل کشی نخواهد بود.بدليل استفاده از يک کابل جهت اتصال هر گره به گره همسايه اش ، اختصاص محل هائی خاص بمنظور کابل کشی ضرورتی نخواهد داشت .
- مناسب جهت فيبر نوری . استفاده از فيبر نوری باعث بالا رفتن نرخ سرعت انتقال اطلاعات در شبکه است. چون در توپولوژی فوق ترافيک داده ها در يک جهت است ، می توان از فيبر نوری بمنظور محيط انتقال استفاده کرد.در صورت تمايل می توان در هر بخش ازشبکه از يک نوع کابل بعنوان محيط انتقال استفاده کرد . مثلا" در محيط های ادرای از مدل های مسی و در محيط کارخانه از فيبر نوری استفاده کرد.

معايب توپولوژی RING
- اشکال در يک گره باعث اشکال در تمام شبکه می گردد. در صورت بروز اشکال در يک گره ، تمام شبکه با اشکال مواجه خواهد شد. و تا زمانيکه گره معيوب از شبکه خارج نگردد ، هيچگونه ترافيک اطلاعاتی را روی شبکه نمی توان داشت .
- اشکال زدائی مشکل است . بروز اشکال در يک گره می تواند روی تمام گرههای ديگر تاثير گذار باشد. بمنظور عيب يابی می بايست چندين گره بررسی تا گره مورد نظر پيدا گردد.
- تغيير در ساختار شبکه مشکل است . در زمان گسترش و يا اصلاح حوزه جغرافيائی تحت پوشش شبکه ، بدليل ماهيت حلقوی شبکه مسائلی بوجود خواهد آمد .
- توپولوژی بر روی نوع دستيابی تاثير می گذارد. هر گره در شبکه دارای مسئوليت عبور دادن داده ای است که از گره مجاور دريافت داشته است . قبل از اينکه يک گره بتواند داده خود را ارسال نمايد ، می بايست به اين اطمينان برسد که محيط انتقال برای استفاده قابل دستيابی است .
● تقسيم بندی بر اساس حوزه جغرافی تحت پوشش . شبکه های کامپيوتری با توجه به حوزه جغرافيائی تحت پوشش به سه گروه تقسيم می گردند :
شبکه های محلی ( کوچک ) LAN
شبکه های متوسط MAN
شبکه های گسترده WAN
شبکه های LAN . حوزه جغرافيائی که توسط اين نوع از شبکه ها پوشش داده می شود ، يک محيط کوچک نظير يک ساختمان اداری است . اين نوع از شبکه ها دارای ويژگی های زير می باشند :
توانائی ارسال اطلاعات با سرعت بالا
محدوديت فاصله
قابليت استفاده از محيط مخابراتی ارزان نظير خطوط تلفن بمنظور ارسال اطلاعات
نرخ پايين خطاء در ارسال اطلاعات با توجه به محدود بودن فاصله
شبکه های MAN . حوزه جغرافيائی که توسط اين نوع شبکه ها پوشش داده می شود ، در حد و اندازه يک شهر و يا شهرستان است . ويژگی های اين نوع از شبکه ها بشرح زير است :
پيچيدگی بيشتر نسبت به شبکه های محلی
قابليت ارسال تصاوير و صدا
قابليت ايجاد ارتباط بين چندين شبکه
شبکه های WAN . حوزه جغرافيائی که توسط اين نوع شبکه ها پوشش داده می شود ، در حد و اندازه کشور و قاره است . ويژگی اين نوع شبکه ها بشرح زير است :
قابليت ارسال اطلاعات بين کشورها و قاره ها
قابليت ايجاد ارتباط بين شبکه های LAN
سرعت پايين ارسال اطلاعات نسبت به شبکه های LAN
نرخ خطای بالا با توجه به گستردگی محدوده تحت پوشش

● کابل در شبکه
در شبکه های محلی از کابل بعنوان محيط انتقال و بمنظور ارسال اطلاعات استفاده می گردد.ازچندين نوع کابل در شبکه های محلی استفاده می گردد. در برخی موارد ممکن است در يک شبکه صرفا" از يک نوع کابل استفاده و يا با توجه به شرايط موجود از چندين نوع کابل استفاده گردد. نوع کابل انتخاب شده برای يک شبکه به عوامل متفاوتی نظير : توپولوژی شبکه، پروتکل و اندازه شبکه بستگی خواهد داشت . آگاهی از خصايص و ويژگی های متفاوت هر يک از کابل ها و تاثير هر يک از آنها بر ساير ويژگی های شبکه، بمنظور طراحی و پياده سازی يک شبکه موفق بسيار لازم است .
- کابل Unshielded Twisted pair )UTP)
متداولترين نوع کابلی که در انتقال اطلاعات استفاده می گردد ، کابل های بهم تابيده می باشند. اين نوع کابل ها دارای دو رشته سيم به هم پيچيده بوده که هر دو نسبت زمين دارای يک امپدانش يکسان می باشند. بدين ترتيب امکان تاثير پذيری اين نوع کابل ها از کابل های مجاور و يا ساير منابع خارجی کاهش خواهد يافت . کابل های بهم تابيده دارای دو مدل متفاوت : Shielded ( روکش دار ) و Unshielded ( بدون روکش ) می باشند. کابل UTP نسبت به کابل STP بمراتب متداول تر بوده و در اکثر شبکه های محلی استفاده می گردد.کيفيت کابل های UTP متغير بوده و از کابل های معمولی استفاده شده برای تلفن تا کابل های با سرعت بالا را شامل می گردد. کابل دارای چهار زوج سيم بوده و درون يک روکش قرار می گيرند. هر زوج با تعداد مشخصی پيچ تابانده شده ( در واحد اينچ ) تا تاثير پذيری آن از ساير زوج ها و ياساير دستگاههای الکتريکی کاهش يابد.
کاربردهای شبکه
هسته اصلی سیستم های توزیع اطلاعات را شبکه های کامپیوتری تشکیل می دهند. مفهوم شبکه های کامپیوتری بر پایه اتصال کامپیوتر ها و دیگر تجهیزات سخت افزاری به یکدیگر برای ایجاد امکان ارتباط و تبادل اطلاعات استوار شده است. گروهی از کامپیوتر ها و دیگر تجهیزات متصل به هم را یک شبکه می نامند. کامپیوتر هایی که در یک شبکه واقع هستند، میتوانند اطلاعات، پیام، نرم افزار و سخت افزارها را بین یکدیگر به اشتراک بگذارند. به اشتراک گذاشتن اطلاعات، پیام ها و نرم افزارها، تقریباً برای همه قابل تصور است در این فرایند نسخه ها یا کپی اطلاعات نرم افزاری از یک کامپیوتر به کامپیوتر دیگر منتقل می شود. هنگامی که از به اشتراک گذاشتن سخت افزار سخن می گوییم به معنی آن است که تجهیزاتی نظیر چاپگر یا دستگاه مودم را می توان به یک کامپیوتر متصل کرد و از کامپیوتر دیگر واقع در همان شبکه، از آن ها استفاده نمود.
به عنوان مثال در یک سازمان معمولاً اطلاعات مربوط به حقوق و دستمزدپرسنل در بخش حسابداری نگهداری می شود. در صورتی که در این سازمان از شبکه کامپیوتری استفاده شده باشد، مدیر سازمان می تواند از دفتر خود به این اطلاعات دسترسی یابد و آن ها را مورد بررسی قرار دهد. به اشتراک گذاشتن اطلاعات و منابع نرم افزاری و سخت افزاری دارای مزیت های فراوانی است. شبکه های کامپیوتری می توانند تقریباً هر نوع اطلاعاتی را به هر شخصی که به شبکه دسترسی داشته باشد عرضه کنند. این ویژگی امکان پردازش غیر متمرکزاطلاعات را فراهم می کند. در گذشته به علت محدود بودن روش های انتقال اطلاعات کلیه فرایند های پردازش آن نیز در یک محل انجام می گرفته است. سهولت و سرعت روش های امروزی انتقال اطلاعات در مقایسه با روش هایی نظیر انتقال دیسکت یا نوار باعث شده است که ارتباطات انسانی نیز علاوه بر مکالمات صوتی، رسانه ای جدید بیابند.
به کمک شبکه های کامپیوتری می توان در هزینه های مربوط به تجهیزات گران قیمت سخت افزاری نظیر هارد دیسک، دستگاه های ورود اطلاعات و... صرفه جویی کرد. شبکه های کامپیوتری، نیازهای کاربران در نصب منابع سخت افزاری را رفع کرده یا به حداقل می رسانند.
از شبکه های کامپیوتری می توان برای استاندارد سازی برنامه های کاربردی نظیر واژه پردازها و صفحه گسترده ها، استفاده کرد. یک برنامه کاربردی می تواند در یک کامپیوتر مرکزی واقع در شبکه اجرا شود و کاربران بدون نیاز به نگهداری نسخه اصلی برنامه، از آن در کامپیوتر خود استفاده کنند.
استاندارد سازی برنامه های کاربردی دارای این مزیت است که تمام کاربران و یک نسخه مشخص استفاده می کنند. این موضوع باعث می شود تا پشتیبانی شرکت عرضه کننده نرم افزار از محصول خود تسهیل شده و نگهداری از آن به شکل موثرتری انجام شود.
مزیت دیگر استفاده از شبکه های کامپیوتری، امکان استفاده از شبکه برای برقراری ارتباطات روی خط (Online) از طریق ارسال پیام است. به عنوان مثال مدیران می توانند برای ارتباط با تعداد زیادی از کارمندان از پست الکترونیکی استفاده کنند.
تاریخچه پیدایش شبکه
در سال 1957 نخستین ماهواره، یعنی اسپوتنیک توسط اتحاد جماهیر شوروی سابق به فضا پرتاب شد. در همین دوران رقابت سختی از نظر تسلیحاتی بین دو ابرقدرت آن زمان جریان داشت و دنیا در دوران رقابت سختی از نظر تسلیحاتی بین دو ابر قدرت آن زمان جریان داشت و دنیا در دوران جنگ سرد به سر می برد. وزارت دفاع امریکا در واکنش به این اقدام رقیب نظامی خود، آژانس پروژه های تحقیقاتی پیشرفته یا آرپا (ARPA) را تاسیس کرد. یکی از پروژه های مهم این آژانس تامین ارتباطات در زمان جنگ جهانی احتمالی تعریف شده بود. در همین سال ها در مراکز تحقیقاتی غیر نظامی که بر امتداد دانشگاه ها بودند، تلاش برای اتصال کامپیوترها به یکدیگر در جریان بود. در آن زمان کامپیوتر های Mainframe از طریق ترمینال ها به کاربران سرویس می دادند. در اثر اهمیت یافتن این موضوع آژانس آرپا (ARPA) منابع مالی پروژه اتصال دو کامپیوتر از راه دور به یکدیگر را در دانشگاه MIT بر عهده گرفت. در اواخر سال 1960 اولین شبکه کامپیوتری بین چهار کامپیوتر که دو تای آنها در MIT، یکی در دانشگاه کالیفرنیا و دیگری در مرکز تحقیقاتی استنفورد قرار داشتند، راه اندازی شد. این شبکه آرپانت نامگذاری شد. در سال 1965 نخستین ارتباط راه دور بین دانشگاه MIT و یک مرکز دیگر نیز برقرار گردید.
در سال 1970 شرکت معتبر زیراکس یک مرکز تحقیقاتی در پالوآلتو تاسیس کرد. این مرکز در طول سال ها مهمترین فناوری های مرتبط با کامپیوتر را معرفی کرده است و از این نظریه به یک مرکز تحقیقاتی افسانه ای بدل گشته است. این مرکز تحقیقاتی که پارک (PARC) نیز نامیده می شود، به تحقیقات در زمینه شبکه های کامپیوتری پیوست. تا این سال ها شبکه آرپانت به امور نظامی اختصاص داشت، اما در سال 1927 به عموم معرفی شد. در این سال شبکه آرپانت مراکز کامپیوتری بسیاری از دانشگاه ها و مراکز تحقیقاتی را به هم متصل کرده بود. در سال 1927 نخستین نامه الکترونیکی از طریق شبکه منتقل گردید.
در این سال ها حرکتی غیر انتفاعی به نام MERIT که چندین دانشگاه بنیان گذار آن بوده اند، مشغول توسعه روش های اتصال کاربران ترمینال ها به کامپیوتر مرکزی یا میزبان بود. مهندسان پروژه MERIT در تلاش برای ایجاد ارتباط بین کامپیوتر ها، مجبور شدند تجهیزات لازم را خود طراحی کنند. آنان با طراحی تجهیزات واسطه برای مینی کامپیوتر DECPDP-11 نخستین بستر اصلی یا Backbone شبکه کامپیوتری را ساختند. تا سال ها نمونه های اصلاح شده این کامپیوتر با نام PCP یا Primary Communications Processor نقش میزبان را در شبکه ها ایفا می کرد. نخستین شبکه از این نوع که چندین ایالت را به هم متصل می کرد Michnet نام داشت.
روش اتصال کاربران به کامپیوتر میزبان در آن زمان به این صورت بود که یک نرم افزار خاص بر روی کامپیوتر مرکزی اجرا می شد. و ارتباط کاربران را برقرار می کرد. اما در سال 1976 نرم افزار جدیدی به نام Hermes عرضه شد که برای نخستین بار به کاربران اجازه می داد تا از طریق یک ترمینال به صورت تعاملی مستقیما به سیستم MERIT متصل شوند.این، نخستین باری بود که کاربران می توانستند در هنگام برقراری ارتباط از خود بپرسند: کدام میزبان؟
از وقایع مهم تاریخچه شبکه های کامپیوتری، ابداع روش سوئیچینگ بسته ای یا Packet Switching است. قبل از معرفی شدن این روش از سوئیچینگ مداری یا Circuit Switching برای تعیین مسیر ارتباطی استفاده می شد. اما در سال 1974 با پیدایش پروتکل ارتباطی TCP/IP از مفهوم Packet Switching استفاده گسترده تری شد. این پروتکل در سال 1982 جایگزین پروتکل NCP شد و به پروتکل استاندارد برای آرپانت تبدیل گشت. در همین زمان یک شاخه فرعی بنام MILnet در آرپانت همچنان از پروتکل قبلی پشتیبانی می کرد و به ارائه خدمات نظامی می پرداخت. با این تغییر و تحول، شبکه های زیادی به بخش تحقیقاتی این شبکه متصل شدند و آرپانت به اینترنت تبدیل گشت. در این سال ها حجم ارتباطات شبکه ای افزایش یافت و مفهوم ترافیک شبکه مطرح شد.
مسیر یابی در این شبکه به کمک آدرس های IP به صورت 32 بیتی انجام می گرفته است. هشت بیت اول آدرس IP به شبکه های محلی تخصیص داده شده بود که به سرعت مشخص گشت تناسبی با نرخ رشد شبکه ها ندارد و باید در آن تجدید نظر شود. مفهوم شبکه های LAN و شبکه های WAN در سال دهه 70 میلادی از یکدیگر تفکیک شدند.
در آدرس دهی 32 بیتی اولیه، بقیه 24 بیت آدرس به میزبان در شبکه اشاره می کرد.
در سال 1983 سیستم نامگذاری دامنه ها (Domain Name System) به وجود آمد و اولین سرویس دهنده نامگذاری (Name Server) راه اندازی شد و استفاده از نام به جای آدرس های عددی معرفی شد. در این سال تعداد میزبان های اینترنت از مرز ده هزار عدد فراتر رفته بود.
اجزای شبکه
یک شبکه کامپیوتری شامل اجزایی است که برای درک کارکرد شبکه لازم است تا با کارکرد هر یک از این اجزا آشنا شوید. شبکه های کامپیوتری در یک نگاه کلی دارای چهار قسمت هستند. مهمترین قسمت یک شبکه، کامپیوتر سرویس دهنده (Server) نام دارد. یک سرور در واقع یک کامپیوتر با قابلیت ها و سرعت بالا است.. تمام اجزای دیگر شبکه به کامپیوتر سرور متصل می شوند.
کامپیوتر سرور وظیفه به اشتراک گذاشتن منابع نظیر فایل، دایرکتوری و غیره را بین کامپیوترهای سرویس گیرنده بر عهده دارد. مشخصات کامپیوترهای سرویس گیرنده می تواند بسیار متنوع باشد و در یک شبکه واقعی Client ها دارای آرایش و مشخصات سخت افزاری متفاوتی هستند. تمام شبکه های کامپیوتری دارای بخش سومی هستند که بستر یا محیط انتقال اطلاعات را فراهم می کند. متداول ترین محیط انتقال در یک شبکه کابل است.
تجهیزات جانبی یا منابع سخت افزاری نظیر چاپگر، مودم، هارددیسک، تجهیزات ورود اطلاعات نظیر اسکند و غیره، تشکیل دهنده بخش چهارم شبکه های کامپیوتری هستند. تجهیزات جانبی از طریق کامپیوتر سرور در دسترس تمام کامپیوترهای واقع در شبکه قرار می گیرند. شما می توانید بدون آنکه چاپگری مستقیماً به کامپیوتر شما متصل باشد، از اسناد خود چاپ بگیرید. در عمل چاپگر از طریق سرور شبکه به کامپیوتر شما متصل است.
ویژگی های شبکه
همانطور که قبلاً گفته شد، یکی از مهمترین اجزای شبکه های کامپیوتری، کامپیوتر سرور است. سرور مسئول ارائه خدماتی از قبیل انتقال فایل، سرویس های چاپ و غیره است. با افزایش حجم ترافیک شبکه، ممکن است برای سرور مشکلاتی بروز کند. در شبکه های بزرگ برای حل این مشکل، از افزایش تعداد کامپیوترهای سرور استفاده می شود که به این سرور ها، سرور های اختصاصی گفته می شود. دو نوع متداول این سرور ها عبارتند از File and Print server و Application server. نوع اول یعنی سرویس دهنده فایل و چاپ مسئول ارائه خدماتی از قبیل ذخیره سازی فایل، حذف فایل و تغییر نام فایل است که این درخواست ها را از کامپیوتر های سرویس گیرنده دریافت می کند. این سرور همچنین مسئول مدیریت امور چاپگر نیز هست.
هنگامی که یک کاربر درخواست دسترسی به فایلی واقع در سرور را ارسال می کند، کامپیوتر سرور نسخه ای از فایل کامل را برای آن کاربر ارسال می کند. بدین ترتیب کاربر می تواند به صورت محلی، یعنی روی کامپیوتر خود این فایل را ویرایش کند.
کامپیوتر سرویس دهنده چاپ، مسئول دریافت درخواست های کاربران برای چاپ اسناد است. این سرور این درخواست ها را در یک صف قرار می دهد و به نوبت آن ها را به چاپگر ارسال می کند. این فرآیند Spooling نام دارد. به کمک Spooling کاربران می توانند بدون نیاز به انتظار برای اجرای فرمان Print به فعالیت برروی کامپیوتر خود ادامه دهند.
نوع دیگر سرور، Application Server نام دارد. این سرور مسئول اجرای برنامه های Client/Server و تامین داده های سرویس گیرنده است. سرویس دهنده ها، حجم زیادی از اطلاعات را در خود نگهداری می کنند. برای امکان بازیابی سریع و ساده اطلاعات، این داده ها در یک ساختار مشخص ذخیره می شوند. هنگامی که کاربری درخواستی را به چنین سرویس دهنده ای ارسال می کند. سرور نتیجه درخواست را به کامپیوتر کاربر انتقال می دهد. به عنوان مثال یک شرکت بازاریابی را در نظر بگیرید. این شرکت در نظر دارد تا برای مجموعه ای از محصولات جدید خود تبلیغ کند. این شرکت می تواند برای کاهش حجم ترافیک، برای مشتریان با طیف درآمدهای مشخص، فقط گروهی از محصولات را تبلیغ نماید.
علاوه بر سرور های یاد شده، در یک شبکه می توان برای خدماتی از قبیل پست الکترونیک، فکس، سرویس های دایرکتوری و غیره نیز سرورهایی اختصاص داد. اما بین سرور های فایل و Application Server ها تفاوت های مهمی نهفته است. یک سرور فایل در پاسخ به درخواست کاربر برای دسترسی به یک فایل، یک نسخه کامل از فایل را برای او ارسال می کند درحالی که یک Application Server فقط نتایج درخواست کاربر را برای وی ارسال می نماید.
تقسیم بندی شبکه
تقسیم بندی براساس گستره جغرافیایی (Range): شبکه های کامپیوتری براساس موقعیت و محل نصب دارای انواع متفاوتی هستند. یکی از مهمترین عوامل تعیین نوع شبکه مورد نیاز، طول فواصل ارتباطی بین اجزای شبکه است.
شبکه های کامپیوتری گستره جغرافیایی متفاوتی دارند که از فاصله های کوچک در حدود چند متر شروع شده و در بعضی از مواقع از فاصله بین چند کشور بالغ می شود. شبکه های کامپیوتری براساس حداکثر فاصله ارتباطی آنها به سه نوع طبقه بندی می شوند. یکی از انواع شبکه های کامپیوتری، شبکه محلی (LAN) یا Local Area Network است. این نوع از شبکه دارای فواصل کوتاه نظیر فواصل درون ساختمانی یا حداکثر مجموعه ای از چند ساختمان است. برای مثال شبکه مورد استفاده یک شرکت را در نظر بگیرید. در این شبکه حداکثر فاصله بین کامپیوتر ها محدود به فاصله های بین طبقات ساختمان شرکت می باشد.
در شبکه های LAN کامپیوترها در سطح نسبتاً کوچکی توزیع شده اند و معمولاً توسط کابل به هم اتصال می یابند. به همین دلیل شبکه های LAN را گاهی به تسامح شبکه های کابلی نیز می نامند.
نوع دوم شبکه های کامپیوتری، شبکه های شهری MAN یا Metropolitan Area Network هستند. فواصل در شبکه های شهری از فواصل شبکه های LAN بزرگتر است و چنین شبکه هایی دارای فواصلی در حدود ابعاد شهری هستند. شبکه های MAN معمولاً از ترکیب و ادغام دو یا چند شبکه LAN به وجود می آیند. به عنوان مثال از شبکه های MAN موردی را در نظر بگیرید که شبکه های LAN یک شهر را از دفتر مرکزی در شهر A به دفتر نمایندگی این شرکت در شهر B متصل می سازد.
در نوع سوم شبکه های کامپیوتری موسوم به WAN یا (Wide Area Network) یا شبکه های گسترده، فواصل از انواع دیگر شبکه بیشتر بوده و به فاصله هایی در حدود ابعاد کشوری یا قاره ای بالغ می شود. شبکه های WAN از ترکیب چندین شبکه LAN یا MAN ایجاد می گردند. شبکه اتصال دهنده دفاتر هواپیمایی یک شرکت در شهرهای مختلف چند کشور، یک یک شبکه WAN است.

