مراحل اوليه ايجاد امنيت در شبکه

  • Home
  • Tagامنیت شبکه
  • ژانویه 27, 2017
  • admin
  • 0

مراحل اوليه ايجاد امنيت در شبکه

Tags :

Category : امنیت Security شبکه Network مفاهیم شبکه

مراحل اوليه ايجاد امنيت در شبکه

مراحل اوليه ايجاد امنيت در شبکه
مراحل اوليه ايجاد امنيت در شبکه

شبکه های کامپيوتری زير ساخت لازم برای عرضه اطلاعات در يک سازمان را فراهم می نمايند . بموازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنيت در شبکه های کامپيوتری ، بطور چشمگيری  مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سيستم های امنيتی در اين زمينه می باشند ، افزوده می گردد . در اين مقاله ، پيشنهاداتی در رابطه با ايجاد يک محيط ايمن در شبکه ، ارائه می گردد .

سياست امنيتی

يک سياست امنيتی، اعلاميه ای رسمی مشتمل بر مجموعه ای از قوانين است که می بايست توسط افراديکه به يک تکنولوژی سازمان و يا سرمايه های اطلاعاتی دستيابی دارند،  رعايت و به آن پايبند باشند . بمنظور تحقق اهداف امنيتی ، می بايست سياست های تدوين شده  در رابطه با تمام کاربران ، مديران شبکه و مديران عملياتی سازمان، اعمال  گردد . اهداف مورد نظر عموما”  با تاکيد بر گزينه های  اساسی زير مشخص  می گردند .

” سرويس های عرضه شده  در مقابل امنيت ارائه شده   ، استفاده ساده در مقابل امنيت  و هزينه ايمن سازی در مقابل ريسک از دست دادن اطلاعات ”

مهمترين هدف يک سياست امنيتی ، دادن آگاهی لازم به کاربران،  مديران شبکه و مديران عملياتی يک سازمان در رابطه با امکانات و تجهيزات لازم ، بمنظور حفظ و صيانت از تکنولوژی و سرمايه های اطلاعاتی است . سياست امنيتی ، می بايست مکانيزم و راهکارهای مربوطه را با تاکيد بر امکانات موجود تبين نمايد . از ديگر اهداف يک سياست امنيتی ،  ارائه يک خط اصولی برای  پيکربندی و مميزی سيستم های کامپيوتری و شبکه ها ،  بمنظور تبعيت از سياست ها است . يک سياست امنيتی مناسب و موثر ، می بايست رضايت و حمايت تمام پرسنل موجود در يک سازمان را بدنبال داشته باشد .

يک سياست امنيتی خوب دارای ويژگی های زير است :

امکان  پياده سازی عملی آن بکمک روش های متعددی نظير رويه های مديريتی،  وجود داشته باشد .

 

امکان تقويت آن توسط ابزارهای امنيتی ويا  دستورات مديريتی  در موارديکه پيشگيری واقعی از لحاظ فنی امکان پذير نيست ، وجود داشته باشد .

محدوده مسئوليت  کاربران ، مديران شبکه  و مديران عملياتی بصورت  شفاف مشخص گردد .

پس از استقرار، قابليت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ( يک بار گفتن و همواره در گوش داشتن )

دارای انعطاف لازم بمنظور برخورد با  تغييرات درشبکه  باشد .(  سياست های تدوين شده ،  نمونه ای بارز از مستندات زنده تلقی می گردنند . )

سيستم های  عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی

در صورت امکان، می بايست از آخرين نسخه  سيستم های عامل و برنامه های کاربردی بر روی تمامی کامپيوترهای  موجود در شبکه ( سرويس گيرنده ، سرويس دهنده ، سوئيچ، روتر، فايروال و سيستم های تشخيص مزاحمين ) استفاده شود . سيستم های عامل و برنامه های کاربردی می بايست بهنگام بوده و همواره از آخرين امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در اين راستا می بايست حساسيت بيشتری نسبت به برنامه های آسيب پذير که زمينه لازم برای متجاوزان اطلاعاتی را فراهم می نمايند ، وجود داشته باشد  .

برنامه های  : IIS ,OutLook , Internet Explorer , BIND و sendmail  بدليل وجود نقاط آسيب پذير می بايست مورد توجه جدی قرار گيرند . متجاوزان اطلاعاتی ،  بدفعات از نقاط آسيب پذير برنامه های فوق برای خواسته های خود استفاده کرده اند .

شناخت شبکه موجود

بمنظور پياده سازی و پشتيبانی سيستم امنيتی ، لازم است ليستی از تمام دستگاههای  سخت افزاری و برنامه های نصب شده ، تهيه گردد . آگاهی از برنامه هائی که بصورت پيش فرض نصب شده اند،  نيز دارای اهميت خاص خود است ( مثلا” برنامه IIS بصورت پيش فرض توسط SMS و يا سرويس دهنده SQL در شبکه های مبتنی بر ويندوز نصب می گردد ) . فهرست برداری از سرويس هائی که بر روی شبکه در حا ل اچراء می باشند، زمينه را برای پيمايش و تشخيص مسائل مربوطه ،  هموار خواهد کرد .

 

سرويس دهندگان TCP/UDP و سرويس های موجود در شبکه

تمامی سرويس دهندگان TCP/UDP در شبکه بهمراه سرويس های موجود بر روی هر کامپيوتر در شبکه ، می بايست شناسائی و مستند گردند . در صورت امکان، سرويس دهندگان و سرويس های غير ضروری،  غير فعال گردند . برای سرويس دهندگانی که وجود آنان ضروری تشخيص داده می شود،  دستيابی به آنان محدود به کامپيوترهائی گردد که به خدمات آنان نيازمند می باشند . امکانات عملياتی را که بندرت از آنان استفاده و دارای  آسيب پذيری بيشتری می باشند ، غير فعال تا زمينه بهره برداری آنان توسط متجاوزان اطلاعاتی  سلب گردد. توصيه می گردد ،  برنامه های نمونه (Sample)  تحت هيچ شرايطی بر روی سيستم های توليدی ( سيستم هائی که محيط لازم برای توليد نرم افزار بر روی آنها ايجاد و با استفاده از آنان محصولات نرم افزاری توليد می گردند )  نصب نگردند .

 

رمزعبور

انتخاب رمزعبور ضعيف ،  همواره يکی از مسائل اصلی در رابطه با هر نوع  سيستم امنيتی است . کاربران،  می بايست متعهد و مجبور به تغيير رمز عبور خود بصورت ادواری گردند . تنظيم مشخصه های رمز عبور در سيستم های مبتنی بر ويندوز،  بکمک Account Policy صورت می پذيرد . مديران شبکه،  می بايست برنامه های مربوط به تشخيص رمز عبور را تهيه و آنها را اجراء تا آسيب پذيری سيستم  در بوته نقد و آزمايش قرار گيرد .

برنامه های john the Ripper   ، LOphtcrack و Crack ،  نمونه هائی در اين زمينه می باشند . به کاربرانی که رمز عبور آنان ضعيف تعريف شده است ، مراتب اعلام و در صورت تکرار  اخطار داده شود ( عمليات فوق،  می بايست بصورت متناوب انجام گيرد ) . با توجه به اينکه برنامه های تشخيص رمزعبور،زمان زيادی از پردازنده را بخود اختصاص خواهند  داد،  توصيه می گردد،  رمز عبورهای کد شده ( ليست SAM بانک اطلاعاتی در ويندوز ) را بر روی  سيستمی ديگر که در شبکه نمی باشد،  منتقل  تا زمينه بررسی رمزهای عبور ضعيف ،  فراهم گردد . با انجام عمليات فوق برروی يک کامپيوتر غير شبکه ای ،  نتايج بدست آمده برای هيچکس قابل استفاده نخواهد بود( مگراينکه افراد بصورت فيزيکی به سيستم دستيابی پيدا نمايند) .

برای تعريف رمز عبور،  موارد زير پيشنهاد می گردد :

حداقل طول رمز عبور، دوازده و يا بيشتر باشد .

دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .

از کلمات موجود در ديکشنری استفاده نگردد .

رمز های عبور ، در فواصل زمانی مشخصی ( سی و يا نود روز)  بصورت ادواری تغيير داده شوند .

کاربرانی  که رمزهای عبور ساده و قابل حدسی را برای خود تعريف نموده اند، تشخيص و به آنها تذکر داده شود .( عمليات فوق بصورت متناوب و در فواصل زمانی  يک ماه انجام گردد).

عدم اجرای برنامه ها ئی  که  منابع  آنها تاييد نشده است .

در اغلب حالات ، برنامه های کامپيوتری در يک چارچوب امنيتی خاص مربوط به  کاربری که آنها را فعال می نمايد ،  اجراء می گردند.دراين زمينه ممکن است،  هيچگونه توجه ای  به ماهيت منبع ارائه دهنده  برنامه  توسط کاربران انجام نگردد . وجود يک زير ساخت PKI ) Public key infrastructure ) ، در اين زمينه می تواند مفيد باشد . در صورت عدم وجود زيرساخت امنيتی فوق ،می بايست مراقبت های لازم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا” ممکن است برخی آسيب ها  در ظاهری کاملا” موجه از طريق يک پيام الکترونيکی جلوه نمايند . هرگز يک ضميمه پيام الکترونيکی و يا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده ايد ، فعال و يا اجراء ننمائيد . همواره از برنامه ای نظير Outlook بمنظور دريافت پيام های الکترونيکی استفاده گردد . برنامه فوق در يک ناحيه محدوده شده اجراء و می بايست امکان اجرای  تمام اسکريپت ها و محتويات فعال  برای ناحيه فوق ، غير فعال گردد.

ايجاد محدوديت در برخی از  ضمائم پست الکترونيکی

ضرورت توزيع و عرضه تعداد زيادی از انواع فايل های ضميمه ، بصورت روزمره در يک سازمان وجود ندارد .بمنظور پيشگيری از اجرای کدهای مخرب ، پيشنهاد می گردد اين نوع فايل ها ،غير فعال گردند . سازمان هائی که از Outlook استفاده می نمايند،  می توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمايند .
( برای ساير نسخه های Outlook می توان از Patch  امنيتی مربوطه استفاده کرد .)

فايل های زير را می توان  بلاک کرد :

نوع فايل هائی که می توان آنها را بلاک نمود .
.bas  .hta  .msp  .url  .bat  .inf  .mst  .vb  .chm  .ins  .pif  .vbe
.cmd .isp  .pl  .vbs .com .js .reg .ws  .cpl  .jse  .scr  .wsc  .crt
.lnk .sct  .wsf  .exe .msi  .shs  .wsh

در صورت ضرورت می توان ، به ليست فوق برخی از فايل ها را اضافه و يا  حذف کرد. مثلا” با توجه به وجود عناصر اجرائی در برنامه های آفيس ، ميتوان امکان اجرای برنامه ها را در آنان بلاک نمود . مهمترين نکته در اين راستا به برنامه  Access بر می گردد که برخلاف ساير اعضاء خانواده آفيس ،  دارای امکانات حفاظتی ذاتی  در مقابل ماکروهای آسيب رسان  نمی باشد .

 

پايبندی به  مفهوم کمترين امتياز 

اختصاص حداقل امتياز به کاربران، محور اساسی درپياده سازی يک سيتم امنيتی است. رويکرد فوق بر اين اصل مهم استوار است که  کاربران می بايست صرفا”  دارای حقوق و امتيازات لازم بمنظور انجام کارهای مربوطه باشند ( بذل و بخشش امتيازات در اين زمينه شايسته نمی باشد!) .  رخنه در سيستم امنيتی از طريق کدهای مخربی که توسط کاربران اجراء می گردند، تحقق می يابد .  در صورتيکه کاربر، دارای حقوق و امتيازات  بيشتری باشد ، آسيب پذيری اطلاعات در اثر اجرای کدها ی مخرب ، بيشتر خواهد شد . موارد زير برای اختصاص حقوق کاربران ،  پيشنهاد می گردد :

تعداد account مربوط به مديران شبکه،  می بايست  حداقل باشد .

مديران شبکه ، می بايست بمنظور انجام فعاليت های روزمره نظير خواندن پيام های پست الکترونيکی ، از يک account روزمره در مقابل ورود به شبکه  بعنوان administrator ،استفاده نمايند .

 

مجوزهای لازم برای منابع بدرستی تنظيم و پيکربندی گردد . در اين راستا  می بايست حساسيت بيشتری نسبت به برخی از برنامه ها که همواره مورد استفاده  متجاوزان اطلاعاتی است ، وجود داشته باشد . اين نوع برنامه ها ، شرايط مناسبی برای متجاوزان اطلاعاتی را فراهم  می نمايند. جدول زير برخی از اين نوع برنامه ها را نشان می دهد .

 

برنامه های  مورد توجه متجاوزان اطلاعاتی
explorer.exe, regedit.exe, poledit.exe, taskman.exe, at.exe,
cacls.exe,cmd.exe, finger.exe, ftp.exe, nbstat.exe, net.exe,
net1.exe,netsh.exe, rcp.exe, regedt32.exe, regini.exe,
regsvr32.exe,rexec.exe, rsh.exe, runas.exe, runonce.exe,
svrmgr.exe,sysedit.exe, telnet.exe, tftp.exe, tracert.exe,
usrmgr.exe,wscript.exe,xcopy.exe

رويکرد حداقل امتياز ، می تواند به برنامه های سرويس دهنده نيز تعميم يابد . در اين راستا می بايست حتی المقدور،  سرويس ها و برنامه ها  توسط يک account که حداقل امتياز را دارد ،اجراء گردند .

مميزی برنامه ها

اغلب برنامه های سرويس دهنده ،  دارای قابليت های مميزی گسترده ای  می باشند . مميزی می تواند شامل دنبال نمودن حرکات مشکوک و يا برخورد با آسيب های واقعی باشد . با فعال نمودن مميزی برای برنامه های سرويس دهنده و کنترل دستيابی به برنامه های کليدی نظير برنامه هائی که ليست آنها در جدول قبل ارائه گرديد،  شرايط مناسبی بمنظور حفاظت از اطلاعات  فراهم می گردد .

 

چاپگر شبکه

امروزه اغلب چاپگرهای شبکه دارای قابليت های از قبل ساخته شده برای  سرويس های  FTP,WEB و Telnet بعنوان بخشی از سيستم عامل مربوطه ،  می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از  چاپگرهای شبکه بصورت  FTP Bound servers  ، Telnet  و يا  سرويس های مديريتی وب ، وجود خواهد داشت . رمز عبور پيش فرض را به يک رمز عبور پيچيده تغيير  و با  صراحت پورت های چاپگر را در محدوده روتر / فايروال بلاک نموده و  در صورت عدم نياز  به  سرويس های  فوق ، آنها را غير فعال نمائيد .

 

پروتکل  SNMP (Simple Network Management Protocol  )

پروتکل SNMP ،  در مقياس گسترده ای توسط مديران شبکه بمنظور مشاهده و مديريت تمام کامپيوترهای موجود در شبکه ( سرويس گيرنده ، سرويس دهنده،  سوئيچ ، روتر،  فايروال ) استفاده می گردد .SNMP ،  بمنظور تاييد اعتبار کاربران ،  از روشی غير رمز شده استفاده می نمايد . متجاوزان اطلاعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمايند . در چنين حالتی، آنان قادر به اخذ اطلاعات متنوعی در رابطه با عناصر موجود در شبکه بوده و حتی امکان  غير فعال نمودن يک سيستم از راه دور  و يا تغيير پيکربندی سيستم ها  وجود خواهد داشت . در صورتيکه يک متجاوز اطلاعاتی قادر به جمع آوری ترافيک SNMP دريک شبکه گردد، از اطلاعات مربوط به  ساختار شبکه موجود بهمراه سيستم ها و دستگاههای متصل شده به آن ، نيز آگاهی خواهد يافت . سرويس دهندگان SNMP  موجود بر روی هر کامپيوتری را که ضرورتی به وجود آنان نمی باشد ، غير فعال نمائيد . در صورتيکه بهر دليلی استفاده از  SNMP ضروری باشد ،  می بايست امکان دستيابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان،  صرفا” به تعداد اندکی از کامپيوترها امتياز استفاده از سرويس دهنده SNMP  اعطاء گردد .

تست امنيت شبکه

مديران شبکه های کامپيوترهای می بايست، بصورت ادواری اقدام به تست امنيتی تمام کامپيوترهای موجود در شبکه (سرويس گيرندگان، سرويس دهندگان، سوئيچ ها ، روترها ، فايروال ها و سيتستم های تشخيص مزاحمين)  نمايند. تست امنيت شبکه ،  پس از اعمال هر گونه تغيير اساسی  در پيکربندی شبکه ، نيز می بايست انجام شود .

 

 

 

 

اصول مهم امنیت اطلاعات

Tags :

Category : امنیت Security شبکه Network مفاهیم شبکه

اصول مهم امنیت اطلاعات

اصول مهم امنیت اطلاعات
اصول مهم امنیت اطلاعات

تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality) ، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability) این سه عامل (CIA) اصول اساسی امنیت اطلاعات – در شبکه و یا بیرون آن – را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.

Confidentiality :  به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.

Integrity : بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد :

– تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.

– تغییرات بدون اجاز و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.

– یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.

Availability : این پارامتر ضمانت می کند که یک سیستم – مثلا” اطلاعاتی – همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند – مانند قطع برق – از نظر یک سیستم امنیتی این سیستم ایمن نیست.

 

اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و … اشاره کرد.

 

 

 

 

مقدمه ای بر امنیت فناوری اطلاعات در عصر ديجيتال

Tags :

Category : امنیت Security شبکه Network مفاهیم شبکه

مقدمه ای بر امنیت فناوری اطلاعات در عصر ديجيتال

مقدمه ای بر امنیت فناوری اطلاعات در عصر ديجيتال
مقدمه ای بر امنیت فناوری اطلاعات در عصر ديجيتال

مقدمه ای بر امنیت فناوری اطلاعات در عصر ديجيتال: ظهور فناوري ديجيتال يكي از بارزترين پیشرفتهای فناوری در نيم قرن اخير به شمار ميايد كـه در زنـدگي كنـوني بـشر براي بسياري از ما ايـن بصورت عاملي حياتي درآمده است. نوع فناوري در قالب رايانه هاي ديجيتالي تجلـي كـرده و بـه ابزاري لازم براي انجام كارها و رفع نيازهاي شخصي تبـديل شده اسـت. در سـال ۱۹۵۱ مـيلادي زمانيكـه اولـين رايانـة ديجيتال تجاري موسوم به UNIVAC I بـه سـازمان آمـار و سرشماري ايالات متحده آمريكا تحويل داده شد، بسياري از مردم در مورد رايانه ها چيزي نميدانستند و آن رايانـه هـا نيـز تنها در تعداد انگشت شماري از دانشگاهها و آزمايـشگاههاي تحقيقاتي مورد استفاده قرار داشتند. اين رايانه ها بزرگ، گران و مملو از اشكال بودند. در مقابل، رايانه هاي امروزي اندازهاي نسبتاً كوچك دارند، ارزان و قابل اطمينان هستند و میتوان آنها را در هر كشوري يافت.

به فاصله کوتاهی پـس از رواج رايانه ها در دانـشگاهها، پروژههاي تحقيقاتي براي مرتبط ساختن آنها بـا يكـديگر بـه نحوي كه امكان مبادلة اطلاعات ميان آنها بوجـود آيـد آغـاز شــدند. از ميــان ايــن پــروژه هــا، پروژه توسعه شبکه ARPANET موفقيت بيشتري كسب كرد و بـه آن چيزي تبديل شد كه امروز آنرا بعنوان “اينترنت” ميشناسيم و درحال حاضر بيش از ۳۰۰ ميليون رايانه را در سراسر جهان بـه هـم مرتبط كرده است.

