مستند سازي شبكه هاي كامپيوتري يكي از نكات فراموش شده در اكثر سازمان ها و شركت هاي ايراني مي باشد .تصور كنيد مسوول شبكه سازمان شما به هر دليل حاضر به حضور در محل كار خود نشود |،اين مسئله مي تواند اختلالي بزرگ را به وجود بياورد .غالبا در شركت هاي ايراني مستند سازي به گرفتن Password سرور ها ختم مي شود ؛در صورتي كه مستند سازي بسيار پيچيده تر از اين موارد است.در ادامه به صورت خلاصه نكاتي كه در مستند سازي شبكه هاي كامپيوتري حائر اهميت مي باشد ليست شده است . بخش یک :مستند سازی Passive
تهیه نقشه محل قرارگیری سوپیچها ،روترها ،فایروالها ،مودم ها و سرور ها به صورت کامل (تهیه نقشه از دیاگرام شبکه با نشان دادن محل قرار گیری تمامی تجهیزات فوق الذکر و مشخصات هر دستگاه به صورت Comments در کنار Icon دستگاه ها(شامل نام سوپیچ ،روتر ،فایروال ،مودم و سرور ).)
تهیه نقشه لینک های ارتباطی بین طبقات و بین ساختمان ها ،شامل نوع ارتباط ،شماره پورت متصل در ابتدا و انتهای ارتباط به همراه نام و شماره دستگاه مرتبط کننده لینک ها(نام سوئیچ ،روتر و …).
تهیه نقشه از محل قرار گیری Client ها (داخلی و خارجی) در ارتباط با سرور ها و فایروالها .
شماره گذاری ابتدا و انتهای سر کابل ها در اتاق سرور ،Client ها و لینک های بین سوئیچها ، روتر ها ،فایروال ها ،سرور ها و مودم ها .همچنین ارائه جدول راهنمای شماره گذاری سرکابل ها .
الصاق برچسب بر روی سوپیچها ،روترها ،فایروالها ،مودم ها ، سرور ها و تجهیزات ذخیره سازی در اتاق سرور و تهیه نقشه راهنمای برچسب ها
تهیه لیستی از تعداد و مدل تجهیزات موجود در اتاق سرور (شامل: سوپیچها ،روترها ،فایروالها ،مودم ها ، سرور ها ،رک ها و تجهیزات ذخیره سازی) و هر یک از ساختمانهای زیر نظر سازمان .
بخش دوم :تنظیمات موجود بر روی دستگاه های ارتباطی .
ارائه IP Address (Valid و Invalid) تمامی سوئیچها ،روترها ،فایروالها ،مودم ها ، سرور ها و… به همراه User Name و Password هر یک به صورت مکتوب .
تهیه گزارش جامع از تنظیمات و پیکره بندی های موجود در تمامی سوئیچها
تهیه گزارش جامع از تنظیمات و پیکره بندی های موجود در تمامی مودم ها
تهیه گزارش جامع از تنظیمات و پیکره بندی های موجود در تمامی روتر ها
تهیه گزارش جامع از تنظیمات و پیکره بندی های موجود در تمامی فایروال ها و تجهیزات ارتباطی دیگر
تهیه لیستی از فروشندگانی که تجهیزات فوق از آنها خریداری شده است .
ارائه گزارش از نوع تجهیزات ذخیره سازی و تنظیمات موجود در تجهیزات ذخیره سازی .
بخش سوم :نرم افزار های سازمانی
تهیه لیستی از نرم افزار های سازمانی موجود به همراه مشخصات شرکت های پشتیبان کننده و پیش نیاز های سخت افزاری و نرم افزاری لازم جهت راه اندازی هر نرم افزار به صورت جداگانه (در سطح سرور و کاربر).
ارائه مستنداتی در رابطه با مراحل پیکره بندی Clustering در سرور های مرتبط با نرم افزارهای سازمانی
بخش چهارم :مستند سازی Domain Controller
1- ارائه لیست کامل گروه های تعریف شده به همراه Member های هر گروه و هدف از تعریف هر گروه
2- ارائه لیست کامل OU های تعریف شده به همراه Object Policy هایAssign شده به هر OU و هدف از تعریف هر Policy به همراه تنظیمات تعریف شده در هر Policy .
3- ارائه Password مربوط به Active Directory Restore Mode .
4- ارائه لیست User Name و Password مربوط به User هایی که دسترسی بالاتر از Domain User دارند .
5- ارائه لیست User Name و Password مربوط به Server هایی که Stand alone Server می باشند .
6- ارائه لیست Shared Object های موجود در Domain به همراه Share Permission و NTFS Permission های Set شده برای هر یک .
7- ارائه لیست سرویس ها یا نرم افزارهایی که با Active Directory به هر نحوی Integration دارند ؛به همراه تنظیمات مورد نیاز هر سرویس یا نرم افزار (مانند DNS,DHCP,IIS,RRAS,ISA,DFS,Terminal Service,WSUS و غیره .
8- ارائه لیست User هایی که قادر هستند از محیط خارج از سازمان به هر سرور دسترسی داشته باشند به همراه Password آنها .
9- ارائه نرم افزار ها و درایور های مربوط به سرور ها و Client ها .
10- ارائه لیست نرم افزار هایی که به صورت عمومی در سطح Client ها استفاده می شود .
11- ارائه لیست و آدرس Map Drive های موجود در سطح Client ها (مانند work Area ,Home Directory و …).
در صورت نیاز به مستندسازی شبکه های کامپیوتری با گروه فنی و مهندسی وی سنتر تماس بگیرید.
استراتژی طراحی شبکه (بخش اول )
طراحی شبکه: استفاده از شبکه های کامپیوتری در چندین سال اخیر رشد و به موازات آن سازمان ها و موسسات متعددی اقدام به برپاسازی شبکه نموده اند. هر شبکه کامپیوتری می بایست با توجه به شرایط و سیاست های هر سازمان ، طراحی و در ادامه پیاده سازی گردد .شبکه ها ی کامپیوتری زیرساخت لازم برای استفاده از منابع فیزیکی و منطقی را در یک سازمان فراهم می نمایند . بدیهی است در صورتی که زیرساخت فوق به درستی طراحی نگردد، در زمان استفاده از شبکه با مشکلات متفاوتی برخورد نموده و می بایست هزینه های زیادی به منظور نگهداری و تطبیق آن با خواسته ها ی مورد نظر( جدید) ، صرف گردد ( اگر خوش شانس باشیم و مجبور نشویم که از اول همه چیز را مجددا” شروع نمائیم !) . یکی از علل اصلی در بروز اینچنین مشکلاتی ، به طراحی شبکه پس از پیاده سازی آن برمی گردد. ( در ابتدا شبکه را پیاده سازی می نمائیم و بعد سراغ طراحی می رویم ! ) .
برپاسازی هر شبکه کامپیوتری تابع مجموعه سیاست هائی است که با استناد به آنان در ابتدا طراحی منطقی شبکه و در ادامه طراحی فیزیکی ، انجام خواهد شد . پس از اتمام مراحل طراحی ، امکان پیاده سازی شبکه با توجه به استراتژی تدوین شده ، فراهم می گردد.
در زمان طراحی یک شبکه ، سوالات متعددی مطرح می گردد :
برای طراحی یک شبکه از کجا می بایست شروع کرد ؟
چه پارامترهائی را می بایست در نظر گرفت ؟
هدف از برپاسازی یک شبکه چیست ؟
انتطار کاربران از یک شبکه چیست ؟
آیا شبکه موجود ارتقاء می یابد و یا یک شبکه از ابتدا طراحی می گردد ؟
چه سرویس ها و خدماتی بر روی شبکه، ارائه خواهد شد ؟
و …
سوالات فوق ، صرفا” نمونه هائی در این زمینه بوده که می بایست پاسخ آنان متناسب با واقعیت های موجود در هر سازمان ، مشخص گردد . ( یکی از اشکالات ما استفاده از پاسخ های ایستا در مواجهه با مسائل پویا است !) .
در این مقاله قصد داریم به بررسی پارامترهای لازم در خصوص تدوین یک استراتژی مشخص به منظور طراحی شبکه پرداخته تا از این طریق امکان طراحی منطقی ، طراحی فیزیکی و در نهایت پیاده سازی مطلوب یک شبکه کامپیوتری ، فراهم گردد .
مقدمه قبل از طراحی فیزیکی شبکه ، می بایست در ابتدا و بر اساس یک فرآیند مشخص ، خواسته ها شناسائی و آنالیز گردند. چرا قصد ایجاد شبکه را داریم و این شبکه می بایست چه سرویس ها و خدماتی را ارائه نماید ؟ به چه منابعی نیار می باشد ؟ برای تامین سرویس ها و خدمات مورد نظر اکثریت کاربران ، چه اقداماتی می بایست انجام داد ؟ در ادامه می بایست به مواردی همچون پروتکل مورد نظر برای استفاده در شبکه ، سرعت شبکه و از همه مهم تر، مسائل امنیتی شبکه پرداخته گردد. هر یک از مسائل فوق ، تاثیر خاص خود را در طراحی منطقی یک شبکه به دنبال خواهند داشت .یکی دیگر از پارامترهائی که معمولا” از طرف مدیریت سازمان دنبال و به آن اهمیت داده می شود ، هزینه نهائی برپاسازی شبکه است . بنابراین لازم است در زمان طراحی منطقی شبکه به بودجه در نظر گرفته شده نیز توجه نمود .
در صورتی که قصد ایجاد یک شبکه و تهیه نرم افزارهای جدیدی وجود داشته باشد ، زمان زیادی صرف بررسی توانمندی نرم افزارها ، هزینه های مستقیم و غیر مستقیم آنان ( آموزش کاربران ، کارکنان شبکه و سایر موارد دیگر ) ، خواهد شد .در برخی موارد ممکن است تصمیم گرفته شود که از خرید نرم افزارهای جدید صرفنظر نموده و نرم افزارهای قدیمی را ارتقاء داد. تعداد زیادی از برنامه های کامپیوتری که با استفاده از زبانهائی نظیر : کوبال ، بیسیک و فرترن نوشته شده اند ، ممکن است دارای قابلیت های خاصی در محیط شبکه بوده که استفاده از آنان نیازمند بکارگیری پروتکل های قدیمی باشد. در چنین مواردی لازم است به چندین موضوع دیگر نیز توجه گردد :
هزینه ارتقاء هزاران خط کد نوشته شده قدیمی توسط نسخه های جدید و پیشرفته همان زبان های برنامه نویسی ، چه میزان است ؟
هزینه ارتقاء برنامه ها به یک زبان برنامه نویسی شی گراء چه میزان است ؟
آیا به منظور صرفه جوئی در هزینه ها ، می توان بخش های خاصی از شبکه را ارتقاء و از سخت افزارها و یا نرم افزارهای خاصی برای ارتباط با عناصر قدیمی شبکه استفاده نمود؟
با توجه به هزینه و زمان ارتقاء برنامه های نوشته شده قدیمی توسط زبان های جدید برنامه نویسی ، ممکن است تصمیم گرفته شود که فعلا” و تا زمانی که نرم افزارهای جدید نوشته و جایگزین گردند از نرم افزارهای موجود حمایت و پشتیبانی شود. در این رابطه ممکن است بتوان از یک بسته نرم افراری به عنوان گزینه ای جایگزین در ارتباط با برنامه های قدیمی نیز استفاده نمود. در صورتی که می توان با اعمال تغییراتی اندک و ترجمه کد منبع برنامه ، امکان اجرای برنامه را بر روی یک سیستم عامل جدید فراهم نمود ، قطعا” هزینه مورد نظر بمراتب کمتر از حالتی است که برنامه از ابتدا و متناسب با خواسته های جدید ، بازنویسی گردد. یکی دیگر از مسائلی که می بایست در زمان ارتقاء یک برنامه جدید مورد توجه قرار گیرد ، آموزش کاربرانی است که از نرم افزار فوق استفاده می نمایند .
برنامه ریزی برای طراحی منطقی شبکه برای طراحی منطقی شبکه ، می توان از یک و یا دونقطه کار خود را شروع کرد: طراحی و نصب یک شبکه جدید و یا ارتقاء شبکه موجود. در هر دو حالت ، می بایست اطلاعات مورد نیاز در خصوص چندین عامل اساسی و مهم را قبل از طراحی منطقی شبکه ، جمع آوری نمود. مثلا” با توجه به سرویس ها و خدماتی که قصد ارائه آنان به سرویس گیرندگان شبکه را داریم ، می بایست به بررسی و آنالیز الگوهای ترافیک در شبکه پرداخته گردد . شناسائی نقاط حساس و بحرانی (در حد امکان ) ، کاهش ترافیک موجود با ارائه مسیرهای متعدد به منابع و تامین سرویس دهندگان متعددی که مسئولیت پاسخگوئی به داده های مهم با هدف تامینLoad balancing را دارا می باشند ، نمونه هائی در این رابطه می باشد .برای برنامه ریزی در خصوص طراحی منطقی شبکه می بایست به عواملی دیگر نیز توجه و در خصوص آنان تعیین تکلیف شود :
سرویس گیرندگان، چه افرادی می باشند؟ نیاز واقعی آنان چیست ؟چگونه از نیاز آنان آگاهی پیدا کرده اید ؟ آیا اطلاعات جمع آوری شده معتبر است ؟
چه نوع سرویس ها و یا خدماتی می بایست بر روی شبکه ارائه گردد؟ آیا در این رابطه محدودیت های خاصی وجود دارد ؟ آیا قصد استفاده و پیکربندی یک فایروال بین شبکه های محلی وجود دارد ؟ در صورت وجود فایروال ، به منظور استفاده از اینترنت به پیکربندی خاصی نیاز می باشد؟
آیا صرفا” به کاربران داخلی شبکه ، امکان استفاده از اینترنت داده می شود و یا کاربران خارجی ( مشتریان سازمان ) نیز می بایست قادر به دستیبابی شبکه باشند ؟ هزینه دستیابی و ارائه سرویس ها و خدمات به کاربران خارجی از طریق اینترنت، چه میزان است ؟ ؟ آیا تمامی کاربران شبکه مجاز به استفاده از سرویس پست الکترونیکی می باشند (سیستم داخلی و یا خارجی از طریق فایروال ) . کاربران شبکه ، امکان دستیابی به چه سایت هائی را دارا خواهند بود؟ آیا سازمان شما دارای کاربرانی است که در منزل و یا محیط خارج از اداره مشغول به کار بوده و لازم است به شبکه از طریق Dial-up و یا VPN ( از طریق ایننترنت ) ، دستیابی نمایند ؟
یکی از موضوعات مهمی که امروزه مورد توجه اکثر سازمان ها می باشد ، نحوه تامین امکان دستیابی نامحدود به اینترنت برای کاربران است. در صورتی که کاربران نیازمند مبادله نامه الکترونیکی با مشتریان سازمان و یا مشاوران خارج از شرکت می باشند ، می بایست ترافیک موجود را از طریق یک برنامه فیلتر محتوا و یا فایروال انجام و به کمک نرم افزارهائی که حفاظت لازم در مقابل ویروس ها را ارائه می نمایند ، عملیات تشخیص و پیشگیری از کد های مخرب و یا فایل ضمیمه آلوده را نیز انجام داد.
با استفاده از نرم افزارهائی نظیر FTP ،کاربران قادر به ارسال و یا دریافت فایل از طریق سیستم های راه دور می باشند .آیا در این خصوص تابع یک سیاست مشخص شده ای بوده و می توان پتانسیل فوق را بدون این که اثرات جانبی خاصی را به دنبال داشته باشد در اختیار کاربران قرار داد ؟ از لحاظ امنیتی ،امکان اجرای هر برنامه جدید بر روی هر کامپیوتر ( سرویس گیرنده و یا سرویس دهنده ) بدون بررسی لازم در خصوص امنیت برنامه ، تهدیدی جدی در هر شبکه کامپیوتری محسوب می گردد .