تقسیم بندی براساس گره (Node): این نوع از تقسیم بندی شبکه ها براساس ماهیت گره ها یا محل های اتصال خطوط ارتباطی شبکه ها انجام می شود. در این گروه بندی شبکه ها به دو نوع تقسیم بندی می شوند. تفاوت این دو گروه از شبکه ها در قابلیت های آن نهفته است. این دو نوع اصلی از شبکه ها، شبکه هایی از نوع نظیر به نظیر (Peer to Peer) و شبکه های مبتنی بر Server یا Server Based نام دارند.
در یک شبکه نظیر به نظیر یا Peer to Peer، بین گره های شبکه هیچ ترتیب یا سلسله مراتبی وجود ندارد و تمام کامپیوتر های واقع در شبکه از اهمیت یا اولویت یکسانی برخوردار هستند. به شبکه Peer to Peer یک گروه کاری یا Workgroup نیز گفته می شود. در این نوع از شبکه ها هیچ کامپیوتری در شبکه به طور اختصاصی وظیفه ارائه خدمات همانند سرور را ندارد. به این جهت هزینه های این نوع شبکه پایین بوده و نگهداری از آنها نسبتاً ساده می باشد. در این شبکه ها براساس آن که کدام کامپیوتر دارای اطلاعات مورد نیاز دیگر کامپیوتر هاست، همان دستگاه نقش سرور را برعهده می گیرد. و براساس تغییر این وضعیت در هر لحظه هر یک از کامپیوتر ها می توانند سرور باشند. و بقیه سرویس گیرنده. به دلیل کارکرد دوگانه هر یک از کامپیوتر ها به عنوان سرور و سرویس گیرنده، هر کامپیوتر در شبکه لازم است تا بر نوع کارکرد خود تصمیم گیری نماید. این فرآیند تصمیم گیری، مدیریت ایستگاه کاری یا سرور نام دارد. شبکه هایی از نوع نظیر به نظیر مناسب استفاده در محیط هایی هستند که تعداد کاربران آن بیشتر از 10 کاربر نباشد.
سیستم عامل هایی نظیر Windows NT Workstation، Windows 9X یا Windows for Workgroup نمونه هایی از سیستم عامل های با قابلیت ایجاد شبکه های نظیر به نظیر هستند. در شبکه های نظیر به نظیر هر کاربری تعیین کننده آن است که در روی سیستم خود چه اطلاعاتی می تواند در شبکه به اشتراک گذاشته شود. این وضعیت همانند آن است که هر کارمندی مسئول حفظ و نگهداری اسناد خود می باشد.
در نوع دوم شبکه های کامپیوتری یعنی شبکه های مبتنی بر سرور، به تعداد محدودی از کامپیوتر ها وظیفه عمل به عنوان سرور داده می شود. در سازمان هایی که دارای بیش از 10 کاربر در شبکه خود هستند، استفاده از شبکه های Peer to Peer نامناسب بوده و شبکه های مبتنی بر سرور ترجیح داده می شوند. در این شبکه ها از سرور اختصاصی برای پردازش حجم زیادی از درخواست های کامپیوترهای سرویس گیرنده استفاده می شود و آنها مسئول حفظ امنیت اطلاعات خواهند بود. در شبکه های مبتنی بر سرور، مدیر شبکه، مسئول مدیریت امنیت اطلاعات شبکه است و بر تعیین سطوح دسترسی به منابع شبکه مدیریت می کند. بدلیل اینکه اطلاعات در چنین شبکه هایی فقط روی کامپیوتر یا کامپیوتر های سرور متمرکز می باشند، تهیه نسخه های پشتیبان از آنها ساده تر بوده و تعیین برنامه زمانبندی مناسب برای ذخیره سازی و تهیه نسخه های پشتیبان از اطلاعات به سهولت انجام می پذیرد. در چنین شبکه هایی می توان اطلاعات را روی چند سرور نگهداری نمود، یعنی حتی در صورت از کار افتادن محل ذخیره اولیه اطلاعات (کامپیوتر سرور اولیه)، اطلاعات همچنان در شبکه موجود بوده و سیستم می تواند به صورت روی خط به کارکردخود ادامه دهد. به این نوع از سیستم ها Redundancy Systems یا سیستم های یدکی می گویند.
برای بهره گیری از مزایای هر دو نوع از شبکه ها، معمولاً سازمان ها از ترکیبی از شبکه های نظیر به نظیر و مبتنی بر سرور استفاده می کنند. این نوع از شبکه ها، شبکه های ترکیبی یا Combined Network نام دارند. در شبکه های ترکیبی دو نوع سیستم عامل برای تامین نیازهای شبکه مورد استفاده قرار می گیرند. به عنوان مثال یک سازمان می تواند از سیستم عامل Windows NT Server برای به اشتراک گذاشتن اطلاعات مهم و برنامه های کاربردی در شبکه خود استفاده کنند. در این شبکه، کامپیوتر های Client می توانند از سیستم عامل ویندوز 95 استفاده کنند. در این وضعیت، کامپیوتر ها می توانند ضمن قابلیت دسترسی به اطلاعات سرور ویندوز NT، اطلاعات شخصی خود را نیز با دیگر کاربران به اشتراک بگذارند.

تقسیم بندی شبکه ها براساس توپولوژی: نوع آرایش یا همبندی اجزای شبکه بر مدیریت و قابلیت توسعه شبکه نیز تاثیر می گذارد. برای طرح بهترین شبکه از جهت پاسخگویی به نیازمندی ها، درک انواع آرایش شبکه دارای اهمیت فراوانی است. انواع همبندی شبکه، بر سه نوع توپولوژی استوار شده است. این انواع عبارتند از: توپولوژی خطی یا BUS، حلقه ای یا RING و ستاره ای یا STAR.
توپولوژی BUS ساده ترین توپولوژی مورد استفاده شبکه ها در اتصال کامپیوتر ها است. در این آرایش تمام کامپیوتر ها به صورت ردیفی به یک کابل متصل می شوند. به این کابل در این آرایش، بستر اصلی (Back Bone) یا قطعه (Segment) اطلاق می شود. در این آرایش، هر کامپیوتر آدرس یا نشانی کامپیوتر مقصد را به پیام خودافزوده و این اطلاعات را به صورت یک سیگنال الکتریکی روی کابل ارسال می کند. این سیگنال توسط کابل به تمام کامپیوتر های شبکه ارسال می شود. کامپیوتر هایی که نشانی آن ها با نشانی ضمیمه شده به پیام انطباق داشته باشد، پیام را دریافت می کنند. در کابل های ارتباط دهنده کامپیوتر های شبکه، هر سیگنال الکتریکی پس از رسیدن به انتهای کابل، منعکس شده و دوباره در مسیر مخالف در کابل به حرکت در می آید. برای جلوگیری از انعکاس سیگنال در انتهای کابل ها، از یک پایان دهنده یا Terminator استفاده می شود. فراموش کردن این قطعه کوچک گاهی موجب از کار افتادن کل شبکه می شود. در این آرایش شبکه، در صورت از کار افتادن هر یک از کامپیوتر ها آسیبی به کارکرد کلی شبکه وارد نخواهد شد. در برابر این مزیت اشکال این توپولوژی در آن است که هر یک از کامپیوتر ها باید برای ارسال پیام منتظر فرصت باشد. به عبارت دیگر در این توپولوژی در هر لحظه فقط یک کامپیوتر می تواند پیام ارسال کند. اشکال دیگر این توپولوژی در آن است که تعداد کامپیوتر های واقع در شبکه تاثیر معکوس و شدیدی بر کارایی شبکه می گذارد. در صورتی که تعداد کاربران زیاد باشد، سرعت شبکه به مقدار قابل توجهی کند می شود. علت این امر آن است که در هر لحظه یک کامپیوتر باید برای ارسال پیام مدت زمان زیادی به انتظار بنشیند. عامل مهم دیگری که باید در نظر گرفته شود آن است که در صورت آسیب دیدگی کابل شبکه، ارتباط در کل شبکه قطع شود.
آرایش نوع دوم شبکه های کامپیوتری، آرایش ستاره ای است. در این آرایش تمام کامپیوتر های شبکه به یک قطعه مرکزی به نام Hub متصل می شوند. در این آرایش اطلاعات قبل از رسیدن به مقصد خود از هاب عبور می کنند. در این نوع از شبکه ها در صورت از کار افتادن یک کامپیوتر یا بر اثر قطع شدن یک کابل، شبکه از کار خواهد افتاد. از طرف دیگر در این نوع همبندی، حجم زیادی از کابل کشی مورد نیاز خواهد بود، ضمن آنکه بر اثر از کار افتادن هاب، کل شبکه از کار خواهد افتاد.
سومین نوع توپولوژی، حلقه ای نام دارد. در این توپولوژی همانند آرایش BUS، تمام کامپیوتر ها توسط یک کابل به هم متصل می شوند. اما در این نوع، دو انتهای کابل به هم متصل می شود و یک حلقه تشکیل می گردد. به این ترتیب در این آرایش نیازی به استفاده از قطعه پایان دهنده یا Terminator نخواهد بود. در این نوع از شبکه نیز سیگنال های مخابراتی در طول کابل حرکت کرده و از تمام کامپیوتر ها عبور می کنند تا به کامپیوتر مقصد برسند. یعنی تمام کامپیوتر ها سیگنال را دریافت کرده و پس از تقویت، آن را به کامپیوتر بعدی ارسال می کنند. به همین جهت به این توپولوژی، توپولوژی فعال یا Active نیز گفته می شود. در این توپولوژی در صورت از کار افتادن هر یک از کامپیوتر ها، کل شبکه از کار خواهد افتاد، زیرا همانطور که گفته شده هر کامپیوتر وظیفه دارد تا سیگنال ارتباطی (که به آن نشانه یا Token نیز گفته می شود) را دریافت کرده، تقویت کند و دوباره ارسال نماید. این حالت را نباید با دریافت خود پیام اشتباه بگیرد. این حالت چیزی شبیه عمل رله در فرستنده های تلوزیونی است.
از ترکیب توپولوژی های ستاره ای، حلقه ای و خطی، یک توپولوژی ترکیبی (Hybrid) به دست می آید. از توپولوژی هیبرید در شبکه های بزرگ استفاده می شود. خود توپولوژی هیبرید دارای دو نوع است. نوع اول توپولوژی خطی - ستاره ای نام دارد. همانطور که از نام آن بر می آید، در این آرایش چندین شبکه ستاره ای به صورت خطی به هم ارتباط داده می شوند. در این وضعیت اختلال در کارکرد یک کامپیوتر، تاثیر در بقیه شبکه ایجاد نمی کند. ضمن آنکه در صورت از کار افتادن هاب فقط بخشی از شبکه از کار خواهد افتاد. در صورت آسیب دیدگی کابل اتصال دهنده هاب ها، فقط ارتباط کامپیوتر هایی که در گروه های متفاوت هستند قطع خواهد شد و ارتباط داخلی شبکه پایدار می ماند.
نوع دوم نیز توپولوژی ستاره ای - حلقه ای نام دارد. در این توپولوژی هاب های چند شبکه از نوع حلقه ای در یک الگوی ستاره ای به یک هاب مرکزی متصل می شوند.
امنیت شبکه
یکی از مهم ترین فعالیت های مدیر شبکه، تضمین امنیت منابع شبکه است. دسترسی غیر مجاز به منابع شبکه و یا ایجاد آسیب عمدی یا غیر عمدی به اطلاعات، امنیت شبکه را مختل می کند. از طرف دیگر امنیت شبکه نباید آنچنان باشد که کارکرد عادی کاربران را مشکل سازد.
برای تضمین امنیت اطلاعات و منابع سخت افزاری شبکه، از دو مدل امنیت شبکه استفاده می شود. این مدل ها عبارتند از: امنیت در سطح اشتراک (Share-Level) و امنیت در سطح کاربر (User-Level). در مدل امنیت در سطح اشتراک، این عمل با انتساب اسم رمز یا Password برای هر منبع به اشتراک گذاشته تامین می شود. دسترسی به منابع مشترک فقط هنگامی برقرار می گردد که کاربر اسم رمز صحیح را برای منبع به اشتراک گذاشته شده را به درستی بداند.
به عنوان مثال اگر سندی قابل دسترسی برای سه کاربر باشد، می توان با نسبت دادن یک اسم رمز به این سند مدل امنیت در سطح Share-Level را پیاده سازی کرد. منابع شبکه را می توان در سطوح مختلف به اشتراک گذاشت. برای مثال در سیستم عامل ویندوز ۹۵ می توان دایرکتوری ها را بصورت فقط خواندنی (Read Only)، برحسب اسم رمز یا به شکل کامل (Full) به اشتراک گذاشت. از مدل امنیت در سطح Share-Level می توان برای ایجاد بانک های اطلاعاتی ایمن استفاده کرد.
در مدل دوم یعنی امنیت در سطح کاربران، دسترسی کاربران به منابع به اشتراک گذاشته شده با دادن اسم رمز به کاربران تامیین می شود. در این مدل کاربران در هنگام اتصال به شبکه باید اسم رمز و کلمه عبور را وارد نمایند. در اینجا سرور مسئول تعیین اعتبار اسم رمز و کلمه عبور است. سرور در هنگام دریافت درخواست کاربر برای دسترسی به منبع به اشتراک گذاشته شده، به بانک اطلاعاتی خود مراجعه کرده و درخواست کاربر را رد یا قبول می کند.
تفاوت این دو مدل در آن است که در مدل امنیت در سطح Share-Level، اسم رمز به منبع نسبت داده شده و در مدل دوم اسم رمز و کلمه عبور به کاربر نسبت داده می شود. بدیهی است که مدل امنیت در سطح کاربر بسیار مستحکم تر از مدل امنیت در سطح اشتراک است. بسیاری از کاربران به راحتی می توانند اسم رمز یک منبع را به دیگران بگویند. اما اسم رمز و کلمه عبور شخصی را نمی توان به سادگی به شخص دیگری منتقل کرد.
آشنایی با مدل OSI (هفت لایه شبکه)
هر فعالیتی در شبکه مستلزم ارتباط بین نرم افزار و سخت افزار کامپیوتر و اجزای دیگر شبکه است. انتقال اطلاعات بین کامپیوترهای مختلف در شبکه وابسته به انتقال اطلاعات بین بخش های نرم افزاری و سخت افزاری درون هر یک از کامپیوتر هاست. هر یک از فرایند های انتقال اطلاعات را می توان به بخش های کوچک تری تقسیم کرد. هر یک از این فعالیت های کوچک را سیستم عامل براساس دسته ای از قوانین مشخص انجام می دهد. این قوانین را پروتکل می نامند. پروتکل ها تعیین کننده روش کار در ارتباط بین بخش های نرم افزاری و سخت افزاری شبکه هستند. بخش های نرم افزاری و سخت افزاری تولیدکنندگان مختلف دارای مجموعه پروتکل های متفاوتی می باشند. برای استاندارد سازی پروتکل های ارتباطی، سازمان استاندارد های بین المللی (ISO) در سال 1984 اقدام به تعیین مدل مرجع OSI یا Open Systems Interconnection نمود. مدل مرجع OSI ارائه دهنده چارچوب طراحی محیط های شبکه ای است. در این مدل، جزئیات بخش های نرم افزاری و سخت افزاری برای ایجاد سهولت انتقال اطلاعات مطرح شده است و در آن کلیه فعالیت های شبکه ای در هفت لایه مدل سازی می شود. هنگام بررسی فرآیند انتقال اطلاعات بین دو کامپیوتر، مدل هفت لایه ای OSI روی هر یک از کامپیوتر ها پیاده سازی می گردد. در تحلیل این فرآیند ها می توان عملیات انتقال اطلاعات را بین لایه های متناظر مدل OSI واقع در کامپیوتر های مبدا و مقصد در نظر گرفت. این تجسم از انتقال اطلاعات را انتقال مجازی (Virtual) می نامند. اما انتقال واقعی اطلاعات بین لایه های مجاور مدل OSI واقع در یک کامپیوتر انجام می شود. در کامپیوتر مبدا اطلاعات از لایه فوقانی به طرف لایه تحتانی مدل OSI حرکت کرده و از آنجا به لایه زیرین مدل OSI واقع در کامپیوتر مقصد ارسال می شوند. در کامپیوتر مقصد اطلاعات از لایه های زیرین به طرف بالاترین لایه مدل OSI حرکت می کنند. عمل انتقال اطلاعات از یک لایه به لایه دیگر در مدل OSI از طریق واسطه ها یا Interface ها انجام می شود. این واسطه ها تعیین کننده سرویس هایی هستند که هر لایه مدل OSI می تواند برای لایه مجاور فراهم آورد.
بالاترین لایه مدل OSI یا لایه هفت، لایه کاربرد یا Application است. این لایه تامیین کننده سرویس های پشتیبانی برنامه های کاربردی نظیر انتقال فایل، دسترسی به بانک اطلاعاتی و پست الکترونیکی است.
لایه شش، لایه نمایش یا Presentation است. این لایه تعیین کننده فرمت یا قالب انتقال داده ها بین کامپیوتر های واقع در شبکه است. این لایه در کامپیوتر مبدا داده هایی که باید انتقال داده شوند را به یک قالب میانی تبدیل می کند. این لایه در کامپیوتر مقصد اطلاعات را از قالب میانی به قالب اولیه تبدیل می کند.
لایه پنجم در این مدل، لایه جلسه یا Session است. این لایه بر برقراری اتصال بین دو برنامه کاربردی روی دو کامپیوتر مختلف واقع در شبکه نظارت دارد. همچنین تامین کننده همزمانی فعالیت های کاربر نیز هست.
لایه چهارم یا لایه انتقال (Transmission) مسئول ارسال و دریافت اطلاعات و کمک به رفع خطاهای ایجاد شده در طول ارتباط است. هنگامی که حین یک ارتباط خطایی بروز دهد، این لایه مسئول تکرار عملیات ارسال داده است.
لایه سوم در مدل OSI، مسئول آدرس یا نشانی گذاری پیام ها و تبدیل نشانی های منطقی به آدرس های فیزیکی است. این لایه همچنین مسئول مدیریت بر مشکلات مربوط به ترافیک شبکه نظیر کند شدن جریان اطلاعات است. این لایه، لایه شبکه یا Network نام دارد.
لایه دوم مدل OSI، لایه پیوند یا Data Link است. این لایه وظیفه دارد تا اطلاعات دریافت شده از لایه شبکه را به قالبی منطقی به نام فریم (Frame) تبدیل کند. در کامپیوتر مقصد این لایه همچنین مسئول دریافت بدون خطای این فریم ها است.
لایه زیرین در این مدل، لایه فیزیکی یا Physical است. این لایه اطلاعات را بصورت جریانی از رشته های داده ای و بصورت الکترونیکی روی کابل هدایت می کند. این لایه تعریف کننده ارتباط کابل و کارت شبکه و همچنین تعیین کننده تکنیک ارسال و دریافت داده ها نیز هست.
پروتکل ها
فرآیند به اشتراک گذاشتن اطلاعات نیازمند ارتباط همزمان شده ای بین کامپیوتر های شبکه است. برای ایجاد سهولت در این فرایند، برای هر یک از فعالیت های ارتباط شبکه ای، مجموعه ای از دستور العمل ها تعریف شده است. هر دستور العمل ارتباطی یک پروتکل یا قرارداد نام دارد. یک پروتکل تامین کننده توصیه هایی برای برقراری ارتباط بین اجزای نرم افزاری و سخت افزاری در انجام یک فعالیت شبکه ای است. هر فعالیت شبکه ای به چندین مرحله سیستماتیک تفکیک می شود. هر مرحله با استفاده از یک پروتکل منحصر به فرد، یک عمل مشخص را انجام می دهد. این مراحل باید با ترتیب یکسان در تمام کامپیوترهای واقع در شبکه انجام شوند. در کامپیوتر مبدا مراحل ارسال داده از لایه بالایی شروع شده و به طرف لایه زیرین ادامه می یابد. در کامپیوتر مقصد مراحل مشابه در جهت معکوس از پایین به بالا انجام می شود. در کامپیوتر مبدا، پروتکل اطلاعات را به قطعات کوچک شکسته، به آن ها آدرس هایی نسبت می دهند و قطعات حاصله یا بسته ها را برای ارسال از طریق کابل آماده می کنند. در کامپیوتر مقصد، پروتکل ها داده ها را از بسته ها خارج کرده و به کمک نشانی های آن ها بخش های مختلف اطلاعات را با ترتیب صحیح به هم پیوند می دهند تا اطلاعات به صورت اولیه بازیابی شوند.
پروتکل های مسئول فرآیندهای ارتباطی مختلف برای جلوگیری از تداخل و یا عملیات ناتمام، لازم است که به صورت گروهی به کار گرفته شوند. این عمل به کمک گروهبندی پروتکل های مختلف در یک معماری لایه ای به نام Protocol Stack یا پشته پروتکل انجام می گیرد. لایه های پروتکل های گروه بندی شده با لایه های مدل OSI انطباق دارند. هر لایه در مدل OSI پروتکل مشخصی را برای انجام فعالیت های خود بکار می برد. لایه های زیرین در پشته پروتکل ها تعیین کننده راهنمایی برای اتصال اجزای شبکه از تولیدکنندگان مختلف به یکدیگر است.
لایه های بالایی در پشته پروتکل ها تعیین کننده مشخصه های جلسات ارتباطی برای برنامه های کاربردی می باشند. پروتکل ها براساس آن که به کدام لایه از مدل OSI متعلق باشند، سه نوع طبقه بندی می شوند. پروتکل های مربوط به سه لایه بالایی مدل OSI به پروتکل های Application یا کاربرد معروف هستند. پروتکل های لایه Application تامیین کننده سرویس های شبکه در ارتباط بین برنامه های کاربردی با یکدیگر هستند. این سرویس ها شامل انتقال فایل، چاپ، ارسال پیام و سرویس های بانک اطلاعاتی هستند. پروتکل های لایه نمایش یا Presentation وظیفه قالب بندی و نمایش اطلاعات را قبل از ارسال بر عهده دارند. پروتکل های لایه جلسه یا Session اطلاعات مربوط به جریان ترافیک را به داده ها اضافه می کنند.
پروتکل های نوع دوم که به پروتکل های انتقال (Transparent) معروف هستند، منطبق بر لایه انتقال مدل OSI هستند. این پروتکل ها اطلاعات مربوط به ارسال بدون خطا یا در واقع تصحیح خطا را به داده ها می افزایند. وظایف سه لایه زیرین مدل OSI بر عهده پروتکل های شبکه است. پروتکل های لایه شبکه تامیین کننده فرآیندهای آدرس دهی و مسیریابی اطلاعات هستند. پروتکل های لایه Data Link اطلاعات مربوط به بررسی و کشف خطا را به داده ها اضافه می کنند و به درخواست های ارسال مجدد اطلاعات پاسخ می گویند. پروتکل های لایه فیزیکی تعیین کننده استاندارد های ارتباطی در محیط مشخصی هستند.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در دوشنبه دوم بهمن ۱۳۹۱ ساعت 9:39 توسط حسين دقاق زاده  | 

امنیت شبکه


مفاهیم امنیت شبکه

امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:

1- شناسایی بخشی که باید تحت محافظت قرار گیرد.

2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3- تصمیم گیری درباره چگونگی تهدیدات

4- پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف



مفاهیم امنیت شبکه

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه می پردازیم.



1- منابع شبکه

در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

1- تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها

2- اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.

3- منابع نامحسوس شبکه مانند عرض باند و سرعت

4- اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی

5- ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.

6- اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان

7- خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.

مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.



2- حمله

حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:

1- دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه

2- دستکاری غیرمجاز اطلاعات بر روی یک شبکه

3- حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.

کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:

1- ثابت کردن محرمانگی داده

2- نگهداری جامعیت داده

3- نگهداری در دسترس بودن داده



3- تحلیل خطر

پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :

1- احتمال انجام حمله

2- خسارت وارده به شبکه درصورت انجام حمله موفق



4- سیاست امنیتی

پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:

1- چه و چرا باید محافظت شود.

2- چه کسی باید مسئولیت حفاظت را به عهده بگیرد.

3- زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.

سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:

1- مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

2- محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.

معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.



5- طرح امنیت شبکه

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :

1- ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH

2- فایروالها

3- مجتمع کننده های VPN برای دسترسی از دور

4- تشخیص نفوذ

5- سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه

6- مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه



6- نواحی امنیتی

تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود.

نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.

1- تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

2- سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.

3- سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.

4- استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.