شبكة جهاني وب در مركز تحقيقات هسته اي اروپا در اوايل دهة ۹۰ ميلادي و در شهر ژنو ايجاد شد سرويس قدرتمندي است كه از اينترنت براي ايجاد يـك سيـستم اطلاعـاتي جهـاني بهـره جـسته و بهره وري و جذابيت اينترنت را به مراتب افـزايش داده اسـت . هر چند بسياري از مردم تفـاوتي ميـان شـبكة جهـاني وب و اينترنت قائل نيـستند، ولـي در واقـع وب تنهـا يكـي از ايـن خدمات (و البته مهمترين آنها) است كه اينترنت را به چنين ابزار ٧ قدرتمندي براي اطـلاعرسـاني و برقـراري ارتباطـات تبـديل كرده است. طي ده سال اخير اينترنت به يك ابـزار مهـم ارتبـاطي ميـان تمامي اقشار جامعه تبديل شده و ما براي دسترسـي آنـي بـه اطلاعات، ارتباطـات اختـصاصي، تمـامي انـواع برنامـه هـاي كاربردي، تجاري، روابط كاري و نقل و انتقالات مالي بـه آن وابستهايم. قابليت اطمينان و دسترسي آسان به اينترنت براي موفقيت پايدار و مداوم كـشورهاي توسـعه يافتـه يـك عامـل حياتي بشمار ميرود و اهميت آن بـراي كـشورهـاي درحـال توسعه نيز بسرعت رو به افزايش است. آثار استفاده از رايانه ها و نتايج حاصله از انقلاب اينترنت از مرز فوايـد مـستقيم آنهـا فراتر رفته و پيشبيني ميشود كه تأثيرات بيشتري نيز در راه باشند. اول از همه اينكه اينترنت مرزهاي جغرافيايي ميـان كـاربران متصل به خود را كمرنگ كرده و روند جهانيسازي را با ارائـه قابليتهاي رسانههاي ارتباطي تسهيل نموده و لـذا هـر كـسي مستقل از محل فيزيكي خود قادر به برقـراري ارتبـاط بـا آن بـر رونـد ايـن تغييـر تـأثيري ٨ ميباشد. موتورهـاي جـستجو مضاعف داشته اند؛ چراكه نتايج جستجو بر اساس موضـوعات ظاهر ميشوند و نه بر اساس فاصلهاي كه كاربر با آنهـا دارد؛ بطوريكــه پايگــاه وبِ كارخانجــات و شــركتهاي واقــع در كشورهاي توسعهيافته و درحال توسـعه از موقعيـت يكـساني براي نظارهشدن توسط مراجعين برخوردار هستند. دومين مسئله اين است كه اينترنت تأثيري شگرف در فرآينـد حذف واسطههاي تجاري داشته است. بعنوان مثال مـيتـوان بـه كـاهش چـشمگير نـرخ اسـتخدام منـشي در كـشورهاي توسعهيافته اشاره كرد كه دليل آن اين است كه نوشتن متن و چاپ و ارسال پيام شخصي براي افـراد از طريـق تـسهيلاتي چون پردازشگر كلمات و پست الكترونيكـي آسـانتر از ديكتـه كـردن مـتن بـراي يـك منـشي اسـت. بـه همـين ترتيـب گردشگريِ دسته جمعي نيز درحال حاضر رو به انقراض است، چراكه گردشـگران مـيتواننـد بليطهـاي هـوايي يـا قطـار و رزرو ٩ همچنين اتاقهاي هتل مورد نظر خود را بصورت بـرخط كنند و اين امر موجب صرفهجويي در هزينه و وقت مـشتري شده و باعث شده بتوان با كمي دقت روي سفارشات، از يـك سفر مفرح لـذت بـرد. پيـدايش شـركتهاي فروشـندة كتـاب، موسيقي و محـصولات الكترونيكـي بـصورت بـرخط موجـب تهديــد و ضــربه بــه فروشــگاههاي عرضــهكننــدة اينگونــه محصولات شده، اما در عين حال در بسياري از بخشهاي اين صنف به گستردهتر شدن طيف بازار هدف نيز انجاميده است. از آنجا كه حرفـههـا و صـنايع سـنتي بـه وجـود خـود ادامـه ميدهند، تمايل دارند افراد كمتـري بـه اسـتخدام درآورنـد و حتي ممكن است بجـاي ارائـه خـدمات عمـومي بـه سـمت بازارهاي تخصصي حركت كنند. تأثيرات مشهود رونـد حـذف واسطهها كه با ظهور اين فنـاوري شـروع شـد بـراي مـدتي طولاني ادامه خواهد يافـت و بـا اهميـت روزافـزون فنـاوري اطلاعات، صنايع و حرفههاي بيشتري با آن جايگزين خواهند شد. سومين پيامد اين است كه نرخ بهـرهوري حـداقل در صـنايع وابسته به فناوري اطلاعات با شتابي چشمگير افزايش خواهد يافت. به كمـك پـست الكترونيكـي امكـان ارسـال و تبـادل اطلاعات در سراسر جهان طي تنها چند ثانيـه ممكـن شـده، بطوريكه مباحث و مذاكرات جهاني را ميتوان بسيار سـريعتر از گذشته پيگيري كرد و به نتيجه رساند. امور بازرگاني كه تـا چندي قبل از طريق پست، تلكس و تلفـن انجـام مـي شـدند اكنون با بكارگيري مفاهيمي نوين در صنعت مخابرات سـيار، سريعتر و كارآمدتر به انجام مـيرسـند و ايـن مـسئله چرخـة زماني انجام فعاليتها را كاهش داده است. نكتة آخر اينكه ايمن نگاه داشـتن محـل ذخيـرة اطلاعـات و خطوط ارتباطي مخابراتي نيـز در ايـن محـيط جديـد الزامـي است. صنعت و فناوري امروز به شدت در تكاپوي يافتن راهي بـراي تـضمين امنيـت زيرسـاختهاي خـود هـستند، چراكـه دستاندركاران آن دريافته اند كه بيشتر نقايص امنيتي اينترنت ناشي از وجـود سـخت افزارهـا و نـرم افزارهـاي نـاامن در آن ميباشند. در اين محيط ايجاد اطمينـان و اعتمـاد بـه رايانـه ، شبكه و دادههاي ذخيره شده نـسبت بـه محيطـي كـه در آن روابط كاري بر اساس گفتگوهـاي رو در رو انجـام مـيگيـرد كمابيش از اهميت يكساني برخوردار است. اين مطلب در مورد كشورهاي درحال توسعه نيز واضح اسـت: سازمانهايي كه به سـطح امنيتـي مناسـبي در زيـر سـاختهاي ديجيتالي خود دست نيافته و از ارسال اطلاعـات خـويش بـه نحو مطلوبي محافظت نميكنند شايستة اعتماد نخواهند بـود و از كاروان اقتصاد نوين جهاني عقب خواهند ماند.

 

 

 

حملات Back door

Tags :

Category : امنیت Security شبکه Network مفاهیم شبکه

حملات Back door

حملات Back door
حملات Back door

حملات Back door: حملات Back door برنامه ای است که امکان دستيابی به يک سيستم را بدون بررسی و کنترل امنيتی ، فراهم می نمايد . برنامه نويسان معمولا” چنين پتانسيل هائی  را در برنامه ها پيش بينی تا امکان اشکال زدائی و ويرايش کدهای نوشته شده در زمان تست بکارگيری نرم افزار ، فراهم گردد. با توجه به اين که تعداد زيادی از امکانات فوق ، مستند نمی گردند ، پس از اتمام مرحله تست به همان وضعيت باقی مانده و تهديدات امنيتی متعددی را به دنبال خواهند داشت .
برخی از متداولترين نرم افزارها ئی که از آنان به عنوان back door استفاده می گردد ، عبارتند از :

  • Back Orifice : برنامه فوق يک ابزار مديريت از راه دور می باشد که به مديران سيستم امکان کنترل يک کامپيوتر را از راه دور ( مثلا” از  طريق اينترنت ) ، خواهد داد. نرم افزار فوق ، ابزاری  خطرناک است که  توسط گروهی با نام Cult of the Dead Cow Communications ، ايجاد شده است . اين نرم افزار دارای دو بخش مجزا می باشد : يک بخش سرويس گيرنده و يک بخش سرويس دهنده . بخش سرويس گيرنده بر روی يک ماشين اجراء و زمينه مانيتور نمودن و کنترل يک ماشين ديگر که بر روی آن بخش سرويس دهنده اجراء شده است را فراهم می نمايد .
  • NetBus : اين برنامه نيز نظير Back Orifice ، امکان دستيابی و کنترل از راه دور يک ماشين از طريق اينترنت را فراهم می نمايد.. برنامه فوق تحت سيستم عامل ويندوز ( نسخه های متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشکيل شده است :  بخش  سرويس دهنده ( بخشی که بر روی کامپيوتر قربانی مستقر خواهد شد ) و  بخش سرويس گيرنده ( برنامه ای که مسوليت يافتن و کنترل سرويس دهنده را برعهده دارد ) . برنامه فوق ، به حريم خصوصی کاربران در زمان اتصال به اينترنت ، تجاوز و تهديدات امنيتی متعددی را به دنبال خواهد داشت .
  • Sub7) SubSeven) ،  اين برنامه برنامه نيز تحت ويندوز اجراء شده  و دارای عملکردی مشابه Back Orifice و NetBus می باشد . پس از فعال شدن برنامه فوق بر روی سيستم هدف و اتصال به اينترنت ،هر شخصی که دارای نرم افزار سرويس گيرنده باشد ، قادر به دستيابی نامحدود به سيستم خواهد بود .

نرم افزارهای Back Orifice ، NetBus,  Sub7 دارای دو بخش ضروری سرويس دهنده و سرويس گيرنده، می باشند . سرويس دهنده بر روی ماشين آلوده مستقر شده و از بخش سرويس گيرنده به منظور کنترل از راه دور سرويس دهنده ، استفاده می گردد.به نرم افزارهای فوق ، ” سرويس دهندگان غيرقانونی ”  گفته می شود .

برخی از نرم افزارها از اعتبار بالائی برخوردار بوده ولی ممکن است توسط کاربرانی که اهداف مخربی دارند ، مورد استفاده قرار گيرند :

  • Virtual Network Computing)VNC) : نرم افزار فوق توسط آزمايشگاه AT&T و با هدف کنترل از راه دور يک سيستم ، ارائه شده است . با استفاده از برنامه فوق ، امکان مشاهده محيط Desktop از هر مکانی نظير اينترنت ، فراهم می گردد . يکی از ويژگی های جالب اين نرم افزار ، حمايت گسترده از معماری های متفاوت است .
  • PCAnywhere : نرم افزار فوق توسط شرکت Symantec ، با هدف کنترل از راه دور يک سيستم با لحاظ نمودن فن آوری رمزنگاری و تائيد اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شرکت ها و موسسات فراوانی در حال حاضر از آن و به منظور دستيابی به يک سيستم از راه دور استفاده می نمايند .
  • Terminal Services : نرم افزار فوق توسط شرکت مايکروسافت و به همراه سيستم عامل ويندوز و به منظور کنترل از راه دور يک سيستم ، ارائه شده است .

همانند ساير نرم افزارهای کاربردی ، نرم افزارهای فوق را می توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بکارگرفت.
بهترين روش به منظور پيشگيری از حملات  Back doors ، آموزش کاربران و مانيتورينگ عملکرد هر يک از نرم افزارهای موجود می باشد. به کاربران می بايست آموزش داده شود که صرفا” از منابع و سايت های مطمئن اقدام به دريافت و نصب نرم افزار بر روی سيستم خود نمايند . نصب و استفاده از برنامه های آنتی ويروس می تواند کمک قابل توجهی در بلاک نمودن عملکرد اينچنين نرم افزارهائی ( نظير : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه های آنتی ويروس می بايست به صورت مستمر بهنگام شده تا امکان شناسائی نرم افزارهای جديد ، فراهم گردد .

 

 

 

حمله های DoS

Tags :

Category : امنیت Security شبکه Network فایروال Firewall مفاهیم شبکه

حمله های DoS

حمله های DoS
حمله های DoS

حمله های DoS: هدف از حملات DoS ، ايجاد اختلال در منابع و يا سرويس هائی است که کاربران قصد دستيابی و استفاده از آنان را دارند ( از کار انداختن سرويس ها ) . مهمترين هدف اين نوع از حملات ، سلب دستيابی کاربران به يک منبع خاص است . در اين نوع حملات، مهاجمان با بکارگيری روش های متعددی تلاش می نمايند که کاربران مجاز را به منظور دستيابی و استفاده از يک سرويس خاص ، دچار مشکل نموده و بنوعی در مجموعه سرويس هائی که يک شبکه ارائه می نمايد ، اختلال ايجاد نمايند . تلاش در جهت ايجاد ترافيک کاذب در شبکه ، اختلال در ارتباط بين دو ماشين ، ممانعت کاربران مجاز به منظور دستيابی به يک سرويس ، ايجاد اختلال در سرويس ها ، نمونه هائی از ساير اهدافی است که مهاجمان دنبال می نمايند . در برخی موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و يک عنصر جانبی استفاده شده تا بستر لازم برای تهاجم اصلی ، فراهم گردد . استفاده صحيح و قانونی از برخی منابع نيز ممکن است ، تهاجمی از نوع DoS را به دنبال داشته باشد . مثلا” يک مهاجم می تواند از يک سايت FTP که مجوز دستيابی به آن به صورت anonymous می باشد ، به منظور ذخيره نسخه هائی از نرم افزارهای غيرقانونی ، استفاده از فضای ذخيره سازی ديسک و يا ايجاد ترافيک کاذب در شبکه استفاده نمايد . اين نوع از حملات می تواند غيرفعال شدن کامپيوتر و يا شبکه مورد نظر را به دنبال داشته باشد . حملات فوق با محوريت و تاکيد بر نقش و عمليات مربوط به هر يک از پروتکل های شبکه و بدون نياز به اخذ تائيديه و يا مجوزهای لازم ، صورت می پذيرد . برای انجام اين نوع حملات از ابزارهای متعددی استفاده می شود که با کمی حوصله و جستجو در اينترنت می توان به آنان دستيابی پيدا کرد . مديران شبکه های کامپيوتری می توانند از اين نوع ابزارها ، به منظور تست ارتباط ايجاد شده و اشکال زدائی شبکه استفاده نمايند . حملات DoS تاکنون با اشکال متفاوتی ، محقق شده اند . در ادامه با برخی از آنان آشنا می شويم .

  • Smurf/smurfing : اين نوع حملات مبتنی بر تابع Reply  پروتکل  Internet Control Message Protocol) ICMP)  ،بوده و بيشتر با نام  ping شناخته شده می باشند .( Ping ، ابزاری است که پس از فعال شدن از طريق خط دستور ، تابع Reply  پروتکل ICMP را فرامی خواند) .  در اين نوع حملات ، مهاجم اقدام به ارسال بسته های اطلاعاتی Ping به آدرس های Broadcast شبکه نموده که در آنان آدرس مبداء هر يک از بسته های اطلاعاتی Ping شده با آدرس کامپيوتر قربانی ، جايگزين می گردد .بدين ترتيب يک ترافيک کاذب در شبکه ايجاد و امکان استفاده از منابع شبکه با اختلال مواجه می گردد.
  • Fraggle : اين نوع از حملات شباهت زيادی با حملات از نوع  Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol ) UDP) در مقابل ICMP ، برمی گردد . در حملات فوق ، مهاجمان  اقدام به ارسال بسته های اطلاعاتی UDP به آدرس های Broadcast  ( مشابه تهاجم  Smurf  ) می نمايند . اين نوع از بسته های اطلاعاتی UDP به مقصد پورت 7 ( echo ) و يا پورت 19 ( Chargen ) ، هدايت می گردند.
  • Ping flood : در اين نوع تهاجم ، با ارسال مستقيم درخواست های Ping به کامپيوتر فربانی ، سعی می گردد که  سرويس ها  بلاک  و يا فعاليت آنان کاهش يابد. در يک نوع خاص از تهاجم فوق که به ping of death ، معروف است ، اندازه بسته های اطلاعاتی به حدی زياد می شود که سيستم ( کامپيوتر قربانی ) ، قادر به برخورد مناسب با اينچنين بسته های اطلاعاتی نخواهد بود .
  • SYN flood : در اين نوع تهاجم از مزايای three-way handshake  مربوط به TCP استفاده می گردد . سيستم مبداء اقدام به ارسال  مجموعه ای  گسترده از درخواست های synchronization ) SYN)  نموده بدون اين که acknowledgment ) ACK) نهائی  آنان را ارسال نمايد. بدين ترتيب half-open TCP sessions (ارتباطات نيمه فعال ) ، ايجاد می گردد . با توجه به اين که پشته TCP ، قبل از reset نمودن پورت ، در انتظار باقی خواهد ماند ، تهاجم فوق ، سرريز بافر اتصال کامپيوتر مقصد را به دنبال داشته و عملا” امکان ايجاد ارتباط وی با سرويس گيرندگان معتبر ، غير ممکن می گردد .
  •  Land : تهاجم فوق، تاکنون در نسخه های متفاوتی از سيستم های عامل ويندوز ، يونيکس ، مکينتاش و IOS سيسکو،مشاهده شده است . در اين نوع حملات ، مهاجمان اقدام به ارسال يک بسته اطلاعاتی TCP/IP synchronization ) SYN) که دارای آدرس های مبداء و مقصد يکسان به همراه  پورت های مبداء و مقصد مشابه می باشد ، برای سيستم های هدف  می نمايند . بدين ترتيب سيستم قربانی، قادر به پاسخگوئی مناسب بسته اطلاعاتی نخواهد بود .
  • Teardrop : در اين نوع حملات از يکی از خصلت های UDP در پشته TCP/IP برخی سيستم های عامل ( TCPپياده سازی شده در يک سيستم عامل ) ، استفاده می گردد. در حملات  فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی fragmented برای سيستم هدف با مقادير افست فرد در دنباله ای از بسته های اطلاعاتی می نمايند . زمانی که سيستم عامل سعی در بازسازی بسته های اطلاعاتی اوليه  fragmented می نمايد،  قطعات ارسال شده بر روی يکديگر بازنويسی شده و اختلال سيستم را به دنبال خواهد داشت . با توجه به عدم برخورد مناسب با مشکل فوق در برخی از سيستم های عامل ، سيستم هدف ، Crash و يا راه اندازی مجدد می گردد .
  •  Bonk : اين نوع از حملات بيشتر متوجه ماشين هائی است که از سيستم عامل ويندوز استفاده می نمايند . در حملات فوق ، مهاجمان اقدام به ارسال  بسته های اطلاعاتی UDP  مخدوش به مقصد  پورت 53 DNS ، می نمايند  بدين ترتيب در عملکرد سيستم  اختلال ايجاد شده و سيستم  Crash می نمايد .
  • Boink : اين نوع از حملات مشابه تهاجمات  Bonk می باشند. با اين تفاوت که در مقابل استفاده از  پورت 53 ، چندين پورت ، هدف قرارمی گيرد .
Port Service
7 Echo
11 Systat
15 Netstat
19 Chargen
20 FTP-Data
21 FTP
22 SSH
23 Telnet
25 SMTP
49 TACACS
53 DNS
80 HTTP
110 POP3
111 Portmap
161/162 SNMP
443 HTTPS
1812 RADIUS

متداولترين پورت های استفاده شده در حملات DoS

يکی ديگر از حملات DoS ، نوع خاص و در عين حال ساده ای از يک حمله DoS می باشد که با نام Distributed DoS ) DDoS) ، شناخته  می شود .در اين رابطه می توان از نرم افزارهای  متعددی  به منظور انجام اين نوع حملات و از درون يک شبکه ، استفاده بعمل آورد. کاربران ناراضی و يا افرادی که دارای سوء نيت می باشند، می توانند بدون هيچگونه تاثيری از دنيای خارج از شیکه سازمان خود ، اقدام به ازکارانداختن سرويس ها در شبکه نمايند. در چنين حملاتی ، مهاجمان نرم افزاری خاص و موسوم به  Zombie  را توزيع  می نمايند . اين نوع نرم افزارها به مهاجمان اجازه خواهد داد که تمام و يا بخشی از سيستم کامپيوتری آلوده را تحت کنترل خود درآورند. مهاجمان پس از آسيب اوليه به سيستم هدف  با استفاده از نرم افزار نصب شده Zombie ، تهاجم نهائی خود را با بکارگيری مجموعه ای  وسيع از ميزبانان انجام خواهند داد.  ماهيت و نحوه انجام اين نوع از حملات ، مشابه يک تهاجم استاندارد DoS بوده ولی  قدرت تخريب و آسيبی که مهاجمان متوجه سيستم های آلوده می نمايند ، متاثر از مجموع ماشين هائی ( Zombie )  است که تحت کنترل مهاجمان  قرار گرفته شده است .

به منظور حفاظت شبکه ، می توان فيلترهائی را بر روی روترهای خارجی شبکه به منظور دورانداختن بسته های اطلاعاتی مشمول حملات  DoS ، پيکربندی نمود .در چنين مواردی می بايست از فيلتری ديگر که امکان مشاهده ترافيک (مبداء از طريق اينترنت)  و يک آدرس داخلی شبکه را فراهم می نمايد ، نيز استفاده گردد.

 

 

 

 

  • ژانویه 21, 2017
  • admin
  • 0

مفهوم SPF DNS Record

Tags :

Category : شبکه Network مفاهیم شبکه

مفهوم SPF DNS Record

مفهوم SPF DNS Record: ممکن است تاکنون بارها با اصطلاح رکورد SPF برخورد کرده باشید ، زمانی که ما یک Mail Server داریم برای افزایش امنیت و جلوگیری از جعل نام دامین رکورد SPF می سازیم . به عبارتی وقتی شما یک Mail Server در سازمان خود راه اندازی میکنید علاوه بر انتخاب نوع Mail Server و تنظیمات آن و… باید تنظیمات خاصی برای احراز هویت این سرویس برای Mail Serverهای دیگر ایجاد کنید. چون ایجاد یک E-mail جعلی به اسم دامنه شما امروزه خیلی راحت شده است و به راحتی یک هکر می تواند به اسم سازمان شما مشتریان سازمان را گمراه کند. و به خاطر همین دلیل باید Mail Server خود را برای بقیه میل سرورها Authenticate کنید.

مفهوم SPF DNS Record
مفهوم SPF DNS Record

منظور از احراز هویت یک Mail Server برای بقیه سرورها میل چیست؟

میل سرورهای بزرگ مانند Yahoo, Google and Hotmail و … از هر SMTP Server ی میل دریافت نمی کنند. برای اینکه این میل سرورها از بقیه E-mail دریافت کنند، باید یکسری پارامترها وجود داشته باشند. این پارامترها عبارتند از :

  • SPF Record
  • PTR Record
  • Domain Keys Identification Mail یا DKIM Protocol
  • Real-time blackhole list – RBL

در این مقاله قصد داریم SPF Record و اجزای آن را پوشش دهیم.

SPF Record چیست؟

یک SPF (Sender Policy Framework) Record لیست Mail Server های می باشد که مجاز هستن از طرفه و به اسم دامنه سازمان شما به بقیه میل سرورها میل ارسال کنند. این رکورد باعث کاهش فعالیت Spamming از طرف اسم دامنه سازمان شما می شود. یعنی هر میل سروری مجاز به استفاده از دامنه ما برای ارسال میل نمی باشد. وقتی سروری قصد دارد به اسم دامنه سازمان شما Spam ی ارسال کند میل سرور مقصد چک می کند دامنه شما SPF Record دارد؟ آیا این SPF Record اسم دامنه شما را ارائه می کند؟ آیا این E-mail ارسالی از طرف سرورهائی فرستاده شده که IP or FQDN آنها در SPF Record لیست شده است؟ اگر SPF برای آن دامنه وجود داشت و اطلاعات ارائه شده آن به درستی ست شده باشد E-mail ارسالی بصورت نورمال پردازش می شود وگرنه ایمیل Spam می شود.

