تبليغاتX
top7news in computer WORLD
منوي كاربري

Make Your HomePage    Email To Admin    Add to Favorites

پيغام مدير : به وبلاگ من خوش آمدید
امیدوارم مطالب این وبلاگ برای شما دوست عزیز سازنده و مفید باشه
تنها خواهش من اینه که با دادن نظرات مفیدتون منو تو بهتر شدن این وبلاگ راهنمایی کنید .
با تشکر - مدیر وبلاگ

 
لوگوي ما



--------------------
كد لينك ما :

 
خبرنامه

براي دريافت جديد ترين عکسها و فيلمها و همچنين جديد ترين موزيک ها  اينجا عضو شويد :

 
لينك دوستان

مرجع عکس و مدل
آموزش فتوشاپ
مدرسه هوشمند ايراني
نرم افزارهاي تحت وب و ويندوز
دانلود مجاني موزيک
سايت قفسه(کتابخانه مجازي)
کدهاي خفن جاوا
وبلاگ ترانه باران
سایت آسان دانلود
تازه های ICT
داغترین نرم افزار ها با کرک
...م ...پلاگين(به روزترين وبلاگ پلاگينها و کدهاي دي وي بي)
عکس و کلیپ
تبلیغات رایگان و تبادل لینک
برنامه نویسی و سورس کد های آماده
وبلاگ تخصصی کامپیوتر
BEST SOFTWARE OF HACK
اسکریپت و قالب و کتاب
انجمن فناوری اطلاعات دانشگاه بیرجند
وبلاگ مهندسي مخابرات دانشگاه بيرجند
مرجع تخصصی موبایل فارسی زبانان
سیب موز- نوشته های مسعود عسکری
قالب هاي حرفه اي براي شما
سرگرمي : تفريح : خنده
جووني آنلاين

 
لينكدوني

قالب هاي توپ براي شما
مرجع موزيک آنلاين
دیکشنری آنلاین
ارتباط با نویسنده (با جزئیات کامل)
ارتباط با نویسنده (کوتاه)
درخواست نرم افزار
آرشیو قالب های مختلف
ثبت سفارشات مورد نظر
نمونه کارهای طراحی آرم ، آیکون و کارهای گرافیکی
آموزش طراحی سایت ، آرم و آیکون و طرح های گرافیکی
نمونه های برنامه نویسی
مرجع تفريح ايران

آرشيو لينكدوني

 

آشنايي با زيرساخت‌هاي Active Directory در Windows Server 2003 - قسمت 2 ( شبکه )

top7news - Networkاجزاي Active Directory

براي ايجاد يک ساختار دايرکتوري، اجزاي زيادي مورد نياز است. اين اجزا به دو دسته‌ي منطقي و فيزيکي تقسيم مي‌شوند. 
 اجزاي منطقي عبارتند از :

•دامنه‌ها (Domains)
•واحدهاي سازماني (Organizational Units)
•درخت‌ها (Trees)
•جنگل‌ها (Forests)

اجزاي فيزيکي که ساختار فيزيکي Active Directory را شکل مي‌دهند عبارتند از :

•سايت‌ها (Physical Subnets)
•Domain Controller‌ها (DC)

 ساختار منطقي

در Active Directory، مي‌توان منابع را به صورت يک ساختار منطقي سازمان داد (ساختاري که منعکس کننده‌ي مدل‌هاي سازماني باشد). گروه‌بندي منطقي منابع اين امکان را فراهم مي‌آورد تا يک منبع با استفاده از نامش به سادگي پيدا شود و اين امر ما را از يادآوري محل فيزيکي منبع بي‌نياز مي‌سازد. در شکل 2 رابطه‌ي domainها، OU‌ها،  treeها و forest‌ها ديده مي‌شود.

شکل2 : رابطه ميان اجزاي منطقي Active Directory

1. دامنه Domain
هسته‌ي اصلي ساختار منطقي در Active Directory، domain يا دامنه بوده که قادر به ذخيره‌ي ميليون‌ها شئ است. تمامي‌domainها در دو ويژگي زير مشترکند.

•تمام اشياي شبکه در يک Domain قرار دارند و هر Domain اطلاعات مربوط به همان Domain را داراست.

•Domain يک محدوده‌ي امنيتي است. دسترسي به اشياي Domain‌ها از طريق ليست‌هاي کنترل دسترسي يا ACL (Access Control List) ميسر مي‌شود. ACL‌ها شامل مجوزهايي هستند که مرتبط با اشياي مورد نظر است. اين مجوزها بيان مي‌دارند که کدام يک از کاربران مي‌توانند به‌يک شي دسترسي داشته باشند و اين دسترسي از چه نوع و در چه سطحي است. در خانواده‌ي Windows Server 2003، اشيا شامل فايل‌ها، پوشه‌ها، اشتراکات، چاپگرها و ساير اشياي Active Directory است. اين نکته مي‌بايست در نظر گرفته شود که هيچ يک از تنظيمات و سياست‌هاي امنيتي مانند اختيارات مديريتي، سياست‌هاي امنيتي و ACL‌ها نمي‌توانند از يک Domain به Domain ديگر تغيير يابند. اين امر بدان معنا است که‌يک مدير در سطح يک Domain تنها داراي اختياراتي است که وي را محدود به وضع سياست‌ها در همان Domain مي‌کند.
سطح عملياتي دامنه (Domain Functional Level) که تحت عنوان حالت دامنه (Domain Mode) در Windows 2003 شناخته مي‌شود، ويژگي‌هاي خاصي را در پهنه دامنه (Domain-Wide) و در محيط شبکه فراهم مي‌آورد.

چهار سطح عملياتي دامنه وجود دارد:
 

•Windows 2000 mixed
•Windows 2000 native
•Windows 2003 interim
•Windows Server 2003
 


سطح عملياتي “Windows 2000 mixed” به‌يک DC با سيستم عامل Windows Server 2003 اجازه مي‌دهد تا با ساير DCها در همان Domain که داراي سيستم عامل‌هاي Windows NT4 ، Windows 2000  و Windows server 2003 هستند ارتباط داشته باشند.

سطح عملياتي “Windows 2000 native”، تنها امکان ارتباط DC‌هاي Windows 2003 با Windows 2000   را فراهم مي‌آورد.

سطح عملياتي “Windows 2003 interim” ارتباط DC‌هاي Windows Server 2003 با DC‌هاي NT4 را ممکن مي‌سازد.

سطح عملياتي “Windows Server 2003” تنها DC‌هاي 2003 را با يکديگر مرتبط مي‌سازد.

تنها در زماني مي‌توان سطح عملياتي يک Domain را بالا برد که تمامي‌Domain Controller‌ها در آن Domain نسخه‌هاي مناسبي از Windows را اجرا کنند. به عنوان نمونه اگر سطح عملياتي Domain “Windows Server 2003” باشد، در اين صورت مي‌بايست که تمامي‌DCها در اين Domain داراي سيستم عامل  windows server 2003 باشند.

منبع : همکاران سیستم


نوشته شده توسط پيام در دوشنبه 24 فروردین1388

لينك ثابت

آشنايي با زيرساخت‌هاي Active Directory در Windows Server 2003 - قسمت 1 ( شبکه )

top7news - Networkمقدمه :

چکيده
يک دايرکتوري (Directory) مجموعهاي ذخيره‌شده از اطلاعات درباره‌ي اشيايي است که به نوعي با يکديگر مرتبطند. يک سرويس دايرکتوري (Directory Service) تمامي‌اطلاعاتي را که براي استفاده و مديريت اين اشيا لازم است، در يک محل متمرکز ذخيره نموده و بدين ترتيب نحوه‌ي يافتن و مديريت اين منابع را تسهيل مي‌بخشد. يک Directory Service زمينه‌اي را فراهم مي‌آورد تا دسترسي به منابع در سطح شبکه به بهترين نحو ممکن سازمان يابد . کاربران و مديران ممکن است که نام دقيق يک شئ مورد نياز را ندانند، اما با دانستن يک يا چند ويژگي از يک شئ و با استفاده از Directory Service مي‌توانند ليستي از اشيا با ويژگي مورد نظر خود را جستجو کنند.

 در اين بخش به معرفي سرويس Active Directory در Windows Server 2003 پرداخته و به صورت مقدماتي با خصوصيات، اشيا موجود و اجزاي آن (فيزيکي و منطقي) آشنا مي‌شويم.

کلمات کليدي: Active Directory، Domain يا دامنه، Tree يا درخت، Forest يا جنگل، Organizational Units  يا واحدهاي سازماني، Domain Controller، و سايت.

 آشنايي با سرويس دايرکتوري موجود در ويندوز سرور 2003   (Active Directory)

  Active Directory يک سرويس دايرکتوري بوده که در Windows Server 2003 قرار داده شده است. Active Directory شامل يک دايرکتوري بوده که اطلاعات مربوط به شبکه را ذخيره مي‌کند، علاوه بر آن داراي تمامي سرويس‌هايي است که اطلاعات را قابل استفاده کرده و در دسترس قرار مي‌دهد.

 باقی مقاله در ادامه مطلب . . .

ادامه ي مطلب ...


نوشته شده توسط پيام در دوشنبه 19 اسفند1387

لينك ثابت

شبکه خصوصی مجازی VPN ( شبکه )

top7news - Networkشبکه خصوصی مجازی یا Virtual Private Network که به اختصار VPN نامیده می شود، امکانی است برای انتقال ترافیک خصوصی بر روی شبکه عمومی. معمولا از VPN برای اتصال دو شبکه خصوصی از طریق یک شبکه عمومی مانند اینترنت استفاده می شود.منظور از یک شبکه خصوصی شبکه ای است که بطور آزاد در اختیار و دسترس عموم نیست. VPN به این دلیل مجازی نامیده می شود که از نظر دو شبکه خصوصی ، ارتباط از طریق یک ارتباط و شبکه خصوصی بین آنها برقرار است اما در واقع شبکه عمومی این کار را انجام می دهد. پیاده سازی VPN معمولا اتصال دو یا چند شبکه خصوصی از طریق یک تونل رمزشده انجام می شود. در واقع به این وسیله اطلاعات در حال تبادل بر روی شبکه عمومی از دید سایر کاربران محفوظ می ماند. VPN را می توان بسته به شیوه پیاده سازی و اهداف پیاده سازی آن به انواع مختلفی تقسیم کرد.

 دسته بندی VPN براساس رمزنگاری


VPN را می توان با توجه به استفاده یا عدم استفاده از رمزنگاری به دو گروه اصلی تقسیم کرد:


1- VPNرمزشده : VPN های رمز شده از انواع مکانیزمهای رمزنگاری برای انتقال امن اطلاعات بر روی شبکه عمومی استفاده می کنند. یک نمونه خوب از این VPN ها ، شبکه های خصوصی مجازی اجرا شده به کمک IPSec هستند.

2- VPN رمزنشده : این نوع از VPN برای اتصال دو یا چند شبکه خصوصی با هدف استفاده از منابع شبکه یکدیگر ایجاد می شود. اما امنیت اطلاعات در حال تبادل حائز اهمیت نیست یا این که این امنیت با روش دیگری غیر از رمزنگاری تامین می شود. یکی از این روشها تفکیک مسیریابی است. منظور از تفکیک مسیریابی آن است که تنها اطلاعات در حال تبادل بین دو شبکه خصوصی به هر یک از آنها مسیر دهی می شوند. (MPLS VPN) در این مواقع می توان در لایه های بالاتر از رمزنگاری مانند SSL استفاده کرد.

هر دو روش ذکر شده می توانند با توجه به سیاست امنیتی مورد نظر ، امنیت مناسبی را برای مجموعه به ارمغان بیاورند، اما معمولا VPN های رمز شده برای ایجاد VPN امن به کار می روند. سایر انواع VPN مانند MPLS VPN بستگی به امنیت و جامعیت عملیات مسیریابی دارند.

دسته بندی VPN براساس لایه پیاده سازی


VPN بر اساس لایه مدل OSI که در آن پیاده سازی شده اند نیز قابل دسته بندی هستند. این موضوع از اهمیت خاصی برخوردار است. برای مثال در VPN های رمز شده ، لایه ای که در آن رمزنگاری انجام می شود در حجم ترافیک رمز شده تاثیر دارد. همچنین سطح شفافیت VPN برای کاربران آن نیز با توجه به لایه پیاده سازی مطرح می شود.

1- VPN لایه پیوند داده : با استفاده از VPN های لایه پیوند داده می توان دو شبکه خصوصی را در لایه 2 مدل OSI با استفاده از پروتکلهایی مانند ATM یا Frame Relay به هم متصل کرد.با وجودی که این مکانیزم راه حل مناسبی به نظر می رسد اما معمولا روش ارزنی نیست چون نیاز به یک مسیر اختصاصی لایه 2 دارد. پروتکلهای Frame Relay و ATM مکانیزمهای رمزنگاری را تامین نمی کنند. آنها فقط به ترافیک اجازه می دهند تا بسته به آن که به کدام اتصال لایه 2 تعلق دارد ، تفکیک شود. بنابراین اگر به امنیت بیشتری نیاز دارید باید مکانیزمهای رمزنگاری مناسبی را به کار بگیرید.


2- VPN لایه شبکه : این سری از VPN ها با استفاده از tunneling لایه 3 و/یا تکنیکهای رمزنگاری استفاده می کنند. برای مثال می توان به IPSec Tunneling و پروتکل رمزنگاری برای ایجاد VPN اشاره کرد.مثالهای دیگر پروتکلهای GRE و L2TP هستند. جالب است اشاره کنیم که L2TP در ترافیک لایه 2 تونل می زند اما از لایه 3 برای این کار استفاده می کند. بنابراین در VPN های لایه شبکه قرار می گیرد. این لایه برای انجام رمزنگاری نیز بسیار مناسب است. در بخشهای بعدی این گزارش به این سری از VPN ها به طور مشروح خواهیم پرداخت.

3- VPN لایه کاربرد : این VPN ها برای کار با برنامه های کاربردی خاص ایجاد شده اند. VPN های مبتنی بر SSL از مثالهای خوب برای این نوع از VPN هستند. SSL رمزنگاری را بین مرورگر وب و سروری که SSL را اجرا می کند، تامین می کند.SSH مثال دیگری برای این نوع از VPN ها است.SSH به عنوان یک مکانیزم امن و رمز شده برای login به اجزای مختلف شبکه شناخته می شود. مشکل VPNها در این لایه آن است که هرچه خدمات و برنامه های جدیدی اضافه می شوند ، پشتیبانی آنها در VPN نیز باید اضافه شود.

 دسته بندی VPN براساس کارکرد تجاری

VPN را برای رسیدن به اهداف تجاری خاصی ایجاد می شوند. این اهداف تجاری تقسیم بندی جدیدی را برای VPN بنا می کنند .

1- VPN اینترانتی : این سری از VPN ها دو یا چند شبکه خصوصی را در درون یک سازمان به هم متصل می کنند. این نوع از VPN زمانی معنا می کند که می خواهیم شعب یا دفاتر یک سازمان در نقاط دوردست را به مرکز آن متصل کنیم و یک شبکه امن بین آنها برقرار کنیم.

VPN اکسترانتی : این سری از VPN ها برای اتصال دو یا چند شبکه خصوصی از دو یا چند سازمان به کار می روند. از این نوع VPN معمولا برای سناریوهای B2B که در آن دو شرکت می خواهند به ارتباطات تجاری با یکدیگر بپردازند، استفاده می شود.

 


نوشته شده توسط پيام در چهارشنبه 27 آذر1387

لينك ثابت

نصب و راه اندازي DHCP Server -قسمت دوم ( شبکه )

top7news - Networkتنظيم DHCP Server

براي تنظيم Option هاي DHCP مراحل زير را انجام مي دهيم:

توجه : در اين مثال ما سعي كرده ايم كه موارد لازم و ضروري براي راه اندازي DHCP Server را بيان و از توضيح بخش هاي مختلف و عملكرد آنها خوداري كنيم. به همين دليل در صورت انجام مراحل گفته شده در ادامه مقاله به راحتي مي توانيد يك DHCP Server راه اندازي كنيد.

 • از مسير زير برنامه DHCP را باز كنيد ( براي اين كار نيز مسيرهاي مختلفي وجود دارد ).

        Start  > Administrative Tools  > DHCP

 • از منوي Action گزينه New scope را انتخاب نمائيد و در پنجره خوش آمدNext  كنيد.

