زیرساخت شبکه

  • ۰

زیرساخت شبکه

زیرساخت شبکه

مشاوره ، طراحی و پیاده سازی زیر ساخت شبکه های کامپیوتری

زیرساخت شبکه

زیرساخت شبکه

استفاده از شبکه های کامپیوتری در سالهای اخیر رشدی فزاینده داشته و به موازات آن سازمان ها اقدام به برپا سازی شبکه نموده اند . برپا سازی هر شبکه کامپیوتری تابع مجموعه سیاست هایی است که با استناد به آن در ابتدا طراحی منطقی شبکه و در ادامه طراحی فیزیکی، انجام خواهد شد.
همچنین بایستی طراحی و پیاده سازی آنها مطابق با نیازهای سازمان و اهداف بلند مدت آن و همچنین کاهش هزینه های بهینه سازی و پیاده سازی مجدد آن انجام پذیرد.
• مشاوره، طراحی و پیاده سازی زیرساخت های شبکه بر اساس معماری لایه ای
• پیاده سازی شبکه بر اسا س تجهیزات CISCO
• سوئیچینگ و پیکربندی تجهیزات
• Vlaning شبکه
• طراحی و پیاده سازی شبکه های LAN,WAN
• نصب و راه اندازی شبکه های بیسیم (Wireless )
• طراحی و پیاده سازی لینک های دید مستقیم (P2P & P2M)
• ایجاد نود های جدید در شبکه
• بررسی و بهبود ساختار شبکه و ارائه ی راهکارهای بهینه سازی
• نصب و راه اندازی سرور
• نصب و راه اندازی انتی ویروس های تحت شبکه
• ارائه خدمات نگهداری و پشتیبانی
• نگهداری سخت‌افزارها و تجهیزات شبکه
• توسعه و راه اندازی تجهیزات شبکه
• به روز رسانی شبکه از نظر سخت افزاری و نرم افزار
• بررسی وضعیت و توسعه شبکه از نقطه نظر ارتباط با اینترنت

 


  • ۰

خدمات شبکه

خدمات شبکه، راه اندازی شبکه، پشتیبانی شبکه

خدمات شبکه

خدمات شبکه

استفاده از شبکه های کامپیوتری در سالهای اخیر رشدی فزاینده داشته و به موازات آن سازمان ها اقدام به برپا سازی شبکه نموده اند . برپا سازی هر شبکه کامپیوتری تابع مجموعه سیاست هایی است که با استناد به آن در ابتدا طراحی منطقی شبکه و در ادامه طراحی فیزیکی، انجام خواهد شد.

همچنین بایستی طراحی و پیاده سازی آنها مطابق با نیازهای سازمان و اهداف بلند مدت آن  و همچنین کاهش هزینه های بهینه سازی و پیاده سازی مجدد آن انجام پذیرد.

خدمات شبکه گروه فنی و مهندسی وی سنتر در زمینه ی راه اندازی شبکه و پشتیبانی شبکه به شرح زیر می باشد:
  • مشاوره، طراحی و پیاده سازی زیر ساخت شبکه های کامپیوتر
  • کابل کشی شبکه، نصب داکت و انواع ترانکینگ
  • طراحی و پیاده سازی شبکه های LAN,WAN
  • نصب و راه اندازی شبکه های بیسیم (Wireless  )
  • طراحی و پیاده سازی لینک های دید مستقیم (P2P & P2M)
  • توسعه و راه اندازی تجهیزات شبکه
  • ایجاد نود های جدید در شبکه
  • مشاوره در طراحی و پیاده سازی شبکه
  • بررسی و بهبود ساختار شبکه و ارائه ی راهکارهای بهینه سازی
  • مشاوره و پیاده سازی سرویس های سرور
  • نصب و راه اندازی Windows Server 2003 , 2008 , 2008 R2,2012
  • نصب و راه اندازی mail server: Exchange Server 2010
  • راه اندازی تمامی سرویس های سرور از جمله:

Domain Controller – DHCP – DNS – File Server – Fax Server – VPN  – FTP Server

  • نصب و راه اندازی فایروال از جمله  ISA SERVER 2006 , TMG Server 2010
  • راه اندازی سرورهای مجازی با استفاده ازESX , Hyper-V
  • طراحی و پیاده سازی سیستم های نگهداری و پشتیبانی اطلاعات (Backup)
  • راه اندازی نرم افزار های  Monitoring
  • مشاوره و پیاده سازی سیستم های امنیتی
  • طراحی و اجرای سیستم های دوربین مدار بسته
  • فروش، نصب و پشتیبانی آنتی ویروس های ESET , Kaspersky (خانگی و تحت شبکه)
  • فروش ، نصب و پشتیبانی آنتی ویروس تحت شبکه کسپراسکی
  • نصب و راه اندازی انواع شبکه دامین و workgroup
  • نصب و راه اندازی dns سرور
  • نصب و پشتیبانی ترمینال سرویس
پشتیبانی شبکه:
  •           حضور پشتیبان شبکه هر روز هفته به صورت تمام وقت و یا پاره وقت
  •           حضور کارشناس بعد از حداکثر 2 ساعت
  •           پشتیبانی online
  •           پشتیبانی تلفنی

گروه فنی و مهندسی وی سنتر ارائه دهنده کلیه راهکارهای شبکه ، آمادگی خود را برای تامین نیازهای مشتریان در این حوزه اعلام می دارد.

شماره تماس: 88884268


  • ۰

روشهای عیب یابی شبکه

روشهای عیب یابی شبکه

روشهای عیب یابی شبکه

روشهای عیب یابی شبکه

اشاره :
روشهای عیب یابی شبکه : با افزایش کاربرد کامپیوتر در بخش‌های مختلفی نظیر سازمان‌ها، شرکت‌ها و تقریباً هر بنگاه اقتصادی و بازرگانی، به تدریجج بحث به اشتراک‌گذاری منابع و ارتباط متقابل کامپیوترها و در واقع شبکه‌سازی (Networking) در ابعاد و مقیاس‌های کوچک، متوسط و بزرگ مطرح گردید. به طوری که امروزه شبکه‌ها به یک جزء ضروری و مهم برای تمامی دست‌اندرکاران رایانه تبدیل شده است. به دنبال طراحی، ایجاد و به بهره‌برداری رسیدن شبکه‌ها، خود به خود موضوع نگهداری و پشتیبانی و سرپا نگهداشتن شبکه موجود مطرح می‌گردد. در ادامه این روند، موضوع عیب‌یابی که شامل تشخیص و تعیین نوع مشکل و رفع آن می‌شود نیز از مباحث مهم نگهداری شبکه‌ها به شمار می‌رود. منشأ این عیب می‌تواند نرم‌افزاری، سخت‌افزاری، عدم تطابق تجهیزات، ناهماهنگی بین اجزا، تنظیمات نادرست و … باشد. افراد دست‌اندرکار رفع مشکلا‌ت شبکه در تمامی موارد، الزاماً نباید مدارک علمی چندان سطح بالا‌یی داشته باشند. چون در این میدان تجربه و کارآزمودگی حرف اول را می‌زند و معمولا‌ً داشتن اطلا‌عات اولیه و زیربنایی از شبکه‌ها کافی به نظر می‌رسد. عیب‌یابی یک شبکه بسیار شبیه حل معما است. اگر یک ایده کلی در مورد نحوه عملکرد شبکه به دست آورده‌اید و می‌دانید کدام بخش‌ها به یکدیگر وابسته هستند، معمولا‌ً اشاره به محل مشکل کار چندان دشواری نخواهد بود. در این گفتار به ذکر مختصر چند روش عیب‌یابی و برخی از ابزارهای عیب‌یابی TCP/IP و ابزارهای تحلیل شبکه می‌پردازیم.

 

1 – استفاده از مدل هفت لا‌یه‌ای OSI
شناخت لا‌یه‌های مختلف شبکه و نحوه ارتباط آن‌ها و همچنین دانستن این که هر وسیله یا ابزار شبکه در کدام لا‌یه از شبکهه قرار گرفته است و با کدام لا‌یه و تجهیزات دیگر مستقیماً در ارتباط است، کمک شایانی به تشخیص و پیدا کردن محل عیب می‌نماید. به عنوان مثال، چنانچه Cabling در یک نقطه از شبکه قطع یا شل شده باشد، این مسئله به لا‌یه فیزیکی مربوط می‌شود و به عنوان نمونه چک کردن bridge یا روتر که در لا‌یه‌های دوم و سوم قرار گرفته‌اند، هیچ توجیه منطقی ندارد. در جدول 1 لا‌یه‌ها و تجهیزات و مشخصات مرتبط با هر لا‌یه آورده شده است. (می‌توانید برای اطلا‌ع بیشتر در مورد لایه‌های شبکه به پوستر لایه‌های شبکه ضمیمه شماره 50 ماهنامه شبکه مراجعه نمایید. فایل این پوستر در سایت مجله نیز موجود است.)

2 – عیب‌یابی جعبه سیاه
عیب‌یابی جعبه سیاه (Black Box)، نحوه مواجه‌شدن با عملکرد یک سیستم پیچیده به عنوان یک سری سیستم‌های ساده‌ترر است. ایجاد جعبه سیاه در بسیاری از موارد علمی، کاربر دارد و در عیب‌یابی نیز بسیار مفید است. در این روش نگران جزئیات کم‌اهمیت نیستیم و محتویات پنهانی یک سیستم اهمیت چندانی ندارند و ما بیشتر روی صحت ورودی و خروجی‌های هر سیستم تکیه می‌نماییم.