به این نکته توجه داشته باشید SPF Record فقط یکی از پارامترهای بالا می باشد یعنی حتی اگر SPF Record به درستی تنظیم شده باشد و پارامترهای بالا وجود نداشته باشند یا اشتباه تنظیم شده باشند باز هم E-mail ارسالی شما Spma می شود.

یک مثال از SPF Record

domain.com. IN TXT "v=spf1 a mx ~all"

Domail.com, اسم دامنه سازمان شما می باشد.
IN TXT, نوع رکورد در DNS Zone. رکورد SPF یک رکورد TXT می باشد که در DNSها ایجاد می شود.
V=spf1, تکست رکورد را به عنوان یک SPF Record شناسائی می کند.
A, لیست A Record های سرور های میل می باشد که می توانیم (مجاز) با آنها میل ارسال کنیم.
MX , رکورد MX میل سرورهای می باشد که می توانیم (مجاز) با آنها میل ارسال کنیم.
all~, لیست A و MX را مجاز به ارسال ایمیل میکند. (این دو لیست مجاز هستن از طرف دامنه شما میل ارسال کند.)

یک مثال دیگر

Domain.com v=spf1 mx a ip4:46.143.247.128/32 ~all

بیشتر پارامترهای بالا را توضیح دادم فقط یک پارامتر جدیدی در SPF Record بالا وجود داره
IP4, این پارامتر که خصوص IPv4 می باشد، رنج IPهای سرورهای میل را مشخص می کند. (فقط IP بالا می تواند از طرف این دامنه ایمیل ارسال کند)

SPF Record زیر را می توانید تجزیه و تحلیل کنید؟؟؟

domain.com. IN TXT "v=spf1 a mx include:google.com ~all

درسته!!! فقط MX رکورد بالا می تواند از طرف دامنه Domain.com میل ارسال کند.

تمام پرامترهای SPF Record را می توانید در سایت زیر پیدا کنید :

http://www.openspf.org/SPF_Record_Syntax

ایجاد یک SPF Record

سایتهای زیادی هستن که بصورت Wizard این رکورد را برای شما انجام می دهند و تنها کاری که شما باید انجام بدید اینه که به سوالهای آنها جواب بدید. همین!!!

 http://www.spfwizard.net/
 https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/
 http://spfwizard.com/

سناریو

دامنه ای به اسم mycity-ku.ir و میل سروری با IP=46.143.247.128 دارم. الان می خواهم برای این دامنه یک SPF Record ایجاد کنم.
برای اینکار وارد یکی از سایتهای بالا شوید و فیلد های لازم را پر کنید.

مفهوم SPF DNS Record
مفهوم SPF DNS Record

کار شما تمام شد.
نکته : IP and FQDN بالا وابسته به هیچ سازمان یا مقصد خاصی نیست و فقط برای روشن شدن مطلب مطرح شده است.

اعمال کردن SPF در DNS

بعد از ایجاد رکورد بالا باید این رکورد را ب روی DNS Server اعمال کرد.
برای اعمال کردن SPF ما کلا دو سناریو داریم :

  • اول اینکه DNS Server شما در ناحیه DMZ سازمان شما هستش.
  • یا اینکه DNS شما توسط شرکت دیگری میزبانی می شود.

اگر DNS شما در DMZ سازمان می باشد شما باید این رکوود را ایجاد کنید ولی اگر DNS شما میزبانی می شود این رکورد را آن شرکت برای دامنه شما ایجاد می کند و شما نیاز به انجام هیچ کار خاصی نیستید.

ایجاد SPF Record در DNS های ویندوزی
تصاویر زیر را دنبال کنید :

مفهوم SPF DNS Record
مفهوم SPF DNS Record
مفهوم SPF DNS Record
مفهوم SPF DNS Record

 

تست کردن SPF Record

وقتی SPF Record را ایجاد و اعمال کردید باید این رکورد را تست کنید تا از صحت کارکرد آن اطمینان حاصل کنید.
شما می توانید توسط سایتهای زیر این کار را انجام دهید :

 http://www.kitterman.com/spf/validate.html

http://mxtoolbox.com/NetworkTools.aspx

مفهوم SPF DNS Record
مفهوم SPF DNS Record

 

حمله Man in The Middle یا مرد میانی چیست؟

Tags :

Category : امنیت Security هک Hack

حمله Man in The Middle یا مرد میانی چیست؟

حمله Man in The Middle یا مرد میانی چیست؟ حمله Man in The Middle (به اختصار MITM) یا مرد میانی به نوعی از حملات گفته می شود که در آن شخص سوم اقدام به استراق سمع و تجسس اطلاعات در حال مبادله بین دو سیستم می کند. در این مطلب شما را با مفهوم حملات MITM آشنا می کنیم و همچنین در صورتی که علاقه مند به مطالعه بیشتر در این زمینه باشید ، می توانید کتاب PDF معرفی شده در ادامه را دانلود کنید.

حمله Man in The Middle یا مرد میانی چیست؟
حمله Man in The Middle یا مرد میانی چیست؟

توسط حملات middle-the-in-Man که به اختصار MITM و به فارسی حمله مردی در میان خوانده می شود امکان استراق سمع و تجسس بر اطلاعات رد و بدل شده بین دو سیستم میسر می گردد. برای نمونه هنگام مبادله اطلاعات از نوع HTTP ،هدف حمله، ارتباط TCP میان کاربر و سرور است. شخص مهاجم با استفاده از روشهای مختلف، ارتباط TCP اصلی را به دو ارتباط جدید تقسیم می کند. همان طور که در تصویر ۱ مشخص است، این دو ارتباط شامل ارتباط میان حمله کننده و کاربر و ارتباط میان حمله کننده و سرور می باشد. هنگامی که ارتباط TCP ردیابی شد، شخص حمله کننده به عنوان یک فیلتر که قادر به خواندن، تغییر و اضافه کردن اطلاعات است عمل می کند.

حمله Man in The Middle یا مرد میانی چیست؟

شکل ۱ .نمونه تصویری حمله شخص میانی

از آنجایی که برنامه های http و انتقال داده بر پایه ASCII طراحی شده اند، حملات MITM می تواند بسیار مؤثر باشد. توسط این حملات، امکان مشاهده یا جمع آوری اطلاعات موجود در http و همچنین اطلاعات مبادله شده براحتی میسر می شود. بنابراین وقتی بتوان یک کوکی session را که در حال خواندن اطلاعات http می باشد کنترل کرد، پس این امکان نیز وجود خواهد داشت که مثلاً عدد مربوط به مقدار پول را در برنامه تراکنش تغییر داد.

حمله Man in The Middle یا مرد میانی چیست؟

شکل ۲ .نمونه تصویری یک بسته http که توسط Proxy Paros ردیابی شده است

با استفاده از روش های مشابه، می توان اقدام به حمله MITM به ارتباطات https نمود. تنها تفاوت این حمله، در نحوه برقراری دو session SSL مستقل در دوسر ارتباط TCP می باشد. در این حالت، مرورگر اینترنت یک ارتباط SSL با فرد حمله کننده ایجاد نموده و شخص حمله کننده نیز یک ارتباط SSL دیگر با سرور برقرار می نماید. در این هنگام، معمولاً مرورگر اینترنت یک پیغام هشدار دهنده برای کاربر ارسال می کند ولی کاربر به علت عدم آگاهی از وجود تهدید، این پیغام را نادیده می گیرد. در برخی موارد امکان دارد پیغام هشدار برای کاربر ارسال نگردد. به عنوان مثال، هنگامی که تأییده سرور مورد حمله قرار گرفته باشد یا در شرایطی که شخص حمله کننده مورد تأیید یک CA معتمد قرار گرفته باشد که CN آن همان CN وب سایت اصلی باشد. حملات MITM فقط به منظور حمله به سیستم ها در شبکه استفاده نمی شوند، معمولاً از این حملات هنگام اجرای یک برنامه شبکه یا در جهت کمک به آسیب پذیر نمودن شبکه نیز استفاده می گردد.

 

 

 

 

  • ژانویه 9, 2017
  • admin
  • 0

ایمنی شبکه بی سیم Wireless Security

Tags :

Category : امنیت Security شبکه های بیسیم مفاهیم شبکه

ایمنی شبکه بی سیم Wireless Security

ایمنی شبکه بی سیم Wireless Security
ایمنی شبکه بی سیم Wireless Security

اهمیت سامانه های بی سیم، به دلیل صرفه جویی های فراوانی که در استفاده از منابع شبکه به همراه دارند، بر کسی پوشیده نیست. همچنین با توجه به مزایای متعدد این نوع از شبکه ها، استفاده از آنها در محیط های آموزشی، مراکز تفریحی، اقامتی و حتی اداری و سازمانی با استقبال فراوانی روبه رو بوده است. از جمله مزایای عمومی و تخصصی استفاده از شبکه های بی سیم در این اماکن میتوان به این موارد اشاره کرد:

 

  • سرعت استقرار: سیستم های بی سیم در سریعترین زمان و با ایجاد کمترین تغییر در یک مکان استقرار میابند.
  • بهره وری هزینه: هزینه های راه اندازی سیستم های بی سیم در دراز مدت بسیار کم تر از شبکه های با سیم است.
  • قابلیت توسعه پذیری: این سیستم ها به سرعت در مقیاس های وسیع قابل گسترش اند.
  • افزایش دسترسی و قابلیت جابه جایی: کاربران سیستم های بیسیم میتوانند در هر لحظه و در هر موقعیتی به سیستم متصل گردند.
  • توسعه آموزش الکترونیک در فضاهای آموزشی: با افزایش ضریب دسترسی به شبکه و اینترنت در درون دانشگاه ها و موسسات آموزشی و پژوهشی
  • امکان ارائه سرویس های متنوع: ارائه سرویس های اختصاصی به انواع گروه های سازمانی در موسسات آموزشی نظیر اساتید، کارمندان، دانشجویان، میهمان و مدعوین،…

 

چالش های شبکه های بی سیم که ما آنها را به فرصت تبدیل میکنیم

عدم رعایت برخی استاندارد ها در مورد تجهیزات شبکه های بی سیم و بی توجهی به اصول ایمنی در ایجاد این شبکه ها میتواند مخاطرات زیادی را بهمراه داشته باشد، از جمله:

۱- عدم امنیت شبکه

در این شبکه ها نفوذ پذیری شبکه توسط افراد غیر مجاز زیاد است. بسیاری از پروتکل های رایج امنیت شبکه در سیستم های بی سیم در مراکز بزرگ کارایی نداشته و به راحتی قابل نفوذ میباشند. به همین دلیل است که بسیاری از سازمان ها و شبکه ها بزرگ برای ایجاد شبکه های داخلی خود به بستر های سیمی روی می آورند. در برخی سازمان ها برای ایمن سازی شبکه های بی سیم اقدام به جداسازی فیزیکی تجهیزات شبکه های بیسیم از بستر شبکه های داخلی و با سیم مینمایند. این اقدام شاید باعث امنیت بالای شبکه داخلی و دوری از مخاطرات شبکه های بی سیم گردد، ولی هزینه های سر سام آوری را نیز به دنبال خواهد داشت !

در برخی از سازمان ها شبکه های بی سیم را به شبکه ها داخلی متصل نموده که میزان آسیب پذیری این شبکه ها را به شدت افزایش میدهد. کاربرانی که گاه بصورت میهمان به این شبکه ها متصل میگردند میتوانند شبکه را آلوده کنند، به بسیاری از منابع شبکه و اطلاعات محرمانه سازمانی دسترسی پیدا کنند و یا اطلاعات غیر مجازی را در شبکه قرار دهند.

۲- افت شدید کیفیت سرویس دهی در شبکه های بزرگ

همچنین عدم پشتیبانی از سامانه جابه جایی میتواند مرتباً باعث افت کیفیت ارائه خدمات و قطع آن گردد. در این شرایط تعداد اتصال به اکسس پوینت های خاص زیاد شده و باعث کاهش کیفیت دسترسی و گاهاً خارج شدن از گردونه سرویس دهی میگردد. بسیاری از دستگاه های رایج و غیر استاندارد مدعی داشتن این قابلیت هستند، در صورتیکه در عمل به اثبات رسیده است که بسیار ی از آنها از این سرویس پشتیبانی نمیکنند. با سرویس های استاندارد Roaming به راحتی میتوان بار اتصال را در اکسس پوینت ها تقسیم و بصورت کاملاٌ اتوماتیک مدیریت کرد. کیفیت ارائه سرویس در این نوع از شبکه ها بسیار بالا و پایدار است.

۳- مدیریت اتصال و تبادل اطلاعات کاربران در شبکه

در برخی شبکه های بیسیم، به علت عدم وجود سیستم مدیریت دسترسی کاربران، امکان تبادل اطلاعات بین بسیاری از کاربران وجود دارد. این مطلب میتواند تبدیل به یک مخاطره برای امنیت شبکه، بارگذاری اطلاعات غیر مجاز، دزدیده شدن اطلاعات شبکه،… گردد. این مساله همینطور باعث افزایش ترافیک اطلاعات روی اکسس پوینت ها گردیده و سرویس دهی آنها را با مشکل مواجه میکند. با ایجاد یک سیستم مدیریت دسترسی کاربران و Client ها به شبکه بی سیم، میتوان به شدت از این مخاطرات کاست. در این صورت کاربران داری حدود دسترسی و فعالیت خاص خود خواهند بود. شرکت مهندسین تحلیلگران آتی نگر راهکار شبکه های بی سیم خود را با این بینش ارائه میدهد که شبکه ای پایدار، سریع و ایمن را ایجاد نماید. بدینوسیله این دیدگاه در بین کاربران ایجاد میشودکه بستر های بی سیم نیز میتوانند به اندازه شبکه های با سیم، امن و پایدار گردند. از این رو این مجموعه در پی آن است که زیر ساخت های بی سیم را با بروزترین و ایمن ترین استاندارد ها ایجاد نماید.

خدمات شرکت آتی نگر در راه اندازی سیستم های بی سیم

  • امکان سنجی طرح: در طی این مرحله موقعیت مکانی پروژه بررسی و امکان سنجی طرح بر اساس ویژگی های محل انجام می پذیرد.
  • پیشنهاد بر اساس نیازهای محل: پس از انجام بررسی های اولیه و مشخص شدن ابعاد فیزیکی پروژه و همچنین اطلاع از نیاز های مدیران شبکه، بهترین پیشنهادات در زمینه تجهیزات ارائه میگردند.
  • ارائه راهکارهای امنیت شبکه: در این مرحله و با توجه به گستردگی و نیاز های شبکه داخلی، پیشنهادات ایمن سازی ارائه میگردند. این پیشنهادات میتوانند شامل تجهیزات فیزیکی و یا نرم افزاری باشند.
  • پیاده سازی و راه اندازی: در این مرحله بسترهای لازم جهت راه اندازی شبکه بی سیم آماده و در صورت لزوم، برخی تغییرات در ساختار فعلی شبکه ها صورت میگیرد.
  • تکمیل پروژه: با ایجاد قابلیت هایی نظیر سیستم های مدیریت مصرف اینترنت، سیستم های Captive Portal، سامانه های پرداخت الکترونیک،…

 

 

انواع توپولوژی شبکه های کامپیوتری

Tags :

Category : شبکه Network مفاهیم شبکه

انواع توپولوژی شبکه های کامپیوتری

تقسیم بندی بر اساس توپولوژی

انواع-توپولوژی-شبکه-های-کامپیوتری
الگوی هندسی استفاده شده جهت اتصال کامپیوترها ، توپولوژی نامیده می شود. توپولوژی انتخاب شده برای پیاده سازی شبکه ها، عاملی مهم در جهت کشف و برطرف نمودن خطاء در شبکه خواهد بود. انتخاب یک توپولوژی خاص نمی تواند بدون ارتباط با محیط انتقال و روش های استفاده از خط مطرح گردد. نوع توپولوژی انتخابی جهت اتصال کامپیوترها به یکدیگر ، مستقیما” بر نوع محیط انتقال و روش های استفاده از خط تاثیر می گذارد.
انواع توپولوژی شبکه های کامپیوتری