برچسب‌ها: امنیت شبکه به زبان ساده بررسی انواع تهدیدها بررس
+ نوشته شده در دوشنبه دوم بهمن ۱۳۹۱ ساعت 9:34 توسط حسين دقاق زاده  | 

روش‌های نگهداری مطمئن اطلاعات خانوادگی در وسایل جدید ارتباطی

روش‌های نگهداری مطمئن اطلاعات خانوادگی در وسایل جدید ارتباطی

چهارشنبه 9 شهريور 1390 - ساعت 16:45

به رغم رعایت موارد امنیتی از قبیل استفاده از نرم‌افزارهای رمزسازی و نصب کلمات رمز عبور‌،‌ باز هم مواردی چند از نفوذگران به شبکه‌های کامپیوتری سازمان‌های معروف و حتی کامپیوتر افراد عادی در اخبار منتشر می‌شود.
کارشناسان به استفاده‌کنندگان از کامپیوتر همواره هشدار می‌دهند مراقب نفوذ رخنه‌گران باشند و در نگهداری اطلاعات خصوصی خود‌‌، حداکثر هوشیاری را به خرج دهند. آنان برای کاربران کامپیوتر توصیه‌های ساده‌ای دارند که پیروی از آنها می‌تواند تا حد قابل توجهی جلو دست‌درازی دیگران را به اطلاعات شخصی بگیرد. 
موقعیت‌های خطرآفرین
کسانی که از تلفن‌های همراه دوربین‌دار برای فیلمبرداری استفاده می‌کنند، اغلب فیلم‌ها را در حافظه آن نگهداری می‌کنند. اکثر قریب به اتفاق گوشی‌ها به جز شماره pin اولیه که برای روشن کردن دستگاه لازم است، هیچ‌گونه قابلیت ایمنی ندارند. 
به یاد داشته باشید چنانچه فیلم مورد نظر شما خصوصی است، آن را در حافظه تلفن نگه ندارید. هرچه زودتر آن را به حافظه کامپیوتر منتقل کنید و سپس به روش‌هایی که در ادامه مطلب توضیح داده شده است، آن را ایمن کنید. فایل فیلم را هم از حافظه گوشی پاک کنید.
اتصال کامپیوتر به شبکه اینترنت از جمله مواردی است که می‌تواند باعث نفوذ رخنه‌گران به کامپیوتر شخصی شود. باز کردن پیوست‌های ناشناس ای‌میل‌ها یکی از تهدیدآمیزترین کارهاست که قویا باید از آن پرهیز کرد.
انواع و اقسام برنامه وجود دارد که می‌تواند در کار کامپیوتر اخلال کند یا اطلاعات داخل آن را به جا‌های دیگر ارسال کند. ویروس فقط یک تهدید است.
چه کار کنیم؟به طور کلی،‌ برای ایمن‌سازی فایل‌ها و پوشه‌ها (فولدرها) می‌توان یا از ابزار موجود در خود این نرم‌افزارها استفاده کرد یا نرم‌افزارهای مختص رمزسازی را به کار گرفت. ابتدا به قابلیت‌های خود نرم‌افزارها می‌پردازیم. 
چنانچه اطلاعات مورد نظر شما به صورت فایل Word است (مثلاً نامه یا سند)،‌ می‌توانید به سادگی برای آن رمز بگذارید. برای این منظور ابتدا آن فایل را باز کنید و روی Tools در نوار بالا کلیک کنید. سپس روی Options بیایید.
صفحه‌ای برابر شما پدیدار می‌شود. روی Security کلیک کنید. در این بخش دو مستطیل خالی دیده می‌شود که باید کلمه عبور را در آنها وارد کنید. سپس روی OK کلیک کنید. حالا اگر فایل را ببندید،‌ بازکردن و خواندن آن نیازمند کلمه عبوری است که وارد کرده‌اید. در صورتی که اطلاعات به شکل فایل صوتی و تصویری است،‌ بهتر است ابتدا پوشه‌ای درست کنید و ‌آن را در پوشه قرار دهید.
در اینجا بسته به اینکه دقیقاً از چه نوع سیستم عاملی استفاده می‌کنید،‌ دو حالت وجود دارد. اگر از ویندوز ایکس‌پی حرفه‌ای استفاده می‌کنید، روی پوشه، راست کلیک کنید و روی نوار عمودی که ظاهر می‌شود، روی Properties بزنید. در صفحه‌ای که می‌آید،‌ دنبال دکمه Advanced بگردید و روی آن کلیک کنید.
در مربع خالی کنار جملهEncrypt contents to secure data  علامت بگذارید. سپس در پایین صفحه OK را بزنید. در این صورت،‌ باز کردن این پوشه مستلزم استفاده از کلمه رمزی است که شما به عنوان کلمه رمز Log خود قبلاً وارد سیستم کرده‌اید. (کلمه رمز Log عمدتاً زمانی به کار می رود که چند نفر به طور مشترک از یک کامپیوتر استفاده می‌کنند). 
در این حالت هر کس می‌تواند برای خود یک Account  جداگانه تعریف کند و با واردکردن کلمه رمز Log خود وارد کامپیوتر شود تا اطلاعات ذخیره شده خود قابل دسترسی توسط دیگر کاربران نباشد. اگر می‌خواهید برای خود Account جداگانه درست کنید، به قسمت Control Panel بروید و روی علامت User Accounts کلیک کنید و دستورالعمل لازم را گام به گام اجرا کنید. از آن پس، می‌توانید با کلمه رمز Log خود وارد کامپیوتر شوید. 
چنانچه از نسخه خانگی ویندوز ایکس‌پی استفاده می‌کنید‌،‌ همین کار با اندکی تفاوت قابل انجام است. باز روی پوشه راست کلیک کنید و مؤس را رویProperties  ببرید و بزنید. در بالای صفحه‌ای که ظاهر می‌شود،‌ روی کلمه Sharing کلیک کنید. در مربع خالی که کنار جمله Make this folder private قرار دارد،‌ با مؤس علامت بگذارید. در پایان در پایین صفحه روی OK بزنید. حالا باز کردن مجدد پوشه مستلزم وارد‌کردن کلمه رمز Log شماست.
نرم‌افزارهای رمزساز 
یک راه کلی دیگر برای حفاظت از اطلاعات، استفاده از نرم‌افزارهای رمزسازی است. برخی از این نرم‌افزارها به صورت رایگان در اینترنت قابل دسترسی است و برخی دیگر را باید خرید.
چند نکته ضروری برای مراقبت از اطلاعات شخصی در وسایل جدید ارتباطیچیزی به اسم حفاظت صددرصد وجود ندارد. به همان تعداد که برنامه‌ها و قابلیت‌هایی برای ایمن‌سازی فایل‌ها و پوشه‌ها وجود دارد،‌ به همان تعداد نیز دستورالعمل برای کشف کلمات رمز وجود دارد. اما روش‌هایی که در اینجا گفته شد،‌ اطلاعات شما را از گزند بیشتر تلاش‌ها برای دستبرد حفظ می‌کند. اما اگر اطلاعات مورد نظر واقعاً اهمیت حیاتی دارد، استفاده از برنامه‌های تجاری شناخته‌شده پیشنهاد می‌شود.
1. با وجودی که فایل‌ها و پوشه‌ها به این شکل حفاظت می‌شوند،‌ این بدان معنا نیست که آنها قابل حذف کردن نباشند،‌ هر چند که برخی برنامه‌های ایمن‌سازی جلوی حذف فایل یا پوشه رمزدار را می‌گیرد.
2. اگر کلمه رمز را فراموش کنید، تمام اطلاعات از بین می‌رود،‌ مگر آنکه حاضر باشید پولی را به افراد وارد بدهید تا قفل آن را بشکنند. باید در حفظ کلمه رمز دقت زیادی کنید. در مورد استفاده از کلمات رمز نیز باید چند ملاحظه را درنظر بگیرید. 
مراقبت سهل‌انگارانه یا ناقص از اطلاعات حیاتی می‌تواند عواقب جبران‌ناپذیری به همراه داشته باشد. هرگز اهمیت ایمن‌سازی اطلاعات در کامپیوتر را دست‌کم نگیرید.
در صورت توجه به تدابیر امنیتی که در اینجا برشمرده شد،‌ می‌توانید با اطمینان قابل قبولی، انواع اطلاعات مکتوب و تصویری خود را در کامپیوتر ذخیره کنید،‌ بدون آنکه از امکان دستبرد دیگران به آنها دچار بیم و هراس باشید. این‌گونه‌، لذت استفاده از دستاوردهای فناوری جدید را حس خواهید کرد.

+ نوشته شده در پنجشنبه بیست و یکم دی ۱۳۹۱ ساعت 11:59 توسط حسين دقاق زاده  | 

شبکه

آشنايي با سرويس‌هاي مخابرات

اشاره :
در جهان امروز فناوري اطلاعات و ارتباطات (ICT) چنان روند رو به رشدي پيدا كرده كه تمامي مسايل فرهنگي، اقتصادي و سياسي را تحت تأثير خود قرار داده است.


مقدمه
با توجه به اينكه ارتباطات جزء لاينفک مقوله فناوري است و به طور کل يك فناوري بنيادي است، در اين مقاله سعي شده ابتدا تعريفي از مسير اصلي شبکه‌ها ارايه شود و سپس به معرفي سرويس‌هاي مختلفي که توسط شرکت مخابرات در سطح کشور به مشتريان ارايه مي‌شود، بپردازيم. در ادامه نيز سرويس MPLS که يکي از بسترها و زيرساخت‌هاي موجود در ايران است، به صورت تخصصي آشنا خواهيم شد.
لازم به ذکر است که بررسي دقيق و تمام ‌وکمال فناوري‌هاي ارتباطاتي و بسترهاي مخابراتي، نياز به فرصتي خارج از حوصله اين مقاله دارد.

مفهوم زیرساخت
زيرساخت يا Backbone مسير اصلي شبکه است که تعداد زيادي داده را به تعدادي خطوط کوچک‌تر منتقل مي‌کند. به عبارت ديگر با خطوط شبکه اصلي(Backbone) ، تعداد زيادي شبکه‌هاي کوچک‌تر به يکديگر متصل مي‌شوند که نتيجه آن شبکه گسترده WAN  است که توسط اتصالاتBackbone ها به يکديگر متصل مي‌شوند.
يکي از نمونه‌‌هاي آن اينترنت است که شامل چندين اتصال با پهناي باند بسيار گسترده مي‌شود و قسمت‌هاي مختلف جهان را به يکديگر متصل مي‌نمايد (جدول 1).

بزرگنمايي
جدول 1: برخي از نقاط اصلي اينترنت

وضعيت زیر‌ساخت در ايران
اگر بخواهيم وضعيت زيرساخت را در ايران بررسي کنيم، بايد Backbone را در ايران تعريف کنيم. بنا بر تعريف فوق، معمولاً ارتباط بین مراکز مخابراتی استان‌ها و همچنين بستر اصلي مخابرات در مرکز استان را Backbone مي‌نامند.
نکته: ارتباط مراکز مخابراتی تا محل مشترک، به لايه دسترسي يا Access معروف است. منظور از مشترک، کاربران اداري و خانگي است.
طبق اظهارات کارشناسان شرکت مخابرات، در حال حاضر در بخش Backbone کشور از فیبر نوری استفاده می‌شود.
نکته: هم‌اکنون به صورت عملی از هر فيبر نوری امکان ارسال ديتا با پهناي باند 320Gbps وجود دارد.
با اقداماتي که در چند سال گذشته صورت گرفته، در استان‌هايي از مسیرهای چندگانه استفاده شده است. بنابراين مي‌توان گفت در حال حاضر مخابرات در بخش Backbone مشکلی ندارد و مشکل اساسی در قسمت Access است.
اما با توجه به اينکه اغلب لايه دسترسي کشور سیمی است، مي‌توان مشترکین را به چند بخش تقسیم کرد:
گروه اول: مشترکيني که از مرکز مخابراتی تا منزل (يا اداره و شرکت) از زوج سیم استفاده مي‌کنند که این دسته براي اینترنت پرسرعت مشکلی ندارند.
گروه دوم: برخي از مشترکین، از زوج سیم به صورت PCM4 استفاده مي‌کنند. به این معنا که ارتباط 4 مشترک از مخابرات به وسیله یک زوج سیم مدوله (Modulation) می‌شود که این ارتباط بین این 4 مشترک به اشتراک گذاشته می‌شود و پهنای باند اختصاص یافته به این زوج سیم، بین این 4 خانواده تقسیم می‌شود. شايان ذکر است هم‌اکنون بیشتر مشترکین این مشکل را دارند و نمی‌توانند از اینترنت پرسرعت مانند ADSL استفاده کنند.
گروه سوم: اين دسته از ترکیبی از زوج سیم و فیبر نوری بهره می‌برند. بدین صورت که از مخابرات منطقه تا کافوي نوري (نزديک مشتري) از فیبر نوری استفاده می‌شود. در کافو هم ديتا به گونه‌اي مدوله می‌شود که ورودی کافو فیبر نوری بوده و خروجی آن سیم مسي است و در ادامه تا منزل مشترک از زوج سیم مسي استفاده می‌شود. لازم به ذکر است در این دسته علي‌رغم استفاده از فيبر نوري، به دليل اينکه در برخي کافوها (نزديک محل مشتري) از تجهيزات قديمي استفاده مي‌شود نمي‌توانند اینترنت پرسرعت را روی آن پیاده‌سازی کرد و در اين کافوها فقط تبادل صوت امکان‌پذير است.

تجهيزات DSLAM در DSL
اگر از يکي از فناوري‌هاي DSL (مثلاً ADSL) براي دريافت اينترنت استفاده مي‌کنيد، حتماً مي‌دانيد که روي يک زوج سيم مي‌توان همزمان از ارتباط تلفني و ارتباط اينترنتي بهره گرفت. اين امکان با وجود DSLAM مخابرات و مودم‌هاي ADSL مشتري قابل دست‌يابي شده است.
(DSLAM (Digital Subscriber Line Access Multiplexer دستگاهي است که در مراکز مخابراتي قرار می‌گیرد و یک ورودی آن دیتا (در حال حاضر منظور اينترنت است) و ورودي دیگر صوت است که این دو را با هم تلفیق کرده و به سمت Access يا همان مشترک ارسال می‌کند. مشترک نيز با استفاده از مودم و splitter (جدا کننده) صوت و دیتا را از هم جدا می‌کند. شايان ذکر است امروزه مودم‌هاي ADSL خودشان Splitter دارند.
در حال حاضر در برخي کافوها تجهيزات DSLAM‌اي نصب شده است که یک ورودی آن که ديتا است از سمت مخابرات و ورودي ديگر که مربوط به صوت است از همان کافو گرفته شده و عملا ديتا و صوت از طريق آن DSLAM به سمت مشترک ارسال مي‌شود. شايان ذکر است از این سرویس در جاهایی که محدودیت وجود دارد، استفاده شده است.

انواع سرويس‌هاي مخابراتي
امروزه سرويس‌هايي که شرکت مخابرات براي ارسال ديتا بين چند نقطه به مشترکين ارايه می‌دهد، عبارتند از اينترانت،
ارتباطات (PTP (Point to Point)، PTMP (Point to Multi Point، اينترنت، VPN/MPLS كه ارايه و مديريت تمامي اين سرويس‌ها و خدمات در مراکز مخابراتی انجام مي‌پذيرد. در ادامه به معرفي مختصر هر يک از اين سرويس‌ها مي‌پردازيم.

معرفي سرویس‌هاي مخابرات
سرويس اينترنت: سرويس دسترسي به شبكه جهاني اينترنت است كه بر همين اساس پهناي باند مورد نياز مشتريان را تأمين مي‌كند. در حال حاضر ظرفيت مورد نياز مشتريان مي‌تواند از 64 كيلوبيت بر ثانيه تا 500 مگابيت بر ثانيه (براساس نياز) ارايه شود.
سرويس VPN/MPLS: عبارت است از شبكه‌هاي مجازي و خصوصي براي مشترکيني مانند بانك‌ها، صندوق‌هاي اعتباري، سازمان‌ها و ارگان‌هاي دولتي و شرکت‌هاي بزرگ.
با اين سرويس که يکي از بهترين سرويس‌هاست، مشترک مي‌تواند بين ساختمان‌هاي خود يك شبكه مجازي و اختصاصي روي شبكه ديتاي كشور براي خود ايجاد ‌كند كه غير از كاربران آن شركت يا سازمان، هيچ کاربر ديگري نمي‌تواند به شبكه آنها دسترسي داشته باشد.
سرویس PTP: سرویس PTP يا نقطه به نقطه از جمله سرويس‌هايي است که شرکت فن‌آوری اطلاعات (زيرمجموعه وزارت ICT) به متقاضیان پهنای باند اختصاصی
(Dedicated Bandwidth) بین دو نقطه در هر استان واگذار می‌کند.
اين سرویس از نوع Base TDM است که در لایه یک (از بستر TDM) و در برخی استان‌ها در لایه 2 (از بستر ATM) به صورت کانال‌هایی با پهنای باند ثابت و مسیر ثابت، از ابتدا تا انتهای نقاط مورد درخواست، تعریف و در اختیار متقاضیان قرار می‌گیرد. پهنای باند قابل ارايه در این نوع سرویس، حداقل 64Kbps و حداکثر 155Mbps است.
سرویس PTMP: سرویس PTMP يا ارتباط نقطه به چند نقطه نيز از نوع TDM Base بوده و همانطور که از نامش پيداست، در اين روش يک نقطه مرکزي با چند نقطه ديگر ارتباط برقرار مي‌کند. برای درک بهتر اين سرويس، مي‌توان توپولوژی ستاره‌اي را در نظر گرفت.
اگر سازماني از دو سرويس PTP و PTMP براي اتصال مراکز خود استفاده نمايد، مي‌تواند سیستم‌های مکانیزه داخلی، اتوماسیون اداری، سرویس‌های ايميل، ويديو کنفرانس و VoIP را بين مراکز خود راه‌اندازي نمايد.

نکته: Time Division Multiplexing) TDM) تقسيم زماني روشي براي انتقال دو يا چند سيگنال روي يك كانال مشترك با تقسيم كانال به دوره‌هاي زماني مختلف است، طوري كه سيگنال‌هاي مختلف ورودي نمونه‌برداري شده و در حوزه زماني مالتي‌پلكس مي‌شوند و يك قطار پالس تركيبي ايجاد مي‌كنند و سيگنال‌ها توسط يك مدار دي‌مالتي‌پلكس دوباره بازسازي و جدا مي‌شوند.
بستر Base TDM در اين جا توسط مخابرات ارايه می‌شود.

سرويس دسترسی به اینترنت: شرکت مخابرات ایران با ایجاد یک شبکه گسترده آيپي در سراسر کشور و فراهم نمودن دروازه‌های پرظرفیت بین‌الملل، از طریق کابل‌های فیبر نوری در مسیرهای مختلف ارتباطی و با اتصال مستقیم به اصلی‌ترین نقاط (IX (Internet Exchange Point دنیا، قابلیت سرویس‌دهی به متقاضیان اینترنت را در سراسر کشور با هر میزان پهنای باند دارد.
معمولاً کاربران خانگي که با مودم‌هاي آنالوگ (معمولي) و از طريق خطوط تلفن
(زوج سيم) به مرکز مخابراتي خود متصل مي‌شوند، پهناي باند تا 64 کيلوبيت بر ثانيه را دريافت مي‌کنند و اگر پهناي باند بيشتري نياز داشته باشند، ارتباطشان تا نزدیک‌ترین مرکز مخابراتي توسط مودم‌های G.SHDSL و از طریق یك سیم مسی برقرار شده و از آن طریق به شبکه آيپي ملی و شبکه اینترنت جهانی مي‌پیوندند و در صورت نیاز به پهنای باند بالاتر از 8 مگابیت بر ثانيه، این ارتباط از طریق فیبر نوری برقرار مي‌شود.
اين سرويس از نوع Packet Base بوده و توسط بستر دیتا در مخابرات تأمین می‌شود.

سرویس دسترسی به شبکه اینترانت: اينترانت شبكه‌اي کامپيوتري است كه از زبان مشترك ارتباطي شبكه جهاني اينترنت براي تبادل داده‌ استفاده مي‌كند و تمام خدمات اينترنت، از جمله پست الكترونيكي، وب، FTP، گروه‌هاي خبري و تله‌كنفرانس را در شبكه‌اي اختصاصي براي کاربران مشخص آن شبكه ارايه مي‌دهد و لزوماً به اينترنت متصل نيست. نظر به ایجاد بستر وسیع آيپي در سطح کشور با گستردگی در مراکز کلیه استان‌ها و همچنین قابلیت دسترسی کلیه شهرها به این شبکه از طریق شبکه‌های دسترسی استانی، شرکت فن‌آوری اطلاعات سرویسی به نام اینترانت به متقاضیان ارايه مي‌دهد که در این سرویس ‌آدرس‌های آيپي اختصاصي داخل کشوري تخصیص داده مي‌شود.
با اتصال متقاضیان به این شبکه (با پهنای باند مورد نیاز) امکان دسترسی به کلیه نودهای داخلی (شامل آدرس‌های معتبر اینترنتی داخل کشور و نیز آدرس‌های خصوصي متصل شده به این شبکه در سراسر کشور) فراهم مي‌شود. تفاوت اساسي ميان شبكه اينترانت و ساير شبكه‌ها در آن است كه اين شبكه براساس پروتكل‌هاي اينترنت نظير TCP/IP و HTTP شكل مي‌گيرد و امكان دسترسي به آن فقط از داخل كشور وجود دارد. هدف اصلي نصب اينترانت‌، تسهيل ارتباطات و اشتراك‌گذاري منابع ارگان‌ها، سازمان‌ها و شرکت‌هاي دولتي داخلي است.
نمونه‌هایی از کاربردهای سرویس اینترانت را مي‌توان اتصال به بستر عمومی آيپي داخل کشور، تأمین بستر ارتباطی جهت ایجاد سیستم‌های مکانیزه داخلی سازمان‌ها و شرکت‌ها در سطح کشور (مانند سیستم‌های اتوماسیون اداری) و نيز تأمین بستر ارتباطی جهت ایجاد شبکه اینترانت داخل سازمانی و ارايه سرویس‌های داخلی E-MAIL، Web، FTP و Messaging برای سازمان‌ها و شرکت‌ها نام برد.

سرویس شبکه خصوصی مجازی
VPN/MPLS Layer3
همزمان با رشد سریع و تکامل فناوري ساخت کامپیوترها، ایده اتصال کامپیوترها به یکدیگر و انتقال داده بین آنها مطرح شد. طرح‌های ابتدایی شبکه‌های کامپیوتری، بسیار پیچیده بوده و هر شرکتي به صورت مجزا شبکه‌ای را طراحی مي‌کرد و معماری‌های مطرح شده در شبکه‌های کامپیوتری شرکت‌های مختلف، هیچ گونه سازگاری با یکدیگر نداشتند. به منظور سازگاری شبکه‌های کامپیوتر، مدل مرجعی به نام مدل مرجع OSI ارايه شد که تا حدی مشکل عدم ناسازگاری معماری‌های مختلف شبکه‌های کامپیوتری را مرتفع ساخت. با گذشت زمان، ایده اتصال شبکه‌ها به یکدیگر گسترش توسعه يافت. در ابتدا گروه DARPA پروژه‌اي تحقیقاتی را در زمینه اتصال ابرکامپیوترها به یکدیگر و پیاده‌سازی ارتباط شبکه‌ای آغاز کرد که در نهایت منجر به گسترش و پیاده‌سازی شبکه جهانی اینترنت شد.
رشد سریع شبکه جهانی اینترنت و عمومیت يافتن این شبکه‌ها باعث شد که اینترنت در سراسر جهان گسترش یابد. به گونه‌ای که درخواست استفاده از پروتکل اینترنت به صورت تصاعدي رو به افزایش است. بنابراین در حال حاضر یکی از مسايل مطرح و مهم در شبکه، مربوط به سرعت بخشیدن به انتقال ترافیک آيپي و ایجاد کیفیت سرویس در شبکه اینترنت است.
در این رابطه مدل‌های متفاوتی با هدف پیاده‌سازی مناسب‌تر روش‌های کیفیت سرویس ارايه شده است. یکی از راه‌های مناسب برای این امر، انتقال اطلاعات آيپي از طریق سويیچ‌های ATM است که در سال‌های گذشته از آن به صورت وسیع استفاده ‌شده است. اما به دلیل مشکلاتی که در اين روش انتقال وجود دارد، روشMPLS  يا Multi Protocol Label Switching جایگزین آن شده است.
MPLS مقیاس پذیری و کارآیی شبکه‌های موجود آيپي را بهبود بخشیده و ارايه سرویس‌های جدیدي که در شبکه‌های سنتی آيپي قابل دسترسی نبوده را میسر ساخته است.

MPLS چيست؟
MPLS ترکیبی از تکنیک‌های هدايت (Forward) اتصال‌گرا و پروتکل‌های مسیریابی اینترنت است. MPLS این خاصیت را ایجاد مي‌کند که بتواند هر نوع ترافیکی را روی شبکه آيپي گسترده بدون وابستگی به محدودیت‌های مختلف پروتکل‌های مسیریابی و طرح‌های لایه انتقال و آدرس‌دهی اجرا کند. دو مشخصه MPLS امکان سويیچ ترافیک از طریق مسیریاب‌های آيپي و اختصاص همزمان برچسب و پارامترهای مهندسی ترافیک است.
نکته قابل توجه اين است که امروزه سرویس VPN مبتنی بر فناوري MPLS امکان ایجاد شبکه‌های اختصاصی مجازی در گستره شبکه IP/MPLS در مراکز 30 استان کشور را برای مشتریان فراهم مي‌نماید.
با توجه به قابلیت‌ها و ویژگی‌های نوین فناوري مذکور، این سرویس جایگزین سرویس PTMP برای ارتباطات بین استانی شده و در آینده با گسترش شبکه IP/MPLS در کلیه شهرستان‌های استان‌ها، امکان جایگزینی سرویس PTMP با این سرویس در داخل استان‌ها و ایجاد شبکه‌های مجازی لایه 3 در محدوده‌های داخل استانی و نیز شبکه‌های VPN لایه 2 فراهم خواهد شد.
از ديگر دلايل پيدايش MPLS‌ مي‌توان به موارد زير اشاره کرد:
• رفع مشکلات کندي روترها در شبکه‌های بزرگ و زیر فشار با مکانیسم ساده مانند برچسب‌زني ترافیک هر مشتری
• استفاده در Traffic Engineering و Quality of Services
• ايجاد Virtual Private Networks

بر اين اساس اهدافي که در طراحي MPLS‌ مورد توجه قرار گرفت، عبارتند از:
• MPLS باید هر نوع فناوری لایه دوم را پشتيباني کرده و فقط منحصر به ATM و Frame Relay نباشد.
• MPLS باید با پروتکل‌های مختلف مسیریابی سازگار باشد.
• در MPLS باید قابلیت مجتمع‌سازی ترافیک پشتیبانی شود. در این صورت امکان ارسال ترافیک‌های متنوع کاربران از طریق یک مسیر واحد فراهم مي‌شود.
• MPLS باید قابلیت مقیاس‌پذیری داشته باشد، یعنی انعطاف‌پذیر بوده و در شبکه‌های بزرگ نیز جواب دهد.