 

لا‌یه‌ کاربرد
لا‌یه کاربرد Program – to – (N)OS interaction
لا‌یه ارائه فرمت متن، رمزگذاری، تبدیل کد
لا‌یه جلسه‌(sessionn) تصدیق اعتبار، نگهداری، هماهنگیاتصالا‌ت
لا‌یه انتقال کنترل جریان، ترتیب‌دهی، تصدیق
لا‌یه شبکه آدرس‌دهی منطقی، مسیریابی،(روترها،‌ سوییچ‌های لا‌یه 3)
لا‌یه Data Link فریم‌بندی و آدرس‌دهی فیزیکی(bridgeها و سوییچ‌ها)
لا‌یه فیزیکی تشخیص ولتاژ، سیگنالینگ‌ (cabling،repeaters ،hubs ،NICS)

جدول 1

3 – روش تشخیص تغییر در شبکه
ایجاد یا به وجود آمدن هر گونه تغییری در شبکه را باید به دقت بررسی کرد. به علا‌وه، چنانچه افراد دیگری نیز از شبکه شماا استفاده می‌کنند، باید در رابطه با تغییراتی که اخیراً انجام داده‌اند، از آن‌ها پرس‌وجو نمایید. تغییر نیروی کار هم می‌تواند مشکلا‌تی را در شبکه ایجاد کند؛‌به‌ویژه این‌که افراد در ثبت رخدادها و رویدادها معمولا‌ً بی‌نقص عمل نمی‌کنند.

4- مستندسازی
در اختیار داشتن نقشه شبکه بسیار مهم است. معمولا‌ً شبکه‌های غیرمستند، مبهم و غیرقابل درک هستند. مستندات شاملل نقشه کاربردی شبکه، مستندات فیزیکی (اطلا‌عات سیم‌کشی‌ها و…)، مستندات منطقی (Logical) که بخش‌های غیرفیزیکی یا مجازی شبکه مانند VLAN را نشان می‌دهد، برچسب‌گذاری کابل‌ها و دستگاه‌ها
(Labelingg) و … را شامل می‌شود.

همچنین ثبت رویدادها، هنری است که حل بسیاری از مشکلا‌ت بعدی را آسان‌تر می‌نماید. می‌توان در کنار هر دستگاه مانند سرور، سوییچ یا مسیریاب، هر کار انجام گرفته در مورد آن‌ها را به همراه زمان انجام آن یادداشت کرد. در مورد یک شبکه غیرمستند نیز حتی‌المقدور باید مستندسازی را در هر مرحله‌ای شروع کرد و این کار به نظم و سرعت در عمل کمک شایانی خواهد کرد.

5 – روش تقسیم‌بندی
تقسیم‌بندی یک شبکه باعث می‌شود کنترل آن آسان‌تر شود. در واقع منطقه‌بندی مشکل (Problem Localization) هنگامیی است که شما نمی‌دانید دقیقاً از کجا به جست‌وجوی مشکل بپردازید. منطقه‌بندی سریع مشکل، اهمیت بسیاری دارد؛ زیرا هیچ‌کس نمی‌خواهد صدها دستگاه را به عنوان منبع بالقوه‌ای از مشکلا‌ت بررسی کند.

6- مقایسه با مواردی که درست عمل می‌کنند
چنانچه یک نمونه شبکه خراب‌ شده دارید، می‌توانید با مقایسه آن با نمونه‌ای که درست کار می‌کند، روش سریعی برایی تشخیص دقیق خرابی پیدا کنید. این کار می‌تواند در مورد مقایسه ترکیب‌بندی سرورها و همچنین وسایل سخت‌افزاری نظیر مسیریاب‌ها، سوییچ‌ها و … نیز به کار رود. بررسی مقایسه‌ای زمانی خوب عمل می‌کند که شما بخواهید سایر موضوعات شبکه مانند تنظیمات کاربر و ترکیب‌بندی‌های ایستگاه کاری را نیز بررسی کنید. گاهی، اگر مشکلی را در یک ترکیب‌بندی خاص عیب‌یابی کرده باشید، می‌توانید آن را کاملا‌ً با یک ترکیب‌بندی که عملکرد خوبی دارد، جایگزین کنید.

7- فرمان‌های عیب‌یابی ipconfig و winipcfg در ویندوز
ترکیب‌بندی اصلی IP با استفاده از ipconfig (در خانواده ویندوز NT) و winipfgg (در خانواده ویندوز 9x) نشان داده می‌شود. اینن دو فرمان به شما امکان می‌دهند اجازه نامه DHCP خود را تجدید یا ترخیص نمایید یا این‌که اطلا‌عات اصلی TCP/IP را نمایش دهید. در اینجا برخی دیگر از فرمان‌های مفید مختص خانواده ویندوز NT (اکس‌پی‌و2000) ارائه شده‌اند.

●ipconfig‌/‌all: همه اطلا‌عات ترکیب‌بندی، نه فقط نشانی IP و نقاب (Mask) شبکه را نشان می‌دهد.

● ipconfig/release: نشانی‌های DHCP را برای همه آداپتورهای شبکه آزاد می‌کند (برای پرهیز از آزاد‌شدن همهِ نشانی‌ها نام یک آداپتور مشخص را وارد کنید.)

●‌‌ipconfig/renew: نشانی‌های DHCP را برای همه تطبیق‌گرها باز می‌کند.

●‌‌ipconfig/flushdns: فقط در ویندوز 2000 و بالا‌تر یکباره نهانگاه (Cache) محلی DNS را توسعه می‌دهد. اگر شماDNS را تغییر داده‌اید و لا‌زم است آن را تا این ایستگاه کاری تعمیم‌دهید، سوییچ مزبور بسیار سودمند خواهد بود. (اگر آن را تعمیم ندهید، تغییر مزبور برای لحظه‌ای در ایستگاه شما نشان داده نخواهد شد).

●ipconfig/display dns: فقط در ویندوز 2000 و بالا‌تر نهانگاه DNS را نمایش می‌دهد.

8 – برخی از فرمان‌های اصلی خطایابی در TCP/IP و شبکه

(Ping Address (Hostname اتصال اصلی IP را با Hostname یا Address بررسی می‌کند. Arp   ‌-a: جدول تبدیل نشانی Mac به IP را نشان می‌دهد. netstat  ‌-rn: جدول مسیریابی TCP/IPP را به طور عددی نشان می‌دهد. netstat  -an همه سوکت‌های TCP/IP مورد استفاده را به طور عددی برای همه کلا‌ینت‌ها و سرورها نشان می‌دهد.
مراحل Pingg به ترتیب می‌تواند به این شکل باشد:

مرحله1‌:Ping کردن نشانی حلقه برگشتی (ping 127.0.0.1)

مرحله2: Ping کردن نشانی IP ایستگاه کاری

مرحله3: Ping کردن نشانی IP یک ایستگاه کاری دیگر در یک بخش

مرحله4: Ping کردن مسیریاب محلی

مرحله5: ping کردن سرور از طریق نشانی IP و نام (Tracert Address (Hostname مسیری که یک بستک (Packet)  از ایستگاه کاری تا Hostname یا Address طی می‌کند را ردیابی می‌نماید. هر مسیریابی که بستک مزبور از طریق آن به سمت Hostname یا Address می‌رود را نشان می‌دهد.

netsh: برنامه سودمند خط فرمان تعاملی که به شما امکان می‌دهد ترکیب‌بندی لا‌یه شبکه را فهرست کنید و آن را تغییر دهید.

net session: همه جلسات شبکه  ‌سازی ویندوز که  در این دستگاه فعال هستند را نشان می‌دهد (نظیر اشتراک‌گذاری و …)
net share: همه اشتراک‌گذاری‌های ویندوز به همراه Hidden Share  ها که در این دستگاه قابل دسترس هستند را فهرستت می‌کند. همچنین در صورت داشتن Windows Resource Kit با استفاده از فرامین آن می‌توان در بسیاری موارد خطایابی‌های دقیقی انجام داد. Resource Kit نه تنها منبعی از ابزارها به شمار می‌آید،‌بلکه یک منبع عالی به عنوان دانش اضافی ویندوز است.

9 – تحلیلگرهای پروتکل
استفاده از تحلیلگرهای پروتکل (Protocol Analyzerr) در حلا‌جی و تحلیل مشکلا‌ت شبکه بسیار سودمند است. یک تحلیلگرر پروتکل ابزاری  است که به بستک‌های(Packets) موجود در بخش اشتراکی شبکه گوش می‌دهد، آن‌ها را از حالت رمز خارج می‌نماید و به شکل فرمت قابل خواندن برای انسان تبدیل می‌کند.

دو نوع اصلی از ابزارهای تحلیل پروتکل عبارتند از:
● تحلیلگرهای بستک (Packet analyzer): بستک‌های موجود در سیم را می‌گیرند، آن‌ها را برای تحلیل بعدی ذخیره می‌کنند وو چند تحلیل آماری را نیز انجام می‌دهند، ولی این کار اصلی آن‌ها نیست.

