مشاوره ، طراحی و پیاده سازی زیر ساخت شبکه های کامپیوتری
استفاده از شبکه هاي کامپيوتري در سالهاي اخير رشدي فزاينده داشته و به موازات آن سازمان ها اقدام به برپا سازي شبکه نموده اند . برپا سازي هر شبکه کامپيوتري تابع مجموعه سياست هایي است که با استناد به آن در ابتدا طراحي منطقي شبکه و در ادامه طراحي فيزيکي، انجام خواهد شد.
همچنین بایستی طراحی و پیاده سازی آنها مطابق با نیازهای سازمان و اهداف بلند مدت آن و همچنین کاهش هزینه های بهینه سازی و پیاده سازی مجدد آن انجام پذیرد. • مشاوره، طراحی و پیاده سازی زیرساخت های شبکه بر اساس معماری لایه ای • پیاده سازی شبکه بر اسا س تجهیزات CISCO • سوئیچینگ و پیکربندی تجهیزات • Vlaning شبکه • طراحي و پياده سازي شبكه هاي LAN,WAN • نصب و راه اندازي شبکه هاي بیسیم (Wireless ) • طراحی و پیاده سازی لینک های دید مستقیم (P2P & P2M) • ايجاد نود هاي جديد در شبکه • بررسی و بهبود ساختار شبکه و ارائه ی راهکارهای بهینه سازی • نصب و راه اندازی سرور • نصب و راه اندازی انتی ویروس های تحت شبکه • ارائه خدمات نگهداري و پشتيباني • نگهداري سختافزارها و تجهيزات شبكه • توسعه و راه اندازي تجهيزات شبکه • به روز رساني شبکه از نظر سخت افزاري و نرم افزار • بررسي وضعيت و توسعه شبکه از نقطه نظر ارتباط با اينترنت
استفاده از شبکه های کامپيوتري در سالهای اخير رشدي فزاينده داشته و به موازات آن سازمان ها اقدام به برپا سازی شبکه نموده اند . برپا سازي هر شبکه کامپيوتری تابع مجموعه سياست هایي است که با استناد به آن در ابتدا طراحي منطقي شبکه و در ادامه طراحي فيزيکي، انجام خواهد شد.
همچنین بایستی طراحی و پیاده سازی آنها مطابق با نیازهای سازمان و اهداف بلند مدت آن و همچنین کاهش هزینه های بهینه سازی و پیاده سازی مجدد آن انجام پذیرد.
خدمات شبکه گروه فنی و مهندسی وی سنتر در زمینه ی راه اندازی شبکه و پشتیبانی شبکه به شرح زیر می باشد:
مشاوره، طراحی و پیاده سازی زیر ساخت شبکه های کامپیوتر
کابل کشی شبکه، نصب داکت و انواع ترانکینگ
طراحي و پياده سازي شبكه های LAN,WAN
نصب و راه اندازي شبکه هاي بیسیم (Wireless )
طراحی و پیاده سازی لینک های دید مستقیم (P2P & P2M)
توسعه و راه اندازي تجهيزات شبکه
ايجاد نود هاي جديد در شبکه
مشاوره در طراحي و پياده سازي شبکه
بررسی و بهبود ساختار شبکه و ارائه ی راهکارهای بهینه سازی
فایروال چگونه کار می کند؟ در صورتيکه تاکنون مدت زمان کوتاهی از اينترنت استفاده کرده باشيد و يا در يک اداره مشغول بکار هستيد که بستر لازم برای دستيابی به اينترنت فراهم شده باشد، احتمالا” واژه ” فايروال ” را شنيده ايد. مثلا” اغلب گفته می شود که : ” در اداره ما امکان استفاده از اين سايت وجود ندارد ، چون سايت فوق را از طريق فايروال بسته اند ” . در صورتيکه از طريق خط تلفن به مرکز ارائه دهنده خدمات اينترنت (ISP) متصل و از اينترنت استفاده می نمائيد ، امکان استفاده فايروال توسط ISP مربوطه نيز وجود دارد. امروزه در کشورهائی که دارای خطوط ارتباطی با سرعت بالا نظير DSL و يا مودم های کابلی می باشند ، بهه کاربران خانگی توصيه می گردد که هر يک از فايروال استفاده نموده و با استقرار لايه فوق بين شبکه داخلی در منزل و اينترنتت ، مسائل ايمنی را رعايت نمايند. بدين ترتيب با استفاده از يک فايروال می توان يک شبکه را در مقابل عمليات غير مجاز توسط افراد مجاز و عمليات مجاز توسط افراد غيرمجاز حفاظت کرد.
فايروال چيست ؟
فايروال نرم افزار و يا سخت افزاری است که اطلاعات ارسالی از طريق اينترنت به شبکه خصوصی و يا کامپيوتر شخصی را فيلتر می نمايد. اطلاعات فيلترشده ، فرصت توزيع در شبکه را بدست نخواهند آورد.
فرض کنيد، سازمانی دارای 500 کارمند باشد. سازمان فوق دارای ده ها کامپيوتر بوده که بر روی هر کدام يک کارت شبکه نصب شده و يک شبکه درون سازمانی ( خصوصی ) ايجاد شده است . سازمان فوق دارای يک يا چند خط اختصاصی ( T1 و يا T3 ) برای استفاده از اينترنت است . بدون استفاده از فايروال تمام کامپيوترهای موجود در شبکه داخلی، قادر به ارتباط با هر سايت و هر شخص بر روی اينترنت می باشند. کاربران مربوطه قادر به استفاده از برنامه هائی همچون FTP و يا Telnet بمنظور ارتباط مستقيم با افراد حقوقی و يا حقيقی موجود بر روی اينترنت می باشند. عدم رعايت مسائل ايمنی توسط پرسنل سازمان، می تواند زمينه دستيابی به اطلاعات موجود در شبکه داخلی را برای سارقين و متجاوزان اطلاعاتی اينترنت فراهم نمايد.
زمانيکه در سازمان فوق از فايروال استفاده گردد، وضعيت کاملا” تغيير خواهد کرد. سازمان مربوطه می تواند برروی هر يک از خطوط ارتباطی اينترنت يک فايروال نصب نمايد.فايروال مجموعه سياست های امنيتی را پياده سازی می نمايد. مثلا” يکی از قوانين فوق می تواند بصورت زير باشد :
– تمام کامپيوترهای موجود در شبکه مجاز به استفاده از اينترنت می باشند ، فقط يک فرد مجاز به استفاده از سرويس FTP است و ساير پرسنل مجاز به استفاده از سرويس فوق نخواهند بود.
يک سازمان می تواند برای هر يک از سرويس دهندگان خود ( وب ، FTP، Telnet و … ) قوانين مشابه تعريف نمايد. سازمان قادر به کنترل پرسنل بهمراه ليست سايت های مشاهده خواهد بود. با استفاده از فايروال يک سازمان قادر به کنترل کاربران شبکه خواهد بود .
فايروال ها بمنظور کنترل ترافيک يک شبکه از روش های زير استفاده می نمايند:
– فيلتر نمودن بسته های اطلاعاتی . بسته های اطلاعاتی با استفاده ازتعدادی فيلتر، آناليز خواهند شد. بسته هائی که از آناليز فوق سربلند بيرون آيند از فايروال عبور داده شده و بسته ها ئی که شرايط لازم را برای عبور از فايروال را نداشته باشند دور انداخته شده و از فايروال عبور نخواهند کرد.
– سرويس Proxy . اطلاعات درخواستی از طريق اينترنت توسط فايروال بازيابی و در ادامه در اختيار درخواست کننده گذاشته خواهد شد. وضعيت فوق در موارديکه کامپيوتر موجود در شبکه داخلی، قصد ارسال اطلاعاتی را برای خارج از شبکه خصوصی داشته باشند ، نيز صدق می کند.
بهينه سازی استفاده از فايروال
فايروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا” سفارشی نصب و پيکربندی کرد. در اين راستا امکان اضافه و يا حذف فيلترهای متعدد بر اساس شرايط متفاوت وجود خواهد داشت :
– آدرس های IP . هر ماشين بر روی اينترنت دارای يک آدرس منحصر بفرد با نام IP است . IP يک عدد 32 بيتی بوده که بصورت چهار عدد دهدهی که توسط نقظه از هم جدا می گردند نمايش داده می شود (Octet) . در صورتيکه يک آدرس IP خارج از شبکه، فايل های زيادی را از سرويس دهنده می خواند ( ترافيک و حجم عمليات سرويس دهنده را افزايش خواهد داد) فايروال می تواند ترافيک از مبداء آدرس فوق و يا به مقصد آدرس فوق را بلاک نمايد.
– اسامی دامنه ها ( حوزه ) . تمام سرويس دهندگان بر روی اينترنت دارای اسامی منحصر بفرد با نام ” اسامی حوزه” می باشند. يک سازمان می تواند با استفاده از فايروال، دستيابی به سايت هائی را غيرممکن و يا صرفا” امکان استفاده از يک سايت خاص را برای پرسنل خود فراهم نمايد.
– پروتکل ها . پروتکل نحوه گفتگوی بين سرويس دهنده و سرويس گيرنده را مشخص می نمايد . پروتکل های متعدد با توجه به اهداف گوناگون در اينترنت استفاده می گردد. مثلا” http پروتکل وب و Ftpp پروتکل مربوط به دريافت و يا ارسال فايل هاا است . با استفاده از فايروال می توان، ميدان فيلتر نمودن را بر روی پروتکل ها متمرکز کرد. برخی از پروتکل های رايج که می توان بر روی آنها فيلتر اعمال نمود بشرح زير می باشند :
§ IP)Internet Protocol) پروتکل اصلی برای عرضه اطلاعات بر روی اينترنت است .
§ TCP)Transport Control Protocol ) مسئوليت تقسيم يک بسته اطلاعاتی به بخش های کوچکتر را دارد.
§ HTTP)Hyper Text Transfer Protocol) . پروتکل فوق برای عرضه اطلاعات در وب است.
§ FTP)File Transfer Protocol) . پروتکل فوق برای دريافت و ارسال فايل ها استفاده می گردد.
§ UDP)User Datagram Protocol) . از پروتکل فوق برای اطلاعاتی که به پاسخ نياز ندارند استفاده می شود( پخش صوت و تصوير)
§ ICMP)Internet control Message Protocol). پروتکل فوق توسط روترها و بمنظور تبادل اطلاعات فی المابين استفاده می شود.