آیا کاربران شبکه با یک مشکل خاص کوچک که می تواند برای دقایقی شبکه و سرویس های آن را غیر فعال نماید ، کنار می آیند و یا می بایست شبکه تحت هر شرایطی به منظور ارائه خدمات و سرویس ها ، فعال و امکان دستیابی به آن وجود داشته باشد ؟ آیا به سرویس دهندگان کلاستر شده ای به منظور در دسترس بودن دائم شبکه ، نیاز می باشد ؟ آیا کاربران در زمان غیرفعال بودن شبکه ، چیزی را از دست خواهند داد ؟ آیا یک سازمان توان مالی لازم در خصوص پرداخت هزینه های مربوط به ایجاد زیرساخت لازم برای فعال بودن دائمی شبکه را دارا می باشد ؟ مثلا” می توان توپولوژی های اضافه ای را در شبکه پیش بینی تا بتوان از آنان برای پیشگیری از بروز اشکال در یک نقطه و غیر فعال شدن شبکه ، استفاده گردد. امروزه با بکارگیری تجهیزات خاص سخت افزاری به همراه نرم افزاری مربوطه ، می توان از راهکارهای متعددی به منظور انتقال داده های ارزشمند در یک سازمان و حفاظت از آنان در صورت بروز اشکال ، استفاده نمود.
در صورتی که قصد ارتقاء شبکه موجود وجود داشته باشد ، آیا می توان از پروتکل های فعلی استفاده کرد و یا می بایست به یک استاندارد جدید در ارتباط با پروتکل ها ، سوئیچ نمود ؟ در صورتی که یک شبکه جدید طراحی می گردد ، چه عواملی می تواند در خصوص انتخاب پروتکل شبکه ، تاثیر گذار باشد ؟ اترنت ، متداولترین تکنولوژی شبکه ها ی محلی ( LAN ) و TCP/IP ، متداولترین پروتکلی است که بر روی اترنت ، اجراء می گردد . در برخی موارد ممکن است لازم باشد که سایر تکنولوژی های موجود نیز بررسی و در رابطه با استفاده از آنان ، تصمیم گیری گردد .
استفاده کنندگان شبکه چه افرادی هستند ؟ این سوال به نظر خیلی ساده می آید. ما نمی گوئیم که نام استفاده کنندگان چیست ؟ هدف از سوال فوق، آشنائی با نوع عملکرد شغلی و حوزه وظایف هر یک از کاربران شبکه است . طراحان شبکه های کامپیوتری نیازمند تامین الگوها و خواسته ها متناسب با ماهیت عملیاتی هر یک از بخش های یک سازمان بوده تا بتوانند سرویس دهندگان را به درستی سازماندهی نموده و پهنای باند مناسب برای هر یک از بخش های فوق را تامین و آن را در طرح شبکه ، لحاظ نمایند . مثلا” در اکثر سازمان ها ، بخش عمده ترافیک شبکه مربوط به واحد مهندسی است . بنابراین در چنین مواردی لازم است امکانات لازم در خصوص مبادله داده در چنین واحدهائی به درستی پیش بینی شود .
شبکه مورد نظر می بایست چه نوع سرویس ها و خدماتی را ارائه نماید ؟ مهمترین وظیفه یک شبکه ، حمایت از نرم افزارهائی است که امکان استفاده از آنان برای چندین کاربر ، وجود داشته باشد. در این رابطه لازم است در ابتدا لیستی از انواع نرم افزارهائی که در حال حاضر استفاده می گردد و همچنین لیستی از نرم افزارهائی را که کاربران تقاضای استفاده از آنان را نموده اند، تهیه گردد. هر برنامه دارای یک فایل توضیحات کمکی است که در آن به مسائل متفاوتی از جمله رویکردهای امنیتی ، اشاره می گردد ( در صورت وجود ) . نرم افزارهای عمومی شبکه در حال حاضر FTP، telnet و مرورگرهای وب بوده که نسخه های خاص امنیتی در ارتباط با هر یک از آنان نیز ارائه شده است . برخی از این نوع نرم افزارها دارای نسخه هائی می باشند که همزمان با نصب ، حفره ها و روزنه های متعددی را برروی شبکه ایجاد می نمایند . صرفنظر از این که چه نرم افزارهائی برای استفاده در شبکه انتخاب می گردد ، می بایست به دو نکته مهم در این رابطه توجه گردد :
آیا برنامه ایمن و مطمئن می باشد؟ اکثر برنامه ها در حال حاضر دارای نسخه هائی ایمن بوده و یا می توان آنان را به همراه یک سرویس دهنده Proxyبه منظور کمک در جهت کاهش احتمال بکارگیری نادرست ، استفاده نمود.سرویس دهندگان Proxy ، یکی از عناصر اصلی و مهم در فایروال ها بوده و لازم است به نقش و جایگاه آنان بیشتر توجه گردد. حتی شرکت های بزرگ نیز در معرض تهدید و آسیب بوده و هر سازمان می بایست دارای کارشناسانی ماهر به منظور پیشگیری و برخورد با مشکلات امنیتی خاص در شبکه باشد .
آیا یک برنامه با برنامه دیگر Overlap دارد؟ هر کاربر دارای نرم افزار مورد علاقه خود می باشد . برخی افراد یک واژه پرداز را دوست دارند و عده ای دیگر به واژه پردازه دیگری علاقه مند می باشند. در زمان استفاده از چنین نرم افزارهائی لازم است حتی المقدور سعی گردد از یک محصول خاص بمظور تامین خواسته تمامی کاربران ،استفاده گردد. فراموش نکنیم که پشتیبانی چندین برنامه که عملیات مشابه و یکسانی را انجام می دهند هم سرمایه های مالی را هدر خواهد داد و هم می تواند سردرگمی ، تلف شدن زمان و بروز مشکلات مختلف در جهت مدیریت آنان توسط گروه مدیریت و پشتیبان شبکه را به دنبال داشته باشد .
هر برنامه و یا سرویس جدیدی را که قصد نصب و فعال شدن آن را در شبکه داشته باشیم ، می بایست در ابتدا بررسی و در ادامه متناسب با سیاست ها و شرایط موجود ، پیکربندی نمود . برنامه های جدید می بایست منطبق بر این حقیقت باشند که چرا به وجود آنان نیاز می باشد؟ در صورتی که یک برنامه موجود می تواند به منظور تحقق اهداف خاصی استفاده گردد ، چرا به برنامه ای دیگر نیاز می باشد ؟ آیا عدم کارائی برنامه قدیمی بررسی و بر اساس نتایج به دست آمده به سراغ تهیه یک نرم افزار جدید می رویم ؟ همواره لازم است برنامه جدید بررسی تا اطمینان لازم در خصوص تامین خواسته ها توسط آن حاصل گردد.این موضوع در رابطه با برنامه های قدیمی نیز صدق خواهد کرد: آیا این نوع برنامه ها بر روی شبکه جدید و یا شبکه موجود که قصد ارتقاء آن را داریم ، کار خواهند کرد؟
آیا استفاده از شبکه ، مانیتور می گردد؟ آیا به کاربران شبکه اجازه داده می شود که اکثر وقت خود را در طی روز به استفاده از اینترنت و یا ارسال و یا دریافت نامه های الکترونیکی شخصی ، صرف نمایند ؟ تعداد زیادی از سازمان ها و موسسات امکان استفاده از تلفن برای کاربردهای شخصی را با لحاط نمودن سیاست های خاصی در اختیار کارکنان خود قرار می دهند. آیا در زمان تعریف آدرس الکترونیکی کاربران ، راهکاری مناسب در این خصوص انتخاب و به آنان اعلام شده است ؟ آیا پیشگیری لازم به منظور دستیابی به سایت هائی که ارتباطی با عملکرد شغلی پرسنل ندارند ، پیش بینی شده است ؟
برای هر یک از لینک های شبکه به چه درجه ای از اطمینان نیاز است ؟ از کار افتادن شبکه و غیر فعال شدن سرویس های آن تا چه میزان قابل قبول است ؟ شاید اکثر کاربران در پاسخ زمان صفر را مطرح نموده و تمایل دارند که شبکه تحت هر شرایطی فعال و در دسترس باشد . عناصر مهم در شبکه ، نظیر سرویس دهندگان فایل دارای استعداد لازم برای پذیرش اشکالات و بروز خطاء می باشند . در سرویس دهندگان بزرگ ، از دو منبع تغذیه متفاوت که هر کدام به یک ups جداگانه متصل می گردند ، استفاده می شود و از فن آوری های Raid به منظور اطمینان از صحت ارائه اطلاعات در رابطه با حوادثی که ممکن است باعث از کار افتادن یک دیسک گردد ، استفاده می شود. در صورتی که دو بخش متفاوت یک سازمان از طریق یک خط ارتباطی ( لینک ) خاص با یکدیگر مرتبط شده باشند و لازم است که همواره ارتباط بین آنان بصورت تمام وقت برقرار باشد، می بایست برنامه ریزی لازم در خصوص ایجاد چندین لینک بین دو سایت ، صورت پذیرد (لینک Backup ). در چنین مواردی ، می بایست هزینه تامین لینک اضافه نیز پیش بینی گردد. در صورتی که از چندین لینک برای ارتباط با سایت های راه دور استفاده می شود ، می توان از مسیرهای مختلفی بدین منظور استفاده نمود . بدیهی است در صورت بروز اشکال در یکی از لینک های موجود، می توان از سایر مسیر ها استفاده به عمل آورد . در این رابطه لازم است به موارد زیر نیز توجه گردد :
علاوه بر در نظر گرفتن خطوط اختصاصی بین سایت ها ، استفاده از VPN)Virtual Private Networking) ، نیز روشی متداول به منظور اتصال به سایت های راه دور، می باشد . مهمترین مزیت روش فوق، ارزان بودن آن نسبت به یک لینک اختصاصی با توجه به استفاده از زیرساخت اینترنت برای مبادله داده است . کاربران موبایل می توانند با استفاده از یک VPN به شبکه سازمان خود دستیابی داشته باشند ( در زمان حرکت از یک نقطه به نقطه ای دیگر ) . در چنین مواردی لازم است سایت راه دور ( و نیز سایت اصلی ) ، از دو ISP استفاده نموده تا اگر یکی از آنان با مشکل روبرو گردید ، امکان استفاده از اینترنت از طریق یک اتصال دیگر ، وجود داشته باشد .
فن آوری دیگری که می توان از آن به منظور ارائه یک لایه اضافه به منظور در دسترس بودن شبکه استفاده نمود ، دستیابی با سرعت بالا به دستگاههای ذخیره سازی و شبکه ذخیره سازی ( SAN:Storage Area Network ) است . SAN ، شبکه ای است که از LAN جدا بوده و شامل صرفا” دستگاههای ذخیره سازی و سرویس دهندگان لازم برای دستیابی به دستگاه ها است . با توجه به این که پهنای باند شبکه با کاربران شبکه محلیLAN به اشتراک گذاشته نمی شود ، چندین سرویس دهنده قادر به دستیابی محیط ذخیره سازی مشابه و یکسانی ، خواهند بود. سایر سرویس دهندگان می توانند بگونه ای پیکربندی گردند که امکان دستیابی به داده را فراهم نمایند . در این رابطه می توان از RAID و یا برخی فن آوری های دیگر مرتبط با دستگاه های ذخیره سازی نیز استفاده نمود .
در بخش دوم این مقاله به بررسی سایر پارامترهای لازم در خصوص تدوین استراتژی طراحی یک شبکه کامپیوتری خواهیم پرداخت .
مفاهیم Load Balancing: به توضیع بار شبکه و یا ترافیک نرم افزاری روی سرور های Cluster جهت بهینه سازی پاسخ به درخواست و افزایش کیفیت و پایداری تقسم بار یا Load Balancing گفته میشود. سرور یا سیستم تقسیم بار بین Client و Server Farm قرار میگیرید و ترافیک های شبکه و نرم افزار را با استفاده از متد های گوناگون بین سرور ها توضیع میکند که با انجام این عمل بین سرور ها از بروز Single Point Failure جلوگیری میشود. Load Balancing یکی از بهترین و کارامد ترین معماری برای Application server میباشد.
با راه اندازی این متد زمانی که درگیری سرور و مصرف منابع Application بالا میرود میتوان به راحتی سرور های جدید را به Server Pool اضافه کرد. به محض اضافه شدن سرور جدید Request ها و ترافیک روی سرور جدید نیز توضیع خواهد شد.
با توجه به توضیحات بالا وظایف Load Balancer به شرح زیر خواهد بود:
توضیع درخواست های Client و یا ترافیک شبکه بصورت موثر بین سرور ها
اطمینان از پایداری سرویس، کیفیت و اعتماد با فرستادن درخواست Client به سمت سرور های فعال و در دسترس
ارائه انعطاف پذیری در حذف و یا اضافه سرور در صورت نیاز
تقسیم بار یا همان Load Balancing چگونه انجام میشود:
زمانی که یک Application Server غیر قابل دسترس میشود Load balancer تمامی درخواست های مربوط به Application را به یکی دیگر از سرور های فعال ارجاع میدهد. جهت تحویل پیشرفته درخواست های نرم افزاری از یک سیستم Application Delivery Controller یا به اختصار ADC استفاده میشود تا امنیت و Performance در زمان ارجاع درخواست به Web افزایش یابد. ADC فقط یک Load Balancer نیست بلکه یک پلتفرم جهت تحویل شبکه، Application، سرویس های مبایل با سرعت و امنیت بالا میباشد.
متدها و الگوریتم های Load Balancing
The Least Connection Method : زمانی که Virtual Server طوری کانفیگ میشود تا از متد Least Connection استفاده کند سرویسی که کمترین تعداد کانکشن را دارد جهت پاسخ به درخواست انتخاب میشود.
The Round Robin Method : در این الگوریتم بصورت گردشی درخواست ها بین Server یا service ها تقسیم میشود. به این صورت که Server ها یا Service ها بصورت یک لیست شده و درخواست به اول سرویس دهنده لیست ارسال میشود و این متد بصورت گردشی ادامه میابد.
The Least Response Time Method : در این روش درخواست به سرویس دهنده ای که کمترین تعداد کانکشن و کمترین میانگین زمانی پاسخدهی را دارد ارسال میشود.
The Least Bandwidth Method : این متد برای سرویس دهندگان File Server مناسب بوده و سروری که کمترین میزان مصرف ترافیک شبکه را دارد جهت پردازش درخواست انتخاب میشود.
The Least Packets Method : در این متد سرویس دهنده ای کمترین میزان packet را در بازه مشخص دریافت میکند انتخاب میشود.
The Custom Load Method: زمانی که این متد جهت Load Balancing انتخاب شود سرویسی که هیچ درخواستی را برای پردازش ندارد انتخاب میشود، اگر همه سرور ها در حال پردازش Transaction بودند سروری که کمترین میزان لود را داراست جهت پردازش درخواست جدید انتخاب میشود.
دلیل استفاده از Load Balancing چیست ؟!
در هر صورت استفاده از این ساختار باعث پایداری، کیفیت و افزایش امنیت در سرویس دهی خواهد شد. در سیستم های Critical Mission و سیستم هایی که High Availability در ان مهم است استفاده از تقسیم بار ضروری میباشد.
Domain Name System یا همان DNS گاها قسمت سخت و پیچیده راه اندازی یک سرور میباشد. اشنایی با مفاهیم DNS باعث میشود بصورت پیشرفته دسترسی به وب سایت را از طریق دامنه مدیریت کرده و مشکلات را ساده تر ردگیری نمایید. در این اموزش شما با مفاهیم و قسمت های مختلف DNS اشنا خواهید شد. آموزش تنظیم DNS در سرور ویندوزی و لینوکسی در مقالات اینده خدمت شما عزیزان ارائه خواهد شد اما اجازه دهید قبل از ان با مفاهیم و اصطلاعات DNS خوب اشنا شویم.