 • مطابق شكل 5 ، در پنجره IP Address Rang اولين و آخرين شماره IP Address   كه قرار است اين سرور در اختيار ايستگاه ها يا ميزبان ها قرار دهد را وارد نماييد.

 شکل شماره 5

• در پنجره  Add Exclusive، مي توان تعريف كرد كه تعدادي IP به ايستگاه هاي كاري تخصيص داده نشود . اكثر مواقع مديران شبكه بعضي آيپي ها را براي كارهاي خاص در نظر مي گيرند و آنها رزرو مي كنند. براي اين منظور و مطابق شكل 6 شماره هاي اول و آخر آن دسته از آيپي ها يي كه نمي خواهيد بطور اتوماتيك ارائه شوند را تايپ و سپس بر روي Add كليك كنيد تا در ليست Excluded address range قرار گيرد سپس Next كنيد( به شكل 6 توجه كنيد ). 

 شکل شماره 6

 • در مرحله بعد مي توان زمان اجاره يك  IP Address به Client را تنظيم كرد.اين قسمت را بدون تغيير Next كنيد.

 • صفحه بعد سوال مي شود كه آيا مي خواهيد Option هاي اين Scope را تنظيم نماييد يا خير . گزينه Yes را انتخاب و Next كنيد .

 • در صفحه بعد آدرس IP مربوط به Default Gateway را وارد و بر روي Add كليك و سپس  Next كنيد. اگر شبكه محلی شما يك شبكه ساده است و در آن Gateway وجود ندارد ، پيشنهاد مي شود چیزی وارد ننماييد.

 • مطابق شكل 7 ، آيپي آدرس سيستمي كه سرويس DNS Server روي آن نصب شده را وارد نماييد سپس دكمه Add و در آخر Next كنيد( به شكل 7 توجه كنيد).

 شکل شماره 7

 • در صفحه بعد آيپي آدرس سيستمي كه WINS Server است را تايپ و دكمه Add  را زده و سپس Next كنيد. در اين قسمت مي توانيد از همان آدرس 192.168.0.1 استفاده كنيد.

 • در آخرين مرحله و در صفحه Active scope با پاسخ مثبت به سوال ظاهر شده،  Scope را Active كنيد.

 شکل شماره 8

اكنون DHCP Server نصب و تنظيم شده است.

 در صورتيكه يك دستگاه بخواهد وارد شبكه شود ابتدا يك آيپي آدرس از DHCP Server درخواست مي كند كه سرور به آن پاسخ داده و يك آيپي آدرس از محدوده تعريف شده ، به آن اختصاص مي دهد.

چنانچه در شكل 9 نيز ملاحظه مي نماييد ليست IP هايي كه اجاره داده شده است در قسمت Address Leases وارد خواهد شد و تنظيماتي كه براي Scope صورت گرفته در Scope Options خواهد آمد كه قابل تغيير نيز مي باشد.

 شکل شماره 9

 


نوشته شده توسط پيام در جمعه 15 آذر1387

لينك ثابت

نصب و راه اندازي DHCP Server - قسمت اول ( شبکه )

همانطور كه مستحضريد يك ايستگاه كاري ( Client ) در شبكه براي اتصال به سرور و تماس با ديگر كامپيوترها نياز به يك آدرس لاجيكال به نام آيپي آدرس (IP Address) دارد. وقتي در يك شبكه محلي تعداد زيادي كامپيوتر وجود داشته باشد ، يك مدير شبكه امكان تخصيص و تنظيم آيپي آدرس براي همه آنها بصورت دستي را نخواهد داشت و وقت بسيار زيادي براي تنظيم آيپي آدرس تك تك ايستگاه ها صرف خواهد شد. سرويس DHCP اين امكان را فراهم مي آورد كه يكي از سيستم ها ( در اينجا سرور Windows 2003 ) بصورت اتوماتيك و بدون دخالت مدير شبكه به سيستم هاي كاري يا كلانيت ها ، آيپي آدرس اختصاص دهد. DHCP مخفف كلمات Dynamic Host Configuration Protocol است. يعني پرتوكل تنظيم پوياي ميزبان ها (Host). منظور از Host در اين جمله همان كامپيوتر يا ايستگاه هاي داخل شبكه است. همچنين از طريق سرويس DHCP مي توان تنظيماتي ديگر مانند Default Gateway ، Subnet Mask و ... را بصورت اتوماتيك براي كلاینت ها ارسال نمود. براي اطلاع از چگونگي نصب و راه اندازي آن به ادامه مقاله دقت نماييد.

قبل از اينكه اقدام به نصب DHCP نمانيم ، لازم است حداقل يك IP Address بصورت Static (يا دستي) براي دستگاهي كه قرار است سرويس DHCP را براي شبكه فراهم آورد تعريف كرد. اين دستگاه در كارگاه عملي اين بحث ، همان ويندوز2003 مي باشد. در صورتيكه اين كار انجام نپذيرد در هنگام نصب DHCP ، سيستم مذكور پيغام زير را مي دهد.

تصویر شماره 1

تنظيم IP Address براي سرور (بصورت دستي)

 • از مسير زير پنجره Local Area Connection را باز كنيد (البته چندين راه براي اينكار وجود دارد.)

Start  >  Control Panel > Network Connections > Local Area connection

 • روي گزينه Properties كليك كنيد تا پنجره Local Area Connection Properties فعال گردد.

 •گزينه Internet  Protocol ( TCP/IP ) را انتخاب و دكمه Properties بزنيد تا همانطور كه در شكل 2 مشاهده مي كنيد پنجره  Internet protocol ( TCP/IP ) Properties باز شود.

 تصویر شماره 2

• مطابق شكل 2 مي توانيد آيپي آدرسي كه قبلاً بررسي و انتخاب نموده ايد را وارد نمائيد. ( مثلا 192.168.0.1 )

 • در اين صفحه دو قسمت Subnet Mask و Default Gateway را نيز مي توانيد تنظيم نماييد.  ( تنظيم Subnet Mask ضروري است ولي تنظيم Default Gateway اختياري است. )

 

 • در پايان اين قسمت دكمه Close را بزنيد.

اكنون سرور داراي يك آيپي آدرس مي باشد و مي توانيد براي نصب  DHCP اقدام نمائيد.

نصب DHCP Server

 • ابتدا برنامه Add or Remove Program شويد.

 • در پنل سمت چپ بر روي  Add / Remove Windows Components  كليك كنيد.

 •همانطور كه در شكل 3 مشاهده مي كنيد در پنجره Windows Component Wizard بر روي گزينه Networking Services كليك نماييد ( يعني انتخاب كنيد ولي تيك آن را نزنيد ) سپس دكمه Details را بزنيد.

تصویر شماره 3

• همانطور كه در شكل 4 مشاهده مي شود از پنجره Networking Services گزينه     (DHCP) Dynamic Host Configuration Protocol را انتخاب كرده و سپس دكمه OK را بزنيد و سپس  NEXT كنيد.

 • بعد از چند لحظه سيستم عامل CD ويندوز 2003 از شما در خواست مي آن را در CD Drive قرار داده و OK كنيد. پس از اين مرحله ، فرآيند نصب DHCP به پايان مي رسد.

 تصویر شماره 4

تا اينجا فقط سرويس DHCP Server نصب شذه است  اما همانطور كه قبلا اشاره شد مي توان از طريق اين سرويس همزمان تنظيمات ديگري به ايستگاه هاي كاري يا همان Host ها ارسال نمود. كه براي تنظيم آنها مراحل بعدی را در قسمت بعد با هم دنبال می کنبم .

منبع : top7news

(به منظور حمایت از گروه ایتکاک از این به بعد لینک سایت های وابسته به ایتکاک در پایان مقالات قرار داده میشود. ITKAK    Aghahibazar  لازم به ذکر است که ایتکاک یک گروه علمی تحقیقاتی در راستای نیل به اهدافی نظیر پارک های علم و فناوری می باشد . )


نوشته شده توسط پيام در جمعه 24 آبان1387

لينك ثابت

انواع توپولووی شبکه ( شبکه )


توپولوژي يا همبندي يك شبكه تعيين كننده شيوه كابل كشي اتصال كامپيوترهاست . اين توپولوژي (همبندي) معمولاً نوع كابل مورد استفاده را نيز تعيين ميكند .
توپولوژي هاي شبکه داراي انواع زير است :

1- توپولوژي BUS :
در يک شبکه خطي چندين کامپيوتر به يک کابل به نام BUS متصل مي شود. در اين توپولوژي رسانه انتقال بين کليه کامپيوتر ها مشترک است. توپولوژي BUS از متداولترين توپولوژي هاست که در شبکه هاي محلي مورد استفاده قرار مي گيرد. سادگي ، کم هزينه بودن و توسعه آسان اين شبکه از نقاط قوت توپولوژي BUS مي باشد. ضعف عمده اين شبکه اين است که اگر کابل اصلي Back bone که پل ارتباطي بين کامپيوتر هاي شبکه است ، قطع شود ، کل شبکه از کار خواهد افتاد.

2- توپولوژي رينگ - حلقوي :

در توپولوژي باس کامپيوتر ها توسط يک رشته سيم به يک ديگر متصل مي شوند که آغاز و پايان آن سيستم توسط يک مقاومت 50 اهمي بسته شده است. در توپولوژي رينگ به جاي بستن دو سر سيم آن ها را به يک ديگر وصل نموده و تشکيل يک حلقه مي دهند. اين توپولوژي تمامي مزايا و معايب باس را دارد با اين تفاوت که کنترل مقاومت سيم استوار تر بوده و اتصال آغاز و پايان سيم گاهي اوقات به دليل فاصله زياد دو سر سيم مشکل ساز مي گردد.

3- توپولوژي هيبريدي :

سيستمي که از ترکيب حالت باس و ستاره اي پديد مي آيد هيبريدي نام دارد. در اين حالت برخي از مسير هاي شبکه به صورت باس و برخي ديگر به صورت ستاره اي مي باشند. معمول ترين طرح آن ، اتصال هاب ها به صورت باس و اتصال کامپيوتر ها به صورت ستاره اي به هاب مربوط به خودشان مي باشد.

4- توپولوژي ستاره اي :

شبکه هاي متوسط و بزرگ اغلب از توپولوژي ستاره اي استفاده مي کنند. در اين پيکر بندي از کابل و سخت افزار بيشتري استفاده مي شود اما مديريت آن آسان تر و احتمال خرابي آن کمتر است. کابل مورد استفاده توپولوژي ستاره اي اترنت کابل زوج بهم تابيده بدون حفاظ است. در پيکر بندي ستاره اي هر کامپيوتر به يک هاب متصل مي شود. يک سر کابل به کارت شبکه يک کامپيوتر متصل مي شود و سر ديگر آن به هاب که نقطه اتصال مرکزي کابل کشي شبکه را نزد هم مي کند متصل مي شو

د. هاب ها به اندازه هاي مختلف عرضه مي شوند و مدل هاي پيشرفته آن ها مي تواند خطا هاي موجود در سيگنال ها را تقويت کند. آماده سازي توپولوژي ستاره اي آسان است و و عيب يابي در آن آسان تر از شبکه باس است چرا که يک کابل آسيب ديده تنها به روي يک کامپيوتر تاثير مي گذارد و از طرف ديگر کابل زوج بهم تابيده معمولاً گرانتر از کواکسيال است. توپولوژي ستاره اي به کابل بسيار زياد و يک هاب نياز دارد. تمامي اين ها منجر به بالا رفتن هزينه شبکه مي شود با اين مزيت که اين روش بسيار مفيد است.


نوشته شده توسط پيام در جمعه 10 آبان1387

لينك ثابت

معرفی پروتکل RADIUS - قسمت سوم ( شبکه )

top7newsRADIUS SECURITY ISSUES AND SOLUTIONS

درادامه عملکردهای امنیتی و حملات احتمالی به سرورهای RADIUS توضیح داده خواهد شد. این عملکردها بسته به توانائی مهاجم درگرفتن پیامهای RADIUSمیان ACCESS SERVER و سرور RADIUS متفاوت می باشد.این موضوع نشان می دهد که مهاجم دسترسی فیزیکی به شبکه دارد و درمسیرمیان سرور و ACCESS SERVER می باشد.

پیامهای ACCESS REQUEST که تصدیق نمیشوند:

فرض کنیم که هیچ گونه نظارتی روی پیامهای ACCESS REQUEST واردشده به سرور وجودندارد. سرور پیامی را که از آدرس IP یک سرویس گیرنده سرچشمه گرفته ،بررسی می کند،اما آدرسهای IP مبدا برای اینکه همراه پیام فرستاده می شوند براحتی ربوده میشوند.

یک راه حل این است که سرور خصیصه تصدیق کننده پیام را روی همه پیامهای ACCESS REQUESTدرخواست کند.این خصیصه یک پیامMD5شده ازپیامACCESS REQUESTبی نقص است که از رمز مشترکی که کلید خوانده می شود،استفاده می کند.

ACCESS SERVER باید پیامهای ACCESS REQUEST را باخصیصه تصدیق کننده پیام بفرستد و اگرخصیصه تصدیق کننده پیام وجودنداشته باشدیا اشتباه باشد،سرور باید آن پیام را دور بیاندازد.معمولا خصیصه تصدیق کننده پیام تنها توسط پیامهایEAP OVER RADIUS درخواست میشوند.برای مثال شما میتوانیدRASوROUTING را در سیستم عامل WIN2000 تنظیم کنید و خصیصه تصدیق کننده پیام را برای هرپیامACCESS REQUEST بفرستید.البته اینکاروابسته به این موضوع است که شما درتنظیمات خصوصیات سرورRADIUS،گزینه ALWAYS USE DIGITAL SIGNATURES راانتخاب کنید.

شما میتوانید سرویس تصدیق هویت اینترنت WIN2000(IAS) راطوری تنظیم کنیدکه از هرپیام ACCESS REQUEST خصیصه تصدیق کننده پیام را درخواست کند و اینکارازطریق انتخاب گزینه CLIENT MUST ALWAYS SEND THE SIGNATURE ATTRIBUTE IN THE REQUESSTکه درمجموعه خصوصیات سرویس گیرنده هست،میسر میشود.

اگرخصوصیت تصدیق کننده پیام برای هم پیامهای ACCESS REQUEST قابل استفاده نباشد،ازمکانیزم تحریم و شمارش تصدیق هویت استفاده میشود.یکی از نمونه های دسترسی بااستفاده از تحریم و شمارش راه دور درWIN2000 این است که بعداز برقراری اتصال راه دور چنانچه بیش از چندبار(معین شده) تلاش جهت تصدیق هویت صورت گرفت،ازکاربر ممانعت بعمل آید.

دربعضی مواقع کلید رمزعمومی به اندازه کافی تصادفی نیست که بتواند جلوی حمله دیکشنری را بگیرد و به همین خاطر اگر کلید عمومی کشف شود ، فیلد تصدیق کننده ACCESS RESPONSE ودر پی آن محتوای پیام هم براحتی لو می رود.این وضعیت درسرورها و سرویس گیرنده هائی که اندازه رمزعمومی آنها محدود است و کلید عمومی آنها فقط شامل کاراکترهائی میشود که توسط صفحه کلید زده میشوند و تنها میتوانند 94تا256 کاراکتراسکی را استفاده کنند،بدتر است.راه حل این پیامد:

 

• اگر رمزعمومی بایدترتیبی ازکاراکترهای صفحه کلید باشد،آنراطوری انتخاب کنیدکه طول کاراکترها حداقل22 باشد و شامل حروف بزرگ و کوچک ،اعداد و علائم نقطه گذاری باشد.اگررمزعمومی براساس ترتیبی از ارقام هگزادسیمال باشد،ازارقام هگزادسیمال تصادفی باحداقل طول 32 استفاده کنید.

RFC2865 رمزهای عمومی با طول حداقل 16 کاراکتررا معرفی میکند.امابرای رمزهای 128 کاراکتری ،هرکاراکتربایدشامل8بیت کامل باشد.اگررمزعمومی محدود به کاراکترهای صفحه کلید باشد(مخالف اعدادهگزادسیمال باشد)،هرکاراکترتنها5.8بیت دارد.برای فراهم کردن 128بیت،سرویس گیرنده،سروروپروکسی بایدبراساس رمزهای عمومی باطول حداقل22کاراکترتنظیم شوند.بعنوان مثال،رمزهای عمومی برایIAS ویندوز2000 میتواند طول بیش از64 کاراکترداشته باشد.