§ SMTP)Simple Mail Transfer Protocol) . از پروتکل فوق برای ارسال e-mail استفاده می گردد.
§ SNMP)Simple Network Management Protocol).از پروتکل فوق بمنظور اخذ اطلاعات از يک کامپيوتر راه دور استفاده ميشود
§ Telnet . برای اجرای دستورات بر روی يک کامپيوتر از راه دور استفاده می گردد.
– پورت ها . هر سرويس دهنده ، خدمات مورد نظر خود را با استفاده از پورت های شماره گذاری شده بر روی اينترنت ارائه می دهد. مثلا” سرويس دهنده وب اغلب از پورت 80 و سرويس دهنده Ftp از پورت 21 استفاده می نمايد. يک سازمان ممکن است با استفاده از فايروال امکان دستيابی به پورت 21 را بلاک نمايد.
– کلمات و عبارات خاص . می توان با استفاده از فايروال کلمات و يا عباراتی را مشخص نمود تا امکان کنترل بسته های اطلاعاتی حاوی کلمات و عبارات فراهم گردد. هر بسته اطلاعاتی که حاوی کلمات مشخص شده باشد توسط فايروال بلاک خواهد شد.
همانگونه که اشاره شد فايروال ها به دو صورت نرم افزاری وسخت افزاری استفاده می گردند.فايروال های نرم افزاری بر روی کامپيوتری نصب می گردند که خط اينترنت به آنها متصل است .کامپيوتر فوق بمنزله يک Gateway رفتار می نمايد چون تنها نقطه قابل تماس، بمنظور ارتباط کامپيوتر و اينترنت است . زمانيکه فايروال بصورت سخت افزاری در نظر گرفته شود ، تمام بخش فوق بصورت Gateway خواهد بود. امنيت فايروال های سخت افزاری بمراتب بيشتر از فايروال های نرم افزاری است .
تهديدات
حمله کنندگان به شبکه های کامپيوتری از روش های متعددی استفاده می نمايند.
– Remote Login . امکان برقراری ارتباط با کامپيوتر و کنترل آن توسط فرد غيرمجاز است . دامنه عمليات فوق می تواند از مشاهده و دستيابی به برخی از فايل ها تا اجرای برخی برنامه ها بر روی کامپيوتر باشد.
–Application Backdoors . برخی از برنامه ها دارای امکانات ويژه ای برای دستيابی از راه دور می باشند. برخی ديگر از برنامه ها دارای اشکالاتی بوده بگونه ای که يک Backdoor را ايجاد و يا امکان دستيابی مخفی را ارائه می دهند. در هر حالتت امکان کنترل برنامه فراهم خواهد گرديد.
– SMTP session hijacking . پروتکل SMTP رايج ترين روش برای ارسال e-mail است . با دستيابی به ليستی از آدرس های e-mail ، يک شخص قادر به ارسال e-mail به هزاران کاربر ديگر خواهد شد.
– اشکالات سيستم های عامل . سيستم های عامل نظير ساير برنامه های کاربردی ممکن است دارای Backdoor باشند.
– انفجار E-mail . يک شخص قادر به ارسال صدها و هزاران e-mail مشابه در مقاطع زمانی متفاوت است . با توجه به وضعيت فوق سيستم پست الکترونيکی قادر به دريافت تمام نامه های ارسالی نخواهد بود.
– ماکرو. اغلب برنامه های کاربردی اين امکان را برای کاربران خود فراهم می نمايند که مجموعه ای از اسکريپت ها را بمنظور انجام عمليات خاصی نوشته و نرم افزار مربوطه آنها را اجراء نمايد. اسکريپت های فوق ” ماکرو ” ناميده می شوند. حمله کنندگان به شبکه های کامپيوتری با آگاهی از واقعيت فوق، اقدام به ايجاد اسکريپت های خاص خود نموده که با توجه به نوع برنامه ممکن است داده ها را حذف و يا باعث از کار افتادن کامپيوتر گردند.
– ويروس . رايج ترين روش جهت آسيب رساندن به اطلاعات، ويروس است . ويروس يک برنامه کوجک است که قادر به تکثير خود بر روی کامپيوتر ديگر است . عملکرد ويروس ها بسيار متفاوت بوده و از اعلام يک پيام ساده تا حذف تمام داده ها را میی تواند شامل گردد.
سرويس دهنده Proxy
سرويس دهنده Proxy اغلب با يک فايروال ترکيب می گردد. سرويس دهنده Proxy بمنظور دستيابی به صفحات وب توسط ساير کامپيوترها استفاده می گردد. زمانيکه کامپيوتری درخواست يک صفحه وب را می نمايد، صفحه مورد نظر توسط سرويس دهنده Proxy بازيابی و در ادامه برای کامپيوتر متقاضی ارسال خواهد شد. بدين ترتيب تمام ترافيک ( درخواست و پاسخ ) بين درخواست کننده يک صفحه وب و پاسخ دهنده از طريق سرويس دهنده Proxy انجام می گيرد.
سرويس دهنده Proxy می تواند کارائی استفاده از اينترنت را افزايش دهد. پس از دستيابی به يک صفحه وب ، صفحه فوق بر روی سرويس دهنده Proxy نيز ذخيره (Cache) می گردد. در صورتيکه در آينده قصد استفاده از صفحه فوق را داشته باشيد صفحه مورد نظر از روی سرويس دهنده Proxy در اختيار شما گذاشته می شود( الزامی به برقراری ارتباط مجدد و درخواست صفحه مورد نظر نخواهد بود)
اشاره : روشهای عیب یابی شبکه : با افزايش كاربرد كامپيوتر در بخشهاي مختلفي نظير سازمانها، شركتها و تقريباً هر بنگاه اقتصادي و بازرگاني، به تدريجج بحث به اشتراكگذاري منابع و ارتباط متقابل كامپيوترها و در واقع شبكهسازي (Networking) در ابعاد و مقياسهاي كوچك، متوسط و بزرگ مطرح گرديد. به طوري كه امروزه شبكهها به يك جزء ضروري و مهم براي تمامي دستاندركاران رايانه تبديل شده است. به دنبال طراحي، ايجاد و به بهرهبرداري رسيدن شبكهها، خود به خود موضوع نگهداري و پشتيباني و سرپا نگهداشتن شبكه موجود مطرح ميگردد. در ادامه اين روند، موضوع عيبيابي كه شامل تشخيص و تعيين نوع مشكل و رفع آن ميشود نيز از مباحث مهم نگهداري شبكهها به شمار ميرود. منشأ اين عيب ميتواند نرمافزاري، سختافزاري، عدم تطابق تجهيزات، ناهماهنگي بين اجزا، تنظيمات نادرست و … باشد. افراد دستاندركار رفع مشكلات شبكه در تمامي موارد، الزاماً نبايد مدارك علمي چندان سطح بالايي داشته باشند. چون در اين ميدان تجربه و كارآزمودگي حرف اول را ميزند و معمولاً داشتن اطلاعات اوليه و زيربنايي از شبكهها كافي به نظر ميرسد. عيبيابي يك شبكه بسيار شبيه حل معما است. اگر يك ايده كلي در مورد نحوه عملكرد شبكه به دست آوردهايد و ميدانيد كدام بخشها به يكديگر وابسته هستند، معمولاً اشاره به محل مشكل كار چندان دشواري نخواهد بود. در اين گفتار به ذكر مختصر چند روش عيبيابي و برخي از ابزارهاي عيبيابي TCP/IP و ابزارهاي تحليل شبكه ميپردازيم.
1 – استفاده از مدل هفت لايهاي OSI
شناخت لايههاي مختلف شبكه و نحوه ارتباط آنها و همچنين دانستن اين كه هر وسيله يا ابزار شبكه در كدام لايه از شبكهه قرار گرفته است و با كدام لايه و تجهيزات ديگر مستقيماً در ارتباط است، كمك شاياني به تشخيص و پيدا كردن محل عيب مينمايد. به عنوان مثال، چنانچه Cabling در يك نقطه از شبكه قطع يا شل شده باشد، اين مسئله به لايه فيزيكي مربوط ميشود و به عنوان نمونه چك كردن bridge يا روتر كه در لايههاي دوم و سوم قرار گرفتهاند، هيچ توجيه منطقي ندارد. در جدول 1 لايهها و تجهيزات و مشخصات مرتبط با هر لايه آورده شده است. (ميتوانيد براي اطلاع بيشتر در مورد لايههاي شبكه به پوستر لايههاي شبكه ضميمه شماره 50 ماهنامه شبكه مراجعه نماييد. فايل اين پوستر در سايت مجله نيز موجود است.)
2 – عيبيابي جعبه سياه
عيبيابي جعبه سياه (Black Box)، نحوه مواجهشدن با عملكرد يك سيستم پيچيده به عنوان يك سري سيستمهاي سادهترر است. ايجاد جعبه سياه در بسياري از موارد علمي، كاربر دارد و در عيبيابي نيز بسيار مفيد است. در اين روش نگران جزئيات كماهميت نيستيم و محتويات پنهاني يك سيستم اهميت چنداني ندارند و ما بيشتر روي صحت ورودي و خروجيهاي هر سيستم تكيه مينماييم.
3 – روش تشخيص تغيير در شبكه
ايجاد يا به وجود آمدن هر گونه تغييري در شبكه را بايد به دقت بررسي كرد. به علاوه، چنانچه افراد ديگري نيز از شبكه شماا استفاده ميكنند، بايد در رابطه با تغييراتي كه اخيراً انجام دادهاند، از آنها پرسوجو نماييد. تغيير نيروي كار هم ميتواند مشكلاتي را در شبكه ايجاد كند؛بهويژه اينكه افراد در ثبت رخدادها و رويدادها معمولاً بينقص عمل نميكنند.
4-مستندسازي
در اختيار داشتن نقشه شبكه بسيار مهم است. معمولاً شبكههاي غيرمستند، مبهم و غيرقابل درك هستند. مستندات شاملل نقشه كاربردي شبكه، مستندات فيزيكي (اطلاعات سيمكشيها و…)، مستندات منطقي (Logical) كه بخشهاي غيرفيزيكي يا مجازي شبكه مانند VLAN را نشان ميدهد، برچسبگذاري كابلها و دستگاهها
(Labelingg) و … را شامل ميشود.