●‌ تحلیلگرهای آماری (Statistical analyzer): کار اصلی آن‌ها جمع‌آوری داده‌های کمی است تا بعداً بتوانند درباره روش‌های مختلف آماری گزارش دهند، ولی معمولا‌ً بستک‌ها را برای تحلیل بعدی، ذخیره نمی‌کنند.
اکثر تحلیلگرهای بستک دو حالت عملیاتی دارند:

●‌ ‌حالت Capture/monitor (مانیتور / تسخیر)

●‌ ‌حالت Decode (رمزگشایی)

در مرحله تسخیر،‌تحلیلگر می‌تواند اطلا‌عات آماری، شامل تعداد خطاهای هر ایستگاه، تعداد بستک‌های دریافتی/‌ارسالی توسط هر ایستگاه، ضریب بهره‌وری از شبکه (میزان ازدحام در شبکه)  و …. را جمع‌آوری نماید.

تحلیلگرهای بسیارخوب، با نشان دادن نمودارها به شما امکان می‌دهند در مرحله تسخیر، برحسب ایستگاه فعال‌تر و سایر موارد، عمل مرتب‌سازی را انجام دهید. در مرحله رمزگشایی، داده‌های خاصی که تحلیلگر به دست می‌آورد را بررسی می‌کنید. لا‌زم به ذکر است استفاده از تحلیلگر متناسب با نوع شبکه اهمیت زیادی دارد. مثلا‌ً اگر یک شبکه FDDI قدیمی و بدقلق داشته باشید، از تحلیلگر خاص اترنتی که اتفاقاً با FDDI هم کار می‌کند، استفاده نکنید. بدین منظور بهتر است یک تحلیلگر مختص FDDI را به کار ببرید.

نکته جالب توجه در مورد تحلیلگرهای بستک این است که اگر دارای کارت شبکه مناسبی باشید (یعنی یک کارت شبکه کنجکاو که قادر به شنیدن همه بستک‌های شبکه است) این تحلیلگرها می‌توانند در اکثر پی‌سی‌ها اجرا شوند. برای دانلود یک تحلیلگر رایگان می‌توانید به  اینترنت مراجعه کنید.

10 – ابزارهای مدیریت شبکه
دست آخر این‌که، ابزارهای مدیریت شبکه نیز نقشی مهم در عیب‌یابی و شناسایی شکل شبکه‌ها ایفا می‌کنند. مدیریتت شبکه در واقع در بهترین شکل آن، شامل ترکیب‌بندی و دیده‌بانی دوردست Remote Monitoringشبکه می‌شود که به شما امکان می‌دهد علا‌وه بر انجام اصلا‌حات نهایی از راه‌دور، سالم‌بودن شبکه خود را نیز ارزیابی کنید، جزئیات بیشتر در مورد عیب‌یابی به کمک ابزارهای مدیریت شبکه را به مجالی دیگر واگذار می‌کنیم.

 

 


  • ۰

طراحی شبکه

طراحی شبکه

طراحی شبکه

طراحی شبکه

استراتژی طراحی شبکه  (بخش اول )
طراحی شبکه: 
استفاده از شبکه های کامپیوتری در  چندین سال اخیر رشد و به موازات آن سازمان ها  و موسسات متعددی اقدام به برپاسازی شبکه نموده اند. هر شبکه کامپیوتری می بایست با توجه به شرایط و سیاست های هر سازمان ، طراحی و در ادامه پیاده سازی گردد .شبکه ها ی کامپیوتری زیرساخت لازم برای استفاده از منابع فیزیکی و منطقی را در یک سازمان فراهم می نمایند . بدیهی است در صورتی که زیرساخت فوق به درستی طراحی نگردد،  در زمان استفاده از شبکه با مشکلات متفاوتی برخورد نموده و می بایست هزینه های زیادی  به منظور نگهداری  و تطبیق آن با خواسته ها ی مورد نظر( جدید) ، صرف گردد ( اگر خوش شانس  باشیم و مجبور نشویم که از اول همه چیز را مجددا” شروع نمائیم !)  . یکی از علل اصلی در بروز اینچنین مشکلاتی ،  به طراحی شبکه پس از پیاده سازی آن برمی گردد. ( در ابتدا شبکه را پیاده سازی می نمائیم و بعد سراغ طراحی می رویم ! ) .
برپاسازی هر شبکه کامپیوتری تابع مجموعه سیاست هائی  است که با استناد به آنان در ابتدا طراحی منطقی شبکه  و در ادامه طراحی فیزیکی ، انجام خواهد شد . پس از اتمام مراحل طراحی ، امکان پیاده سازی شبکه  با توجه به استراتژی تدوین شده ، فراهم می گردد.
در زمان طراحی یک شبکه ، سوالات متعددی مطرح می گردد :

  • برای طراحی یک شبکه از کجا می بایست شروع کرد ؟
  • چه پارامترهائی  را می بایست در نظر گرفت ؟
  • هدف از برپاسازی یک شبکه چیست ؟
  • انتطار کاربران از یک شبکه چیست ؟
  • آیا  شبکه موجود ارتقاء می یابد و یا  یک شبکه از ابتدا طراحی می گردد ؟
  • چه سرویس ها و خدماتی بر روی شبکه، ارائه خواهد شد  ؟
  • و …

سوالات فوق ، صرفا” نمونه هائی در این زمینه بوده که می بایست پاسخ آنان متناسب با واقعیت های موجود در هر سازمان ، مشخص گردد . ( یکی از اشکالات ما استفاده از پاسخ های ایستا در مواجهه با مسائل پویا است !) .
در این مقاله قصد داریم به بررسی پارامترهای لازم در خصوص  تدوین  یک استراتژی مشخص به منظور طراحی شبکه پرداخته تا از این طریق امکان  طراحی منطقی ، طراحی فیزیکی  و در نهایت  پیاده سازی مطلوب یک شبکه کامپیوتری ، فراهم گردد .

مقدمه
قبل از طراحی فیزیکی شبکه ، می بایست در ابتدا و بر اساس یک فرآیند مشخص ، خواسته ها  شناسائی و آنالیز گردند. چرا قصد ایجاد شبکه را داریم و این شبکه می بایست چه سرویس ها و خدماتی را ارائه نماید ؟  به چه منابعی نیار می باشد ؟ برای تامین سرویس ها و خدمات مورد نظر اکثریت کاربران ،  چه اقداماتی می بایست انجام داد ؟  در ادامه می بایست به مواردی همچون پروتکل مورد نظر برای استفاده در شبکه ، سرعت شبکه  و از همه مهم تر، مسائل امنیتی  شبکه پرداخته گردد. هر یک از مسائل فوق ، تاثیر خاص خود را در طراحی منطقی یک شبکه به دنبال خواهند داشت .یکی دیگر از پارامترهائی  که معمولا” از طرف مدیریت سازمان دنبال و به آن اهمیت داده می شود ، هزینه نهائی برپاسازی شبکه است . بنابراین لازم است در زمان طراحی منطقی شبکه به بودجه در نظر گرفته شده نیز توجه نمود .
در صورتی که قصد ایجاد یک شبکه  و تهیه نرم افزارهای جدیدی وجود داشته باشد ، زمان زیادی صرف بررسی توانمندی نرم افزارها ، هزینه های مستقیم و غیر مستقیم  آنان ( آموزش کاربران ، کارکنان شبکه و سایر موارد دیگر ) ، خواهد شد .در برخی موارد ممکن است تصمیم گرفته شود که از خرید نرم افزارهای جدید صرفنظر نموده  و نرم افزارهای قدیمی را ارتقاء داد. تعداد زیادی از برنامه های کامپیوتری که با استفاده از زبانهائی نظیر : کوبال ، بیسیک و فرترن نوشته شده اند ،  ممکن است دارای قابلیت های خاصی در محیط شبکه بوده که استفاده از آنان نیازمند بکارگیری پروتکل های قدیمی  باشد.  در چنین مواردی لازم است به چندین موضوع دیگر نیز توجه گردد :

  • هزینه ارتقاء هزاران خط کد نوشته شده قدیمی توسط نسخه های جدید و پیشرفته همان زبان های برنامه نویسی ، چه میزان است ؟
  • هزینه  ارتقاء برنامه ها به یک زبان برنامه نویسی شی گراء چه میزان است ؟
  • آیا به منظور صرفه جوئی در هزینه ها ، می توان بخش های خاصی از شبکه را ارتقاء و از سخت افزارها و یا نرم افزارهای خاصی برای ارتباط با عناصر قدیمی شبکه استفاده نمود؟

با توجه به هزینه و زمان ارتقاء برنامه های نوشته شده قدیمی توسط  زبان های جدید برنامه نویسی ، ممکن است تصمیم گرفته شود که فعلا” و تا زمانی که نرم افزارهای جدید نوشته و جایگزین گردند از  نرم افزارهای موجود حمایت و پشتیبانی شود. در این رابطه ممکن است بتوان از یک بسته نرم افراری به عنوان گزینه ای جایگزین در ارتباط  با  برنامه های قدیمی نیز استفاده نمود. در صورتی که می توان با اعمال تغییراتی اندک  و ترجمه کد منبع برنامه ، امکان اجرای برنامه را بر روی یک سیستم عامل جدید فراهم نمود ، قطعا” هزینه مورد نظر بمراتب کمتر از حالتی است که برنامه از ابتدا و متناسب با خواسته های جدید ، بازنویسی گردد. یکی دیگر از مسائلی که می بایست در زمان ارتقاء  یک برنامه جدید مورد توجه قرار گیرد ، آموزش کاربرانی است که از نرم افزار فوق استفاده می نمایند .

