مشاوره ، طراحی و پیاده سازی زیر ساخت شبکه های کامپیوتری
زیرساخت شبکه
استفاده از شبکه هاي کامپيوتري در سالهاي اخير رشدي فزاينده داشته و به موازات آن سازمان ها اقدام به برپا سازي شبکه نموده اند . برپا سازي هر شبکه کامپيوتري تابع مجموعه سياست هایي است که با استناد به آن در ابتدا طراحي منطقي شبکه و در ادامه طراحي فيزيکي، انجام خواهد شد.
همچنین بایستی طراحی و پیاده سازی آنها مطابق با نیازهای سازمان و اهداف بلند مدت آن و همچنین کاهش هزینه های بهینه سازی و پیاده سازی مجدد آن انجام پذیرد. • مشاوره، طراحی و پیاده سازی زیرساخت های شبکه بر اساس معماری لایه ای • پیاده سازی شبکه بر اسا س تجهیزات CISCO • سوئیچینگ و پیکربندی تجهیزات • Vlaning شبکه • طراحي و پياده سازي شبكه هاي LAN,WAN • نصب و راه اندازي شبکه هاي بیسیم (Wireless ) • طراحی و پیاده سازی لینک های دید مستقیم (P2P & P2M) • ايجاد نود هاي جديد در شبکه • بررسی و بهبود ساختار شبکه و ارائه ی راهکارهای بهینه سازی • نصب و راه اندازی سرور • نصب و راه اندازی انتی ویروس های تحت شبکه • ارائه خدمات نگهداري و پشتيباني • نگهداري سختافزارها و تجهيزات شبكه • توسعه و راه اندازي تجهيزات شبکه • به روز رساني شبکه از نظر سخت افزاري و نرم افزار • بررسي وضعيت و توسعه شبکه از نقطه نظر ارتباط با اينترنت
استفاده از شبکه های کامپيوتري در سالهای اخير رشدي فزاينده داشته و به موازات آن سازمان ها اقدام به برپا سازی شبکه نموده اند . برپا سازي هر شبکه کامپيوتری تابع مجموعه سياست هایي است که با استناد به آن در ابتدا طراحي منطقي شبکه و در ادامه طراحي فيزيکي، انجام خواهد شد.
همچنین بایستی طراحی و پیاده سازی آنها مطابق با نیازهای سازمان و اهداف بلند مدت آن و همچنین کاهش هزینه های بهینه سازی و پیاده سازی مجدد آن انجام پذیرد.
خدمات شبکه گروه فنی و مهندسی وی سنتر در زمینه ی راه اندازی شبکه و پشتیبانی شبکه به شرح زیر می باشد:
مشاوره، طراحی و پیاده سازی زیر ساخت شبکه های کامپیوتر
کابل کشی شبکه، نصب داکت و انواع ترانکینگ
طراحي و پياده سازي شبكه های LAN,WAN
نصب و راه اندازي شبکه هاي بیسیم (Wireless )
طراحی و پیاده سازی لینک های دید مستقیم (P2P & P2M)
توسعه و راه اندازي تجهيزات شبکه
ايجاد نود هاي جديد در شبکه
مشاوره در طراحي و پياده سازي شبکه
بررسی و بهبود ساختار شبکه و ارائه ی راهکارهای بهینه سازی