همچنين ثبت رويدادها، هنري است كه حل بسياري از مشكلات بعدي را آسانتر مينمايد. ميتوان در كنار هر دستگاه مانند سرور، سوييچ يا مسيرياب، هر كار انجام گرفته در مورد آنها را به همراه زمان انجام آن يادداشت كرد. در مورد يك شبكه غيرمستند نيز حتيالمقدور بايد مستندسازي را در هر مرحلهاي شروع كرد و اين كار به نظم و سرعت در عمل كمك شاياني خواهد كرد.
5 – روش تقسيمبندي
تقسيمبندي يك شبكه باعث ميشود كنترل آن آسانتر شود. در واقع منطقهبندي مشكل (Problem Localization) هنگاميي است كه شما نميدانيد دقيقاً از كجا به جستوجوي مشكل بپردازيد. منطقهبندي سريع مشكل، اهميت بسياري دارد؛ زيرا هيچكس نميخواهد صدها دستگاه را به عنوان منبع بالقوهاي از مشكلات بررسي كند.
6- مقايسه با مواردي كه درست عمل ميكنند
چنانچه يك نمونه شبكه خراب شده داريد، ميتوانيد با مقايسه آن با نمونهاي كه درست كار ميكند، روش سريعي برايي تشخيص دقيق خرابي پيدا كنيد. اين كار ميتواند در مورد مقايسه تركيببندي سرورها و همچنين وسايل سختافزاري نظير مسيريابها، سوييچها و … نيز به كار رود. بررسي مقايسهاي زماني خوب عمل ميكند كه شما بخواهيد ساير موضوعات شبكه مانند تنظيمات كاربر و تركيببنديهاي ايستگاه كاري را نيز بررسي كنيد. گاهي، اگر مشكلي را در يك تركيببندي خاص عيبيابي كرده باشيد، ميتوانيد آن را كاملاً با يك تركيببندي كه عملكرد خوبي دارد، جايگزين كنيد.
7- فرمانهاي عيبيابي ipconfigو winipcfgدر ويندوز
تركيببندي اصلي IP با استفاده از ipconfig (در خانواده ويندوز NT) و winipfgg (در خانواده ويندوز 9x) نشان داده ميشود. اينن دو فرمان به شما امكان ميدهند اجازه نامه DHCP خود را تجديد يا ترخيص نماييد يا اينكه اطلاعات اصلي TCP/IP را نمايش دهيد. در اينجا برخي ديگر از فرمانهاي مفيد مختص خانواده ويندوز NT (اكسپيو2000) ارائه شدهاند.
●ipconfig/all: همه اطلاعات تركيببندي، نه فقط نشاني IP و نقاب (Mask) شبكه را نشان ميدهد.
● ipconfig/release: نشانيهاي DHCP را براي همه آداپتورهاي شبكه آزاد ميكند (براي پرهيز از آزادشدن همهِ نشانيها نام يك آداپتور مشخص را وارد كنيد.)
●ipconfig/renew: نشانيهاي DHCP را براي همه تطبيقگرها باز ميكند.
●ipconfig/flushdns: فقط در ويندوز 2000 و بالاتر يكباره نهانگاه (Cache) محلي DNS را توسعه ميدهد. اگر شماDNS را تغيير دادهايد و لازم است آن را تا اين ايستگاه كاري تعميمدهيد، سوييچ مزبور بسيار سودمند خواهد بود. (اگر آن را تعميم ندهيد، تغيير مزبور براي لحظهاي در ايستگاه شما نشان داده نخواهد شد).
●ipconfig/display dns: فقط در ويندوز 2000 و بالاتر نهانگاه DNS را نمايش ميدهد.
8 – برخي از فرمانهاي اصلي خطايابي در TCP/IPو شبكه
(Ping Address (Hostname اتصال اصلي IP را با Hostname يا Address بررسي ميكند. Arp -a: جدول تبديل نشاني Mac به IP را نشان ميدهد. netstat -rn: جدول مسيريابي TCP/IPP را به طور عددي نشان ميدهد. netstat -an همه سوكتهاي TCP/IP مورد استفاده را به طور عددي براي همه كلاينتها و سرورها نشان ميدهد.
مراحل Pingg به ترتيب ميتواند به اين شكل باشد:
مرحله3: Ping كردن نشاني IP يك ايستگاه كاري ديگر در يك بخش
مرحله4: Ping كردن مسيرياب محلي
مرحله5: ping كردن سرور از طريق نشاني IP و نام (Tracert Address (Hostname مسيري كه يك بستك (Packet) از ايستگاه كاري تا Hostname يا Address طي ميكند را رديابي مينمايد. هر مسيريابي كه بستك مزبور از طريق آن به سمت Hostname يا Address ميرود را نشان ميدهد.
netsh: برنامه سودمند خط فرمان تعاملي كه به شما امكان ميدهد تركيببندي لايه شبكه را فهرست كنيد و آن را تغيير دهيد.
net session: همه جلسات شبكه سازي ويندوز كه در اين دستگاه فعال هستند را نشان ميدهد (نظير اشتراكگذاري و …)
net share: همه اشتراكگذاريهاي ويندوز به همراه Hidden Share ها كه در اين دستگاه قابل دسترس هستند را فهرستت ميكند. همچنين در صورت داشتن Windows Resource Kit با استفاده از فرامين آن ميتوان در بسياري موارد خطايابيهاي دقيقي انجام داد. Resource Kit نه تنها منبعي از ابزارها به شمار ميآيد،بلكه يك منبع عالي به عنوان دانش اضافي ويندوز است.
9 – تحليلگرهاي پروتكل
استفاده از تحليلگرهاي پروتكل (Protocol Analyzerr) در حلاجي و تحليل مشكلات شبكه بسيار سودمند است. يك تحليلگرر پروتكل ابزاري است كه به بستكهاي(Packets) موجود در بخش اشتراكي شبكه گوش ميدهد، آنها را از حالت رمز خارج مينمايد و به شكل فرمت قابل خواندن براي انسان تبديل ميكند.
دو نوع اصلي از ابزارهاي تحليل پروتكل عبارتند از:
● تحليلگرهاي بستك (Packet analyzer): بستكهاي موجود در سيم را ميگيرند، آنها را براي تحليل بعدي ذخيره ميكنند وو چند تحليل آماري را نيز انجام ميدهند، ولي اين كار اصلي آنها نيست.
● تحليلگرهاي آماري (Statistical analyzer): كار اصلي آنها جمعآوري دادههاي كمي است تا بعداً بتوانند درباره روشهاي مختلف آماري گزارش دهند، ولي معمولاً بستكها را براي تحليل بعدي، ذخيره نميكنند.
اكثر تحليلگرهاي بستك دو حالت عملياتي دارند:
● حالت Capture/monitor (مانيتور / تسخير)
● حالت Decode (رمزگشايي)
در مرحله تسخير،تحليلگر ميتواند اطلاعات آماري، شامل تعداد خطاهاي هر ايستگاه، تعداد بستكهاي دريافتي/ارسالي توسط هر ايستگاه، ضريب بهرهوري از شبكه (ميزان ازدحام در شبكه) و …. را جمعآوري نمايد.
تحليلگرهاي بسيارخوب، با نشان دادن نمودارها به شما امكان ميدهند در مرحله تسخير، برحسب ايستگاه فعالتر و ساير موارد، عمل مرتبسازي را انجام دهيد. در مرحله رمزگشايي، دادههاي خاصي كه تحليلگر به دست ميآورد را بررسي ميكنيد. لازم به ذكر است استفاده از تحليلگر متناسب با نوع شبكه اهميت زيادي دارد. مثلاً اگر يك شبكه FDDI قديمي و بدقلق داشته باشيد، از تحليلگر خاص اترنتي كه اتفاقاً با FDDI هم كار ميكند، استفاده نكنيد. بدين منظور بهتر است يك تحليلگر مختص FDDI را به كار ببريد.
نكته جالب توجه در مورد تحليلگرهاي بستك اين است كه اگر داراي كارت شبكه مناسبي باشيد (يعني يك كارت شبكه كنجكاو كه قادر به شنيدن همه بستكهاي شبكه است) اين تحليلگرها ميتوانند در اكثر پيسيها اجرا شوند. براي دانلود يك تحليلگر رايگان ميتوانيد به اینترنت مراجعه كنيد.
10 – ابزارهاي مديريت شبكه
دست آخر اينكه، ابزارهاي مديريت شبكه نيز نقشي مهم در عيبيابي و شناسايي شكل شبكهها ايفا ميكنند. مديريتت شبكه در واقع در بهترين شكل آن، شامل تركيببندي و ديدهباني دوردست Remote Monitoringشبكه ميشود كه به شما امكان ميدهد علاوه بر انجام اصلاحات نهايي از راهدور، سالمبودن شبكه خود را نيز ارزيابي كنيد، جزئيات بيشتر در مورد عيبيابي به كمك ابزارهاي مديريت شبكه را به مجالي ديگر واگذار ميكنيم.
Change Domain Admin Password in Windows Server 2003
با توجه به درخواست های دانشجویان عزیز در رابطه با امکان تغییر کلمه عبور کاربر Administrator در Active Directory متن زیر تقدیم می شود .
جهت تغییر Password کاربر Administrator در Domain Controller ها در مواقعی که Password را فراموش کرده اید می توان به راحتی با دنبال کردن مراحل زیر Password را تغییر داد .
پیش نیاز ها :
دسترسی فیزیکی به سروری که می خواهید Password آن را تغییر دهید .
داشتن پسورد Active Directory Restore Mode
داشتن دو ابزار SRVANY و INSTSRV که در Microsoft Resource Kit وجود دارد و همچنین می توانید ازاینجا دانلود کنید .
در زمان روشن کردن سرور دکمه F8 را بزنید و ویندوز را در Directory Service Restore Mode بالا آورده و با Password مربوط به Directory Service Restore Mode وارد ویندوز سرور شوید .
اکنون شما می بایست ابزار SRVANY را نصب کنید .
دو ابزار SRVANY و INSTSRV را پس از دانلود کردن در یک فولدر خالی به نام Temp ذخیره کنید .