برنامه ریزی برای  طراحی منطقی شبکه
برای طراحی منطقی شبکه ، می توان از یک و یا دونقطه کار خود را شروع کرد: طراحی و نصب یک شبکه جدید و یا  ارتقاء شبکه موجود. در هر دو حالت ، می بایست اطلاعات مورد نیاز در خصوص چندین عامل اساسی و مهم را قبل از طراحی منطقی شبکه ، جمع آوری نمود. مثلا” با توجه به سرویس ها و خدماتی که قصد ارائه آنان به سرویس گیرندگان شبکه را داریم ، می بایست  به بررسی و آنالیز الگوهای ترافیک در شبکه پرداخته گردد . شناسائی نقاط حساس و بحرانی (در حد امکان )  ، کاهش ترافیک موجود با ارائه مسیرهای متعدد به منابع و  تامین سرویس دهندگان متعددی که مسئولیت پاسخگوئی به داده های مهم با هدف  تامینLoad balancing  را  دارا می باشند ، نمونه هائی در این رابطه می باشد .برای برنامه ریزی در خصوص طراحی منطقی شبکه می بایست به عواملی دیگر نیز توجه و در خصوص آنان تعیین تکلیف شود :

  •  سرویس گیرندگان، چه افرادی می باشند؟ نیاز واقعی آنان چیست ؟چگونه از نیاز آنان آگاهی پیدا کرده اید ؟ آیا اطلاعات جمع آوری شده معتبر است ؟
  • چه نوع سرویس ها  و یا خدماتی می بایست بر روی شبکه ارائه گردد؟ آیا در این رابطه محدودیت های خاصی وجود دارد ؟ آیا قصد استفاده و پیکربندی یک فایروال بین شبکه های محلی وجود دارد ؟ در صورت وجود فایروال ، به منظور استفاده از اینترنت به پیکربندی خاصی نیاز می باشد؟
  • آیا صرفا” به  کاربران داخلی شبکه ، امکان استفاده از اینترنت داده می شود و یا  کاربران خارجی ( مشتریان سازمان ) نیز می بایست قادر به دستیبابی شبکه  باشند ؟ هزینه دستیابی و ارائه سرویس ها و خدمات به کاربران خارجی از طریق اینترنت، چه میزان است ؟  ؟ آیا تمامی کاربران  شبکه مجاز به استفاده  از سرویس پست الکترونیکی  می باشند (سیستم داخلی و یا خارجی از طریق فایروال ) . کاربران شبکه ، امکان دستیابی به چه سایت هائی را دارا خواهند بود؟  آیا سازمان شما دارای کاربرانی است که در منزل و یا محیط خارج از اداره مشغول به کار بوده و لازم است به  شبکه از طریق Dial-up و یا VPN ( از طریق ایننترنت ) ، دستیابی نمایند ؟

یکی از موضوعات مهمی که امروزه مورد توجه اکثر سازمان ها می باشد  ، نحوه تامین امکان دستیابی نامحدود به اینترنت برای کاربران است. در صورتی که کاربران نیازمند مبادله نامه الکترونیکی با مشتریان سازمان و یا مشاوران خارج از شرکت می باشند ، می بایست ترافیک  موجود را از طریق یک برنامه فیلتر محتوا  و یا فایروال انجام و به کمک نرم افزارهائی که حفاظت لازم در مقابل ویروس ها را ارائه می نمایند ، عملیات تشخیص و پیشگیری از کد های مخرب و یا فایل ضمیمه آلوده را نیز انجام داد.
با استفاده از نرم افزارهائی نظیر FTP  ،کاربران قادر به ارسال و یا دریافت فایل  از طریق سیستم های راه دور می باشند .آیا در این خصوص تابع یک سیاست مشخص شده ای بوده و می توان پتانسیل فوق را بدون این که اثرات جانبی خاصی را به دنبال داشته باشد در اختیار کاربران قرار داد ؟ از لحاظ امنیتی ،امکان اجرای هر برنامه جدید بر روی هر کامپیوتر ( سرویس گیرنده و یا سرویس دهنده ) بدون بررسی لازم در خصوص امنیت برنامه ، تهدیدی جدی در هر شبکه کامپیوتری محسوب می گردد .

  • آیا کاربران شبکه با یک مشکل خاص کوچک که می تواند برای دقایقی شبکه و سرویس های آن را غیر فعال نماید ، کنار می آیند  و یا می بایست شبکه تحت هر شرایطی به منظور ارائه خدمات و سرویس ها ، فعال و امکان دستیابی به آن وجود داشته باشد ؟ آیا به سرویس دهندگان کلاستر شده ای  به منظور در دسترس بودن دائم  شبکه ، نیاز می باشد ؟ آیا کاربران در زمان غیرفعال بودن شبکه ، چیزی را از دست خواهند داد ؟ آیا یک سازمان توان مالی لازم در خصوص پرداخت هزینه های مربوط به ایجاد زیرساخت لازم برای فعال بودن دائمی شبکه را دارا می باشد ؟ مثلا” می توان توپولوژی های اضافه ای  را در شبکه پیش بینی تا  بتوان از آنان برای پیشگیری از بروز اشکال در یک نقطه و غیر فعال شدن شبکه ، استفاده گردد. امروزه با بکارگیری تجهیزات خاص سخت افزاری به همراه نرم افزاری مربوطه ، می توان از راهکارهای متعددی به منظور انتقال داده های ارزشمند در یک سازمان و حفاظت از آنان در صورت بروز اشکال ، استفاده نمود.
  • در صورتی که قصد ارتقاء شبکه موجود وجود داشته باشد ، آیا  می توان از پروتکل های فعلی استفاده کرد و یا می بایست به یک استاندارد جدید در ارتباط با پروتکل ها ، سوئیچ نمود ؟ در صورتی که یک شبکه  جدید طراحی می گردد ، چه عواملی می تواند در خصوص انتخاب پروتکل شبکه ،  تاثیر گذار باشد ؟ اترنت ، متداولترین تکنولوژی شبکه ها ی محلی ( LAN ) و TCP/IP ، متداولترین پروتکلی است که بر روی اترنت ، اجراء می گردد . در برخی موارد ممکن است لازم باشد که سایر تکنولوژی های موجود نیز بررسی و در رابطه با استفاده از آنان ، تصمیم گیری گردد .

استفاده کنندگان شبکه چه افرادی هستند ؟
این سوال به نظر خیلی ساده می آید. ما نمی گوئیم که نام استفاده کنندگان چیست ؟ هدف از سوال فوق، آشنائی با نوع عملکرد شغلی و حوزه وظایف هر یک از کاربران شبکه است . طراحان شبکه های کامپیوتری نیازمند تامین الگوها و خواسته ها  متناسب با ماهیت عملیاتی هر یک از بخش های  یک سازمان بوده تا بتوانند سرویس دهندگان را به درستی سازماندهی نموده و  پهنای باند مناسب برای هر یک از بخش های فوق را تامین و آن را در طرح  شبکه ، لحاظ نمایند . مثلا” در اکثر سازمان ها ، بخش عمده ترافیک شبکه مربوط به واحد مهندسی است . بنابراین در چنین مواردی لازم است امکانات لازم در خصوص مبادله داده در چنین واحدهائی به درستی پیش بینی شود .

شبکه مورد نظر می بایست چه نوع سرویس ها و خدماتی  را ارائه نماید ؟
مهمترین وظیفه یک شبکه ، حمایت از نرم افزارهائی است که امکان استفاده از آنان برای چندین کاربر ، وجود داشته باشد. در این رابطه لازم است در ابتدا لیستی از انواع نرم افزارهائی که در حال حاضر استفاده می گردد و همچنین لیستی از نرم افزارهائی را که کاربران تقاضای استفاده از آنان را نموده اند، تهیه گردد. هر برنامه دارای یک فایل توضیحات کمکی است که در آن به مسائل متفاوتی از جمله رویکردهای امنیتی ، اشاره می گردد ( در صورت وجود ) . نرم افزارهای عمومی شبکه در حال حاضر FTP، telnet و مرورگرهای وب بوده که نسخه های خاص امنیتی در ارتباط با هر یک از آنان نیز ارائه شده است . برخی از این نوع نرم افزارها دارای نسخه هائی می باشند که همزمان با نصب ، حفره ها و روزنه های متعددی را برروی شبکه ایجاد می نمایند . صرفنظر از این که چه نرم افزارهائی برای استفاده  در شبکه انتخاب می گردد ، می بایست به دو نکته مهم در این رابطه توجه گردد :

  •  آیا برنامه ایمن و مطمئن می باشد؟ اکثر برنامه ها در حال حاضر دارای نسخه هائی ایمن بوده و یا می توان آنان را به همراه یک سرویس دهنده Proxyبه منظور کمک در جهت کاهش احتمال بکارگیری نادرست ، استفاده نمود.سرویس دهندگان Proxy ، یکی از عناصر اصلی و مهم در فایروال ها بوده و لازم است به نقش و جایگاه آنان بیشتر توجه گردد. حتی شرکت های بزرگ نیز در معرض تهدید و آسیب بوده و هر سازمان می بایست دارای کارشناسانی ماهر به منظور پیشگیری و برخورد با   مشکلات امنیتی خاص در شبکه باشد .
  • آیا یک برنامه با برنامه دیگر Overlap دارد؟ هر کاربر دارای نرم افزار مورد علاقه خود می باشد . برخی افراد یک واژه پرداز را دوست دارند و عده ای دیگر به  واژه پردازه دیگری علاقه مند می باشند. در زمان استفاده از چنین نرم افزارهائی لازم است حتی المقدور سعی گردد از یک محصول خاص بمظور تامین خواسته تمامی کاربران ،استفاده گردد. فراموش نکنیم که پشتیبانی چندین برنامه که عملیات مشابه و یکسانی را انجام می دهند هم سرمایه های مالی را هدر خواهد داد و هم می تواند سردرگمی ، تلف شدن زمان و بروز مشکلات مختلف در جهت مدیریت آنان توسط گروه مدیریت و پشتیبان شبکه را به دنبال داشته باشد .