● با توجه به تاثیر مستقیم توپولوژی انتخابی در نوع کابل کشی و هزینه های مربوط به آن ، می بایست با دقت و تامل به انتخاب توپولوژی یک شبکه همت گماشت . عوامل مختلفی جهت انتخاب یک توپولوژی بهینه مطرح می شود. مهمترین این عوامل بشرح ذیل است :
▪ هزینه: هر نوع محیط انتقال که برای شبکه LAN انتخاب گردد، در نهایت می بایست عملیات نصب شبکه در یک ساختمان پیاده سازی گردد. عملیات فوق فرآیندی طولانی جهت نصب کانال های مربوطه به کابل ها و محل عبور کابل ها در ساختمان است . در حالت ایده آل کابل کشی و ایجاد کانال های مربوطه می بایست قبل از تصرف و بکارگیری ساختمان انجام گرفته باشد. بهرحال می بایست هزینه نصب شبکه بهینه گردد.
▪ انعطاف پذیری: یکی از مزایای شبکه های LAN ، توانائی پردازش داده ها و گستردگی و توزیع گره ها در یک محیط است . بدین ترتیب توان محاسباتی سیستم و منابع موجود در اختیار تمام استفاده کنندگان قرار خواهد گرفت . در ادارات همه چیز تغییر خواهد کرد.( لوازم اداری، اتاقها و … ) . توپولوژی انتخابی می بایست بسادگی امکان تغییر پیکربندی در شبکه را فراهم نماید. مثلا” ایستگاهی را از نقطه ای به نقطه دیگر انتقال و یا قادر به ایجاد یک ایستگاه جدید در شبکه باشیم .
سه نوع توپولوژی رایج در شبکه های LAN استفاده می گردد :
۱) BUS
۲) STAR
۳) RING
▪ توپولوژی BUS
یکی از رایجترین توپولوژی ها برای پیاده سازی شبکه های LAN است . در مدل فوق از یک کابل بعنوان ستون فقرات اصلی در شبکه استفاده شده و تمام کامپیوترهای موجود در شبکه ( سرویس دهنده ، سرویس گیرنده ) به آن متصل می گردند.
▪ مزایای توپولوژی BUS
– کم بودن طول کابل . بدلیل استفاده از یک خط انتقال جهت اتصال تمام کامپیوترها ، در توپولوژی فوق از کابل کمی استفاده می شود.موضوع فوق باعث پایین آمدن هزینه نصب و ایجاد تسهیلات لازم در جهت پشتیبانی شبکه خواهد بود. – ساختار ساده . توپولوژی BUS دارای یک ساختار ساده است . در مدل فوق صرفا” از یک کابل برای انتقال اطلاعات استفاده می شود. – توسعه آسان . یک کامپیوتر جدید را می توان براحتی در نقطه ای از شبکه اضافه کرد. در صورت اضافه شدن ایستگاههای بیشتر در یک سگمنت ، می توان از تقویت کننده هائی به نام Repeater استفاده کرد.
▪ معایب توپولوژی BUS
ـ مشکل بودن عیب یابی: با اینکه سادگی موجود در تویولوژی BUS امکان بروز اشتباه را کاهش می دهند، ولی در صورت بروز خطاء کشف آن ساده نخواهد بود. در شبکه هائی که از توپولوژی فوق استفاده می نمایند ، کنترل شبکه در هر گره دارای مرکزیت نبوده و در صورت بروز خطاء می بایست نقاط زیادی بمنظور تشخیص خطاء بازدید و بررسی گردند. – ایزوله کردن خطاء مشکل است . در صورتیکه یک کامپیوتر در توپولوژی فوق دچار مشکل گردد ، می بایست کامپیوتر را در محلی که به شبکه متصل است رفع عیب نمود. در موارد خاص می توان یک گره را از شبکه جدا کرد. در حالتیکه اشکال در محیط انتقال باشد ، تمام یک سگمنت می بایست از شبکه خارج گردد.
ـ ماهیت تکرارکننده ها: در مواردیکه برای توسعه شبکه از تکرارکننده ها استفاده می گردد، ممکن است در ساختار شبکه تغییراتی نیز داده شود. موضوع فوق مستلزم بکارگیری کابل بیشتر و اضافه نمودن اتصالات مخصوص شبکه است . توپولوژی STAR . در این نوع توپولوژی همانگونه که از نام آن مشخص است ، از مدلی شبیه “ستاره” استفاده می گردد. در این مدل تمام کامپیوترهای موجود در شبکه معمولا” به یک دستگاه خاص با نام ” هاب ” متصل خواهند شد. مزایای توپولوژی STAR
ـ سادگی سرویس شبکه: توپولوژی STAR شامل تعدادی از نقاط اتصالی در یک نقطه مرکزی است . ویژگی فوق تغییر در ساختار و سرویس شبکه را آسان می نماید.
– در هر اتصال یکدستگاه: نقاط اتصالی در شبکه ذاتا” مستعد اشکال هستند. در توپولوژی STAR اشکال در یک اتصال ، باعث خروج آن خط از شبکه و سرویس و اشکال زدائی خط مزبور است . عملیات فوق تاثیری در عملکرد سایر کامپیوترهای موجود در شبکه نخواهد گذاشت .
– کنترل مرکزی و عیب یابی: با توجه به این مسئله که نقطه مرکزی مستقیما” به هر ایستگاه موجود در شبکه متصل است ، اشکالات و ایرادات در شبکه بسادگی تشخیص و مهار خواهند گردید.
– روش های ساده دستیابی: هر اتصال در شبکه شامل یک نقطه مرکزی و یک گره جانبی است . در چنین حالتی دستیابی به محیط انتقال حهت ارسال و دریافت اطلاعات دارای الگوریتمی ساده خواهد بود. ▪ معایب توپولوژی STAR
ـ زیاد بودن طول کابل: بدلیل اتصال مستقیم هر گره به نقطه مرکزی ، مقدار زیادی کابل مصرف می شود. با توجه به اینکه هزینه کابل نسبت به تمام شبکه ، کم است ، تراکم در کانال کشی جهت کابل ها و مسائل مربوط به نصب و پشتیبنی آنها بطور قابل توجهی هزینه ها را افزایش خواهد داد.
ـ مشکل بودن توسعه: اضافه نمودن یک گره جدید به شبکه مستلزم یک اتصال از نقطه مرکزی به گره جدید است . با اینکه در زمان کابل کشی پیش بینی های لازم جهت توسعه در نظر گرفته می شود ، ولی در برخی حالات نظیر زمانیکه طول زیادی از کابل مورد نیاز بوده و یا اتصال مجموعه ای از گره های غیر قابل پیش بینی اولیه ، توسعه شبکه را با مشکل مواجه خواهد کرد. – وابستگی به نقطه مرکزی . در صورتیکه نقطه مرکزی ( هاب ) در شبکه با مشکل مواجه شود ، تمام شبکه غیرقابل استفاده خواهد بود.
▪ توپولوژی RING
در این نوع توپولوژی تمام کامپیوترها بصورت یک حلقه به یکدیگر مرتبط می گردند. تمام کامپیوترهای موجود در شبکه ( سرویس دهنده ، سرویس گیرنده ) به یک کابل که بصورت یک دایره بسته است ، متصل می گردند. در مدل فوق هر گره به دو و فقط دو همسایه مجاور خود متصل است . اطلاعات از گره مجاور دریافت و به گره بعدی ارسال می شوند. بنابراین داده ها فقط در یک جهت حرکت کرده و از ایستگاهی به ایستگاه دیگر انتقال پیدا می کنند.
▪ مزایای توپولوژی RING
ـ کم بودن طول کابل: طول کابلی که در این مدل بکار گرفته می شود ، قابل مقایسه به توپولوژی BUS نبوده و طول کمی را در بردارد. ویژگی فوق باعث کاهش تعداد اتصالات ( کانکتور) در شبکه شده و ضریب اعتماد به شبکه را افزایش خواهد داد.
– نیاز به فضائی خاص جهت انشعابات در کابل کشی نخواهد بود.بدلیل استفاده از یک کابل جهت اتصال هر گره به گره همسایه اش ، اختصاص محل هائی خاص بمنظور کابل کشی ضرورتی نخواهد داشت .
– مناسب جهت فیبر نوری . استفاده از فیبر نوری باعث بالا رفتن نرخ سرعت انتقال اطلاعات در شبکه است. چون در توپولوژی فوق ترافیک داده ها در یک جهت است ، می توان از فیبر نوری بمنظور محیط انتقال استفاده کرد.در صورت تمایل می توان در هر بخش ازشبکه از یک نوع کابل بعنوان محیط انتقال استفاده کرد . مثلا” در محیط های ادرای از مدل های مسی و در محیط کارخانه از فیبر نوری استفاده کرد.
معایب توپولوژی RING
– اشکال در یک گره باعث اشکال در تمام شبکه می گردد. در صورت بروز اشکال در یک گره ، تمام شبکه با اشکال مواجه خواهد شد. و تا زمانیکه گره معیوب از شبکه خارج نگردد ، هیچگونه ترافیک اطلاعاتی را روی شبکه نمی توان داشت .
– اشکال زدائی مشکل است . بروز اشکال در یک گره می تواند روی تمام گرههای دیگر تاثیر گذار باشد. بمنظور عیب یابی می بایست چندین گره بررسی تا گره مورد نظر پیدا گردد.
– تغییر در ساختار شبکه مشکل است . در زمان گسترش و یا اصلاح حوزه جغرافیائی تحت پوشش شبکه ، بدلیل ماهیت حلقوی شبکه مسائلی بوجود خواهد آمد .
– توپولوژی بر روی نوع دستیابی تاثیر می گذارد. هر گره در شبکه دارای مسئولیت عبور دادن داده ای است که از گره مجاور دریافت داشته است . قبل از اینکه یک گره بتواند داده خود را ارسال نماید ، می بایست به این اطمینان برسد که محیط انتقال برای استفاده قابل دستیابی است .
▪ تقسیم بندی بر اساس حوزه جغرافی تحت پوشش: شبکه های کامپیوتری با توجه به حوزه جغرافیائی تحت پوشش به سه گروه تقسیم می گردند :
۱) شبکه های محلی ( کوچک ) LAN
۲) شبکه های متوسط MAN
۳) شبکه های گسترده WAN
۱) شبکه های LAN . حوزه جغرافیائی که توسط این نوع از شبکه ها پوشش داده می شود ، یک محیط کوچک نظیر یک ساختمان اداری است . این نوع از شبکه ها دارای ویژگی های زیر می باشند :
▪ توانائی ارسال اطلاعات با سرعت بالا
▪ محدودیت فاصله
قابلیت استفاده از محیط مخابراتی ارزان نظیر خطوط تلفن بمنظور ارسال اطلاعات
نرخ پایین خطاء در ارسال اطلاعات با توجه به محدود بودن فاصله
۲) شبکه های MAN . حوزه جغرافیائی که توسط این نوع شبکه ها پوشش داده می شود ، در حد و اندازه یک شهر و یا شهرستان است . ویژگی های این نوع از شبکه ها بشرح زیر است :
▪ پیچیدگی بیشتر نسبت به شبکه های محلی
▪ قابلیت ارسال تصاویر و صدا
▪ قابلیت ایجاد ارتباط بین چندین شبکه
۳) شبکه های WAN . حوزه جغرافیائی که توسط این نوع شبکه ها پوشش داده می شود ، در حد و اندازه کشور و قاره است .
ویژگی این نوع شبکه ها بشرح زیر است :
▪ قابلیت ارسال اطلاعات بین کشورها و قاره ها
▪ قابلیت ایجاد ارتباط بین شبکه های LAN
▪ سرعت پایین ارسال اطلاعات نسبت به شبکه های LAN
▪ نرخ خطای بالا با توجه به گستردگی محدوده تحت پوشش
● کابل در شبکه
در شبکه های محلی از کابل بعنوان محیط انتقال و بمنظور ارسال اطلاعات استفاده می گردد.ازچندین نوع کابل در شبکه های محلی استفاده می گردد. در برخی موارد ممکن است در یک شبکه صرفا” از یک نوع کابل استفاده و یا با توجه به شرایط موجود از چندین نوع کابل استفاده گردد. نوع کابل انتخاب شده برای یک شبکه به عوامل متفاوتی نظیر : توپولوژی شبکه، پروتکل و اندازه شبکه بستگی خواهد داشت . آگاهی از خصایص و ویژگی های متفاوت هر یک از کابل ها و تاثیر هر یک از آنها بر سایر ویژگی های شبکه، بمنظور طراحی و پیاده سازی یک شبکه موفق بسیار لازم است .
▪ کابل Unshielded Twisted pair )UTP)
متداولترین نوع کابلی که در انتقال اطلاعات استفاده می گردد ، کابل های بهم تابیده می باشند. این نوع کابل ها دارای دو رشته سیم به هم پیچیده بوده که هر دو نسبت زمین دارای یک امپدانش یکسان می باشند. بدین ترتیب امکان تاثیر پذیری این نوع کابل ها از کابل های مجاور و یا سایر منابع خارجی کاهش خواهد یافت . کابل های بهم تابیده دارای دو مدل متفاوت : Shielded ( روکش دار ) و Unshielded ( بدون روکش ) می باشند. کابل UTP نسبت به کابل STP بمراتب متداول تر بوده و در اکثر شبکه های محلی استفاده می گردد.کیفیت کابل های UTP متغیر بوده و از کابل های معمولی استفاده شده برای تلفن تا کابل های با سرعت بالا را شامل می گردد. کابل دارای چهار زوج سیم بوده و درون یک روکش قرار می گیرند. هر زوج با تعداد مشخصی پیچ تابانده شده ( در واحد اینچ ) تا تاثیر پذیری آن از سایر زوج ها و یاسایر دستگاههای الکتریکی کاهش یابد.
● کاربردهای شبکه
هسته اصلی سیستم های توزیع اطلاعات را شبکه های کامپیوتری تشکیل می دهند. مفهوم شبکه های کامپیوتری بر پایه اتصال کامپیوتر ها و دیگر تجهیزات سخت افزاری به یکدیگر برای ایجاد امکان ارتباط و تبادل اطلاعات استوار شده است. گروهی از کامپیوتر ها و دیگر تجهیزات متصل به هم را یک شبکه می نامند. کامپیوتر هایی که در یک شبکه واقع هستند، میتوانند اطلاعات، پیام، نرم افزار و سخت افزارها را بین یکدیگر به اشتراک بگذارند. به اشتراک گذاشتن اطلاعات، پیام ها و نرم افزارها، تقریباً برای همه قابل تصور است در این فرایند نسخه ها یا کپی اطلاعات نرم افزاری از یک کامپیوتر به کامپیوتر دیگر منتقل می شود. هنگامی که از به اشتراک گذاشتن سخت افزار سخن می گوییم به معنی آن است که تجهیزاتی نظیر چاپگر یا دستگاه مودم را می توان به یک کامپیوتر متصل کرد و از کامپیوتر دیگر واقع در همان شبکه، از آن ها استفاده نمود.
به عنوان مثال در یک سازمان معمولاً اطلاعات مربوط به حقوق و دستمزدپرسنل در بخش حسابداری نگهداری می شود. در صورتی که در این سازمان از شبکه کامپیوتری استفاده شده باشد، مدیر سازمان می تواند از دفتر خود به این اطلاعات دسترسی یابد و آن ها را مورد بررسی قرار دهد. به اشتراک گذاشتن اطلاعات و منابع نرم افزاری و سخت افزاری دارای مزیت های فراوانی است. شبکه های کامپیوتری می توانند تقریباً هر نوع اطلاعاتی را به هر شخصی که به شبکه دسترسی داشته باشد عرضه کنند. این ویژگی امکان پردازش غیر متمرکزاطلاعات را فراهم می کند. در گذشته به علت محدود بودن روش های انتقال اطلاعات کلیه فرایند های پردازش آن نیز در یک محل انجام می گرفته است. سهولت و سرعت روش های امروزی انتقال اطلاعات در مقایسه با روش هایی نظیر انتقال دیسکت یا نوار باعث شده است که ارتباطات انسانی نیز علاوه بر مکالمات صوتی، رسانه ای جدید بیابند.
به کمک شبکه های کامپیوتری می توان در هزینه های مربوط به تجهیزات گران قیمت سخت افزاری نظیر هارد دیسک، دستگاه های ورود اطلاعات و… صرفه جویی کرد. شبکه های کامپیوتری، نیازهای کاربران در نصب منابع سخت افزاری را رفع کرده یا به حداقل می رسانند. از شبکه های کامپیوتری می توان برای استاندارد سازی برنامه های کاربردی نظیر واژه پردازها و صفحه گسترده ها، استفاده کرد. یک برنامه کاربردی می تواند در یک کامپیوتر مرکزی واقع در شبکه اجرا شود و کاربران بدون نیاز به نگهداری نسخه اصلی برنامه، از آن در کامپیوتر خود استفاده کنند.
استاندارد سازی برنامه های کاربردی دارای این مزیت است که تمام کاربران و یک نسخه مشخص استفاده می کنند. این موضوع باعث می شود تا پشتیبانی شرکت عرضه کننده نرم افزار از محصول خود تسهیل شده و نگهداری از آن به شکل موثرتری انجام شود. مزیت دیگر استفاده از شبکه های کامپیوتری، امکان استفاده از شبکه برای برقراری ارتباطات روی خط (Online) از طریق ارسال پیام است. به عنوان مثال مدیران می توانند برای ارتباط با تعداد زیادی از کارمندان از پست الکترونیکی استفاده کنند.
● تاریخچه پیدایش شبکه
در سال ۱۹۵۷ نخستین ماهواره، یعنی اسپوتنیک توسط اتحاد جماهیر شوروی سابق به فضا پرتاب شد. در همین دوران رقابت سختی از نظر تسلیحاتی بین دو ابرقدرت آن زمان جریان داشت و دنیا در دوران رقابت سختی از نظر تسلیحاتی بین دو ابر قدرت آن زمان جریان داشت و دنیا در دوران جنگ سرد به سر می برد. وزارت دفاع امریکا در واکنش به این اقدام رقیب نظامی خود، آژانس پروژه های تحقیقاتی پیشرفته یا آرپا (ARPA) را تاسیس کرد. یکی از پروژه های مهم این آژانس تامین ارتباطات در زمان جنگ جهانی احتمالی تعریف شده بود. در همین سال ها در مراکز تحقیقاتی غیر نظامی که بر امتداد دانشگاه ها بودند، تلاش برای اتصال کامپیوترها به یکدیگر در جریان بود. در آن زمان کامپیوتر های Mainframe از طریق ترمینال ها به کاربران سرویس می دادند. در اثر اهمیت یافتن این موضوع آژانس آرپا (ARPA) منابع مالی پروژه اتصال دو کامپیوتر از راه دور به یکدیگر را در دانشگاه MIT بر عهده گرفت. در اواخر سال ۱۹۶۰ اولین شبکه کامپیوتری بین چهار کامپیوتر که دو تای آنها در MIT، یکی در دانشگاه کالیفرنیا و دیگری در مرکز تحقیقاتی استنفورد قرار داشتند، راه اندازی شد. این شبکه آرپانت نامگذاری شد. در سال ۱۹۶۵ نخستین ارتباط راه دور بین دانشگاه MIT و یک مرکز دیگر نیز برقرار گردید.
در سال ۱۹۷۰ شرکت معتبر زیراکس یک مرکز تحقیقاتی در پالوآلتو تاسیس کرد. این مرکز در طول سال ها مهمترین فناوری های مرتبط با کامپیوتر را معرفی کرده است و از این نظریه به یک مرکز تحقیقاتی افسانه ای بدل گشته است. این مرکز تحقیقاتی که پارک (PARC) نیز نامیده می شود، به تحقیقات در زمینه شبکه های کامپیوتری پیوست. تا این سال ها شبکه آرپانت به امور نظامی اختصاص داشت، اما در سال ۱۹۲۷ به عموم معرفی شد. در این سال شبکه آرپانت مراکز کامپیوتری بسیاری از دانشگاه ها و مراکز تحقیقاتی را به هم متصل کرده بود. در سال ۱۹۲۷ نخستین نامه الکترونیکی از طریق شبکه منتقل گردید.
در این سال ها حرکتی غیر انتفاعی به نام MERIT که چندین دانشگاه بنیان گذار آن بوده اند، مشغول توسعه روش های اتصال کاربران ترمینال ها به کامپیوتر مرکزی یا میزبان بود. مهندسان پروژه MERIT در تلاش برای ایجاد ارتباط بین کامپیوتر ها، مجبور شدند تجهیزات لازم را خود طراحی کنند. آنان با طراحی تجهیزات واسطه برای مینی کامپیوتر DECPDP-۱۱ نخستین بستر اصلی یا Backbone شبکه کامپیوتری را ساختند. تا سال ها نمونه های اصلاح شده این کامپیوتر با نام PCP یا Primary Communications Processor نقش میزبان را در شبکه ها ایفا می کرد. نخستین شبکه از این نوع که چندین ایالت را به هم متصل می کرد Michnet نام داشت.
روش اتصال کاربران به کامپیوتر میزبان در آن زمان به این صورت بود که یک نرم افزار خاص بر روی کامپیوتر مرکزی اجرا می شد. و ارتباط کاربران را برقرار می کرد. اما در سال ۱۹۷۶ نرم افزار جدیدی به نام Hermes عرضه شد که برای نخستین بار به کاربران اجازه می داد تا از طریق یک ترمینال به صورت تعاملی مستقیما به سیستم MERIT متصل شوند.این، نخستین باری بود که کاربران می توانستند در هنگام برقراری ارتباط از خود بپرسند: کدام میزبان؟
از وقایع مهم تاریخچه شبکه های کامپیوتری، ابداع روش سوئیچینگ بسته ای یا Packet Switching است. قبل از معرفی شدن این روش از سوئیچینگ مداری یا Circuit Switching برای تعیین مسیر ارتباطی استفاده می شد. اما در سال ۱۹۷۴ با پیدایش پروتکل ارتباطی TCP/IP از مفهوم Packet Switching استفاده گسترده تری شد. این پروتکل در سال ۱۹۸۲ جایگزین پروتکل NCP شد و به پروتکل استاندارد برای آرپانت تبدیل گشت. در همین زمان یک شاخه فرعی بنام MILnet در آرپانت همچنان از پروتکل قبلی پشتیبانی می کرد و به ارائه خدمات نظامی می پرداخت. با این تغییر و تحول، شبکه های زیادی به بخش تحقیقاتی این شبکه متصل شدند و آرپانت به اینترنت تبدیل گشت. در این سال ها حجم ارتباطات شبکه ای افزایش یافت و مفهوم ترافیک شبکه مطرح شد.
مسیر یابی در این شبکه به کمک آدرس های IP به صورت ۳۲ بیتی انجام می گرفته است. هشت بیت اول آدرس IP به شبکه های محلی تخصیص داده شده بود که به سرعت مشخص گشت تناسبی با نرخ رشد شبکه ها ندارد و باید در آن تجدید نظر شود. مفهوم شبکه های LAN و شبکه های WAN در سال دهه ۷۰ میلادی از یکدیگر تفکیک شدند.
در آدرس دهی ۳۲ بیتی اولیه، بقیه ۲۴ بیت آدرس به میزبان در شبکه اشاره می کرد.
در سال ۱۹۸۳ سیستم نامگذاری دامنه ها (Domain Name System) به وجود آمد و اولین سرویس دهنده نامگذاری (Name Server) راه اندازی شد و استفاده از نام به جای آدرس های عددی معرفی شد. در این سال تعداد میزبان های اینترنت از مرز ده هزار عدد فراتر رفته بود. اجزای شبکه
یک شبکه کامپیوتری شامل اجزایی است که برای درک کارکرد شبکه لازم است تا با کارکرد هر یک از این اجزا آشنا شوید. شبکه های کامپیوتری در یک نگاه کلی دارای چهار قسمت هستند. مهمترین قسمت یک شبکه، کامپیوتر سرویس دهنده (Server) نام دارد. یک سرور در واقع یک کامپیوتر با قابلیت ها و سرعت بالا است.. تمام اجزای دیگر شبکه به کامپیوتر سرور متصل می شوند. کامپیوتر سرور وظیفه به اشتراک گذاشتن منابع نظیر فایل، دایرکتوری و غیره را بین کامپیوترهای سرویس گیرنده بر عهده دارد. مشخصات کامپیوترهای سرویس گیرنده می تواند بسیار متنوع باشد و در یک شبکه واقعی Client ها دارای آرایش و مشخصات سخت افزاری متفاوتی هستند. تمام شبکه های کامپیوتری دارای بخش سومی هستند که بستر یا محیط انتقال اطلاعات را فراهم می کند. متداول ترین محیط انتقال در یک شبکه کابل است.
تجهیزات جانبی یا منابع سخت افزاری نظیر چاپگر، مودم، هارددیسک، تجهیزات ورود اطلاعات نظیر اسکند و غیره، تشکیل دهنده بخش چهارم شبکه های کامپیوتری هستند. تجهیزات جانبی از طریق کامپیوتر سرور در دسترس تمام کامپیوترهای واقع در شبکه قرار می گیرند. شما می توانید بدون آنکه چاپگری مستقیماً به کامپیوتر شما متصل باشد، از اسناد خود چاپ بگیرید. در عمل چاپگر از طریق سرور شبکه به کامپیوتر شما متصل است.
● ویژگی های شبکه
همانطور که قبلاً گفته شد، یکی از مهمترین اجزای شبکه های کامپیوتری، کامپیوتر سرور است. سرور مسئول ارائه خدماتی از قبیل انتقال فایل، سرویس های چاپ و غیره است. با افزایش حجم ترافیک شبکه، ممکن است برای سرور مشکلاتی بروز کند. در شبکه های بزرگ برای حل این مشکل، از افزایش تعداد کامپیوترهای سرور استفاده می شود که به این سرور ها، سرور های اختصاصی گفته می شود. دو نوع متداول این سرور ها عبارتند از File and Print server و Application server. نوع اول یعنی سرویس دهنده فایل و چاپ مسئول ارائه خدماتی از قبیل ذخیره سازی فایل، حذف فایل و تغییر نام فایل است که این درخواست ها را از کامپیوتر های سرویس گیرنده دریافت می کند. این سرور همچنین مسئول مدیریت امور چاپگر نیز هست.
هنگامی که یک کاربر درخواست دسترسی به فایلی واقع در سرور را ارسال می کند، کامپیوتر سرور نسخه ای از فایل کامل را برای آن کاربر ارسال می کند. بدین ترتیب کاربر می تواند به صورت محلی، یعنی روی کامپیوتر خود این فایل را ویرایش کند. کامپیوتر سرویس دهنده چاپ، مسئول دریافت درخواست های کاربران برای چاپ اسناد است. این سرور این درخواست ها را در یک صف قرار می دهد و به نوبت آن ها را به چاپگر ارسال می کند. این فرآیند Spooling نام دارد. به کمک Spooling کاربران می توانند بدون نیاز به انتظار برای اجرای فرمان Print به فعالیت برروی کامپیوتر خود ادامه دهند.