فایل cmd.exe را از مسیر نصب ویندوز داخل فولدر System32 یافته و در فولدر Temp کپی کنید .
حال command prompt را باز کرده و دستور زیر را در آن اجرا کنید
instsrv PassRecovery d:\temp\srvany.exe
حال زمان Configure ابزار SRVANY می باشد .
10. رجیستری ویندوز را با اجرای دستور Regedit در منوی Run باز کنید و به مسیر زیر بروید.
11. یک Sub Key جدید در آدرس رجیستری فوق به نام Parameters بسازید سپس دو Value جدید با مشخصات زیر در داخل آن بسازید :
name: Application
(type: REG_SZ (string
value: d:\temp\cmd.exe
name: AppParameters
(type: REG_SZ (string
value: /k net user administrator 123456 /domain
12. مقدار 123456 کلمه عبوری است که شما می خواهید برای Administrator قرار دهید .در صورتی که Default domain policy قبلا تغییر نیافته باشد Password وارد شده می بایست حداقل 7 کاراکتر شامل حروف کوچک و بزرگ و عدد باشد .
13. در منوی Run مقدار Services.msc را وارد کرده و سرویس PassRecovery را یافته ،دو بار بر روی آن کلیک کنید و در پنجره ای که ظاهر می شود به Tab ،Log on رفته و گزینه Allow service to interact with the desktop را فعال کرده و سیستم را Restart کرده و بصورت نرمال سیستم را بالا بیاورید .حال با Password ای که در مرحله 11 در رجیستری وارد کرده بودید می توانید Login نمایید .
14. پس از ورود به ویندوز با دستورات زیر می توانید عملیات انجام شده فوق را Uninstall نمایید .
استراتژی طراحی شبکه (بخش اول )
طراحی شبکه: استفاده از شبکه های کامپیوتری در چندین سال اخیر رشد و به موازات آن سازمان ها و موسسات متعددی اقدام به برپاسازی شبکه نموده اند. هر شبکه کامپیوتری می بایست با توجه به شرایط و سیاست های هر سازمان ، طراحی و در ادامه پیاده سازی گردد .شبکه ها ی کامپیوتری زیرساخت لازم برای استفاده از منابع فیزیکی و منطقی را در یک سازمان فراهم می نمایند . بدیهی است در صورتی که زیرساخت فوق به درستی طراحی نگردد، در زمان استفاده از شبکه با مشکلات متفاوتی برخورد نموده و می بایست هزینه های زیادی به منظور نگهداری و تطبیق آن با خواسته ها ی مورد نظر( جدید) ، صرف گردد ( اگر خوش شانس باشیم و مجبور نشویم که از اول همه چیز را مجددا” شروع نمائیم !) . یکی از علل اصلی در بروز اینچنین مشکلاتی ، به طراحی شبکه پس از پیاده سازی آن برمی گردد. ( در ابتدا شبکه را پیاده سازی می نمائیم و بعد سراغ طراحی می رویم ! ) .
برپاسازی هر شبکه کامپیوتری تابع مجموعه سیاست هائی است که با استناد به آنان در ابتدا طراحی منطقی شبکه و در ادامه طراحی فیزیکی ، انجام خواهد شد . پس از اتمام مراحل طراحی ، امکان پیاده سازی شبکه با توجه به استراتژی تدوین شده ، فراهم می گردد.
در زمان طراحی یک شبکه ، سوالات متعددی مطرح می گردد :
برای طراحی یک شبکه از کجا می بایست شروع کرد ؟
چه پارامترهائی را می بایست در نظر گرفت ؟
هدف از برپاسازی یک شبکه چیست ؟
انتطار کاربران از یک شبکه چیست ؟
آیا شبکه موجود ارتقاء می یابد و یا یک شبکه از ابتدا طراحی می گردد ؟
چه سرویس ها و خدماتی بر روی شبکه، ارائه خواهد شد ؟
و …
سوالات فوق ، صرفا” نمونه هائی در این زمینه بوده که می بایست پاسخ آنان متناسب با واقعیت های موجود در هر سازمان ، مشخص گردد . ( یکی از اشکالات ما استفاده از پاسخ های ایستا در مواجهه با مسائل پویا است !) .
در این مقاله قصد داریم به بررسی پارامترهای لازم در خصوص تدوین یک استراتژی مشخص به منظور طراحی شبکه پرداخته تا از این طریق امکان طراحی منطقی ، طراحی فیزیکی و در نهایت پیاده سازی مطلوب یک شبکه کامپیوتری ، فراهم گردد .
مقدمه قبل از طراحی فیزیکی شبکه ، می بایست در ابتدا و بر اساس یک فرآیند مشخص ، خواسته ها شناسائی و آنالیز گردند. چرا قصد ایجاد شبکه را داریم و این شبکه می بایست چه سرویس ها و خدماتی را ارائه نماید ؟ به چه منابعی نیار می باشد ؟ برای تامین سرویس ها و خدمات مورد نظر اکثریت کاربران ، چه اقداماتی می بایست انجام داد ؟ در ادامه می بایست به مواردی همچون پروتکل مورد نظر برای استفاده در شبکه ، سرعت شبکه و از همه مهم تر، مسائل امنیتی شبکه پرداخته گردد. هر یک از مسائل فوق ، تاثیر خاص خود را در طراحی منطقی یک شبکه به دنبال خواهند داشت .یکی دیگر از پارامترهائی که معمولا” از طرف مدیریت سازمان دنبال و به آن اهمیت داده می شود ، هزینه نهائی برپاسازی شبکه است . بنابراین لازم است در زمان طراحی منطقی شبکه به بودجه در نظر گرفته شده نیز توجه نمود .
در صورتی که قصد ایجاد یک شبکه و تهیه نرم افزارهای جدیدی وجود داشته باشد ، زمان زیادی صرف بررسی توانمندی نرم افزارها ، هزینه های مستقیم و غیر مستقیم آنان ( آموزش کاربران ، کارکنان شبکه و سایر موارد دیگر ) ، خواهد شد .در برخی موارد ممکن است تصمیم گرفته شود که از خرید نرم افزارهای جدید صرفنظر نموده و نرم افزارهای قدیمی را ارتقاء داد. تعداد زیادی از برنامه های کامپیوتری که با استفاده از زبانهائی نظیر : کوبال ، بیسیک و فرترن نوشته شده اند ، ممکن است دارای قابلیت های خاصی در محیط شبکه بوده که استفاده از آنان نیازمند بکارگیری پروتکل های قدیمی باشد. در چنین مواردی لازم است به چندین موضوع دیگر نیز توجه گردد :
هزینه ارتقاء هزاران خط کد نوشته شده قدیمی توسط نسخه های جدید و پیشرفته همان زبان های برنامه نویسی ، چه میزان است ؟
هزینه ارتقاء برنامه ها به یک زبان برنامه نویسی شی گراء چه میزان است ؟
آیا به منظور صرفه جوئی در هزینه ها ، می توان بخش های خاصی از شبکه را ارتقاء و از سخت افزارها و یا نرم افزارهای خاصی برای ارتباط با عناصر قدیمی شبکه استفاده نمود؟
با توجه به هزینه و زمان ارتقاء برنامه های نوشته شده قدیمی توسط زبان های جدید برنامه نویسی ، ممکن است تصمیم گرفته شود که فعلا” و تا زمانی که نرم افزارهای جدید نوشته و جایگزین گردند از نرم افزارهای موجود حمایت و پشتیبانی شود. در این رابطه ممکن است بتوان از یک بسته نرم افراری به عنوان گزینه ای جایگزین در ارتباط با برنامه های قدیمی نیز استفاده نمود. در صورتی که می توان با اعمال تغییراتی اندک و ترجمه کد منبع برنامه ، امکان اجرای برنامه را بر روی یک سیستم عامل جدید فراهم نمود ، قطعا” هزینه مورد نظر بمراتب کمتر از حالتی است که برنامه از ابتدا و متناسب با خواسته های جدید ، بازنویسی گردد. یکی دیگر از مسائلی که می بایست در زمان ارتقاء یک برنامه جدید مورد توجه قرار گیرد ، آموزش کاربرانی است که از نرم افزار فوق استفاده می نمایند .
برنامه ریزی برای طراحی منطقی شبکه برای طراحی منطقی شبکه ، می توان از یک و یا دونقطه کار خود را شروع کرد: طراحی و نصب یک شبکه جدید و یا ارتقاء شبکه موجود. در هر دو حالت ، می بایست اطلاعات مورد نیاز در خصوص چندین عامل اساسی و مهم را قبل از طراحی منطقی شبکه ، جمع آوری نمود. مثلا” با توجه به سرویس ها و خدماتی که قصد ارائه آنان به سرویس گیرندگان شبکه را داریم ، می بایست به بررسی و آنالیز الگوهای ترافیک در شبکه پرداخته گردد . شناسائی نقاط حساس و بحرانی (در حد امکان ) ، کاهش ترافیک موجود با ارائه مسیرهای متعدد به منابع و تامین سرویس دهندگان متعددی که مسئولیت پاسخگوئی به داده های مهم با هدف تامینLoad balancing را دارا می باشند ، نمونه هائی در این رابطه می باشد .برای برنامه ریزی در خصوص طراحی منطقی شبکه می بایست به عواملی دیگر نیز توجه و در خصوص آنان تعیین تکلیف شود :
سرویس گیرندگان، چه افرادی می باشند؟ نیاز واقعی آنان چیست ؟چگونه از نیاز آنان آگاهی پیدا کرده اید ؟ آیا اطلاعات جمع آوری شده معتبر است ؟
چه نوع سرویس ها و یا خدماتی می بایست بر روی شبکه ارائه گردد؟ آیا در این رابطه محدودیت های خاصی وجود دارد ؟ آیا قصد استفاده و پیکربندی یک فایروال بین شبکه های محلی وجود دارد ؟ در صورت وجود فایروال ، به منظور استفاده از اینترنت به پیکربندی خاصی نیاز می باشد؟
آیا صرفا” به کاربران داخلی شبکه ، امکان استفاده از اینترنت داده می شود و یا کاربران خارجی ( مشتریان سازمان ) نیز می بایست قادر به دستیبابی شبکه باشند ؟ هزینه دستیابی و ارائه سرویس ها و خدمات به کاربران خارجی از طریق اینترنت، چه میزان است ؟ ؟ آیا تمامی کاربران شبکه مجاز به استفاده از سرویس پست الکترونیکی می باشند (سیستم داخلی و یا خارجی از طریق فایروال ) . کاربران شبکه ، امکان دستیابی به چه سایت هائی را دارا خواهند بود؟ آیا سازمان شما دارای کاربرانی است که در منزل و یا محیط خارج از اداره مشغول به کار بوده و لازم است به شبکه از طریق Dial-up و یا VPN ( از طریق ایننترنت ) ، دستیابی نمایند ؟
یکی از موضوعات مهمی که امروزه مورد توجه اکثر سازمان ها می باشد ، نحوه تامین امکان دستیابی نامحدود به اینترنت برای کاربران است. در صورتی که کاربران نیازمند مبادله نامه الکترونیکی با مشتریان سازمان و یا مشاوران خارج از شرکت می باشند ، می بایست ترافیک موجود را از طریق یک برنامه فیلتر محتوا و یا فایروال انجام و به کمک نرم افزارهائی که حفاظت لازم در مقابل ویروس ها را ارائه می نمایند ، عملیات تشخیص و پیشگیری از کد های مخرب و یا فایل ضمیمه آلوده را نیز انجام داد.