هر برنامه و یا سرویس  جدیدی را که قصد نصب و فعال شدن آن  را در شبکه داشته باشیم ، می بایست در ابتدا بررسی و در ادامه متناسب با سیاست ها و شرایط موجود ، پیکربندی نمود . برنامه های جدید می بایست منطبق بر این حقیقت باشند که چرا به وجود آنان نیاز می باشد؟ در صورتی که یک برنامه موجود می تواند به منظور تحقق اهداف خاصی استفاده گردد ، چرا به برنامه ای دیگر نیاز می باشد ؟ آیا  عدم کارائی برنامه قدیمی  بررسی  و بر اساس نتایج به دست آمده به سراغ تهیه یک نرم افزار جدید می رویم ؟ همواره لازم است برنامه جدید بررسی تا اطمینان لازم در خصوص تامین خواسته ها  توسط آن حاصل گردد.این موضوع در رابطه با برنامه های قدیمی نیز صدق خواهد کرد: آیا این نوع برنامه ها بر روی شبکه جدید و یا شبکه موجود که قصد ارتقاء آن را داریم ، کار خواهند کرد؟
آیا استفاده از شبکه ، مانیتور می گردد؟ آیا به کاربران شبکه اجازه داده می شود که اکثر وقت خود را در طی روز به  استفاده از اینترنت و یا ارسال و یا دریافت نامه های الکترونیکی شخصی ، صرف نمایند ؟ تعداد زیادی از سازمان ها و موسسات  امکان استفاده از تلفن برای کاربردهای شخصی را با لحاط نمودن  سیاست های خاصی در اختیار کارکنان خود قرار می دهند. آیا در زمان تعریف آدرس الکترونیکی کاربران ، راهکاری مناسب در این خصوص انتخاب  و به آنان اعلام شده است ؟ آیا پیشگیری لازم به منظور دستیابی به سایت هائی که ارتباطی با  عملکرد شغلی پرسنل ندارند ، پیش بینی شده است ؟

برای هر یک از لینک های شبکه به چه درجه ای از اطمینان نیاز است ؟
از کار افتادن شبکه و غیر فعال شدن سرویس های آن تا چه میزان قابل قبول است ؟ شاید اکثر کاربران در پاسخ  زمان صفر را مطرح نموده و تمایل دارند که شبکه تحت هر شرایطی فعال و در دسترس باشد . عناصر مهم در شبکه ، نظیر سرویس دهندگان فایل دارای استعداد لازم برای پذیرش اشکالات و بروز خطاء می باشند . در سرویس دهندگان بزرگ ، از دو منبع تغذیه متفاوت که هر کدام  به یک ups جداگانه متصل می گردند ، استفاده می شود و از فن آوری های Raid  به منظور اطمینان از صحت ارائه اطلاعات در رابطه با حوادثی که ممکن است باعث از کار افتادن یک دیسک گردد ، استفاده می شود. در صورتی که دو بخش متفاوت یک سازمان از طریق یک خط ارتباطی ( لینک ) خاص با یکدیگر مرتبط شده باشند و لازم است که همواره ارتباط بین آنان بصورت تمام وقت برقرار باشد، می بایست برنامه ریزی  لازم در خصوص ایجاد چندین لینک بین دو سایت ، صورت پذیرد  (لینک Backup ). در چنین مواردی ، می بایست هزینه تامین لینک اضافه نیز پیش بینی گردد. در صورتی که از چندین لینک برای ارتباط با سایت های راه دور استفاده می شود ، می توان از  مسیرهای مختلفی  بدین منظور استفاده نمود . بدیهی است در صورت بروز اشکال در یکی از لینک های موجود، می توان از سایر مسیر ها استفاده به عمل آورد . در این رابطه لازم است به موارد زیر نیز توجه گردد :

  • علاوه بر در نظر گرفتن خطوط اختصاصی بین سایت ها ، استفاده از VPN)Virtual Private Networking) ، نیز روشی متداول به منظور اتصال به سایت های راه دور، می باشد . مهمترین مزیت روش فوق، ارزان بودن آن نسبت به یک لینک اختصاصی  با توجه به استفاده از زیرساخت اینترنت برای مبادله داده است . کاربران موبایل می توانند با استفاده از یک VPN به شبکه سازمان خود دستیابی داشته باشند ( در زمان حرکت از یک نقطه به نقطه ای دیگر ) . در چنین مواردی لازم است سایت راه دور ( و نیز سایت اصلی ) ، از دو ISP استفاده نموده تا اگر یکی از آنان با مشکل روبرو گردید ، امکان استفاده از اینترنت از طریق یک اتصال دیگر ، وجود داشته باشد .
  • فن آوری دیگری  که می توان از آن به منظور ارائه یک لایه اضافه  به منظور در دسترس بودن شبکه استفاده نمود ، دستیابی با سرعت بالا به دستگاههای ذخیره سازی و  شبکه ذخیره سازی  ( SAN:Storage Area Network ) است  . SAN ، شبکه ای است که از LAN جدا بوده و شامل صرفا” دستگاههای ذخیره سازی و سرویس دهندگان لازم  برای دستیابی به دستگاه ها است . با توجه به این که پهنای باند شبکه با کاربران شبکه محلیLAN  به اشتراک گذاشته نمی شود ، چندین سرویس دهنده قادر به دستیابی محیط ذخیره سازی مشابه و یکسانی ، خواهند بود. سایر سرویس دهندگان می توانند بگونه ای پیکربندی گردند که امکان دستیابی  به داده را فراهم نمایند . در این رابطه می توان از RAID و یا برخی فن آوری های دیگر مرتبط با دستگاه های ذخیره سازی نیز استفاده نمود .

در بخش دوم این مقاله به بررسی سایر پارامترهای لازم در خصوص تدوین استراتژی طراحی یک شبکه کامپیوتری خواهیم پرداخت .

 

 


  • ۰

مراحل اولیه ایجاد امنیت در شبکه

مراحل اولیه ایجاد امنیت در شبکه

مراحل اولیه ایجاد امنیت در شبکه

مراحل اولیه ایجاد امنیت در شبکه

شبکه های کامپیوتری زیر ساخت لازم برای عرضه اطلاعات در یک سازمان را فراهم می نمایند . بموازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنیت در شبکه های کامپیوتری ، بطور چشمگیری  مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سیستم های امنیتی در این زمینه می باشند ، افزوده می گردد . در این مقاله ، پیشنهاداتی در رابطه با ایجاد یک محیط ایمن در شبکه ، ارائه می گردد .

سیاست امنیتی

یک سیاست امنیتی، اعلامیه ای رسمی مشتمل بر مجموعه ای از قوانین است که می بایست توسط افرادیکه به یک تکنولوژی سازمان و یا سرمایه های اطلاعاتی دستیابی دارند،  رعایت و به آن پایبند باشند . بمنظور تحقق اهداف امنیتی ، می بایست سیاست های تدوین شده  در رابطه با تمام کاربران ، مدیران شبکه و مدیران عملیاتی سازمان، اعمال  گردد . اهداف مورد نظر عموما”  با تاکید بر گزینه های  اساسی زیر مشخص  می گردند .

” سرویس های عرضه شده  در مقابل امنیت ارائه شده   ، استفاده ساده در مقابل امنیت  و هزینه ایمن سازی در مقابل ریسک از دست دادن اطلاعات ”

مهمترین هدف یک سیاست امنیتی ، دادن آگاهی لازم به کاربران،  مدیران شبکه و مدیران عملیاتی یک سازمان در رابطه با امکانات و تجهیزات لازم ، بمنظور حفظ و صیانت از تکنولوژی و سرمایه های اطلاعاتی است . سیاست امنیتی ، می بایست مکانیزم و راهکارهای مربوطه را با تاکید بر امکانات موجود تبین نماید . از دیگر اهداف یک سیاست امنیتی ،  ارائه یک خط اصولی برای  پیکربندی و ممیزی سیستم های کامپیوتری و شبکه ها ،  بمنظور تبعیت از سیاست ها است . یک سیاست امنیتی مناسب و موثر ، می بایست رضایت و حمایت تمام پرسنل موجود در یک سازمان را بدنبال داشته باشد .