اشاره : روشهای عیب یابی شبکه : با افزايش كاربرد كامپيوتر در بخشهاي مختلفي نظير سازمانها، شركتها و تقريباً هر بنگاه اقتصادي و بازرگاني، به تدريجج بحث به اشتراكگذاري منابع و ارتباط متقابل كامپيوترها و در واقع شبكهسازي (Networking) در ابعاد و مقياسهاي كوچك، متوسط و بزرگ مطرح گرديد. به طوري كه امروزه شبكهها به يك جزء ضروري و مهم براي تمامي دستاندركاران رايانه تبديل شده است. به دنبال طراحي، ايجاد و به بهرهبرداري رسيدن شبكهها، خود به خود موضوع نگهداري و پشتيباني و سرپا نگهداشتن شبكه موجود مطرح ميگردد. در ادامه اين روند، موضوع عيبيابي كه شامل تشخيص و تعيين نوع مشكل و رفع آن ميشود نيز از مباحث مهم نگهداري شبكهها به شمار ميرود. منشأ اين عيب ميتواند نرمافزاري، سختافزاري، عدم تطابق تجهيزات، ناهماهنگي بين اجزا، تنظيمات نادرست و … باشد. افراد دستاندركار رفع مشكلات شبكه در تمامي موارد، الزاماً نبايد مدارك علمي چندان سطح بالايي داشته باشند. چون در اين ميدان تجربه و كارآزمودگي حرف اول را ميزند و معمولاً داشتن اطلاعات اوليه و زيربنايي از شبكهها كافي به نظر ميرسد. عيبيابي يك شبكه بسيار شبيه حل معما است. اگر يك ايده كلي در مورد نحوه عملكرد شبكه به دست آوردهايد و ميدانيد كدام بخشها به يكديگر وابسته هستند، معمولاً اشاره به محل مشكل كار چندان دشواري نخواهد بود. در اين گفتار به ذكر مختصر چند روش عيبيابي و برخي از ابزارهاي عيبيابي TCP/IP و ابزارهاي تحليل شبكه ميپردازيم.
1 – استفاده از مدل هفت لايهاي OSI
شناخت لايههاي مختلف شبكه و نحوه ارتباط آنها و همچنين دانستن اين كه هر وسيله يا ابزار شبكه در كدام لايه از شبكهه قرار گرفته است و با كدام لايه و تجهيزات ديگر مستقيماً در ارتباط است، كمك شاياني به تشخيص و پيدا كردن محل عيب مينمايد. به عنوان مثال، چنانچه Cabling در يك نقطه از شبكه قطع يا شل شده باشد، اين مسئله به لايه فيزيكي مربوط ميشود و به عنوان نمونه چك كردن bridge يا روتر كه در لايههاي دوم و سوم قرار گرفتهاند، هيچ توجيه منطقي ندارد. در جدول 1 لايهها و تجهيزات و مشخصات مرتبط با هر لايه آورده شده است. (ميتوانيد براي اطلاع بيشتر در مورد لايههاي شبكه به پوستر لايههاي شبكه ضميمه شماره 50 ماهنامه شبكه مراجعه نماييد. فايل اين پوستر در سايت مجله نيز موجود است.)
2 – عيبيابي جعبه سياه
عيبيابي جعبه سياه (Black Box)، نحوه مواجهشدن با عملكرد يك سيستم پيچيده به عنوان يك سري سيستمهاي سادهترر است. ايجاد جعبه سياه در بسياري از موارد علمي، كاربر دارد و در عيبيابي نيز بسيار مفيد است. در اين روش نگران جزئيات كماهميت نيستيم و محتويات پنهاني يك سيستم اهميت چنداني ندارند و ما بيشتر روي صحت ورودي و خروجيهاي هر سيستم تكيه مينماييم.
3 – روش تشخيص تغيير در شبكه
ايجاد يا به وجود آمدن هر گونه تغييري در شبكه را بايد به دقت بررسي كرد. به علاوه، چنانچه افراد ديگري نيز از شبكه شماا استفاده ميكنند، بايد در رابطه با تغييراتي كه اخيراً انجام دادهاند، از آنها پرسوجو نماييد. تغيير نيروي كار هم ميتواند مشكلاتي را در شبكه ايجاد كند؛بهويژه اينكه افراد در ثبت رخدادها و رويدادها معمولاً بينقص عمل نميكنند.