نوع دیگر سرور، Application Server نام دارد. این سرور مسئول اجرای برنامه های Client/Server و تامین داده های سرویس گیرنده است. سرویس دهنده ها، حجم زیادی از اطلاعات را در خود نگهداری می کنند. برای امکان بازیابی سریع و ساده اطلاعات، این داده ها در یک ساختار مشخص ذخیره می شوند. هنگامی که کاربری درخواستی را به چنین سرویس دهنده ای ارسال می کند. سرور نتیجه درخواست را به کامپیوتر کاربر انتقال می دهد. به عنوان مثال یک شرکت بازاریابی را در نظر بگیرید. این شرکت در نظر دارد تا برای مجموعه ای از محصولات جدید خود تبلیغ کند. این شرکت می تواند برای کاهش حجم ترافیک، برای مشتریان با طیف درآمدهای مشخص، فقط گروهی از محصولات را تبلیغ نماید.
علاوه بر سرور های یاد شده، در یک شبکه می توان برای خدماتی از قبیل پست الکترونیک، فکس، سرویس های دایرکتوری و غیره نیز سرورهایی اختصاص داد. اما بین سرور های فایل و Application Server ها تفاوت های مهمی نهفته است. یک سرور فایل در پاسخ به درخواست کاربر برای دسترسی به یک فایل، یک نسخه کامل از فایل را برای او ارسال می کند درحالی که یک Application Server فقط نتایج درخواست کاربر را برای وی ارسال می نماید.● تقسیم بندی شبکه
▪ تقسیم بندی براساس گستره جغرافیایی (Range)
شبکه های کامپیوتری براساس موقعیت و محل نصب دارای انواع متفاوتی هستند. یکی از مهمترین عوامل تعیین نوع شبکه مورد نیاز، طول فواصل ارتباطی بین اجزای شبکه است.
شبکه های کامپیوتری گستره جغرافیایی متفاوتی دارند که از فاصله های کوچک در حدود چند متر شروع شده و در بعضی از مواقع از فاصله بین چند کشور بالغ می شود. شبکه های کامپیوتری براساس حداکثر فاصله ارتباطی آنها به سه نوع طبقه بندی می شوند. یکی از انواع شبکه های کامپیوتری، شبکه محلی (LAN) یا Local Area Network است. این نوع از شبکه دارای فواصل کوتاه نظیر فواصل درون ساختمانی یا حداکثر مجموعه ای از چند ساختمان است. برای مثال شبکه مورد استفاده یک شرکت را در نظر بگیرید. در این شبکه حداکثر فاصله بین کامپیوتر ها محدود به فاصله های بین طبقات ساختمان شرکت می باشد.
در شبکه های LAN کامپیوترها در سطح نسبتاً کوچکی توزیع شده اند و معمولاً توسط کابل به هم اتصال می یابند. به همین دلیل شبکه های LAN را گاهی به تسامح شبکه های کابلی نیز می نامند.
نوع دوم شبکه های کامپیوتری، شبکه های شهری MAN یا Metropolitan Area Network هستند. فواصل در شبکه های شهری از فواصل شبکه های LAN بزرگتر است و چنین شبکه هایی دارای فواصلی در حدود ابعاد شهری هستند. شبکه های MAN معمولاً از ترکیب و ادغام دو یا چند شبکه LAN به وجود می آیند. به عنوان مثال از شبکه های MAN موردی را در نظر بگیرید که شبکه های LAN یک شهر را از دفتر مرکزی در شهر A به دفتر نمایندگی این شرکت در شهر B متصل می سازد.
در نوع سوم شبکه های کامپیوتری موسوم به WAN یا (Wide Area Network) یا شبکه های گسترده، فواصل از انواع دیگر شبکه بیشتر بوده و به فاصله هایی در حدود ابعاد کشوری یا قاره ای بالغ می شود. شبکه های WAN از ترکیب چندین شبکه LAN یا MAN ایجاد می گردند. شبکه اتصال دهنده دفاتر هواپیمایی یک شرکت در شهرهای مختلف چند کشور، یک یک شبکه WAN است.
▪ تقسیم بندی براساس گره (Node)
این نوع از تقسیم بندی شبکه ها براساس ماهیت گره ها یا محل های اتصال خطوط ارتباطی شبکه ها انجام می شود. در این گروه بندی شبکه ها به دو نوع تقسیم بندی می شوند. تفاوت این دو گروه از شبکه ها در قابلیت های آن نهفته است. این دو نوع اصلی از شبکه ها، شبکه هایی از نوع نظیر به نظیر (Peer to Peer) و شبکه های مبتنی بر Server یا Server Based نام دارند. در یک شبکه نظیر به نظیر یا Peer to Peer، بین گره های شبکه هیچ ترتیب یا سلسله مراتبی وجود ندارد و تمام کامپیوتر های واقع در شبکه از اهمیت یا اولویت یکسانی برخوردار هستند. به شبکه Peer to Peer یک گروه کاری یا Workgroup نیز گفته می شود. در این نوع از شبکه ها هیچ کامپیوتری در شبکه به طور اختصاصی وظیفه ارائه خدمات همانند سرور را ندارد. به این جهت هزینه های این نوع شبکه پایین بوده و نگهداری از آنها نسبتاً ساده می باشد. در این شبکه ها براساس آن که کدام کامپیوتر دارای اطلاعات مورد نیاز دیگر کامپیوتر هاست، همان دستگاه نقش سرور را برعهده می گیرد. و براساس تغییر این وضعیت در هر لحظه هر یک از کامپیوتر ها می توانند سرور باشند. و بقیه سرویس گیرنده. به دلیل کارکرد دوگانه هر یک از کامپیوتر ها به عنوان سرور و سرویس گیرنده، هر کامپیوتر در شبکه لازم است تا بر نوع کارکرد خود تصمیم گیری نماید. این فرآیند تصمیم گیری، مدیریت ایستگاه کاری یا سرور نام دارد. شبکه هایی از نوع نظیر به نظیر مناسب استفاده در محیط هایی هستند که تعداد کاربران آن بیشتر از ۱۰ کاربر نباشد.
سیستم عامل هایی نظیر Windows NT Workstation، Windows ۹X یا Windows for Workgroup نمونه هایی از سیستم عامل های با قابلیت ایجاد شبکه های نظیر به نظیر هستند. در شبکه های نظیر به نظیر هر کاربری تعیین کننده آن است که در روی سیستم خود چه اطلاعاتی می تواند در شبکه به اشتراک گذاشته شود. این وضعیت همانند آن است که هر کارمندی مسئول حفظ و نگهداری اسناد خود می باشد.
در نوع دوم شبکه های کامپیوتری یعنی شبکه های مبتنی بر سرور، به تعداد محدودی از کامپیوتر ها وظیفه عمل به عنوان سرور داده می شود. در سازمان هایی که دارای بیش از ۱۰ کاربر در شبکه خود هستند، استفاده از شبکه های Peer to Peer نامناسب بوده و شبکه های مبتنی بر سرور ترجیح داده می شوند. در این شبکه ها از سرور اختصاصی برای پردازش حجم زیادی از درخواست های کامپیوترهای سرویس گیرنده استفاده می شود و آنها مسئول حفظ امنیت اطلاعات خواهند بود. در شبکه های مبتنی بر سرور، مدیر شبکه، مسئول مدیریت امنیت اطلاعات شبکه است و بر تعیین سطوح دسترسی به منابع شبکه مدیریت می کند. بدلیل اینکه اطلاعات در چنین شبکه هایی فقط روی کامپیوتر یا کامپیوتر های سرور متمرکز می باشند، تهیه نسخه های پشتیبان از آنها ساده تر بوده و تعیین برنامه زمانبندی مناسب برای ذخیره سازی و تهیه نسخه های پشتیبان از اطلاعات به سهولت انجام می پذیرد. در چنین شبکه هایی می توان اطلاعات را روی چند سرور نگهداری نمود، یعنی حتی در صورت از کار افتادن محل ذخیره اولیه اطلاعات (کامپیوتر سرور اولیه)، اطلاعات همچنان در شبکه موجود بوده و سیستم می تواند به صورت روی خط به کارکردخود ادامه دهد. به این نوع از سیستم ها Redundancy Systems یا سیستم های یدکی می گویند. برای بهره گیری از مزایای هر دو نوع از شبکه ها، معمولاً سازمان ها از ترکیبی از شبکه های نظیر به نظیر و مبتنی بر سرور استفاده می کنند. این نوع از شبکه ها، شبکه های ترکیبی یا Combined Network نام دارند. در شبکه های ترکیبی دو نوع سیستم عامل برای تامین نیازهای شبکه مورد استفاده قرار می گیرند. به عنوان مثال یک سازمان می تواند از سیستم عامل Windows NT Server برای به اشتراک گذاشتن اطلاعات مهم و برنامه های کاربردی در شبکه خود استفاده کنند. در این شبکه، کامپیوتر های Client می توانند از سیستم عامل ویندوز ۹۵ استفاده کنند. در این وضعیت، کامپیوتر ها می توانند ضمن قابلیت دسترسی به اطلاعات سرور ویندوز NT، اطلاعات شخصی خود را نیز با دیگر کاربران به اشتراک بگذارند.
● تقسیم بندی شبکه ها براساس توپولوژی
نوع آرایش یا همبندی اجزای شبکه بر مدیریت و قابلیت توسعه شبکه نیز تاثیر می گذارد. برای طرح بهترین شبکه از جهت پاسخگویی به نیازمندی ها، درک انواع آرایش شبکه دارای اهمیت فراوانی است. انواع همبندی شبکه، بر سه نوع توپولوژی استوار شده است. این انواع عبارتند از:
▪ توپولوژی خطی یا BUS
▪ حلقه ای یا RING
▪ ستاره ای یا STAR.
توپولوژی BUS ساده ترین توپولوژی مورد استفاده شبکه ها در اتصال کامپیوتر ها است. در این آرایش تمام کامپیوتر ها به صورت ردیفی به یک کابل متصل می شوند. به این کابل در این آرایش، بستر اصلی (Back Bone) یا قطعه (Segment) اطلاق می شود. در این آرایش، هر کامپیوتر آدرس یا نشانی کامپیوتر مقصد را به پیام خودافزوده و این اطلاعات را به صورت یک سیگنال الکتریکی روی کابل ارسال می کند. این سیگنال توسط کابل به تمام کامپیوتر های شبکه ارسال می شود. کامپیوتر هایی که نشانی آن ها با نشانی ضمیمه شده به پیام انطباق داشته باشد، پیام را دریافت می کنند. در کابل های ارتباط دهنده کامپیوتر های شبکه، هر سیگنال الکتریکی پس از رسیدن به انتهای کابل، منعکس شده و دوباره در مسیر مخالف در کابل به حرکت در می آید. برای جلوگیری از انعکاس سیگنال در انتهای کابل ها، از یک پایان دهنده یا Terminator استفاده می شود. فراموش کردن این قطعه کوچک گاهی موجب از کار افتادن کل شبکه می شود. در این آرایش شبکه، در صورت از کار افتادن هر یک از کامپیوتر ها آسیبی به کارکرد کلی شبکه وارد نخواهد شد. در برابر این مزیت اشکال این توپولوژی در آن است که هر یک از کامپیوتر ها باید برای ارسال پیام منتظر فرصت باشد. به عبارت دیگر در این توپولوژی در هر لحظه فقط یک کامپیوتر می تواند پیام ارسال کند. اشکال دیگر این توپولوژی در آن است که تعداد کامپیوتر های واقع در شبکه تاثیر معکوس و شدیدی بر کارایی شبکه می گذارد. در صورتی که تعداد کاربران زیاد باشد، سرعت شبکه به مقدار قابل توجهی کند می شود. علت این امر آن است که در هر لحظه یک کامپیوتر باید برای ارسال پیام مدت زمان زیادی به انتظار بنشیند. عامل مهم دیگری که باید در نظر گرفته شود آن است که در صورت آسیب دیدگی کابل شبکه، ارتباط در کل شبکه قطع شود.
آرایش نوع دوم شبکه های کامپیوتری، آرایش ستاره ای است. در این آرایش تمام کامپیوتر های شبکه به یک قطعه مرکزی به نام Hub متصل می شوند. در این آرایش اطلاعات قبل از رسیدن به مقصد خود از هاب عبور می کنند. در این نوع از شبکه ها در صورت از کار افتادن یک کامپیوتر یا بر اثر قطع شدن یک کابل، شبکه از کار خواهد افتاد. از طرف دیگر در این نوع همبندی، حجم زیادی از کابل کشی مورد نیاز خواهد بود، ضمن آنکه بر اثر از کار افتادن هاب، کل شبکه از کار خواهد افتاد.
سومین نوع توپولوژی، حلقه ای نام دارد. در این توپولوژی همانند آرایش BUS، تمام کامپیوتر ها توسط یک کابل به هم متصل می شوند. اما در این نوع، دو انتهای کابل به هم متصل می شود و یک حلقه تشکیل می گردد. به این ترتیب در این آرایش نیازی به استفاده از قطعه پایان دهنده یا Terminator نخواهد بود. در این نوع از شبکه نیز سیگنال های مخابراتی در طول کابل حرکت کرده و از تمام کامپیوتر ها عبور می کنند تا به کامپیوتر مقصد برسند. یعنی تمام کامپیوتر ها سیگنال را دریافت کرده و پس از تقویت، آن را به کامپیوتر بعدی ارسال می کنند. به همین جهت به این توپولوژی، توپولوژی فعال یا Active نیز گفته می شود. در این توپولوژی در صورت از کار افتادن هر یک از کامپیوتر ها، کل شبکه از کار خواهد افتاد، زیرا همانطور که گفته شده هر کامپیوتر وظیفه دارد تا سیگنال ارتباطی (که به آن نشانه یا Token نیز گفته می شود) را دریافت کرده، تقویت کند و دوباره ارسال نماید. این حالت را نباید با دریافت خود پیام اشتباه بگیرد. این حالت چیزی شبیه عمل رله در فرستنده های تلوزیونی است.
از ترکیب توپولوژی های ستاره ای، حلقه ای و خطی، یک توپولوژی ترکیبی (Hybrid) به دست می آید. از توپولوژی هیبرید در شبکه های بزرگ استفاده می شود. خود توپولوژی هیبرید دارای دو نوع است. نوع اول توپولوژی خطی – ستاره ای نام دارد. همانطور که از نام آن بر می آید، در این آرایش چندین شبکه ستاره ای به صورت خطی به هم ارتباط داده می شوند. در این وضعیت اختلال در کارکرد یک کامپیوتر، تاثیر در بقیه شبکه ایجاد نمی کند. ضمن آنکه در صورت از کار افتادن هاب فقط بخشی از شبکه از کار خواهد افتاد. در صورت آسیب دیدگی کابل اتصال دهنده هاب ها، فقط ارتباط کامپیوتر هایی که در گروه های متفاوت هستند قطع خواهد شد و ارتباط داخلی شبکه پایدار می ماند. نوع دوم نیز توپولوژی ستاره ای – حلقه ای نام دارد. در این توپولوژی هاب های چند شبکه از نوع حلقه ای در یک الگوی ستاره ای به یک هاب مرکزی متصل می شوند.
● امنیت شبکه
یکی از مهم ترین فعالیت های مدیر شبکه، تضمین امنیت منابع شبکه است. دسترسی غیر مجاز به منابع شبکه و یا ایجاد آسیب عمدی یا غیر عمدی به اطلاعات، امنیت شبکه را مختل می کند. از طرف دیگر امنیت شبکه نباید آنچنان باشد که کارکرد عادی کاربران را مشکل سازد. برای تضمین امنیت اطلاعات و منابع سخت افزاری شبکه، از دو مدل امنیت شبکه استفاده می شود. این مدل ها عبارتند از: امنیت در سطح اشتراک (Share-Level) و امنیت در سطح کاربر (User-Level). در مدل امنیت در سطح اشتراک، این عمل با انتساب اسم رمز یا Password برای هر ترفند شبکه – به اشتراک گذاشته تامین می شود. دسترسی به منابع مشترک فقط هنگامی برقرار می گردد که کاربر اسم رمز صحیح را برای ترفند شبکه – به اشتراک گذاشته شده را به درستی بداند.
به عنوان مثال اگر سندی قابل دسترسی برای سه کاربر باشد، می توان با نسبت دادن یک اسم رمز به این سند مدل امنیت در سطح Share-Level را پیاده سازی کرد. منابع شبکه را می توان در سطوح مختلف به اشتراک گذاشت. برای مثال در سیستم عامل ویندوز ۹۵ می توان دایرکتوری ها را بصورت فقط خواندنی (Read Only)، برحسب اسم رمز یا به شکل کامل (Full) به اشتراک گذاشت. از مدل امنیت در سطح Share-Level می توان برای ایجاد بانک های اطلاعاتی ایمن استفاده کرد.
در مدل دوم یعنی امنیت در سطح کاربران، دسترسی کاربران به منابع به اشتراک گذاشته شده با دادن اسم رمز به کاربران تامیین می شود. در این مدل کاربران در هنگام اتصال به شبکه باید اسم رمز و کلمه عبور را وارد نمایند. در اینجا سرور مسئول تعیین اعتبار اسم رمز و کلمه عبور است. سرور در هنگام دریافت درخواست کاربر برای دسترسی به ترفند شبکه – به اشتراک گذاشته شده، به بانک اطلاعاتی خود مراجعه کرده و درخواست کاربر را رد یا قبول می کند.
تفاوت این دو مدل در آن است که در مدل امنیت در سطح Share-Level، اسم رمز به ترفند شبکه – نسبت داده شده و در مدل دوم اسم رمز و کلمه عبور به کاربر نسبت داده می شود. بدیهی است که مدل امنیت در سطح کاربر بسیار مستحکم تر از مدل امنیت در سطح اشتراک است. بسیاری از کاربران به راحتی می توانند اسم رمز یک ترفند شبکه – را به دیگران بگویند. اما اسم رمز و کلمه عبور شخصی را نمی توان به سادگی به شخص دیگری منتقل کرد.
● آشنایی با مدل OSI (هفت لایه شبکه)
هر فعالیتی در شبکه مستلزم ارتباط بین نرم افزار و سخت افزار کامپیوتر و اجزای دیگر شبکه است. انتقال اطلاعات بین کامپیوترهای مختلف در شبکه وابسته به انتقال اطلاعات بین بخش های نرم افزاری و سخت افزاری درون هر یک از کامپیوتر هاست. هر یک از فرایند های انتقال اطلاعات را می توان به بخش های کوچک تری تقسیم کرد. هر یک از این فعالیت های کوچک را سیستم عامل براساس دسته ای از قوانین مشخص انجام می دهد. این قوانین را پروتکل می نامند. پروتکل ها تعیین کننده روش کار در ارتباط بین بخش های نرم افزاری و سخت افزاری شبکه هستند. بخش های نرم افزاری و سخت افزاری تولیدکنندگان مختلف دارای مجموعه پروتکل های متفاوتی می باشند.
برای استاندارد سازی پروتکل های ارتباطی، سازمان استاندارد های بین المللی (ISO) در سال ۱۹۸۴ اقدام به تعیین مدل مرجع OSI یا Open Systems Interconnection نمود. مدل مرجع OSI ارائه دهنده چارچوب طراحی محیط های شبکه ای است. در این مدل، جزئیات بخش های نرم افزاری و سخت افزاری برای ایجاد سهولت انتقال اطلاعات مطرح شده است و در آن کلیه فعالیت های شبکه ای در هفت لایه مدل سازی می شود. هنگام بررسی فرآیند انتقال اطلاعات بین دو کامپیوتر، مدل هفت لایه ای OSI روی هر یک از کامپیوتر ها پیاده سازی می گردد. در تحلیل این فرآیند ها می توان عملیات انتقال اطلاعات را بین لایه های متناظر مدل OSI واقع در کامپیوتر های مبدا و مقصد در نظر گرفت. این تجسم از انتقال اطلاعات را انتقال مجازی (Virtual) می نامند. اما انتقال واقعی اطلاعات بین لایه های مجاور مدل OSI واقع در یک کامپیوتر انجام می شود. در کامپیوتر مبدا اطلاعات از لایه فوقانی به طرف لایه تحتانی مدل OSI حرکت کرده و از آنجا به لایه زیرین مدل OSI واقع در کامپیوتر مقصد ارسال می شوند. در کامپیوتر مقصد اطلاعات از لایه های زیرین به طرف بالاترین لایه مدل OSI حرکت می کنند. عمل انتقال اطلاعات از یک لایه به لایه دیگر در مدل OSI از طریق واسطه ها یا Interface ها انجام می شود. این واسطه ها تعیین کننده سرویس هایی هستند که هر لایه مدل OSI می تواند برای لایه مجاور فراهم آورد.
بالاترین لایه مدل OSI یا لایه هفت، لایه کاربرد یا Application است. این لایه تامیین کننده سرویس های پشتیبانی برنامه های کاربردی نظیر انتقال فایل، دسترسی به بانک اطلاعاتی و پست الکترونیکی است.
لایه شش، لایه نمایش یا Presentation است. این لایه تعیین کننده فرمت یا قالب انتقال داده ها بین کامپیوتر های واقع در شبکه است. این لایه در کامپیوتر مبدا داده هایی که باید انتقال داده شوند را به یک قالب میانی تبدیل می کند. این لایه در کامپیوتر مقصد اطلاعات را از قالب میانی به قالب اولیه تبدیل می کند.
لایه پنجم در این مدل، لایه جلسه یا Session است. این لایه بر برقراری اتصال بین دو برنامه کاربردی روی دو کامپیوتر مختلف واقع در شبکه نظارت دارد. همچنین تامین کننده همزمانی فعالیت های کاربر نیز هست.
لایه چهارم یا لایه انتقال (Transmission) مسئول ارسال و دریافت اطلاعات و کمک به رفع خطاهای ایجاد شده در طول ارتباط است. هنگامی که حین یک ارتباط خطایی بروز دهد، این لایه مسئول تکرار عملیات ارسال داده است.
لایه سوم در مدل OSI، مسئول آدرس یا نشانی گذاری پیام ها و تبدیل نشانی های منطقی به آدرس های فیزیکی است. این لایه همچنین مسئول مدیریت بر مشکلات مربوط به ترافیک شبکه نظیر کند شدن جریان اطلاعات است. این لایه، لایه شبکه یا Network نام دارد.
لایه دوم مدل OSI، لایه پیوند یا Data Link است. این لایه وظیفه دارد تا اطلاعات دریافت شده از لایه شبکه را به قالبی منطقی به نام فریم (Frame) تبدیل کند. در کامپیوتر مقصد این لایه همچنین مسئول دریافت بدون خطای این فریم ها است.
لایه زیرین در این مدل، لایه فیزیکی یا Physical است. این لایه اطلاعات را بصورت جریانی از رشته های داده ای و بصورت الکترونیکی روی کابل هدایت می کند. این لایه تعریف کننده ارتباط کابل و کارت شبکه و همچنین تعیین کننده تکنیک ارسال و دریافت داده ها نیز هست.
● پروتکل ها
فرآیند به اشتراک گذاشتن اطلاعات نیازمند ارتباط همزمان شده ای بین کامپیوتر های شبکه است. برای ایجاد سهولت در این فرایند، برای هر یک از فعالیت های ارتباط شبکه ای، مجموعه ای از دستور العمل ها تعریف شده است. هر دستور العمل ارتباطی یک پروتکل یا قرارداد نام دارد. یک پروتکل تامین کننده توصیه هایی برای برقراری ارتباط بین اجزای نرم افزاری و سخت افزاری در انجام یک فعالیت شبکه ای است. هر فعالیت شبکه ای به چندین مرحله سیستماتیک تفکیک می شود.
هر مرحله با استفاده از یک پروتکل منحصر به فرد، یک عمل مشخص را انجام می دهد. این مراحل باید با ترتیب یکسان در تمام کامپیوترهای واقع در شبکه انجام شوند. در کامپیوتر مبدا مراحل ارسال داده از لایه بالایی شروع شده و به طرف لایه زیرین ادامه می یابد. در کامپیوتر مقصد مراحل مشابه در جهت معکوس از پایین به بالا انجام می شود. در کامپیوتر مبدا، پروتکل اطلاعات را به قطعات کوچک شکسته، به آن ها آدرس هایی نسبت می دهند و قطعات حاصله یا بسته ها را برای ارسال از طریق کابل آماده می کنند. در کامپیوتر مقصد، پروتکل ها داده ها را از بسته ها خارج کرده و به کمک نشانی های آن ها بخش های مختلف اطلاعات را با ترتیب صحیح به هم پیوند می دهند تا اطلاعات به صورت اولیه بازیابی شوند.
پروتکل های مسئول فرآیندهای ارتباطی مختلف برای جلوگیری از تداخل و یا عملیات ناتمام، لازم است که به صورت گروهی به کار گرفته شوند. این عمل به کمک گروهبندی پروتکل های مختلف در یک معماری لایه ای به نام Protocol Stack یا پشته پروتکل انجام می گیرد. لایه های پروتکل های گروه بندی شده با لایه های مدل OSI انطباق دارند. هر لایه در مدل OSI پروتکل مشخصی را برای انجام فعالیت های خود بکار می برد. لایه های زیرین در پشته پروتکل ها تعیین کننده راهنمایی برای اتصال اجزای شبکه از تولیدکنندگان مختلف به یکدیگر است. لایه های بالایی در پشته پروتکل ها تعیین کننده مشخصه های جلسات ارتباطی برای برنامه های کاربردی می باشند. پروتکل ها براساس آن که به کدام لایه از مدل OSI متعلق باشند، سه نوع طبقه بندی می شوند. پروتکل های مربوط به سه لایه بالایی مدل OSI به پروتکل های Application یا کاربرد معروف هستند.
پروتکل های لایه Application تامیین کننده سرویس های شبکه در ارتباط بین برنامه های کاربردی با یکدیگر هستند. این سرویس ها شامل انتقال فایل، چاپ، ارسال پیام و سرویس های بانک اطلاعاتی هستند. پروتکل های لایه نمایش یا Presentation وظیفه قالب بندی و نمایش اطلاعات را قبل از ارسال بر عهده دارند. پروتکل های لایه جلسه یا Session اطلاعات مربوط به جریان ترافیک را به داده ها اضافه می کنند.
پروتکل های نوع دوم که به پروتکل های انتقال (Transparent) معروف هستند، منطبق بر لایه انتقال مدل OSI هستند. این پروتکل ها اطلاعات مربوط به ارسال بدون خطا یا در واقع تصحیح خطا را به داده ها می افزایند. وظایف سه لایه زیرین مدل OSI بر عهده پروتکل های شبکه است. پروتکل های لایه شبکه تامیین کننده فرآیندهای آدرس دهی و مسیریابی اطلاعات هستند. پروتکل های لایه Data Link اطلاعات مربوط به بررسی و کشف خطا را به داده ها اضافه می کنند و به درخواست های ارسال مجدد اطلاعات پاسخ می گویند. پروتکل های لایه فیزیکی تعیین کننده استاندارد های ارتباطی در محیط مشخصی هستند.
نویسنده :مهرداد امن زاده