معرفی مفهوم اصطلاحات و واژگان در سیستم نام دامنه یا Domain Name System
در مبحث DNS ممکن است تعدادی واژه شنیده باشید که شاید تعدادی از انها برای شما اشنا و مابقی گنگ و نا مفهوم بوده باشد که از بعضی از انها به دفعات استفاده میشود و بعضی نیز کم کاربرد خواهد بود. در ادامه مقاله با تمامی این لغات مانند: Domain Name, TLD, SubDomain, Zone File, A & AAA Record و … اشنا خواهید شد.
Domain Name System :
Domain Name System معمولا با اصطلاح DNS شناخته میشود. DNS در سیستم های شبکه یک ادرس کاربر پسند را Resolve میکند. تصور کنید برای باز کردن یک صفحه وب باید ادرس ای پی مانند ۱۹۲٫۱۵۵٫۸۱٫۱۰۴ ان را در حافظه به خاطر بسپارید! پس از پیاده سازی سیستم نام دامنه یا DNS شما وارد مرورگر شده و با تایپ google.com وارد سایت گوگل میشود. زمانی که شما ادرس سایت را وارد میکنید ادرس IP شبکه ای دامنه به شما بازگردانده و یا اصطلاحا Resolve میشود. شما میتوانید به سادگی با ping کردن نام یک دامنه این موضوع را در عمل نیز مشاهده نمایید.
Domain Name :
Domain Name یا نام دامنه همانطور که از نام آن پیداست به ادرس کاربر پسند و قابل فهم دامنه گفته میشود. برای مثال google.com یک Domain Name میباشد. برخی از متخصصان معتقد هستند که نام قبل از پسوند Domain میباشد. اما در حالت کلی میتوانید ترکیب دامنه و پسوند را Domain Name بدانید.
ادرس google.com که متعلق به شرکت گوگل است به سرور های این شرکت متصل میباشد. کاربران به راحتی میتواند با وارد کردن نام گوگل به سایت و دیگر سرویس های این شرکت وارد شده و از ان استفاده نماییند.
IP Address :
آدرس IP یک سیستم ادرس دهی شبکه ای میباشد، در صورتی که Static باشد در سطح اینترنت معتبر بوده و قابلت مشاهده شدن و ادرس دهی دارد. زمانی که در مورد وبسایت صحبت میشود منظور از شبکه Wlan یا اینترنت میباشد. IPv4 یکی از پرکاربرد ترین شکل ادرس دهی است که از چهار بخش عددی تشکیل شده است. هر بخش با یک حرف dot یا “.” از هم جدا میشود. برای مثال ۱۹۲٫۱۶۸٫۱٫۱ یک ادرس ای پی IPv4 میباشد که البته این IP لوکال بوده و در سطح اینترنت نیز استفاده نمیشود. با استفاده از DNS دامنه به IP اصطلاحا Map میشود و با همین روش دیگر برای مشاهده وب سایت نیازی به حفظ کردن ادرس IP نیست.
Top-Level Domain :
Top-Level Domain یا TLD بخش اصلی یک دامنه را تشکیل میدهد. اخرین بخش یک ادرس دامنه TLD میباشد که با اخرین dot مشخص میشود. com , org , gov و net جزو پسوند یا TLD های معروف و شناخته شده میباشد.
TLD در بالاترین سطح سلسله مراتبی نام دامنه قرار دارد. مدیریت روی TLD ها توسط سازمان Internet Corporation Assigned Name and Numbers یا ICANN به سازمان ها و یا کشور ها داده میشود. به طور مثال کنترل، TLD یا پسوند IR توسط ICANN به NIC داده شده است تا بتواند دامنه های ملی IR را مدیریت نمایید. هر کشور TLD مخصوص به خود را داراست.
Host’s :
Host یا میزبان میتواند یک سرور و یا یک سرویس دهنده میزبانی وب و … باشد. دامنه میتواند روی سرویس دهنده های مختلف میزبانی شود. host یا همان میزبان میتوانید به هر سرویسی که از دامنه ما میزبانی میکند گفته شود. میزبان از طریق دامنه در دسترس قرار میگیرد. برای مثال دامنه زیر را در نظر بگیرید:
vcenter.ir
این دامنه میتواند بصورت کامل روی یک میزبان یا بصورت جداگانه هر بخش ان بر روی یک هاست میزبانی شود. اگر میخواهید سرور دانلود شما از میزبانی وب جدا باشد میتوانید با ایجاد یک سابدامنه ان را به سرور یا سرویس دهنده دیگری متصل نمایید. با استفاده از این روش میتوانید در زیر مجموعه دامنه اصلی میزبان های متفاوتی داشته باشید.
subDomain :
دامنه بصورت سلسله مراتبی کار میکند. TLD ها میتواند تعداد زیادی دامنه در زیر مجموعه خود داشته باشند. بصور مثال یک TLD مانند IR را در نظر بگیرید، دامنه های “vcenter.ir” و “bashRC.ir” جزو زیر مجموعه های پسوند IR میباشد. Subdomain یا همان سابدامنه به ژیر مجموعه های دامنه بزرگ تر گفته میشود. یا این حساب vcenter سابدامنه IR است. در مفاهیم دامنه vcenter در جایگاه دوم ارزش قرار میگیرد که به ان SLD یا Second Level Domain گفته میشود. جایگاه اول ارزش دامنه یا همان TLD مربوط به ir. و یا دیگر پسوند ها میباشد.
سابدامنه در اصطلاح روزمره به زیر مجموعه دامنه اصلی نیز گفته میشود. بطور مثال به ادرس های زیر نیز سابدامنه گفته میشود:
dl.vcenter.ir
ftp.vcenter.ir
test.vcenter.ir
تمامی ادرس های بالا نیز سابدامنه نامیده میشود هرچند مفهوم اصلی سابدامنه در ابتدا شرح داده شد. در هاستینگ معمولا با این ادرس ها بیشتر برخورد میکنید. با استفاده از ادرس سابدامنه میتوانید سایت خود را به بخش های مختلف تقسیم کنید یا سابدامنه را به میزبان ها و سرویس دهنده های مختلف متصل سازید.
Name Server :
Name Server طراحی شده تا نام دامنه را به ادرس IP ترجمه نمایید. این سرویس تقریبا بیشتر سیستم DNS را انجام می دهد. در تنظیمات دامنه این گزینه را با نام NS مشاهده میکنید.
Zone File :
zone file یک فایل متنی ساده است که اطلاعات دامنه را نگهداری میکند. این فایل طوری تنظیم شده تا درخواست های بازگشتی مانند Resolve کردن Name Server را هندل کند. Zone File محدوده DNS را مشخص میسازد. این فایل میتواند شامل رکورد های دامنه و ادرس Resource مربوط به ان باشد. نام Zone File دامنه vcenter.ir در سیستم vcenter.ir.db میباشد. برای نمونه محتویات یک Zone File میتواند بصورت زیر باشد:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
$TTL14400
@INSOA ns1.vcenter.ir.hostmaster.vcenter.ir.(
2017010101
14400
3600
1209600
86400)
vcenter.ir.14400INNS ns1.vcenter.ir.
vcenter.ir.14400INNS ns2.vcenter.ir.
ftp14400INA149.202.111.161
mail14400INA149.202.111.161
ns1.vcenter.ir.14400INA149.202.111.161
ns2.vcenter.ir.14400INA149.202.111.161
pop14400INA149.202.111.161
smtp14400INA149.202.111.161
vcenter.ir.14400INA149.202.111.161
www14400INA149.202.111.161
vcenter.ir.14400INMX10mail
vcenter.ir.14400INTXT“v=spf1 a mx ip4:149.202.111.161 ~all”
نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه
SSL یا Secure Socket Layer راه حلی جهت برقراری ارتباطات ایمن میان یک سرویسدهنده و یک سرویسگیرنده است که توسط شرکت Netscape ارائه شده است. درواقع SSL پروتکلی است که پایینتر از لایه کاربرد (لایه ۴ از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار میگیرد.
پروتکل SSLبهرهگیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکلهای غیر امن لایه کاربردی نظیر HTTP، LDAP، IMAP و غیره است. الگوریتمهای رمزنگاری بر اساس پروتکل SSL بر روی دادههای خام (plain text) که قرار است از یک کانال ارتباطی غیر امن مثل اینترنت عبور کنند، اعمال میشود و محرمانه ماندن دادهها را در طول کانال انتقال تضمین میکند. بهبیاندیگر شرکتی که صلاحیت صدور و اعطای گواهیهای دیجیتال SSL را دارد برای هرکدام از دو طرفی که قرار است ارتباطات میان شبکهای امن داشته باشند، گواهیهای مخصوص سرویسدهنده و سرویسگیرنده را صادر میکند و با مکانیسمهای احراز هویت خاص خود، هویت هرکدام از طرفین را برای طرف مقابل تأیید میکند. البته غیر از این کار میبایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابلدرک و استفاده نباشد که این کار را با کمک الگوریتمهای رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام میدهد.
ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL
برای داشتن ارتباطات امن مبتنی بر SSL عموماً به دو نوع گواهی دیجیتال SSLنیاز است. گواهی اول برای سرویسدهنده و گواهی دیگر برای سرویسگیرنده است. همچنین به یک مرکز صدور و اعطای گواهینامه دیجیتال یا CA نیاز است. وظیفه CA این است که هویت طرفین ارتباط، نشانیها، حسابهای بانکی و تاریخ انقضای گواهینامه را بداند و بر اساس آنها هویتها را تعیین نماید.
مکانیسمهای تشکیلدهنده SSL
۱– تأیید هویت سرویسدهنده
با استفاده از این ویژگی در SSL، یک کاربر از صحت هویت یک سرویسدهنده مطمئن میشود. نرمافزارهای مبتنی بر SSLسمت سرویسگیرنده، مثلاً یک مرورگر وب نظیر Internet Explorer میتواند از تکنیکهای استاندارد رمزنگاری مبتنی بر کلید عمومی و مقایسه با کلیدهای عمومی یک سرویسدهنده، (مثلاً یک برنامه سرویسدهنده وب نظیر IIS) و از هویت آنها مطلع شود و پس از اطمینان کامل، کاربر میتواند نسبت به وارد نمودن اطلاعات خود مانند شماره کارتهای اعتباری و یا گذرواژهها اقدام نماید.
۲- تأیید هویت سرویسگیرنده
برعکس حالت قبلی در اینجا سرویسدهنده است که میبایست از صحت هویت سرویسگیرنده اطمینان یابد. طی این مکانیسم، نرمافزار مبتنی بر SSL سمت سرویسدهنده پس از مقایسه نام سرویسگیرنده با نامهای مجاز موجود در لیست سرویسگیرندههای مجاز که در داخل سرویسدهنده تعریف میشود، اجازه استفاده از سرویسهای مجاز را به او میدهد.
۳- ارتباطات رمز شده
کلیه اطلاعات مبادله شده میان سرویسدهنده و گیرنده میبایست توسط نرمافزارهای موجود در سمت سرویسدهنده و سرویسگیرنده رمزنگاری (Encrypt) شده و در طرف مقابل رمزگشایی (Decrypt) شوند تا حداکثر محرمانگی (Confidentiality) در اینگونه سیستمها لحاظ شود.
اجزای پروتکل SSL
پروتکل SSL دارای دو زیرپروتکل تحت عناوین زیر است:
۱- SSL Rocord Protocol که نوع قالببندی دادههای ارسالی را تعیین میکند.
۲- SSL Handshake Protocol که بر اساس قالب تعیینشده در پروتکل قبلی، مقدمات ارسال دادهها میان سرویسدهندهها و سرویسگیرندههای مبتنی بر SSL را تهیه میکند.
بخشبندی پروتکل SSL به دو زیرپروتکل دارای مزایایی است ازجمله:
اول: در ابتدای کار و طی مراحل اولیه ارتباط (Handshake) هویت سرویسدهنده برای سرویسگیرنده مشخص میگردد.
دوم: در همان ابتدای شروع مبادلات، سرویسدهنده و گیرنده بر سر نوع الگوریتم رمزنگاری تبادلی توافق میکنند.
سوم: در صورت لزوم، هویت سرویسگیرنده نیز برای سرویسدهنده احراز میگردد.
چهارم: در صورت استفاده از تکنیکهای رمزنگاری مبتنی بر کلید عمومی، میتوانند کلیدهای اشتراکی مخفی را ایجاد نمایند.
پنجم: ارتباطات بر مبنای SSL رمزنگاری میشود.
الگوریتمهای رمزنگاری پشتیبانی شده در SSL
در استاندارد SSL، از اغلب الگوریتمهای عمومی رمزنگاری و مبادلات کلید (Key Exchcenge Algorithm) نظیر RSA، RC4، RC2،MD5، KEA، DSA، DES و RSA Key Exchauge، SHA1، Skipjack و DES3 پشتیبانی میشود. بسته به این که نرمافزارهای سمت سرویسدهنده و سرویسگیرنده نیز از موارد مذکور پشتیبانی نمایند، ارتباطات SSLمیتواند بر اساس هرکدام از این الگوریتمها صورت پذیرد. البته بسته به طول کلید مورد استفاده در الگوریتم و قدرت ذاتی الگوریتم، میتوان آنها را در ردههای مختلفی قرار داد که توصیه میشود با توجه به سناریوهای موردنظر، از الگوریتمهای قویتر نظیر DES۳ با طول کلید ۱۶۸ بیت برای رمزنگاری دادهها و همچنین الگوریتم SHA-1 برای مکانیسمهای تأیید پیغام MD5 استفاده شود و یا این که اگر امنیت در این حد مورد نیاز نبود، میتوان در مواردی خاص از الگوریتم رمزنگاری RC4 با طول کلید ۴۰ بیت و الگوریتم تأیید پیغام MD5 استفاده نمود.
نحوه عملکرد داخلی پروتکل SSL
همانطور که میدانید SSL میتواند از ترکیب رمزنگاری متقارن و نامتقارن استفاده کند. رمزنگاری کلید متقارن سریعتر از رمزنگاری کلید عمومی است و از طرف دیگر رمزنگاری کلید عمومی تکنیکهای احراز هویت قویتری را ارائه میکند. یک جلسه (SSL (Session با یک تبادل پیغام ساده تحت عنوان SSL Handshake شروع میشود. این پیغام اولیه به سرویسدهنده این امکان را میدهد تا خودش را به سرویسدهنده دارای کلید عمومی معرفی نماید و سپس به سرویسگیرنده و سرویسدهنده این اجازه را میدهد که یک کلید متقارن را ایجاد نمایند که برای رمزنگاریها و رمزگشایی سریعتر در جریان ادامه مبادلات مورد استفاده قرار میگیرد. گامهایی که قبل از برگزاری این جلسه انجام میشوند بر اساس الگوریتم RSA Key Exchangeعبارتاند از:
۱- سرویسگیرنده، نسخه SSLمورد استفاده خود، تنظیمات اولیه درباره نحوه رمزگذاری و یک داده تصادفی را برای شروع درخواست یک ارتباط امن مبتنی بر SSL به سمت سرویسدهنده ارسال میکند.
۲- سرویسدهنده نیز در پاسخ نسخه SSL مورد استفاده خود، تنظیمات رمزگذاری و داده تصادفی تولیدشده توسط خود را به سرویسگیرنده میفرستد و همچنین سرویسدهنده گواهینامه خود را نیز برای سرویسگیرنده ارسال میکند و اگر سرویسگیرنده از سرویسدهنده، درخواستی داشت که نیازمند احراز هویت سرویسگیرنده بود، آن را نیز از سرویسگیرنده درخواست میکند.