ديگر قابلیت‌های سرویس VPN/MPLS
• سهولت به‌کارگیری شبکه برای مشتریان: با توجه به اینکه کلیه عملیات مسیریابی در داخل شبکه سرویس‌دهنده انجام مي‌گیرد، مشتریان مي‌توانند در سایت‌های خود از ساده‌ترین تجهیزات لایه 3 استفاده نمایند و نیازی به اعمال پروتکل‌های
 Dynamic Routing و پشتیبانی و مدیریت آنها و کنترل ترافیک توسط خود مشتري نخواهد بود.
• سهولت نگه‌داری شبکه مشتری: در واقع نگه‌داری بخش عمده شبکه مشتری تا لایه سوم بر عهده شرکت مخابرات است.
• هزینه کمتر و استفاده بهینه از پهنای باند.
• قابلیت ارتباط مستقیم کلیه نودها با یکدیگر (با استفاده از توپولوژی Full Mesh).
• امکان اعمال QoS (Quality of Service) مورد نیاز مشتری. با استفاده از این قابلیت می‌توان ترافیک‌های مختلف مشترک، از جمله ويديو، صوت و ديتا را مطابق اولویت‌های تعیین شده از سوی مشترک، به صورت تضمیني و در مسیرهای مورد درخواست مشترک هدایت نمود.
• تأمین REDUNDANCY شبکه مشتری.

آشنايي با معماری MPLS
از خواص ذاتی MPLS تفکیک ترافیک یک سازمان از دیگر سازمان‌ها توسط سرویس‌دهنده (در بحث ما شرکت مخابرات) است. به طوری که چندین مشترک مي‌توانند از آدرس‌دهی خصوصی مشترک بدون نیاز به ترجمه‌ این آدرس‌ها استفاده نمایند. این جداسازی ترافیک منجر به استفاده از عبارت MPLS VPNs شد تا مشترکینی را که قصد اجرای شبکه خصوصی آيپي را با دیگر نقاط زیرمجموعه خود دارند، متمایز سازد. در حقیقت MPLS VPNs مشابه مدارات مجازی ATM و یا
 Frame Relay است.
در بیشتر شبکه‌های WAN دنیا از فناوري انتقال لایه 2 مانند ATM و Frame Relay استفاده مي‌شود و برای اتصال دو روتر با استفاده از شبکه WAN لایه 2 این اتصال میسر مي‌‌شود. در این حالت طراح شبکه WAN بايد به صورت دستی مسیری ایجاد کند تا بسته‌های لایه 3 از میان لایه 2 عبور کنند.
نکته بسيار مهم سرويس MPLS این است که به سويیچ های لایه 2 امکان مي‌دهد تا همانند روتر در انتخاب مسیر هوشمند باشد.

نمونه‌هایی ازکاربردهای سرویس VPN/MPLS
• تأمین بستر ارتباطی جهت ایجاد سیستم‌های مکانیزه داخلی سازمان‌ها و شرکت‌ها در سطح کشور، مانند Paperless، ایجاد شبکه اینترانت و ارايه سرویس‌های داخلی مانند E-learning، VoIP، FTP، Email، Website و سیستم‌های ویديو کنفرانس.
• ایجاد شبکه‌های مونیتورینگ ویديویی بین مراکز کارگاهی و کارخانه‌های واقع در شهرستان‌ها با دفاتر مرکزی مستقر در تهران یا سایر شهرستان‌ها

پارامترهاي فني MPLS
از ويژگي‌هاي فني اين سرويس مي‌توان به موارد زير اشاره کرد:
• سهولت عملیات Forwarding
• جدایی عملیات Forwarding و Routing
• سهولت تجمع خصوصیات ATM و IP
• همخوانی با کلیه پروتکل‌های لایه 2 و لایه 3
• تبدیل آدرس‌ها به برچسب‌هایی با طول ثابت
• امکان استفاده از سرویس‌هایي ویژه‌ همچون مهندسی ترافیک
(Traffic Engineering)، امکان ارسال Voice/Video روی آيپي با کاهش تأخیرات و افزایش QoS

سخن پاياني
آشنايي با سرويس‌هاي مخابراتي مي‌تواند در تصميم‌گيري‌هاي کلان سازماني براي راه‌اندازي شبکه‌هاي گسترده (WAN) در سطح ادارات و نهادهاي دولتي و يا شرکت‌هاي خصوصي بزرگ، موثر و مفيد واقع شود. در اين مقاله سعي شد انواع سرويس‌هاي مختلف را در اين خصوص، به صورت محدود نام برده و برخي از خصوصيات آنها را نيز بيان کنيم.

برچسب‌ها: شبکه های ادهاک بی سیم, نیت شبکه با استفاده از نرم افزار snort
+ نوشته شده در پنجشنبه سی ام آذر ۱۳۹۱ ساعت 7:51 توسط حسين دقاق زاده  | 

دیوار آتشین در مقابل هکرها

ديواري مستحكم از جنس آتش

اشاره :
كلام پاياني در مفاهيم اوليه شبكه‌ها

آيپي آدرس‌هاي خصوصي
همانطور كه در مقاله گذشته اشاره شد، در شبكه‌هاي كامپيوتري كه از بستر TCP/IP استفاده مي‌كنند، هر سيستم حداقل بايد يك آيپي آدرس يكتا (منحصر بفرد) در اختيار داشته باشد كه توسط آن ديگران بتوانند با آن ارتباط برقرار كنند. اما مشكل اينجاست كه بزرگترين شبكه كه بسترش TCP/IP است، همانطور كه مي‌دانيد اينترنت بوده كه تقريباً بيشتر سيستم‌ها با آن بصورت مستقيم (و يا غير مستقيم) در ارتباط با آن هستند. پس در اينجا اين سئوال مطرح مي‌شود، آيا در اين شبكه بزرگ هر سيستمي بايد يك آيپي يكتا داشته باشد؟ جواب آن مطمئناً منفي است! تقريباً انجام چنين كاري به هيچ ترتيبي امكان پذير نيست. براي درك بهتر اين مسئله يك مثال عملي مي‌زنيم، فرض كنيد در يك شبكه‌اي كوچكي كه همه كامپيوترها مي‌خاهند با اينترنت ارتبط داشته باشند، قرار است آيپي يكتا به ازاء هر سيستم درنظر بگيرم. آيا هر كدام از سيستم‌ها بايد يك آيپي مجزا براي خودشان داشته باشند؟ آيا براي برقراري ارتباط با هم مجبورند از صدها (شايد هم هزاران) روتر در سراسر دنيا عبور كنند تا يك پكت كوچك را بهم برسانند؟ مشخصاً اين شكل از شبكه‌بندي امكان پذير نيست! با فرض اينكه تمام مشكلات در اين ميان حل شود، چطور مي‌تواند در بين ميليون‌ها آيپي موجود در دنيا تعدادي آيپي جديد (و يكتا) براي سيستم‌ها يافت؟ كليد حل اين مشكل در دست 3 محدود نشاني آيپي كه در اصلاح به آن‌ها آيپي‌آدرس‌هاي خصوصي (Private IP Addresses) مي‌گويند سپرده شده است. در حقيقت اين سه محدوده آيپي‌آدرس در دنياي اينترنت به هيچ سيستمي تعلق ندارد و فقط در شبكه‌هاي داخلي (Local Networks) كاربرد دارند. البته شايد بپرسيد اگر همه سيستم‌ها قرار باشد با اين آيپي‌ها تنظيم شوند پس تكليف برقراري ارتباط آن‌ها با دنياي بيروني (اينترنت) چيست؟ چطور همديگر را بيابند؟ البته در آينده در اين مورد بطور مفصل صحبت خواهيم كرد، ولي در اينجا همين قدر بگوييم كه روش‌هايي براي مسيردهي به پكت‌ها از دنياي دروني به دنياي بيروني شبكه‌ها وجود دارد. بطور مثال در روش(NAT (Network Address Translation به يك مجموعه از سيستم‌ها (از يك سيستم تا هزاران و...) يك يا چند آيپي‌آدرس Valid (كه همان آيپي يكتا در اينترنت است) توسط ISPها داده مي‌شود كه اين آيپي‌آدرس‌هاي يكتا كار مترجم را براي آيپي‌هاي خصوصي باز مي‌كنند. سه كلاس كه براي آيپي‌هاي خصوصي مورد استفاده قرار مي‌گيرند در جدول 1 قابل ملاحظه‌اند.


جدول1: آيپي‌آدرس‌هاي خصوصي در هر کلاس آدرس‌دهي

البته بغير از سه كلاس مطرح شده يك محدوده آيپي ديگري وجود دارد كه در صورتي كه سيستم هيچ آيپي دريافت نكرده باشد (در حالتي كه آيپي از طريق سرور DHCP به كلاينت‌ها داده مي‌شود) خود سيستم عامل آيپي را به سيستم موردنظر اختصاص مي‌دهد به اين عمل(APIPA (Automatic Private IP Addressing مي‌گويند. در اين روش خود سيستم‌عامل از محدود آيپي 169.254.0.0 تا 169.254.255.255 بصورت اتفاقي يك آيپي به سيستم تخصيص مي‌دهد. در حقيقت اين روش تنها در شبكه‌هاي بسيار كوچك مي‌تواند استفاده شود. ولي به هيچ وجه توسط هيچكس توصيه نمي‌شود!

موشكافي ترافيك شبكه‌اي: آناتومي پكت‌ها
همانطور كه در قسمت‌هاي گذشته گفته شد، اساس انتقال داده‌ها در شبكه‌هاي كامپيوتري بر اساس لايه‌ها انجام پذير است. لايه‌اي كه در اين قسمت به آن اشاره خواهيم كرد لايه اينترنت (Internet Layer) خواهد بود. از اين‌رو در ادامه مبحث هرگاه صحبت از پكت مي‌شود، منظور همان پكت‌هايي هستند كه در اين لايه قرار دارند. همانطور كه گفته بوديم اين لايه وظيفه دريافت آدرس‌دهي پكت‌ها را بعهده دارد و در نهايت رساندن آن‌ها به مقصد موردنظرشان. بازهم همان مثال پاكت‌هاي پستي را مي‌زنيم، همانطور كه يك پاكت پستي داراي نشاني فرستنده و گيرنده است، يك پكت هم در سرانداز (Header) خود داراي اطلاعاتي از قبيل نشاني آيپي فرستنده (مبداء) و گيرنده (مقصد) را درون خود دارد. در ادامه به مواردي كه درون يك پكت لايه اينترنت قرار دارد مي‌پردازيم.

نشاني مبداء يا همان منبع (Source Address)
همانند پاكت نامه‌ها كه نشاني فرستنده دارد، پكت‌ها هم آيپي آدرس منبع (بعبارت ديگر سيستمي كه از آن ارسال شده‌اند) را با خودشان دارند. البته همانطور كه نمي‌توان بطور كامل به آدرس فرستنده روي پاكت نامه اعتماد كرد (چون اگر غلط باشد خللي را در ارسال نامه ايجاد نمي‌كند) نشاني آيپي منبع هم مي‌تواند مستقيماً ما را دقيقاً به همان سيستم فرستنده راهنمايي كند.  اما شايد بپرسيد تحت چه شرايطي اين مسئله بوجود خواهد آمد؟
مترجم آدرس آيپي (NAT): روشي كه در ابتداي مقاله هم به آن اشاره كرديم، كمك مي‌كند تعداد بسياري زيادي سيستم (در يك شبكه داخلي) بواسطه يك يا چند آيپي عمومي (Valid on Internet) با دنياي بيروني (از شبكه خود) ارتباط برقرار كنند. در حقيقت در اين روش هر پكتي كه از سيستمي دروني به سرور NAT ارسال مي‌شود، آيپي‌آدرس منبع‌اش (كه به شبكه دروني تعلق دارد) از پكت برداشته شده و يك آيپي عمومي جايگزين آن مي‌شود. البته خود سرور NAT مي‌داند به چه پكتي چه آدرسي داده و درصورت بازگشت پكت از دنياي بيروني مي‌تواند با تفسيرش، آن‌را به منبع حقيقي خود بازگرداند. در حقيقت فايروال‌ها هم در بعضي موارد از اين روش براي مخفي كردن نشاني آيپي سيستم استفاده مي‌كنند.
روش‌هاي Spoofing: اين روش در حقيقت مورد استفاده هكرها قرار مي‌گيرد، زيرا آن‌ها نمي‌خواهند پس از نفوذ به سيستم‌هاي مورد حجوم‌شان ردپايي را از خودشان باقي بگذارند.

نشاني گيرنده يا همان مقصد (Destination Address)
اين آدرس هم مشخصاً همان نشاني است كه پكت بايد بسمتش برود. اين آدرس حتماً بايد صحيح و دقيق باشد،‌چون بواسطه آن روترهايي كه در مسير منبع تا مقصد قرار دارند مي‌توانند پكت را بسمت مقصدنهايي‌شان برسانند.


شکل1: هدر پروتکل IP را نشان مي‌دهد

لايه ترانسپورت
مشخصاً درون پكتي كه در لايه اينترنت قرار دارد، اطلاعات لايه ترانسپورت هم بايد باشد. زيرا با رسيدن اين پكت به مقصد بايد اطلاعات توسط گيرنده تجزيه تحليل شود. در مورد اين لايه در ادامه بيشتر خواهيم گفت.
اغلب پكت‌ها لايه اينترنت شامل داده‌هايي مي‌شوند كه به لايه ترانسپورت مربوط مي‌شود. البته اطلاعات اضافي درون پكت‌ها قرار دارند، زيرا پروتکل IP مسئول رساندن پكت به كامپيوتر مقصد است و لايه ترانسپورت مي‌بايست اطلاعات موردنيازي را كه جهت اسمبل پكت از يك لايه به لايه بعدي را نياز دارد، در اختيار قرار دهد. در ادامه كار را به تشرح پروتکل‌هاي لايه تراسپورت يعني TCP و UDP مي‌پردازيم.


شکل2: هدر TCP را نشان مي‌دهد

متصل باشيد بوسيله UDP‌ و TCP
تفاوت اصلي بين TCP‌و UDP در اين است كه(UDP (User Datagram Protocol نياز به برقراري هميشگي دو طرفه مبداء و مقصد را ندارند (connectionless) ولي TCP (Transmission Control Protocol) براي كار خود به چنين شرايطي نياز دارند
(connection-oriented). اما شايد بپرسيد اين عبارت‌ها چه معني دارند؟در حقيقت در حالت connectionless، پروتکل موردنظر نيازي ندارد كه اطمينان حاصل كند كه تمامي پكت‌ها ارسالي به سلامت به مقصد رسيده‌اند. يك مثال ساده از اين روش را مي‌توان در سيستم‌هاي جوابگو خودكار تلفني (Answering Machine) دانست. هنگامي كه شما به تلفني زنگ مي‌زنيد كه منشي تلفني دارد، جوابگو خودكار شروع به اعلام پيغام مي‌كند (حال آن‌كه نمي‌داند آيا شما تمامي پيغام را گوش خواهيد كرد يا خير) سپس زماني كه نوبت به شما مي‌رسد كه پيغام را بگوييد، اطمينان نداريد آيا حتماً پيغام شما ضبط مي‌شود يا خير و يا حتي پيغام با كيفيت مطلوب در آن سوي دريافت مي‌شود يا نه و ... در حقيقت UDP هم همين مكانيزم را دارد، يعني زماني كه پكت‌ها را ارسال مي‌كند اطمينان صدرصد ندارد كه طرف مقابل پيغام‌ها را حتماً دريافت كرده باشد. از اين‌رو به UDP پروتکل غير قابل اطمينان نيز مي‌گويند.
پروتکل TCP شباهت به مكالمات تلفني بين دو نفر را دارد، قبل از شروع صحبت هر دو طرف با گفتن عبارت (الو!) مطمئن مي‌شوند كه صداي يكديگر را به صورت واضح دريافت مي‌كنند. از طرف ديگر دو طرف مطمئن مي‌شوند كه زبان يكديگر را مي‌فهمند يا در صورت هرگونه عدم دريافت، سعي خواهند كرد شخص ديگري را كه مي‌توانند با وي براحتي صحبت كنند را پيدا نمايند. در دنياي شبكه TCP هم با ارسال 3 پكت كه اصطلاحاً به آن handshake مي‌گويند از برقراري صحيح ارتباط اطمينان حاصل مي‌كند. پس از اين‌كار دو طرف نحوه عددگذاري پكت‌ها را با هم شرط مي‌كنند، از اينرو توالي پكت‌هاي ارسالي مي‌تواند نمايانگر اين باشد كه آيا پكت‌ها به ترتيب و كامل رسيده‌اند يا خير. در صورت منفي بودن جواب، مقصد از منبع در خواست ارسال مجدد مي‌كند. با اين تفاسير دو طرف مي‌توانند از دريافت كامل پكت‌ها اطمينان لازم را كسب كنند.

شايد از خود بپرسيد چه زمان UDP بكار مي‌رود و چه زماني TCP؟ مشخصاً زماني كه نياز به تبادل اطمينان سريع داشته باشيم كه دريافت كامل داده‌ها آنقدر برايمان مهم نباشد UDP انتخاب مناسبي است (مانند گوش كردن به راديوهاي اينترنتي و ...) و زماني كه بايت به بايت موارد بايد كامل دريافت شوند تا داده دريافتي قابل استفاده باشد (مانند دريافت فايل از اينترنت) TCP گزينه مناسب خواهد بود.

سخن پاياني
در چهار شماره گذشته سعي داشتيم با بيان مقدماتي از شبكه‌ها بستري را فراهم كنيم تا شما علاقه‌مندان دنياي امنيت شبكه‌اي بتوانيد با ديدي باز تئوري‌ها و راهكارهاي امنيتي (فايروال‌ها) را بطور كامل دريافت كنيد. اكنون در پايان مجموعه اول مبحث فايروال‌ها (مقدمه بر مباني شبكه) وعده سري بعدي مقاله ديواري مستحكم از جنس آتش را مي‌دهيم كه در دو شماره آينده كار آن را آغاز خواهيم كرد. در آن مجموعه مباني فايروال و تنظيم آن‌ها در سيستم‌هاي خانگي را بطور مفصل شرح خواهيم داد.

برچسب‌ها: امنیت
+ نوشته شده در پنجشنبه سی ام آذر ۱۳۹۱ ساعت 7:39 توسط حسين دقاق زاده  | 

شبکه چیست ؟ طریقه استفاده از کابل های شبکه!

ارتباط دو رایانه را با یکدیگر توسط هر بستری راشبکه می گن. بطور مثال شما دوتا رایانه دارید و می خواین او دوتا رو با هم شبکه کنین، امروزه تمامی سازنده های رایانه، کارت شبکه رو به عنوان یکی از اصلی ترین اجزای رایانه بر روی برد اصلی قرار می دهند که در اصطلاح آنبورد گفته میشه.

توجه داشته باشید برای اتصال دو عدد رایانه به یکدیگر نیاز به کابل مخصوصی به نام کابل کراس است. رنگ بندی دو سر این کابل با هم کاملا متفاوته برای ارتباط دو رایانه استفاده می شه.


وقتی کابل کراس رو به دو رایانه وصل کردین، باید تنظیمات نرم افزاری رو تنظیم کنین، هر رایانه در شبکه مثل انسانها در دنیای واقعی یک کد داره. مثلا در زندگی انسان ها، کد ملی و در رایانه IP گفته می شه. ما برای تنظیم کارت شبکه، هم از ویندوز اکس پی و هم از ویندوز 7 استفاده می­کنیم.

اما برای اینکه بتونید آی پی رو در ویندوز XP ست نمایید، به کنترل پنل قسمت نتورک کانکشن رفته و بر روی لوکال اریا کانکشن کلیک نمایید. در سربرگ جنرال بر روی دکمه پراپرتیز کلیک نموده تا لوکال اریا کانکشن پراپرتیز باز شود در وسط کمی اسکرول را به پایین هدایت نموده تا Internet Protocol tcp/ip نمایان بشه. بر روی آن دو بار کلیک نمایید در سربرگ جنرال گزینه use the following this ip address  را انتخاب و عدد 192.168.1.2 را وارد و در قسمت سابنت مسک فقط با موس کلیک  نمایید تا 3 عدد 255 بین نقطه ها ظاهر بشه. در آخر هم، 2بار ok کنین.

برای تنظیم آی پی رایانه دوم که ویندوز 7 است به این روش عمل می کنید که...

به قسمت کنترل پنل رفته و روی network and sharing center کلیک کرده با باز شدن در قسمت سمت چپ بالا گزینه change adapter setting را انتخاب می کنیم حال برروی لوکال اریا کانکشن کلیک و پراپرتیز را انتخاب نموده و در سربرگ جنرال بر روی internet protocol tcp/ipver 4 دوبار کلیک کرده و مثل ویندوز اکس پی، عدد را وارد نمایید با این تفاوت که شماره آخر آن عدد باید عددی متفاوت باشد ما در اینجا عدد 192.168.1.3 را به عنوان آی پی اختصاص می دهیم. بعد فقط بر روی سابنت مسک کلیک و تا انتها ok  می کنیم.

خوب با اتصال کابل شبکه کراس و تنظیمات IP ها در دو ویندوز7 و xp دو رایانه بهم متصل شدند ، به همین سادگی شما دو دستگاه رو به هم وصل میکنید حال سوال این است اگر سه دستگاه رایانه را بخواهیم بهم وصل کنیم چه باید بکنیم؟

برای اتصال سه دستگاه رایانه حتما باید از دستگاه­هایی بنام سوییچ و هاب سوییچ استفاده کنیم که انواع آنها از 4 پورت شروع شده و پورت های آن بصورت توانی از 2 زیاد میشه، یعنی 4 پورت 8 -16-32-64 پورت.

برای شبکه نمودن سه دستگاه رایانه، کارت شبکه هر رایانه را با کابل شبکه به یکی از پورت های هاب یا سوییچ وصل می­کنیم.

تفاوتی هاب و سوییچ هم اینه که هاب فقط وظیفه اتصال رایانه ها را داره، اما سوییچ علاوه بر وظیفه اتصال رایانه ها به هم، با توجه به نوعش و سیستم عامل ارائه شده در آن، کارایی های بالاتری نیز روی شبکه فراهم می­کنه.

نکته مهم اینه که در اتصال دو رایانه به صورت مستقیم باید از کابل کراس استفاده بشه اما هنگامی که رایانه ها به هاب یا سوییچ وصل می شوند، کابل کراس جای خود را به کابل اِترنت یا استریت Straight خواهد داد.

توجه داشته باشید رنگ بندی در کابل اترنت در دو سر کابل باید یکسان باشه.

در پایان توجه داشته باشید: درip نسخه ی 4 ، آی پی از چهار بخش تشکیل شده که این بخش ها توسط نقطه از یکدیگر تفکیک می شوند که معمولا در شبکه های خانگی از کلاس C استفاده میشه که در این کلاس ،  سه بخش آن یکی است مثلا عدد 192.168.1 برای تمامی رایانه ها یکی  و اعداد آخر هر آی پی از 1 تا 224 برای هر رایانه داخل شبکه قابل تغییره. فعلا این کارها را انجام بدین تا توی برنامه­های بعدی، دسترسی به منابع هر رایانه و فرستادن پرینت بر روی شبکه از یک رایانه دیگر را بگیم.

جهت استفاده از منابع دو رایانه فقط کافیست بر روی یک فولدر در مسیر دلخواه راست کلیک نموده و شیر را کلیک نمایید دقت نمایید که گزینه مرتبط با Allow network user … حتما تیک نمایید تا بتوانید در این فولدر از رایانه دیگر فایل های را انتقال دهید.