یک سیاست امنیتی خوب دارای ویژگی های زیر است :

امکان  پیاده سازی عملی آن بکمک روش های متعددی نظیر رویه های مدیریتی،  وجود داشته باشد .

 

امکان تقویت آن توسط ابزارهای امنیتی ویا  دستورات مدیریتی  در مواردیکه پیشگیری واقعی از لحاظ فنی امکان پذیر نیست ، وجود داشته باشد .

محدوده مسئولیت  کاربران ، مدیران شبکه  و مدیران عملیاتی بصورت  شفاف مشخص گردد .

پس از استقرار، قابلیت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ( یک بار گفتن و همواره در گوش داشتن )

دارای انعطاف لازم بمنظور برخورد با  تغییرات درشبکه  باشد .(  سیاست های تدوین شده ،  نمونه ای بارز از مستندات زنده تلقی می گردنند . )

سیستم های  عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی

در صورت امکان، می بایست از آخرین نسخه  سیستم های عامل و برنامه های کاربردی بر روی تمامی کامپیوترهای  موجود در شبکه ( سرویس گیرنده ، سرویس دهنده ، سوئیچ، روتر، فایروال و سیستم های تشخیص مزاحمین ) استفاده شود . سیستم های عامل و برنامه های کاربردی می بایست بهنگام بوده و همواره از آخرین امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در این راستا می بایست حساسیت بیشتری نسبت به برنامه های آسیب پذیر که زمینه لازم برای متجاوزان اطلاعاتی را فراهم می نمایند ، وجود داشته باشد  .

برنامه های  : IIS ,OutLook , Internet Explorer , BIND و sendmail  بدلیل وجود نقاط آسیب پذیر می بایست مورد توجه جدی قرار گیرند . متجاوزان اطلاعاتی ،  بدفعات از نقاط آسیب پذیر برنامه های فوق برای خواسته های خود استفاده کرده اند .

شناخت شبکه موجود

بمنظور پیاده سازی و پشتیبانی سیستم امنیتی ، لازم است لیستی از تمام دستگاههای  سخت افزاری و برنامه های نصب شده ، تهیه گردد . آگاهی از برنامه هائی که بصورت پیش فرض نصب شده اند،  نیز دارای اهمیت خاص خود است ( مثلا” برنامه IIS بصورت پیش فرض توسط SMS و یا سرویس دهنده SQL در شبکه های مبتنی بر ویندوز نصب می گردد ) . فهرست برداری از سرویس هائی که بر روی شبکه در حا ل اچراء می باشند، زمینه را برای پیمایش و تشخیص مسائل مربوطه ،  هموار خواهد کرد .

 

سرویس دهندگان TCP/UDP و سرویس های موجود در شبکه

تمامی سرویس دهندگان TCP/UDP در شبکه بهمراه سرویس های موجود بر روی هر کامپیوتر در شبکه ، می بایست شناسائی و مستند گردند . در صورت امکان، سرویس دهندگان و سرویس های غیر ضروری،  غیر فعال گردند . برای سرویس دهندگانی که وجود آنان ضروری تشخیص داده می شود،  دستیابی به آنان محدود به کامپیوترهائی گردد که به خدمات آنان نیازمند می باشند . امکانات عملیاتی را که بندرت از آنان استفاده و دارای  آسیب پذیری بیشتری می باشند ، غیر فعال تا زمینه بهره برداری آنان توسط متجاوزان اطلاعاتی  سلب گردد. توصیه می گردد ،  برنامه های نمونه (Sample)  تحت هیچ شرایطی بر روی سیستم های تولیدی ( سیستم هائی که محیط لازم برای تولید نرم افزار بر روی آنها ایجاد و با استفاده از آنان محصولات نرم افزاری تولید می گردند )  نصب نگردند .

 

رمزعبور

انتخاب رمزعبور ضعیف ،  همواره یکی از مسائل اصلی در رابطه با هر نوع  سیستم امنیتی است . کاربران،  می بایست متعهد و مجبور به تغییر رمز عبور خود بصورت ادواری گردند . تنظیم مشخصه های رمز عبور در سیستم های مبتنی بر ویندوز،  بکمک Account Policy صورت می پذیرد . مدیران شبکه،  می بایست برنامه های مربوط به تشخیص رمز عبور را تهیه و آنها را اجراء تا آسیب پذیری سیستم  در بوته نقد و آزمایش قرار گیرد .

برنامه های john the Ripper   ، LOphtcrack و Crack ،  نمونه هائی در این زمینه می باشند . به کاربرانی که رمز عبور آنان ضعیف تعریف شده است ، مراتب اعلام و در صورت تکرار  اخطار داده شود ( عملیات فوق،  می بایست بصورت متناوب انجام گیرد ) . با توجه به اینکه برنامه های تشخیص رمزعبور،زمان زیادی از پردازنده را بخود اختصاص خواهند  داد،  توصیه می گردد،  رمز عبورهای کد شده ( لیست SAM بانک اطلاعاتی در ویندوز ) را بر روی  سیستمی دیگر که در شبکه نمی باشد،  منتقل  تا زمینه بررسی رمزهای عبور ضعیف ،  فراهم گردد . با انجام عملیات فوق برروی یک کامپیوتر غیر شبکه ای ،  نتایج بدست آمده برای هیچکس قابل استفاده نخواهد بود( مگراینکه افراد بصورت فیزیکی به سیستم دستیابی پیدا نمایند) .

برای تعریف رمز عبور،  موارد زیر پیشنهاد می گردد :

حداقل طول رمز عبور، دوازده و یا بیشتر باشد .

دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .

از کلمات موجود در دیکشنری استفاده نگردد .

رمز های عبور ، در فواصل زمانی مشخصی ( سی و یا نود روز)  بصورت ادواری تغییر داده شوند .

کاربرانی  که رمزهای عبور ساده و قابل حدسی را برای خود تعریف نموده اند، تشخیص و به آنها تذکر داده شود .( عملیات فوق بصورت متناوب و در فواصل زمانی  یک ماه انجام گردد).

عدم اجرای برنامه ها ئی  که  منابع  آنها تایید نشده است .

در اغلب حالات ، برنامه های کامپیوتری در یک چارچوب امنیتی خاص مربوط به  کاربری که آنها را فعال می نماید ،  اجراء می گردند.دراین زمینه ممکن است،  هیچگونه توجه ای  به ماهیت منبع ارائه دهنده  برنامه  توسط کاربران انجام نگردد . وجود یک زیر ساخت PKI ) Public key infrastructure ) ، در این زمینه می تواند مفید باشد . در صورت عدم وجود زیرساخت امنیتی فوق ،می بایست مراقبت های لازم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا” ممکن است برخی آسیب ها  در ظاهری کاملا” موجه از طریق یک پیام الکترونیکی جلوه نمایند . هرگز یک ضمیمه پیام الکترونیکی و یا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده اید ، فعال و یا اجراء ننمائید . همواره از برنامه ای نظیر Outlook بمنظور دریافت پیام های الکترونیکی استفاده گردد . برنامه فوق در یک ناحیه محدوده شده اجراء و می بایست امکان اجرای  تمام اسکریپت ها و محتویات فعال  برای ناحیه فوق ، غیر فعال گردد.

ایجاد محدودیت در برخی از  ضمائم پست الکترونیکی

ضرورت توزیع و عرضه تعداد زیادی از انواع فایل های ضمیمه ، بصورت روزمره در یک سازمان وجود ندارد .بمنظور پیشگیری از اجرای کدهای مخرب ، پیشنهاد می گردد این نوع فایل ها ،غیر فعال گردند . سازمان هائی که از Outlook استفاده می نمایند،  می توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمایند .
( برای سایر نسخه های Outlook می توان از Patch  امنیتی مربوطه استفاده کرد .)

فایل های زیر را می توان  بلاک کرد :

نوع فایل هائی که می توان آنها را بلاک نمود .
.bas  .hta  .msp  .url  .bat  .inf  .mst  .vb  .chm  .ins  .pif  .vbe
.cmd .isp  .pl  .vbs .com .js .reg .ws  .cpl  .jse  .scr  .wsc  .crt
.lnk .sct  .wsf  .exe .msi  .shs  .wsh

در صورت ضرورت می توان ، به لیست فوق برخی از فایل ها را اضافه و یا  حذف کرد. مثلا” با توجه به وجود عناصر اجرائی در برنامه های آفیس ، میتوان امکان اجرای برنامه ها را در آنان بلاک نمود . مهمترین نکته در این راستا به برنامه  Access بر می گردد که برخلاف سایر اعضاء خانواده آفیس ،  دارای امکانات حفاظتی ذاتی  در مقابل ماکروهای آسیب رسان  نمی باشد .

 

پایبندی به  مفهوم کمترین امتیاز 

اختصاص حداقل امتیاز به کاربران، محور اساسی درپیاده سازی یک سیتم امنیتی است. رویکرد فوق بر این اصل مهم استوار است که  کاربران می بایست صرفا”  دارای حقوق و امتیازات لازم بمنظور انجام کارهای مربوطه باشند ( بذل و بخشش امتیازات در این زمینه شایسته نمی باشد!) .  رخنه در سیستم امنیتی از طریق کدهای مخربی که توسط کاربران اجراء می گردند، تحقق می یابد .  در صورتیکه کاربر، دارای حقوق و امتیازات  بیشتری باشد ، آسیب پذیری اطلاعات در اثر اجرای کدها ی مخرب ، بیشتر خواهد شد . موارد زیر برای اختصاص حقوق کاربران ،  پیشنهاد می گردد :

تعداد account مربوط به مدیران شبکه،  می بایست  حداقل باشد .