برای اطمینان ازرمزعمومی تصادفی ازیک برنامه برای تولید رمزهای باطول حداقل22کاراکتر استفاده میشود.

• استفاده از رمزهای عمومی متفاوت برای هرزوج سرور-سرویس گیرنده.

خصیصه های رمزشده ،بوسیله مکانیزمهای مخفی سازی radius استفاده میشوند:

مکانیزم پنهان سازیRADIUS ،ازرمزعمومیRADIUS،تعیین کننده هویت درخواست،الگوریتمMD5 HASHING برای رمزگذاری رمزعبورکاربر ودیگرخصیصه ها مانندTUNNEL PASSWORD و MS CHAP MPPE KEYS استفاده می کند.

درزیرعملکرد و وضعیت های RFC2865 آمده است :

استفاده از یک روند رمزکردن و MD5 به عنوان روش رمزکردن ،از بخشهای ویژه RADIUS هستند.تنها راه استاندارد که به حفاظت از خصیصه ها کمک می کند این است که ازIPSECبهمراهESP و یک الگوریتم رمزکردن مانند3DES،برای فراهم کردن داده های مطمئن برای کل پیامهای RADIUS استفاده شود.

اگراستفاده ازIPSECبهمراهESPو الگوریتم رمزکردن ممکن نباشد،مدیران شبکه می توانندبا انجام کارهای زیرمیزان آسیب پذیری را به حداقل برسانند:

- درخواست استفاده از خصیصه تصدیق کننده پیام(MESSAGE AUTHENTICATOR ATTRIBUTE)درهمه پیامهای ACCESS REQUEST.

- استفاده از الگوریتم های رمزنگاری قدرتمند جهت تصدیق هویت.

- استفاده از رمزعبورهای قوی.

- استفاده از یک مکانیزم شمارش و تحریم برای مقابله با حمله دیکشنری ONLINE.

- استفاده از کلید عمومی 128بیتی.

Poor request authenticator values can be used to decrypt encrypted attributes

همان طور که درRFC2865اشاره شد،یک تصدیق گردرخواست باید موقتی و درعین حال یکتا باشد. کلید خصوصی و کلید عمومی باهم ترکیب شده و KEY STREAM را تعریف میکنند که برای رمزنگاری رمزعبور کاربرو دیگرخصیصه ها استفاده می شود.

این موضوع ممکن است به یک مهاجم( که توانائی گرفتن اطلاعات ردوبدل شده میان سرویس گیرنده RADIUS و سرور را دارد وتلاش می کند که وارد شبکه شود)اجازه ساختن یک دیکشنری از کلیدهای خصوصی ومتناظرباKEY STREAM را بدهد.اگرمقدار REQUEST AUTHENTICATOR همواره بوسیله ACCESS SERVER(که از رمزعمومی مشابه استفاده می کند)تکرارشود،پس رمزعبورودیگرخصیصه ها که دراین میان ردوبدل می شوند،براحتی تعیین می شوند.اگر REQUEST AUTHENTICATORبه اندازه کافی تصادفی نباشد،براحتی تشخیص داده میشود.تولیدکنندهREQUEST AUTHENTICATORبایدازمکانیزم رمزنگاری بالائی برخوردارباشد،درغیراینصورت ،میتوان ازیک الگوریتم رمزنگاری مانند3DES و همینطورIPSEC بهمراه ESP استفاده کرد،که داده های مطلوب برای کل پیامهایRADIUS فراهم کند،همانگونه که درRFC3162 تشریح شده است.


نوشته شده توسط پيام در پنجشنبه 2 آبان1387

لينك ثابت

شبكه های خصوصی مجازی (VPN (Virtual Private Network - قسمت دوم ( شبکه )

top7newsشبكه های LAN جزایر اطلاعاتی

فرض نمائید در جزیره ای در اقیانوسی بزرگ ، زندگی می كنید. هزاران جزیره در اطراف جزیره شما وجود دارد. برخی از جزایر نزدیك و برخی دیگر دارای مسافت طولانی با جزیره شما می باشند. متداولترین روش بمنظور مسافرت به جزیره دیگر ، استفاده از یك كشتی مسافربری است . مسافرت با كشتی مسافربری ، بمنزله عدم وجود امنیت است . در این راستا هر كاری را كه شما انجام دهید ، توسط سایر مسافرین قابل مشاهده خواهد بود. فرض كنید هر یك از جزایر مورد نظر به مشابه یك شبكه محلی (LAN) و اقیانوس مانند اینترنت باشند. مسافرت با یك كشتی مسافربری مشابه برقراری ارتباط با یك سرویس دهنده وب و یا سایر دستگاههای موجود در اینترنت است . شما دارای هیچگونه كنترلی بر روی كابل ها و روترهای موجود در اینترنت نمی باشید. ( مشابه عدم كنترل شما بعنوان مسافر كشتی مسافربری بر روی سایر مسافرین حاضر در كشتی ) .در صورتیكه تمایل به ارتباط بین دو شبكه اختصاصی از طریق منابع عمومی وجود داشته باشد ، اولین مسئله ای كه با چالش های جدی برخورد خواهد كرد ، امنیت خواهد بود.

فرض كنید ، جزیره شما قصد ایجاد یك پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیر ایجاد شده یك روش ایمن ، ساده و مستقیم برای مسافرت ساكنین جزیره شما به جزیره دیگر را فراهم می آورد. همانطور كه حدس زده اید ، ایجاد و نگهداری یك پل ارتباطی بین دو جزیره مستلزم صرف هزینه های بالائی خواهد بود.( حتی اگر جزایر در مجاورت یكدیگر باشند ) . با توجه به ضرورت و حساسیت مربوط به داشتن یك مسیر ایمن و مطمئن ، تصمیم به ایجاد پل ارتباطی بین دو جزیره گرفته شده است . در صورتیكه جزیره شما قصد ایجاد یك پل ارتباطی با جزیره دیگر را داشته باشد كه در مسافت بسیار طولانی نسبت به جزیره شما واقع است ، هزینه های مربوط بمراتب بیشتر خواهد بود. وضعیت فوق ، نظیر استفاده از یك اختصاصی Leased است . ماهیت پل های ارتباطی ( خطوط اختصاصی ) از اقیانوس ( اینترنت ) متفاوت بوده و كماكن قادر به ارتباط جزایر( شبكه های LAN) خواهند بود. سازمانها و موسسات متعددی از رویكرد فوق ( استفاده از خطوط اختصاصی) استفاده می نمایند. مهمترین عامل در این زمینه وجود امنیت و اطمینان برای برقراری ارتباط هر یك سازمانهای مورد نظر با یكدیگر است . در صورتیكه مسافت ادارات و یا شعب یك سازمان از یكدیگر بسیار دور باشد ، هزینه مربوط به برقرای ارتباط نیز افزایش خواهد یافت .

با توجه به موارد گفته شده ، چه ضرورتی بمنظور استفاده از VPN وجود داشته و VPN تامین كننده ، كدامیك از اهداف و خواسته های مورد نظر است ؟ با توجه به مقایسه انجام شده در مثال فرضی ، می توان گفت كه با استفاده از VPN به هریك از ساكنین جزیره یك زیردریائی داده می شود. زیردریائی فوق دارای خصایص متفاوت نظیر : 

  • دارای سرعت بالا است .
  • هدایت آن ساده است .
  • قادر به استتار( مخفی نمودن) شما از سایر زیردریا ئیها و كشتی ها است .
  • قابل اعتماد است .
  • پس از تامین اولین زیردریائی ، افزودن امكانات جانبی و حتی یك زیردریائی دیگرمقرون به صرفه خواهد بود.

در مدل فوق ، با وجود ترافیك در اقیانوس ، هر یك از ساكنین دو جزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی می باشند. مثال فوق دقیقا" بیانگر تحوه عملكرد VPN است . هر یك از كاربران از راه دور شبكه قادربه برقراری ارتباطی امن و مطمئن با استفاده از یك محیط انتقال عمومی ( نظیر اینترنت ) با شبكه محلی (LAN) موجود در سازمان خود خواهند بود. توسعه یك VPN ( افزایش تعداد كاربران از راه دور و یا افزایش مكان های مورد نظر ) بمراتب آسانتر از شبكه هائی است كه از خطوط اختصاصی استفاده می نمایند. قابلیت توسعه فراگیر از مهمتزین ویژگی های یك VPN نسبت به خطوط اختصاصی است .

امنیت VPN

شبكه های VPN بمنظور تامین امنیت (داده ها و ارتباطات) از روش های متعددی استفاده می نمایند :

o فایروال : فایروال یك دیواره مجازی بین شبكه اختصای یك سازمان و اینترنت ایجاد می نماید. با استفاده از فایروال می توان عملیات متفاوتی را در جهت اعمال سیاست های امنیتی یك سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال ، ایجاد محدودیت در رابطه به پروتكل های خاص ، ایجاد محدودیت در نوع بسته های اطلاعاتی و ... نمونه هائی از عملیاتی است كه می توان با استفاده از یك فایروال انجام داد.

o رمزنگاری : فرآیندی است كه با استفاده از آن كامپیوتر مبداء اطلاعاتی رمزشده را برای كامپیوتر دیگر ارسال می نماید. سایر كامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده ، دریافت كنندگان، قبل از استفاده از اطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند. سیستم های رمزنگاری در كامپیوتر به دو گروه عمده تقسیم می گردد : 

  1. رمزنگاری كلید متقارن
  2. رمزنگاری كلید عمومی

در رمز نگاری " كلید متقارن " هر یك از كامپیوترها دارای یك كلید Secret ( كد ) بوده كه با استفاده از آن قادر به رمزنگاری یك بسته اطلاعاتی قبل از ارسال در شبكه برای كامپیوتر دیگر می باشند. در روش فوق می بایست در ابتدا نسبت به كامپیوترهائی كه قصد برقراری و ارسال اطلاعات برای یكدیگر را دارند ، آگاهی كامل وجود داشته باشد. هر یك از كامپیوترهای شركت كننده در مبادله اطلاعاتی می بایست دارای كلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی نیز از كلید فوق استفاده خواهد شد. فرض كنید قصد ارسال یك پیام رمز شده برای یكی از دوستان خود را داشته باشید. بدین منظور از یك الگوریتم خاص برای رمزنگاری استفاده می شود .در الگوریتم فوق هر حرف به دوحرف بعد از خود تبدیل می گردد.(حرف A به حرف C ، حرف B به حرف D ) .پس از رمزنمودن پیام و ارسال آن ، می بایست دریافت كننده پیام به این حقیقت واقف باشد كه برای رمزگشائی پیام لرسال شده ، هر حرف به دو حرق قبل از خود می باطست تبدیل گردد. در چنین حالتی می باطست به دوست امین خود ، واقعیت فوق ( كلید رمز ) گفته شود. در صورتیكه پیام فوق توسط افراد دیگری دریافت گردد ، بدلیل عدم آگاهی از كلید ، آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود.

در رمزنگاری عمومی از تركیب یك كلید خصوصی و یك كلید عمومی استفاده می شود. كلید خصوصی صرفا" برای كامپیوتر شما ( ارسال كننده) قابل شناسائی و استفاده است . كلید عمومی توسط كامپیوتر شما در اختیار تمام كامپیوترهای دیگر كه قصد ارتباط با آن را داشته باشند ، گذاشته می شود. بمنظور رمزگشائی یك پیام رمز شده ، یك كامپیوتر می بایست با استفاده از كلید عمومی ( ارائه شده توسط كامپیوتر ارسال كننده ) ، كلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید . یكی از متداولترین ابزار "رمزنگاری كلید عمومی" ، روشی با نام PGP)Pretty Good Privacy) است . با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود. 

IPSec : پروتكل IPsec)Internet protocol security protocol) ، یكی از امكانات موجود برای ایجاد امنیت در ارسال و دریافت اطلاعات می باشد . قابلیت روش فوق در مقایسه با الگوریتم های رمزنگاری بمراتب بیشتر است . پروتكل فوق دارای دو روش رمزنگاری است : Tunnel ، Transport . در روش tunel ، هدر و Payload رمز شده درحالیكه در روش transport صرفا" payload رمز می گردد. پروتكل فوق قادر به رمزنگاری اطلاعات بین دستگاههای متفاوت است :

  • روتر به روتر
  • فایروال به روتر
  • كامپیوتر به روتر
  • كامپیوتر به سرویس دهنده

سرویس دهنده AAA : سرویس دهندگان( AAA : Authentication ,Authorization,Accounting) بمنظور ایجاد امنیت بالا در محیط های VPN از نوع " دستیابی از راه دور " استفاده می گردند. زمانیكه كاربران با استفاده از خط تلفن به سیستم متصل می گردند ، سرویس دهنده AAA درخواست آنها را اخذ و عمایات زیر را انجام خواهد داد :

  • شما چه كسی هستید؟ ( تایید ، Authentication )
  • شما مجاز به انجام چه كاری هستید؟ ( مجوز ، Authorization )
  • چه كارهائی را انجام داده اید؟ ( حسابداری ، Accounting )

تكنولوژی های VPN :

با توجه به نوع VPN ( " دستیابی از راه دور " و یا " سایت به سایت " ) ، بمنظور ایجاد شبكه از عناصر خاصی استفاده می گردد:

  • نرم افزارهای مربوط به كاربران از راه دور
  • سخت افزارهای اختصاصی نظیر یك " كانكتور VPN" و یا یك فایروال PIX
  • سرویس دهنده اختصاصی VPN بمنظور سرویُس های Dial-up
  • سرویس دهنده NAS كه توسط مركز ارائه خدمات اینترنت بمنظور دستیابی به VPN از نوع "دستیابی از را دور" استفاده می شود.


نوشته شده توسط پيام در پنجشنبه 2 آبان1387

لينك ثابت

رنگ بندي کابلهاي شبکه ( شبکه )

به طور کلي دو نوع کابل در شبکه هاي کامپيوتري استفاده ميشود نوع اول کابلي است که براي ارتباط سوئيچ به روتر ، سوئيچ به کامپيوتر ، هاب به کامپيوتر به کار ميرود که به اين نوع کابل مستقيم يا Straight گويند. نوع دوم کابلي است که براي ارتباط دو پايانه مانند سوئيچ به سوئيچ ، سوئيچ به هاب ، هاب به هاب ، روتر به روتر ، کامپيوتر به کامپيوتر و روتر به کامپيوتر به کار ميرود که به اين نوع کابل Cross گويند.

تصویر شماره 1

 

در سوکت زدن سر کابل ها بايد ترتيب خاصي را در نظر گرفت که دو ترتيب رنگ استانداردهاي T-568A و T-568B شناخته مي شوند . اگر چه استفاده از ترتيب رنگهاي ديگر ممکن است درست جواب دهد اما به طور يقين خالي از اشکال نخواهد بود و شما را در عمل دچار نقص و کاستي هايي خواهد کرد به خصوص در سرعت واقعي شبکه. در زير ترتيب رنگ در T-568Aو T-568B و همينطور نحوه سوکت زني با شکل نمايش داده شده است.

نحوه ساخت کابل Straight با استفاده از رنگ بندي T-568A و T-568B  :

 تصویر شماره 2

 

تصویر شماره 3

 

نحوه رنگ بندي براي ساخت يک کابل Cross :

تصویر شماره 4

 نحوه رنگ بندي براي ساخت کابل 8-pin براي راديوهاي WiLan :

تصویر شماره 5 


نوشته شده توسط پيام در دوشنبه 29 مهر1387

لينك ثابت

شبكه های خصوصی مجازی (VPN) - قسمت اول ( شبکه )

top7newsدر طی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است . اغلب سازمانها و موسسات ارائه دهنده كالا و خدمات كه در گذشته بسیار محدود و منطقه ای مسائل را دنبال و در صدد ارائه راهكارهای مربوطه بودند ، امروزه بیش از گذشته نیازمند تفكر در محدوده جهانی برای ارائه خدمات و كالای تولیده شده را دارند. به عبارت دیگر تفكرات منطقه ای و محلی حاكم بر فعالیت های تجاری جای خود را به تفكرات جهانی و سراسری داده اند. امروزه با سازمانهای زیادی برخورد می نمائیم كه در سطح یك كشور دارای دفاتر فعال و حتی در سطح دنیا دارای دفاتر متفاوتی می باشند . تمام سازمانهای فوق قبل از هر چیز بدنبال یك اصل بسیار مهم می باشند : یك روش سریع ، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یك كشور و یا در سطح دنیا.