4-مستندسازي
در اختيار داشتن نقشه شبكه بسيار مهم است. معمولاً شبكههاي غيرمستند، مبهم و غيرقابل درك هستند. مستندات شاملل نقشه كاربردي شبكه، مستندات فيزيكي (اطلاعات سيمكشيها و…)، مستندات منطقي (Logical) كه بخشهاي غيرفيزيكي يا مجازي شبكه مانند VLAN را نشان ميدهد، برچسبگذاري كابلها و دستگاهها
(Labelingg) و … را شامل ميشود.
همچنين ثبت رويدادها، هنري است كه حل بسياري از مشكلات بعدي را آسانتر مينمايد. ميتوان در كنار هر دستگاه مانند سرور، سوييچ يا مسيرياب، هر كار انجام گرفته در مورد آنها را به همراه زمان انجام آن يادداشت كرد. در مورد يك شبكه غيرمستند نيز حتيالمقدور بايد مستندسازي را در هر مرحلهاي شروع كرد و اين كار به نظم و سرعت در عمل كمك شاياني خواهد كرد.
5 – روش تقسيمبندي
تقسيمبندي يك شبكه باعث ميشود كنترل آن آسانتر شود. در واقع منطقهبندي مشكل (Problem Localization) هنگاميي است كه شما نميدانيد دقيقاً از كجا به جستوجوي مشكل بپردازيد. منطقهبندي سريع مشكل، اهميت بسياري دارد؛ زيرا هيچكس نميخواهد صدها دستگاه را به عنوان منبع بالقوهاي از مشكلات بررسي كند.
6- مقايسه با مواردي كه درست عمل ميكنند
چنانچه يك نمونه شبكه خراب شده داريد، ميتوانيد با مقايسه آن با نمونهاي كه درست كار ميكند، روش سريعي برايي تشخيص دقيق خرابي پيدا كنيد. اين كار ميتواند در مورد مقايسه تركيببندي سرورها و همچنين وسايل سختافزاري نظير مسيريابها، سوييچها و … نيز به كار رود. بررسي مقايسهاي زماني خوب عمل ميكند كه شما بخواهيد ساير موضوعات شبكه مانند تنظيمات كاربر و تركيببنديهاي ايستگاه كاري را نيز بررسي كنيد. گاهي، اگر مشكلي را در يك تركيببندي خاص عيبيابي كرده باشيد، ميتوانيد آن را كاملاً با يك تركيببندي كه عملكرد خوبي دارد، جايگزين كنيد.
7- فرمانهاي عيبيابي ipconfigو winipcfgدر ويندوز
تركيببندي اصلي IP با استفاده از ipconfig (در خانواده ويندوز NT) و winipfgg (در خانواده ويندوز 9x) نشان داده ميشود. اينن دو فرمان به شما امكان ميدهند اجازه نامه DHCP خود را تجديد يا ترخيص نماييد يا اينكه اطلاعات اصلي TCP/IP را نمايش دهيد. در اينجا برخي ديگر از فرمانهاي مفيد مختص خانواده ويندوز NT (اكسپيو2000) ارائه شدهاند.
●ipconfig/all: همه اطلاعات تركيببندي، نه فقط نشاني IP و نقاب (Mask) شبكه را نشان ميدهد.
● ipconfig/release: نشانيهاي DHCP را براي همه آداپتورهاي شبكه آزاد ميكند (براي پرهيز از آزادشدن همهِ نشانيها نام يك آداپتور مشخص را وارد كنيد.)
●ipconfig/renew: نشانيهاي DHCP را براي همه تطبيقگرها باز ميكند.
●ipconfig/flushdns: فقط در ويندوز 2000 و بالاتر يكباره نهانگاه (Cache) محلي DNS را توسعه ميدهد. اگر شماDNS را تغيير دادهايد و لازم است آن را تا اين ايستگاه كاري تعميمدهيد، سوييچ مزبور بسيار سودمند خواهد بود. (اگر آن را تعميم ندهيد، تغيير مزبور براي لحظهاي در ايستگاه شما نشان داده نخواهد شد).
●ipconfig/display dns: فقط در ويندوز 2000 و بالاتر نهانگاه DNS را نمايش ميدهد.