امنیت در شبکه های بی سیم

Tags :

Category : تجهیزات سیسکو Cisco سوییچ Switch شبکه Network شبکه های بیسیم فایروال Firewall

امنیت در شبکه های بی سیم

مهمترین وظیفه یک شبکه کامپیوتری فراهم سازی امکان برقراری ارتباط میان گره های آن در تمام زمانها و شرایط گوناگون است به صورتی که برخی از محققین امنیت در یک شبکه را معادل استحکام و عدم بروز اختلال در آن می دانند. هر چند از زاویه ای این تعریف می تواند درست باشد اما بهتر است اضافه کنیم که امینت در یک شبکه علاوه بر امنیت کارکردی به معنی خصوصی بودن ارتباطات نیز هست. شبکه ای که درست کار کند و مورد حمله ویروسها و عوامل خارجی قرار نگیرد اما در عوض تبادل اطلاعات میان دو نفر در آن توسط دیگران شنود شود ایمن نیست. فرض کنید می خواهید با یک نفر در شبکه تبادل اطلاعات – بصورت email یا chat و… – داشته باشید، در اینصورت مصادیق امنیت در شبکه به این شکل است:

هیچ کس (فرد یا دستگاه) نباید بتواند وارد کامپیوتر شما و دوستتان شود .

تبادل اطلاعات شما را بشنود و یا از آن کپی زنده تهیه کند .

با شبیه سازی کامپیوتر دوست شما، به عنوان او با شما تبادل اطلاعات کند.

کامپیوتر شما یا دوستتان را از کار بیندازد

از منابع کامپیوتر شما برای مقاصد خود استفاده کند.

برنامه مورد علاقه خود – یا یک تکه کد کوچک – را در کامپیوتر شما نصب کند،

در مسیر ارتباطی میان شما و دوستتان اختلال بوجود آورد .

با سوء استفاده از کامپیوتر شما به دیگران حمله کند .

1-7-  مفاهيم امنيت شبکه

امنيت شبکه یا Network Security  پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود . مراحل ذیل برای ایجاد امنيت پيشنهاد وتایيد شده اند:

1- شناسایی بخشی که باید تحت محافظت قرار گيرد.

2- تصميم گيری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3- تصميم گيری درباره چگونگی تهدیدات

4- پياده سازی امکاناتی که بتوانند از دار ایی های شما به شيوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف برای تامين امنيت بر روی یک شبکه، یکی از بحرانی ترین و خطيرترین مراحل، تامين امنيت دسترسی وکنترل تجهيزات شبکه است.

امنيت در تجهيزات را ميتوان به دو دسته تقسيم کرد :

–  امنيت فيزیکی

–  امنيت منطقی

1-1-7- امنيت فيزیکی

امنيت فيزیکی بازه وسيعی از تدابير را در بر م یگيرد که استقرار تجهيزات در مکانهای امن و به دور ازخطر حملات نفوذگران و استفاده از افزونگی در سيستم از آن جمل هاند. با استفاده از افزونگی، اطمينان ازصحت عملکرد سيستم در صورت ایجاد و رخداد نقص در یکی از تجهيزات (که توسط عملکرد مشابه سخت افزار و یا سروی سدهنده مشابه جایگزین  میشود) بدست می آید.

در بررسی امنيت فيزیکی و اعمال آن، ابتدا باید به خط رهایی که از این طریق تجهزات شبکه را تهدیدمی کنند نگاهی داشته باشيم. پس از شناخت نسبتاً کامل این خطرها و حمله ها می توان به راه حل ها وترفندهای دفاعی در برابر اینگونه حملات پرداخت.

2-1-7- امنيت منطقی

امنيت منطقی به معنای استفاده از رو شهایی برای پایين آوردن خطرات حملات منطقی و نر مافزاری برضد تجهيزات شبکه است. برای مثال حمله به مسيریاب ها و سوئيچ های شبکه بخش مهمی از این گونه حملات را تشکيل می دهند.

2-7- امنيت در شبکه های بی سيم

از آن جا که شبکه های بی سيم، در دنيای کنونی هرچه بيشتر در حال گسترش هستند، و با توجه به ماهيت این دسته از شبکه ها، که بر اساس سيگنال های رادیویی اند، مهم ترین نکته در راه استفاده از این تکنولوژی، آگاهی از نقاط قوت و ضعف آن ست. نظر به لزوم آگاهی از خطرات استفاده از این شبکه ها، با وجود امکانات نهفته در آن ها که به مدد پيکربندی صحيح م یتوان به سطح قابل قبولی از بعد امنيتی دست یافت،ضمن معرفی ” امنيت در شبکه های بی سيم ” بنا داریم در این سری از مقالات با عنوان این شبکه ها با تأکيد بر ابعاد امنيتی آن ها، به روش های پيکربندی صحيح که احتمال رخ داد حملات را کاهش می دهند بپردازیم.

3-7- منشأ ضعف امنيتی در شبکه های بی سيم و خطرات معمول

خطر معمول در کلي هی شبکه های بی سيم مستقل از پروتکل و تکنولوژی مورد نظر، برمزیت اصلی این تکنولوژی که همان پویایی ساختار، مبتنی بر استفاده از سيگنال های رادیویی به جای سيم و کابل، استوار است. با استفاده از این سيگنال ها و در واقع بدون مرز ساختن پوشش ساختار شبکه، نفوذگران قادرند در صورت شکستن موانع امنيتی نه چندان قدرتمند این شبکه ها، خود را به عنوان عضوی از این شبکه ها جازده و در صورت تحقق این امر، امکان دست یابی به اطلاعات حياتی، حمله به سرویس دهنده گان سازمان و مجموعه، تخریب اطلاعات، ایجاد اختلال در ارتباطات گره های شبکه با یکدیگر، توليد داده های غيرواقعی و گمراه کننده، سوءاستفاده از پهنای باند مؤثر شبکه و دیگرفعاليت های مخرب وجود دارد.

در مجموع، در تمامی دست ههای شبکه های بی سيم، از دید امنيتی حقایقی مشترک صادق است  :تمامی ضعف های امنيتی موجود در شبک ههای سيمی، در مورد شبکه های بی سيم نيز صدق م یکند. در واقع نه تنها هيچ جنبه یی چه از لحاظ طراحی و چه از لحاظ ساختاری، خاص شبکه های بی سيم وجود ندارد که سطح بالاتری از امنيت منطقی را ایجاد کند، بلکه همان گونه که ذکر شد مخاطرات ویژه یی را نيز موجب است.

  • نفوذگران، با گذر از تدابير امنيتی موجود، م یتوانند به راحتی به منابع اطلاعاتی موجود بر روی سيستم های رایانه یی دست یابند.
  • اطلاعات حياتی ای که یا رمز نشده اند و یا با روشی با امنيت پایين رمزشده اند، و ميان دو گره در شبکه های بی سيم در حال انتقال م یباشند، می توانند توسط نفوذگران سرقت شده یا تغيير یابند.
  • حمله های DoSبه تجهيزات و سيست مهای بی سيم بسيار متداول است.
  • نفوذگران با سرقت کدهای عبور و دیگر عناصر امنيتی مشابه کاربران مجاز در شبکه های بی سيم، می توانند به شبکه ی مورد نظر بدون هيچ مانعی متصل گردند.
  • با سرقت عناصر امنيتی، یک نفوذگر می تواند رفتار یک کاربر را پایش کند. از این طریق می توان به اطلاعات حساس دیگری نيز دست یافت.
  • کامپيوترهای قابل حمل و جيبی، که امکان و اجازه ی استفاده ازشبکه ی بی سيم را دارند، به راحتی قابل سرقت هستند. با سرقت چنين سخت افزارهایی، می توان اولين قدم برای نفوذ به شبکه را برداشت.
  • یک نفوذگر می تواند از نقاط مشترک ميان یک شبکه ی بی سيم در یک سازمان و شبک هی سيمی آن (که در اغلب موارد شبکه ی اصلی و حساس تری محسوب می گردد) استفاده کرده و با نفوذ به شبکه ی بی سيم عملاً راهی برای دست یابی به منابع شبکه ی سيمی نيز بيابد.
  • در سطحی دیگر، با نفوذ به عناصر کنترل کننده ی یک شبک هی بی سيم،امکان ایجاد اختلال در عمل کرد شبکه نيز وجود دارد.

همان گونه که گفته شد، اغلب شبکه های محلی بی سيم بر اساس ساختار فوق، که به نوع Infrastructure نيز موسوم است، پياده سازی می شوند. با این وجود نوع دیگری از شبکه های محلی بی سيم نيز وجود دارند که از همان منطق نقطه به نقطه استفاده می کنند. در این شبکه ها که عموماً Ad hoc ناميده می شوند یک نقطه ی مرکزی برای دسترسی وجود ندارد و سخت افزارهای همراه – مانند کامپيوترهای کيفی و جيبی یاگوشی های موبایل – با ورود به محدوده ی تحت پوشش این شبکه، به دیگر تجهيزات مشابه متصل می گردند. این شبکه ها به بستر شبکه ی سيمی متصل نيستند و به همين منظور IBSS (Independent Basic Service Set) نيز خوانده میشوند.

شکل 1-7- شبکه های Ad hoc

شبکه های Ad hoc سویی مشابه شبکه های محلی درون دفتر کار هستند که در آنها نيازی به تعریف و پيکربند ی یک سيستم رایانه یی به عنوان خادم وجود ندارد. در این صورت تمامی تجهيزات متصل به این شبکه می توانند پرونده های مورد نظر خود را با دیگر گره ها به اشتراک بگذارند.

4-7- امنيت در شبکه های محلی بر اساس استاندارد 802.11

با طرح قابليت های امنيتی این استاندارد، می توان از محدودیت های آن آگاه شد و این استاندارد و کاربرد را برای موارد خاص و مناسب مورد استفاده قرار داد.

استاندارد 802.11 سرویس های مجزا و مشخصی را برای تأمين یک محيط امن بی سيم در اختيار قرار می دهد. این سرویس ها اغلب توسط پروتکل WEP(Equivalent Privacy Wired)  تأمين می گردند و وظيفه ی آن ها امن سازی ارتباط ميان مخدوم ها ونقاط دسترسی بی سيم است. درک لایه یی که این پروتکل به امن سازی آن می پردازد اهميت ویژه یی دارد، به عبارت دیگر این پروتکل کل ارتباط را امن نکرده و به لایه های دیگر، غير از لایه ی ارتباطی بی سيم که مبتنی بر استاندارد 802.11 است، کاری ندارد. این بدان معنی است که استفاده از WEP در یک شبکه ی بی سيم به معنی استفاده از قابليت درونی استاندارد شبکه های محلی بی سيم است و ضامن امنيت کل ارتباط نيست زیرا امکان قصور از دیگر اصول امنيتی در سطوح بالاتر ارتباطی وجود دارد.

شکل 2-7- محدوده ی عملکرد استاندارد امنیتی 802.11

5-7- قابليت ها و ابعاد امنيتی استاندارد 802.11

در حال حاضر عملاً تنها پروتکلی که امنيت اطلاعات و ارتباطات را در شبکه های بی سيم بر اساس استاندارد 802.11 فراهم می کند WEPاست. این پروتکل با وجود قابليت هایی که دارد، نوع استفاده از آن همواره امکان نفوذ به شبکه های بی سيم را به نحوی، ولو سخت و پيچيده، فراهم م یکند. نکته یی که باید به خاطر داشت این ست که اغلب حملات موفق صورت گرفته در مورد شبک ههای محلی بی سيم، ریشه در پيکربندی ناصحيح WEP در شبکه دارد. به عبارت دیگر این پروتکل در صورت پيکربندی صحيح درصد بالایی از حملات را ناکام می گذارد، هرچند که فی نفسه دچار نواقص و ایرادهایی نيزهست.

بسياری از حملاتی که بر روی شبکه های بی سيم انجام می گيرد از سویی است که نقاط دسترسی با شبکه ی سيمی دارای اشتراک هستند. به عبارت دیگر نفوذگران بعضاً با استفاده از راه های ارتباطی دیگری که بر روی مخدوم ها و سخت افزارهای بی سيم، خصوصاً مخدوم های بی سيم، وجود دارد، به شبکه ی بی سيم نفوذ می کنند که این مقوله نشان دهنده ی اشتراکی هرچند جزءیی ميان امنيت در شبکه های سيمی وبی سيم یی ست که از نظر ساختاری و فيزیکی با یکدیگر اشتراک دارند.

سه قابليت و سرویس پایه توسط IEEE برای شبک ههای محلی بی سيم تعریف می گردد :

Authentication ·

هدف اصلی WEP ایجاد امکانی برای احراز هویت مخدوم بی سيم است. این عمل که در واقع کنترل دسترسی به شبکه ی بی سيم است. این مکانيزم سعی دارد که امکان اتصال مخدوم هایی را که مجاز نيستند به شبکه متصل شوند از بين ببرد.

Confidentiality ·

محرمانگی هدف دیگر WEP است . این بُعد از سرویس ها و خدمات WEP  با هدف ایجاد امنيتی در حدود سطوح  شبکه های سيمی طراحی شده است. سياست این بخش از WEPجلوگيری از سرقت اطلاعات در حال انتقال بر روی شبکه ی محلی بی سيم است.

Integrity ·

هدف سوم از سرویس ها و قابليت های WEPطراحی سياستی است که تضمين کند پيام ها و اطلاعات در حال تبادل در شبکه، خصوصاً ميان مخدومهای بی سيم و نقاط دسترسی، در حين انتقال دچار تغيير نمیگردند. این قابليت درتمامی استانداردها، بسترها و شبک ههای ارتباطاتی دیگر نيز کم وبيش وجود دارد.

نکته ی مهمی که در مورد سه سرویس WEP وجود دارد نبود سرویس های معمول Authorization  و Auditingدر ميان سرویس های ارایه شده توسط این پروتکل است .

6-7- ضعف های اوليه ی امنيتی WEP

در قسمت های قبل به سرویس های امنيتی استاندارد 802.11 پرداختيم . در ضمنِ ذکر هریک از سرویس ها، سعی کردیم به ضعف های هریک اشاره یی داشته باشيم . در این قسمت به بررسی ضعف های تکنيک های امنيتی پایه ی استفاده شده در این استاندارد می پردازیم.

همان گونه که گفته شد، عملاً پایه ی امنيت در استاندارد 802.11 بر اساس پروتکل WEP استوار است WEP در حالت استاندارد بر اساس کليدهای ۴٠ بيتی برای رمزنگاری توسط الگوریتم RC 4 استفاده می شود، هرچند که برخی از توليدکننده گان نگارش های خاصی از WEPرا با کليدهایی با تعداد بيت های بيش تر پياده سازی کرده اند.

نکته ای که در این ميان اهميت دارد قائل شدن تمایز ميان نسبت بالارفتن امنيت واندازه ی کليدهاست . با وجود آن که با بالارفتن اندازه ی کليد (تا ١٠۴ بيت ) امنيت بالاترمی رود، ولی از آن جاکه این کليدها توسط کاربران و بر اساس یک کلمه ی عبور تعيين می شود، تضمينی نيست که این اندازه تماماً استفاده شود . از سوی دیگر همان طور که درقسمت های پيشين نيز ذکر شد، دست یابی به این کليدها فرایند چندان سختی نيست، که در آن صورت دیگر اندازه ی کليد اهميتی ندارد.

متخصصان امنيت بررسی های بسياری را برای تعيين حفره های امنيتی این استاندارد انجام داده اند که در این راستا خطراتی که ناشی از حملاتی متنوع، شامل حملات غيرفعال و فعال است، تحليل شده است.

حاصل بررسی های انجام شده فهرستی از ضعف های اوليه ی این پروتکل است :

١. استفاده از کليدهای ثابت WEP

یکی از ابتدایی ترین ضعف ها که عموماً در بسياری از شبکه های محلی بی سيم وجود دارد استفاده از کليدهای مشابه توسط کاربران برای مدت زمان نسبتاً زیاد است . این ضعف به دليل نبود یک مکانيزم مدیریت کليد رخ می دهد. برای مثال اگر یک کامپيوتر کيفی یا جيبی که از یک کليد خاص استفاده می کند به سرقت برود یا برای مدت زمانی در دسترس نفوذگر باشد، کليد آن به راحتی لو رفته و با توجه به تشابه کليد ميان بسياری از ایستگاه های کاری عملاً استفاده از تمامی این ایستگاه ها ناامن است.از سوی دیگر با توجه به مشابه بودن کليد، در هر لحظه کانال های ارتباطی زیادی توسط یک حمله نفوذپذیر هستند.