اكثر سازمانها و موسسات بمنظور ایجاد یك شبكه WAN از خطوط اختصاصی (Leased Line) استفاده می نمایند.خطوط فوق دارای انواع متفاوتی می باشند. ISDN ( با سرعت 128 كیلوبیت در ثانیه )، ( OC3 Optical Carrier-3) ( با سرعت 155 مگابیت در ثانیه ) دامنه وسیع خطوط اختصاصی را نشان می دهد. یك شبكه WAN دارای مزایای عمده ای نسبت به یك شبكه عمومی نظیر اینترنت از بعد امنیت وكارآئی است . پشتیانی و نگهداری یك شبكه WAN در عمل و زمانیكه از خطوط اختصاصی استفاده می گردد ، مستلزم صرف هزینه بالائی است .

همزمان با عمومیت یافتن اینترنت ، اغلب سازمانها و موسسات ضرورت توسعه شبكه اختصاصی خود را بدرستی احساس كردند. در ابتدا شبكه های اینترانت مطرح گردیدند.این نوع شبكه بصورت كاملا" اختصاصی بوده و كارمندان یك سازمان با استفاده از رمز عبور تعریف شده ، قادر به ورود به شبكه و استفاده از منابع موجود می باشند. اخیرا" ، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواسته های جدید ( كارمندان از راه دور ، ادارات از راه دور )، اقدام به ایجاد شبكه های اختصاصی مجازی VPN)Virtual Private Network) نموده اند.

یك VPN ، شبكه ای اختصاصی بوده كه از یك شبكه عمومی ( عموما" اینترنت ) ، برای ارتباط با سایت های از راه دور و ارتباط كاربران بایكدیگر، استفاده می نماید. این نوع شبكه ها در عوض استفاده از خطوط واقعی نظیر : خطوط Leased ، از یك ارتباط مجازی بكمك اینترنت برای شبكه اختصاصی بمنظور ارتباط به سایت ها استفاده می كند.

عناصر تشكیل دهنده یك VPN

دو نوع عمده شبكه های VPN وجود دارد :

  • دستیابی از راه دور (Remote-Access) :
    به این نوع از شبكه ها VPDN)Virtual private dial-up network)، نیز گفته می شود.در شبكه های فوق از مدل ارتباطی User-To-Lan ( ارتباط كاربر به یك شبكه محلی ) استفاده می گردد. سازمانهائی كه از مدل فوق استفاده می نمایند ، بدنبال ایجاد تسهیلات لازم برای ارتباط پرسنل ( عموما" كاربران از راه دور و در هر مكانی می توانند حضور داشته باشند ) به شبكه سازمان می باشند. سازمانهائی كه تمایل به برپاسازی یك شبكه بزرگ " دستیابی از راه دور " می باشند ، می بایست از امكانات یك مركز ارائه دهنده خدمات اینترنت جهانی ESP)Enterprise service provider) استفاده نمایند. سرویس دهنده ESP ، بمنظور نصب و پیكربندی VPN ، یك NAS)Network access server) را پیكربندی و نرم افزاری را در اختیار كاربران از راه دور بمنظور ارتباط با سایت قرار خواهد داد. كاربران در ادامه با برقراری ارتباط قادر به دستیابی به NAS و استفاده از نرم افزار مربوطه بمنظور دستیابی به شبكه سازمان خود خواهند بود.
     
  • سایت به سایت (Site-to-Site) : در مدل فوق یك سازمان با توجه به سیاست های موجود ، قادر به اتصال چندین سایت ثابت از طریق یك شبكه عمومی نظیر اینترنت است . شبكه های VPN كه از روش فوق استفاده می نمایند ، دارای گونه های خاصی در این زمینه می باشند:

    o     مبتنی بر اینترانت : در صورتیكه سازمانی دارای یك و یا بیش از یك محل ( راه دور) بوده و تمایل به الحاق آنها در یك شبكه اختصاصی باشد ، می توان یك اینترانت VPN را بمنظور برقرای ارتباط هر یك از شبكه های محلی با یكدیگر ایجاد نمود.

    o     مبتنی بر اكسترانت : در مواردیكه سازمانی در تعامل اطلاعاتی بسیار نزدیك با سازمان دیگر باشد ، می توان یك اكسترانت VPN را بمنظور ارتباط شبكه های محلی هر یك از سازمانها ایجاد كرد. در چنین حالتی سازمانهای متعدد قادر به فعالیت در یك محیط اشتراكی خواهند بود.

استفاده از VPN برای یك سازمان دارای مزایای متعددی نظیر : گسترش محدوه جغرافیائی ارتباطی ، بهبود وضعیت امنیت ، كاهش هزینه های عملیاتی در مقایسه با روش های سنتی WAN ، كاهش زمان ارسال و حمل اطلاعات برای كاربران از راه دور ، بهبود بهره وری ، توپولوژی آسان ،... است . در یكه شبكه VPN به عوامل متفاوتی نظیر : امنیت ، اعتمادپذیری ، مدیریت شبكه و سیاست ها نیاز خواهد بود.


نوشته شده توسط پيام در جمعه 26 مهر1387

لينك ثابت

راهنمای عیب یابی شبکه ( شبکه )

top7newsError in network

حتما گاهی‌اوقات به هنگام راه اندازی شبکه خانگی یا شبکه کوچک تجاری خود برای اولین بار با مشکلات متعددی مواجه شده اید. بسیاری از این مشکلات به سادگی برطرف می شوند. اما به شرط آن که قبلا” با راه حل ها آشنا شده باشید،پس در این ماه چند مرحله اصلی عیب یابی و نیز چندین ابراز موجود برای یافتن مشکلات پشت صحنه را شرح خواهم داد.

● اتصال پذیری

شاید بدیهی به نظر برسد،اما در قدم اول باید مشخص شود که آیا همه کامپیوترها،سرویس دهنده ها،چاپگرها و دیگر دستگاه های متصل به شبکه می توانند با یکدیگر ارتباط برقرار کنند یا خیر. برای این منظور،در شبکه باسیم باید مطمئن شد که میان هر دستگاه و هاب یا سوییچ مرکزی یک کابل ارتباطی مطمئنی داشته و به ترتیب درستی متصل شده باشند،چرا که در صورت وجود دو نوع کابل شبکه مختلف،اتصال نادرست مشکل ساز می شود. اکثر کابل های مدرن UTP (جفت های تابیده بی حفاظ) اتصال دهنده هایی دارند که در هر دو انتها به یکدیگر متصل می شوند. در خود این اتصال دهنده ها،چندین سیم مجزا هست که ممکن است به همان پین های اتصالی در همان انتها وصل شوند یا به صورت ضربدری اتصال یابند. کابل های مستقیم،یک کامپیوتر شخصی،سرویس دهنده یا دیگر وسایل شبکه را به وهاب یا سویچ متصل می کنند. کابل های ضربدری،اتصال دو کامپیوتر شخصی به یکدیگر را ممکن می سازند و در اتصال سریالی یک هاب یا سو ییچ به هاب یا سوییچ دیگر کاربرد دارند. استفاده غلط از کابل ها(که غالبا” هیچ علامتی هم ندارند)باعث می شود سیگنال ها به مقصد نرسد. اگر به ترتیب رنگ های اتصال یک کابل اطمینان ندارید،ساده ترین راه وصل کردن کابل مذکور و سپس بررسی LED اتصال در آداپتور یا انتهای سوییچ است. اکثر کابل ها یک LED (دیود نوری) کوچک سبز رنگ دارند که در صورت برقراری اتصال ،غالبا” قبل از روشن شدن دستگاه،روشن می شود. در بعضی کابل ها این دیود نوری به دو رنگ زرد یا نارنجی در می آید تا اتصال ۱۰۰ مگابایت در ثانیه یا گیگابایت باشد (در بعضی دیگر ،چراغ های راهنمای ۱۰۰ مگابایتی جداگانه ای وجود دارد.)اما اگر هیچ نوری به چشم نخورد،مطمئنا” کابل نادرستی را به کار برده اید. در این صورت چاره ی کار تعویض کابل است ،هر چند در برخی از سوییچ ها، دگمه هایی در کنار پورت های خاص (معمولا” با علامت ”Uplink ”)وجود دارد که امکان استفاده از یک کابل مستقیم برای برقراری اتصال با هاب یا سوییچ دیگر را فراهم می کند. برخی از جدیدترین سوییچ ها می توانند به طور خودکار کابل های مورد استفاده را بررسی کنند و از داخل ترتیب رنگ های پورت را به شکلی مناسب تغییر دهند.

متن کامل در ادامه مطلب . . .

ادامه ي مطلب ...


نوشته شده توسط پيام در یکشنبه 21 مهر1387

لينك ثابت

استاندارد هاي خدمات وب (Standards for web services) - قسمت آخر ( شبکه )

WSDLtop7news - Learning يا Web Services Description Language

استاندارد ديگري که نقش اساسي در وب سرويس بازي مي کند WSDL است . همانطور که قبلا ً اشاره کرديم يکي از خواص وب سرويس ها توصيف خود آنهاست به اين معني که وب سرويس داراي اطلاعاتي است که نحوه استفاده از آن را توضيح مي دهد . اين توضيحات در WSDL نوشته مي شود ، متني به XML که به برنامه ها مي گويد اين وب سرويس چه اطلاعاتي لازم دارد و چه اطلاعاتي را بر مي گرداند .

وقتي که سازندگان نرم افزار براي اولين بار SOAP و ديگر تکنولوژي هاي وب سرويس را ساختند دريافتند که برنامه ها قبل از اينکه شروع به استفاده از يک وب سرويس بکنند بايد اطلاعاتي درباره آن را داشته باشند . اما هر کدام از آن سازندگان براي خودشان روشي براي ايجاد اين توضيحات ابداع کردند و باعث شد که وب سرويس ها با هم هماهنگ نباشد . وقتي IBM و مايکروسافت تصميم گرفتند تا استاندارد هاي خود را يکسان کنند WSDL بوجود آمد . در ماه مارس سال 2001 مايکروسافت ، IBM و Ariba نسخه 1.1 را به W3C ارائه کردند . گروهي از W3C بر روي اين استاندارد کار کردند و آن را پذيرفتند . هم اکنون اين تکنولوژي در دست ساخت است و هنوز کامل نشده . ولي هم اکنون اکثر سازندگان وب سرويس از آن استفاده مي کنند

هر وب سرويسي که بر روي اينترنت قرار مي گيرد داراي يک فايل WSDL است که مشخصات ، مکان و نحوه استفاده از وب سرويس را توضيح مي دهد . يک فايل WSDL نوع پيغام هايي که وب سرويس مي فرستد و مي گيرد را توضيح مي دهد مانند پارامترهايي که برنامه صدا زننده براي کار با وب سرويس بايد به آن بفرستد . در تئوري يک برنامه در وب براي يافتن وب سرويس مورد نظر خود از روي توضيحات WSDL ها جستجو مي کند . در WSDL اطلاعات مربوط به چگونگي ارتباط با وب سرويس بر روي HTTP يا هر پروتکول ديگر نيز وجود دارد .

اين مهم است که بدانيم WSDL براي برنامه ها طراحي شده است نه براي خواندن آن توسط انسان . شکل فايلهاي WSDL پيچيده به نظر مي آيد ولي کامپيوترها مي توانند آن را بخوانند و تجزيه و تحليل بکند . خيلي از نرم افزارهايي که وب سرويس مي سازند فايل WSDL مورد نياز وب سرويس را نيز توليد مي کنند بنابراين وقتي برنامه نويس وب سرويس خود را ساخت به شکل خودکار WSDL مورد نياز با آن نيز ساخته مي شود و احتياجي به آموزش دستورات WSDL براي ساختن و استفاده از وب سرويس نيست .پيغام هاي SOAP توسط سرور هاي SOAP گرفته و تفسير مي شود تا در نتيجه آن ، وب سرويس ها فعال شوند و کار خود را انجام دهند .

ادامه در ادامه مطلب . . .

 

ادامه ي مطلب ...


نوشته شده توسط پيام در یکشنبه 21 مهر1387

لينك ثابت

شرح کوتاهی از قسمت های موجود در Administrative Tools در ویندوز 2003 سرور - قسمت دوم ( شبکه )

top7news - Network LearningServer Machine Requirements

Your Visual SourceSafe server contains Visual SourceSafe software, along with the services required by source control packages to run in third-party programs, for example, the SourceSafe plug-ins for Visual Studio. Generally the server also contains the databases for your team. The server hosts the databases on a drive that is accessible to all Visual SourceSafe clients. If you want to use the server machine as a workstation, you can also install Visual SourceSafe client software.

The minimum recommended system specification for a Visual SourceSafe server is documented in the Visual SourceSafe Readme file. However, in anything but the smallest team environments, you will want a more powerful system, closer to the recommended specification for a Visual Studio developer workstation.

Remember that the amount of time taken to perform routine Visual SourceSafe database administration tasks is greatly affected by the processor speed and amount of available RAM. You should also aim for a hard disk capacity approximately twice the size of your Visual SourceSafe database.

 

Local Security Policy یا سیاست های امنیتی محلی:

زیر نظر داشتن و اصلاح کردن سیاست های امنیتی محلی مانند چک کردن اعتبار کاربران و رسیدگی به سیاست های آنها .

Local Policies, which is part of the Local Security Settings console, determine the security options for a user or service account. Local policies are based on the computer a user is logged into, and the rights the user has on that particular computer. To set local policies, on the Start menu, point to Settings, click Control Panel, double-click Administrative Tools, double-click Local Security Policy, and then expand the Local Policies folder.

 

یا مدیریت سرور : Manage Your Server

تهیه یک برداشت کلی از وظایف و مدیریت اشیا (وسایل یا قطعات) موجود (در دسترس) در این سرور .

 Microsoft .Net framework 1.1 Configuration

زیر نظر داشتن و اصلاح کردن سیاست های امنیتی دات نت فریم ورک ، پیاده سازی این سیاست ها و پیکر بندی آنها.

 Microsoft .Net framework 1.1 Wizard

تنظیمات ویزارد برای تنظیم و سازگاری  امنیت .Net framework ،تعیین کردن میزان اعتماد پذیری سیاست های پیاده سازی شده و همچنین تعمیر و بازسازی دستورات کاربردی ( برنامه های کاربردی تحت دات نت ) دات نت .

 یا هماهنگ کردن مدیریت بارگذاری شبکه : Network Load Balancing Manager

پیکربندی و مدیریت هماهنگی بارگذاری در دسته های موجود در شبکه

Network Load Balancing Provider

Purpose

Network Load Balancing clusters balance TCP/IP connection loads across multiple ports and servers according to a configurable set of rules. The Network Load Balancing Provider allows developers to create customized, remote, scriptable administration tools for Network Load Balancing clusters.

Developer Audience

Programming with the provider means interacting with Windows Management Instrumentation (WMI). Developers are strongly advised to review the Platform SDK documentation on WMI, especially the information and examples pertaining to client-side or remote administration programming.

This documentation assumes that readers are familiar with WMI and the Network Load Balancing user interface, and that they have access to the Platform SDK documentation for WMI as well as the online help documentation for Network Load Balancing.

Run-Time Requirements

The Network Load Balancing Provider requires the Microsoft® Windows® 2000 Advanced Server or Datacenter Server operating system.

 

Performance

نمایش نمودار عملکرد سیستم و نیز نمایش پیکربندی داده ها ثبت شده و پیغام های خطا

Remote Desktop یا کنترل از راه دور دسکتاپ :

اتصال به سیستم زنجیره ای کنترل از راه دور دسکتاپ .


نوشته شده توسط پيام در پنجشنبه 4 مهر1387

لينك ثابت

استاندارد هاي خدمات وب (Standards for web services) - قسمت اول ( شبکه )

پروتکل دسترسي آسان به اشياء(SOAP)

بر اساس پروتکل دستيابي ساده به اشياء ((Simple Object Access Protocol (SOAP) است که تمامي خدمات وب به گردش در مي‌‌آيد. منظور از پروتکل، مجموعه شرح قواعد و فرمت هاي مربوط به ارسال پيامهاي مخابراتي از يک ماشين به ماشين ديگر است. SOAP پروتکل ساده‌اي ست که به منظور سازگاري (compatibility) با سکو هاي (platforms) مختلف و نيز سيستم‌هاي عامل (operating systems) گوناگون نوشته شده است. هدف اساسي اين پروتکل را بايد امکان پذيري مخابرات ماشين به ماشين در محيط هاي محاسباتي نامتجانس (heterogeneous) ذکر کرد.