با استفاده از نرم افزارهائی نظیر FTP ،کاربران قادر به ارسال و یا دریافت فایل از طریق سیستم های راه دور می باشند .آیا در این خصوص تابع یک سیاست مشخص شده ای بوده و می توان پتانسیل فوق را بدون این که اثرات جانبی خاصی را به دنبال داشته باشد در اختیار کاربران قرار داد ؟ از لحاظ امنیتی ،امکان اجرای هر برنامه جدید بر روی هر کامپیوتر ( سرویس گیرنده و یا سرویس دهنده ) بدون بررسی لازم در خصوص امنیت برنامه ، تهدیدی جدی در هر شبکه کامپیوتری محسوب می گردد .
آیا کاربران شبکه با یک مشکل خاص کوچک که می تواند برای دقایقی شبکه و سرویس های آن را غیر فعال نماید ، کنار می آیند و یا می بایست شبکه تحت هر شرایطی به منظور ارائه خدمات و سرویس ها ، فعال و امکان دستیابی به آن وجود داشته باشد ؟ آیا به سرویس دهندگان کلاستر شده ای به منظور در دسترس بودن دائم شبکه ، نیاز می باشد ؟ آیا کاربران در زمان غیرفعال بودن شبکه ، چیزی را از دست خواهند داد ؟ آیا یک سازمان توان مالی لازم در خصوص پرداخت هزینه های مربوط به ایجاد زیرساخت لازم برای فعال بودن دائمی شبکه را دارا می باشد ؟ مثلا” می توان توپولوژی های اضافه ای را در شبکه پیش بینی تا بتوان از آنان برای پیشگیری از بروز اشکال در یک نقطه و غیر فعال شدن شبکه ، استفاده گردد. امروزه با بکارگیری تجهیزات خاص سخت افزاری به همراه نرم افزاری مربوطه ، می توان از راهکارهای متعددی به منظور انتقال داده های ارزشمند در یک سازمان و حفاظت از آنان در صورت بروز اشکال ، استفاده نمود.
در صورتی که قصد ارتقاء شبکه موجود وجود داشته باشد ، آیا می توان از پروتکل های فعلی استفاده کرد و یا می بایست به یک استاندارد جدید در ارتباط با پروتکل ها ، سوئیچ نمود ؟ در صورتی که یک شبکه جدید طراحی می گردد ، چه عواملی می تواند در خصوص انتخاب پروتکل شبکه ، تاثیر گذار باشد ؟ اترنت ، متداولترین تکنولوژی شبکه ها ی محلی ( LAN ) و TCP/IP ، متداولترین پروتکلی است که بر روی اترنت ، اجراء می گردد . در برخی موارد ممکن است لازم باشد که سایر تکنولوژی های موجود نیز بررسی و در رابطه با استفاده از آنان ، تصمیم گیری گردد .
استفاده کنندگان شبکه چه افرادی هستند ؟ این سوال به نظر خیلی ساده می آید. ما نمی گوئیم که نام استفاده کنندگان چیست ؟ هدف از سوال فوق، آشنائی با نوع عملکرد شغلی و حوزه وظایف هر یک از کاربران شبکه است . طراحان شبکه های کامپیوتری نیازمند تامین الگوها و خواسته ها متناسب با ماهیت عملیاتی هر یک از بخش های یک سازمان بوده تا بتوانند سرویس دهندگان را به درستی سازماندهی نموده و پهنای باند مناسب برای هر یک از بخش های فوق را تامین و آن را در طرح شبکه ، لحاظ نمایند . مثلا” در اکثر سازمان ها ، بخش عمده ترافیک شبکه مربوط به واحد مهندسی است . بنابراین در چنین مواردی لازم است امکانات لازم در خصوص مبادله داده در چنین واحدهائی به درستی پیش بینی شود .
شبکه مورد نظر می بایست چه نوع سرویس ها و خدماتی را ارائه نماید ؟ مهمترین وظیفه یک شبکه ، حمایت از نرم افزارهائی است که امکان استفاده از آنان برای چندین کاربر ، وجود داشته باشد. در این رابطه لازم است در ابتدا لیستی از انواع نرم افزارهائی که در حال حاضر استفاده می گردد و همچنین لیستی از نرم افزارهائی را که کاربران تقاضای استفاده از آنان را نموده اند، تهیه گردد. هر برنامه دارای یک فایل توضیحات کمکی است که در آن به مسائل متفاوتی از جمله رویکردهای امنیتی ، اشاره می گردد ( در صورت وجود ) . نرم افزارهای عمومی شبکه در حال حاضر FTP، telnet و مرورگرهای وب بوده که نسخه های خاص امنیتی در ارتباط با هر یک از آنان نیز ارائه شده است . برخی از این نوع نرم افزارها دارای نسخه هائی می باشند که همزمان با نصب ، حفره ها و روزنه های متعددی را برروی شبکه ایجاد می نمایند . صرفنظر از این که چه نرم افزارهائی برای استفاده در شبکه انتخاب می گردد ، می بایست به دو نکته مهم در این رابطه توجه گردد :
آیا برنامه ایمن و مطمئن می باشد؟ اکثر برنامه ها در حال حاضر دارای نسخه هائی ایمن بوده و یا می توان آنان را به همراه یک سرویس دهنده Proxyبه منظور کمک در جهت کاهش احتمال بکارگیری نادرست ، استفاده نمود.سرویس دهندگان Proxy ، یکی از عناصر اصلی و مهم در فایروال ها بوده و لازم است به نقش و جایگاه آنان بیشتر توجه گردد. حتی شرکت های بزرگ نیز در معرض تهدید و آسیب بوده و هر سازمان می بایست دارای کارشناسانی ماهر به منظور پیشگیری و برخورد با مشکلات امنیتی خاص در شبکه باشد .
آیا یک برنامه با برنامه دیگر Overlap دارد؟ هر کاربر دارای نرم افزار مورد علاقه خود می باشد . برخی افراد یک واژه پرداز را دوست دارند و عده ای دیگر به واژه پردازه دیگری علاقه مند می باشند. در زمان استفاده از چنین نرم افزارهائی لازم است حتی المقدور سعی گردد از یک محصول خاص بمظور تامین خواسته تمامی کاربران ،استفاده گردد. فراموش نکنیم که پشتیبانی چندین برنامه که عملیات مشابه و یکسانی را انجام می دهند هم سرمایه های مالی را هدر خواهد داد و هم می تواند سردرگمی ، تلف شدن زمان و بروز مشکلات مختلف در جهت مدیریت آنان توسط گروه مدیریت و پشتیبان شبکه را به دنبال داشته باشد .
هر برنامه و یا سرویس جدیدی را که قصد نصب و فعال شدن آن را در شبکه داشته باشیم ، می بایست در ابتدا بررسی و در ادامه متناسب با سیاست ها و شرایط موجود ، پیکربندی نمود . برنامه های جدید می بایست منطبق بر این حقیقت باشند که چرا به وجود آنان نیاز می باشد؟ در صورتی که یک برنامه موجود می تواند به منظور تحقق اهداف خاصی استفاده گردد ، چرا به برنامه ای دیگر نیاز می باشد ؟ آیا عدم کارائی برنامه قدیمی بررسی و بر اساس نتایج به دست آمده به سراغ تهیه یک نرم افزار جدید می رویم ؟ همواره لازم است برنامه جدید بررسی تا اطمینان لازم در خصوص تامین خواسته ها توسط آن حاصل گردد.این موضوع در رابطه با برنامه های قدیمی نیز صدق خواهد کرد: آیا این نوع برنامه ها بر روی شبکه جدید و یا شبکه موجود که قصد ارتقاء آن را داریم ، کار خواهند کرد؟
آیا استفاده از شبکه ، مانیتور می گردد؟ آیا به کاربران شبکه اجازه داده می شود که اکثر وقت خود را در طی روز به استفاده از اینترنت و یا ارسال و یا دریافت نامه های الکترونیکی شخصی ، صرف نمایند ؟ تعداد زیادی از سازمان ها و موسسات امکان استفاده از تلفن برای کاربردهای شخصی را با لحاط نمودن سیاست های خاصی در اختیار کارکنان خود قرار می دهند. آیا در زمان تعریف آدرس الکترونیکی کاربران ، راهکاری مناسب در این خصوص انتخاب و به آنان اعلام شده است ؟ آیا پیشگیری لازم به منظور دستیابی به سایت هائی که ارتباطی با عملکرد شغلی پرسنل ندارند ، پیش بینی شده است ؟
برای هر یک از لینک های شبکه به چه درجه ای از اطمینان نیاز است ؟ از کار افتادن شبکه و غیر فعال شدن سرویس های آن تا چه میزان قابل قبول است ؟ شاید اکثر کاربران در پاسخ زمان صفر را مطرح نموده و تمایل دارند که شبکه تحت هر شرایطی فعال و در دسترس باشد . عناصر مهم در شبکه ، نظیر سرویس دهندگان فایل دارای استعداد لازم برای پذیرش اشکالات و بروز خطاء می باشند . در سرویس دهندگان بزرگ ، از دو منبع تغذیه متفاوت که هر کدام به یک ups جداگانه متصل می گردند ، استفاده می شود و از فن آوری های Raid به منظور اطمینان از صحت ارائه اطلاعات در رابطه با حوادثی که ممکن است باعث از کار افتادن یک دیسک گردد ، استفاده می شود. در صورتی که دو بخش متفاوت یک سازمان از طریق یک خط ارتباطی ( لینک ) خاص با یکدیگر مرتبط شده باشند و لازم است که همواره ارتباط بین آنان بصورت تمام وقت برقرار باشد، می بایست برنامه ریزی لازم در خصوص ایجاد چندین لینک بین دو سایت ، صورت پذیرد (لینک Backup ). در چنین مواردی ، می بایست هزینه تامین لینک اضافه نیز پیش بینی گردد. در صورتی که از چندین لینک برای ارتباط با سایت های راه دور استفاده می شود ، می توان از مسیرهای مختلفی بدین منظور استفاده نمود . بدیهی است در صورت بروز اشکال در یکی از لینک های موجود، می توان از سایر مسیر ها استفاده به عمل آورد . در این رابطه لازم است به موارد زیر نیز توجه گردد :
علاوه بر در نظر گرفتن خطوط اختصاصی بین سایت ها ، استفاده از VPN)Virtual Private Networking) ، نیز روشی متداول به منظور اتصال به سایت های راه دور، می باشد . مهمترین مزیت روش فوق، ارزان بودن آن نسبت به یک لینک اختصاصی با توجه به استفاده از زیرساخت اینترنت برای مبادله داده است . کاربران موبایل می توانند با استفاده از یک VPN به شبکه سازمان خود دستیابی داشته باشند ( در زمان حرکت از یک نقطه به نقطه ای دیگر ) . در چنین مواردی لازم است سایت راه دور ( و نیز سایت اصلی ) ، از دو ISP استفاده نموده تا اگر یکی از آنان با مشکل روبرو گردید ، امکان استفاده از اینترنت از طریق یک اتصال دیگر ، وجود داشته باشد .