مدیران شبکه ، می بایست بمنظور انجام فعالیت های روزمره نظیر خواندن پیام های پست الکترونیکی ، از یک account روزمره در مقابل ورود به شبکه  بعنوان administrator ،استفاده نمایند .

 

مجوزهای لازم برای منابع بدرستی تنظیم و پیکربندی گردد . در این راستا  می بایست حساسیت بیشتری نسبت به برخی از برنامه ها که همواره مورد استفاده  متجاوزان اطلاعاتی است ، وجود داشته باشد . این نوع برنامه ها ، شرایط مناسبی برای متجاوزان اطلاعاتی را فراهم  می نمایند. جدول زیر برخی از این نوع برنامه ها را نشان می دهد .

 

برنامه های  مورد توجه متجاوزان اطلاعاتی
explorer.exe, regedit.exe, poledit.exe, taskman.exe, at.exe,
cacls.exe,cmd.exe, finger.exe, ftp.exe, nbstat.exe, net.exe,
net1.exe,netsh.exe, rcp.exe, regedt32.exe, regini.exe,
regsvr32.exe,rexec.exe, rsh.exe, runas.exe, runonce.exe,
svrmgr.exe,sysedit.exe, telnet.exe, tftp.exe, tracert.exe,
usrmgr.exe,wscript.exe,xcopy.exe

رویکرد حداقل امتیاز ، می تواند به برنامه های سرویس دهنده نیز تعمیم یابد . در این راستا می بایست حتی المقدور،  سرویس ها و برنامه ها  توسط یک account که حداقل امتیاز را دارد ،اجراء گردند .

ممیزی برنامه ها

اغلب برنامه های سرویس دهنده ،  دارای قابلیت های ممیزی گسترده ای  می باشند . ممیزی می تواند شامل دنبال نمودن حرکات مشکوک و یا برخورد با آسیب های واقعی باشد . با فعال نمودن ممیزی برای برنامه های سرویس دهنده و کنترل دستیابی به برنامه های کلیدی نظیر برنامه هائی که لیست آنها در جدول قبل ارائه گردید،  شرایط مناسبی بمنظور حفاظت از اطلاعات  فراهم می گردد .

 

چاپگر شبکه

امروزه اغلب چاپگرهای شبکه دارای قابلیت های از قبل ساخته شده برای  سرویس های  FTP,WEB و Telnet بعنوان بخشی از سیستم عامل مربوطه ،  می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از  چاپگرهای شبکه بصورت  FTP Bound servers  ، Telnet  و یا  سرویس های مدیریتی وب ، وجود خواهد داشت . رمز عبور پیش فرض را به یک رمز عبور پیچیده تغییر  و با  صراحت پورت های چاپگر را در محدوده روتر / فایروال بلاک نموده و  در صورت عدم نیاز  به  سرویس های  فوق ، آنها را غیر فعال نمائید .

 

پروتکل  SNMP (Simple Network Management Protocol  )

پروتکل SNMP ،  در مقیاس گسترده ای توسط مدیران شبکه بمنظور مشاهده و مدیریت تمام کامپیوترهای موجود در شبکه ( سرویس گیرنده ، سرویس دهنده،  سوئیچ ، روتر،  فایروال ) استفاده می گردد .SNMP ،  بمنظور تایید اعتبار کاربران ،  از روشی غیر رمز شده استفاده می نماید . متجاوزان اطلاعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمایند . در چنین حالتی، آنان قادر به اخذ اطلاعات متنوعی در رابطه با عناصر موجود در شبکه بوده و حتی امکان  غیر فعال نمودن یک سیستم از راه دور  و یا تغییر پیکربندی سیستم ها  وجود خواهد داشت . در صورتیکه یک متجاوز اطلاعاتی قادر به جمع آوری ترافیک SNMP دریک شبکه گردد، از اطلاعات مربوط به  ساختار شبکه موجود بهمراه سیستم ها و دستگاههای متصل شده به آن ، نیز آگاهی خواهد یافت . سرویس دهندگان SNMP  موجود بر روی هر کامپیوتری را که ضرورتی به وجود آنان نمی باشد ، غیر فعال نمائید . در صورتیکه بهر دلیلی استفاده از  SNMP ضروری باشد ،  می بایست امکان دستیابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان،  صرفا” به تعداد اندکی از کامپیوترها امتیاز استفاده از سرویس دهنده SNMP  اعطاء گردد .

تست امنیت شبکه

مدیران شبکه های کامپیوترهای می بایست، بصورت ادواری اقدام به تست امنیتی تمام کامپیوترهای موجود در شبکه (سرویس گیرندگان، سرویس دهندگان، سوئیچ ها ، روترها ، فایروال ها و سیتستم های تشخیص مزاحمین)  نمایند. تست امنیت شبکه ،  پس از اعمال هر گونه تغییر اساسی  در پیکربندی شبکه ، نیز می بایست انجام شود .

 

 

 

 


  • ۰

مدل چهار لایه ای TCP/IP

مدل چهار لایه ای TCP/IP

مدل چهار لایه ای TCP/IP

مدل چهار لایه ای TCP/IP

مدل چهار لایه ای TCP/IP: مدل TCP/IP زاده جنگ سرد در دهه شصت بود . در اواخر دهه ی شصت ، آژانس پروژه های پیشرفته ی تحقیقاتی دولت ایالات متحده ( Advanced Research Project Agency)ARPA با بودجه ی دولتی ، تصمیم به پیاده سازی یک شبکه ی WAN در نه ایالت آمریکا گرفت . این شبکه صرفاً اهداف نظامی را دنبال می کرد و در عرض دو سال پیاده سازی و نصب شد . برای اولین بار روش سوئیچ بسته در این شبکه معرفی شد و موفقیت این شبکه مراکز تحقیقاتی مختلف را بر آن داشت تا شروع به کار مشترک برای توسعه ی تکنولوژی شبکه نمایند . کمیته ی ARPA که به

( Internet Control and Configuration Board ) ICCB مشهور شد روز به روز شهرت یافت و رشد کرد . این کمیته با همکاری بقیه ی آژانسهای تحقیقاتی ، کار مشترک تبدیل تکنولوژی ARPA به یک پروتکل شبکه ای استاندارد به نام ( Transport Control Protocol / Internet Protocol ) TCP/IP را شروع کردند . در اوایل دهه ی هشتاد محیطهای دانشگاهی نیز از TCP/IP حمایت کردند . دانشگاه برکلی در کالیفرنیا در نسخه ی یونیکس خود که رایگان بود ، پروتکل TCP/IP را پیاده سازی و ارائه کرد . رایگان بودن این سیستم عامل بسیار قدرتمند باعث شد تا دانشکده های علوم کامپیوتری به سرعت با TCP/IP آشنا شده و ضمن پیاده سازی شبکه های مبتنی بر آن ، از این مدل حمایت نمایند . شاید بزرگترین عامل توسعه و رشد TCP/IP همین کار دانشگاه برکلی در ارائه رایگان TCP/IP بر روی یونیکس بود .

در سال ۱۹۸۳ کمیته ICCB بعنوان گروه طراحی اینترنت یا ( Internet Architecture Board ) IAB به جهان معرفی شد . این کمیته یک سازمان مستقل برای طراحی استانداردها و ترویج تحقیقات در زمینه ی تکنولوژی اینترنت است . کمیته ی IAB  اکنون نیز وجود دارد و در دو قسمت فعالیت می کند :

  • گروه ( Internet Engineering Task Force ) IETF : موارد فنی و مشکلات استانداردها و تکنولوژی بکار گرفته شده در شبکه ی اینترنت را بررسی و حل می کند و جزییات پروتکلهای فعلی را در اختیار عموم قرار می دهد .
  • گروه ( Internet Research Task Force ) IRTF : کار تحقیقاتی به منظور بهبود و ارتقاء اینترنت را بر عهده دارد .

موفقیت IAB در اواسط دهه ی هشتاد سرمایه ها را به سمت شبکه سوق داد . سازمان ملی علوم آمریکا تصمیم به سرمایه گذاری برای راه اندازی یک ستون فقرات در آمریکا گرفت که NSFNET نامیده شد . با پیاده سازی موفق این ستون فقرات ، اینترنت باز هم رشد کرد و باز هم سرمایه ها را به سمت خود کشید و مرزهای آمریکا را در نوردید و به یک پدیده ی جهانی تبدیل شد .

مدیریت روزانه و پشتیبانی فنی شبکه ی اینترنت ، توسط مرکزی در آمریکا به نام
( Internet Network Information Center )INERNIC انجام می شود . این مرکز مدیریت سطح بالای شبکه ، ثبت اسامی نمادین در اینترنت و ثبت کلاسهای آدرس یکتا را برعهده دارد .

امروزه TCP/IP به عنوان محبوبترین پروتکل شبکه در تمام سیستمهای عامل حمایت می شود و با تمام نقایصی که دارد حتی در پیاده سازی اینترانتهایی که حتی به اینترنت متصل نیستند ، مورد استفاده قرار می گیرد .