۳- سپس سرویسگیرنده با استفاده از اطلاعاتی که از سرویسدهنده مجاز در خود دارد، دادهها را بررسی میکند و اگر سرویسدهنده مذکور تأیید هویت شد، وارد مرحله بعدی میشود و در غیر این صورت با پیغام هشداری به کاربر، ادامه عملیات قطع میگردد.
شکل 1 : SSL
۴- سرویسگیرنده یک مقدار به نام Secret Premaster را برای شروع جلسه ایجاد میکند و آن را با استفاده از کلید عمومی (که اطلاعات آن معمولاً در سرویسدهنده موجود است) رمزنگاری میکند و این مقدار رمز شده را به سرویسدهنده ارسال میکند.
۵- اگر سرویسدهنده به گواهینامه سرویسگیرنده نیاز داشت میبایست در این گام برای سرویسدهنده ارسال شود و اگر سرویسگیرنده نتواند هویت خود را به سرویسدهنده اثبات کند، ارتباط در همینجا قطع میشود.
۶- بهمحض این که هویت سرویسگیرنده برای سرویسدهنده احراز شد، سرویسدهنده با استفاده از کلید اختصاصی خودش مقدار Premaster Secret را رمزگشایی میکند و سپس اقدام به تهیه مقداری به نام Master Secret مینماید.
۷- هم سرویسدهنده و هم سرویسگیرنده با استفاده از مقدار Master Secret کلید جلسه (Session Key) را تولید میکنند که درواقع کلید متقارن مورد استفاده در عمل رمزنگاری و رمزگشایی دادهها حین انتقال اطلاعات است و در این مرحله بهنوعی جامعیت دادهها بررسی میشود.
۸- سرویسگیرنده پیغامی را به سرویسدهنده میفرستد تا به او اطلاع دهد، داده بعدی که توسط سرویسگیرنده ارسال میشود بهوسیله کلید جلسه رمزنگاری خواهد شد و در ادامه، پیغام رمز شده نیز ارسال میشود تا سرویسدهنده از پایان یافتن Handshake سمت سرویسگیرنده مطلع شود.
۹- سرویسدهنده پیغامی را به سرویسگیرنده ارسال میکند تا او را از پایان Handshake سمت سرویسدهنده آگاه نماید و همچنین این که داده بعدی که ارسال خواهد شد توسط کلید جلسه رمز میشود.
۱۰- در این مرحلهSSL Handshake تمام میشود و از این به بعد جلسه SSL شروع میشود و هر دو عضو سرویسدهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال دادهها میکنند.
خود را به یک برنامه متصل کرده و کپی های از خود را به برنامه های دیگر منتقل می کند.
Virus
برنامه ای که کپی های خود را به کامپیوتر های دیگر منتقل می کند.
Worm
وقتی فعال می شود که پیشامد خاصی روی دهد.
Logic bomb
برنامه ای که شامل قابلیت های اضافی غیر منتظره است.
Trojan horse
دستکاری یک برنامه به طوری که دست یابی غیر مجاز به عملیاتی را امکان پذیر نماید.
Backdoor(trapdoor)
کد مختص به یک آسیب پذیری منفرد یا مجموعه ای از آسیب پذیری ها.
Exploits
برنامه ای که اقلام جدیدی را روی ماشین مورد تهاجم نصب می کند. یک downloader معمولا با یک برنامه ی الکترونیک ارسال می شود.
Downloaders
ابزارهای یک نفوذگر بداندیش که از آنها برای ورود به ماشین های جدید از راه دور استفاده میکند.
Auto-rooter
مجموعه ای از ابزارها برای تولید ویروس های جدید به صورت خودکار.
Kit (virus generator)
برای ارسال حجم زیادی از هرزنامه های الکترونیک به کار می رود.
Spammer programs
برای حمله به شبکه های کامپیوتری از طریق ایجاد حجم بالایی از ترافیک به کار می رود تا یک حمله ی انکار سرویس (dos) را سازمان دهد.
Flooders
حرکات صفحه کلید در یک کامپیوتر مورد حمله را می یابد.
Keyloggers
مجموعه ای از ابزارهای نفوذگری که پس از این که نفوذگر به سیستم راه یافت از آن ها برای دسترسی به root-level استفاده می کند.
Rootkit
برنامه ای که روی یک سیستم آلوده شده فعال می شود تا حملات بر روی ماشین های دیگر را سازمان دهد.
Zombie
ويروس كامپيوتري چيست؟
ويروس كامپيوتر برنامهاي است كه ميتواند نسخههاي اجرايي خود را در برنامههاي ديگر قرار دهد. هر برنامه آلوده ميتواند به نوبه خود نسخههاي ديگري از ويروس را در برنامههاي ديگر قرار دهد. برنامهاي را برنامه ويروس می نامیم كه همه ويژگيهاي زير را داراباشد:
1) تغيير نرم افزارهايي كه به برنامه ويروس متعلق نيستند با چسباندن قسمتهايي از این برنامه به برنامههاي ديگر
2) قابليت انجام تغيير در بعضي از برنامهها.
3) قابليت تشخيص این نکته که برنامه قبلاً دچار تغيير شده است يا خير.
4) قابليت جلوگيري از تغيير بيشتر يك برنامه در صورت تغییراتی در آن بواسطه ی ویروس .
5) نرم افزارهاي تغيير یافته ويژگيهاي 1 الي 4 را دارا هستند . اگر برنامهاي فاقد يك يا چند ویژگی از ویژگیهای فوق باشد، نمی توان به طور قاطع آنرا ویروس نامید .
آشنايي با انواع مختلف برنامههاي مخرب :
E-mail virus –
ويروسهايي كه از طريق E-mail وارد سيستم ميشوند معمولاً به صورت مخفيانه درون يك فايل ضميمه شده قرار دارند که با گشودن يك صفحه ی HTML يا يك فايل قابل اجراي برنامهاي (يك فايل كد شده قابل اجرا) و يا يك word document می توانند فعال شوند.
Marco virus –
اين نوع ويروسها معمولاً به شکل ماکرو در فايلهايي قرار می گیرند كه حاوي صفحات متني (word document) نظير فايلهاي برنامههاي Ms office ( همچون Microsoft word و Excel )هستند .
توضيح ماكرو: نرم افزارهايي مانند Microsoft word و Excel اين امکان را برای كاربر بوجود می آورند كه در صفحه متن خود ماكرويي ايجاد نماید،اين ماكرو حاوي يكسري دستور العملها، عمليات و يا keystroke ها است كه تماماً توسط خود كاربر تعيين ميگردند.
ماكرو ويروسها معمولاً طوري تنظيم شدهاند كه به راحتي خود را در همه صفحات متني ساخته شده با همان نرم افزار (Excel , ms word) جاي ميدهند.
اسب تروآ:
اين برنامه حداقل به اندازه خود اسب تروآي اصلي قدمت دارد . عملكرد اين برنامهها ساده و در عین حال خطرناك است.
در حاليكه كاربر متوجه نیست و با تصاویر گرافیکی زیبا و شاید همراه با موسیقی محسور شده ، برنامه عملیات مخرب خود را آغاز می کند.
براي مثال به خيال خودتان بازي جديد و مهيجي را از اينترنت Download كردهايد ولي وقتي آنرا اجرا ميكنيد متوجه خواهيد شد که تمامی فايلهاي روي هارد ديسك پاك شده و يا به طور كلي فرمت گرديده است.
كرمها (worm)
برنامه كرم برنامهاي است كه با كپي كردن خود توليد مثل ميكند. تفاوت اساسي ميان كرم و ويروس اين است كه كرمها براي توليد مثل نياز به برنامة ميزبان ندارند. كرمها بدون استفاده از يك برنامة حامل به تمامي سطوح سيستم كامپيوتري «خزيده» و نفوذ ميكنند.
ويروسهاي بوت سكتور و پارتيشن
Boot sector قسمتی از ديسك سخت و فلاپي ديسك است كه هنگام راه اندازی سيستم از روي آن به وسيله كامپيوتر خوانده ميشود. Boot Sector یا ديسك سيستم ، شامل كدي است كه براي بار كردن فايلهاي سيستم ضروري است. این ديسكها داده هایی در خود دارند و همچنین حاوي كدي هستند كه براي نمايش پيغام راه اندازی شدن کامپیوتر بوسیلهی آن لازم است .
سكتور پارتيشن اولين بخش يك ديسك سخت است كه پس از راهاندازي سيستم خوانده ميشود. اين سكتور راجع به دیسک اطلاعاتي نظیر تعداد سكتورها در هر پارتيشن و نیز موقعيت همه ی پارتيشنها را در خود دارد.
سكتور پارتيشن، ركورد اصلي راهاندازي يا Master Boot Record -MBR نيز ناميده ميشود.
بسياري ازكامپيوترها به گونه ای پيكربندي شدهاند كه ابتدا از روي درايو: A راهاندازي میشوند. (اين قسمت در بخش Setup سيستم قابل تغيير و دسترسي است) اگر بوت سكتور يك فلاپي ديسك آلوده باشد، و شما سیستم را از روي آن راهاندازي كنيد، ويروس نيز اجرا شده و ديسك سخت را آلوده ميكند.
اگر ديسكی حاوي فايلهاي سيستمي هم نبوده باشد ولي به يك ويروس بوت سكتوري آلوده باشد وقتی اشتباهاً ديسكت را درون فلاپي درايو قرار دهيد و كامپيوتر را دوباره راهاندازي كنيد پيغام زير مشاهده ميشود. ولي به هر حال ويروس بوت سكتوري پيش از اين اجرا شده و ممكن است كامپيوتر شما را نيز آلوده كرده باشد.
Non-system disk or disk error
Replace and press any key when ready
كامپيوترهاي بر پايه Intel در برابر ويروسهاي Boot Sector و Partition Table آسيب پذير هستند.
تا قبل از اینکه سیستم بالا بیاید و بتواند اجرا شود صرفنظر از نوع سیستم عامل می تواند هر کامپیوتری را آلوده سازد.
HOAX – (گول زنكها)
اين نوع ويروسها در قالب پيغامهاي فريب آميزي ، كاربران اينترنت را گول زده و به كام خود ميكشد. اين نوع ويروسها معمولاً به همراه يك نامه ضميمه شده از طريق پست الكترونيك وارد سيستم ميشوند. متن نامه مسلماً متن مشخصي نیست و تا حدودي به روحيات شخصي نويسنده ويروس بستگی دارد، پیغامها می توانند مضمونی تحدید آمیز یا محبت آمیز داشته باشند و یا در قالب هشداری ، مبنی بر شیوع یک ویروس جدید ئر اینترنت ، یا درخواستی در قبال یک مبلغ قابل توجه و یا هر موضوع وسوسه انگیز دیگر باشد . لازم به ذکر است كه همه اين نامهها اصل نميباشند يعني ممكن است بسیاری از آنها پيغام شخص سازنده ويروس نباشند بلكه شاید پيغام ويرايش شده يا تغيير یافته از يك كاربر معمولي و يا شخص ديگري باشد كه قبلا اين نامهها را دريافت كرده و بدينوسيله ويروس را با پيغامي كاملاً جديد مجدداً ارسال ميكند.
نحوه تغيير پيغام و ارسال مجدد آن بسيار ساده بوده ، همين امر باعث گسترش سريع Hoaxها شده، با يك دستور Forward ميتوان ويروس و متن تغيير داده شده را براي شخص ديگري ارسال كرد. اما خود ويروس چه شكلي دارد؟ ويروسي كه در پشت اين پيغامهاي فريب آميز مخفي شده ميتواند به صورت يك بمب منطقي ، يك اسب تروا و يا يكي از فايلهاي سيستمي ويندوز باشد. شيوهاي كه ويروس Magistre-A از آن استفاده کرده و خود را منتشر ميكند.
SULFNBK – يك ويروس، يك شوخي و يا هردو ؟!
سايت خبري سافس چندي پيش خبري مبني بر شناخته شدن يك ويروس جديد منتشر كرد، ويروسي با مشخصه SULFNBK (SULFNBK.EXE)که ممکن است نام آن اغلب برای شما آشنا باشد .
SULFNBK.EXE نام فايلي در سيستم عامل ويندوز 98می باشد كه وظيفه بازيابي اسامي طولاني فايلها را به عهده دارد و در سيستم عامل ويندوز 98 فایلی سودمند می باشد .
اینجاست که می توان به مفهوم واقی HOAX ها پی برد ، فایل SULFNBK.EXE که معمولا از طریق پست الکترونیکی به همراه یک نامه ی فریب آمیز و شاید تهدید آمیز به زبان پروتکلی وارد سیستمها می شود دقیقا در جایی ساکن می شود که فایل سالم SULFNBK.EXEدر آنجاست به بیان بهتر اینکه جایگزین آن فایل سالم می شود. فايل SULFNBK.EXE آلوده در شاخه Command ويندوز 98 ساكن شده و چون به همان شکل و سايز ميباشد به همين منظور كاربر متوجه حضور يك ويروس جديد در سيستم خود نخواهد شد ، اينجاست كه فریب خورده، ويروس خطرناك Magistre-A كه در هسته اين فايل وجود دارد در اول ماه ژوين فعال شده و سازنده خود را به مقصودش ميرساند. نسخهاي ديگر از اين ويروس را ميتوان يافت كه در 25 ماه مي فعال می شود. تفاوتي كه این ویروس نسخه قبلي خود دارد آنست كه روي فايل SULFNBK.EXE آلوده در درايو C ساكن ميشود. لازم به ذكر است اين ويروس در سيستم عامل ويندوز 98فعال شده و حوزه فعاليتش در درايو C ميباشد.
تشخيص اينكه فايل SULFNBK.EXE واقعاً آلوده است يا خير دشوار می باشد . البته شايد بعد از ماه ژوئن 2002 از طریق ویروس یابهای جدید مانند Norton Mcafee بتوان آنها را تشخیص داد ، اما در صورت در سترس نبودن ویروس یابهای مذکور ، حداقل می توان SULFNBK.EXE را چه آلوده و چه غیر آلوده پاک کرد ، البته از آنجايي كه فايل SULFNBK.EXE يك فايل سيستمي ويندوز به شمار ميرود ممكن است پاك كردن آن به سيستم عامل لطمه وارد كند، از اينرو بد نيست قبل از پاك كردن، نسخهاي از آن را بر روي يك فلاپي كپي كرده و نگه داريم. حقيقت آنست كه كمتر كسي ریسک می کند و این قبیل فایلها را اجرا می کند .
پيغامي كه ضميمه اين فايل ارسال ميشود نيز در چندین نسخه وجود دارد. همانطور كه قبلا ذکر شد نسخه ی اصل پیغام به زبان پرتغالي است اما ترجمه ی انگليسي و اسپانيولي آن میز یافت شده است .
به هرحال هر ويروس چه از نوع HOAX باشد و چه از انواع ديگر، مدتی چه طولانی و چه کوتاه روي بورس است و معمولاً لطمههاي جبران ناپذیر خود را در همان بدو تولد به جاي گذاشته و بعد از مدتي مهار ميشود . نكته ی قابل توجه اینست كه با داشتن خداقل آشنایی از این ویروسها در همان شروع کار به راحتی ميتوان با نسخههاي جديدتر آن ويروس و يا ويروسهاي مشابه مبارزه كرد.
تروجان چیست ؟ چگونه کار می کند ؟
يك تروجان يك برنامه كامپيوتری می باشد كه جاسوس كامپيوتری نيز ناميده ميشود . يك تروجان وقتی در كامپيوتری اجرا می شود در آن كامپيوتر ماندگار می شود ﴿ مانند ويروسها كه در كامپيوتر می مانند ﴾ . با نصب فايروال و آنتی ويروسها می توانيم جلوی ورود بعضی از آنها را به سيستم خود بگيريم . البته همه تروجانها را آنتی ويروسها نميتوانند تشخيص دهند .