زبان شرح خدمات در وب (WSDL)

هر چه بيشتر پرتکل هاي مخابراتي و فرمت پيامها بر روي وب به سمت استاندارد شدن پيش ميرود، امکان و اهميت شرح مخابرات و امور تبادل يافته، به شيوه‌هاي ساختارپذير (structured) نيز فزوني مي‌‌يابد. زبان شرح خدمات در وب (Web Services Description language) درست به منظور برآورده نمودن همين نياز ابداع گرديده است، و اين مهم را با تعريف يک گرامر اکس ام ال انجام مي‌‌دهد. اين گرامر به خصوص، خدمات موجود در شبکه را به صورت مجموعه هايي از نقاط پاياني مخابراتي بيان مي‌‌نمايد که قادرند به تبادل پيام هاي مخابراتي بپردازندمبادرت ورزند.

شرح، کشف، و يکپارچه‌سازي فراگير (UDDI)

به وسيله فناوري شرح، کشف، و يکپارچه‌سازي فراگير (Universal Description, Discovery, and Integration) مي‌توان به انتشار و نيز جستجوي خدمات وب اقدام کرد. اين فناوري، خدمات وب را سامان داده، و پس از شرح آن ها، اطلاعات بدست آمده را در يک جايگاه مرکزي قرار مي‌دهد.

ميزباني صفحات وب

ميزباني در واقع فضاي مورد نياز شما را براي ساخت وب‌گاه در اختيار شما قرار مي‌‌دهد.

مزاياي مربوط به خدمات وب

بزرگ‌ترين مزيت روش نو از ناحيهٔ حضور اکس‌ام‌ال در اکثر ساختار‌هاي مربوط به خدمات وب مي‌‌آيد. نياز به آنهمه اکس‌ام‌ال به خاطر غلبه بر عدم مقياس‌پذيري (scalability) شيوه‌هاي پيشين در مهندسي و ساخت اينترت است. از آنجا که اکس‌ام‌ال متن گراست text-based، شمه‌اي از نرمي و انعطاف پزيري شگفت آوري که در زبان انسان موجود است با سختي و شکنندگي روشهاي ماشيني ترکيب شده و ما را به ساخت سامانه‌هاي بسيار گسترش‌پذير توانا مي‌‌گرداند.

برخي از زمينه‌هاي مربوطه عبارت اند از:

وب معاني گرا Semantic web

آينده اينترنت کنوني را بايد در وب معني گرا دانست. وب کنوني براي استفاده کاربران انساني‌ست، ولي اينترنت جديد فضايي‌ست جهت همکاري‌هاي دو سره و چندسره انسان - انسان، انسان - ماشين، و بالاخره ماشين - ماشين و هر ترکيبي از اينها، به هر تعداد، و ازهر کجاي عالم. خدمات وب تنها گامي ست اوليه در اين سو.

مهندسي دانشKnowledge engineering

از آنجا که علوم رايانه را بايد تلاشي همه جا گير در راستاي ماشيني کردن توان انديشه گري در نوع انسان دانست، به زودي دانسته‌هاي بشر در هر يک از زمينه ها آنقدر عظيم خواهد شد که تنها و تنها خود ماشين قادر به يادگيري و استفاده از آنهمه علم خواهد بود. اين امر را مي‌شود انگيزه اصلي در مهندسي دانش دانست.

 ادامه مقاله در ادامه مطلب . . .

ادامه ي مطلب ...


نوشته شده توسط پيام در پنجشنبه 14 شهریور1387

لينك ثابت

معرفی پروتکل RADIUS - قسمت دوم ( شبکه )

نگاهی به پروتکل الحاقی تصدیق هویت

EAPبه پروتکل PPP جهت گسترش مکانیزمهای تصدیق هویت به منظور دسترسی به شبکه،اضافه گردید. با پروتکلهای تصدیق هویت PPP مانند: CHAP،MS CHAP،MS CHAP V2 یکسری مکانیزمهای خاصی در طول فاز برقراری اتصال انتخاب میشوند.درمدتی که تصدیق هویت اتصال بررسی میشود پروتکل تصدیق هویت محاوره ای به منظور تائید اعتبار اتصال مورداستفاده قرار میگیرد.

پروتکل تصدیق هویت یک رشته ثابت ازپیامها را باتوجه به درخواست خاص می فرستد.با EAP مکانیزمهای تصدیق هویت خاصی درطول فاز برقراری پیوندPPP انتخاب نمی شوند. درعوض هرطرف برای اجرای EAP درطول فاز تصدیق هویت اتصال محاوره می کند.

زمانیکه فازتصدیق CONNECTION فرا می رسد،دوطرف ارتباط درمورد شمای تصدیق هویت موردنظرشان محاوره می کنند که EAP TYPE نامیده می شود.بمحض اینکه EAP TYPE مشخص شد،اجازه ردوبدل کردن پیامها میان سرویس گیرنده و سرور داده میشود که می تواند براساس پارامترهای اتصال متفاوت باشد،این محاوره شامل درخواستهایی برای تصدیق هویت و پاسخ آنها می باشد .جزئیات و طول این محاوره بستگی به نوع EAP دارد.بانصب فایل کتابخانه ای نوع EAP برروی سرویس گیرنده و سرور، آن نوع EAP جدید می تواند ،پشتیبانی شود.EAP انعطاف بسیارخوبی برای بیشترمتدهای تصدیق هویت امنیتی فراهم می کند.شما می توانید از EAP برای پشتیبانی ازطرح های تصدیق هویت مانند: کارت رمزعمومی،OTP،MD5 CHALLENGE،امنیت لایه انتقال برای کارت هوشمند استفاده کنید.(بخوبی هر تکنولوژی تصدیق هویتی که درآینده می آید.)

درمجموع برای پشتیبانی شدن توسط پروتکلPPP،EAP توسط لایه پیــــــوند IEEE802هم پشتیبــانی می شود.

IEEE802.1X یک استاندارد IEEE برای تصدیق هویت پورت شبکه است،که تعریف می کند ،چطور EAP برای تصدیق هویت از ابزارهای IEEE802،شامل IEEE802.11B نقاط دسترسی بی سیم و سوئیچهای اترنت استفاده می شود.

IEEE802.1X با پروتکل PPP که فقط متدهای تصدیق هویت EAP را پشتیبانی می کند،متفاوت است . در نتیجه امکان استفاده از PAP بصورت محاوره ای برای آن وجود ندارد.

EAP OVER RADIUS

EAP OVER RADIUS یک نوع EAP نیست،اما پیامهای EAP هرنوعEAP رابوسیله ACCESS SERVER به سرور RADIUS به منظور تصدیق هویت عبور میدهد.

یک پیام EAP بین ACCESS CLIENT و ACCESS SERVER به شکل یک پیام EAP با خصوصیات RADIUS(RFC2869) فرستاده میشود.ACCESS SERVER یک ابزار برای عبوردادن پیامهای EAP میان ACCESS CLIENT و سرورRADIUS می باشد.پردازش پیامهای EAP،توسط سرورRADIUS و ACCESS CLIENT می باشد نه ACCESS SERVER.

Eap over radius درمحیطهایی که radius عمل تصدیق هویت رابرعهده دارد استفاده میشود.یک مزیت استفاده از eap over radius این است که نیازی به نصب انواع eap روی access server نمی باشد،تنها نصب آن روی سرور radius کافی میباشد.

Access server باید از انتقالات eap بعنوان پروتکل تصدیق هویت پشتیبانی کند و پیامهای eap رابه سرور انتقال دهد.

در یک eap over radius ،access server برای استفاده از eap و radius،بعنوانprovider تصدیق هویت تنظیم شده است.زمانیکه تلاش برای برقراری اتصالا صورت می گیرد،access client درموردeap با access server گفتگو می کند.

زمانیکه سرویس گیرنده یک پیامeapبه access server می فرستد،access server پیام را مانند یک پیامradius بسته بندی کرده و آنرا به سروری که بااو هماهنگ شده می فرستد. سرورپیام را پردازش می کند وبهACCESS SERVERبرمیگرداند. سپس ACCESS SERVER پیام EAP را به ACCESS CLIENT می فرستد.

RADIUS SECURITY ISSUES AND SOLUTIONS

درادامه عملکردهای امنیتی و حملات احتمالی به سرورهای RADIUS توضیح داده خواهد شد. این عملکردها بسته به توانائی مهاجم درگرفتن پیامهای RADIUSمیان ACCESS SERVER و سرور RADIUS متفاوت می باشد.این موضوع نشان می دهد که مهاجم دسترسی فیزیکی به شبکه دارد و درمسیرمیان سرور و ACCESS SERVER می باشد.

(با شرکت در نظر خواهی من رو در بهتر شدن هر چه بیشتر محتوای این وبلاگ یاری کنید.)

 


نوشته شده توسط پيام در سه شنبه 12 شهریور1387

لينك ثابت

معرفی پروتکل RADIUS - قسمت اول ( شبکه )

مقدمه :

سرویس احرازهویت ازراه دور RADIUS معمولا برای احرازهویت وبررسی حدود اختیارات و حساب کاربران dial up درشبکه های خصوصی مجازی واخیرا برای دسترسی درشبکه های بی سیم فراهم آمده است.این مقاله نگاهی دارد به RADIUS و پروتکل EAP و درمورد به حداقــــل رساندن یا حل کردن پیامدهای مختلف امنیت این پروتکل و همچنین پیاده سازی و گسترش آن به بهترین نحو بحث می کند.

نگاهی به RADIUS :

RADIUS یک قرارداد گسترش یافته با توانائی متمرکز کردن احرازهویت ، تعیین حدود اختیارات و مدیریت حسابهای کاربران برای دسترسی درشبکه بکار می‌رود. عموما برای دسترسی راه دور توسعه پیدا کرد ولی درحال حاضر بوسیله شبکه های VPN ،نقاطی که از طریق بی سیم بهم متصل هستند ، احرازهویت سوئیچهای اترنت ،خطوط دستیابی DSL و انواع شبکه هایی که دسترسیهای مختلف پشتیبانی میشود.

Radius با استاندارد RFC 2865 تشریح شده است. یک سرویس گیرنده RADIUS (نوعا یک ACCESS SERVER،مانند یک سرور DIAL UP ، سرورVPN یا WIRE LESS ACCESS POINT) یک دسته از اطلاعات و پارامترهای مربوط به اتصال تحت عنوان RADIUS MESSAGE، به سرور ارسال می کند.

سرور، هویت سرویس گیرنده را تعیین و حدود اختیارات آنرا مشخص می کند و در پاسخ یک RADIUS MESSAGE برای سرویس گیرنده ارسال می کند.سرویس گیرنده های RADIUS همچنین RADIUS ACCOUNTING MESSAGE را به سرورهای RADIUS ارسال می کنند.

بعلاوه استانداردهای RADIUS ازپروکسی های RADIUS پشتیبانی می کند.یک پروکسیRADIUS یک کامپیوتر است که پیامها را مابین سرویس گیرنده ها و دیگر پروکسی هائی که از RADIUS استفاده می کنند ، پیش می برد.پیامها هرگز ازسوی ACCESS CLIENT و ACCESS SERVER ارسال نمی شوند.این پیامها بصورت پیامهای UDP ارسال می شوند.

پورت1812UDP ، برای پیامهای احراز هویت استفاده می شود و پورت1813 برای ACCOUNTING MESSAGE استفاده می شود.برخی خدمات دسترسی باید از پورت 1645 برای پیامهای احرازهویت و پورت 1646 برای پیامهای ACCOUNTING ارائه شوند.فقط یک RADIUS MESSAGE شامل UDP PAYLOAD یک بسته می باشد.RFCهای 2865و2866 انواع پیامهای زیر را تعریف می کند:

ACCESS REQUEST

این درخواست از طرف سرویس گیرنده به منظور تلاش برای برقراری ارتباط با شبکه ، جهت احراز هویت و تعیین حدود اختیارات فرستاده می شود.

ACCESS ACCEPT

بوسیله یک سرور در پاسخ به ACCESS REQUEST فرستاده میشود این پیام نشان می دهد که سرویس گیرنده موردنظر در تلاش برای برقراری ارتباط،ATHENTICAT و AUTHORIZE شده است.

ACCESS REJECT

در پاسخ به یک ACCESS REQUEST توسط سرور فرستاده میشود. این پیام نشان می دهد که سرویس گیرنده موردنظر در تلاش برای اتصال به شبکه صلاحیت نداشته است. یک سرور زمانی این پیام را می فرستد که گواهینامه سرویس گیرنده برای تلاش به برقراری اتصال، صلاحیت احراز هویت و یا تعیین حدود اختیارات لازم را ندارد.

ACCESS CHALLENGE

توسط یک سرور در پاسخ به یک ACCESS REQUEST فرستاده میشود این پیام یک نوع رقابت بین سرویس گیرنده ها است که میخواهند پاسخ خود را دریافت کنند.

ACCOUNTING REQUEST

پس ازبرقراری یک اتصال یکسری اطلاعات درمورد حسابهای کاربری ازسوی سرویس گیرنده فرستاده می شود.

ACCOUNTING RESPONSE

توسط یک سرور در پاسخ به پیام ACCOUNTIG REQUEST فرستاده میشود.

یک پیام RADIUS شامل دو بخش HEADER و ATTRIBUTES می باشد. هر خصوصیت یک بخشی از اطلاعات درباره تلاش برای ایجاد اتصال را مشخص می کند.

برای نمونه ، خصوصیاتی مانند : نام کاربر،کلمه عبوراو،نوع خدمات خواسته شده توسط کاربر،آدرس IP دسترسی به سرور دراین قسمت وجوددارند.خصوصیات به منظور ردوبدل کردن اطلاعات بین سرویس گیرنده ها و پروکسیها وسرور RADIUS استفاده میشوند.

برای مثال، لیست خصوصیات لازم جهت برقراری اتصال ، در پیام ACCESS REQUEST شامل اطلاعاتی درباره اختیارات کاربرو پارامترهای لازم دیگر می باشد.درواقع لیست خصوصیات مربوط به ACCESS ACCEPT شامل اطلاعاتی درباره نوع اتصــــــــالی که می تواند ایجاد شود و محدودیتهای اتصال می باشد.

خصیصه‌هایRADIUS،بوسیله‌استا نداردهای 2865،2866،2846،2868،2869و3162 تشریح شده اند.این RFCها و طرح هائی که سرویس دهنده ها آنها را لازم الجرا می دانند و باید از سوی سرویس گیرنده رعایت شوند،درمجموع خصیصه های RADIUS را تعریف می کنند.

در پروتکل های نقطه به نقطه مانند:PAP،CHAP،MS CHAP،MS CHAP V2نتایج تصدیق هویت ردوبدل شده میان ACCESS SERVER و ACCESS CLIENT به منظور بررسی به RADIUS SERVER فرستاده می شوند.

به منظور فراهم آوردن امنیت برای پیامهای RADIUS سرویس گیرنده و سرور براساس کلیدمشترک عمومی هماهنگ می‌شوند.کلیدمشترک برای ایجاد امنیت درردوبدل کردن اطلاعات است و بطور معمول بصورت یک رشته متنی روی سرویس گیرنده و سرور می باشد.


نوشته شده توسط پيام در چهارشنبه 6 شهریور1387

لينك ثابت

وب سرویس چیست ؟ ( شبکه )

کسانی که با صنعت IT آشنايی دارند تتما ً نام وب سرويس را شنيده اند. برای مثال، بيش از ۶۶ درصد کسانی که در نظر سنجی مجله InfoWorld شرکت کرده بودند بر اين توافق داشتند که وب سرويس ها مدل تجاری بعدی اينترنت خواهند بود. به علاوه گروه گارتنر پيش بينی کرده است که وب سرويس ها کارآيی پروژه های IT را تا ۳۰ در صد بالا می برد. اما وب سرويس چيست و چگونه شکل تجارت را در اينترنت تغيير خواهد داد؟

برای ساده کردن پردازش های تجاری، برنامه های غيرمتمرکز (Enterprise) بايد با يکديگر ارتباط داشته باشند و از داده های اشتراکی يکديگر استفاده کنند. قبلا ً اين کار بوسيله ابداع استانداردهای خصوصی و فرمت داده ها به شکل مورد نياز هر برنامه انجام می شد. اما دنيای وب و XML تکنولوژی آزاد برای انتقال ديتا انتقال اطلاعات بين سيستم ها را افزايش داد. وب سرويس ها نرم افزارهايی هستند که از XML برای انتقال اطلاعات بين نرم افزارهای ديگر از طريق پروتکل های معمول اينترنتی استفاده می کنند. به شکل ساده يک وب سرويس از طريق وب اعمالی را انجام می دهد (توابع يا سابروتين ها) و نتايج را به برنامه ديگری می فرستد. اين يعنی برنامه ای که در يک کامپيوتر در تال اجراست اطلاعاتی را به کامپيوترديگری می فرستد و از آن درخواست جواب می کند. برنامه ای که در آن کامپيوتر دوم است کارهای خواسته شده را انجام می دهد و نتيجه را بر روی ساختارهای اينترنتی به برنامه اول برمی گرداند.