فن آوری دیگری که می توان از آن به منظور ارائه یک لایه اضافه به منظور در دسترس بودن شبکه استفاده نمود ، دستیابی با سرعت بالا به دستگاههای ذخیره سازی و شبکه ذخیره سازی ( SAN:Storage Area Network ) است . SAN ، شبکه ای است که از LAN جدا بوده و شامل صرفا” دستگاههای ذخیره سازی و سرویس دهندگان لازم برای دستیابی به دستگاه ها است . با توجه به این که پهنای باند شبکه با کاربران شبکه محلیLAN به اشتراک گذاشته نمی شود ، چندین سرویس دهنده قادر به دستیابی محیط ذخیره سازی مشابه و یکسانی ، خواهند بود. سایر سرویس دهندگان می توانند بگونه ای پیکربندی گردند که امکان دستیابی به داده را فراهم نمایند . در این رابطه می توان از RAID و یا برخی فن آوری های دیگر مرتبط با دستگاه های ذخیره سازی نیز استفاده نمود .
در بخش دوم این مقاله به بررسی سایر پارامترهای لازم در خصوص تدوین استراتژی طراحی یک شبکه کامپیوتری خواهیم پرداخت .
مفاهیم Load Balancing: به توضیع بار شبکه و یا ترافیک نرم افزاری روی سرور های Cluster جهت بهینه سازی پاسخ به درخواست و افزایش کیفیت و پایداری تقسم بار یا Load Balancing گفته میشود. سرور یا سیستم تقسیم بار بین Client و Server Farm قرار میگیرید و ترافیک های شبکه و نرم افزار را با استفاده از متد های گوناگون بین سرور ها توضیع میکند که با انجام این عمل بین سرور ها از بروز Single Point Failure جلوگیری میشود. Load Balancing یکی از بهترین و کارامد ترین معماری برای Application server میباشد.
با راه اندازی این متد زمانی که درگیری سرور و مصرف منابع Application بالا میرود میتوان به راحتی سرور های جدید را به Server Pool اضافه کرد. به محض اضافه شدن سرور جدید Request ها و ترافیک روی سرور جدید نیز توضیع خواهد شد.
با توجه به توضیحات بالا وظایف Load Balancer به شرح زیر خواهد بود:
توضیع درخواست های Client و یا ترافیک شبکه بصورت موثر بین سرور ها
اطمینان از پایداری سرویس، کیفیت و اعتماد با فرستادن درخواست Client به سمت سرور های فعال و در دسترس
ارائه انعطاف پذیری در حذف و یا اضافه سرور در صورت نیاز
تقسیم بار یا همان Load Balancing چگونه انجام میشود:
زمانی که یک Application Server غیر قابل دسترس میشود Load balancer تمامی درخواست های مربوط به Application را به یکی دیگر از سرور های فعال ارجاع میدهد. جهت تحویل پیشرفته درخواست های نرم افزاری از یک سیستم Application Delivery Controller یا به اختصار ADC استفاده میشود تا امنیت و Performance در زمان ارجاع درخواست به Web افزایش یابد. ADC فقط یک Load Balancer نیست بلکه یک پلتفرم جهت تحویل شبکه، Application، سرویس های مبایل با سرعت و امنیت بالا میباشد.
متدها و الگوریتم های Load Balancing
The Least Connection Method : زمانی که Virtual Server طوری کانفیگ میشود تا از متد Least Connection استفاده کند سرویسی که کمترین تعداد کانکشن را دارد جهت پاسخ به درخواست انتخاب میشود.
The Round Robin Method : در این الگوریتم بصورت گردشی درخواست ها بین Server یا service ها تقسیم میشود. به این صورت که Server ها یا Service ها بصورت یک لیست شده و درخواست به اول سرویس دهنده لیست ارسال میشود و این متد بصورت گردشی ادامه میابد.
The Least Response Time Method : در این روش درخواست به سرویس دهنده ای که کمترین تعداد کانکشن و کمترین میانگین زمانی پاسخدهی را دارد ارسال میشود.
The Least Bandwidth Method : این متد برای سرویس دهندگان File Server مناسب بوده و سروری که کمترین میزان مصرف ترافیک شبکه را دارد جهت پردازش درخواست انتخاب میشود.
The Least Packets Method : در این متد سرویس دهنده ای کمترین میزان packet را در بازه مشخص دریافت میکند انتخاب میشود.
The Custom Load Method: زمانی که این متد جهت Load Balancing انتخاب شود سرویسی که هیچ درخواستی را برای پردازش ندارد انتخاب میشود، اگر همه سرور ها در حال پردازش Transaction بودند سروری که کمترین میزان لود را داراست جهت پردازش درخواست جدید انتخاب میشود.
دلیل استفاده از Load Balancing چیست ؟!
در هر صورت استفاده از این ساختار باعث پایداری، کیفیت و افزایش امنیت در سرویس دهی خواهد شد. در سیستم های Critical Mission و سیستم هایی که High Availability در ان مهم است استفاده از تقسیم بار ضروری میباشد.
نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه
SSL یا Secure Socket Layer راه حلی جهت برقراری ارتباطات ایمن میان یک سرویسدهنده و یک سرویسگیرنده است که توسط شرکت Netscape ارائه شده است. درواقع SSL پروتکلی است که پایینتر از لایه کاربرد (لایه ۴ از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار میگیرد.
پروتکل SSLبهرهگیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکلهای غیر امن لایه کاربردی نظیر HTTP، LDAP، IMAP و غیره است. الگوریتمهای رمزنگاری بر اساس پروتکل SSL بر روی دادههای خام (plain text) که قرار است از یک کانال ارتباطی غیر امن مثل اینترنت عبور کنند، اعمال میشود و محرمانه ماندن دادهها را در طول کانال انتقال تضمین میکند. بهبیاندیگر شرکتی که صلاحیت صدور و اعطای گواهیهای دیجیتال SSL را دارد برای هرکدام از دو طرفی که قرار است ارتباطات میان شبکهای امن داشته باشند، گواهیهای مخصوص سرویسدهنده و سرویسگیرنده را صادر میکند و با مکانیسمهای احراز هویت خاص خود، هویت هرکدام از طرفین را برای طرف مقابل تأیید میکند. البته غیر از این کار میبایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابلدرک و استفاده نباشد که این کار را با کمک الگوریتمهای رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام میدهد.
ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL
برای داشتن ارتباطات امن مبتنی بر SSL عموماً به دو نوع گواهی دیجیتال SSLنیاز است. گواهی اول برای سرویسدهنده و گواهی دیگر برای سرویسگیرنده است. همچنین به یک مرکز صدور و اعطای گواهینامه دیجیتال یا CA نیاز است. وظیفه CA این است که هویت طرفین ارتباط، نشانیها، حسابهای بانکی و تاریخ انقضای گواهینامه را بداند و بر اساس آنها هویتها را تعیین نماید.
مکانیسمهای تشکیلدهنده SSL
۱– تأیید هویت سرویسدهنده
با استفاده از این ویژگی در SSL، یک کاربر از صحت هویت یک سرویسدهنده مطمئن میشود. نرمافزارهای مبتنی بر SSLسمت سرویسگیرنده، مثلاً یک مرورگر وب نظیر Internet Explorer میتواند از تکنیکهای استاندارد رمزنگاری مبتنی بر کلید عمومی و مقایسه با کلیدهای عمومی یک سرویسدهنده، (مثلاً یک برنامه سرویسدهنده وب نظیر IIS) و از هویت آنها مطلع شود و پس از اطمینان کامل، کاربر میتواند نسبت به وارد نمودن اطلاعات خود مانند شماره کارتهای اعتباری و یا گذرواژهها اقدام نماید.
۲- تأیید هویت سرویسگیرنده
برعکس حالت قبلی در اینجا سرویسدهنده است که میبایست از صحت هویت سرویسگیرنده اطمینان یابد. طی این مکانیسم، نرمافزار مبتنی بر SSL سمت سرویسدهنده پس از مقایسه نام سرویسگیرنده با نامهای مجاز موجود در لیست سرویسگیرندههای مجاز که در داخل سرویسدهنده تعریف میشود، اجازه استفاده از سرویسهای مجاز را به او میدهد.