تروجانها اطلاعاتی از كامپيوتر را ﴿ كامپيوتری كه فايل سرور در آن اجرا شده ﴾ به شخصی كه ﴿ هكرها ﴾ آن تروجان را به كامپوتر قربانی فرستاده , می فرستد . اين اطلاعات ميتواند پسوردهای كامپيوتر مانند پسورد Admin و يا پسوردهای اينترنتی مانند Yahoo Password و Internet Connection Password و يا آدرس IP باشد.
اين اطلاعات می توانند در قالب يك ايميل ﴿ E-Mail ﴾ به شخص هكر فرستاده شوند .
بعضی از تروجان ها توانايی سرويس دهی برای هكرها را نيز دارند ; يعنی اگر تروجانی در كامپيوتری اجرا شود فرستنده آن تروجان ميتواند كامپيوتر قربانی را با استفاده از كامپيوتر خود و از راه دور كنترل كند و عملياتی بر روی كامپيوتر ﴿ مانند : حذف فايل , مشاهده درايوها , فرمت كردن درايوها و … ﴾ انجام دهد . البته بايد سرور ﴿ فايل اجرا شده در كامپيوتر قربانی ﴾ اين سرويس دهی ها را دارا باشد .
CELLSAVER – يك اسب تروا
a.k.a CellSaver- Celcom Screen Saver نير ويروسي از نوع HOAX ميباشد و علیرغم مدت زیادی که از اولین انتشار آن می گذرد کاربران زیادی را دچار مشکل ساخته است . اين ويروس برای کاربران اینترنت ارسال شده است . نسخه نخست آن در سال 1998 و نسخه جديدتر آن كمي بعد در آوريل 1999 به همراه يك پيغام دروغين منتشر شد.
هرگاه نامهاي با عنوان CELLSAVER.EXE به همراه فايلي با همين نام دريافت كرديد سریعا آنرا پاك کرده و از Forward كردن براي شخصی ديگر بپرهيزبد ،اينكار هيچ گونه لذتي نداشته ، فقط به انتشار و بقای بيشتر آن كمك می کند .
اين فايل يك اسب تروا كامل ميباشد ، يك فايل Screen Saver زيبا براي ويندوز که به محض اجرا شدن هر كسي را مجذوب و مسحور ميگرداند.
احتياط كنيد! CELLSAVER.EXE به محض اجرا شدن ، يك گوشي تلفن بيسيم Nokia را بصورت یک Screen Saver بر روی صفحه نمايش نشان مي دهد . در صفحه نمايش اين گوشي، می توان زمان و پيغامهارا ديد. بعد از يكبار اجرا شدن، ويروس فعال شده و شما خيلي زود متوجه خواهيد شد كه سيستم بسيار كند عمل کرده ، قادر به بوت شدن نخواهد بود و اطلاعات رود هارد ديسك نيز پاكسازي ميشوند .در نتیجه مجبور به نصب مجددكليه برنامهها خواهيد بود.
در آخر باز هم يادآور ميشويم كه هرگز نامه های دريافتي كه كمي ناشناخته و مشكوك به نظر ميرسند را باز نكنيد.
ويروسهاي چند جزئي Multipartite virus
بعضي از ويروسها، تركيبي از تكنيكها را براي انتشار استفاده کرده ، فايلهاي اجرائي، بوت سكتور و پارتيشن را آلوده می سازند. اينگونه ويروسها معمولاً تحت windows 98يا Win.Nt انتشار نمييابند.
چگونه ويروسها گسترش مييابند؟
زماني كه يك كد برنامة آلوده به ويروس را اجرا ميكنيد، كد ويروس هم پس از اجرا به همراه كد برنامه اصلي ، در وهله اول تلاش ميكند برنامههاي ديگر را آلوده كند. اين برنامه ممكن است روي همان كامپيوتر ميزان یا برنامهاي بر روي كامپيوتر ديگر واقع در يك شبكه باشد. حال برنامه تازه آلوده شده نيز پس از اجرا دقيقاً عمليات مشابه قبل را به اجرا درمياورد. هنگامیکه بصورت اشتراکی یک کپی از فایل آلوده را در دسترس کاربران دیگر کامپیوترها قرار می دهید ، با اجراي فايل كامپيوترهاي ديگر نيز آلوده خواهند شد. همچنين طبيعي است با اجراي هرچه بيشتر فايلهاي آلوده فايلهاي بيشتري آلوده خواهند شد.
اگر كامپيوتري آلوده به يك ويروس بوت سكتور باشد، ويروس تلاش ميكند در فضاهاي سيستمي فلاپي ديسكها و هارد ديسك از خود کپی هایی بجا بگذارد . سپس فلاپي آلوده ميتواند كامپيوترهايي را كه از رويآن بوت ميشوند و نيز يك نسخه از ويروسي كه قبلاً روي فضاي بوت يك هارد ديسك نوشته شده نيز ميتواند فلاپيهاي جديد ديگري را نيز آلوده نمايد.
به ويروسهايي كه هم قادر به آلوده كردن فايلها و هم آلوده نمودن فضاهاي بوت ميباشند اصطلاحاً ويروسهاي چند جزئي (multipartite) می گویند.
فايلهايي كه به توزيع ويروسها كمك ميكنند حاوي يك نوع عامل بالقوه ميباشند كه می توانند هر نوع كد اجرائي را آلوده كنند. براي مثال بعضي ويروسها كدهاي را آلوده ميكنند كه در بوت سكتور فلاپي ديسكها و فضای سيستمي هارد ديسكها وجود دارند.
نوع ديگر این ويروس ها كه به ويروسهاي ماكرو شناخته می شوند ، ميتوانند عمليات پردازش كلمهاي (word processing) يا صفحههاي حاوي متن را كه از این ماكروها استفاده ميكنند ، آلوده می کنند. اين امر براي صفحههايي با فرمت HTMl نيز صادق است.
از آنجائيكه يك كد ويروس بايد حتماً قابل اجرا شدن باشد تا اثري از خود به جاي بگذارد از اينرو فايلهايي كه كامپيوتر به عنوان دادههاي خالص و تميز با آنها سرو كار دارد امن هستند.
فايلهاي گرافيكي و صدا مانند فايلهايي با پسوند gif . ، jpg ، mp3، wav،…هستند .
براي مثال زماني كه يك فايل با فرمت picture را تماشا ميكنيد كامپيوتر شما آلوده نخواهد شد.
يك كد ويروس مجبور است كه در قالب يك فرم خاص مانند يك فايل برنامهاي .exe يا يك فايل متني doc كه كامپيوتر واقعاً آن را اجرا ميكند ، قرار گیرد .
عمليات مخفيانه ويروس در كامپيوتر
همانطور كه ميدانيد ويروسها برنامههاي نرم افزاري هستند .آنها ميتوانند مشابه برنامههايي باشند كه به صورت عمومي در يك كامپيوتر اجرا می گردند .
اثر واقعي يك ويروس بستگي به نويسنده آن دارد. بعضي از ويروسها با هدف خاص ضربه زدن به فايلها طراحي می شوند و يا اینکه در عمليات مختلف كامپيوتر دخالت کرده و ايجاد مشکل ميكنند.
ویروسها براحتي بدون آنكه متوجه شويد خود را تكثير کرده ، گسترش مييابند ، در حين گسترش يافتن به فايلها صدمه رسانده و يا ممكن است باعث مشكلات ديگری شوند.
نكته: ويروسها قادر نيستند به سخت افزار كامپيوتر صدمه ای وارد کنند . مثلاً نمی توانند باعث ذوب شدن CPU ، سوختن هارد دیسک و یا انفجار مانیتور و غیره شوند .
ويروسها و E-mail
شما صرفا با خواندن يك متن سادة e-mail يا استفاده از netpost ، ويروسي دريافت نخواهيد كرد. بلكه بايد مراقب پيغامهاي رمز دار حاوي كدهاي اجرائي و يا پيغامهایی بود كه حاوي فايل اجرائي ضميمه شده (يك فايل برنامهاي كد شده و يا يك word document كه حاوي ماكروهايي باشد) می باشند. از اين رو براي به كار افتادن يك ويروس يا يك برنامه اسب تروا ، كامپيوتر مجبور به اجرای كدهایی است ميتوانند يك برنامه ضميمه شده به e-mail ، يك word document دانلود شده از اينترنت و يا حتي مواردی از روي يك فلاپي ديسك باشند.
نكاتي جهت جلوگيري از آلوده شدن سيستم
اول از هرچيزي به خاطر داشته باشيد اگر برنامه ای درست کار نکند یا کلا کامپیوتر در بعضی از عملیات سریع نباشد بدان معنا نيست كه به ویروس آلوده شده است .
اگر از يك نرم افزار آنتي ويروس شناخته شده و جديد استفاده نميكنيد در قدم اول ابتدا اين نرم افزار را به همراه كليه امكاناتش بر روي سيستم نصب كرده و سعي كنيد آنرا به روز نگه داريد.
اگر فكر ميكنيد سيستمتان آلوده است سعي كنيد قبل از انجام هر كاري از برنامه آنتي ويروس خود استفاده كنيد.( البته اگر قبل از استفاده از آن، آنرا بروز كرده باشيد بهتر است). سعي كنيد بيشتر نرم افزارهاي آنتي ويروس را محك زده و مطمئن ترین آنها را برگزينيد.
البته بعضي وقتها اگر از نرم افزارهاي آنتي ويروس قديمي هم استفاده كنيد، بد نيست. زيرا تجربه ثابت كرده که ویروس یابهای قدیمی بهتر می توانند ویروسهایی را که برای مدتی فعال بوده و به مرور زمان بدست فراموشی سپرده شده اند را شناسایی و پاکسازی کنند .
ولي اگر جزء افرادي هستيد كه به صورت مداوم با اينترنت سروكار داريد حتماً به يك آنتي ويروس جديد و به روز شده نیاز خواهید داشت .
براي درك بهتر و داشتن آمادگي در هر لحظه براي مقابله با نفوذ ويروسها به نكات ساده ی زیر توجه کنید :
1- همانطور كه در بالا ذکر شد از يك كمپاني مشهور و شناخته شده بر روي سيستم تان یک نرم افزار آنتی ویروس نصب كرده و سعي كنيد هميشه آنرا به روز نگه داريد.
2- همیشه احتمال ورود ويروسهاي جديد به سيستم وجود دارد . پس يك برنامه آنتي ويروس كه چند ماه به روز نشده نميتواند در مقابل جريان ويروسها مقابله كند.
3-توصیه می شود براي آنكه سيستم امنيتي كامپيوتر از نظم و سازماندهي برخوردار باشد برنامه a.v (آنتي ويروس) خود را سازماندهي نمائيد ، مثلاً قسمت configuration نرم افزار a.v. خود را طوري تنظيم كنيد كه به صورت اتوماتيك هر دفعه كه سيستم بوت ميشود آن را چك نمايد، اين امر باعث ميشود سيستم شما در هر لحظه در مقابل ورود ويروس و يا هنگام اجراي يك فايل اجرائي ايمن شود.
4- برنامههاي آنتي ويروس در يافتن برنامههاي اسب تروآ خيلي خوب عمل نميكنند از اين رو در باز كردن فايلهاي باينري و فايلهاي برنامههاي excel و Word كه از منابع ناشناخته و احياناً مشكوك ميباشند محتاط عمل كنيد.
5-اگر براي ايميل و يا اخبار اينترنتي بر روي سيستم خود نرم افزار كمكي خاصي داريد كه قادر است به صورت اتوماتيك صفحات Java script و word macro ها و يا هر گونه كد اجرائي موجود و يا ضميمه شده به يك پيغام را اجرا نمايد توصيه ميشود اين گزينه را غير فعال (disable) نمائيد.
6-از باز کردن فایلهایی که از طریق چت برایتان فرستاده می شوند ، پرهیز کنید.
7- اگر احياناً بر روي هارد ديسك خوداطلاعات مهمي داريد حتماً از همه آنها نسخه پشتيبان تهيه كنيد تا اگر اطلاعات شما آلوده شده اند يا از بين رفتند بتوانيد جايگزين كنيد.
نكاتي براي جلوگيري از ورود كرمها به سيستم :
از آنجائيكه اين نوع برنامهها (worms) امروزه گسترش بيشتري يافته و بايد بيشتر از ساير برنامههاي مخرب از آنها دوري كنيم، از اين رو به اين نوع برنامه هاي مخرب بيشتر ميپردازيم.
كرمها برنامههاي كوچكي هستند كه با رفتاري بسيار موذيانه به درون سيستم رسوخ كرده، بدون واسطه خود را تكثير كرده و خيلي زود سراسر سيستم را فرا ميگيرند. در زير نكاتي براي جلوگيري از ورود كرمها آورده شده است.
1) بيشتر كرمهايي كه از طريق E-mail گسترش پيدا ميكنند از طريق نرم افزارهاي microsoft outlook و يا out look express وارد سيستم ميشوند. اگر شما از اين نرم افزار استفاده ميكنيد پيشنهاد می شود هميشه آخرين نسخه security patch اين نرم افزار را از سايت microsoft دريافت و به روز كنيد.
همچنين بهتر است علاوه بر به روز كردن اين قسمت از نرم افزار outlook سعي كنيد ساير نرم افزارها و حتي سيستم عامل خود را نيز در صورت امكان هميشه به روز نگه داريد، و يا حداقل بعضي از تكههاي آنها را كه به صورت بروز درآمده قابل دسترسي است.
اگر از روي اينترنت بروز ميكنيد و یا از cd ها و بستههاي نرم افزاري آماده در بازار ،از اصل بودن آنها اطمينان حاصل كنيد.
2) تا جاي ممكن در مورد e-mail attachment ها محتاط باشيد. چه در دريافت e-mail و چه در ارسال آنها.
3) هميشه ويندوز خود را در حالت show file extensions قرار دهيد.
اين گزينه در منوي Tools/folder option/view با عنوان “Hide file extensions for known file Types” قرار داردكه به صورت پيش فرض اين گزينه تيك خورده است، تيك آنرا برداريد.
4) فايلهاي attach شده با پسوندهاي SHS و VBS و يا PIF را هرگز باز نكنيد. اين نوع فايلها در اكثر موارد نرمال نيستند و ممكن است حامل يك ويروس و يا كرم باشند.
5) هرگز ضمائم دو پسوندي را باز نكنيد.
email attachment هايي با پسوندهایی مانند Neme.BMP.EXE و يا Name.TxT.VBS و …
6) پوشههاي موجود بر روي سيستم خود رابجز در مواقع ضروري با ديگر كاربران به اشتراك نگذاريد . اگر مجبور به اين كار هستيد، اطمينان حاصل كنيد كه كل درايو و يا شاخه ويندوز خود را به اشتراك نگذاشته اید.
7) زماني كه از كامپيوتر استفاده نميكنيد كابل شبكه و يا مودم را جدا كرده و يا آنها را خاموش كنيد.
8) اگر از دوستي كه به نظر می رسد ناشناس است ایمیلی دريافت كرديد قبل از باز كردن ضمائم آن حتماً متن را چند بار خوانده و زماني كه مطمئن شدید از طرف يك دوست است ، آنگاه سراغ ضمائم آن برويد.
9)توصیه می شود فايلهاي ضميمه شده به ايميلهاي تبليغاتي و يا احياناً weblink هاي موجود در آنها را حتي الامكان باز نكنيد.
10) از فايلهاي ضميمه شدهاي كه به هر نحوي از طريق تصاوير و يا عناوين خاص، به تبلیغ مسائل جنسي و مانند آن می پردازند ، دوري كنيد. عناويني مانند porno.exe و يا pamela-Nude.VBS كه باعث گول خوردن كاربران ميشود.