٢ Initialization Vector (IV) .

این بردار که یک فيلد ٢۴ بيتی است در قسمت قبل معرفی شده است . این بردار به صورت متنی ساده فرستاده می شود . از آن جایی که کليدی که برای رمزنگاری مورد استفاده قرار می گيرد بر اساس IV توليد می شود، محدوده ی IVعملاً نشان دهنده ی احتمال تکرار آن و در نتيجه احتمال توليد کليدهای مشابه است . به عبارت دیگر در صورتی که IVکوتاه باشد در مدت زمان کمی می توان به کليدهای مشابه دست یافت.

این ضعف در شبکه های شلوغ به مشکلی حاد مبدل می شود . خصوصاً اگر از کارت شبکه ی استفاده شده مطمئن نباشيم . بسياری از کارت های شبکه از IV های ثابت استفاده می کنند و بسياری از کارت های شبکه ی یک توليد کننده ی واحد IVهای مشابه دارند. این خطر به همراه ترافيک بالا در یک شبکه ی شلوغ احتمال تکرار IVدر مدت زمانی کوتاه را بالاتر می برد و در نتيجه کافی ست نفوذگر در مدت زمانی معين به ثبت داده های رمز شده ی شبکه بپردازد و IVهای بسته های اطلاعاتی را ذخيره کند . با ایجاد بانکی از IVهای استفاده شده در یک شبکه ی شلوغ احتمال بالایی برای نفوذ به آن شبکه در مدت زمانی نه چندان طولانی وجود خواهد داشت.

٣. ضعف در الگوریتم

از آن جایی که IV در تمامی بسته های تکرار می شود و بر اساس آن کليد توليد می شود، نفوذگر می تواند با تحليل و آناليز تعداد نسبتاً زیادی از IVها و بسته های رمزشده بر اساس کليد توليد شده بر مبنای آن IV به کليد اصلی دست پيدا کند . این ، فرایند عملی زمان بر است ولی از آن جاکه احتمال موفقيت در آن وجود دارد لذا به عنوان ضعفی برای این پروتکل محسوب می گردد.

۴. استفاده از CRC رمز نشده

در پروتکل WEP، کد  CRCرمز نمی شود . لذا بسته های تأیيدی که از سوی نقاط دسترسی بی سيم به سوی گيرنده ارسال می شود بر اساس یک CRCرمزنشده ارسال می گردد و تنها در صورتی که نقطه ی دسترسی از صحت بسته اطمينان حاصل کند تأیيدآن را می فرستد. این ضعف این امکان را فراهم می کند که نفوذگر برای رمزگشایی یک بسته، محتوای آن را تغيير دهد و CRCرا نيز به دليل این که رمز نشده است، به راحتی عوض کند و منتظر عکس العمل نقطه ی دسترسی بماند که آیا بسته ی تأیيد را صادر میکند یا خير.

ضعف های بيان شده از مهم ترین ضعف های شبکه های بی سيم مبتنی بر پروتکل WEP هستند. نکته یی که در مورد ضعف های فوق باید به آن اشاره کرد این است که در ميان این ضعف ها تنها یکی از آن ها (مشکل امنيتی سوم ) به ضعف در الگوریتم رمزنگاری بازمی گردد و لذا با تغيير الگوریتم رمزنگاری تنها این ضعف است که برطرف می گردد و بقيه ی مشکلات امنيتی کماکان به قوت خود باقی هستند.

 

7-7- خطرها، حملات و ملزومات امنيتی

همان گونه که گفته شد، با توجه به پيشرفت های اخير، در آینده ای نه چندان دور باید منتظر گستردگی هرچه بيش تر استفاده از شبکه های بی سيم باشيم. این گستردگی، با توجه به مشکلاتی که از نظر امنيتی در این قبيل شبکه ها وجود دارد نگرانی هایی را نيز به همراه دارد. این نگرانی ها که نشان دهنده ی ریسک بالای استفاده از این بستر برای سازمان ها و شرکت های بزرگ است، توسعه ی این استاندارد را در ابهام فرو برده است. در این قسمت به دسته بندی و تعریف حملات،خطرها و ریسک های موجود در استفاده از شبکه های محلی بی سيم بر اساس استاندارد IEEE 802.11x می پردازیم.

مطابق درخت فوق، حملات امنيتی به دو دسته ی فعال و غيرفعال تقسيم می گردند.

حملات غيرفعال

در این قبيل حملات، نفوذگر تنها به منبعی از اطلاعات به نحوی دست می یابد ولی اقدام به تغيير محتوال اطلاعات منبع نمی کند. این نوع حمله می تواند تنها به یکی از اشکال شنود ساده یا آناليز ترافيک باشد.

– شنود

در این نوع، نفوذگر تنها به پایش اطلاعات ردوبدل شده می پردازد. برای مثال شنود ترافيک روی یک شبکه ی محلی یا یک شبکه ی بی سيم (که مد نظر ما است) نمونه هایی از این نوع حمله به شمار می آیند.

–  آناليز ترافيک

در این نوع حمله، نفوذگر با کپی برداشتن از اطلاعات پایش شده، به تحليل جمعی داده ها می پردازد. به عبارت دیگر بسته یا بسته های اطلاعاتی به همراه یکدیگر اطلاعات معناداری را ایجاد می کنند.

 

 

 

حملات فعال

در این نوع حملات، برخلاف حملات غيرفعال، نفوذگر اطلاعات مورد نظر را، که از منابع به دست می آید، تغيير می دهد، که تبعاً انجام این تغييرات مجاز نيست. از آن جایی که در این نوع حملات اطلاعات تغيير می کنند، شناسایی رخ داد

حملات فرایندی امکان پذیراست. در این حملات به چهار دسته ی مرسوم زیر تقسيم بندی می گردند :

– تغيير هویت

در این نوع حمله، نفوذگر هویت اصلی را جعل می کند. این روش شامل تغيير هویت اصلی یکی از طرف های ارتباط یا قلب هویت و یا تغيير جریان واقعی فرایند پردازش اطلاعات نيز می گردد.

– پاسخ های جعلی

نفوذگر در این قسم از حملات، بسته هایی که طرف گيرنده ی اطلاعات در یک ارتباط دریافت می کند را پایش می کند. البته برای اطلاع از کل ماهيت ارتباط یک اتصال از ابتدا پایش می گردد ولی اطلاعات مفيد تنها اطلاعاتی هستند که از سوی گيرنده برای فرستنده ارسال می گردند. این نوع حمله بيش تر در مواردی کاربرد دارد که فرستنده اقدام به تعيين هویت گيرنده می کند. در این حالت بسته های پاسخی که برای فرستنده به عنوان جواب به سؤالات فرستنده ارسال می گردند به معنای پرچمی برای شناسایی گيرنده محسوب می گردند. لذا در صورتی که نفوذگر این بسته ها را ذخيره کند و در زمانی که یا گيرنده فعال نيست، یا فعاليت یا ارتباط آن به صورت آگاهانه –به روشی-توسط نفوذگر قطع شده است ، می تواند مورد سوء استفاده قرار گيرد. نفوذگر با ارسال مجدد این بسته ها خود را به جای گيرنده جا زده و از سطح دسترسی مورد نظر برخوردار می گردد.

– تغيير پيام

در برخی از موارد مرسوم ترین و متنوع ترین نوع حملات فعال تغيير پيام است. از آن جایی که گونه های متنوعی از ترافيک بر روی شبکه رفت وآمد می کنند و هریک از این ترافيک ها و پروتکل ها از شيوه ای برای مدیریت جنبه های امنيتی خود استفاده می کنند، لذا نفوذگر با اطلاع از پروتکل های مختلف می تواند برای هر یک از این انواع ترافيک نوع خاصی از تغيير پيام ها و در نتيجه حملات را اتخاذ کند. با توجه به گسترده گی این نوع حمله، که کاملاً به نوع پروتکل بسته گی دارد، در این جا نمی توانيم به انواع مختلف آن بپردازیم، تنها به یادآوری این نکته بسنده می کنيم که این حملات تنها دست یابی به اطلاعات را هدف نگرفته است و می تواند با اعمال تغييرات خاصی، به گمراهی دو طرف منجر شده و مشکلاتی را برای سطح مورد نظر دسترسی که می تواند یک کاربر عادی باشد فراهم کند.

– حمله های DoS (Denial-of-Service )

این نوع حمله، در حالات معمول، مرسوم ترین حملات را شامل می شود. در این نوع حمله نفوذگر یا حمله کننده برای تغيير نحوه ی کارکرد یا مدیریت یک سامانه ی ارتباطی یا اطلاعاتی اقدام می کند. ساده ترین نمونه سعی در از کارانداختن خادم های نرم افزاری و سخت افزاری ست. پيرو چنين حملاتی، نفوذگر پس از از کارانداختن یک سامانه، که معمولاً سامانه ای ست که مشکلاتی برای نفوذگر برای دسترسی به اطلاعات فراهم کرده است، اقدام به سرقت، تغيير یا نفوذ به منبع اطلاعاتی می کند. در برخی از حالات، در پی حمله ی انجام شده، سرویس مورد نظر به طور کامل قطع نمی گردد و تنها کارایی آن مختل می گردد. در این حالت نفوذگر می تواند با سوءاستفاده از اختلال ایجاد شده به نفوذ از طریق/ به همان سرویس نيز اقدام کند.

8-7- هفت مشکل امنيتی مهم شبکه های بی سيم 802.11

موفقيت حيرت انگيز 802.11 به علت توسعه ” اترنت بی سيم “است. همچنانکه 802.11 به ترقی خود ادامه می دهد، تفاوت هایش با اترنت بيشتر مشخص می شود. بيشتر این تفاوت ها به دليل نا آشنایی نسبی بسياری از مدیران شبکه با لایه فيزیکی فرکانس رادیویی است. در حاليکه همه مدیران شبکه باید درک پایه ای از لينک رادیویی داشته باشند، تعدادی از ابزارها برای کمک به آنها به خدمت گرفته می شوند. آنالایزرهای (تحليل کننده ) شبکه های بی سيم برای مدت ها ابزاری لازم برای مهندسان شبکه در اشکال زدایی و تحليل پروتکل بوده اند. بسياری از آنالایزرها بعضی کارکردهای امنيتی را نيز اضافه کرده اند که به آنها اجازه کار با عملکردهای بازرسی امنيتی را نيز می دهد.

در این سلسله مقاله هفت مشکل از مهم ترین آسيب پذیری های امنيتی موجود در LANهای بی سيم، راه حل آنها و در نهایت چگونگی ساخت یک شبکه بی سيم امن  مورد بحث قرار می گيرد. بسياری از پرسش ها در این زمينه در مورد ابزارهایی است که مدیران شبکه می توانند استفاده کنند. یک آنالایزر از اولين خریدهایی است که یک مدیر شبکه باید انجام دهد. آنالایزرها علاوه بر عملکردهای سنتی تحليل پروتکل و ابزار تشخيص عيب، می توانند برای تشخيص بسياری از نگرانی های امنيتی که استفاده ازهفت » شبکه بی سيم را کند می کنند، استفاده شوند.

مسأله شماره ١: دسترسی آسان

LAN های بی سيم به آسانی پيدا می شوند. برای فعال کردن کلاینت ها در هنگام یافتن آنها، شبکه ها باید فریم های

Beacon با پارامتر های شبکه را ارسال کنند. البته، اطلاعات مورد نياز برای پيوستن به یک شبکه، اطلاعاتی است که برای اقدام به یک حمله روی شبکه نياز است. فریم های Beacon توسط هيچ فانکشن اختصاصی پردازش نمی شوند و این به این معنی است که شبکه 802.11 شما و پارامترهایش برای هر شخصی با یک کارت 802.11 قابل استفاده است. نفوذگران با آنتن های قوی می توانند شبکه ها را در مسيرها یا ساختمان های نزدیک بيابند و ممکن است اقدام به انجام حملاتی کنند حتی بدون اینکه به امکانات شما دسترسی فيزیکی داشته باشند.

راه حل شماره ١: تقویت کنترل دسترسی قوی

دسترسی آسان الزاماً با آسيب پذیری مترادف نيست. شبکه های بی سيم برای ایجاد امکان اتصال مناسب طراحی شده اند، اما می توانند با اتخاذ سياستهای امنيتی مناسب تا حد زیادی مقاوم شوند. یک شبکه بی سيم می تواند تا حد زیادی در این اتاق محافظت شده از نظر الکترومغناطيس محدود شود که اجازه نشت سطوح بالایی از فرکانس رادیویی را نمی دهد. به هرحال، برای بيشتر موسسات چنين برد هایی لازم نيستند.

تضمين اینکه شبکه های بی سيم تحت تأثير کنترل دسترسی قوی هستند، می تواند از خطر سوءاستفاده از شبکه بی سيم بکاهد.تضمين امنيت روی یک شبکه بی سيم تا حدی به عنوان بخشی از طراحی مطرح است. شبکه ها باید نقاط دسترسی را در بيرون ابزار پيرامونی امنيت مانند فایروال ها قرار دهند و مدیران شبکه باید به استفاده از VPN ها برای ميسر کردن دسترسی به شبکه توجه کنند. یک سيستم قوی تأیيد هویت کاربر باید به کار گرفته شود و ترجيحاً با استفاده از محصولات جدید که برپایه استاندارد IEEE 802.1x هستند. 802.1 x انواع فریم های جدید برای تأیيد هویت کاربر را تعریف می کند و از دیتابيس های کاربری جامعی مانند RADIUS بهره می گيرد. آنالایزرهای باسيم سنتی می توانند با نگاه کردن به تقاضاهای RADIUS و پاسخ ها، امکان درک پروسه تأیيد هویت را فراهم کنند. یک سيستم آناليز خبره برای تأیيد هویت 802.11 شامل یک روتين عيب یابی مشخص برای  LAN  هاست که ترافيک تأیيد هویت را نظاره می کند و امکان تشخيص عيب را برای مدیران شبکه فراهم می کند که به آناليز بسيار دقيق و کدگشایی فریم احتياج ندارد. سيستم های آناليز خبره که پيام های تأیيد هویت802.1 x را دنبال می کنند، ثابت کرده اند که برای استفاده در LAN های استفاده کننده از802.1 x فوق العاده باارزش هستند. هرگونه طراحی، بدون در نظر گرفتن ميزان قدرت آن، باید مرتباً بررسی شود تا سازگاری چينش فعلی را با اهداف امنيتی طراحی تضمين کند. بعضی موتورهای آناليز تحليل عميقی روی فریم ها انجام می دهند و می توانند چندین مسأله معمول امنيت802.1 x را  تشخيص دهند. تعدادی از حملات روی شبکه های باسيم در سال های گذشته شناخته شده اند و لذا وصله های فعلی به خوبی تمام ضعف های شناخته شده را در این گونه شبکه ها نشان می دهند. آنالایزرهای خبره پياده سازی های ضعيف را برای مدیران شبکه مشخص می کنند و به این ترتيب مدیران شبکه می توانند با به کارگيری سخت افزار و نرم افزار ارتقاء یافته، امنيت شبکه را حفظ کنند.پيکربندی های نامناسب ممکن است منبع عمده آسيب پذیری امنيتی باشد، مخصوصاً اگر LANهای بی سيم بدون نظارت مهندسان امنيتی به کارگرفته شده باشند. موتورهای آناليز خبره می توانند زمانی را که پيکربندی های پيش فرض کارخانه مورد استفاده قرارمی گيرند، شناسایی کنند و به این ترتيب می توانند به ناظران کمک کنند که نقاطی از دسترسی را که بمنظور استفاده از ویژگی های امنيتی پيکربندی نشده اند، تعيين موقعيت کنند. این آنالایزرها همچنين می توانند هنگامی که وسایلی از ابزار امنيتی قوی مانند VPN ها یا  802.1 xاستفاده نمی کنند، علائم هشدار دهنده را ثبت کنند.

مسأله شماره ٢: نقاط دسترسی نامطلوب

دسترسی آسان به شبکه های LAN  بی سيم امری منفک از راه اندازی آسان آن نيست.  این دو خصوصيت در هنگام ترکيب شدن با یکدیگر می توانند برای مدیران شبکه و مسوولان امنيتی ایجاد دردسر کنند. هر کاربر می تواند به فروشگاه کامپيوتر نزدیک خود برود، یک نقطه دسترسی! بخرد و بدون کسب اجازه ای خاص به کل شبکه متصل شود. بسياری از نقاط دسترسی با اختيارات مدیران ميانی عرضه می شوند و لذا دپارتمان ها ممکن است بتوانند LAN بی سيمشان را بدون صدور اجازه از یک سازمان IT مرکزی در بکارگرفته شده توسط ” نامطلوب ” معرض عموم قرار دهند. این دسترسی به اصطلاح کاربران ، خطرات امنيتی بزرگی را مطرح می کند. کاربران در زمينه امنيتی خبره نيستند و ممکن است از خطرات ایجاد شده توسط LAN های بی سيم آگاه نباشند. ثبت بسياری از  ورودها به شبکه نشان از آن دارد که ویژگی های امنيتی فعال نيستند و بخش بزرگی از آنها تغييراتی نسبت به پيکربندی پيش فرض نداشته اند و با همان پيکربندی راه اندازی شده اند.

راه حل شماره ٢ : رسيدگی های منظم به سایت

مانند هر تکنولوژی دیگر شبکه، شبکه های بی سيم به مراقبت از سوی مدیران امنيتی نياز دارند. بسياری از این تکنولوژی ها به دليل سهولت استفاده مورد بهره برداری نادرست قرار می گيرند، لذا آموختن نحوه یافتن شبکه های امن نشده ازاهميت بالایی برخوردار است.استفاده از یک آنتن و جستجوی آنها به این منظور که بتوانيد قبل از نفوذگران این شبکه ها را پيدا کنيد. نظارت های فيزیکی سایت باید به صورت مرتب و در حد امکان انجام گيرد.اگرچه هرچه نظارت ها سریع تر انجام گيرد، امکان کشف استفاده های غيرمجاز بيشتر است، اما زمان زیادی که کارمندان مسوول این امر باید صرف کنند، کشف تمامی استفاده های غيرمجاز را بجز برای محيط های بسيار حساس، غيرقابل توجيه می کند. یک راهکار برای عدم امکان حضور دائم می تواند انتخاب ابزاری در اندازه دستی باشد. این عمل می تواند استفاده تکنسين ها از اسکنرهای دستی در هنگام انجام امور پشتيبانی کاربران، برای کشف شبکه های غيرمجاز باشد.

یکی از بزرگترین تغييرات در بازار 802.11 در سال های اخير ظهور 802.11 a به عنوان یک محصول تجاری قابل دوام بود. این موفقيت نياز به ارائه ابزارهایی برای مدیران شبکه های802.11 a را بوجود آورد. خوشبختانه 802.11 a از همان MAC پيشينيان خود استفاده می کند، بنابراین بيشتر آنچه مدیران راجع به 802.11 و تحليل کننده ها می دانند، بدرد می خورد. مدیران شبکه باید دنبال محصولی سازگار باشند که هر دو استاندارد  802.11 aو 802.11 bرا بصورت یکجا و ترجيحاً به صورت همزمان پشتيبانی کند. چيپ ست های دوباندی 802.11 a/b و کارت های ساخته شده با آنها به آنالایزرها اجازه می دهد که روی هر دو باند بدون تغييرات سخت افزاری کار کنند، و این بدین معنی است که مدیران شبکه نياز به خرید و آموزش فقط یک چارچوپ پشتيبانی شده برای هر دو استاندارد دارند. این روال باید تا 802.11 g ادامه یابد، تا جایی که سازندگان آنالایزرها کارت های 802.11 a/b/g را مورد پذیرش قرار دهند.بسياری از ابزارها می توانند برای انجام امور رسيدگی به سایت و ردیابی نقاط دسترسی نامطلوب استفاده شوند، اما مدیران شبکه باید از نياز به همگامی با آخرین تکنيک های استفاده شده در این بازی موش و گربه! آگاه باشند. نقاط دسترسی می توانند در هر باند فرکانسی تعریف شده در 802.11 بکارگرفته شوند، بنابراین مهم است که تمام ابزارهای مورد استفاده در بررسی های سایت بتوانند کل محدوده فرکانسی را پویش کنند. حتی اگر شما استفاده از b  802.11 را انتخاب کرده اید، آنالایزر استفاده شده برای کار نظارت بر سایت، باید بتواند همزمان نقاط دسترسی802.11 a  را نيز پویش کند تا در طول یک بررسی کامل نيازی به جایگزین های سخت افزاری و نرم افزاری نباشد.بعضی نقاط دسترسی نامطلوب سعی دارند کانالهایی را به صورت غيرقانونی روی کانال های 802.11 b به کار بگيرند که برای ارسال استفاده نمی شوند. برای مثال قوانين FCC تنها اجازه استفاده از کانال های ١ تا ١١ از 802.11 bرا می دهد. کانال های ١٢ تا ١۴ جزء مشخصات آن تعریف شده اند اما فقط برای استفاده در اروپا و ژاپن کاربرد دارند. به هرحال، بعضی کاربران ممکن است از نقطه دسترسی کانال های اروپایی یا ژاپنی استفاده کنند، به این اميد که رسيدگی یک سایت متمرکز روی کانال های مطابق با FCC  از کانال های فرکانس بالاتر چشم پوشی کند. این قضيه مخصوصاً برای ردیابی ابزارهایی اهميت دارد که بيرون باند فرکانسی مجاز بکارگرفته شده اند تا از اعمال اجرایی اتخاذ شده توسط نمایندگی های مجاز برحذر باشند. آنالایزرهای غيرفعال (Passive Analyzers) ابزار ارزشمندی هستند زیرا استفاده های غيرمجاز را تشخيص می دهند، اما چون توانی ارسال نمی کنند استفاده از آنها قانونی است.مدیران شبکه همواره تحت فشار زمانی هستند، و به روش آسانی برای یافتن نقاط دسترسی نامطلوب و در عين حال چشم پوشی از نقاط دسترسی مجاز نياز دارند. موتورهای جستجوی خبره به مدیران اجازه می دهند که ليستی از نقاط دسترسی مجاز را پيکربندی کنند. هر نقطه دسترسی غيرمجاز باعث توليد علامت هشدار دهنده ای می شود. در پاسخ به علامت هشدار دهنده، مدیران شبکه می توانند از ابزار دیگری برای پيدا کردن نقطه دسترسی براساس مقياس های قدرت سيگنال استفاده کنند. اگرچه این ابزارها ممکن است خيلی دقيق نباشند، ولی برای محدود کردن محوطه جستجوی نقطه دسترسی نامطلوب به اندازه کافی مناسب هستند.