دقت داشته باشید که در قسمت security ،تمام تیک های مرتبط با everyone فعال شده باشد تا دسترسی همه به این فولدر بدون ایراد صورت پذیرد.

برای دسترسی به رایانه ای که فولدر روی آن  شیر شده کافیست از رایانه دیگرrun  باز نموده و آدرس IP رایانه مقصد با دو بک اسلش وارد نمایید  (\\192.168.1.2) پنجره ای که باز می شود حاوی فولدر شیر شده است.

برچسب‌ها: شبکه چیست, طریقه استفاده از کابل های شبکه
+ نوشته شده در دوشنبه بیست و هفتم آذر ۱۳۹۱ ساعت 19:12 توسط حسين دقاق زاده  | 

اینترنت چیست؟

اینترنت چیست و چگونه کار می کند؟

اينترنت پديده‌اي است كه زندگي بدون آن براي بسياري از انسان‌ها، ديگر غيرقابل تحمل و حتي غيرممكن است.
همه ما بااينترنت سر و كار داريم. اما اينترنت چگونه كار مي‌كند؟ چه اجزايي دارد و مهم‌تر اين كه به چه كسي تعلق دارد؟ به سروري كه از طريق آن وارد دنياي مجازي وب مي‌شويم؟ به ما كه كاربران آن هستيم؟
در واقع هيچكدام . چون اينترنت نه به ما كه به هيچ كس ديگري تعلق ندارد.
اينترنت مجموعه‌اي جهاني از شبكه‌هاي بزرگ و كوچك است كه به هم پيوسته‌اند و نام اينترنت (شبكه‌هاي در هم تنيده) از همين مجموعه گرفته شده است.
اينترنت كارش را سال 1969 با چهار هسته يا سيستم كامپيوتري ميزبان شروع كرد اما امروز ميليونها مورد از آنها در سراسر جهان وجود دارند.
البته اين كه گفته مي‌شود اينترنت صاحب ندارد بدان معنا نيست كه هيچ كس بر آن نظارت ندارد. يك موسسه غيرانتفاعي به نام انجمن اينترنت (Internet Society) كه در سال 1992 تشكيل شده است مسئول نظارت بر آن است و مراقب است كه پروتكل‌ها و قوانيني كه در مورد اينترنت تصويب شده‌اند، در سراسر جهان اجرا شوند.
تسلسل شبكه‌ها
هر كامپيوتري كه به اينترنت وصل است - از جمله كامپيوتري كه با آن اين گزارش را مي‌خوانيد- بخشي از يك شبكه است. شما كه در خانه با يك مودم به يك موسسه ارائه دهنده سرويس‌هاي اينترنتي (ISP) وصل مي‌شويد؛ در محل كار بخشي از يك شبكه محلي هستيد و بيشتر مواقع باز هم از طريق مودم به يك ISP و از آن به اينترنت وصل مي‌شويد و يا اينكه ... .
به هر حال اين كه از چه طريق به اينترنت وصل شويد مهم نيست، مهم اين است كه با اتصال به اينترنت، بخشي از دنياي شبكه‌ها مي‌شويد.
بسياري از شركت‌هاي ارتباطاتي بزرگ بك‌بُن‌هاي(ستون فقرات) اختصاصي خودشان را دارند كه مناطق زيادي را به هم وصل مي‌كنند.
معمولا اين شركت‌ها در هر منطقه يك نقطه حضور( POP) دارند. POP جايي است كه كاربران محلي با استفاده از مودم و تلفن يا خطوط ارتباطي مشخصي به شبكه شركت وصل مي‌شوند.
نكته جالب در اين باره اين است كه در هيچ شبكه‌ اي مرجع كنترل كننده‌اي وجود ندارد و به جاي آن چند شبكه سطح بالا وجود دارند كه از طريق نقاط دسترسي شبكه NAP))به هم متصل مي‌شوند.
نمونه شبكه‌اي
براي درك اين پروسه به اين مثال توجه كنيد:
شركت A يك ISP بزرگ است. اين شركت در هر شهر بزرگي يك نقطه حضور(POP) دارد. اين POP ها قفسه‌هاي پر از مودم‌ هستند كه مشتريان ISP با تلفن به آنها متصل مي‌شوند. شركت A خطوطي از جنس فيبر نوري را از شركت مخابرات اجاره كرده است تا به وسيله آنها نقاط حضورش را به هم متصل كند.
حالاشركت B را در نظر بگيريد. اين شركت از چند ISP كوچك‌تر تشكيل شده است و در هر شهر بزرگ ساختمان‌هايي دارد كه ISPهاي آن ماشين‌هاي ارائه دهنده خود را در آنها مستقر كرده‌اند. اين شركت آن قدر بزرگ است كه خودش با استفاده از خطوط فيبر نوري خودش‌ ساختمان‌هايش را به هم متصل كرده است و در واقع ISP هايي كه زير نظر اين شركت كار مي‌كنند از اين طريق به هم وصل شده‌اند.
در اين ساختار تمام مشتريان شركت A مي‌توانند با هم ارتباط داشته باشند و تمام مشتريان شركت B با هم در ارتباط هستند. اما هيچ كدام از مشتريان شركت A نمي‌تواند با مشتريان شركت B ارتباط داشته باشد.
براي رفع اين مشكل دو شركت توافق مي‌كنند با NAPها در شهرهاي مختلف ارتباط قرار كنند و انتقال داده‌ها بين مشتريان دو شركت در شهر هاي مختلف از طريق نقاط دسترسي شبكه انجام مي‌گيرد. تحت اين شرايط تمام كامپيوترهايي كه به اينترنت وصل مي‌شوند با هم ارتباط خواهند داشت.
پلي براي انتقال اطلاعات
تمام اين شبكه‌ها براي برقراري ارتباط با يكديگر به نقاط دسترسي شبكه، بك‌بُن‌ها (ستون فقرات) و روترها (راهبان) نياز دارند. نكته جالب توجه در اين پروسه اين است كه يك پيغام مي‌تواند در كسري از ثانيه از كامپيوتري به كامپيوتر ديگر برود و با عبور از شبكه‌هاي مختلف، نيمي از جهان را بپيمايد.
اما اين پيغام‌ها از كدام مسير بايد رفت و آمد كنند.
مشخص كردن اين مسيرها به عهده روتر‌ها است. روتر‌ها(راهبان‌ها) مشخص مي‌كنند كه اطلاعات از كدام مسير از يك كامپيوتر به كامپيوتر ديگر بروند.
آنها در واقع كامپيوتر‌هاي حرفه‌اي و قدرتمندي هستند كه پيغام‌هاي ما را مي‌فرستند و از طريق هزاران مسيري كه تعريف شده است انتقال پيغام را سرعت مي‌بخشند.
يك روتر(راهبان) دو وظيفه مجزا اما مرتبط با هم دارد:
- تضمين مي‌كند كه اطلاعات به جايي كه نبايد بروند، نروند.
- تضمين مي‌كند كه اطلاعات به مقصد مورد نظر برسد.
به دليل انجام اين كارها، روتر‌ها نقش بسيار موثري در نحوه ارتباط دو شبكه كامپيوتري ايفا مي‌كنند. روتر‌ها دو شبكه را به هم متصل مي‌كنند و اطلاعات ميان آن دو را رد و بدل مي‌كنند. آنها همچنين از شبكه‌ها در برابر انتقال بي‌مورد اطلاعات محافظت مي‌كنند. بدون توجه به تعداد شبكه‌ها،‌ طرز كار روتر‌ها بدون تغيير باقي مي‌ماند.
از آنجا كه اينترنت از ده‌ها هزار شبكه مختلف تشكيل شده است، استفاده از روتر‌هادر آن ضروري است.
بك‌بُن‌ها
اولين بك‌بُن دنيا در سال 1987 توسط بنياد ملي علم آمريكا (NFS) درست شد. اين بك‌بُن كه NSFNET نام داشت يك خط T1 بودكه 170 شبكه كوچك‌تر را به هم متصل مي‌كرد و با سرعت انتقال 554/1 مگا بايت در ثانيه كار مي‌كرد. يك سال بعد NSF با همكاري IBM و MCI بك‌بُن T3 (45 مگا بايت بر ثانيه) ايجاد كرد.
بك‌بُن‌ها معمولا شاهراه‌هايي از جنس فيبر نوري هستند. اين شاهراه‌ها از چندين فيبر نوري در هم تنيده تشكيل شده‌اند تا ظرفيت انتقال داده‌هايشان بيشتر شود.
اين كابل‌ها با علامت OC مشخص مي‌شوند مانند: OC-3 ،OC-12 يا OC-48 . يك OC-3 توانايي انتقال 155 ميليون بايت را در ثانيه دارد در حالي كه يك OC-48 مي‌تواند 2488 ميليون بايت(488/2 گيگا بايت) را درثانيه انتقال دهد.

براي اين كه به سرعت بالاي بك‌بُن‌هاي مدرن پي ببريم كافي است آنرا با مودم‌هاي معمولي 56K مقايسه كنيم كه 56000 هزار بايت را در ثانيه منتقل مي‌كنند.

امروزه شركت‌هاي بسياري وجود دارند كه بك‌بُن‌هاي با ظرفيت بالاي خود را دارند و به نقاط اتصال متفاوتي در سراسر جهان متصل‌اند. در اين حالت هر كاربر اينترنتي، بدون توجه به موقعيت جغرافيايي‌اش و شركتي كه از آن براي اتصال به اينترنت استفاده مي‌كند مي‌تواند با هر كاربر ديگري در زمين به راحتي صحبت كند.
اينترنت موافقت‌نامه‌اي تو در تو و بسيار عظيم بين شركت‌ها است تا به صورت مجاني با هم ارتباط برقرار كنند.
پروتكل اينترنتي: نشاني‌هاي IP
هر كامپيوتري در اينترنت يك شماره اختصاصي دارد كه به آن نشاني IP ميگويند.
IP علامت اختصاري پروتكل اينترنتي ‌است؛ زباني كه كامپيوترها به ‌وسيله آن با هم ارتباط برقرار مي‌كنند. يك پروتكل، راه از پيش تعريف شده‌اي است كه هرگاه كسي مي‌خواهد از يك سرويس استفاده كند، از طريق آن وارد عمل مي‌شود.
اين «استفاده كننده» (كاربر) در اين جا مي‌تواند يك شخص حقيقي‌ و يا يك برنامه مثل نرم افزارهاي استفاده كننده از اينترنت باشد.
يك IP معمولا بدين شكل است:
38.113.162.42
ما انسان‌ها براي اينكه اين نشاني‌ها را راحت حفظ كنيم، آنها را به صورت بالا مي نويسي (كه البته اين هم راحت نيست) اما كامپيوترها به صورت باينري يا با هم ارتباط برقرار مي‌كنند‌ و نشاني IP بالا به زبان باينري بدين شكل است:
100110.111001.10100010.101010
به عدد چهار بخشي موجود در IP اوكتتز(اوكتتز از ريشه عدد هشت يوناني گرفته شده است) گفته مي‌شود چون هر كدام از آنها در صورت تبديل به فرم باينري (دو دوئي) هشت موقعيت دارند. اگر اين موقعيت‌ها را به هم اضافه كنيم مي‌شود 32 و دليل اين كه به نشاني‌هاي IP اعداد 32 بايتي مي‌گويند همين است.
از آن جا كه هر كدام از اين موقعيت‌ها در سيستم باينري مي‌توانند دو حالت داشته باشند (صفر يا يك)، تعداد نهايي حالات تركيب آنها در اوكتتز، 232 يا 4,249,967,296تعداد منحصر به فرد است.
در ازاي تقريبا 4.3 ميليارد تركيب محتمل، اعداد خاصي به عنوان نشاني‌هاي ‌IP مشخص انتخاب شده‌اند.
براي نمونه، نشاني 0.0.0.0 براي شبكه‌هاي پيش‌فرض در نظر گرفته شده است و نشاني 255.255.255.255 براي broadcastها.
اوكتتز‌ها به جز جدا كردن اعداد كار ديگري هم دارند. از آنها براي ساخت كلاس‌هايي از IP ها استفاده مي‌شود كه مي‌توانند در موارد خاص تجاري، دولتي و ... استفاده شوند.
اوكتتز‌ها به دو بخش نت(Net) و هاست(Host) تقسيم مي‌شوند.بخش نت هميشه اولين اوكتتز را در بر مي‌گيرد و از آن براي يشناسايي شبكه‌اي كه كامپيوتر به آن تعلق دارد استفاده مي‌شود. هاست(كه گاهي به آن Node هم گفته مي‌شود) كامپيوترهاي حقيقي را در شبكه مشخص مي‌كند. بخش هاست هميشه آخرين اوكتتز را در بر مي‌گيرد.

پروتكل اينترنت: سيستم نام دامنه
وقتي كه اينترنت در دوران ابتدايي‌اش به سر مي‌برد، از تعداد كمي كامپيوتر كه بوسيله مودم‌ها و خطوط تلفن با هم در ارتباط بودند، تشكيل شده بود.

در آن زمان براي اين كه ارتباط بين دو كامپيوتر برقرار شود كاربران بايد IP كامپيوتري را كه مي‌خواستند با آن ارتباط برقرار كنند تهيه مي‌كردند. براي نمونه نشاني IP يك كامپيوتر 216.27.22.162 بود و كاربر براي برقراري ارتباط با آن بايد آن را تهيه مي‌كرد. در اوايل اين كار چندان سخت نبود اما با گسترش استفاده‌كنندگان اينترنت، تهيه IP ديگران ديگر غير ممكن شد.
اولين راه‌حل يك تكست فايل ساده بود كه توسط مركز اطلاعات شبكه‌ها تهيه شد و نام‌ها را به نشاني‌هاي IP هدايت مي‌كرد. به زودي اين فايل به قدري كند و ناكارآمد شد كه نمي‌شد آن را مديريت كرد. در سال 1983، دانشگاه وييسكانسين سيستم نام‌ دامنه (DNS) را ابداع كرد كه نام‌هاي تكست را به صورت خود‌كار به نشاني‌هاي IP هدايت مي‌كرد.
در اين روش شما به جاي اين كه IP يك سايت،‌ مثلا hamshahrionline.ir را حفظ كنيد تنها hamshahrinline.ir را حفظ مي‌كنيد.
URL ؛ مكان‌نماي يكسان منبع (نشاني سايت)
وقتي كه شما از اينترنت استفاده مي كنيد يا يك ميل مي‌فرستيد، از يك نام دامنه استفاده مي‌كنيد كه اين كار را براي شما انجام مي‌دهد. براي نمونه نشاني () نام دامنه hamshahrionline.ir را در بر دارد. همين نام دامنه در example@hamshahrionline.irThis e-mail address is being protected from spam bots, you need JavaScript enabled to view it هم وجود دارد. هر بار كه ما از يك نام دامنه استفاده مي‌كنيم، از سرورهاي سيستم نام دامنه (DNS) استفاده مي‌كنيم كه نام‌هاي دامنه قابل خواندن براي انسان را به IPهاي قابل فهم براي ماشين تبديل مي‌كند.
نام‌هاي دامنه سطح بالا كه به آنها دامنه‌‌هاي سطح اول هم گفته مي‌شود اين‌ها هستند: .COM، .ORG ، .IR، .NET ، .EDU و .GOV.
چند سايت معروف كه از دامنه .COM استفاده مي‌كنند اين‌ها هستند:
• Google
• Yahoo
• Microsoft
هر نامي در دامنه سطح بالاي COM. بايد منحصر به فرد باشد. كلمه هميشگي سمت چپ مثل WWW ، نام ميزبان است كه نام يك ماشين خاص (با يك IP خاص) را در يك دامنه مشخص مي‌كند.
يك دامنه داده شده مي‌تواند به صورت بالقوه نام ميليون‌ها هاست(ميزبان) را تا زماني كه در آن منحصر به فرد هستند در بر بگيرد.
سرورهاي سيستم نام‌ دامنه(DNS)، درخواست‌ها را از برنامه‌ها و ديگر سرورهاي نام‌ دريافت مي‌كنند تا نام‌هاي دامنه را به نشاني‌هاي IP تبديل كنند.
وقتي كه يك درخواست به سرور سيستم نام‌دامنه وارد مي‌شود، سرور يكي از چهار كار زير را بر روي آن انجام مي‌دهد:
1- با يك نشاني IP به آن جواب مي‌دهد چون نشاني IP دامنه درخواست شده را مي‌داند.
2- با ديگر سرور‌هاي سيسم نام‌ دامنه تماس مي‌گيرد و سعي مي‌كند نشاني IP نام درخواست شده را پيدا كند. البته سرور شايد چندين بار اين كار را انجام دهد.
3- امكان دارد بگويد: من نشاني IP دامنه‌اي كه شما خواسته‌ايد ندارم اما نشانيIP سرور ديگري را به شما مي‌دهم كه نشاني‌هاي بيشتري از من مي‌داند.
4- يك پيغام ارور(Error) مي‌فرستد، چون دامنه درخواست شده يا وجود ندارد يا ديگر اعتبار ندارد.
براي درك اين پروسه بهتر است به اين نمونه توجه كنيد:
فرض كنيد شما نشاني Hamshahrionline.ir را در مرورگر خود تايپ مي‌كنيد. مرورگر براي يافتن نشاني IP به يك سرور سيستم نام‌ دامنه(DNS) مراجعه مي‌كند. اين سرور هم جستجو را با تماس با يكي از روت سرور‌ها(سرورهاي اصلي) آغاز مي‌كند.
روت سروها نشاني‌هاي IP تمام DNS سرورها را كه با دامنه‌‌هاي سطح بالا(.COM ،.NET ،.IR و... ) كار مي‌كنند دارند. سرور DNS شما از روت‌ سرور () را مي‌خواهد. اگر روت سرور اين IP را نداشته باشد مي‌گويد:« من IP درخواست شما ( ()) را ندارم اما IP سرور دامنه‌‌هاي .IR را به شما مي‌دهم».
آن وقت سرور نام دامنه شما، يك درخواست به سرور دي‌ان‌اس‌ .IR مي‌فرستد و از آن مي‌پرسد كه آيا نشاني IP براي () مي‌شناسد يا نه. سرور DNS دامنه‌هاي IR، نشاني‌هاي IP سرور نامي را كه با دامنه () در ارتباط‌ هستند مي‌شناسند، به همين خاطر درخواست شما را به آنها ارجاع مي‌دهد.
سرور نام شما سپس به سرور دي‌ان‌اس مراجعه مي‌كند و مي‌پرسد كه آيا اين سرور DNS ، نشاني IP () را مي‌شناسد يا نه.
اين سرور قطعا نشاني IP مورد درخواست ما را دارد بنابر اين آن‌را به سرور DNS ما مي‌‌دهد. اين سرور هم آن را به مرورگر ما مي‌دهد و مرورگر براي دريافت يك صفحه وب از () به سرور مراجعه مي‌كند.
يكي از كليدهاي موفقيت در انجام چنين كاري افزونگی تكرار و فراواني است. در هر سطح چندين سرور DNS وجود دارد و هر گاه يك درخواست به جواب نرسد چندين سرور ديگر براي رسيدن به جواب وجود دارد. كليد ديگر cashing است.
وقتي كه يك سرور DNS يك درخواست را به جواب مي‌رساند، نشاني IP دريافت شده را ذخيره مي‌كند. و وقتي كه يك درخواست دامنه .IR را به يك روت سرور ارجاع مي‌دهد، نشاني IP سروري را كه IP دامنه‌هاي .IR را دارد ذخيره مي‌كند تا دفعه بعد كه دوباره درخواستي براي نشانيIP دامنه .IR دريافت كرد بدون واسطه روت سرور به همين سرور DNS مراجعه كند.
سرور DNS اين كار را مي‌تواند براي هر درخواست انجام دهد و cashing به آن اين اجازه را مي‌دهد كه از جستجو‌هاي بي‌مورد دست بردارد.
سرورهاي DNS روزانه به ميلياردها درخواست پاسخ مي‌دهند و وجود آنها براي عملكرد روان اينترنت بسيار ضروري است.
اين حقيقت كه اين مراكز اطلاعاتي بسيار گسترده و پراكنده به اين خوبي و البته به دور از چشم ما كار مي‌كنند، گواه طراحي بي‌نظير آنهاست.
كلاينت‌ها و سرورها
سرورها دسترسي يه اينترنت را براي ما ميسر مي‌كنند. تمام ماشين‌هاي موجود در اينترنت يا سرور هستند يا كلاينت. سرورها دستگاه هایی هستند كه به ديگر ماشين‌ها سرويس ارائه مي‌دهند و ماشين‌هايي كه از آنها براي برقراري ارتباط با سرورها استفاده مي‌شود كلاينت هستند.
در فضاي اينترنت، اين سرور‌هاي وب،‌ سرورهاي ايميل، سرورهاي FTP و ديگر سرورها هستند كه نيازهاي ما براي ايجاد ارتباط را برطرف مي‌كند.
وقتي كه شما مي‌خواهيد به () متصل مي‌شويد تا يك صفحه را بخوانيد، از يك كلاينت (كامپيوتري كه پشت آن نشسته‌ايد) استفاده مي ‌كنيد.
در واقع ابتدا به سرور وب () دسترسي پيدا مي‌كنيد؛ ماشين سرور صفحه‌اي را كه شما درخواست كرده‌ايد پيدا مي‌كند و برايتان مي‌فرستد. كلاينت‌هايي هم كه به يك ماشين سرور متصل مي‌شوند همين كار را با يك منظور مشخص انجام مي‌هند؛ يعني درخواست‌هايشان را به يك نرم افزار مشخص سرور كه در يك ماشين سرور فعال است هدايت مي‌كنند.
هر سرور يك نشاني IP ثابت دارد كه به ندرت تغيير پيدا مي‌كند. در مقابل يك كامپيوتر خانگي كه از طريق مودم شماره‌گيري مي‌كند هر بار كه به ISP متصل مي‌شود يك نشاني IP دريافت مي‌كند.
اين IP تا هنگامي كه شما به اينترنت وصل هستيد منحصراً در اختيار شماست اما هر بار كه به یک ISP متصل شويد، يك IP جديد دريافت خواهيد كرد. بدين ترتیب ISP به جاي اين كه هر مشتري را با يك IP بشناسد، هر مودم را با يك IP مي‌شناسد.
پورت‌ها
وقتي‌ كه يك كلاينت به وسيله يك پورت به يك سرويس متصل مي‌شود، از يك پروتكل مشخص استفاده مي‌كند. پروتكل‌ها معمولاً به صورت تكست هستند و به سادگي تعريف مي‌كنند كه چگونه كلاينت‌ها و سرورها با هم ارتباط برقرار مي‌كنند. هر وب سرور در اينترنت پروتكل انتقال تكست‌هاي هايپر (HTTP) را مي‌شناسد.
اجزايي كه طرز كارشان در اين گزارش معرفي شدند (شبكه‌ها، روتر‌ها [راهبان‌ها]، نقاط دسترسي شبكه[NAP]، سيستم نام‌‌هاي دامنه[DNS] و سرورهاي پرقدرت)، جيزهايي هستند كه ما براي دسترسي به اينترنت به آنها نياز داريم.
نكته جالب در مورد آنها اين است كه اين سيستم‌هاي عريض و طويل دسترسي ما به اينترنت را تنها در چند ميليونيوم ثانيه امكان‌پذير مي‌كنند.
اين اجزا در دنياي مدرن بسيار مهم هستند چرا که بدون آنها دسترسي به اينترنت ممكن نيست و دنياي بدون اينترنت هم براي بسياري از ما معنایی ندارد.
برچسب‌ها: طراحی و توسعه وب, مقالات, امنیت, سفارش سازی
+ نوشته شده در پنجشنبه بیست و سوم آذر ۱۳۹۱ ساعت 7:52 توسط حسين دقاق زاده  | 

امنیت درشبکه های اجتماعی

امنیت شبکه های اجتماعی

 

این بستگی به والدین دارد تا مطمئن شوند که فرزندانشان از شبکه های اجتماعی امن استفاده می کنند. بسیاری از قواعدی را که برای گپ و گفتگو های آنلاین (chat) رعایت می کنید برای این سایت های نیز رعایت کنید:

-     از نام مستعار استفاده کنید

-    به کسانی که آنان را نمی شناسید اطلاعات شخصی خود را ندهید. نام خانوادگی و شهر محل سکونت برای معرفی اولیه فرزند شما کافی است.

-    هیچ وقت تصور نکنید که  اشخاص حقیقتا همانی هستند که ادعا می کنند.