8 – برخي از فرمانهاي اصلي خطايابي در TCP/IPو شبكه
(Ping Address (Hostname اتصال اصلي IP را با Hostname يا Address بررسي ميكند. Arp -a: جدول تبديل نشاني Mac به IP را نشان ميدهد. netstat -rn: جدول مسيريابي TCP/IPP را به طور عددي نشان ميدهد. netstat -an همه سوكتهاي TCP/IP مورد استفاده را به طور عددي براي همه كلاينتها و سرورها نشان ميدهد.
مراحل Pingg به ترتيب ميتواند به اين شكل باشد:
مرحله3: Ping كردن نشاني IP يك ايستگاه كاري ديگر در يك بخش
مرحله4: Ping كردن مسيرياب محلي
مرحله5: ping كردن سرور از طريق نشاني IP و نام (Tracert Address (Hostname مسيري كه يك بستك (Packet) از ايستگاه كاري تا Hostname يا Address طي ميكند را رديابي مينمايد. هر مسيريابي كه بستك مزبور از طريق آن به سمت Hostname يا Address ميرود را نشان ميدهد.
netsh: برنامه سودمند خط فرمان تعاملي كه به شما امكان ميدهد تركيببندي لايه شبكه را فهرست كنيد و آن را تغيير دهيد.
net session: همه جلسات شبكه سازي ويندوز كه در اين دستگاه فعال هستند را نشان ميدهد (نظير اشتراكگذاري و …)
net share: همه اشتراكگذاريهاي ويندوز به همراه Hidden Share ها كه در اين دستگاه قابل دسترس هستند را فهرستت ميكند. همچنين در صورت داشتن Windows Resource Kit با استفاده از فرامين آن ميتوان در بسياري موارد خطايابيهاي دقيقي انجام داد. Resource Kit نه تنها منبعي از ابزارها به شمار ميآيد،بلكه يك منبع عالي به عنوان دانش اضافي ويندوز است.
9 – تحليلگرهاي پروتكل
استفاده از تحليلگرهاي پروتكل (Protocol Analyzerr) در حلاجي و تحليل مشكلات شبكه بسيار سودمند است. يك تحليلگرر پروتكل ابزاري است كه به بستكهاي(Packets) موجود در بخش اشتراكي شبكه گوش ميدهد، آنها را از حالت رمز خارج مينمايد و به شكل فرمت قابل خواندن براي انسان تبديل ميكند.
دو نوع اصلي از ابزارهاي تحليل پروتكل عبارتند از:
● تحليلگرهاي بستك (Packet analyzer): بستكهاي موجود در سيم را ميگيرند، آنها را براي تحليل بعدي ذخيره ميكنند وو چند تحليل آماري را نيز انجام ميدهند، ولي اين كار اصلي آنها نيست.
● تحليلگرهاي آماري (Statistical analyzer): كار اصلي آنها جمعآوري دادههاي كمي است تا بعداً بتوانند درباره روشهاي مختلف آماري گزارش دهند، ولي معمولاً بستكها را براي تحليل بعدي، ذخيره نميكنند.
اكثر تحليلگرهاي بستك دو حالت عملياتي دارند:
● حالت Capture/monitor (مانيتور / تسخير)
● حالت Decode (رمزگشايي)
در مرحله تسخير،تحليلگر ميتواند اطلاعات آماري، شامل تعداد خطاهاي هر ايستگاه، تعداد بستكهاي دريافتي/ارسالي توسط هر ايستگاه، ضريب بهرهوري از شبكه (ميزان ازدحام در شبكه) و …. را جمعآوري نمايد.