11) به آيكون فايلهاي ضميمه شده نيز به هيچ عنوان اعتماد نكنيد. چرا که ممكن است كرمهايي در قالب فايل عكس و يا یک فایل متني فرستاده شود ولي در حقيقت اين فايل يك فايل اجرائي بوده و باعث فريب خوردن كاربر ميشود.
12)در massenger هايي مانند IRC، ICQ و يا AOL به هيچ عنوان فايلهاي ارسالي از جانب كاربران ناشناس on-line درchat system ها را قبول (accept) نكنيد.
13) از Download كردن فايل از گروههاي خبري همگاني نیز پرهيز كنيد.(usenet news) زيرا اغلب گروههاي خبري خود يكي از علل پخش ويروس می باشند .
CODERED يك نوع كرم اينترنتي
مركز تطبيق و هماهنگي Cert در پتيسبورگ كه مركزي براي بررسي اطلاعات سري كامپيوتري است، اذعان ميدارد كه ويروس CODERED احتمالاً به درون بيش از 280000 دستگاه متصل به اينترنت كه از سيستم عاملهاي NT4.0 و ويندوز 2000 استفاده ميكنند نفوذ كرده است. حال آنكه اين سيستم عاملها ، داراي مزيت محافظتی به وسيلة نرم افزارهاي خطاياب IIS5 و IIS4 می باشند .
هنگامي كه هر دو گونه اين ويروس (نسخههاي 29.A و codered II ) تلاش ميكنند تا روي سرورهايي كه به وسيله سرويسهاي شاخص نرم افزارهاييكه IIS از لحاظ ضعفهاي عبوري يا مقاومت در برابر ويروسهاي جديد اصلاح نشدهاند ، نفوذ و منتشر شوند، يكي از دو نسخه قديمي اين ويروس طوري تنظيم شده است كه صفحات اوليه اتصال اينترنتي معروف به Homepage و يا start page مربوط به وب سرور آلوده شده را از حالت طبيعي خارج سازد.
اين ويروس طوري تنظيم شده است كه تا بيستمين روز ماه منتشر ميشود ،آنگاه با حالتي كه cert آن را مرحله ويرانگر ناميده است، چنان عمل ميكند كه خود سرويس محافظ شخصي را بر عليه آدرس اينترنتي داده شده وادار به خرابكاري ميكند. جالب است بدانيد اولين آدرس اينترنتي داده شده به ويروس وب سرور كاخ سفيد بوده است.
به نظر می رسد که این ویروس در آخرين ساعت بيست و هفتيمن روز ماه، بمباران و انتشارهاي خود را متوقف كرده ، وارد مرحله خواب موقتي شده و خود را غير فعال ميكند. حال آیا ويروس قدرت اين را دارد كه در اولين روز ماه بعد ، خود را براي فعاليتي دوباره بيدار كند.
يك مركز تحقيقات تخصصي كه در اوهايو ايالات كلمبيا شركتي مشاورهاي و فني است، به بررسي و تست ويروس Codered پرداخته و به اين نتيجه رسيده است كه اين مزاحم خواب آلود ميتواند دوباره خود را فعال کرده و فرآيند جستجوی ميزبانان جديد را از سر بگيرد.
بررسيها و نتايج به دست آمده نشان مي دهند كه codered براي شروع فعاليت مجدد، فايل مخصوصي را جستجو کرده و تا زمان پيدا كردن آن فايل و ساختن درايو مجازي خاصي به نام تروآ (Trojan) در حالت خواب باقي ميماند.
كارشناسان فني بر اين عقيدهاند كه اين ويروس مجبور نيست خود را بيدار و فعال كند تا برای سیستمها تحديدی جدي به حساب آید. در حال حاضر سيستمهاي آلوده ی بسیاری وجود دارند كه ناخودآگاه براي انتشار و سرايت ويروس به سيستمهاي ديگر تلاش ميكنند. يكي از كارشناسان SARC يكي از مراكز تحقيقاتي ميگويد : از آنجا كه كامپيوترهاي زيادي هستند که ساعتها درست تنظيم نشده ، شاهد انتشار مجدد اين ويروس خواهيم بود. تنها يكي از سيستمهاي آلوده، براي انتشار موج جديدي از اختلالات كافي خواهد بود.
محاسبات مركز تطبيق و هماهنگي CERT نشان ميدهد كه ويروس Codered 250000 ، سرور ويندوزهايي كه در خلال 9 ساعت اول فعاليت زود هنگام خود، سرور ویندوزهایی که آسیب پذیر بوده اند را آلوده ساخته است. بولتن خبري CERT تخمين ميزند كه با شروع فعاليت ويروس از يك ميزبان آلوده، زمان لازم براي آلوده شدن تمام سيستمهايي كه عليرغم استفاده از نرم افزارهاي IIS (البته نسخههاي قديمي آن) همچنان آسيب پذير ماندهاند، كمتر از 18 ساعت است! اين رخدادها، اين سوال را تداعی می کنند كه چه تعداد از كامپيوترهاي آلوده شده قبلي، تاكنون اصلاح و پاكسازي شدهاند؟ اگرچه سرور كاخ سفيد، هدف اصلي حملات خرابكارانه Codered بوده است، با اين حال اين كرم كينه جو هنوز مشكلات بسیاری را براي ميزبانان به وجود ميآورد.
ویروس ها چگونه کار می کنند ؟
ویروس های رایانه ای بسیار اسرار آمیز هستند و توجه بسیاری از برنامه ویسان مشاوران امنیتی شبکه های اینترنتی و حتی افراد عادی که از رایانه برای کارهای معمولی خود استفاده میکنند را به خود جلب کرده اند و سالانه هزینه هنگفتی برای جلوگیری ازانتشار و بالا بردن امنیت شبکه ها و رایانه ها د رمقابل ویروس ها صرف می شود. اگر بخواهیم از دید دیگری به ویروس ها نگاه کنیم نقاط آسیب پذیری و میزان آسیب پذیر بودن سیستم رایانه ای خود و یا اکنیت شبکه ای که ما د رحال کار با آن هستیم به ما نشان می دهند که البته ممکن است این کار کمی برایمان گران تمام شود!
یک ویروس که از طراحی و زیر ساخت پیچیده و سازمان یافته ای بهره مند باشد می تواند تاثیرات شگفت انگیز و در بعضی موارد مخرب بر روی شبکه اینترنت بگذارد. اثراتی که این ویروس ها بر اینترنت میگذارند و تعداد رایانه ها یی که آلوده می کنند خود گواه ارتباطات پیچیده و عظیم انسان ها و رایانه ها و شبکه های اطلاع زسانی در اینترنت می باشد.
برای مثال ویروس جدید مایدمMydoom worm)) تخمین زده شده که در یک روز حدود 255 هزار رایانه را آلوده کرده باشد. ویروس ملیسا( Melissa virus ) در سال 99 و من شما را دوست دارم I LOVE YOU در سال 2000 که ویروس های قدرتمندی که مایکروسافت و بسیاری از شرکت های ارائه دهنده سرویس ایمیل را مجبور کرد تا زمان پاک سازی و رفع مشکلات بوجود آمده توسط ویروس سرورهای خود را خاموش کنند . شاید وقتی کمی تحقیق کنید و عملکرد این ویروس ها را مورد مطالعه قرار دهید بسیار شگفت زده خواهید شد وقتی بفهمید که این ویروس ها بطرز بسیار ساده ای این کار ها را انجام می دهند. اگر در زمینه برنامه نویسی اطلاعات مختصر و یا حتی زبان برنامه نویسی بلد باشید با دیدن کد های برنامه این ویروس ها به ساده بودن و طرز کار ساده آن ها پی خواهید برد و از آن شگفت زده می شوید.
کرمهای اینترنتی مفید
خبرگزاری BBC در می ۲۰۰۱ خبر از ظهور و گسترش کرمی به نام کرم پنیر (Cheese worm) داد. محتوای خبر نشان از فعالیت این کرم علیه هکرها میداد، نه به نفع آنان!
«یک ویروس مفید در حال گشت در اینترنت است و شکاف امنیتی کامپیوترها را بررسی و در صورت یافتن، آنها را میبندد. هدف این کرم، کامپیوترهای با سیستم عامل لینوکس است که توسط یک برنامه مشابه اما زیانرسان قبلا مورد حمله قرار گرفتهاند.»
اما این کرم توسط شرکتهای تولید آنتیویروس تحویل گرفته نشد! چراکه آنان معتقد بودند هر نرمافزاری که تغییراتی را بدون اجازه در یک کامپیوتر ایجاد کند، بالقوه خطرناک است.
در مارس همین سال یک برنامه زیانرسان با عنوان Lion worm (کرم شیر) سرویسدهندگان تحت لینوکس بسیاری را آلوده و درهای پشتی روی آنها نصب کرده بود تا ایجادکنندگان آن بتوانند از سرورها بهرهبرداری کنند. کرم همچنین کلمات عبور را میدزدید و به هکرهایی که از این ابزار برای ورود غیرمجاز استفاده میکردند، میفرستاد. این درهای پشتی میتوانستند برای حملات DoS نیز استفاده شوند.
کرم پنیر تلاش میکرد بعضی از خسارات وارده توسط کرم شیر را بازسازی کند. در حقیقت کرم پنیر شبکههایی با آدرسهای مشخص را پیمایش میکرد تا آنکه درهای پشتی ایجاد شده توسط کرم شیر را بیابد، سپس برای بستن سوراخ، وصله آنرا بکار میگرفت و خود را در کامپیوتر ترمیمشده کپی میکرد تا برای پیمایش شبکههای دیگر با همان شکاف امنیتی از این کامپیوتر استفاده کند.
مدیران سیستمها که متوجه تلاشهای بسیاری برای پیمایش سیستمهایشان شده بودند، دنبال علت گشتند و کرم پنیر را مقصر شناختند. ارسال گزارشهای آنها به CERT باعث اعلام یک هشدار امنیتی گردید.
این برنامه با مقاصد بدخواهانه نوشته نشده بود و برای جلوگیری از فعالیت هکرهای مزاحم ایجاد گشته بود. اما بهرحال یک «کرم» بود. چرا که یک شبکه را میپیمایید و هرجا که میرفت خود را کپی میکرد.
زمانیکه بحث کرم پنیر مطرح شد، بعضی متخصصان امنیت شبکههای کامپیوتری احساس کردند که ممکن است راهی برای مبارزه با شکافهای امنیتی و هکرهای آسیبرسان پیدا شده باشد. یکی از بزرگترین علتهای وجود رخنههای امنیتی و حملات در اینترنت غفلت یا تنبلی بسیاری از مدیران سیستمهاست. بسیاری از مردم سیستمهای خود را با شکافهای امنیتی به امان خدا! رها میکنند و تعداد کمی زحمت نصب وصلههای موجود را میدهند.
بسیاری از مدیران شبکهها از ورود برنامهها و بارگذاری وصلهها ابراز نارضایتی میکنند. این نکتهای صحیح است که یک وصله ممکن است با برنامههای موجود در کامپیوتر ناسازگار باشد. اما در مورد یک کرم مفید که وجود شکافهای امنیتی در سیستمها را اعلام میکند، چه؟ این روش مشکل مدیرانی را که نمیتوانند تمام شکافهای امنیتی را ردیابی کنند، حل میکند. بعضی میگویند که برنامههای ناخواسته را روی سیستم خود نمیخواهند. در پاسخ به آنها گفته میشود «اگر شکاف امنیتی در سیستم شما وجود نداشت که این برنامهها نمیتوانستند وارد شوند. یک برنامه را که سعی میکند به شما کمک کند، ترجیح میدهید یا آنهایی را که به سیستم شما آسیب میرسانند و ممکن است از سیستم شما برای حمله به سایرین استفاده کنند؟ »
این آخری، یک نکته مهم است. رخنههای امنیتی کامپیوتر شما فقط مشکل شما نیستند؛ بلکه ممکن است برای سایر شبکهها نیز مسالهساز شوند. ممکن است فردی نخواهد علیه بیماریهای مسری واکسینه شود، اما بهرحال بخشی از جامعهای است که در آن همزیستی وجود دارد.
آنچه که در این میان آزاردهنده است این است که هرساله برای امنیت اتفاقات بدی رخ میدهد، و هرچند تلاشهایی برای بهبود زیرساختهای امنیتی انجام میگیرد، اما برای هر گام به جلو، دو گام باید به عقب بازگشت. چرا که هکرها باهوشتر و در نتیجه تهدیدها خطرناکتر شدهاند. و شاید بدلیل تنبلی یا بار کاری زیاد مدیران شبکه باشد.
در بیشتر موارد، مشکلات بزرگ امنیتی که هر روزه درباره آنها میخوانید، بخاطر وجود حملاتی است که برروی سیستمهایی صورت میگیرد که به علت عدم اعمال وصلهها، هنوز مشکلات قدیمی را درخود دارند.
بنابه عقیده بعضی، اکنون زمان استفاده از تدبیر براساس کرم! و ساختن کرمهای مفید برای ترمیم مشکلات است. درباره این روش قبلا در مجامع مربوط به امنیت بحث شده است و البته هنوز اعتراضات محکمی علیه استفاده از آنها وجود دارد. اما در مواجهه با شبکه های zombie (کامپیوترهای آلوده ای که برای حملات DoS گسترده، مورد استفاده قرار می گیرند) که تعداد آنها به دههاهزار کامپیوتر میرسد، می توانند یک شبه! توسط کرمهای مفید از کار انداخته شوند.
البته، یک کرم مفید هنوز یک کرم است و بحث دیگری که در اینجا مطرح می شود این است که کرمها ذاتا غیرقابل کنترل هستند، به این معنی که کرمهای مفید هم باعث بروز مشکلات ترافیک می شوند و بصورت غیرقابل کنترلی گسترده می گردند. این مساله در مورد بیشتر کرمها صدق می کند، اما دلیل آن این است که تاکنون هیچ کس یک کرم قانونی! و بدرستی برنامه نویسی شده ایجاد نکرده است. می توان براحتی کنترلهای ساده ای همچون انقضاء در زمان مناسب و مدیریت پهنای باند را که این تاثیرات ناخوشایند را محدود یا حذف کند، برای یک کرم مفید تصور کرد.
اشکال وارده به ایجاد یک کرم قانونی و مناسب این است که زمان زیادی می طلبد، بسیار بیشتر از زمانی که یک کرم گسترش پیدا می کند. در پاسخ می توان گفت بیشتر کرمها از مسائل تازه کشف شده بهره نمی برند. بیشتر آنها از شکافهای امنیتی استفاده می کنند که مدتهاست شناخته شده اند.
تعدادی پرسش وجود دارد که باید پاسخ داده شوند. چه کسی این کرمها را طراحی و مدیریت می کند؟ دولت، CERT، فروشندگان یا اینکه باید تشکل هایی براه انداخت؟ برای ترمیم چه ایراداتی باید مورد استفاده قرار گیرند؟ روند اخطار برای سیستمهایی که توسط یک کرم مفید وصله شده اند، چیست؟ آیا پیامی برای مدیر شبکه بگذارد؟ که البته هیچ کدام موانع غیرقابل حلی نیستند.
بهرحال، بهترین کار مدیریت صحیح سیستمهایتان است، بنحوی که با آخرین ابزار و وصله های امنیتی بروز شده باشند. در این صورت دیگر چندان نگران وجود کرمها در سیستمهایتان نخواهید بود.