-    فورا ارتباط هایی که شما را آزار می دهد قطع کنید و آن را به والدین خود اطلاع دهید.

 

برای بچه های کوچک تر باید کاملا رسیدگی شود که آنان از چه سایت هایی استفاده می کنند. امکانات خصوصی سازی اطلاعات را پیدا کنید و فرزند خود را وادار کنید که از آنان استفاده کند.برای فرزندان زیر 16سال ، اکثر پروفایل های شخصی و خصوصی معنا دار است که تنها توسط دوستان بسیار صمیمی وشناخته شده باید قابل دیدن باشند.

 

فرزندانی هم که سنی بالاتری دارند شاید می خواهند پروفایل های عمومی تری داشته باشند تا دایره دوستی خود را گسترش دهند. در این شرایط  بهتر است  دو پروفایل در نظر گرفته شود که یکی  خصوصی تر و در اختیار فامیل و دوستان نزدیک باشد و دیگری برای عموم که بهتر از سایت هایی مثل یاهو و یا گوگل استفاده شود که امکان سوء استفاده از اطلاعات کمتر باشد.

 

فرزندان خود را تشویق کنید تا با شما در استفاده از اینترنت و این که  آیا تا به حال مورد سوء استفاده بوده است یا خیر رو راست باشند. بسیاری از نوجوانان تلاش می کنند تا درباره این امر خودشان با شما ارتباط برقرار کنند که در غیر این صورت می تواند عواقب فاجعه باری را به دنبال داشته باشد. اگر فرزند شما از ماهیت اشخاص سوء استفاده کننده خبر داشته باشد بگذارد والدین دیگر و مسئولین مدرسه نیز در جریان قرار گیرند. اگر هم ناشناس باشد یادآور شوید که این یک مسئله شخصی نیست. متاسفانه بسیاری تصور می کنند که  چیزی را برای دیگران باید باز گو کنند که فقط جنبه تفریحی و خنده داشته باشد

+ نوشته شده در چهارشنبه بیست و دوم آذر ۱۳۹۱ ساعت 12:12 توسط حسين دقاق زاده  | 

IP من و YAHOO ?

 

آيا در هنگام يك chat معمولي IP شما محرمانه باقي مي ماند؟

فرض كنيد با YAHOO در حال chat كردن هستيد سرور YAHOO به تمام پيغام هاي فرستاده شده و دريافت شده به وسيله شما دسترسي دارد زماني كه مستقيمآ با شخصي به طور اختصاصي در حال chat كردن هستيد ديگر به وسيله سرور YAHOO با او در ارتباط نيستيد بلكه يك ارتباط مستقيم بين دو كامپيوتر وجود دارد اكنون هر كامپيوتر به عنوان يك سرور عمل مي كند و قسمت كوچكي از اين ارتباط به عهده YAHOO است. در اين حالت آدرس IP شما ممكن است لو برود و يك ارتباط كاملآ مستقيم برقرار شود.

آيا من مي توانم آدرس IP خود را مخفي كنم؟

بله بعضي از فايروال ها اين ارتباط دو به دو را مسدود مي كنند و YAHOO بايد از طريق سرور خودش به IP شما دست پيدا كند ولي براي webcam  اين روش عملي نيست و شما مي توانيد به طور غير مستقيم ( از طريق يك proxy ) به YAHOO Messenger متصل شويد.

صفحه log on را ببنديد ( cancel را فشار دهيد ) سپس برويد به:

 log in»preferences

 اطلاعات مربوط به سرور را آن گونه كه دلخواه شماست تنظيم كنيد.

اگر دوست نداريد IP شما در Buddy List ديگران باشد به سادگي روي IP آنها راست كليك كنيد و Remove Buddy را انتخاب كنيد تا خود را از ليست آنها حذف كنيد (اين هم يكي از راههاي لو رفتن IP شما است)

ابتدا از طريق http://edit.yahoo.com وارد سيستم Yahoo شويد (login شويد) سپس به اينجا برويد http://www.delta-knight.com/rem/index.htm

برچسب‌ها: شبکه های ادهاک بی سیم, نیت شبکه با استفاده از نرم افزار snort
+ نوشته شده در سه شنبه بیست و یکم آذر ۱۳۹۱ ساعت 7:48 توسط حسين دقاق زاده  | 

يك آدرس IP چيست؟

 

يك آدرس پرتكل اينترنت (IP) يك آدرس 32 بيتي (4 بايتي) يكتا است. كه هر كامپيوتر در اينترنت مي تواند داشته باشد و اين هويت هر كامپيوتر را در اينترنت معين مي كند و از اين طريق اطلاعات به كامپيوتر شما داده مي شود و از آن باز خواني مي شود بيشتر كاربران اينترنت كه به صورت dial up (شماره گيري از طريق خط تلفن) به اينترنت متصل مي شوند تقريباً هر بار كه آنها به اينترنت متصل مي شوند به وسيله يك IP جديد اين عمل انجام مي گيرد و تعداد اين آدرسها به رنج ISP (سرويس دهنده اينترنت به شما) وابسته است و اين يك آدرس IP ديناميك است ارتباطات دائم مانند DSL شانس بيشتري يا شايد بهتر است بگوييم بد شانسي بيشتري براي داشتن يك آدرس IP استاتيك يا دائمي و در نتيجه لو رفتن دارند يك آدرس IP مانند:

205.45.62.124

است.

هر كدام از شمارها مي توانند بين 0-255 باشند.

يعني 4228250625 عدد آدرس IP يكتا مي توانيد داشته باشيد

آنجه در بالا آمد خلاصه بود كه فقط براي آشنايي شما دوستان عزيز ذكر شد براي آشنايي بيشتر مي توانيد به سايت Yahoo يا سايتهاي ديكر كه در زمينه امنيت فعاليت مي كنند مراجعه كنيد

برچسب‌ها: آشنایی با Rss, آشنایی با vpn
+ نوشته شده در سه شنبه بیست و یکم آذر ۱۳۹۱ ساعت 7:43 توسط حسين دقاق زاده  | 

امنیت را جدی بگیرید!

 

همواره در وبگردی ها و كار با اینترنت مسئله ای كه می بایست توجه زیادی به آن كرد بحث امنیت در چگونگی استفاده از اینترنت و همچنین مرورگرهاست.

استفاده از مرورگرها برای انجام كارهای مختلف همچون دسترسی به حساب بانكی، یافتن موضوعات مورد نظر و ... علاوه بر مزیت های آن معایبی نیز دارد و می تواند ضررات جبران ناپذیری به شما برساند كه در این میان دو نكته را باید در نظر گرفت؛ كاربری كه از آن مرورگر استفاده می كند و نوع مرورگر و میزان امنیت آن...

در بحث امنیت در نظر گرفتن چند نكته می تواند نیاز افراد را تعریف كند.

**در ابتدا بحث امانت داری به میان می آید به این معنی كه اطلاعات فقط در اختیار کسانی قرار بگیرد که به آن نیاز دارند بعنوان مثال اطلاعات یك شركت فقط می بایست در اختیار افرادی كه در آن شركت هستند و مجاز به استفاده از آن هستند قرار بگیرد چرا كه بیرون رفتن قسمتی از پرونده محرمانه یک شرکت ممكن است خسارات جبران ناپذیری به آن تحمیل کند.

**نكته دوم یكپارچگی است. تمامی اطلاعات موجود در یك سیستم چه داخل و چه خارج از آن می بایست یكسان باشند و تغییری در آن ها مشاهده نشود.

** همچنین در بحث امنیت به مسائلی از قبیل شناسایی افراد به هنگام دسترسی آنها به سیستم، مشخص کردن هویت کاربر، مشخص کردن میزان دسترسی کاربر به منابع سیستم و ... می توان اشاره کرد.

كاربران برای آن كه بتوانند به اینترت متصل شوند اولین كاری كه می كنند به سراغ مرورگر خود می روند. وجود نقاط آسیب پذیر و یا عدم ارائه مسائل امنیتی مناسب،  کاربران را در معرض تهدیدات و حملات گسترده ای قرار خواهد داد .

در درجه اول تمامی كاربران می بایست مرورگرهای خود را به روز كنند چرا كه مرورگرهای به روز شده و جدید می توانند سایت های مخرب و آدرس های وب فیشینگ را شناسایی کنند و لینک های دانلود را بررسی كنند.

مرورگرهای به روز شده و جدید می توانند سایت های مخرب و آدرس های وب فیشینگ را شناسایی کنند و لینک های دانلود را بررسی كنند

در صورتی كه از مرورگری به جز IE استفاده می كنید می توانید در مرورگر خود به دنبال گزینه Help گشته و با استفاده از گزینه About مرورگر خود را Update كنید.

همیشه مراقب كوكی ها باشید

آن ها را تا حد امكان غیر فعال نگه دارید. كوكی ها موجب می شوند تا افراد غیر مجاز به اطلاعات شما دسترسی داشته باشند. در صورتی كه از یك كامپیوتر عمومی استفاده می كنید با غیر فعال كردن آنها پیشگیری های لازم را انجام دهید.

برای حذف كوكی ها تنها كافی است به بخش تنظیمات وارد شوید و گزینه‌ی Browsing History را انتخاب و اطلاعات ذخیره شده در این بخش را پاک کنید.

همچنین در مرورگری همچون اکسپلورر می‌توان پس از انتخاب Tools ، گزینه Internet Options را انتخاب کرد و با انتخاب  گزینه‌ Security tab ، سطح امنیتی مورد نظر را انتخاب کرد.

در مرورگر فایرفاکس، پس از انتخاب Option  و گزینه Tools ، با کلیک بر روی  Privacy و  Security، می توان سطح امنیتی مناسب را تعریف کرد.

جاوا را در نظر بگیرید

جاوا اسکریپت یکی از پر استفاده‌ترین زبان‌های اسکریپت نویسی است که در اکثر وب سایت‌ها مورد استفاده قرار می‌گیرد. همواره به پیام‌هایی که آنتی ویروس سیستم در این باره می دهند دقت کنید.

همچنین با انجام تنظیمات مناسب در مرورگرتان خطرات این نرم افزار‌ها را کاهش دهید.

همیشه محتویات فعال را به هنگامی كه از وب سایت‌هایی که درباره‌ی آنها شناخت کافی ندارید غیر فعال کنید. این كار امنیت شما را افزایش می‌دهد.

به آدرس اصلی سایت توجه بسیاری داشته باشید

در قسمت پایین مرورگر، نواری به نام نوار وضعیت (Status Bar)  وجود دارد که از مهمترین قسمت های مرورگر محسوب می شود. این نوار، اطلاعاتی از وضعیت مرورگر و لینک هایی که بر روی آن کلیک می كنید را نمایش می دهد. بهتر است که قبل از کلیک نمودن بر روی لینک ها، با بردن نشانگر ماوس بر روی آن ها، از آدرس اصلی لینک که در این قسمت قابل مشاهده است، مطلع شوید.

كوكی ها موجب می شوند تا افراد غیر مجاز به اطلاعات شما دسترسی داشته باشند. در صورتی كه از یك كامپیوتر عمومی استفاده می كنید با غیر فعال كردن آنها پیشگیری های لازم را انجام دهید

رمزهای عبود خود را در مرورگرتان ذخیره نكنید

بسیاری از مرورگرها این قابلیت را دارند كه رمزهای عبور حساب های کاربری صفحات login وب سایت ها را در كوكی ها ذخیره كنند.

اگرچه وارد کردن رمز عبور در هر بار login کردن اندکی از وقت شما را می گیرد اما انجام این کار باعث می شود اطلاعات مهمتان حفظ شود.

اگر از جمله افرادی هستید كه وقت برای شما بیش از این مسائل اهمیت دارد می توانید از نرم افزارهای مدیریت رمزهای عبور قدرتمند مانند LastPass استفاده کنید.

افزونه ها را با توجه به نیازتان نصب كنید

بسیاری از کاربران به نصب افزونه ها بدون آگاهی از قابلیت آنها علاقه بسیاری دارند، این كار باعث می شود سیستم آن ها در معرض تهدیدات جدی قرار بگیرد.

تنها افزونه هایی که بیشتر مورد استفاده قرار می گیرند را بر روی مرورگر خود نصب كنید و از نصب افزونه های اضافی خودداری شود. همچنین، در صورتی كه آن افزونه به روز می شود نسخه قبلی آن را پاک کرده و از نسخه جدیدتر استفاده كنید.

 

+ نوشته شده در دوشنبه بیستم آذر ۱۳۹۱ ساعت 8:46 توسط حسين دقاق زاده  | 

معرفي سرويس هاي مختلف پست الكترونيك

در اينترنت وب سايت هاي مختلفي خدمات پست الكترونيك (يا همان ايميل) را ارائه مي نمايند. ولي در ايران هموطنان ما علاقه خاصي به استفاده از سرويس هاي مختلف و پست الكترونيك يا ايميل ياهو دارند. كه البته يك سرويس تمام عيار و بي عيب نيست. بلكه معايبي هم دارد مثلاٌ كند است و گاه پيش مي آيد كه پيغام شما با تاخير به مقصد مي رسد. در ضمن ايميل ياهو از نظر امنيتي هم در سطح پاييني است علت آن هم ساده است چون اين سرويس كاربران زيادي دارد طبيعي است كه خرابكاران اينترنتي بيشتر روي آن سرمايه گذاري مي كنند و نرم افزار هاي فراواني براي هك كردن ايميل ياهو يافت مي شود. حال اگر شما فردي هستيد كه از ايميل خود استفاده زيادي مي كنيد و براي شما مهم است كه اطلاعات ايميل شما به دست افراد نا محرم نيفتد بهتر است سرويس هاي ديگر را امتحان كنيد، كه كمتر شناخته شده است. در همين راستا تعدادي از سرويس هاي معتبر پست الكترونيك را به شما معرفي مي نماييم.

1- GMail  سرويس جي ميل را همه مي شناسيم كه متعلق به گوگل است و فضاي زيادي هم در اختيار كاربران قرار مي دهد ولي به همان اندازه ياهو از نظر امنيتي در خطر است.

2- Inbox.com  اين سرويس هم يكي از بزرگترين خدمات دهندگان پست الكترونيك مي باشد ولي از نظر امنيتي در وضعيت بهتري قرار دارد و در زمان نگارش اين مقاله 5 گيگا بايت فضا در اختيار كاربر قرار مي دهد و بايد گفت فضاي قابل توجهي است.

3- Yahoo Mail  در مورد سرويس ياهو هم كه بهتر از من مي دانيد يكي از نقاط قوت بزرگ آن را مي توان در آنتي ويروس هاي قدرتمند آن دانست كه فايل هاي دريافتي شما را از نظر وجود ويروس چك مي كند.

4- AIM Mail  يك سرويس رايگان ايميل كه 2 گيگا بايت فضاي در اختيار شما قرار مي دهد و داراي سيستم چك ويروس و ضد اسپم است.

5- Goowy 

6- MSN Hotmail  اين سرويس هم خدمات قابل توجهي از جمله 2 گيگا بايت فضا و امضاي الكترونيكي و سازگاري با HTML را ارائه مي دهد

7- BigString  همه مزاياي يك سرويس ايميل و بيشتر از آن را در اختيار دارد.

8- My Way  يك سرويس پست الكترونيك قوي كه 125 مگابايت فضا در اختيار شما قرار مي دهد سرعت خوبي دارد و يك پورتال (مانند ياهو) هم هست. قبلا در باره اين سرويس و نحوه ساخت ايميل در ياد بگير دات كام مقاله اي ارائه شده است.

9- Care2  يكي از بزرگترين ارائه دهندگان خدمات پست الكترنيك در تمام دنيا كه سرويسي متفاوت است.

10- HotPop يك سرويس ايميل كه به صورت رايگان خدمات پست الكترونيك POP3 را ارائه مي دهد و شما با نرم افزار هايي مانند Outlook يا Thunderbird مي توانيد ايميل خود را چك كنيد.

+ نوشته شده در دوشنبه بیستم آذر ۱۳۹۱ ساعت 8:34 توسط حسين دقاق زاده  | 

امنيت سرور

۱- رسیدگی و مدیریت سرویس های میزبانی وب : نصب نرم افزار های مختلف و پیکربندی آنها و اشکال زدایی ، نصب سروسیس های جانبی
۲- پشتیبانی اضطراری ۲۴ ساعته در ۷ روز هفته
۳- نظارت بر پینگ سرور (Ping Monitoring) : زمان پاسخ سرور شما مورد نظارت قرار می گیرد و در صورتی که مشکلی رخ دهد ، یک ایمیل آگاهی ، ارسال می شود.
۴- نظارت بر سرویس های سرور : نظارت بر سرویس های سرور ، این اطمینان را به شما می دهد که بدانید سرویس های سرور شما از قبیل Web Server , Mail Server , DNS Server , Database Server و دیگر سرویس های سرور همیشه در حال اجرا می باشند . هنگامی که ، سرویسی با مشکلی مواجه شود ، شما توسط ایمیل مطلع خواهید شد.
۵- نظارت بر سرور و فایل های گزارش (Log File) : این سرویس به رسیدگی و نظارت بر روی فایل های گزارش (Log File) می پردازد ، تا از هر گونه گزارش سر نخ امنیتی و یا مشکلی بر روی سرور آگاه باشید.
۶- بروز رسانی (Update) امنیتی سیستم عامل (O/S) : بررسی جهت بسته های بروزرسانی سیستم عامل سرور و نصب آنها
۷- نظارت بر منابع سرور (Server Resource) : این سرویس به نظارت بر روی برنامه های سرور (Application) می پردازد تا آنها از منابع سرور نظیر CPU و حافظه بیش از حد مجاز استفاده ننمایند.
۸- تنظیمات مربوط به سرور Mail جهت ارسال صحیح ایمیل ها و عدم لیست شدن IP های سرور در لیست های سیاه (Black List)
۹- راه اندازی و نصب سرورهای VPS (سرور اختصاصی مجازی) [Virtual Private Server] لینوکس و ویندوز

برخی خدمات امنیت سرور ها :

۱- ایمن سازی سرویس های سرور
۲- نصب نرم افزار دیوار آتش (Firewall) : نرم افزار دیوار آتش iptables بر روی سرور نصب خواهد شد و بر اساس نیازهای کاربران بهترین تنظیمات بر روی آن اعمال خواهد شد.
۳- جلوگیری از حملات dos و ddos یا حملات تکذیب سرویس
۴- ایمن سازی PHP و وب سرور Apache
۵- نصب Anti RootKit
۶- تنظیم درست مجوزهای (Permission) فایل های هسته لینوکس جهت جلوگیری از انجام فعالیت های خطرناک
۷- جلو گیری از حملات Brute Force
۸- نصب و پیکربندی Anti Virus و Anti Dos
۹- رفع اشکال و بستن راه های نفوذ سرور هک شده
۱۰- بررسی و حل مشکلات کنترل پنل
۱۱- بهینه کردن سیستم عامل و غیر فعال کردن سرویس های بلا استفاده
۱۲- رفع مشکلات و سرنخ های امنیتی برنامه های وب معروف (Web Application) و تعمیر راه های نفوذ آنها
۱۳- محدود کردن دسترسی ها
۱۴- بررسی و چک کردن Account های روی سرور
۱۵- جلوگیری از اسکن پورت ها (Port Scanning)

برچسب‌ها: امنيت سرور, امنيت سرور هاست, استاد امنيت سرور
+ نوشته شده در پنجشنبه هجدهم آبان ۱۳۹۱ ساعت 13:50 توسط حسين دقاق زاده  | 

گفت وگو با مدیریت فناوری اطلاعات بانک ملت

گفت وگو با مدیریت فناوری اطلاعات بانک ملت

بانک ملت از آن دسته بانک‎هایی است که برای همه ایرانیان نامی آشنا و قابل اعتماد است. این بانک نام آشنا، بیشتر از ۱۰ سال است که به عنوان یکی از بزرگترین مشترکین شرکت مهندسی شبکه‎گستر از خدمات نرم‎افزار ضدویروس McAfee برای تامین امنیت کلیه شعب خود در سراسر کشور استفاده می‎کند. اگر چه تعیین وقت برای مصاحبه با مدیریت کل فناوری اطلاعات بانک ملت، کار چندان ساده‎ای نبود اما بالاخره مهندس “مرتضی تبریزی” وقتی را برای گفت‎و‎گو با روابط عمومی شرکت شبکه‎گستر قرار دادند.

وی که سوابق مدیریت شبکه و همچنین مدیریت خدمات نوین بانک ملت را در کارنامه کاری خود دارد، در این گفت و گو به بررسی وضعیت امنیت شبکه‎های بانکی و انتظاراتش از یک ضدویروس خوب پرداخته است.

  

- لطفاً در مورد شبکه سازمانتان، تجهیزات و وسعت آن توضیح بفرمائید.

شبکه بانک ملت، یک شبکه بزرگ (Enterprise) محسوب می‎شود. سازمانی با دو هزار و ۵۰۰ واحد بانکی، تجهیزات، پروتکل‎ها و سرویس‏های متنوع.

- از چه نوع فناوری‎ها و راهکارهایی برای تامین امنیت هر چه بیشتر شبکه‎تان بهره می‎برید

امنیت، گسترده‎ترین بحث در حوزه IT است و بر همه لایه‎ها و حوزه‎های فناوری اطلاعات تاثیرگذار است. ما هم سعی می‎کنیم تا با انواع فناوری‎های به روز و در دسترس، در همه لایه‎های فناوری، نسبت به ارتقاء سطح امنیت اقدام کنیم.

- تصمیمات مربوط به سیاست‎های امنیت شبکه سازمان چگونه اتخاذ می‎شود؟ نحوه بازنگری در این سیاست‎ها چگونه است؟

دپارتمان امنیت بانک، مستقلاً و به صورت فعال به کلیه بخش‎های IT بانک نظارت و سیاست‎های خود را به همه فعالان این بخش، منعکس می‎کند. همچنین پیگیری‎ها و نظارت لازم برای اجرا کردن این سیاست‎ها را نیز انجام می‎دهد.

آیا از مشاوران امنیتی خارج از سازمان خودتان هم استفاده می‎کنید؟ آیا پرسنلی مخصوص امور امنیت شبکه دارید؟ اگر جوابتان مثبت است چند نفر هستند؟

پرسنل واحد فناوری اطلاعات، آموزش‎های لازم را در مورد امور امنیت شبکه کسب می‎کنند. همچنین در صورت لزوم و با توجه به تنوع کاری و در موارد خاص، چنانچه لازم باشد از مشاوره افراد ذی‎صلاح و مشاوران خارج از بانک نیز استفاده می‎شود. 

- از اوایل دهه ۸۰، بانک ملت به عنوان یکی از سازمان‎های بزرگ بر بحث امنیت شبکه سازمانی خود تاکید کرده و برای تامین امنیت این شبکه از ضدویروس McAfee استفاده کرده است. لطفاً در مورد وضعیت محافظت از شبکه‎های بانک در برابر ویروس‎ها قبل از همکاری با شبکه‎گستر و McAfee توضیح بفرمائید؟

تا قبل از این، هر واحد به صورت مستقل نسبت به انتخاب و نصب محصول ضدویروس بر روی رایانه‎ها اقدام کرده و به دلیل عدم امکان کنترل متمرکز بر این موضوع و وابستگی امر به توجه کاربران در خصوص لزوم به روز رسانی نرم‎افزارهای ضدویروس، متاسفانه در اغلب اوقات، به روزرسانی نرم‎افزار به صورت مرتب انجام نمی‎شد و به تبع آن شبکه بانک را با مشکلات متعددی مواجه می‏کرد. از طرفی امکان شناسایی سریع منابع انتشار آلودگی فراهم نبود و این امر، پروسه رفع مشکل را با تاخیر مواجه می‎کرد به همین دلیل اگرچه به صورت پراکنده تعدادی از شعب از خدمات نرم‎افزار ضدویروس McAfee شبکه‎گستر استفاده می‎کردند اما تصمیم بر آن شد تا به صورت سراسری برای تامین امنیت شبکه کلیه شعب از خدمات ضدویروس McAfee استفاده شود.