وب سرويس ها می توانند از پروتکل های زيادی در اينترنت استفاده کنند اما بيشتر از HTTP که مهم ترين آنهاست استفاده می شود. وب سرويس هر نوع کاری می تواند انجام دهد. برای مثال در يک برنامه می تواند آخرين عنوان های اخبار را از وب سرويس Associated Press بگيرد يا يک برنامه مالی می تواند آخرين اخبار و اطلاعات بورس را از طريق وب سرويس بگيرد. کاری که وب سرويس انجام می دهد می تواند به سادگی ضرب دو عدد يا به پيچيدگی انجام کليه امور مشترکين يک شرکت باشد.

وب سرويس دارای خواصی است که آن را از ديگر تکنولوژی ها و مدل های کامپيوتری جدا می کند. Paul Flessner، نايب رييس مايکروسافت در dot NET Enterprise Server چندين مشخصه برای وب سرويس در يکی از نوشته هايش ذکر کرده است. اول اينکه وب سرويس ها قابل برنامه ريزی هستند. يک وب سرويس کاری که می کند را در خود مخفی نگه می دارد. وقتی برنامه ای به آن اطلاعات داد وب سرويس آن را پردازش می کند و در جواب آن اطلاعاتی را به برنامه اصلی بر می گرداند.

دوم، وب سرويس ها بر پايه XML بنا نهاده شده اند. XML و XML های مبتنی بر SOAP يا Simple Object Access Protocol تکنولوژی هايی هستند که به وب سرويس ها اين امکان را می دهد که با ديگر برنامه ها ارتباط داشته باشد تتی اگر آن برنامه ها در زبانهای مختلف نوشته شده و بر روی سيستم عامل های مختلفی در تال اجرا باشند.

همچين وب سرويس ها خود-توصيف هستند. به اين معنی که کاری را که انجام می دهند و نتوه استفاده از خودشان را توضيت می دهند. اين توضيتات به طور کلی در WSDL يا Web Services Description Language نوشته می شود. WSDL يک استاندارد بر مبنای XML است. به علاوه وب سرويس ها قابل شناسايی هستند به اين معنی که برنامه نويس می تواند به دنبال وب سرويس مورد علاقه در دايرکتوری هايی مثل UDDI يا Universal Description , Discovery and Integration جستجو کند. UDDI يکی ديگر از استاندارد های وب سرويس است.

نکات تکنولوژی وب سرويس

همانطور که در ابتدا توضيت داده شد يکی از دلايل اينکه وب سرويس از ديگر تکنولوژی های موجود مجزا شده است استفاده از XML و بعضی استاندارد های تکنيکی ديگر مانند SOAP، WSDL و UDDI است. اين تکنولوژی ها زمينه ارتباط بين برنامه ها را ايجاد می کنند به شکلی که مستقل از زبان برنامه نويسی، سيستم عامل و سخت افزار است. SOAP يک مکانيزم ارتباطی را بين نرم افزار و وب سرويس ايجاد می کند. WSDL يک روش يکتا برای توصيف وب سرويس ايجاد می کند و UDDI يک دايرکتوری قابل جستجو برای وب سرويس می سازد. وقتی اينها با هم در يک جا جمع می شوند اين تکنولوژی ها به برنامه نويس اجازه می دهد که برنامه های خود را به عنوان سرويس آماده کرده و بر روی اينترنت قرار دهد.

ادامه مقاله در ادامه مطلب . . .

ادامه ي مطلب ...


نوشته شده توسط پيام در یکشنبه 3 شهریور1387

لينك ثابت

کاربرد پراکسی در امنیت شبکه (۱) ( شبکه )

پراکسی چیست؟

در دنیای امنیت شبکه، افراد از عبارت «پراکسی» برای خیلی چیزها استفاده می کنند. اما عموماً، پراکسی ابزار است که بسته های دیتای اینترنتی را در مسیر دریافت می  کند، آن دیتا را می  سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می  دهد. در اینجا از پراکسی به معنی پروسه  ای یاد می  شود که در راه ترافیک شبکه  ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می  گیرد و آن را می  سنجد تا ببیند با سیاست های امنیتی شما مطابقت دارد و سپس مشخص می  کند که آیا به آن اجازه عبور از فایروال را بدهد یا خیر. بسته  های مورد قبول به سرور مورد نظر ارسال و بسته های ردشده دور ریخته می  شوند.

پراکسی چه چیزی نیست؟

پراکسی ها بعضی اوقات با دو نوع فایروال اشتباه می  شوند «Packet filter  و  Stateful packet filter» که البته هر کدام از روش ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد.

پراکسی با Packet filter تفاوت دارد

ابتدایی ترین روش صدور اجازه عبور به ترافیک بر اساس TCP/IP این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه قرار می گیرد و اطلاعات آدرس را در header IP ترافیک دیتایی که بین آنها عبور می  کند، پیمایش می کند. اطلاعاتی که این نوع فیلتر ارزیابی می کند عموماً شامل آدرس و پورت منبع و مقصد می  شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و بر اساس قوانین ایجاد شده توسط مدیر شبکه بسته را می پذیرد یا نمی پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که header، تمام آن چیزی است که سنجیده می شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد نمی  بیند و به محتوای آسیب رسان اجازه عبور از فایروال را می دهد. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می کند و وضعیت (State) ارتباط را دنبال نمی کند.

 پراکسی با Stateful packet filter تفاوت دارد

این فیلتر اعمال فیلتر نوع قبل را انجام می دهد، بعلاوه اینکه بررسی می کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت (State) شناخته می  شود.

پروتکل ارتباطی TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP عادی، کامپیوتر A سعی می کند با ارسال یک بسته SYN (synchronize) به کامپیوتر B ارتباط را برقرار کند. کامپیوتر B در جواب یک بسته SYN/ACK (Acknowledgement)  برمی گرداند، و کامپیوتر A یک ACK به کامپیوتر ‍B می فرستد و به این ترتیب ارتباط برقرار می شود. TCP اجازه وضعیتهای دیگر، مثلاً   FIN (finish) برای نشان  دادن آخرین بسته در یک ارتباط را نیز می دهد.

هکرها در مرحله آماده سازی برای حمله، به جمع آوری اطلاعات در مورد سیستم شما می پردازند. یک روش معمول ارسال یک بسته در یک وضعیت غلط به منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ (Reply) به سیستمی که تقاضایی نکرده، می فرستند. معمولاً، کامپیوتر دریافت کننده بیاید پیامی بفرستد و بگوید “I don’t understand” . به این ترتیب، به هکر نشان می دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می  تواند سیستم عامل مورد استفاده را نیز مشخص کند، و برای یک هکر گامی به جلو باشد. یک فیلتر Stateful packet منطق یک ارتباط TCP/IP را می فهمد و می تواند یک “Reply” را که پاسخ به یک تقاضا نیست، مسدود کند ـــ آنچه که یک فیلتر packet ردگیری نمی کند و نمی  تواند انجام دهد. فیلترهای Stateful packet می توانند در همان لحظه قواعدی را مبنی بر اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم تر است. این امنیت محکم تر، بهرحال، تا حدی باعث کاستن از کارایی می شود.  نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می کند.

  پراکسی ها یا Application Gateways

Application Gateways که عموماً پراکسی نامیده می شود، پیشرفته ترین روش استفاده شده برای کنترل ترافیک عبوری از فایروال ها هستند. پراکسی بین کلاینت و سرور قرار می گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرار شده، می سنجد. پراکسی بار واقعی تمام بسته  های عبوری بین سرور و کلاینت را می سنجد، و می  تواند چیزهایی را که سیاستهای امنیتی را نقض می  کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته ها فقط headerها را می سنجند، در حالیکه پراکسی ها محتوای بسته را با مسدود کردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا، ActiveX و ... غربال می کنند.

پراکسی ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می  سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی ها می توانند کاراکترهای غیرقانونی یا رشته های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی ها تمام اعمال فیلترهای ذکرشده را انجام می دهند. بدلیل تمام این مزیتها، پراکسی ها بعنوان یکی از امن ترین روشهای عبور ترافیک شناخته می شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته ها را پیمایش می کنند. بهرحال «کندتر» بودن یک عبارت نسبی است.

آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه ای است. پراکسی ها باعث کندی سرعت ترافیک در تست های آزمایشگاهی می شوند اما باعث کندی سرعت دریافت کاربران نمی شوند. در شماره بعد بیشتر به پراکسی خواهیم پرداخت.


نوشته شده توسط پيام در یکشنبه 28 بهمن1386

لينك ثابت

(( اصطلاحات شبكه هاي كامپيوتري )) ( شبکه )

مقدمه :

امروزه اهميت شبكه هاي رايانه بر هيچ كس پوشيده نيست . با توجه به مزيت هاي مختلف آنها (كاهش هزينه ، صرفه جويي در وقت ، حذف محدوديت هاي جغرافيايي و ...) ، شاهد پيشرفت روزافزون اين شاخه علمي مي شويم . به همين دليل اگر دير بجنبيم از قافله عقب مي مانيم ، به همين دليل بنده در اين مقاله به اصطلاحات مربوط به شبكه هاي كامپيوتري پرداخته ام .

( DTE ( Data Terminal Equipment : منبع و گيرنده داده ها را در شبكه هاي رايانه اي DTE مي گويند .

( DCE ( Data Communication Equipment  : تجهيزاتي كه مشخصات الكتريكي داده ها را با مشخصات كانال داده ها تطبيق مي دهد مانند مودم .

•  (B.W ( Band width : پهناي باند يا محدوده اي كه در آن امواج آنالوگ بدون هيچ افتي حركت مي كنند .

Noise : نويز يا پارازيت به امواج الكتريكي مزاحم مي گويند كه موجب اختلال در انتقال داده ها مي شود .

Bps : سرعت انتقال داده ها يا بيت در ثانيه.

Network : ‌شبكه .

Share : به اشتراك گذاري داده ها و منابع سخت افزاري براي استفاده همه كامپيوتر هاي موجود در شبكه .

Time Sharing : نوعي شبكه در قديم كه از يك Main Frame به عنوان سرور استفاده مي كردند .

( LAN ( Local area network  : شبكه هاي محلي و كوچك .

( MAN ( Metropolition area network  : شبكه هاي شهري .

( WAN ( Wide area network  : شبكه هاي گسترده همانند اينترنت .

Node : به هر كامپيوتر وصل به شبكه Node يا گره مي گويند .

Server : سرويس دهنده .

Client : سرويس گيرنده .

Peer - to - Peer : شبكه هاي نظير به نظير كه در آن هر كامپيوتري هم سرويس دهنده هست و هم سرويس گيرنده ) .

Server – Based : شبكه هاي بر اساس سرويس دهنده كه در آن يك يا چند كامپيوتر فقط سرويس دهنده و بقيه كامپيوتر ها سرويس گيرنده هستند .

Topology : توپولوژي به طرح فيزيكي شبكه و نحوه آرايش رايانه ها در كنار يكديگر مي گويند .

BUS : توپولوژي خطي كه در آن رايانه ها در يك خط به هم وصل مي شوند . در اين توپولوژي رايانه اول و آخر به هم وصل نيستند .

Ring : توپولوژي حلقوي كه بصورت يك دايره رايانه ها به هم وصلند و در اين توپولوژي رايانه اول و آخر به هم وصلند .

STAR : توپولوژي ستاره اي كه در آن از يك هاب به عنوان قطعه مركزي استفاده مي شود . و رايانه ها به آن وصل مي شوند .

Collision : برخورد يا لرزش سيگنال ها .

NIC : كارت شبكه .

‍Coaxial : نوعي كابل كه به كابل هاي هم محور معروف است و دو نوع دارد ، و در برپايي شبكه ها به كار مي رود . و داراي سرعت 10 مگابيت در ثانيه است .

TP ( Twisted Pair : كابل هاي زوج به هم تابيده هستند و دو نوع دارند ، و در برپايي شبكه ها به كار مي رود . و حداكثر داراي سرعت 100 مگابيت در ثانيه است .

Fiber Optic : كابل فيبر نوري كه در برپايي شبكه ها به كار مي رود و سرعت بسيار بالايي ( بيش از 1 گيگا بيت در ثانيه ) دارد.

Thinnet : كابا كواكسيال ( هم محور ) نازك با پشتيباني 185 متر بدون تقويت كننده .

Thiknet : كابا كواكسيال ( هم محور ) ضخيم با پشتيباني 500 متر بدون تقويت كننده .

(UTP ( Unshielded T.P : نوعي كابل زوج به هم تابيده بدون حفاظ كه شامل پنج رده مي باشند .

( STP ( Shielded T.P : نوعي كابل زوج به هم تابيده داراي حفاظ مي باشد .

Rack : در شبكه هاي T.P. بزرگ براي جلوگيري از اشغال فضاي زياد توسط كابل ها مورد استفاده قرار مي گيرد .

Patch panel : دستگاهي كه بين هاب و كابل قرار مي گيرد .

RJ-45 : فيش هاي مربوط به كابل هاي T.P. هستند .

IRQ :‌ وقفه .

Base I/O Port : آدرس پايه ورودي و خروجي .

Base Memory : آدرس پايه حافظه .

Boot ROM : قطعه اي براي بالا آوردن شبكه هايي كه در آن هيچگونه ديسكي براي بالا آوردن نيست ( شبكه هاي Disk less ) .

Wireless : بي سيم .

( WLAN ( Wireless LAN : شبكه هايي محلي بي سيم .

( AP ( Access Point : دستگاهي كه يك كامپيوتر بي سيم را به يك شبكه LAN وصل مي كند .

‍Cell : محدوده اي را كه يك AP تحت پوشش دارد را سلول ( Cell ) مي گويند .

Protocol : پروتكلها ، قوانين و روالهايي براي ارتباط هستند و يك شبكه براي برقراري ارتباط از اين قوانين استفاده مي كند .

OSI : استاندارد OSI براي برقراري ارتباط دو رايانه ، وظايف را به هفت قسمت تقسيم كرده و به 7 لايه OSI معروف شده اند و به ترتيب ( فيزيكي – پيوند داده ها – شبكه – انتقال – جلسه – نمايش و كاربردي ) مي باشند .

پروژه 802 : نوعي پروتكل براي اجزاي فيزيكي شبكه هاي LAN مي باشد .

CSMA/CD : نوعي روش دسترسي به خط با استفاده از روش گوش دادن به خط .

Token Ring : روش عبور نشانه كه در شبكه هاي حلقوي به كار مي رود ، از انواع روش دسترسي به خط است .

MAU : وسيله اي مانند هاب ، اما در شبكه هاي حلقوي به كار مي رود .

Novell Netware‌ : نوعي سيستم عامل براي شبكه .

Unix : نوعي سيستم عامل براي شبكه .

Windows NT Server & Windows 2000 Advanced Server : نوعي سيستم عامل براي شبكه .

Search Engine : موتور جستجو .

معماري شبكه : به تركيبي از استانداردها ، پروتكل ها و توپولوژي ها معماري شبكه مي گويند .