آنچه که نمی توان در مورد آن با اطمنیان صحبت کرد، امن و موثر بودن یک کرم مفید است، که این مطلب مطالعات و تحقیقات جدی را می طلبد. بعلاوه اینکه، اگر برنامه نوشته شده در دنیای بیرون متفاوت از آزمایشگاه رفتار کند، چه کسی مسوولیت آنرا می پذیرد؟ مساله بعدی اینست که تحت قانون جزایی بعضی کشورها، هک کردن یک سیستم و تغییر دیتای آن بدون اجازه زیان محسوب می شود و چنانچه این زیان به حد مشخصی مثلا ۵هزار دلار برسد، تبهکاری بحساب می آید، حتی اگر قانون جنایی حمایتی برای نویسندگان کرمهای مفید درنظر بگیرد. ایده اصلی در این بین، اجازه و اختیار برای دستیابی به کامپیوتر و تغییر دیتای آن یا انجام عملیاتی بر روی آن است. از منظر قانونی، این اجازه می تواند از طرقی اعطاء شود. بعلاوه اینکه سیستمهایی که امنیت در آنها رعایت نشود، اساسا به هر کس اجازه تغییر دیتا را می دهند.
خوشبختانه، روشهای محدودی برای اخذ اجازه وجود دارد. برای مثال، ISPها از پیش بواسطه شرایط خدمات رسانی به مشتریانشان اجازه تغییر دیتا را دارند. یک ISP معتبر ممکن است حتی سرویس بروز رسانی رایگان یک برنامه ضدویروس را نیز به مشتریانش ارائه کند.
راه دیگر اخذ اجازه از طریق پروانه های دولتی است. مثلا در بعضی کشورها، افسران پلیس این قدرت را دارند که بتوانند تحت قوانین محدود و شرایط خاصی وارد فضای خصوصی افراد شوند. مثال دیگر در مورد سارس است. افراد می توانند بخاطر سلامت عمومی قرنطینه شوند، اما فقط توسط افرادی که اختیارات دولتی دارند.
در آخر توجه شما را به یک مساله جلب می کنیم: اجرای قوانین سلامت بیشتر بصورت محلی است، در حالیکه اینترنت ماهیت دیگری دارد. ممکن است بتوان در بعضی کشورها به سوالات مربوط در مورد نوشتن و گسترش کرمهای مفید جواب داد، اما کاربران کشورهای دیگر را شامل نمی شود.
شبکه های کامپيوتری زير ساخت لازم برای عرضه اطلاعات در يک سازمان را فراهم می نمايند . بموازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنيت در شبکه های کامپيوتری ، بطور چشمگيری مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سيستم های امنيتی در اين زمينه می باشند ، افزوده می گردد . در اين مقاله ، پيشنهاداتی در رابطه با ايجاد يک محيط ايمن در شبکه ، ارائه می گردد .
سياست امنيتی
يک سياست امنيتی، اعلاميه ای رسمی مشتمل بر مجموعه ای از قوانين است که می بايست توسط افراديکه به يک تکنولوژی سازمان و يا سرمايه های اطلاعاتی دستيابی دارند، رعايت و به آن پايبند باشند . بمنظور تحقق اهداف امنيتی ، می بايست سياست های تدوين شده در رابطه با تمام کاربران ، مديران شبکه و مديران عملياتی سازمان، اعمال گردد . اهداف مورد نظر عموما” با تاکيد بر گزينه های اساسی زير مشخص می گردند .
” سرويس های عرضه شده در مقابل امنيت ارائه شده ، استفاده ساده در مقابل امنيت و هزينه ايمن سازی در مقابل ريسک از دست دادن اطلاعات ”
مهمترين هدف يک سياست امنيتی ، دادن آگاهی لازم به کاربران، مديران شبکه و مديران عملياتی يک سازمان در رابطه با امکانات و تجهيزات لازم ، بمنظور حفظ و صيانت از تکنولوژی و سرمايه های اطلاعاتی است . سياست امنيتی ، می بايست مکانيزم و راهکارهای مربوطه را با تاکيد بر امکانات موجود تبين نمايد . از ديگر اهداف يک سياست امنيتی ، ارائه يک خط اصولی برای پيکربندی و مميزی سيستم های کامپيوتری و شبکه ها ، بمنظور تبعيت از سياست ها است . يک سياست امنيتی مناسب و موثر ، می بايست رضايت و حمايت تمام پرسنل موجود در يک سازمان را بدنبال داشته باشد .
يک سياست امنيتی خوب دارای ويژگی های زير است :
امکان پياده سازی عملی آن بکمک روش های متعددی نظير رويه های مديريتی، وجود داشته باشد .
امکان تقويت آن توسط ابزارهای امنيتی ويا دستورات مديريتی در موارديکه پيشگيری واقعی از لحاظ فنی امکان پذير نيست ، وجود داشته باشد .
محدوده مسئوليت کاربران ، مديران شبکه و مديران عملياتی بصورت شفاف مشخص گردد .
پس از استقرار، قابليت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ( يک بار گفتن و همواره در گوش داشتن )
دارای انعطاف لازم بمنظور برخورد با تغييرات درشبکه باشد .( سياست های تدوين شده ، نمونه ای بارز از مستندات زنده تلقی می گردنند . )
سيستم های عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی
در صورت امکان، می بايست از آخرين نسخه سيستم های عامل و برنامه های کاربردی بر روی تمامی کامپيوترهای موجود در شبکه ( سرويس گيرنده ، سرويس دهنده ، سوئيچ، روتر، فايروال و سيستم های تشخيص مزاحمين ) استفاده شود . سيستم های عامل و برنامه های کاربردی می بايست بهنگام بوده و همواره از آخرين امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در اين راستا می بايست حساسيت بيشتری نسبت به برنامه های آسيب پذير که زمينه لازم برای متجاوزان اطلاعاتی را فراهم می نمايند ، وجود داشته باشد .
برنامه های : IIS ,OutLook , Internet Explorer , BIND و sendmail بدليل وجود نقاط آسيب پذير می بايست مورد توجه جدی قرار گيرند . متجاوزان اطلاعاتی ، بدفعات از نقاط آسيب پذير برنامه های فوق برای خواسته های خود استفاده کرده اند .
شناخت شبکه موجود
بمنظور پياده سازی و پشتيبانی سيستم امنيتی ، لازم است ليستی از تمام دستگاههای سخت افزاری و برنامه های نصب شده ، تهيه گردد . آگاهی از برنامه هائی که بصورت پيش فرض نصب شده اند، نيز دارای اهميت خاص خود است ( مثلا” برنامه IIS بصورت پيش فرض توسط SMS و يا سرويس دهنده SQL در شبکه های مبتنی بر ويندوز نصب می گردد ) . فهرست برداری از سرويس هائی که بر روی شبکه در حا ل اچراء می باشند، زمينه را برای پيمايش و تشخيص مسائل مربوطه ، هموار خواهد کرد .
سرويس دهندگان TCP/UDP و سرويس های موجود در شبکه
تمامی سرويس دهندگان TCP/UDP در شبکه بهمراه سرويس های موجود بر روی هر کامپيوتر در شبکه ، می بايست شناسائی و مستند گردند . در صورت امکان، سرويس دهندگان و سرويس های غير ضروری، غير فعال گردند . برای سرويس دهندگانی که وجود آنان ضروری تشخيص داده می شود، دستيابی به آنان محدود به کامپيوترهائی گردد که به خدمات آنان نيازمند می باشند . امکانات عملياتی را که بندرت از آنان استفاده و دارای آسيب پذيری بيشتری می باشند ، غير فعال تا زمينه بهره برداری آنان توسط متجاوزان اطلاعاتی سلب گردد. توصيه می گردد ، برنامه های نمونه (Sample) تحت هيچ شرايطی بر روی سيستم های توليدی ( سيستم هائی که محيط لازم برای توليد نرم افزار بر روی آنها ايجاد و با استفاده از آنان محصولات نرم افزاری توليد می گردند ) نصب نگردند .
رمزعبور
انتخاب رمزعبور ضعيف ، همواره يکی از مسائل اصلی در رابطه با هر نوع سيستم امنيتی است . کاربران، می بايست متعهد و مجبور به تغيير رمز عبور خود بصورت ادواری گردند . تنظيم مشخصه های رمز عبور در سيستم های مبتنی بر ويندوز، بکمک Account Policy صورت می پذيرد . مديران شبکه، می بايست برنامه های مربوط به تشخيص رمز عبور را تهيه و آنها را اجراء تا آسيب پذيری سيستم در بوته نقد و آزمايش قرار گيرد .
برنامه های john the Ripper ، LOphtcrack و Crack ، نمونه هائی در اين زمينه می باشند . به کاربرانی که رمز عبور آنان ضعيف تعريف شده است ، مراتب اعلام و در صورت تکرار اخطار داده شود ( عمليات فوق، می بايست بصورت متناوب انجام گيرد ) . با توجه به اينکه برنامه های تشخيص رمزعبور،زمان زيادی از پردازنده را بخود اختصاص خواهند داد، توصيه می گردد، رمز عبورهای کد شده ( ليست SAM بانک اطلاعاتی در ويندوز ) را بر روی سيستمی ديگر که در شبکه نمی باشد، منتقل تا زمينه بررسی رمزهای عبور ضعيف ، فراهم گردد . با انجام عمليات فوق برروی يک کامپيوتر غير شبکه ای ، نتايج بدست آمده برای هيچکس قابل استفاده نخواهد بود( مگراينکه افراد بصورت فيزيکی به سيستم دستيابی پيدا نمايند) .
برای تعريف رمز عبور، موارد زير پيشنهاد می گردد :
حداقل طول رمز عبور، دوازده و يا بيشتر باشد .
دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .
از کلمات موجود در ديکشنری استفاده نگردد .
رمز های عبور ، در فواصل زمانی مشخصی ( سی و يا نود روز) بصورت ادواری تغيير داده شوند .
کاربرانی که رمزهای عبور ساده و قابل حدسی را برای خود تعريف نموده اند، تشخيص و به آنها تذکر داده شود .( عمليات فوق بصورت متناوب و در فواصل زمانی يک ماه انجام گردد).
عدم اجرای برنامه ها ئی که منابع آنها تاييد نشده است .
در اغلب حالات ، برنامه های کامپيوتری در يک چارچوب امنيتی خاص مربوط به کاربری که آنها را فعال می نمايد ، اجراء می گردند.دراين زمينه ممکن است، هيچگونه توجه ای به ماهيت منبع ارائه دهنده برنامه توسط کاربران انجام نگردد . وجود يک زير ساخت PKI ) Public key infrastructure ) ، در اين زمينه می تواند مفيد باشد . در صورت عدم وجود زيرساخت امنيتی فوق ،می بايست مراقبت های لازم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا” ممکن است برخی آسيب ها در ظاهری کاملا” موجه از طريق يک پيام الکترونيکی جلوه نمايند . هرگز يک ضميمه پيام الکترونيکی و يا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده ايد ، فعال و يا اجراء ننمائيد . همواره از برنامه ای نظير Outlook بمنظور دريافت پيام های الکترونيکی استفاده گردد . برنامه فوق در يک ناحيه محدوده شده اجراء و می بايست امکان اجرای تمام اسکريپت ها و محتويات فعال برای ناحيه فوق ، غير فعال گردد.
ايجاد محدوديت در برخی از ضمائم پست الکترونيکی
ضرورت توزيع و عرضه تعداد زيادی از انواع فايل های ضميمه ، بصورت روزمره در يک سازمان وجود ندارد .بمنظور پيشگيری از اجرای کدهای مخرب ، پيشنهاد می گردد اين نوع فايل ها ،غير فعال گردند . سازمان هائی که از Outlook استفاده می نمايند، می توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمايند .
( برای ساير نسخه های Outlook می توان از Patch امنيتی مربوطه استفاده کرد .)
در صورت ضرورت می توان ، به ليست فوق برخی از فايل ها را اضافه و يا حذف کرد. مثلا” با توجه به وجود عناصر اجرائی در برنامه های آفيس ، ميتوان امکان اجرای برنامه ها را در آنان بلاک نمود . مهمترين نکته در اين راستا به برنامه Access بر می گردد که برخلاف ساير اعضاء خانواده آفيس ، دارای امکانات حفاظتی ذاتی در مقابل ماکروهای آسيب رسان نمی باشد .
پايبندی به مفهوم کمترين امتياز
اختصاص حداقل امتياز به کاربران، محور اساسی درپياده سازی يک سيتم امنيتی است. رويکرد فوق بر اين اصل مهم استوار است که کاربران می بايست صرفا” دارای حقوق و امتيازات لازم بمنظور انجام کارهای مربوطه باشند ( بذل و بخشش امتيازات در اين زمينه شايسته نمی باشد!) . رخنه در سيستم امنيتی از طريق کدهای مخربی که توسط کاربران اجراء می گردند، تحقق می يابد . در صورتيکه کاربر، دارای حقوق و امتيازات بيشتری باشد ، آسيب پذيری اطلاعات در اثر اجرای کدها ی مخرب ، بيشتر خواهد شد . موارد زير برای اختصاص حقوق کاربران ، پيشنهاد می گردد :
تعداد account مربوط به مديران شبکه، می بايست حداقل باشد .
مديران شبکه ، می بايست بمنظور انجام فعاليت های روزمره نظير خواندن پيام های پست الکترونيکی ، از يک account روزمره در مقابل ورود به شبکه بعنوان administrator ،استفاده نمايند .
مجوزهای لازم برای منابع بدرستی تنظيم و پيکربندی گردد . در اين راستا می بايست حساسيت بيشتری نسبت به برخی از برنامه ها که همواره مورد استفاده متجاوزان اطلاعاتی است ، وجود داشته باشد . اين نوع برنامه ها ، شرايط مناسبی برای متجاوزان اطلاعاتی را فراهم می نمايند. جدول زير برخی از اين نوع برنامه ها را نشان می دهد .
رويکرد حداقل امتياز ، می تواند به برنامه های سرويس دهنده نيز تعميم يابد . در اين راستا می بايست حتی المقدور، سرويس ها و برنامه ها توسط يک account که حداقل امتياز را دارد ،اجراء گردند .
مميزی برنامه ها
اغلب برنامه های سرويس دهنده ، دارای قابليت های مميزی گسترده ای می باشند . مميزی می تواند شامل دنبال نمودن حرکات مشکوک و يا برخورد با آسيب های واقعی باشد . با فعال نمودن مميزی برای برنامه های سرويس دهنده و کنترل دستيابی به برنامه های کليدی نظير برنامه هائی که ليست آنها در جدول قبل ارائه گرديد، شرايط مناسبی بمنظور حفاظت از اطلاعات فراهم می گردد .
چاپگر شبکه
امروزه اغلب چاپگرهای شبکه دارای قابليت های از قبل ساخته شده برای سرويس های FTP,WEB و Telnet بعنوان بخشی از سيستم عامل مربوطه ، می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از چاپگرهای شبکه بصورت FTP Bound servers ، Telnet و يا سرويس های مديريتی وب ، وجود خواهد داشت . رمز عبور پيش فرض را به يک رمز عبور پيچيده تغيير و با صراحت پورت های چاپگر را در محدوده روتر / فايروال بلاک نموده و در صورت عدم نياز به سرويس های فوق ، آنها را غير فعال نمائيد .
پروتکل SNMP (Simple Network Management Protocol )
پروتکل SNMP ، در مقياس گسترده ای توسط مديران شبکه بمنظور مشاهده و مديريت تمام کامپيوترهای موجود در شبکه ( سرويس گيرنده ، سرويس دهنده، سوئيچ ، روتر، فايروال ) استفاده می گردد .SNMP ، بمنظور تاييد اعتبار کاربران ، از روشی غير رمز شده استفاده می نمايد . متجاوزان اطلاعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمايند . در چنين حالتی، آنان قادر به اخذ اطلاعات متنوعی در رابطه با عناصر موجود در شبکه بوده و حتی امکان غير فعال نمودن يک سيستم از راه دور و يا تغيير پيکربندی سيستم ها وجود خواهد داشت . در صورتيکه يک متجاوز اطلاعاتی قادر به جمع آوری ترافيک SNMP دريک شبکه گردد، از اطلاعات مربوط به ساختار شبکه موجود بهمراه سيستم ها و دستگاههای متصل شده به آن ، نيز آگاهی خواهد يافت . سرويس دهندگان SNMP موجود بر روی هر کامپيوتری را که ضرورتی به وجود آنان نمی باشد ، غير فعال نمائيد . در صورتيکه بهر دليلی استفاده از SNMP ضروری باشد ، می بايست امکان دستيابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان، صرفا” به تعداد اندکی از کامپيوترها امتياز استفاده از سرويس دهنده SNMP اعطاء گردد .