- چرا شبکه گستر را انتخاب کردید؟

دلایل مختلفی وجود دارد که چرا بانک ملت شرکت مهندسی شبکه‎گستر را به عنوان ارائه‎دهنده راه‎حل‎های امنیتی و نرم‎افزار ضدویروس، انتخاب کرد. اما مهمترین دلایل این انتخاب عبارتند از:

- پشتیبانی مناسب  توسط گروه پشتیبانی فنی

- تعامل مناسب بخش‎های مختلف شرکت اعم از بخش‎های فروش، پشتیبانی، طراحی وب سایت، روابط عمومی و…

- برخورداری از وب سایت‏های فارسی زبان و مستندات راهنمای کاربری متعدد

- چه انتظاری از یک ضدویروس خوب دارید و McAfee تا چه حد توانسته انتظارات شما را برآورده کند؟

به عقیده بنده مهمترین ویژگی یک ضدویروس خوب، داشتن ابزار مدیریت متمرکز با قابلیت نصب خودکارAgent  نرم‎افزارهای ضدویروس برروی رایانه کاربران و حذف ضدویروس‎های متفرقه موجود است. همچنین دارا بودن امکان کنترل متمرکز جهت اعمال سیاست‎های مورد نظر و دارا بودن تنوع بسیار در تهیه گزارشات آماری مورد نیاز نیز باید مورد توجه قرار گیرد. از دیگر ویژگی‎های یک ضدویروس خوب می‎توان به موارد زیر نیز اشاره کرد:

  • مصرف کم منابع، به گونه‏ای که نصب آن، سبب کندی رایانه نشود.
  • برخورداری از  چندین افزونه (Module)و برنامه در بسته نرم‎افزار: یکی دیگر از ویژگی‎های مورد نظر در یک ضدویروس، استفاده همزمان از چندین افزونه(Module) از قبیل سیستم‎های تشخیص و جلوگیری از نفوذ (IDS  و IPS)، نرم‎افزار ضد جاسوسی(Antispyware) و … در بسته نرم‎افزاری است.
  • کاربری ساده: یکی دیگر از مهمترین ویژگی‎های یک ضدویروس خوب، ساده بودن محیط کاربری ضدویروس است.
  • قدرت عملیاتی ضدویروس در تشخیص یک کد مخرب: مدت زمان تشخیص یک ویروس جدید و خطرناک، ضریب دقت بالا در شناسایی و ثبت آن در بانک اطلاعاتی شرکت تولید کننده ضدویروس، یکی دیگر از پارامترهای مهم در انتخاب
    ضدویروس خوب است.
  • دارا بودن قابلیت شناسایی انواع فایل مخرب با پسوندهای مختلف
  • حجم فایل‎های به روزرسانی روزانه نرم‎افزار(Update): در صورت کوچک بودن حجم فایل‎های به روز رسانی، امکان به‎روزرسانی رایانه‎ها در یک محیط Enterprise افزایش یافته و همچنین پهنای باند کمتری از شبکه برای انجام اینکار، اشغال می‎شود .
  • شناسایی صحیح(Correct Detection): قدرت ضدویروس‎ها در شناسایی صحیح انواع کدهای مخرب و یا به بیان دیگر ضدویروس، False-Positive و False-Negative کمتری در معرفی و تشخیص یک کد مخرب داشته باشد.
  • برخورداری از الگوریتم‎های هوش مصنوعی برای شناسایی کدهای مخرب جدید که کدهای شناسایی (Signature) آنها هنوز در بانک اطلاعاتی نرم‎افزار ضدویروس، قرار نگرفته است.
  • ارائه خدمات پشتیانی مناسب: یکی از کلیدی‎ترین پارامترها در سطح شبکه‎های وسیعی همچون بانک‏ها، ارائه خدمات پشتیبانی مناسب توسط شرکت ارائه‎دهنده ضدویروس است. از مهمترین خدمات پشتیبانی که دریافت آنها بسیار حائز اهمیت است می‎توان به ارسال به هنگام اخبار انتشار انواع کدهای مخرب حیاتی (Critical) و نوع تخریب آنها، رفع سریع مشکلات ایجاد شده، ارائه ابزارهای پاکسازی مستقل، اطلاع‎رسانی و آموزش مناسب به راهبران از طریق
    پشتیبان‎های فارسی و… اشاره کرد

در طول اشتراک چندین ساله بانک ملت و استفاده از خدمات شرکت شبکه‎گستر از نرم‎افزار ضدویروس McAfee می‎توان گفت که این ضدویروس تا حدود زیادی، نیاز بانک را برآورده کرده است. اما از مشکلات این نرم‎افزار در کنار سایر مزایایی که در بالا به آن اشاره کردم نیز می‎توان به حجیم بودن خود نرم‎افزار و فایل‎های به روزرسانی روزانه آن و به تبع آن مصرف زیاد منابع تخصیص یافته و کندی رایانه‎ها اشاره کرد.

- عقیده و نظر شخص شما درباره این جمله چیست: “نرم‎افزار ضدویروس باید بتواند تمام ویروس‎ها را آناً شناسائی و پاکسازی کند.”

با توجه به تنوع و گستردگی و همچنین سیر صعودی یا به بیان دیگر، سیر نجومی تولید و انتشار کدهای مخرب، امکان تشخیص سریع و آنی این کدهای مخرب، مستلزم حجیم بودن بانک اطلاعاتی نرم‎افزار و فایل‎های به روز رسانی است. البته امروزه شرکت‎های مختلف، سیاست های متفاوتی از جمله Signature-Base و Anomaly-Base را در خصوص نحوه شناسایی و برخورد با موارد مشکوک به آلودگی، اتخاذ می‏کنند. این در حالیست که در روش‎های شناسایی مبتنی بر رفتار غیرمتعارف، علیرغم شناسایی تعداد بیشتری فایل به عنوان کد مخرب، به همان نسبت احتمال خطا در شناسایی صحیح
 (Correct Detection) کد مخرب نیز بالاتر خواهد بود که این امر می‌بایست در معیارهای انتخاب نرم‌افزار ضدویروس به ویژه در محیط‏های تجاری مدنظر قرار بگیرد.

بانک ملت یکی از مشتریان شناخته شده و در عین حال قدیمی شبکه‎گستر به حساب می‎آید و شخص شما نیز در مورد هماهنگی امور مربوط به امنیت شبکه‎تان معمولاً بسیار فعال عمل می‎کنید. مثلاً مواردی پیش آمده که ظرف مدت زمان کوتاهی تقاضای گزارش‎های مختلفی از همکاران پشتیبانی داشته‎اید و البته همکارن، اگرچه برای ارائه خدمات به موقع تحت فشار قرار گرفته‎اند اما سعی شده است در هر ساعتی بهترین خدمات را به شما ارائه کنند. به عنوان سوال اول چرا دریافت خدمات پشتیبانی از همکاران را در کوتاه‎ترین زمان ممکن انتظار دارید؟ آیا واقعاً این خدمات با آن کیفیتی که مورد نظر شما بوده، ارائه شده است؟ 

سرعت و کیفیت در امر پشتیبانی مناسب نرم‎افزار ضدویروس، از پارامترهای کلیدی برای بانک ملت بشمار می‎آید که آن را پیگیری می‎کند. این امر می‎تواند ضمن اطلاع‎رسانی به موقع موضوع به افراد ذیربط در سطح بانک، موجبات انجام اقدامات پیشگیرانه به جای اقدامات واکنشی را فراهم کند. خوشبختانه شرکت شبکه‎گستر نیز با درک اهمیت این موضوع، در اغلب موارد همکاری مناسبی با کارشناسان بانک به عمل آورده است که در همین جا از یکایک این عزیزان تشکر می‎کنیم.

- طی گفت و گویی که مدتی قبل در مورد درج یک خبر در مورد پیشتاز بودن محصولات McAfee در امر حفاظت از اطلاعات داشتیم، متوجه پیگیری اخبار از سوی کارشناسان شما در رسانه‎های مختلف شدیم. آیا همچنان اخبار مربوط به فعالیت‎های شبکه گستر را در رسانه‎ها دنبال می‎کنید؟

این حساسیت، صرفاً در خصوص پیگیری وضعیت نرم‎افزار ضدویروس McAfee نبوده و بانک ملت همواره برای ایجاد امنیت بیشتر در سطح شبکه خود و شناسایی محصولات مناسب که پاسخگوی نیازهای ما باشد، در تلاش برای بررسی وضعیت محصولات امنیتی مختلف است و البته جای خوشحالیست که در اغلب موارد، محصولات McAfee این اطمینان  خاطر را در خصوص انتخاب صحیح این محصول ضدویروس برای استفاده در سطح گسترده‎ای چون شبکه بانک ملت، فراهم کرده است.

در همان زمان متوجه شدیم که از رقبای ما در زمینه امنیت شبکه و اطلاعات نیز ایمیل‎هایی دریافت می‎کنید. طبیعی است شرکت‎های دیگری که خدمات مشابه شبکه‎گستر را عرضه می‎کنند، با بانک ملت تماس داشته باشند و محصولات و خدمات خود را معرفی کنند ولی گهگاه هم ممکن است پیش آمده باشد که بخواهند وجهه ما را نزد شما تغییر دهند. این نوع رفتارها تا چه حد تاثیرگذار است و در عمل، چگونه این رفتارها و اطلاعات را ارزیابی و از آنها نتیجه‎گیری می‎کنید؟

در این خصوص، باید به این نکته اشاره کرد که بانک ملت در برخورد با این مقوله، دو پارامتر مشخصات نرم‎افزار و خدمات پشتیبانی ارائه شده توسط شرکت پشتیبان را مورد توجه قرار می‎دهد. بدیهی است که بانک ملت،  به منظور برخورداری از شبکه‎ای ایمن از وجود کدهای مخرب، قابلیت نرم‎افزارهای ضدویروس مختلف معرفی شده توسط شرکت‎های دیگر را نیز بررسی می‏کند. البته، مادامیکه نیازهای بانک از یک نرم‎افزار ضدویروس مناسب مانند سرعت بالا در تشخیص صحیح بدافزارها، مصرف کم منابع و … تامین شود و کیفیت خدمات پشتیبانی ارائه شده از سوی شرکت پشتیبان، مطلوب و مناسب باشد؛ خللی در تصمیم بانک برای استفاده از نرم‎افزار ضدویروسMcAfee  ایجاد نخواهد شد.

- و سئوال آخر، از روی کنجکاوی، روی کامپیوتر منزلتان چه ضدویروسی دارید ؟

McAfee

 

برچسب‌ها: امنیت بانک, دوره امنیت شبکه بانک, تدریس امنیت شبکه, جزوه امنیت شبکه
+ نوشته شده در جمعه دوازدهم آبان ۱۳۹۱ ساعت 16:39 توسط حسين دقاق زاده  | 

بانک داری الکترونیک

سیستم های بانکداری الکترونیکی این امکان را برای کاربر فراهم می کند تا سریع و آسان کلیه کارهای بانکی خود را از طریق تلفن ثابت، تلفن همراه(WAP)، دستگاه های خود پرداز(ATM) و یا اینترنت انجام دهد. باگسترش فناوری انواع سیستم های بانکداری الکترونیکی نیز ایجاد شده است که هر یک از آنها ابعاد تازه ای را در زمینه تبادل اطلاعات میان کاربر و بانک ارایه کرده که از ATMها می توان به عنوان نخستین سیستم شناخته شده در بانکداری الکترونیک اشاره کرد. ۳۰۰ هزار پایانه کارت اعتباری سهم ایران از ۳۷ میلیون پایانه در جهان بسیاری از کارشناسان دستگاه های خودپرداز را سرآغازی در بانکداری الکترونیکی می دانند.
عبدالحمید منصوری، معاون فناوری اطلاعات شرکت تجارت الکترونیک پارسیان می گوید: طبق بررسی‌های صورت گرفته توسط بانک مرکزی، ۳۰۰ هزار دستگاه کارت خوان باید در سراسر کشور نصب شود تا پدیده کارت الکترونیکی در کشور به صورت عمومی درآید.
او می‌گوید: برای فراگیر شدن این تکنولوژی در کشور، باید ۱۰ میلیون کارت در اختیار کاربران قرار گیرد و علاوه بر تمرکز روی این فناوری به عنوان پول الکترونیکی باید با فرهنگسازی لازم، بستر رشد این تکنولوژی فراهم شود.وی با اشاره به نقاط ضعف و قوت پول الکترونیکی می‌گوید: نقاط ضعف موجود در پول الکترونیکی، بسیار پایینتر ار نقاط قوت آن است و برای فراگیر شدن این پدیده در کشور، سرمایه‌گذاری‌های سنگین و برنامه‌ریزی منسجم موردنیاز است.
منصوری می افزاید: در سراسر جهان، ۳۷ میلیون پایانه کارت اعتباری وجود دارد، ولی متاسفانه سهم ایران از این تعداد ۳۰۰ هزار پایانه است که آن هم در صورت نصب تمامی پایانه‌ها محقق خواهد شد. بانک مرکزی عهده دار تامین امنیت نرم افزاری است
مهمترین و شاید اصلی ترین موضوع در بانکداری الکترونیک بحث امنیت است و نخستین موضوع مهم در بحث امنیت، ایجاد یک کانال امن است تا داده ها یکپارچه و با اطمینان میان کاربر و بانک تبادل شود. مهندس رحیمی صفت، مدیر فناوری اطلاعات بانک اقتصاد نوین، پس از تقویت زیر ساخت های ارتباطی لازم ، امنیت را مهمترین اصل برای ایجاد بانکداری الکترونیکی می داند.
او معتقد است که سخت افزار و نرم افزاری که بتواند امنیت کامل را ایجاد کند در ایران وجود ندارد و می گوید: هر چه توان امنیتی در سیستم ها افزایش یابد به طبع آن قدرت هکرها نیز بالا میرود.
رحیمی صفت بر این باوراست که امنیت سخت افزاری بر عهده خود بانک ها است اما امنیت نرم افزاری را بانک مرکزی باید تامین کند.
نبود امنیت های لازم در سیستم بانکداری الکترونیکی ، مشتریان خدمات مالی و اعتباری را بر این باور رسانده است که استفاده از بانکداری الکترونیکی با شکست روبه رو خواهد شد.
بیمه یا امنیت؟ مسئله کدام است؟
حمیدرضا مختاریان، مدیر امنیت شبکه و سیستم های بانکداری الکترونیک، معتقد است امنیت زیر شاخه بانکداری الکترونیک است.
او می گوید: در هیج جای جهان امنیت صد درصد وجود ندارد و مهمترین دلیل آن هم مشکلات به وجود آمده در نرم افزارها و تغییرات روزافزون آنها است. به اعتقاد مختاریان امنیت در سیستم های بانکداری الکترونیکی در مدیریت ریسک به وجود می آید.
او با اشاره به بیمه کارت های اعتباری در سراسر جهان می گوید: مدیریت ریسک با بررسی سیستم های الکترونیکی تصمیم می گیرد که در کدام نقطه از شبکه هزینه بیشتری برای تامین امنیت باید صرف شود و در کدام قسمت نیز صرف هزینه برای ایجاد امنیت بی مورد است. مهمترین فاکتور در برقراری امنیت، نگهداری و بروز رسانی سیستم های امنیتی است. برای بالا بردن امنیت در سیستم های مالی الکترونیکی هزینه های بیشماری باید صرف شود به همین دلیل باید کلیه تراکنش های مالی بررسی شود تا مشخص گردد در چه مراحلی صرف هزینه برای بالا بردن امنیت مقرون به صرفه است. تامین امنیت بانکداری الکترونیک، متولی ندارد
یکی از بحث های مهمی که امروزه در بانکداری الکترونیکی به وفور به آن پرداخته می شود، فراگیر شدن بهره گیری از e-bankingدر بین مشتریان است. مشتریان تا چه اندازه به خدمات بانکداری الکترونیکی اعتماد دارند؟ چگونه باید این اعتماد در بین متقاضیان ایجاد شود؟ آیا در ایران امنیت به معنای بین المللی تعریف می شود؟ اینها سئوالاتی است که ذهن بسیاری از مشتاقان تجارت اینترنتی را به خود جلب کرده است. روش های گوناگونی در ایران برای برقراری امنیت در سیستم های مالی الکترونیکی به وجود آمده است که بسیاری از کارشناسان تعدد این راهکارها را مهمترین علل در سردرگمی مشتریان می دانند.مختاریان در این زمینه می گوید: برای بررسی و برقراری امنیت در سیستم های بانکداری الکترونیکی باید شورایی همانند شورایعالی امنیت فضای تبادل اطلاعات کشور، به وجود آید و راهکاری اصلی برای این مهم در نظر گرفته شود.
او به وظیفه بانک مرکزی در این میان اشاره می کند و می گوید: بانک مرکزی باید بر عملکرد بانک ها در زمینه ایجاد بانکداری الکترونیکی نظارت داشته باشد. هدف ما جلب اعتماد مشتریان است کارشناس امنیت شبکه ، در ادامه می گوید: برای اینکه بتوانیم مشتریان را به سمت بانکداری الکترونیکی جذب کنیم باید اعتماد آنها را نسبت به این مقوله جلب نماییم. او به روش های متفاوت القا امنیت اشاره می کند و می گوید: این روش ها در جهان متداول نیست چون حس اعتماد در بین مخاطبان حارجی ایجاد شده است. مختاریان با اشاره به استفاده از Device های سخت افزاری می گوید: در این فناوری هر بار فرد قصد اتصال به شبکه بانکی را داشته باشد باید دستگاه مورد نظر را به کامپیوتر متصل کرده که توسط آن یک کد امنیتی یک بار مصرف به مقصد ارسال می شود که صحت دارنده اصلی حساب را تایید می کند و قبل از خروج از سیستم نیز کد امنیتی دیگر به حافظه دستگاه برای استفاده مجدد ارسال می شود. وی به دریافت SMS در هنگام اتصال به شبکه بانکی به عنوان روشی دیگر اشاره می کند و می گوید در این روش نیز هنگامی که فرد وارد شبکه بانکی می شود به او SMS زده می شود که همین امر باعث می شود اعتماد فرد به امنیت موجود در شبکه افزایش یابد.
بانک مرکزی: پرداخت اینترنتی در گرو کد دوم
پس از آنکه یک سایت جعلی از طریق سیستم شتاب ، کلاهبرداری کرد،بانک مرکزی پرداخت های اینترنتی را برای بانک های عضو شتاب منوط به ارایه کد امنیتی دوم، موسوم به کد پرداخت اینترنتی دانست. این دستورالعمل در حالی صادر شده است که ۶ ماه پیش بانک مرکزی دستور پرداخت اینترنتی را برای تمامی بانکهای عضو شتاب صادر کرده بود. به زعم بسیاری از کارشناسان، مهمترین عامل برای ارایه چنین دستورالعملی بالابردن فضای امنیتی در پرداخت های اینترنتی است. صدور کد پرداخت اینترنتی بنا به مشکلات مالی و اعتباری میان بانک ها مقرون به صرفه نیست. این در حالی است که تنها راه رسیدن به پرداخت های اینترنتی از دید بانک مرکزی وجود کد دوم و تامین سخت افزارهای امنیتی مورد نیاز است. بی شک، امنیت مهمترین مسئله در ایجاد تجارت الکترونیک است. جا دارد مسوولان نظام بانکی کشور با در نظر گرفتن شرایط سخت افزاری و نرم افزاری موجود و نیز تاسیس بیمه های کارت های اعتباری، ریسک موجود در داد وستدهای دیجیتالی را پایین آورده و گام های سریع تری را در ارایه خدمات تجارت الکترونیکی بردارند.

WordNews

برچسب‌ها: دوره امنیت شبکه, سرفصل دوره امنیت شبکه, تدریس امنیت شبکه, جزوه امنیت شبکه
+ نوشته شده در جمعه دوازدهم آبان ۱۳۹۱ ساعت 16:38 توسط حسين دقاق زاده  | 

كم توجهی بانك ها به امنيت اطلاعات

كم توجهی بانك ها به امنيت اطلاعات

"در این سند به بانک ها توصیه شده که سازمان" "ASMS را ایجاد کنند به طوریکه در این سازمان همیشه افرادی هستند که سیستم ها را رصد می کنند تا نقاط نفوذ را تشخیص دهند ،علاوه بر این آنها فرمول ها وراه حل های پیشگیری از ایجاد نفوذ رانیز طراحی می کنند ."
بانکداری الکترونیک: در حالیکه معاون فناوری اطلاعات بانک پارسیان معتقد است ده درصد هزینه های عملیات IT وفناوری اطلاعات باید به امنیت تفکری ،آموزشی ومدیریتی (به غیر از تجهیزات) اختصاص یابد برخی کارشناسان شبکه بانکی معتقدند در ایران تنها نیم درصد از هزینه های ITصرف امنیت شبکه واطلاعات می شود.
عبدالحمید منصوری ،معاون فناوری اطلاعات بانک پارسیان،با بیان اینکه امنیت یکی از زیرساختهای بانکداری الکترونیک است گفت:"هزینه هایی که برای امنیت شبکه بانکی باید اختصاص یابد ،حوزه های امنیت تفکری ،مدیریتی،نرم افزاروتجهیزات شبکه را دربرمی گیرد."

وی با اشاره به سند امنیت فناوری اطلاعات که از سوی کارگروه امنیت بانکداری الکترونیک ابلاغ شده ،عنوان کرد:"اهمیت امنیت به اندازه ای است که حتی در سند مزبور نیز مشخص شده که باید درصدی از بودجه IT صرف مباحث تفکری وآموزشی امنیت (به غیر از تجهیزات) شود."

منصوری در ادامه عنوان کرد:"در این سند به بانک ها توصیه شده که سازمان" "ASMS را ایجاد کنند به طوریکه در این سازمان همیشه افرادی هستند که سیستم ها را رصد می کنند تا نقاط نفوذ را تشخیص دهند ،علاوه بر این آنها فرمول ها وراه حل های پیشگیری از ایجاد نفوذ رانیز طراحی می کنند ."

وی در خصوص این سوال که از زمان ابلاغ سند امنیت فناوری اطلاعات چه اقداماتی صورت گرفته،گفت:"اکثر بانک ها فعالیت خود را درراستای اجرای این سند آغاز کرده اند اما مسایل امنیتی باید مقداری مسکوت باشد."

رییس کارگروه امنیت فناوری اطلاعات افزود:"در یکی از بند های مهم این سند به تداوم عملیات اشاره شده است به طوریکه وقتی سرویس شبانه روزی ایجاد می شود باید تداوم هم داشته باشد بنابراین در این سند بر ایجاد سایت های پشتیبان تاکید شده است به طوریکه تا قبل از ابلاغ این سند ایجا سایت در دستور کار بانکها نبود اما از زمان ابلاغ ان در دستور کار قرار گرفت وبانک ها ملزم شدند دوسایت داشته باشند که اگر برای یکی مشکلی پیش آمد سایت دوم در لحظه وارد مدار شود وپشتیبانی کند ."

منصوری ادامه داد :"علاوه بر این ،ایجاد سایت بحران از دیگر مواردی است که در سند به ان اشاره شده به طوریکه حتما باید در شهر دیگری باشد بنابراین در سند امنیت براین اقدامات به عنوان تداوم عملیات بانکی تاکید شده است."

وی با اشاره به تست نفوذ پذیری به عنوان یکی دیگر از مباحث مطرح در سند امنیت عنوان کرد:"تست نفوذ پذیری باید سالی دوبار توسط بانک ها صورت پذیرد زیرا کسی که از بیرون مسایل را رصد می کند ودر این زمینه نیز تخصص دارد بهتر می تواند نقاط نفوذ را تشخیص داده وبه بانک ها اطلاع دهد."

معاون فناوری بانک پارسیان افزود:"در سیستم شبکه یکسری استانداردهایی وجود دارد از جمله اینکه شبکه زمینی حتما باید باشد ودر شبکه زمینی هم یک سازمان متولی وجود دارد به طور مثال فیبر نوری را هر کسی نمی تواند پیوند بزند واطلاعات را دریافت کند ویا هر کسی نمی تواند گلوگاههای مخابراتی را شنود کند بنابراین می توان گفت از این لحاظ نظام امنیتی مناسبی حاکم است."

منصوری با بیان اینکه از وایرلس v100باید به عنوان آبشن دوم استفاده شود،اظهار داشت:"شبکه زمینی متعلق به کشور است واصولا داده ها از طریق آن بیرون نمی رود اما در خصوصv100 باید گفت این امکان وجود دارد که داده ها مورد نفوذ قرار بگیرد ."

وی در این خصوص افزود:"البته از انجا که جابجایی ها از طریق استاندارد سوئیفت انجام می شود اگر داده ها مورد نفوذ واقع شود وتغییرکند تنها حس اطمینان خدشه دار می شود وضرر مالی چندانی ایجاد نمی گردد بنابراین v100در این گونه موارد ممکن است مخاطره ایجاد کند."