منابع:

http://www.acronymfinder.com/

http://www.cambridge.org/elt/infotech


نوشته شده توسط پيام در جمعه 23 شهریور1386

لينك ثابت

ISFS ( شبکه )

 

 مخفف عبارت Internet Smart Filtering System به معناي سيستم هوشمند فيلتر كننده اينترنت مي‌باشد.
اين سيستم به دو روش عمل فيلتر كردن را انجام مي‌دهد:
- استفاده از يك Database غني از سايتهاي غيرمجاز
- پردازش هوشمند URL
در حال حاضر Database اين فيلتر بالغ بر ده ميليون و پانصد هزار domain و URL را شامل مي‌شود. از مهمترين قابليتهاي اين نرم‌افزار Update و Upgrade رايگان از طريق اينترنت به مدت يكسال و همچنين امكان سرويس‌دهي همزمان به حداكثر 256 IP-Subclass مي‌باشد. اين نرم‌افزار به همراه سخت‌افزار مورد نياز بصورت يك 1U Rack Mountable Case ارائه مي‌شود.
قابليتها
طراحي شده متناسب با فرهنگ ايراني-اسلامي
ايمني كامل ISFS در برابر ويروسها
امكان تعريف Categoryهاي خاص از URL ها توسط كاربر (User Defined Category)
امكان حذف كليه URLهاي حاوي كلمه يا كلمات خاص (Pattern Matching)
داراي هوشمندي دو طرفه (فيلتر كردن موارد نامناسب و عبور دادن موارد مناسب)
قيمت بسيار مناسب نسبت به رقباي خارجي
داراي امنيت بالا و عدم وجود راههاي مخفي نفوذ در سيستم و شبكه (Back Doors)
تشخيص سايتهاي ضد فيلتر
امكان جلوگيري از نمايش گرافيكهاي تبليغاتي سايتها جهت استفاده بهتر از پهناي باند
امكان هدايت URLهاي ممنوعه به سمت سايتهاي مفيد و جالب (Browser Redirection)
امكان سرويس دهي همزمان به حد اكثر دويست و پنجاه و شش IP-Sub Class
امكان تعريف چند Gateway براي ISFS
تنظيم، راه اندازي و مديريت بسيار آسان
وجود رابط تحت وب كاملا گويا بر مبناي SSL جهت انجام تنظيمات
امكان قرار گرفتن در شبكه با استفاده از يك يا دو كارت شبكه
امكان آرشيو خودكار گزارشات روزانه سيستم بر روي FTP سرور معرفي شده توسط مدير سيستم
داراي دو وضعيت كاري Normal Filtering و Reverse Filtering Sites (تعيين ليستي از سايتهاي مختلف و محدود كردن كاربران بطوريكه تنها قادر به دسترسي به اين سايتها باشد)
امكان تغيير در ليست سايتها و كلمات كليدي فيلتر توسط مدير سيستم (Update Database)
امكان جلوگيري از دسترسي به سايتها بر اساس IP Address آنها
قابليت كنترل كامل رفتار فيلتر توسط مدير سيستم
امكان تغيير Block Page
صرفه جوئي زياد در هزينه آموزش مدير سيستم (آموزش ISFS به هر مدير شبكه با دانش شبكه‌اي در سطح متوسط، تنها 60 دقيقه طول ميكشد!)
داراي سرعت بالا و قابليت نصب در شبكه هاي با پهناي باند بالا
استفاده از پروتكلهاي استاندارد همچون ICP, HTCP, CARP, WCCP و SNMP جهت امكان اتصال به محصولات ديگر در اين حيطه
قابليت ادغام در محصولات Web Caching جهت بالا بردن سرعت
عدم وابستگي به هيچ شركت يا مؤسسه خارجي و نداشتن مشكل Copyright

ارائه انواع گزارشات آماري و نموداري مورد نياز مدير سيستم
امكان جستجو در گزارشات بر اساس تاريخ يا كلمه خاص
تحمل خطاي بالا در برابر مشكلاتي كه ممكن است به هنگام خاموش شدن ناگهاني (مثلا در اثر قطع برق) براي ISFS بوجود آيد.
امكان تهيه نسخه‌ پشتيبان از كليه تنظيمات سيستم بر اساس انتخاب مدير سيستم
بروز رساني (Update) بانك اطلاعاتي سايتهاي غيرمجاز و ارتقاء (Upgrade) نسخه‌هاي جديد نرم‌افزار بصورت Online و كاملا خودكار از طريق اينترنت (Live Update)
ارائه شده به صورت سخت‌افزاري در قالب كيسهاي Supermicro
يكسال پشتيباني (Tech Support) ، بروز رساني و ارتقاء رايگان
محدوديت دريافت اطلاعات از سايتهاي خاص (Delay Download)
امكان فيلترينگ بر مبناي نوع فايل (File Type Filtering)


نوشته شده توسط پيام در جمعه 3 فروردین1386

لينك ثابت

Proxy Server چيست ؟ ( شبکه )


Proxy Server نرم افزاري است كه در يك شبكه حد واسط بين اينترنت و كاربران واقع مي شود. فلسفه ايجاد Proxy Server قراردادن يك خط اينترنت در اختيار تعداد بيش از يك نفر استفاده كننده در يك شبكه بوده است ولي بعدها امكانات و قابليتهايي به Proxy Server افزوده شد كه كاربرد آن را فراتر از به اشتراك نهادن خطوط اينترنت كرد . بطور كلي Proxy Server ها در چند مورد كلي استفاده مي شوند .
يك كاربرد Proxy Server ها ، همان به اشتراك گذاشتن يك خط اينترنت براي چند كاربر است كه باعث كاهش هزينه و كنترل كاربران و همچنين ايجاد امنيت بيشتر مي شود . كاربرد دوم Proxy Serverها ، در سايتهاي اينترنتي به عنوان Firewall مي باشد . كاربرد سوم كه امروزه از آن بسيار استفاده مي شود ، Caching اطلاعات است . با توجه به گران بودن هزينه استفاده از اينترنت و محدود بودن پهناي باند ارتباطي براي ارسال و دريافت اطلاعات ، معمولا" نمي توان به اطلاعات مورد نظر در زمان كم و با سرعت مطلوب دست يافت . امكان Caching اطلاعات ، براي كمك به رفع اين مشكل در نظر گرفته شده است . Proxy Server ، سايتهايي را كه بيشتر به آنها مراجعه مي شود را دريك حافظه جداگانه نگاه مي دارد. به اين ترتيب براي مراجعه مجدد به آنها نيازي به ارتباط از طريق اينترنت نيست بلكه به همان حافظه مخصوص رجوع خواهد شد .

اين امر باعث مي گردد از يك طرف زمان دسترسي به اطلاعات كمتر شده و از سوي ديگر چون اطلاعات از اينترنت دريافت نمي شود ، پهناي باند محدود موجود با اطلاعات تكراري اشغال نشود . بخصوص آنكه معمولا" تغييرات در يك Website محدود به يك يا دو صفحه مي باشد و گرفتن اطلاعات از اينترنت بدون Caching به معناي گرفتن كل سايت مي باشد حال آنكه با استفاده از Proxy Server و امكان Caching اطلاعات ، ميتوان تنها صفحات تغيير كرده را دريافت كرد .

ويژگيهاي Proxy Server

ويژگي اول : با استفاده از Proxy Server مي توان از اكثر پروتكلهاي موجود در شبكه هاي محلي در محدوده نرم افزارهاي كاربردي در شبكه هاي LAN مرتبط با اينترنت استفاده كرد .
Proxy Server پروتكلهاي پر كاربرد شبكه هاي محلي مانند IPX/SPX (مورد استفاده در شبكه هاي ناول) ، NETBEUI (مورد استفاده در شبكه هاي LAN با تعداد كاربران كم) و TCP/IP (مورد استفاده در شبكه هاي Intranet) را پشتيباني مي كند. با اين ترتيب براي اينكه بتوان از يك نرم افزار كاربردي شبكه LAN كه مثلا" با پروتكل IPX/SPX روي ناول نوشته شده ، روي اينترنت استفاده كرد نيازي نيست كه قسمتهاي مربوط به ارتباط با شبكه كه از Function Call هاي API استفاده كرده را به Function Call هاي TCP/IP تغيير داد بلكه Proxy Server خود اين تغييرات را انجام داده و مي توان به راحتي از نرم افزاري كه تا كنون تحت يك شبكه LAN با ناول كار مي كرده است را در شبكه اي كه مستقيما" به اينترنت متصل است ، استفاده كرد .

همين ويژگي درباره سرويسهاي اينترنت مانند , FTP , Telnet , Gopher , IRC RealAudio , Pop3 و . . . وجود دارد . به اين معنا كه هنگام پياده سازي برنامه با يك سرويس يا پروتكل خاص ، محدوديتي نبوده و كدي در برنامه براي ايجاد هماهنگي نوشته نمي شود .
ويژگي دوم : با Cache كردن اطلاعاتي كه بيشتر استفاده مي شوند و با بروز نگاه داشتن آنها ، قابليت سرويسهاي اينترنت نمايان تر شده و مقدار قابل توجهي در پهناي باند ارتباطي صرفه جويي مي گردد.

 

ويژگي سوم : Proxy Server امكانات ويژه اي براي ايجاد امنيت در شبكه دارد . معمولا" در شبكه ها دو دسته امنيت اطلاعاتي مد نظر است . يكي آنكه همه كاربران شبكه نتوانند از همه سايتها استفاده كنند و ديگر آنكه هر كسي نتواند از روي اينترنت به اطلاعات شبكه دسترسي پيدا كند . با استفاده ازProxy Server نيازي نيست كه هر Client بطور مستقيم به اينترنت وصل شود در ضمن از دسترسي غيرمجاز به شبكه داخلي جلوگيري مي شود . همچنين مي توان با استفاده از SSL (Secure Sockets Layers) امكان رمز كردن داده ها را نيز فراهم آورد.

ويژگي چهارم : Proxy Server بعنوان نرم افزاري كه مي تواند با سيستم عامل شما مجتمع شود و همچنين با IIS (Internet Information Server) سازگار مي باشد، استفاده مي گردد.

خدمات Proxy Server

Proxy Server سه سرويس در اختيار كاربران خود قرار مي دهد:

1-Web Proxy Service : اين سرويس براي Web Publishing يا همان ايجاد Web Site هاي مختلف درشبكه LAN مفيد مي باشد . براي اين منظور قابليت مهم Reverse Proxing در نظر گرفته شده است . Reverse Proxing امكان شبيه سازي محيط اينترنت درمحيط داخل مي باشد. به اين ترتيب فرد بدون ايجاد ارتباط فيزيكي با اينترنت مي تواند برنامه خود را همچنان كه در محيط اينترنت عمل خواهد كرد، تست كرده و مورد استفاده قرا دهد. اين قابليت در بالا بردن سرعت و كاهش هزينه توليد نرم افزارهاي كاربردي تحت اينترنت موثر است.

2-Winsock Proxy Service : منظور، امكان استفاده از API Callهاي Winsock در Windows است . در Windows ، Function Call هاي مورد استفاده در سرويسهاي اينترنت مانند Telnet ، FTP ، Gopher و . . . ، تحت عنوان Winsock Protocols معرفي شده اند. در حقيقت براي استفاده از اين سرويسها در نرم افزارهاي كاربردي نيازي نيست كه برنامه نويس چگونگي استفاده از اين سرويسها را پيش بيني كند.

3-Socks Proxy Service : اين سرويس، سرويس Socks 4.3a را پشتيباني مي كند كه در واقع زير مجموعه اي از Winsock مي باشد و امكان استفاده از Http 1.02 و بالاتر را فراهم مي كند. به اين ترتيب مي توان در طراحي Website خارج از Firewall ، Security ايجاد كرد.

معيارهاي موثر در انتخاب Proxy Server

1- سخت افزار مورد نياز : براي هر چه بهتر شدن توانمنديهاي Proxy Server ، بايد سخت افزار آن توانايي تحمل بار مورد انتظار را داشته باشد .

2- نوع رسانه فيزيكي براي ارتباط با اينترنت : راه حلهاي مختلفي براي اتصال به شبكه اينترنت وجود دارد . ساده ترين راه ، استفاده از مودم و خطوط آنالوگ مي باشد . راه ديگر استفاده از ISDN و خطوط ديجيتال است كه هم احتياج به تبديل اطلاعات از آنالوگ به ديجيتال و برعكس در ارسال و دريافت اطلاعات ندارد و هم از سرعت بالاتري برخوردار است . روش ديگر استفاده از خط هاي T1/E1 با ظرفيت انتقال گيگا بايت مي باشد .

پيشنهاد مي شود كه در شبكه هاي با كمتر از 250 كاربر از ISDN و از 250 كاربر به بالا از T1/E1 استفاده شود . ( البته در ايران به علت عدم وجود خطوط ISDN و كمبود خطوط T1/E1 اين استانداردها كمتر قابل پياده سازي هستند. )
3- هزينه ارتباط با اينترنت : دو عامل موثر در هزينه اتصال به اينترنت ، پهناي باند و مانايي ارتباط مي باشد . هر چه مرورگرهاي اينترنتي بيشتر و زمان استفاده بيشتر باشد ، هزينه بالاتر خواهد بود . با توجه به اينكه Proxy Server مي تواند با Caching اطلاعات اين موارد را بهبود بخشد ، بررسي اين عامل مي تواند در تعيين تعداد Proxy هاي مورد استفاده موثر باشد .
4- نوع و نحوه مديريت سايت : اين عامل نيز در تعيين تعداد Proxyها موثر است . مثلا" اگر در شبكه اي مشكل راهبري وجود داشته باشد ، با اضافه كردن تعداد Proxyها ، مشكل راهبري نيز بيشتر خواهد شد .
5- پروتكل هاي مورد استفاده : Proxy Server ها معمولا" از پروتكلهاي TCP/IP و يا IPX/SPX براي ارتباط با Client ها استفاده مي كنند . بنابراين براي استفاده از Proxy بايد يكي از اين پروتكل ها را در شبكه استفاده كرد .
پيشنهاد مي شود در شبكه هاي كوچك با توجه به تعداد كاربرها Proxy Server و Web Server روي يك كامپيوتر تعبيه شوند و در شبكه هاي متوسط يا بزرگ تعدادserver Proxyها بيش از يكي باشد .



منبع : http://www.sgnec.net

 

 


نوشته شده توسط پيام در یکشنبه 20 اسفند1385

لينك ثابت

مفاهیم امنیت شبکه ( شبکه )

 

 امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:

1-     شناسایی بخشی که باید تحت محافظت قرار گیرد.

2-     تصمیم گیری درباره  مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3-     تصمیم گیری درباره چگونگی تهدیدات

4-  پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5-     مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

  مفاهیم امنیت شبکه

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه      می پردازیم.

 1- منابع شبکه

در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

1-     تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها

2-  اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.

3-     منابع نامحسوس شبکه مانند عرض باند و سرعت

4-     اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی

5-     ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.

6-     اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان

7-     خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.

مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

 

 2- حمله

حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:

1-     دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه

2-     دستکاری غیرمجاز اطلاعات بر روی یک شبکه

3-     حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.

کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:

1-     ثابت کردن محرمانگی داده

2-     نگهداری جامعیت داده

3-     نگهداری در دسترس بودن داده

 

 3- تحلیل خطر

پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :

1-     احتمال انجام حمله

 2-     خسارت وارده به شبکه درصورت انجام حمله موفق

 

 4- سیاست امنیتی

پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:

1-     چه و چرا باید محافظت شود.

2-     چه کسی باید مسئولیت حفاظت را به عهده بگیرد.

3-     زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.

سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:

1-     مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

2-     محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.

معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.

 

 5- طرح امنیت شبکه

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :

1-     ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH

2-     فایروالها

3-     مجتمع کننده های VPN برای دسترسی از دور

4-     تشخیص نفوذ

5-  سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه

6-     مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه

6- نواحی امنیتی

تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیزمی شود.

نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.

1-  تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

2-  سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.

3-  سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.

4-  استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.

 


نوشته شده توسط پيام در سه شنبه 1 اسفند1385

لينك ثابت

راه اندازی روتر بخش اول مفاهيم اوليه ( شبکه )

·              روتر يك نوع كامپيوتر خاص است كه دارای عناصر مشابه يك كامپيوتر استاندارد شخصی نظير پردازنده ، حافظه ، خطوط داده و اينترفيس های مختلف ورودی و خروجی است. روترها نيز همانند كامپيوترها كه برای اجرای برنامه ها  به يك سيستم عامل نياز دارند ، از خدمات يك سيستم عامل در ابعاد گسترده استفاده می نمايند

·              فرآيند راه اندازی روتر با استقرار برنامه Bootstrap  ، سيستم عامل و يك فايل پيكربندی در حافظه آغاز می گردد . در صورتی كه روتر نتواند يك فايل پيكربندی را پيدا نمايد ، Setup mode فعال و پس از اتمام عمليات در اين mode ،‌ می توان يك نسخه backup از فايل پيكربندی را در حافظه NVRAM ذخيره نمود.هدف از اجرای روتين های راه انداز  نرم افزار IOS ، راه اندازی و آغاز فعاليت های يك روتر می باشد .