تست امنيت شبکه
مديران شبکه های کامپيوترهای می بايست، بصورت ادواری اقدام به تست امنيتی تمام کامپيوترهای موجود در شبکه (سرويس گيرندگان، سرويس دهندگان، سوئيچ ها ، روترها ، فايروال ها و سيتستم های تشخيص مزاحمين) نمايند. تست امنيت شبکه ، پس از اعمال هر گونه تغيير اساسی در پيکربندی شبکه ، نيز می بايست انجام شود .
تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality) ، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability) این سه عامل (CIA) اصول اساسی امنیت اطلاعات – در شبکه و یا بیرون آن – را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality : به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
Integrity : بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد :
– تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
– تغییرات بدون اجاز و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
– یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
Availability : این پارامتر ضمانت می کند که یک سیستم – مثلا” اطلاعاتی – همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند – مانند قطع برق – از نظر یک سیستم امنیتی این سیستم ایمن نیست.
اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و … اشاره کرد.
مقدمه ای بر امنیت فناوری اطلاعات در عصر ديجيتال: ظهور فناوري ديجيتال يكي از بارزترين پیشرفتهای فناوری در نيم قرن اخير به شمار ميايد كـه در زنـدگي كنـوني بـشر براي بسياري از ما ايـن بصورت عاملي حياتي درآمده است. نوع فناوري در قالب رايانه هاي ديجيتالي تجلـي كـرده و بـه ابزاري لازم براي انجام كارها و رفع نيازهاي شخصي تبـديل شده اسـت. در سـال ۱۹۵۱ مـيلادي زمانيكـه اولـين رايانـة ديجيتال تجاري موسوم به UNIVAC I بـه سـازمان آمـار و سرشماري ايالات متحده آمريكا تحويل داده شد، بسياري از مردم در مورد رايانه ها چيزي نميدانستند و آن رايانـه هـا نيـز تنها در تعداد انگشت شماري از دانشگاهها و آزمايـشگاههاي تحقيقاتي مورد استفاده قرار داشتند. اين رايانه ها بزرگ، گران و مملو از اشكال بودند. در مقابل، رايانه هاي امروزي اندازهاي نسبتاً كوچك دارند، ارزان و قابل اطمينان هستند و میتوان آنها را در هر كشوري يافت.
به فاصله کوتاهی پـس از رواج رايانه ها در دانـشگاهها، پروژههاي تحقيقاتي براي مرتبط ساختن آنها بـا يكـديگر بـه نحوي كه امكان مبادلة اطلاعات ميان آنها بوجـود آيـد آغـاز شــدند. از ميــان ايــن پــروژه هــا، پروژه توسعه شبکه ARPANET موفقيت بيشتري كسب كرد و بـه آن چيزي تبديل شد كه امروز آنرا بعنوان “اينترنت” ميشناسيم و درحال حاضر بيش از ۳۰۰ ميليون رايانه را در سراسر جهان بـه هـم مرتبط كرده است.
شبكة جهاني وب در مركز تحقيقات هسته اي اروپا در اوايل دهة ۹۰ ميلادي و در شهر ژنو ايجاد شد سرويس قدرتمندي است كه از اينترنت براي ايجاد يـك سيـستم اطلاعـاتي جهـاني بهـره جـسته و بهره وري و جذابيت اينترنت را به مراتب افـزايش داده اسـت . هر چند بسياري از مردم تفـاوتي ميـان شـبكة جهـاني وب و اينترنت قائل نيـستند، ولـي در واقـع وب تنهـا يكـي از ايـن خدمات (و البته مهمترين آنها) است كه اينترنت را به چنين ابزار ٧ قدرتمندي براي اطـلاعرسـاني و برقـراري ارتباطـات تبـديل كرده است. طي ده سال اخير اينترنت به يك ابـزار مهـم ارتبـاطي ميـان تمامي اقشار جامعه تبديل شده و ما براي دسترسـي آنـي بـه اطلاعات، ارتباطـات اختـصاصي، تمـامي انـواع برنامـه هـاي كاربردي، تجاري، روابط كاري و نقل و انتقالات مالي بـه آن وابستهايم. قابليت اطمينان و دسترسي آسان به اينترنت براي موفقيت پايدار و مداوم كـشورهاي توسـعه يافتـه يـك عامـل حياتي بشمار ميرود و اهميت آن بـراي كـشورهـاي درحـال توسعه نيز بسرعت رو به افزايش است. آثار استفاده از رايانه ها و نتايج حاصله از انقلاب اينترنت از مرز فوايـد مـستقيم آنهـا فراتر رفته و پيشبيني ميشود كه تأثيرات بيشتري نيز در راه باشند. اول از همه اينكه اينترنت مرزهاي جغرافيايي ميـان كـاربران متصل به خود را كمرنگ كرده و روند جهانيسازي را با ارائـه قابليتهاي رسانههاي ارتباطي تسهيل نموده و لـذا هـر كـسي مستقل از محل فيزيكي خود قادر به برقـراري ارتبـاط بـا آن بـر رونـد ايـن تغييـر تـأثيري ٨ ميباشد. موتورهـاي جـستجو مضاعف داشته اند؛ چراكه نتايج جستجو بر اساس موضـوعات ظاهر ميشوند و نه بر اساس فاصلهاي كه كاربر با آنهـا دارد؛ بطوريكــه پايگــاه وبِ كارخانجــات و شــركتهاي واقــع در كشورهاي توسعهيافته و درحال توسـعه از موقعيـت يكـساني براي نظارهشدن توسط مراجعين برخوردار هستند. دومين مسئله اين است كه اينترنت تأثيري شگرف در فرآينـد حذف واسطههاي تجاري داشته است. بعنوان مثال مـيتـوان بـه كـاهش چـشمگير نـرخ اسـتخدام منـشي در كـشورهاي توسعهيافته اشاره كرد كه دليل آن اين است كه نوشتن متن و چاپ و ارسال پيام شخصي براي افـراد از طريـق تـسهيلاتي چون پردازشگر كلمات و پست الكترونيكـي آسـانتر از ديكتـه كـردن مـتن بـراي يـك منـشي اسـت. بـه همـين ترتيـب گردشگريِ دسته جمعي نيز درحال حاضر رو به انقراض است، چراكه گردشـگران مـيتواننـد بليطهـاي هـوايي يـا قطـار و رزرو ٩ همچنين اتاقهاي هتل مورد نظر خود را بصورت بـرخط كنند و اين امر موجب صرفهجويي در هزينه و وقت مـشتري شده و باعث شده بتوان با كمي دقت روي سفارشات، از يـك سفر مفرح لـذت بـرد. پيـدايش شـركتهاي فروشـندة كتـاب، موسيقي و محـصولات الكترونيكـي بـصورت بـرخط موجـب تهديــد و ضــربه بــه فروشــگاههاي عرضــهكننــدة اينگونــه محصولات شده، اما در عين حال در بسياري از بخشهاي اين صنف به گستردهتر شدن طيف بازار هدف نيز انجاميده است. از آنجا كه حرفـههـا و صـنايع سـنتي بـه وجـود خـود ادامـه ميدهند، تمايل دارند افراد كمتـري بـه اسـتخدام درآورنـد و حتي ممكن است بجـاي ارائـه خـدمات عمـومي بـه سـمت بازارهاي تخصصي حركت كنند. تأثيرات مشهود رونـد حـذف واسطهها كه با ظهور اين فنـاوري شـروع شـد بـراي مـدتي طولاني ادامه خواهد يافـت و بـا اهميـت روزافـزون فنـاوري اطلاعات، صنايع و حرفههاي بيشتري با آن جايگزين خواهند شد. سومين پيامد اين است كه نرخ بهـرهوري حـداقل در صـنايع وابسته به فناوري اطلاعات با شتابي چشمگير افزايش خواهد يافت. به كمـك پـست الكترونيكـي امكـان ارسـال و تبـادل اطلاعات در سراسر جهان طي تنها چند ثانيـه ممكـن شـده، بطوريكه مباحث و مذاكرات جهاني را ميتوان بسيار سـريعتر از گذشته پيگيري كرد و به نتيجه رساند. امور بازرگاني كه تـا چندي قبل از طريق پست، تلكس و تلفـن انجـام مـي شـدند اكنون با بكارگيري مفاهيمي نوين در صنعت مخابرات سـيار، سريعتر و كارآمدتر به انجام مـيرسـند و ايـن مـسئله چرخـة زماني انجام فعاليتها را كاهش داده است. نكتة آخر اينكه ايمن نگاه داشـتن محـل ذخيـرة اطلاعـات و خطوط ارتباطي مخابراتي نيـز در ايـن محـيط جديـد الزامـي است. صنعت و فناوري امروز به شدت در تكاپوي يافتن راهي بـراي تـضمين امنيـت زيرسـاختهاي خـود هـستند، چراكـه دستاندركاران آن دريافته اند كه بيشتر نقايص امنيتي اينترنت ناشي از وجـود سـخت افزارهـا و نـرم افزارهـاي نـاامن در آن ميباشند. در اين محيط ايجاد اطمينـان و اعتمـاد بـه رايانـه ، شبكه و دادههاي ذخيره شده نـسبت بـه محيطـي كـه در آن روابط كاري بر اساس گفتگوهـاي رو در رو انجـام مـيگيـرد كمابيش از اهميت يكساني برخوردار است. اين مطلب در مورد كشورهاي درحال توسعه نيز واضح اسـت: سازمانهايي كه به سـطح امنيتـي مناسـبي در زيـر سـاختهاي ديجيتالي خود دست نيافته و از ارسال اطلاعـات خـويش بـه نحو مطلوبي محافظت نميكنند شايستة اعتماد نخواهند بـود و از كاروان اقتصاد نوين جهاني عقب خواهند ماند.
مفهوم شبکه و انواع آن : يک شبکه کامپيوتری از اتصال دو و يا چندين کامپيوتر تشکيل می گردد . شبکه های کامپيوتری در ابعاد متفاوت و با اهداف گوناگون طراحی و پياده سازی می گردند . شبکه های Local-Area Networks) LAN ) و Wide-Area Networks) WAN ) دو نمونه متداول در اين زمينه می باشند. در شبکه های LAN ، کامپيوترهای موجود در يک ناحيه محدود جغرافيائی نظير منزل و يا محيط کار به يکديگر متصل می گردند . در شبکه های WAN ، با استفاده از خطوط تلفن و يا مخابراتی ، امواج راديوئی و ساير گزينه های موجود ، دستگاه های مورد نظر در يک شبکه به يکديگر متصل می گردند .
شبکه های کامپيوتری چگونه تقسيم بندی می گردند ؟
شبکه ها ی کامپيوتری را می توان بر اساس سه ويژگی متفاوت تقسيم نمود : توپولوژی ، پروتکل و معماری
توپولوژی ، نحوه استقرار( آرايش) هندسی يک شبکه را مشخص می نمايد . bus , ring و star ، سه نمونه متداول در اين زمينه می باشند .
پروتکل ، مجموعه قوانين لازم به منظور مبادله اطلاعات بين کامپيوترهای موجود در يک شبکه را مشخص می نمايد . اکثر شبکه ها از “اترنت” استفاده می نمايند. در برخی از شبکه ها ممکن است از پروتکل Token Ring شرکت IBM استفاده گردد . پروتکل ، در حقيت بمنزله يک اعلاميه رسمی است که در آن قوانين و رويه های مورد نياز به منظور ارسال و يا دريافت داده ، تعريف می گردد . در صورتی که دارای دو و يا چندين دستگاه ( نظير کامپيوتر ) باشيم و بخواهيم آنان را به يکديگر مرتبط نمائيم ، قطعا” به وجود يک پروتکل در شبکه نياز خواهد بود .تاکنون صدها پروتکل با اهداف متفاوت طراحی و پياده سازی شده است . TCP/IP يکی از متداولترين پروتکل ها در زمينه شبکه بوده که خود از مجموعه پروتکل هائی ديگر ، تشکيل شده است . جدول زير متداولترين پروتکل های TCP/IP را نشان می دهد . در کنار جدول فوق ، مدل مرجع OSI نيز ارائه شده است تا مشخص گردد که هر يک از پروتکل های فوق در چه لايه ای از مدل OSI کار می کنند . به موازات حرکت از پائين ترين لايه ( لايه فيزيکی ) به بالاترين لايه ( لايه Application ) ، هر يک از دستگاههای مرتبط با پروتکل های موجود در هر لايه به منظور انجام پردازش های مورد نياز ، زمانی را صرف خواهند کرد .
پروتکل های TCP/IP
مدل مرجع OSI
OSI از کلمات Open Systems Interconnect اقتباس و يک مدل مرجع در خصوص نحوه ارسال پيام بين دو نقطه در يک شبکه مخابراتی و ارتباطی است . هدف عمده مدل OSI ، ارائه راهنمائی های لازم به توليد کنندگان محصولات شبکه ای به منظور توليد محصولات سازگار با يکديگر است .
مدل OSI توسط کميته IEEE ايجاد تا محصولات توليد شده توسط توليد کنندگان متعدد قادر به کار و يا سازگاری با يکديگر باشند . مشکل عدم سازگاری بين محصولات توليدشده توسط شرکت های بزرگ تجهيزات سخت افزاری زمانی آغاز گرديد که شرکت HP تصميم به ايجاد محصولات شبکه ای نمود و محصولات توليد شده توسط HP با محصولات مشابه توليد شده توسط شرکت های ديگر نظير IBM ، سازگار نبود . مثلا” زمانی که شما چهل کارت شبکه را برای شرکت خود تهيه می نموديد ، می بايست ساير تجهيزات مورد نياز شبکه نيز از همان توليد کننده خريداری می گرديد( اطمينان از وجود سازگاری بين آنان ) . مشکل فوق پس از معرفی مدل مرجع OSI ، برطرف گرديد .
مدل OSI دارای هفت لايه متفاوت است که هر يک از آنان به منظور انجام عملياتی خاصی طراحی شده اند . بالاترين لايه ، لايه هفت ( Application ) و پائين ترين لايه ، لايه يک ( Physiacal ) می باشد . در صورتی که قصد ارسال داده برای يک کاربر ديگر را داشته باشيد ، داده ها حرکت خود را از لايه هفتم شروع نموده و پس از تبديل به سگمنت ، datagram ، بسته اطلاعاتی ( Packet ) و فريم، در نهايت در طول کابل ( عموما” کابل های twisted pair ) ارسال تا به کامپيوتر مقصد برسد .
معماری ، به دو گروه عمده معماری که عمدتا” در شبکه های کامپيوتری استفاده می گردد ، اشاره می نمايد : Peer-To -Peer و Client – Server . در شبکه های Peer-To-Peer سرويس دهنده اختصاصی وجود نداشته و کامپيوترها از طريق work-group به منظور اشتراک فايل ها ، چاپگرها و دستيابی به اينترنت ، به يکديگر متصل می گردند . در شبکه های Client – Server ، سرويس دهنده و يا سرويس دهندگانی اختصاصی وجود داشته ( نظير يک کنترل کننده Domain در ويندوز ) که تمامی سرويس گيرندگان به منظور استفاده از سرويس ها و خدمات ارائه شده ، به آن log on می نمايند . در اکثر سازمان و موسسات از معماری Client – Server به منظور پيکربندی شبکه های کامپيوتری ، استفاده می گردد.
آخرین دیدگاهها