مسأله شماره ٣: استفاده غيرمجاز از سرویس

چندین شرکت مرتبط با شبکه های بی سيم نتایجی منتشر کرده اند که نشان می دهد اکثر نقاط دسترسی با تنها تغييرات مختصری نسبت به پيکربندی اوليه برای سرویس ارائه می گردند. تقریباً تمام نقاط دسترسی که با پيکربندی پيش فرض مشغول به ارائه سرویس هستند WEP (Wired Equivalent Privacy) را فعال نکرده اند یا یک کليد پيش فرض دارند که توسط تمام توليدکنند گان محصولات استفاده می شوند. بدون WEP دسترسی به شبکه به راحتی ميسر است. دو مشکل به دليل این دسترسی باز می تواند بروز کند: کاربران غيرمجاز لزوماً از مفاد ارائه سرویس تبعيت نمی کنند، و نيز ممکن است تنها توسط یک اسپم ساز اتصال شما به ISPتان لغو شود.

راه حل شماره ٣ : طراحی و نظارت برای تأیيد هویت محکم

راه مقابله مشخص با استفاده غيرمجاز، جلوگيری از دسترسی کاربران غيرمجاز به شبکه است. تأیيد هویت محکم و محافظت شده توسط رمزنگاری یک پيش شرط برای صدور اجازه است، زیرا امتيازات دسترسی برپایه هویت کاربر قرار دارند. روش های VPNکه برای  حفاظت از انتقال در لينک رادیویی به کارگرفته می شوند، تأیيد هویت محکمی را ارائه می کنند. تخمين مخاطرات انجام شده توسط سازمان ها نشان می دهد که دسترسی به 802.1 x باید توسط روش های تأیيد هویت برپایه رمزنگاری تضمين شود. از جمله این روش ها می توان به TLS (Layer Security Transport) ، TTLS(Tunneled Layer Security Transport ) یا  PEAP (Protected Extensible Authentication Protocol) اشاره کرد.

هنگامی که یک شبکه با موفقيت راه اندازی می شود، تضمين تبعيت از سياست های تایيد هویت و اعطای امتياز مبتنی بر آن حياتی است. همانند مسأله نقاط دسترسی نامطلوب، در این راه حل نيز نظارت های منظمی بر تجهيزات شبکه بی سيم باید انجام شود تا استفاده از مکانيسم های تأیيد هویت و پيکربندی مناسب ابزارهای شبکه تضمين شود. هر ابزار نظارت جامع باید نقاط دسترسی را در هر دو باند فرکانسی802.11 b (باند  GHz ISM 2.4) و (802.115 a GHz U-NII) تشخيص دهد و پارامترهای عملياتی مرتبط با امنيت را نيز مشخص کند. اگر یک ایستگاه غيرمجاز متصل به شبکه کشف شود، یک رسيور دستی می تواند برای ردیابی موقعيت فيزیکی آن استفاده شود. آنالایزرها نيز می توانند برای تأیيد پيکربندی بسياری از پارامترهای نقاط دسترسی استفاده گردند و هنگامی که نقاط دسترسی آسيب پذیری های امنيتی را نمایان می کنند، علائم هشدار دهنده صوتی توليد کنند.

مسأله شماره ۴ : محدودیت های سرویس و کارایی

LAهای بی سيم ظرفيت های ارسال محدودی دارند. شبکه های802.11 b سرعت انتقالی برابر با 11 Mbps و شبکه های برپایه تکنولوژی جدید 802.11 a نرخ انتقال اطلاعاتی تا  Mbps 54 دارند. البته ماحصل مؤثر واقعی، به دليل بالاسری لایه MAC تقریباً ، تا نيمی از ظرفيت اسمی می رسد. نقاط دسترسی کنونی این ظرفيت محدود را بين تمام کاربران مربوط به یک نقطه دسترسی قسمت می کنند. تصور اینکه چگونه برنامه های محلی احتمالاً چنين ظرفيت محدودی را اشغال می کنند یا چگونه یک نفوذگر ممکن است یک حمله انکار سرویس(DoS)  روی این منابع محدود طرح ریزی کند، سخت نيست.ظرفيت رادیویی می تواند به چندین روش اشغال شود. ممکن است توسط ترافيکی که از سمت شبکه باسيم با نرخی بزرگتر از توانایی کانال رادیویی می آید، مواجه شود. اگر یک حمله کننده یک ping flood را از یک بخش اترنت سریع بفرستد، می تواند به راحتی ظرفيت یک نقطه دسترسی را اشغال کند. با استفاده از آدرس های broadcast امکان اشغال چندین نقطه دسترسی متصل به هم وجود دارد. حمله کننده همچنين می تواند ترافيک را به شبکه رادیویی بدون اتصال به یک نقطه دسترسی بی سيم تزریق کند. 802.11 طوری طراحی شده است که به چندین شبکه اجازه به اشتراک گذاری یک فضا وکانال رادیویی را می دهد. حمله کنندگانی که می خواهند شبکه بی سيم را از کار بياندازند، می توانند ترافيک خود را روی یک کانال رادیویی ارسال کنند و شبکه مقصد ترافيک جدید را با استفاده از مکانيسم CSMA/CA تا آنجا که می تواند می پذیرد. مهاجمان بداندیش که فریم های ناسالم می فرستند نيز ظرفيت محدود را پر می کنند. همچنين ممکن است مهاجمان تکنيک های توليد پارازیت رادیویی را انتخاب کنند و اقدام به ارسال اطلاعات با نویز بالا به شبکه های بی سيم مقصد کنند.بارهای بزرگ ترافيک الزاماً با نيات بدخواهانه توليد نمی شوند. انتقال فایل های بزرگ یا سيستم client/server ترکيبی ممکن است مقادیر بالایی از دیتا روی شبکه ارسال کنند. اگر تعداد کافی کاربر شروع به گرفتن اندازه های بزرگی از دیتا از طریق یک نقطه دسترسی کنند، شبکه شبيه سازی دسترسی dial-upرا آغاز می کند.

راه حل شماره ۴ : دیدبانی شبکه

نشان یابی مسائل کارایی با دیدبانی و کشف آنها آغاز می شود. مدیران شبکه بسياری از کانال ها را برای کسب اطلاعات در مورد کارایی در اختيار دارند: از ابزارهای تکنيکی خاص مانند                                                                    (Simple Network Management Protocol) SNMPگرفته تا ابزارهای بالقوه قوی غيرفنی مانند گزارش های کارایی کاربران. یکی از مسائل عمده بسياری از ابزارهای تکنيکی، فقدان جزئيات مورد نياز برای درک بسياری از شکایت های کاربران در مورد کارایی است. آنالایزرهای شبکه های بی سيم می توانند با گزارش دهی روی کيفيت سيگنال و سلامت شبکه در مکان کنونی خود، کمک باارزشی برای مدیر شبکه باشند. مقادیر بالای ارسال های سرعت پایين می تواند بيانگر تداخل خارجی یا دور بودن یک ایستگاه از نقطه دسترسی باشد. توانایی نشان دادن سرعت های لحظه ای روی هر کانال، یک تصویر بصری قوی از ظرفيت باقی مانده روی کانال می دهد که به سادگی اشغال کامل یک کانال را نشان می دهد. ترافيک مفرط روی نقطه دسترسی می تواند با تقسيم ناحيه پوشش نقطه دسترسی به نواحی پوشش کوچک تر یا با اعمال روش شکل دهی ترافيک در تلاقی شبکه بی سيم با شبکه اصلی تعيين شود.در حاليکه هيچ راه حل فنی برای آسيب پذیری های ناشی از فقدان تأیيد هویت فریم های کنترل و مدیریت وجود ندارد، مدیران می توانند برای مواجهه با آنها گام هایی بردارند. آنالایزرها اغلب نزدیک محل های دردسرساز استفاده می شوند تا به تشخيص عيب کمک کنند و به صورت ایده آل برای مشاهده بسياری از حملات  DoSکار گذاشته می شوند. مهاجمان می توانند با تغيير دادن فریم های 802.11 با استفاده از یکی از چندین روش معمول واسط های برنامه نویسی 802.11 موجود، از شبکه سوءاستفاده کنند. حتی یک محقق امنيتی ابزاری نوشته است که پيام های قطع اتصال فرستاده شده توسط نقاط دسترسی به کلاینت ها را جعل می کند. بدون تأیيد هویت پيام های قطع اتصال بر اساس رمزنگاری، کلاینت ها به این پيام های جعلی عمل می کنند و اتصال خود را از شبکه قطع می کنند. تا زمانی که تأیيد هویت به صورت یک فریم رمزشده استاندارد درنياید، تنها مقابله عليه حملات جعل پيام، مکان یابی حمله کننده و اعمال عکس العمل مناسب است.

ربایی! Session و MAC مسأله شماره ۵: جعل

شبکه های 802.11 فریم ها را تأیيد هویت نمی کنند. هر فریم یک آدرس مبداء دارد، اما تضمينی وجود ندارد که ایستگاه فرستنده واقعاً فریم را ارسال کرده باشد! در واقع همانند شبکه های اترنت سنتی، مراقبتی در مقابل جعل مبداء آدرس ها وجود ندارد. نفوذگران ARP(Resolution Protocol Address) می توانند از فریم های ساختگی برای هدایت ترافيک و تخریب جداول استفاده کنند. در سطحی بسيار ساده تر، نفوذگران می توانند ایستگاه های در حال استفاده را مشاهده MAC (Medium Access Control) آدرس های کنند و از آن آدرس ها برای ارسال فریم های بدخواهانه استفاده کنند. برای جلوگيری ازاین دسته از حملات، مکانيسم تصدیق هویت کاربر برای شبکه های 802.11 در حال ایجاد است. با درخواست هویت از کاربران، کاربران غيرمجاز از دسترسی به شبکه محروم می شوند. اساس تصدیق هویت کاربران استاندارد 802.1 x است که در ژوئن 2001 تصویب شده است. 802.1 x می تواند برای درخواست هویت از کاربران به منظور تأیيد آنان قبل از دسترسی به شبکه مورد استفاده قرار گيرد، اما ویژگی های دیگری برای ارائه تمام امکانات مدیریتی توسط شبکه های بی سيم مورد نياز است.

نفوذگران می توانند از فریم های جعل شده در حملات اکتيو نيز استفاده کنند. نفوذگران می توانند از فقدان تصدیق هویت نقاط دسترسی sessions علاوه بر ربودن نشست ها(  چراغ دریایی ) Beaconبهره برداری کنند. نقاط دسترسی توسط پخش فریم های توسط نقاط دسترسی ارسال می شوند تا Beacon مشخص می شوند. فریم های کلاینت ها قادر به تشخيص وجود شبکه بی سيم و بعضی موارد دیگر شوند. هر SSID(Identifier Service Set) ایستگاهی که ادعا می کند که یک نقطه دسترسی است و نيز ناميده می شود، منتشر می کند، به عنوان network name که معمولاً Identifier  بخشی از شبکه مجاز به نظر خواهد رسيد. به هرحال، نفوذگران می توانند به راحتی تظاهر کنند که نقطه دسترسی هستند، زیرا هيچ چيز در 802.11 از نقطه دسترسی نمی خواهد که ثابت کند واقعاً یک نقطه دسترسی است. در این نقطه، یک نفوذگر گواهی های لازم را سرقت کند و از آنها man-in-the-middleتواند با طرح ریزی یک حمله برای دسترسی به شبکه استفاده کند. خوشبختانه، امکان استفاده از پروتکل هایی که TLS وجود دارد. با استفاده از پروتکل x تأیيد هویت دوطرفه را پشتيبانی می کنند در 802.1 قبل از اینکه کلاینت ها گواهی های هویت خود را ارائه (Transport Layer Security ) کنند، نقاط دسترسی باید هویت خود را اثبات کنند. این گواهی ها توسط رمزنگاری قوی برای ارسال بی سيم محافظت می شوند. ربودن نشست حل نخواهد شد تا زمانی که بپذیرد . i تصدیق هویت در هر فریم را به عنوان بخشی از802.11MAC 802.11.

راه حل شماره ۵ : پذیرش پروتکل های قوی و استفاده از آنها

یک تهدید خواهد بود. مهندسان شبکه باید روی MAC جعل  iتا زمان تصویب 802.11 تمرکز کنند و شبکه های بی سيم را تا آنجا که ممکن MAC خسارت های ناشی از جعلنقاط APاست از شبکه مرکزی آسيب پذیرتر جدا کنند. بعضی راه حل ها جعل  دسترسی را کشف می کنند و به طور پيش فرض برای مدیران شبکه علائم هشدار دهنده توليد می کنند تا بررسی های بيشتری انجام دهند. در عين حال، می توان فقط  با استفاده از پروتکل های رمزنگاری قوی مانند IPSec . از نشست ربایی! جلوگيری کرد آنالایزرها می توانند در بخشی از تحليل فریم های گرفته شده، سطح امنيتی مورد استفاده را تعيين کنند. این تحليل می تواند در یک نگاه به مدیران شبکه بگوید آیا پروتکل های امنيتی مطلوبی استفاده می شوند یا خير.

قوی، ممکن است که تمایل به استفاده از تصدیق VPN  علاوه بر استفاده از پروتکل های داشته باشيد. بعضی جزئيات آناليز وضعيت تصدیق x هویت قوی کاربر با استفاده از 802.1 ارائه می کند. X، نتایج باارزشی روی قسمت بی سيم تبادل تصدیق هویت 802.1x 802.1 هنگام انجام نظارت بر سایت، آنالایزر نوع تصدیق هویت را مشخص می کند و این بررسی به مدیران شبکه اجازه می دهد که محافظت از کلمات عبور توسط رمزنگاری قوی ر ا تضمين کنند.

مسأله شماره ۶: تحليل ترافيک و استراق سمع

802.11 هيچ محافظتی عليه حملاتی که بصورت غيرفعال (passive) ترافيک را مشاهده  می کنند، ارائه نمی کند. خطر اصلی این است که 802.11 روشی برای تامين امنيت دیتای در حال انتقال و جلوگيری از استراق سمع فراهم نمی کند Header  فریم ها هميشه «in the clear» هستند و برای هرکس با در اختيار داشتن یک آنالایزر شبکه بی سيم قابل مشاهده هستند. فرض بر این بوده است که جلوگيری از استراق سمع در مشخصات   WEP(Wired Equivalent Privacy) ارائه گردد. بخش زیادی در مورد رخنه های WEPنوشته شده است که فقط از اتصال ابتدایی بين شبکه و فریم های دیتای کاربر محافظت می کند. فریم های مدیریت و کنترل توسط WEPرمزنگاری و تصدیق هویت نمی شوند و به این ترتيب آزادی عمل زیادی به یک نفوذگر می دهد تا با ارسال فریم های جعلی اختلال به وجود آورد. پياده سازی های اوليه WEP نسبت به ابزارهای crackمانند WEPcrack و AirSnort آسيب پذیر هستند، اما آخرین نسخه ها تمام حملات شناخته شده را حذف می کنند. به عنوان یک اقدام احتياطی فوق العاده، آخرین محصولات WEP  یک گام فراتر می روند و از پروتکل های مدیریت کليد برای تعویض کليد WEP در هر پانزده دقيقه استفاده می کنند. حتی مشغول ترین LANبی سيم آنقدر دیتا توليد نمی کند که بتوان در پانزده دقيقه کليد را بازیافت کرد.

راه حل شماره ۶ : انجام تحليل خطر

هنگام بحث در مورد خطر استراق سمع، تصميم کليدی برقراری توازن بين خطر استفاده از WEPتنها و پيچيدگی بکارگيری راه حل اثبات شده دیگری است. در وضعيت فعلی برای امنيت لایه لينک، استفاده از WEP با کليدهای طولانی و توليدکليد پویا توصيه می شود.  WEP تا حد زیادی مورد کنکاش قرار گرفته است و پروتکل های امنيتی عليه تمام حملات شناخته شده تقویت شده اند. یک قسمت بسيار مهم در این تقویت، زمان کم توليد مجدد کليد است که باعث می شود نفوذگر نتواند در مورد خصوصيات کليد WEP قبل از ، جایگزین شدن، اطلاعات عمده ای کسب کند.اگر شما استفاده از WEPرا انتخاب کنيد، باید شبکه بی سيم خود را نظارت کنيد تا مطمئن شوید که مستعد حمله AirSnort  نيست. یک موتور آناليز قوی به طور خودکار تمام ترافيک دریافت شده را تحليل می کند و ضعف های شناخته شده را در فریم های  محافظت شده توسط WEP بررسی می کند. همچنين ممکن است بتواند نقاط دسترسی و ایستگاه هایی را که WEP  آنها فعال نيست نشان گذاری کند تا بعداً توسط مدیران  شبکه بررسی شوند. زمان کوتاه توليد مجدد کليد ابزار بسيار مهمی است که در کاهش خطرات مربوط به شبکه های بی سيم استفاده می شود. بعنوان بخشی از نظارت سایت، مدیران شبکه می توانند از آنالایزرهای قوی استفاده کنند تا مطمئن شوند که سياست های توليد کليد مجدد WEP توسط تجهيزات مربوطه پياده سازی شده اند.

اگر از LAN بی سيم شما برای انتقال دیتای حساس استفاده می شود، ممکن است WEP برای نياز شما کافی نباشد. روش های رمزنگاری قوی مانند IPSec و SSL ،SSH   برای انتقال دیتا به صورت امن روی کانال های عمومی طراحی شده اند و برای سال ها مقاومت آنها در برابر حملات ثابت شده است، و یقيناً سطوح بالاتری از امنيت را ارائه می کنند. نمایشگرهای وضعيت نقاط دسترسی می توانند بين نقاط دسترسی که از WEP ،802.1 x و VPN استفاده می کنند، تمایز قائل شوند تا مدیران شبکه بتوانند بررسی کنند و که آیا در آنها از سياست های رمزنگاری قوی تبعيت می شود یا خير.

علاوه بر استفاده از پروتکل های VPN قوی، ممکن است که تمایل به استفاده از تصدیق هویت قوی کاربر با استفاده از802.1 x  داشته باشيد. بعضی جزئيات آناليز وضعيت تصدیق 802.1 x، نتایج باارزشی روی قسمت بی سيم تبادل تصدیق هویت 802.1 x ارائه می کند.

آنالایزر هنگام انجام نظارت بر سایت، نوع تصدیق هویت را مشخص می کند و این بررسی به مدیران شبکه اجازه می دهد که محافظت از کلمات عبور توسط رمزنگاری قوی را تضمين کنند.

مسأله شماره ٧: حملات سطح بالاتر

هنگامی که یک نفوذگر به یک شبکه دسترسی پيدا می کند، می تواند از آنجا به عنوان نقطه ای برای انجام حملات به سایر سيستم ها استفاده کند. بسياری از شبکه ها یک پوسته بيرونی سخت دارند که از ابزار امنيت پيرامونی تشکيل شده، به دقت پيکربندی شده و مرتب دیده بانی می شوند. اگرچه درون پوسته یک مرکز آسيب پذیر نرم قرار دارد.

LAN های بی سيم می توانند به سرعت با اتصال به شبکه های اصلی آسيب پذیر مورد  استفاده قرار گيرند، اما به این ترتيب شبکه در معرض حمله قرار می گيرد. بسته به امنيت پيرامون، ممکن است سایر شبکه ها را نيز در معرض حمله قرار دهد، و می توان شرط بست که اگر از شبکه شما به عنوان نقطه ای برای حمله به سایر شبکه ها استفاده شود، حسن شهرت خود را از دست خواهيد داد.

راه حل شماره ٧ : هسته را از LAN بی سيم محافظت کنيد

به دليل استعداد شبکه های بی سيم برای حمله، باید به عنوان شبکه های غيرقابل اعتماد مورد استفاده قرار بگيرند. بسياری از شرکت ها درگاه های دسترسی guest در اتاق های آموزش یا سالن ها ارائه می کنند. شبکه های بی سيم به دليل احتمال دسترسی توسط کاربران غيرقابل اعتماد می توانند به عنوان درگا ه های دسترسی guestتصور شوند. شبکه بی سيم را بيرون منطقه پيرامون امنيتی شرکت قرار دهيد و از تکنولوژی کنترل دسترسی قوی و ثابت شده مانند یک فایروال بين LAN بی سيم و شبکه مرکزی استفاده کنيد، و سپس دسترسی به شبکه مرکزی را از طریق روش های VPN

تثبيت شده ارائه کنيد.

نوشته‌های تازه

آخرین دیدگاه‌ها

    بایگانی‌ها

    دسته‌ها

    محصولات

    HP

    EMC

    NetApp

    VMware

    Cisco

    خدمات

    خدمات مجازی سازی
    خدمات ذخیره سازی و بکاپ
    خدمات شبکه
    خدمات دیتاسنتر

    رسانه آموزشی آنلاین
    W3Schools

    © Copyright 2020. All Rights Reserved Powered By