·              پس  از روشن كردن روتر ، در اولين اقدام برنامه ای موسوم به POST  ( برگرفته از  power-on self-test ) اجراء می گردد. برنامه فوق در حافظه ROM ذخيره و مشتمل بر روتين هائی است كه تمامی عناصر سخت افزاری روتر نظير پردازنده ، حافظه و پورت های اينترفيس شبكه را بررسی و تست می نمايد .  

·               IOS ( برگرفته از  Internetwork Operating System  ) ، نرم افزاری است كه از آن به منظور كنترل روتينگ و  سوئيچينگ دستگاه های بين شبكه ای استفاده می گردد . 

·              يك روتر و يا سوئيچ بدون وجود يك سيستم عامل قادر به انجام وظايف خود نمی باشند(همانند يك كامپيوتر ) . شركت سيسكو ،‌  سيستم عامل Cisco IOS را برای طيف گسترده ای از محصولات شبكه ای خود طراحی و پياده سازی نموده است . نرم افزار فوق، جزء لاينفك در معماری نرم افزار روترهای سيسكو می باشد و همچنين به عنوان سيستم عامل در سوئيچ های  Catalyst ايفای وظيفه می نمايد . بدون وجود يك سيستم عامل ، سخت افزار قادر به انجام هيچگونه عملياتی نخو اهد بود . ( عدم تامين شرايط لازم برای بالفعل شدن پتانسيل های سخت افزاری ) .

·              نرم افزار IOS از يك اينترفيس خط دستوری و يا CLI ( برگرفته از command-line interface  ) استفاده می نمايد. IOS يك تكنولوژی كليدی است كه از آن در اكثر خطوط توليد محصولات شركت سيسكو استفاده می گردد . عملكرد IOS با توجه به نوع دستگاه های بين شبكه ای متفاوت می باشد .
برای دستيابی به محيط IOS از روش های متعددی استفاده می گردد.

·              برای پيكربندی روترهای سيسكو ، می بايست در ابتدا به بخش رابط كاربر  آنان دستيابی داشت . بدين منظور ، می توان از يك ترمينال و يا دستيابی از راه دور استفاده نمود . پس از دستيابی به روتر ، در اولين اقدام می بايست عمليات logging را انجام تا زمينه استفاده از ساير دستورات به منظور مشاهده آخرين وضعيت پيكربندی و يا تغيير پيكربندی روتر فراهم گردد .

·              به منظور ارائه يك لايه امنيتی مناسب ،  امكان بالفعل كردن پتانسيل های ارائه شده ( دستورات )  روتر در دو mode متفاوت فراهم شده است .

 

 


نوشته شده توسط پيام در سه شنبه 1 اسفند1385

لينك ثابت

آشنائی با پروتكل HTTP بخش دوم ( شبکه )

در بخش اول با  جايگاه پروتكل HTTP به منظور مبادله اطلاعات بين سرويس گيرندگان و سرويس دهندگان وب اشاره و در ادامه با نوع و ماهيت اطلاعات ارسالی سرويس گيرندگان وب به منظور دريافت خدمات از سرويس دهندگان ، آشنا شديم .

در اين بخش با نوع و ماهيت اطلاعات ارسالی سرويس دهندگان وب به منظور پاسخ به درخواست سرويس گيرندگان آشنا خواهيم شد. 

مرورگر وب ، صدای خود را با استفاده از پروتكل HTTP به گوش سرويس دهنده وب می رساند و از وی درخواست يك صفحه وب را می نمايد.
سرويس دهنده وب علاوه بر اين كه با اين صدا آشنا است خود نيز برای پاسخ به مرورگر وب از مجموعه قوانين آن تبعيت می كند .

پروتكل HTTP  : يك معماری سرويس گيرنده و سرويس دهنده

سرويس گيرنده وب ، مقادير خاصی را با اهداف كاملا" مشخص شده برای سرويس دهنده وب ارسال می نمايد ( حصول اطمينان از وجود يك زبان مشترك برای گفتگو بين سرويس گيرنده و سرويس دهنده وب ) .  سرويس دهنده پس از بررسی اطلاعات ارسالی ، آنان را تفسير و متناسب با آن اطلاعاتی را برای سرويس گيرنده ارسال می نمايد . در معماری فوق يك نرم افزار در سمت سرويس گيرنده و به عنوان يك سرويس گيرنده وب ( نظير IE و يا  Mozilla Firefox   ) ايفای وظيفه می نمايد و در سمت سرويس دهنده يك نرم افزار به عنوان سرويس دهنده وب ( نظير : IIS و يا   Apache  ) وظايف تعريف شده خود را انجام می دهد.

سناريوی فوق مدل و يا معماری سرويس گيرنده - سرويس دهنده را در ذهن تداعی می نمايد ( معماری مبتنی بر درخواست و پاسخ ) .

 توضيحات  :

جدول زير برخی اطلاعات ارسالی توسط سرويس دهنده را نشان می دهد .

عملكرد

نوع اطلاعات

به سرويس گيرنده اعلام می گردد كه :

·        سرويس دهنده وب از پروتكل  HTTP نسخه  1 .1  استفاده می نمايد.

·        فايل درخواستی وی توسط سرويس دهنده پيدا شده است .

200 ، يك كد وضعيت است كه وضعيت پاسخ به درخواست را مشخص می نمايد .

HTTP/1.1 200 OK

مستند و يا فايل درخواستی سرويس گيرنده  توسط يك پراكسی cache نخواهد شد و هدف آن صرفا" برای كاربر متقاضی فايل است .

Cache-Control:
 private

فرمت ارسال فايل و يا مستند درخواستی به سرويس گيرنده وب اعلام می شود . در اين مورد خاص ، اطلاعات با فرمت  text/html ارسال می گردند .
سرويس گيرنده وب دارای دانش لازم به منظور بررسی و نمايش اطلاعات با فرمت اشاره شده می باشد .

Content-type:
 text/html

نوع سرويس دهنده و يا نرم افزار سرويس دهنده ( سرويس دهنده وب ) مشخص می گردد .
در اين مورد خاص ،  سرويس دهنده وب Google نمايش داده شده است .

Server:
 GWS/2.1

پروتكل HTTP نسخه شماره 1 .1  از ارسال اطلاعات به صورت chuncked حمايت می نمايد. در روش فوق ، بدنه يك پيام به منظور ارسال مجموعه ای از ماژول ها اصلاح می گردد . مسوليت مشخص كردن اندازه هر ماژول ارسالی بر عهده يكی از فيلدهای موجود در اين ساختار گذاشته می شود .
در صورت ارسال معمولی اطلاعات  توسط پروتكل HTTP ، از يك فيلد با نام "Content-Length" به منظور مشخص نمودن حجم داده ارسالی،استفاده می گردد .

Transfer-Encoding: chunked
 

زمان و تاريخ سرويس دهنده وب مشخص می گردد.

Date:
 Sat 30 Jul 2005 14:14:50 GMT
 

تگ های HTML ارسالی توسط سرويس دهنده وب به مقصد سرويس گيرنده وب می باشند كه توسط سرويس گيرندگان وب ( نظير IE  ) تفسير و نمايش داده می شوند .
با استفاده از گزينه view موجود در برنامه های مرورگر ، می توان تگ های HTML يك صفحه وب را مشاهده نمود . 

<html><head><meta.http-equiv="content-type"
 

 


نوشته شده توسط پيام در پنجشنبه 12 بهمن1385

لينك ثابت

phishing یا دزدی هویت ( شبکه )

 هنگامی که گمان می کردید که می توانید با اطمینان به سراغ میل باکس خود بروید، نوع جدیدی از تقلب در راه بود. Phishing؛ حیله های phishing چیزی فراتر از هرزنامه های ناخواسته و مزاحم هستند. آنها می توانند منجر به دزدیده شدن شماره های اعتباری، کلمات عبور، اطلاعات حساب یا سایر اطلاعات شخصی شما شوند. این مطلب را بخوانید تا بیشتر در مورد این نوع دزدی هویت بدانید و بیاموزید چگونه می توانید به حفاظت از اطلاعات شخصی خود در برابر این نوع حمله کمک کنید

 Phishing چیست؟

نوعی از فریب است که برای دزدیدین هویت شما طراحی شده است. در یک حیله از نوع phishing، یک فرد آسیب رسان سعی می کند تا اطلاعاتی مانند شماره های اعتباری و کلمات عبور یا سایر اطلاعات شخصی شما را با متقاعد کردن شما به دادن این اطلاعات تحت ادعاهای دروغین بدست آورد. این نوع حملات معمولاً از طریق هرزنامه یا پنجره های pop-up  می آیند.

 Phishing چگونه کار می کند؟

یک فریب phishing  توسط یک کاربر بداندیش که میلیون ها ایمیل فریبنده ارسال می کند، آغاز می شود بطوریکه بنظر می رسد که از وب سایتهای معروف یا از سایت های که مورد اعتماد شما هستند،  مانند شرکت کارت اعتباری یا بانک شما می آیند. ایمیل ها و وب سایتهایی که از طریق ایمیل ها برای شما ارسال می شود، آنقدر رسمی بنظر می رسند که بسیاری از مردم را به این باور می رسانند که قانونی هستند. با این باور که این ایمیل ها واقعی هستند، افراد زودباور اغلب به تقاضای این ایمیل ها مبنی بر شماره های کارت اعتباری، کلمات عبور و سایر اطلاعات شخصی پاسخ می دهند.

یک جاعل! لینکی در یک ایمیل جعلی قرار می دهد که اینگونه بنظر می رسد که لینک به وب سایت واقعی است، اما در واقع شما را به سایت تقلبی یا حتی یک پنجره pop-up می برد که دقیقاً مانند سایت اصلی بنظر می رسد. این کپی ها اغلب وب سایت های spoofed نامیده می شوند. زمانیکه شما در یکی از این وب سایت ها یا pop-upهای تقلبی هستید ممکن است ناآگاهانه حتی اطلاعات شخصی بیشتری وارد کنید که مستقیماً به شخصی که این سایت تقلبی را درست کرده است، ارسال خواهد شد. این شخص آن موقع می تواند از این اطلاعات برای خرید کالا یا تقاضا برای یک کارت اعتباری جدید یا سرقت هویت شما اقدام کند.

پنج روش که به شما در محافظت از خودتان در مقابل phishing کمک می کند :

همانند دنیای فیزیکی، جاعلان در دنیای اینترنت ایجاد روش های جدید و گمراه کننده تر را برای فریب شما ادامه می دهند. اما پی گیری این پنج روش به شما برای محافظت از اطلاعات شخصیتان کمک می کند.

۱- هرگز به تقاضاهایی که از طریق ایمیل یا پنجره های pop-up اطلاعات شخصی شما را می خواهند، پاسخ ندهید. اگر شک دارید، با موسسه ای که مدعی ارسال ایمیل یا پنجره pop-up است، تماس بگیرید.

اکثر مراکز تجاری قانونی، کلمات عبور، شماره کارت های اعتباری و سایر اطلاعات شخصی را از طریق ایمیل مورد سوال قرار نخواهند داد. اگر ایمیلی اینچنین دریافت کردید، پاسخ ندهید. اگر فکر می کنید که ایمیل صحت دارد، برای تایید از طریق تلفن یا  وب سایتشان با آنها تماس بگیرید. اگر احساس می کنید که هدف یک حیله phishing قرار گرفته اید، گام بعدی را برای بهترین روش های رفتن به وب سایت ببینید.

۲- وب سایت ها را با تایپ آدرس آنها در address bar ببینید.

اگر شک دارید که ایمیل از شرکت کارت اعتباری، بانک، سرویس پرداخت آنلاین یا وب سایتهای دیگری است که با آنها تجارت انجام می دهید نباشد، لینک ها را از طریق ایمیل برای رفتن به وب سایت دنبال نکنید. آن لینک ها ممکن است شما را به سایت جعلی ببرند که تمام اطلاعاتی را که وارد می کنید برای جاعل آن سایت ارسال کنند.

حتی اگر address bar آدرس درستی نشان می دهد، خطر آن را نپذیرید. چندین روش برای هکرها وجود دارد تا یک URL جعلی در address bar مرورگرتان نمایش دهند. نسخه های جدیدتر مرورگرها جعل آدرس را مشکل تر می کنند، بنابراین بهتر است که مرورگرتان را مرتب به روز نگهدارید. اگر فکر می کنید که این به روزرسانی ها را همواره به یاد نخواهید داشت، می توانید کامپیوترتان را برای بروزرسانی های خودکار پیکربندی کنید.

۳- بررسی کنید تا مطمئن شوید که وب سایت از رمزنگاری استفاده می کند.

اگر به دسترسی به وب سایت از طریق address bar اعتماد ندارید، چگونه میدانید که ممکن است امن باشد؟ چند روش مختلف وجود دارد. نخست، قبل از وارد کردن هرگونه اطلاعات شخصی، بررسی کنید که آیا سایت از رمزنگاری برای ارسال اطلاعات شخصی شما استفاده می کند. در اینترنت اکسپلورر می توانید این عمل را با دیدن آیکون قفل زردرنگی که در status bar نشان داده می شود، بررسی کنید.

این نشانه دلالت بر استفاده از وب سایت از رمزنگاری برای کمک به محافظت از اطلاعات حساس دارد. ـ شمار کارت اعتباری، شماره امنیتی اجتماعی، جزئیات پرداخت که شما وارد می کنید.

بر روی این علامت دوبار کلیک کنید تا گواهی امنیتی برای سایت نشان داده شود. نام بعد از Issued to باید با سایتی که در آن حاضر هستید مطابقت کند. اگر نام متفاوت است، احتمالاً در سایت جعلی قرار دارید. اگر مطمئن نیستید که یک گواهی قانونی است، هیچ اطلاعات شخصی وارد نکنید. احتیاط کنید و سایت را ترک کنید.

۴- بطور منظم اعلامیه های کارت اعتباری و بانک تان را مرور کنید.

حتی اگر سه مرحله قبل را انجام می دهید، هنوز ممکن است قربانی دزدی هویت شوید. اگر اعلامیه های بانک تان و کارت اعتباری تان را حداقل ماهانه مرور کنید، ممکن است بتوانید یک جاعل را شناسایی و از وارد آمدن خسارات قابل توجه جلوگیری کنید.

۵- سو ءاستفاده های مشکوک از اطلاعات شخصیتان را به مراکز مناسب گزارش کنید.

 اگر قربانی چنین حقه ای بوده اید باید:

 فوراً جعل را به شرکتی که جعل در مورد آن صورت گرفته است، گزارش کنید. اگر مطمئن نیستید که چگونه با شرکت تماس بگیرید، وب سایت شرکت را برای گرفتن اطلاعات صحیح تماس، نگاه کنید. شرکت ممکن است یک آدرس ایمیل مخصوص برای گزارش چنین سو ءاستفاده ای داشته باشد. بخاطر داشته باشید که هیچ لینکی را در ایمیل phishing که دریافت کرده اید، دنبال نکنید. باید آدرس شناخته شده شرکت را مستقیماً در address bar مرورگرتان تایپ کنید.

·   جزئیات جعل را، مانند ایمیل هایی که دریافت کرده اید، به مراکز ذیصلاح قانونی همچون مرکز شکایات تقلب های اینترنتی گزارش کنید. این مرکز در کل دنیا برای از کار اندازی سایت های  phishing و شناسایی افراد پشت این کلاه برداری ها، کار می کند.

در چنین شرایطی برای آموختن نحوه به حداقل رساندن میزان خسارت می توانید به وب سایت دزدی هویت FTC سر بزنید .

 


نوشته شده توسط پيام در پنجشنبه 12 بهمن1385

لينك ثابت

..: آخرين ارسال ها :..


| مطالب قديمي‌تر

All Rights Reserved 2005-2006 © by top7news.Blogfa.com
 This Template Designed By Ali Kouroshfar and TakTemp For Blogfa
 www.TakTemp.com - www.2Temp.com - www.3Music.ir  - www.iRoom.ir
 لینــک ســــازاضافه کردن لینک