۳- ارتباطات رمز شده
کلیه اطلاعات مبادله شده میان سرویسدهنده و گیرنده میبایست توسط نرمافزارهای موجود در سمت سرویسدهنده و سرویسگیرنده رمزنگاری (Encrypt) شده و در طرف مقابل رمزگشایی (Decrypt) شوند تا حداکثر محرمانگی (Confidentiality) در اینگونه سیستمها لحاظ شود.
اجزای پروتکل SSL
پروتکل SSL دارای دو زیرپروتکل تحت عناوین زیر است:
۱- SSL Rocord Protocol که نوع قالببندی دادههای ارسالی را تعیین میکند.
۲- SSL Handshake Protocol که بر اساس قالب تعیینشده در پروتکل قبلی، مقدمات ارسال دادهها میان سرویسدهندهها و سرویسگیرندههای مبتنی بر SSL را تهیه میکند.
بخشبندی پروتکل SSL به دو زیرپروتکل دارای مزایایی است ازجمله:
اول: در ابتدای کار و طی مراحل اولیه ارتباط (Handshake) هویت سرویسدهنده برای سرویسگیرنده مشخص میگردد.
دوم: در همان ابتدای شروع مبادلات، سرویسدهنده و گیرنده بر سر نوع الگوریتم رمزنگاری تبادلی توافق میکنند.
سوم: در صورت لزوم، هویت سرویسگیرنده نیز برای سرویسدهنده احراز میگردد.
چهارم: در صورت استفاده از تکنیکهای رمزنگاری مبتنی بر کلید عمومی، میتوانند کلیدهای اشتراکی مخفی را ایجاد نمایند.
پنجم: ارتباطات بر مبنای SSL رمزنگاری میشود.
الگوریتمهای رمزنگاری پشتیبانی شده در SSL
در استاندارد SSL، از اغلب الگوریتمهای عمومی رمزنگاری و مبادلات کلید (Key Exchcenge Algorithm) نظیر RSA، RC4، RC2،MD5، KEA، DSA، DES و RSA Key Exchauge، SHA1، Skipjack و DES3 پشتیبانی میشود. بسته به این که نرمافزارهای سمت سرویسدهنده و سرویسگیرنده نیز از موارد مذکور پشتیبانی نمایند، ارتباطات SSLمیتواند بر اساس هرکدام از این الگوریتمها صورت پذیرد. البته بسته به طول کلید مورد استفاده در الگوریتم و قدرت ذاتی الگوریتم، میتوان آنها را در ردههای مختلفی قرار داد که توصیه میشود با توجه به سناریوهای موردنظر، از الگوریتمهای قویتر نظیر DES۳ با طول کلید ۱۶۸ بیت برای رمزنگاری دادهها و همچنین الگوریتم SHA-1 برای مکانیسمهای تأیید پیغام MD5 استفاده شود و یا این که اگر امنیت در این حد مورد نیاز نبود، میتوان در مواردی خاص از الگوریتم رمزنگاری RC4 با طول کلید ۴۰ بیت و الگوریتم تأیید پیغام MD5 استفاده نمود.
نحوه عملکرد داخلی پروتکل SSL
همانطور که میدانید SSL میتواند از ترکیب رمزنگاری متقارن و نامتقارن استفاده کند. رمزنگاری کلید متقارن سریعتر از رمزنگاری کلید عمومی است و از طرف دیگر رمزنگاری کلید عمومی تکنیکهای احراز هویت قویتری را ارائه میکند. یک جلسه (SSL (Session با یک تبادل پیغام ساده تحت عنوان SSL Handshake شروع میشود. این پیغام اولیه به سرویسدهنده این امکان را میدهد تا خودش را به سرویسدهنده دارای کلید عمومی معرفی نماید و سپس به سرویسگیرنده و سرویسدهنده این اجازه را میدهد که یک کلید متقارن را ایجاد نمایند که برای رمزنگاریها و رمزگشایی سریعتر در جریان ادامه مبادلات مورد استفاده قرار میگیرد. گامهایی که قبل از برگزاری این جلسه انجام میشوند بر اساس الگوریتم RSA Key Exchangeعبارتاند از:
۱- سرویسگیرنده، نسخه SSLمورد استفاده خود، تنظیمات اولیه درباره نحوه رمزگذاری و یک داده تصادفی را برای شروع درخواست یک ارتباط امن مبتنی بر SSL به سمت سرویسدهنده ارسال میکند.
۲- سرویسدهنده نیز در پاسخ نسخه SSL مورد استفاده خود، تنظیمات رمزگذاری و داده تصادفی تولیدشده توسط خود را به سرویسگیرنده میفرستد و همچنین سرویسدهنده گواهینامه خود را نیز برای سرویسگیرنده ارسال میکند و اگر سرویسگیرنده از سرویسدهنده، درخواستی داشت که نیازمند احراز هویت سرویسگیرنده بود، آن را نیز از سرویسگیرنده درخواست میکند.
۳- سپس سرویسگیرنده با استفاده از اطلاعاتی که از سرویسدهنده مجاز در خود دارد، دادهها را بررسی میکند و اگر سرویسدهنده مذکور تأیید هویت شد، وارد مرحله بعدی میشود و در غیر این صورت با پیغام هشداری به کاربر، ادامه عملیات قطع میگردد.
شکل 1 : SSL
۴- سرویسگیرنده یک مقدار به نام Secret Premaster را برای شروع جلسه ایجاد میکند و آن را با استفاده از کلید عمومی (که اطلاعات آن معمولاً در سرویسدهنده موجود است) رمزنگاری میکند و این مقدار رمز شده را به سرویسدهنده ارسال میکند.
۵- اگر سرویسدهنده به گواهینامه سرویسگیرنده نیاز داشت میبایست در این گام برای سرویسدهنده ارسال شود و اگر سرویسگیرنده نتواند هویت خود را به سرویسدهنده اثبات کند، ارتباط در همینجا قطع میشود.
۶- بهمحض این که هویت سرویسگیرنده برای سرویسدهنده احراز شد، سرویسدهنده با استفاده از کلید اختصاصی خودش مقدار Premaster Secret را رمزگشایی میکند و سپس اقدام به تهیه مقداری به نام Master Secret مینماید.
۷- هم سرویسدهنده و هم سرویسگیرنده با استفاده از مقدار Master Secret کلید جلسه (Session Key) را تولید میکنند که درواقع کلید متقارن مورد استفاده در عمل رمزنگاری و رمزگشایی دادهها حین انتقال اطلاعات است و در این مرحله بهنوعی جامعیت دادهها بررسی میشود.
۸- سرویسگیرنده پیغامی را به سرویسدهنده میفرستد تا به او اطلاع دهد، داده بعدی که توسط سرویسگیرنده ارسال میشود بهوسیله کلید جلسه رمزنگاری خواهد شد و در ادامه، پیغام رمز شده نیز ارسال میشود تا سرویسدهنده از پایان یافتن Handshake سمت سرویسگیرنده مطلع شود.
۹- سرویسدهنده پیغامی را به سرویسگیرنده ارسال میکند تا او را از پایان Handshake سمت سرویسدهنده آگاه نماید و همچنین این که داده بعدی که ارسال خواهد شد توسط کلید جلسه رمز میشود.
۱۰- در این مرحلهSSL Handshake تمام میشود و از این به بعد جلسه SSL شروع میشود و هر دو عضو سرویسدهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال دادهها میکنند.
شاید 15 سال پیش، هیچ كس گمان نمیكرد كه كدهاي مخرب تا اين حد در سادهترين كارهاي روزمره ما نيز دخالت كنند.
آن روزها وقتي يك ويروس جديد طراحي و خلق ميشد، انتشار آن، هفتهها و يا حتي ماهها طول ميكشيد؛ چرا كه يك فلاپي ديسك ميتواند وسيلهاي سريع براي انتشار ويروسها نباشد!!
فناوريهاي مورد استفاده براي حفاظت سيستمها در برابر اين ويروسهاي ماقبل تاريخ بسيار ساده و ابتدايي بودند، درست هماهنگ با فناوريهاي مورد استفاده براي طراحي، خلق و انتشار اين ويروسها.
بنابراين در آن زمان، تعدادي روش محدود و ابتدايي براي مقابله با تهديدات رايانه اي و قابل قبول بودن سطح شرايط ايمني سيستمها كفايت مينمود.
اما اكنون ساختار و نحوه طراحي ويروسها بسيار پيچيدهتر شده است. هكرها قدرتمند و توانا شدهاند و عرصههاي جديدي را فتح كردهاند مانند پست الكترونيك و نيز فناوري ويروسهايي كه بدون نياز به باز شدن پيغامها از طرف كاربر به طور خودكار منتشر ميشوند.
اكنون ويروسهايي وجود دارند كه ميتوانند رايانهها را آلوده كنند فقط به اين دليل ساده كه كاربر به اينترنت متصل شده است.
هركدام از اين مراحل طي شده توسط هكرها، نشان دهنده روند رو به رشد آنان در استفاده از فناوريهاي جديد براي طراحي، خلق و انتشار ويروسها بوده است.
بنابراين براي حفاظت سيستمها در مقابل اين كدهاي مخرب، روشهاي نوين منطبق بر فناوريهاي جديد لازم است.
براي نمونه اگر نامههاي الكترونيكي منبع بالقوه تهديدات باشد، بررسي و جستوجوي مستمر يك برنامه ضدويروس، بايد نقل و انتقالات اطلاعاتي POP3 را نيز دربربگيرد.
اما امسال، سال 2006، واقعاً چه اتفاقاتي در حال رخ دادن است؟ آيا ما شاهد انقلابهاي جديد در فناوريهاي مربوط به طراحي وخلق كدهاي مخرب خواهيم بود؟
هرگز. شايد بشود گفت كه طراحان كدهاي مخرب در خلاقيت و فناوري، حتي يك گام هم به عقب برداشتهاند. روشهاي استفاده شده براي انتقال و انتشار كدهاي مخرب در رايانهها، كمي ابتداييتر نيز شدهاند. مدت زماني است كه از ايدههاي خلاق و پي درپي براي نفوذ در سيستمها مانند استفاده از روشهاي EPO (Entry Point Obscuring) و آلوده كردن فايلهاي PE ويندوز اثري نيست.
پيشرفته ترين روشها در حال حاضر از يك rootkit استفاده ميكنند كه چه از نوع تجاري و چه از نوع غيرتجاري، اغلب اوقات توسط يك طراح حرفهاي ويروس، خلق نميشوند.