مولفه های TCP/IP

عاملی که تمامی شبکه های مختلف دنیا را به صورت موفقیت آمیز به هم پیوند زده است ، تبعیت همه ی آنها از مجوعه پروتکلی است که تحت عنوان TCP/IP در دنیا شناخته می شود . دقت کنید که عبارت خلاصه شده ی TCP/IP می تواند به دو موضوع متفاوت اشاره داشته باشد :

  • مدل ( TCP/IP Model ) TCP/IP : این مدل یک ساختار چهار لایه ای برای ارتباطات گسترده تعریف می نماید که آنرا در ادامه تشریح خواهیم کرد .
  • پشته ی پروتکلهای ( TCP/IP Protocol Stack ) TCP/IP : پشته ی TCP/IP مجموعه ای شامل بیش از صد پروتکل متفاوت است که برای سازماندهی کلیه اجزاء شبکه ی اینترنت به کار می رود .

مدل TCP/IP

همانگونه که اشاره شد این مدل یک ساختار چهار لایه ای برای شبکه عرضه کرده است . اگر بخواهیم این مدل چهار لایه ای را با مدل هفت گانه OSI مقایسه کنیم ، لایه ی اول از مدل TCP/IP یعنی لایه ی دسترسی به شبکه تلفیقی از وظایف لایه ی فزیکی و لایه ی پیوند داده ها از مدل OSI خواهد بود . لایه ی دوم از این مدل معادل لایه ی سوم از مدل OSI یعنی لایه ی شبکه است . لایه سوم از مدل TCP/IP همنام و معادل لایه چهارم از مدل OSI یعنی لایه ی انتقال خواهد بود .

لایه های پنجم و ششم از مدل OSI در مدل TCP/IP وجود ندارد و وظایف آنها در صورت لزوم در لایه ی چهارم از مدل TCP/IP ادغام شده است .

لایه ی هفتم از مدل OSI معادل بخشی از لایه چهارم از مدل TCP/IP است .

بررسی اجمالی لایه های مدل TCP/IP

لایه ی اول : لایه ی واسط شبکه

در این لایه استانداردهای سخت افزار ، و نرم افزارهای راه انداز ( Device Driver ) و پروتکلهای شبکه تعریف می شود . این لایه درگیر با مسائل فزیکی ، الکتریکی و مخابراتی کانال انتقال ، نوع کارت شبکه و راه اندازهای لازم برای نصب کارت شبکه می باشد . در شبکه ی اینترنت که می تواند مجموعه ای از عناصر غیر همگن و نامشابه را به هم پیوند بزند انعطاف لازم در این لایه برای شبکه های گوناگون و ماشینهای میزبان فراهم شده است . یعنی الزام ویژه ای در بکارگیری سخت افزار و نرم افزار ارتباطی خاص ، در این لایه وجود ندارد . ایستگاهی که تصمیم دارد به اینترنت متصل شود بایستی با استفاده از پروتکلهای متعدد و معتبر و نرم افزار راه انداز مناسب ، به نحوی داده های خودش را به شبکه تزریق کند . بنابراین اصرار و اجبار خاصی در استفاده از یک استاندارد خاص در این لایه وجود ندارد .

لایه ی دوم : لایه ی شبکه

این لایه در ساده ترین عبارت وظیفه دارد بسته های اطلاعاتی را که از این به بعد آنها را بسته های IP می نامیم ، روی شبکه هدایت کرده و از مبداء تا مقصد به پیش ببرد . در این لایه چندین پروتکل در کنار هم وظیفه ی مسیریابی و تحویل بسته های اطلاعاتی از مبداء تا مقصد را انجام می دهند . کلیدی ترین پروتکل در این لایه ، پروتکل IP نام دارد . برخی از پروتکل های مهم که یک سری وظایف جانبی بر عهده دارند عبارتند از : IGMP – BOOTP – ARP – RARP – RIP – ICMP  و …  .

همانگونه که اشاره شد در این لایه یک واحد اطلاعاتی که بایستی تحویل مقصد شود ، دیتاگرام نامیده می شود . پروتکل IP می تواند یک دیتاگرام را در قالب بسته های کوچکتری قطعه قطعه کرده و پس از اضافه کردن اطلاعات لازم برای بازسازی ، آنها را روی شبکه ارسال کند .

لازم است بدانید که در این لایه برقرای ارتباط بین مبداء و مقصد به روش بدون اتصال  خواهد بود و ارسال یک بسته ی IP روی شبکه ، عبور از مسیر خاصی را تضمین نمی کند . یعنی اگر دو بسته متوالی برای یک مقصد یکسان ارسال شود هیچ تضمینی در به ترتیب رسیدن آنها وجود ندارد ، چون این دو بسته می توانند از مسیرهای متفاوتی به سمت مقصد حرکت نمایند . در ضمن در این لایه پس از آنکه بسته ای روی یکی از کانالهای ارتباطی هدایت شد ، از سالم رسیدن یا نرسیدن آن به مقصد هیچ اطلاعی بدست نخواهد آمد ، چرا که در این لایه ، برای بسته های IP هیچ گونه پیغام دریافت یا عدم دریافت بین عناصر واقع بر روی مسیر ، رد و بدل نمی شود ؛ بنابراین سرویسی که در این لایه ارائه می شود نامطمئن است و اگر به سرویسهای مطمئن و یا اتصال گرا نیاز باشد در لایه بالاتر این نیاز تامین خواهد شد .

در این لایه مسیریابها بایستی از شرایط توپولوژیکی و ترافیکی شبکه اطلاعاتی را کسب نمایند تا مسیریابی به روش پویا انجام شود . همچنین در این لایه باید اطلاعاتی درباره مشکلات یا خطاهای احتمالی در ساختار زیر شبکه بین مسیریابها و ماشینهای میزبان ، مبادله شود . یکی دیگر از وظایف این لایه ویژگی ارسال چندبخشی ( Multicast ) است یعنی یک ایستگاه قادر باشد به چندین مقصد گوناگون که در قالب یک گروه سازماندهی شده اند ، بسته یا بسته هایی را ارسال نماید .

لایه ی سوم : لایه انتقال

این لایه ارتباط ماشینهای انتهایی ( ماشینهای میزبان ) را در شبکه برقرار می کند ، یعنی می تواند بر اساس  سرویسی که لایه دوم ارائه می کند یک ارتباط اتصال گرا و مطمئن ( Reliable ) ، برقرار کند . البته در این لایه برای عملیاتی نظیر ارسال صوت و تصویر که سرعت ، مهمتر از دقت و خطا است سرویسهای بدون اتصال سریع و نامطمئن نیز فراهم شده است .

در سرویس مطمئنی که در این لایه ارائه می شود ، مکانیزمی اتخاذ شده است که فرستنده از رسیدن و یا عدم رسید صحیح بسته به مقصد با خبر شود .

این لایه از یک طرف با لایه ی شبکه و از طرف دیگر با لایه ی کاربرد در ارتباط است . داده های تحویلی به این لایه توسط برنامه ی کاربردی و با صدا زدن توابع سیستمی تعریف شده در واسط برنامه های کاربردی  – (Application Programming Interface ) API- ارسال و دریافت می شوند .

لایه ی چهارم : لایه ی کاربرد

در این لایه بر اساس خدمات لایه های زیرین ، سرویس سطح بالایی برای خلق برنامه های کاربردی ویژه و پیچیده ارائه می شود . این خدمات در قالب ، پروتکلهای استانداردی همانند موارد زیر به کاربر ارائه می شود :

  • شبیه سازی ترمینال ( TELNET / Terminal Emulation )
  • انتقال فایل یا( File Transfer Protocol ) FTP
  • مدیریت پست الکترونیکی
  • خدمات انتقال صفحات ابرمتنی

 

 

 

 


  • ۰

روتینگ و سوئیچینگ

روتینگ و سوئیچینگ

گروه فنی و مهندسی وی سنتر مفتخر است که توانایی ارائه خدمات Routing and Switching را در مراحل طراحی ، پیاده سازی ، نگهداری و به روز رسانی مطابق با استاندارد های بین المللی دارا می باشد.

روتینگ و سوئیچینگ

روتینگ و سوئیچینگ

•  طراحی شبکه بر مبنای استاندارد سه لایه Core,Distribute,Access کمپانی Cisco
•  نگهداری و به روز رسانی سخت افزاری و نرم افزاری تجهیزات های مرتبط با Routing and Switching
•  ارائه راهکار های سوئیچینگ لایه 2، در شبکه های LAN , WAN
•  ارائه راهکار های سوئیچینگ لایه 2، در شبکه های WAN (ATM, Frame Relay,DSL,STM1,…
•  طراحی ، راه اندازی و پشتیبانی شبکه Switching  کشوری (MPLS)
•  ارائه راهکارهای Routing مبتنی بر الگوریتم های مسیر یابی Static وEGP,IGP) Dynamic)
•  ارائه راهکارهای Routing and Switching مبتنی بر اولویت نوع اطلاعات (Qos)
•  ارائه راهکارهای load balancing مبتنی بر اولویتهای Active-Active

لازم به ذکر است که گروه فنی و مهندسی وی سنتر کلیه خدمات فوق را با استفاده از محصولات کمپانی های معتبری مانند HP,Foundry,Cisco و Mikrotik ارائه می نماید.


آخرین دیدگاه‌ها

    دسته‌ها