منصوری با بیان اینکه مخابرات موظف است از شبکه بانکی محافظ کند،عنوان کرد:"اما خود بانک ها هم در این خصوص وظایفی دارند به طوریکه فعالیت واقدامات خود بانک ها برای ایجاد امنیت بسیار مهم است."
برچسب‌ها: امنیت شبکه, تدریس امنیت شبکه, دوره امنیت شبکه, هک بانک
+ نوشته شده در جمعه دوازدهم آبان ۱۳۹۱ ساعت 16:36 توسط حسين دقاق زاده  | 

مشکلات امنیتی سیستم های بانکی


 




موضوع امنيت، يکی از اصول مهم در ايجاد و گسترش شبکههای کامپيوتری است، و امروزه با توسعه روزافزون استفاده از شبکه در امور مختلف زندگی، توجه و به کارگيری آن به ويژه پس از خطرات و حملات فراوان به شبکهها، اهميت خود بيش از پيش نشان میدهد.
   متاسفانه در کشور ما، با وجود زمينه و علاقه فراوان به گسترش شبکهها و استفاده از آن، هنوز آنچنانکه بايد به موضوع امنيت توجه نمیشود، و طبيعی است در زمينههای حساس و مهم مانند بانکداری (که هنوز در ابتدای راه به کارگيری آن هستيم) نيز اين مشکل وجود دارد.
   به بهانه خبری که اخيرا در باره حمله به يک سيستم شبکه بانکی در کشور، و نتيجتا بروز خسارات فراوان منتشر شد، با مهندس بهرنگ فولادی کارشناس شبکههای کامپيوتری که به ويژه در زمینه امنيت شبکهها فعاليت دارد گفتوگويی کردهايم که نظراتش را در اين خصوص می خوانيد.

 

س: قبل از هر چيز، اصولا فكر میكنيد در كشور ما پيشرفتی در زمينه بانكداری الكترونيك به وجود آمده است؟

ج: از چند سال پيش با پيشرفت شبکههای رايانهای در سيستمهای بانکی کشور، شکلهای محدودی از خدمات بانکداری الکترونيک در اختيار مشتريان بانکها قرار داده میشود. عمده اين خدمات شامل حسابهای سراسری و کارتهای خودپرداز (به شکل Debit Card) قابل استفاده در ماشينهای خودپرداز(ATM) میشوند و هنوز خدماتی به شکل Credit-card , Merchant account به علت وجود مشکلات قانونی و فنی عرضه نمیشود.

س: اين سرويسها و خدمات مورد ارزيابی هم قرار گرفتهاند؟

ج: تا اين زمان مشتريان و افراد زيادی از مشکلات زياد اين سرويسها مانند وقفههای پياپی در سرويس و کندی آن اظهار نارضايتی داشتهاند.

س: در خصوص اين مشكلات، معمولاً چه توضيحاتی ارائه میشود؟

ج: مشکلات مربوط به وقفههايی كه مشتريان غالباً با آنها موجه میشوند، عمدتاً به عواملی مانند پارازيت و عوامل جوی نسبت داده میشود، در صورتی که افراد آشنا به مسائل ارتباطات ماهوارهای (که در بيشتر اين سيستمها بکار گرفته شده) اطلاع دارند که علت اين مشکلات در نوع سرويس ارتباطی و پهنای باند خريداری شده است. مطرحترين اين سيستمها از روش TDMA درسرويس ارتباطی خود استفاده میکند که بر اساس اشتراک زمانی در استفاده از پهنای باند عمل میکند. اين روش با وجود ارزان بودن دارای نواقصی چون کندی شبکه و ناپايداری ارتباط در پهنای باند کم و تعداد node زياداست (کارکرد اين نوع شبکهها مشابه شبکههای حلقهای Ring است). پهنای باند کلی خريداری شده برای يکی از مطرحترين اين سيستمها 1Mbps/s است که در مواقعی جوابگوی حجم بالای دادهها نيست.

س: با توجه به تخصص شما در زمينه امنيت شبكه، بيشتر منظور ما ارزيابی امنيت موجود در اين خدمات است...

ج: متاسفانه ضعفهای امنيتی اين سيستمها كم نيست، ولی خيلی كم به آنها توجه شده است. در باره ضعفهای امنيتی اين نوع سيستمها، انتظار میرفت که طراحان و مجريان سرويسها از تجربيات و روشهای امنيتی بکار گرفته شده در سيستمهای بانکی کشورهای پيشرفته که حداقل 10 سال جلوتر از ما اين سرويسها را پيادهسازی کرده و در محيط پر خطر از نظر ميزان نفوذ و حملهها، تجربه عملی کسب کردهاند، استفاده میکردند. اما متاسفانه در مواردی به علت عدم آگاهی و دانش کافی مجری سيستم و نيز عدم رقابتی بودن اجرای چنين پروژه هايی نکات امنيتی و حفاظتی ناديده گرفته شده اند.

س: با توجه به اهميت امنيت در سيستمهای بانكی به دليل تاثيرات مستقيم مالی بر مردم و دولت، منشاء بيشتر اين ضعفهای امنيتی از نگاه شما چيست؟

ج: در کل فرهنگ استفاده از مشاورههای امنيتی و تستهای امنيتی (Penetration Test) در جامعه IT کشور و متوليان اجرای پروژههای IT ضعيف است. از طرفی در اين مورد خاص انحصاری نمودن اجرای پروژههای بانکی به يک مجموعه يا شرکت خاص باعث شده که مجال ارائه مشاوره و پيشنهادات در مورد امنيت سيستم از گروههای فعال و متخصص در اين زمينه گرفته شود. به عنوان مثال مواردی وجود داشته است که گزارش يک ضعف امنيتی داده شده و برای ارائه راهکار اعلام آمادگی شده است اما عموما با موضعگيری مجموعه مقابل يا پيمانکاران آنان مواجه شدهايم و عملا از پيگيری موضوع دلسرد شدهايم. متاسفانه اين ديد در بسياری از شرکتهای متخصص اجرای طرحهای نرمافزاری يا سيستمهای رايانهای وجود دارد که کد يا سيستم طراحی شده توسط آنان هيچ ايراد يا ضعف امنيتی ندارد در صورتی که متخصصان آنان شايد در زمينه برنامهنويسی ، توليد نرمافزار يا پيادهسازی شبکههای رايانهای خبره باشند اما نمیتوان ادعا کرد که در زمينههای امنيتی نيز که خارج از تخصص شرکت است، احاطه کامل دارند. به قول معروف همه چيز را همگان دانند.
 در صورت ادامه چنين روندی، متاسفانه میتوان پيشبينی کرد که در آيندهای نزديک در سيستمهای رايانهای عمومی ديگر شاهد بروز چنين وضعی باشيم.

س: با توجه به خبر منتشره در يكی از سايتها در باره خسارت مالی زياد يك بانك به دليل نقائص امنيتی، از آنجا كه جزئيات زيادی از آن منتشر نشده، شما در اين زمينه چيزی شنيدهايد؟ و نقص مورد نظر از ديد شما چه بوده است؟

ج: در مورد نام بانک و شرکت مجری سيستم آن به علت تبعات احتمالی آن نمیتوانم اظهار نظر کنم. سيستمهای بانکی فعلی يک سری ضعفهای امنيتی مشترک و کلی در بستر ارتباطی خود دارند که البته در اين مورد خاص بعيد میدانم که از اين ضعف برای نفوذ استفاده شده باشد. بيشتر احتمال روی نفوذ به شبکه شرکت مجری طرح که وظيفه مونيتورينگ سيستم را داشته از طريق يک اتصال اينترنتی محافت نشده مانند Gateway خريد Online بانک يا خطوط Dial-up است.

س: آيا از وجود برنامه و ساختار فنی مناسب برای بررسی امنيتی سرويسهای مختلف در بانكها اطلاعی داريد؟

ج: مسلما مجری اين طرحها که تابحال يک شرکت خاص بوده است، در اين زمينه ادعا دارد که البته قابل توجه و بررسی است. اما چيزی که واضح است اين است که امور امنيتی چنين طرحهای حساسی بايد به شرکتها و مجموعههای متخصص در زمينه امنيت رايانهای سپرده شود.

س: آيا برنامه و نگاه كلان در مديران و نيز تمهيدات لازم در سيستم بانكی برای توجه به موضوع امنيت در شبكههای بانكی وجود دارد؟

ج: خوشبختانه از چند ماه پيش طبق خبری که در مطبوعات اعلام شد، بانکها در اجرای چنين پروژههايی ملزم به استفاده از خدمات يک مجموعه خاص نيستند. به اين ترتيب در صورت اثبات ضعف يا عدم توانايی يک مجموعه، امکان استفاده از توانايیها و استعدادهای داخلی برای اصلاح يا اجرای اين سيستمهايی وجود دارد.، که طبيعتا اين میتواند گامی در بهبود امنيت اين سيستمها باشد.

برچسب‌ها: هک بانک, مشکلات امنیت بانک ها, مدرس امنیت بانک, سرفصل امنیت شبکه
+ نوشته شده در جمعه دوازدهم آبان ۱۳۹۱ ساعت 16:35 توسط حسين دقاق زاده  | 

حمله سایبری بر علیه عراق

Cyber War Against Iraq

Charles R. Smith
Thursday, March 13, 2003

U.S. Information Warriors Wrestle With New Weapons

The U.S. Air Force has just tested its largest bomb, the 22,000-pound MOAB, or Massive Ordnance Air Burst. While the Air Force may be able to employ this huge weapon against Iraq in a traditional "iron on target" method, the service is wrestling with new doctrine and new weapons never before employed in war.

For example, Air Force information warriors recently rejected a planned cyber attack against Iraqi financial computers. Military officials had planned to attack the Iraqi banking and financial network during the opening phase of the USAF campaign against Saddam Hussein. The cyber attack is designed to shut off Saddam's supply of cash.

However, planners later rejected the idea because the Iraqi banking network is linked to a financial communications network located in France. According to Pentagon sources, an information warfare attack on the Iraqi financial network might also bring down banks and ATM machines in Europe as well.

"We don't have many friends in Paris right now. No need to make more trouble if Chirac won't be able to get any euros out of his ATM machine," commented one intelligence source on the rejected plan.

The Air Force frustration in designing cyber attacks against Iraq even made a rare public appearance. USAF Chief of Staff Gen. John Jumper openly vented his feelings about cyber warfare during a recent public interview.

"Anybody who thinks they've got their arms around information warfare and information operations, please stand up. I'd like the briefing right now," said Gen. Jumper.

U.S. cyber war planners intended to penetrate the Iraqi military command and control network at the highest levels. The U.S. military wanted to obtain Iraq's equivalent of air tasking orders, ground tasking orders and the e-mail for the senior Iraqi leadership.

"It turns out that their computer systems extend well outside Iraq," stated a senior Air Force official during an interview with Aviation Week and Space Technology.

"We're finding out that Iraq didn't do a good job of partitioning between the military and civilian networks. Their telephone and Internet operations are all intertwined. Planners thought it would be easy to get into the military through the telephone system, but it's all mixed in with the civilian traffic. It's a mess."

U.S. cyber warriors are hoping to hack into Iraq's Kari and Tiger Song air defense networks. France sold the Kari system to Iraq during the 1980s and it continues to provide the bulk of Iraqi air defense controls. The system relies on French-made computers linking mostly Russian made radars through a series of local command sites.

The fiber optic Tiger Song air defense network was installed in Iraq during the 1990s by China in violation of the U.N. ban on weapons sales to Baghdad. The Chinese network has been bombed several times, suffering only a slight degrade in service until Iraqi engineers could repair it.

Tiger Song is a more widely distributed network than the French Kari system and is similar to the Internet, allowing Iraqi mobile radars and missile units to link into the network from pre-positioned fiber optic sites. Both systems are linked together, with the French Kari network providing the overall command and control.

U.S. warriors hope to be able to penetrate the Kari and Tiger Song systems through computer links from the Internet or Iraqi phone system. The Tiger Song network is reportedly also cross-linked with an Iraqi oil pipeline communications network that employs microwave communications links. U.S. forces could tap into the Tiger Song system using the microwave links.

Another alternative is for U.S. Special Forces teams to penetrate Iraq and plant active electronic taps into the Iraqi systems. The Tiger Song network of fiber optic lines is much more difficult to attach hardware electronic taps to. However, U.S. cyber warriors may be able to use the same pre-positioned link points that Iraqi air defense units utilize.

U.S. cyber warriors also have some new hardware weapons in their arsenals. It is rumored that the U.S. has deployed three new energy weapon systems to the Gulf as special warheads for cruise missiles. One such new weapon is an HPM, or High Power Microwave bomb system that produces an extremely powerful burst of microwave radiation.

The HPM warhead is designed to strike Iraqi communication, radar, computer and electronic networks. The HPM warhead is a "non-lethal" system and will not harm humans located within the microwave burst area.

Another weapon is the EMG, or Explosive Magnetocumulative Generator warhead that generates a gigantic magnetic field that can disable all electronics within a short radius.

The process of creating the magnetic field in an EMG generator requires a coil wrapped in a belt of explosives, shaped to create an implosion. Before detonation, current is sent through the coil, which creates a small magnetic field for a split second. The explosives are then detonated to "squeeze" the coil rapidly and create an extremely high magnetic field.

In military form, the EMG is a conventional warhead that produces a magnetic pulsed field equal to a small nuclear bomb. EMGs can knock out computers, radios and radars and fry a wide variety of electronic devices. The U.S. version, an EMG warhead-equipped Tomahawk cruise missile, was used in "non-lethal" strikes against Serbian radar and command posts.

Another version of the Tomahawk used in the 1991 Gulf War deployed small spools of carbon-carbon fiber thread over Iraqi power plants and electric grids. The fiber spools unwound and fell over the live wires. The resulting shorts blew most of the Iraqi electric power grid for the remainder of the war. Iraqi efforts to clear the spools and restart the electric plants were foiled by desert winds, which blew more spools back into the live wires.

Serbian forces have also felt the Tomahawk "lights out" warhead filled with carbon-carbon thread. The U.S. Air Force was so impressed with the non-lethal warhead that it has installed it in a special GPS guided version. Small "submunitions" that are deployed by the GPS bomb over the intended target dispense the USAF carbon-carbon spools.

* * * * * *
برچسب‌ها: حمله سایبری, جنگ سایبری, استاد امنیت سایبری, تدریس امنیت شبکه
+ نوشته شده در جمعه دوازدهم آبان ۱۳۹۱ ساعت 16:33 توسط حسين دقاق زاده  | 

امنیت بانک

برگرفته از سایت تریبون--تایید یا رد نمی شود!!!!


بانک مسکن با امنیت شبکه سایبری بانک‌داری کشور بازی می‌کند
در حالی که ماه گذشته، اخبار فاش شدن رمز عبور کارت‌های بانکی و همین‌طور اختلالات سایبری در پالایشگاه‌های پتروشیمی،‌ هزینه‌های بزرگی را بر دوش نظام گذاشته است؛ بانک مسکن «مناقصه عمومی دو مرحله ای خرید نصب و راه اندازی IBM monitoring و IBM system director» را در پایگاه ملی اطلاع رسانی مناقصات اعلام کرده است.

به گزارش تریبون مستضعفین بانک مسکن چندی پیش در اقدامی قابل تأمل مناقصه‌ی خرید و راه‌اندازی سیستم‌های نرم‌افزاری یک ابرشرکت آمریکایی را در پایگاه اطلاع رسانی ملی مناقصات اعلام نمود.

این اقدام که مشخص نیست ناشی از سهل‌انگاری مسئولین این بانک است یا سودجویی عده‌ای از غفلت دستگاه‌های ناظر، و می‌تواند عواقب مخاطره‌آمیزی برای امنیت ملی داشته باشد در حالی رخ داده است که چندی پیش بانک مسکن در «دومین جشنواره ملی ارتباطات و فناوری اطلاعات» به عنوان نهاد برگزیده معرفی شد!

در حالی که ماه گذشته، اخبار فاش شدن رمز عبور کارت‌های بانکی و همین‌طور اختلالات سایبری در پالایشگاه‌های پتروشیمی،‌ هزینه‌های بزرگی را بر دوش نظام گذاشته است؛ بانک مسکن «مناقصه عمومی دو مرحله ای خرید نصب و راه اندازی IBM monitoring و IBM system director» را در پایگاه ملی اطلاع رسانی مناقصات اعلام کرده است.

اعلام این مناقصه از چندین وجه قابل نقد است و به نظر می‌رسد در نظر گرفتن‌ پیشگیری‌های لازم در این حوزه بسیار کم‌هزینه‌تر از درمان پس از وقع مشکلات احتمالی باشد.

امنیت اطلاعات در فضای بانکداری اینترنتی

چند هفته‌ای بیش نیست که مردم نسبت به شبکه بانکی کشور احساس عدم ایمنی کرده اند. اطلاعات ۳ میلیون کارت عضو شتاب در شبکه جهانی اینترنت منتشر می‌شود و امنیت اطلاعات بسیاری از مردم در این خصوص به خطر می‌افتد و ذهن هزاران ایرانی با دغدغه‌ای مواجه می‌شود که آن‌ها را برای تغییر رمز کارت‌هایشان به خودپردازها می‌کشاند.

از سوی دیگر اخباری حاکی از به خطر افتادن سامانه‌های سایبری وزارت نفت منتشر شد که باز هم امنیت اطلاعات کشور را دچار بحران کرد.

در چنین برهه حساسی برگزاری چنین مناقصه‌ای در بهترین فرض از سهل‌انگاری یا عدم تخصص مسئولین مربوطه حکایت می‌کند؛ چرا که در حوزه‌ی جنگ‌های سایبری، وجود چنین سامانه‌هایی در کشور ممکن است امنیت ملی را به خطر بیاندازد.

در جنگ عراق، به علت آمریکایی بودن سامانه‌ها و قطعات سیستم‌های الکترونیک عراق و آمریکایی‌ها توانستند با حمله الکترونیک به پاشنه‌های آشیل این سامانه‌ها که خود بدان واقف بودند و یا استفاده از تروجان‌های سخت‌افزاری، سیستم‌های ارتباطی عراق را از کار بیاندازند و عملاً سامانه دفاعی عراق را فلج کنند. همچنین منابع آگاه چنان گفته‌اند که حملات سایبری گسترده‌ای نیز برای از کار انداختن حساب‌های بانکی عراق در نظر گرفته شده بود تا امکان دسترسی صدام حسین به منابع مالی‌اش را کاملاً از بین ببرند.(+‌،+،+)

با توجه به آن‌چه گفته شد استفاده از سیستم‌های الکترونیک دشمن در فعالیت‌های بانک مسکن که با شبکه‌ی شتاب هم در ارتباط است می‌تواند کل سیستم بانکی کشور را در مخاطره قرار دهد.

خرید کالای گران‌قیمت آمریکایی

خرید کالای آمریکایی (شرکت IBM) خود مقوله‌ای دیگر است. با توجه به این که مشابه ساخت داخل این سامانه‌ها وجود دارد و هم‌چنین با توجه به قیمت بسیار بالای ‌محصول شرکت IBM می‌توان گفت که صرف بیت‌المال برای خرید این سامانه‌ها خیانت ملت است. بانک دولتی مسکن که با انگیزه پاسخگویی و گشایش اعتبار برای مردم ایران تاسیس شده است، حق ندارد از اموال مردم سود هنگفتی به جیب شرکت‌های آمریکایی بریزد.

در حالی که آمریکا جمهوری اسلامی را تحریم کرده است و به تبع آن نام ایران در فهرست کشورهای شرکت IBM وجود ندارد، برگزاری مناقصه برای خرید از این شرکت قابل توجیه نیست.

اگر فرض دست‌اندرکاران این مناقصه این بوده که قفل‌های نرم‌افزاری سامانه یاد شده توسط شرکت مجری شکسته شوند، این خود کار را دو برابر پیچیده می‌‌کند. در این صورت علاوه بر IBM که ممکن است به اطلاعات بانکی ایران دسترسی پیدا کند، افرادی که اقدام به رمزگشایی این نرم‌افزار نموده‌اند نیز به راحتی به اطلاعات شبکه بانکی کشور دسترسی خواهند داشت.

شراکت IBM با وزارت دفاع آمریکا و سازمان امنیت ملی آمریکا

این فرض دور از ذهن نیست که شرکت آی‌بی‌ام از آن‌جایی که تحت حمایت مستقیم پنتاگون و سازمان امنیت ملی آمریکا -که نهادی فراتر از سیا است- می‌باشد، سیاست‌های خصمانه‌ای نسبت به جمهوری اسلامی داشته باشد. آی‌بی‌ام در طی سال‌های اخیر با در دست داشتن سیستم فناوری اطلاعات پنتاگون، همکاری در پروژه‌های های‌تِک سازمان امنیت ملی آمریکا و انجام پروژه‌های تحقیقاتی برای «دارپا» (مرکز تحقیقات وزارت دفاع آمریکا) در جنایت‌های رژیم حاکم ایالات متحده علیه ایران و سایر کشورهای منطقه شریک است. آی‌بی‌ام به عنوان بزرگ‌ترین مرکز ساخت سخت‌افزارها و نرم‌افزارهای ابرکامپیوترها، نقشی کلیدی در قوت سایبرنتیک وزارت دفاع آمریکا دارد.

قابل ذکر است که سازمان امنیت ملی آمریکا، وظیفه پایش تمامی اطلاعات رد و بدل شده در درگاه‌های اینترنت را به عهده دارد و آی بی ام به عنوان تامین کننده زیرساخت فناوری اطلاعات آمریکا در این پروژه حساس نقش عمده‌ای دارد. (+‌‌،+،+،+،+،+)

لزوم حمایت از تولید ملی

اعلام چنین مناقصاتی در یک سایت دولتی آن‌هم در سالی که رهبر انقلاب سال «تولید ملی، حمایت از کار و سرمایه ایرانی» نام گرفته است، بسیار ناراحت‌کننده است. مناقصه برای خرید یک نرم‌افزار آمریکایی در حالی مطرح می‌شود که با جستجوی ساده‌ای در فضای وب انواع سامانه‌های مانیتورینگ داخلی پیدا می‌شود. جالب‌تر آن است که بانک مسکن تنها به دنبال تامین این نیاز خود به وسیله نرم‌افزارهای آی‌بی‌ام است و حتی حاضر نشده است موضوع مانتیورینگ را به طور کلی به مناقصه بگذارد که تولیدکنندگان داخلی بتوانند در کنار کسانی که می‌خواهند سامانه‌های آمریکایی را راه‌اندازی کنند رقابت کنند.

این اقدام غیر قابل توجیه نشان می‌دهد که مدیران مربوطه در بانک مسکن یا دانش تخصصی کافی ندارند و یا دست‌های دیگری پشت پرده است که منافع شخصی عده‌ای را بر منافع ملی مقدم کرده است. اگر این خطا ناشی از سهل‌انگاری و فقدان دانش فنی رخ داده است، بهتر است مدیران بانک مسکن،‌ مسئولین و کارشناسانی لایق را برای بخش فناوری اطلاعات خود که بخشی مهم از سیستم بانکداری مدرن امروزی است در نظر بگیرند و اگر پای منافع شخصی در میان باشد، جوانان دانشمند، باهوش، بسیجی و آگاه کشور اجازه نخواهند داد که منافع مالی و بیت‌المال بازیچه دست افرادی شود که تنها به فکر منافع مادی و دنیوی خویشند.

برچسب‌ها: امنیت بانک, دوره امنیت شبکه بانک, تدریس امنیت شبکه, جزوه امنیت شبکه
+ نوشته شده در جمعه دوازدهم آبان ۱۳۹۱ ساعت 16:31 توسط حسين دقاق زاده  | 

دوره امنیت شبکه -امنیت سرور SERVER

نام دوره :امنیت سرور

 

مدت دوره: 40 ساعت

 

 

پیش نیاز : هک و امنیت

 

هدف : هدف از این دوره آشنا شدن دانشجو با روش های تامین امنیت سرورها و سرویس های مختلف می باشد.

 

سرفصل های این دوره:

 

1-   امنیت وب سرورهای لینوکس

2- امنیت سرویس های لینوکس

3- پیکربندی فایروال در لینوکس

4- محدود کردن دسترسی در لینوکس

5- امنیت وب سرورهای ویندوز

6- امنیت سرویس ها در ویندوز

7- پیکربندی فایروال در ویندوز

8- محدود کردن دسترسی در ویندوز

برچسب‌ها: دوره امنیت شبکه, سرفصل دوره امنیت شبکه, تدریس امنیت شبکه, جزوه امنیت شبکه
+ نوشته شده در جمعه دوازدهم آبان ۱۳۹۱ ساعت 16:28 توسط حسين دقاق زاده  | 
مطالب قدیمی‌تر