خلاقيت و پيشرفت بسيار دشوار است و نياز به تلاش فراوان و تخيل خلاق دارد كه گمان نميرود طراحان ويروس داراي چنين ويژگيهاي مثبتي باشند!!
شركتهاي امنيتي نيز به نوبه خود همواره در حال پژوهش، بررسي، طراحي و توليد فناوريهاي قدرتمند و مؤثر در مقابله با هكرها هستند و به نظر ميرسد كه امنيت و حفاظت گوي سبقت را از طراحان كدهاي مخرب ربوده است و از لحاظ تكنولوژي درجايي بالاتر از آنها ايستاده است.
استراتژي جديد هكرها، روي استفاده از فناوريها و خلاقيتهاي نوين تمركز نميكند، بلكه جهتگيري آن به سمت رشد ارتكاب جرمهاي اينترنتي است.
تا چند سال قبل طراحان و خالقان ويروس به خود ميباليدند از اينكه ويروسهاي ساخت آنها تا چه حد درسطح انتشار و تخريب موفق عمل ميكردند. اما اكنون در خصوص مبالغي كه از طريق كلاهبرداريهاي اينترنتي به سرقت ميبرند به خود ميبالند.
براي دستيابي به اين هدف، آنها نيازي به تلاش فراوان و دانش پيشرفته براي تحليل API ها و آشنايي با سيستمهاي جديد تخريب ندارند.
يك روش قديمي و نخ نما براي فريب كاربر نيز كافي است كه پول وي به سرقت رود.
در دهه 30 در ايالات متحده آمريكا، فروشندهاي اعلام كرد كه روش قطعي مبارزه با آفات سيب زميني را يافته و حاضر است آن را با قيمتي مناسب در اختيار كشاورزان قرار دهد.
بسياري از توليدكنندگان سيب زميني نيز با خريد اين روش موافقت كردند و حتي حاضر شدند مبلغ آن را نيز پيش پرداخت كنند.
پس از پرداخت مبلغ، آنها دو تكه چوب به شكل مكعب مستطيل و به اندازه پاكت سيگار دريافت كردند. در راهنماي روش قاطع دفع آفات سيب زميني ذكر شده بود كه آنها ميبايست يك حشره را گرفته، آن را روي يكي از تكههاي چوب گذاشته و با چوب ديگر روي آن ضربه بزنند تا آن حشره از بين برود و آنها بايد تا دفع كامل آفات اين عمل تكرار كنند!!
بله؛ اين فقط يك شگرد تبليغاتي فريبكارانه بود.
آيا شباهتي بين اين روش كهنه دهه 30 و روشهاي مورد استفاده طراحان كدهاي مخرب در سال 2006 ديده نميشود؟
با غلبه امنيت و حفاظت بر كدهاي مخرب و ويروسها در عرصه تكنولوژي و دانش، اكنون فناوريهاي امنيتي حفاظتي مبارزه دوم را آغاز ميكنند.
مقابله با كدهاي مخربي كه داراي تكنولوژي پيشرفتهاي نيستند، اما از عملكرد كاربراني كه در دام هكرها گرفتار شدهاند سوءاستفاده ميكنند.
هيچ حفره امنيتي در زمينه امنيت IT از يك كاربر بيتجربه و ساده خطرناكتر نيست. بنابراين فناوريهاي حفاظتي جديد بايد به رفع اين مشكل بپردازند.
از آنجا كه تكنولوژي و دانش هكرها براي مدت زماني است كه متوقف مانده و رو به پيشرفت نميرود، سيستمهاي حفاظت جديد يقيناً قادر خواهند بود تا بسادگي حملات هك را دفع كنند.
تقریبا تمام سایت هایی که بازدید می کنید اطلاعاتی را در قالب یک فایل کوچک متنی (Text) بر روی کامپیوتر شما ذخیره می کنند به این فایل کوکی می گویند محل ذخیره شدن این فایل در فولدر Temporary Internet Files در اینترنت اکسپولرر و در نت اسکیپ در فولدر Cashe است در اپرا و موزیلا و نسخه های قدیمی تر اینترنت اکسپولرر در فولدر جدایی به نام کوکی است.
انواع مختلفی از کوکی ها وجود دارد و شما در نسخه های جدیدتر وب بروسر ها (Web Browsers) این امکان را دارید که انتخاب کنید کدام کوکی ها برروی کامپیوتر شما ذخیره شوند در صورتی که کوکی ها را کاملا غیر فعال کنید ممکن است بعضی سایت های اینترنتی را نتوانید ببیند و یا از بعضی امکانات مثل به یاد داشتن شناسه و رمز عبور شما در آن سایت محروم شوید و یا انتخاب هایی که داشتید مثل ساعت محلی و یا دمای هوای محلی و کلا از تنظیمات شخصی ای که در آن وب سایت انجام داده اید نتوانید استفاده کنید.
کوکی ها چگونه مورد استفاده قرار می گیرند؟
همانطوری که گفتیم کوکی یک فایل است که توسط یک وب سایت برای حفظ اطلاعات بر روی کامپیوتر شما قرار می گیرد یک کوکی می تواند شامل اطلاعاتی باشد که شما در آن سایت وارد کرده اید مانند ای میل – آدرس – شماره تلفن و سایر اطلاعات شخصی – همچنین کوکی ها می توانند صفحات و یا کارهایی را که در آن وب سایت انجام داده اید مثل تعداد کلیک لینک های بازدید شده و مدت بازدیدرا نیز ضبط کنند. این به سایت کمک می کند تا دفعه بعد که به آن سایت بازگشتید اطلاعات شما را به خاطر داشته باشد و از وارد کردن تکراری اطلاعات خودداری کنید نمونه بارز این مطلب لاگ این ماندن شما در آن سایت است و یا پیغام های Welcome Back و یا حفظ تنظیماتی که درآن سایت انجام داده این به عنوان مثال می توان به خصوصی کردن صفحه My MSN اشاره کرد. نکته ای را که باید به خاطر داشته باشید این است که هر وب سایت فقط می تواند از اطلاعاتی که شما وارد کرده اید استفاده کند نه بیشتر مثلا اگر ای میل خود را در آن سایت وارد نکرده اید آن وب سایت نمی تواند ای میل شما را به دست آورد و یا به سایر اطلاعات کامپیوتر شما دست یابد .
مورد دیگر اینکه وب سایت ها فقط می توانند کوکی هایی را که خود ایجاد کرده اند بخوانند و نمی توانند از سایر کوکی های موجود استفاده کنند. وقتی که از یک وب سایت برای بار دوم بازدید می کنید آن وب سایت به دنبال کوکی مربوط به خود می گرد و در صورت وجود از آن استفاده می کند.( البته باز هم با توجه به تنظیماتی که انجام داده اید )
انواع کوکی ها:
کوکی های پایا – دائمی (presistent Cookies):
این نوع کوکی ها به عنوان یک فایل بر روی کامپیوتر شما ذخیره می شوند و بعد از بستن مرورگر اینترنتی شما پاک نخواهند شد و همچنان باقی می مانند. این کوکی ها قابلیت به روز شدن توسط سایت ایجاد کننده خود را دارند همچنین سایت اجازه دسترسی مستقیم به این کوکی ها رو نیز دارد حدود 80 درصد کوکی های مورد استفاده از این نوع هستند.
کوکی های موقت (Temporary Cookies):
کوکی هایی هستند که بعد از بستن مرورگر اینترنتی شما و یا خروج از سایت استفاده کننده از کوکی پاک می شوند.
نوع دیگر کوکی های موقت کوکی های زمان دار هستند که زمانی برای کار دارند و بعد از آن اصطلاحا Expire می شوند و از کار می افتند ولی پاک نمی شوند و در صورت بازدید مجدد از سایت ممکن است به روز رسانی شوند و مجددا مورد استفاده قرار بگیرند.
کوکی های ناخوشایند؟(Un$$$isfactory cookies)
این کوکی ها اجازه دسترسی به اطلاعات خصوصی شما را برای استفاده دویاره بدون پرسیدن از شما دارند از این کوکی ها بیشتر در خرید های اینترنتی و سایت امن (SSL*) مورد استفاده قرار می گیرند.
مقایسه کوکی های متعلق به سایت اصلی (First Party) و کوکی های متعلق به سایت های دیگر (Third Party)
دوستان قبل از هر چیز اجازه بدین با دو مفهوم First & third party اشنا شویم این مفاهیم در حقیقت مفاهیم بیمه ای هستند :
First Party: عضو اصلی یک خانواده و یا شرکت صاحب حقوق و مزایای اصلی کسی که بیمه نامه اصلی را داراست (Policy Holder)
Second party : شرکت بیمه کننده
Third Party : هر شخص سومی غیر از این دو کلا بقیه افراد
و اما این مفاهیم در کوکی ها چه معنایی می دهند؟
First Party : کوکی هایی هستند که فقط اطلاعات آنها به سایت که توسط آنها ایجاد شده اند فرستاده می شود و کار آنها همانطور که اشاره شد یادآوری اطلاعات ماست.
Third Party : کوکی هایی هستند که اطلاعات را به چندین سایت مختلف غیر از آنچه بازدید می کنید می فرستند استفاده این کوکی ها معمولا تجاری است بدینگونه که شما از سایتی بازدید می کنید و آن سایت دارای بنرهای تجاری و تبلیغات از سایت دیگری (Third Party) می باشد در اینجاست که کوکی Third Party وارد عمل شده و اطلاعات شما را ثبت می کند به عنوان مثال صاحب تبلیغ با استفاده از این امکان می تواند ببیند که شما چه نوع تبلیغ هایی را بازدید می کنید و در کدام سایت ها. این نوع کوکی هم می توانند از نوع دائمی و هم موقت باشند. اصولا این نوع کوکی ها استاندارد نیستند و توسط مرورگرهای جدید بلوک می شوند. همچنین این کوکی ها ممکن است به هکر ها کمک کنند تا اطلاعات شخصی شما را بدست بیاورند.( برای جلوگیری از آخرین پچ های مرورگر خود استفاده کنید*) اصولا پیشنهاد می شود تا این کوکی ها را که هیچ استفاده مفیدی برای کاربر ندارند بلوک کنید.
آخرین دیدگاهها