تحليلگرهاي بسيارخوب، با نشان دادن نمودارها به شما امكان ميدهند در مرحله تسخير، برحسب ايستگاه فعالتر و ساير موارد، عمل مرتبسازي را انجام دهيد. در مرحله رمزگشايي، دادههاي خاصي كه تحليلگر به دست ميآورد را بررسي ميكنيد. لازم به ذكر است استفاده از تحليلگر متناسب با نوع شبكه اهميت زيادي دارد. مثلاً اگر يك شبكه FDDI قديمي و بدقلق داشته باشيد، از تحليلگر خاص اترنتي كه اتفاقاً با FDDI هم كار ميكند، استفاده نكنيد. بدين منظور بهتر است يك تحليلگر مختص FDDI را به كار ببريد.
نكته جالب توجه در مورد تحليلگرهاي بستك اين است كه اگر داراي كارت شبكه مناسبي باشيد (يعني يك كارت شبكه كنجكاو كه قادر به شنيدن همه بستكهاي شبكه است) اين تحليلگرها ميتوانند در اكثر پيسيها اجرا شوند. براي دانلود يك تحليلگر رايگان ميتوانيد به اینترنت مراجعه كنيد.
10 – ابزارهاي مديريت شبكه
دست آخر اينكه، ابزارهاي مديريت شبكه نيز نقشي مهم در عيبيابي و شناسايي شكل شبكهها ايفا ميكنند. مديريتت شبكه در واقع در بهترين شكل آن، شامل تركيببندي و ديدهباني دوردست Remote Monitoringشبكه ميشود كه به شما امكان ميدهد علاوه بر انجام اصلاحات نهايي از راهدور، سالمبودن شبكه خود را نيز ارزيابي كنيد، جزئيات بيشتر در مورد عيبيابي به كمك ابزارهاي مديريت شبكه را به مجالي ديگر واگذار ميكنيم.
استراتژی طراحی شبکه (بخش اول )
طراحی شبکه: استفاده از شبکه های کامپیوتری در چندین سال اخیر رشد و به موازات آن سازمان ها و موسسات متعددی اقدام به برپاسازی شبکه نموده اند. هر شبکه کامپیوتری می بایست با توجه به شرایط و سیاست های هر سازمان ، طراحی و در ادامه پیاده سازی گردد .شبکه ها ی کامپیوتری زیرساخت لازم برای استفاده از منابع فیزیکی و منطقی را در یک سازمان فراهم می نمایند . بدیهی است در صورتی که زیرساخت فوق به درستی طراحی نگردد، در زمان استفاده از شبکه با مشکلات متفاوتی برخورد نموده و می بایست هزینه های زیادی به منظور نگهداری و تطبیق آن با خواسته ها ی مورد نظر( جدید) ، صرف گردد ( اگر خوش شانس باشیم و مجبور نشویم که از اول همه چیز را مجددا” شروع نمائیم !) . یکی از علل اصلی در بروز اینچنین مشکلاتی ، به طراحی شبکه پس از پیاده سازی آن برمی گردد. ( در ابتدا شبکه را پیاده سازی می نمائیم و بعد سراغ طراحی می رویم ! ) .
برپاسازی هر شبکه کامپیوتری تابع مجموعه سیاست هائی است که با استناد به آنان در ابتدا طراحی منطقی شبکه و در ادامه طراحی فیزیکی ، انجام خواهد شد . پس از اتمام مراحل طراحی ، امکان پیاده سازی شبکه با توجه به استراتژی تدوین شده ، فراهم می گردد.
در زمان طراحی یک شبکه ، سوالات متعددی مطرح می گردد :
برای طراحی یک شبکه از کجا می بایست شروع کرد ؟
چه پارامترهائی را می بایست در نظر گرفت ؟
هدف از برپاسازی یک شبکه چیست ؟
انتطار کاربران از یک شبکه چیست ؟
آیا شبکه موجود ارتقاء می یابد و یا یک شبکه از ابتدا طراحی می گردد ؟
چه سرویس ها و خدماتی بر روی شبکه، ارائه خواهد شد ؟
و …
سوالات فوق ، صرفا” نمونه هائی در این زمینه بوده که می بایست پاسخ آنان متناسب با واقعیت های موجود در هر سازمان ، مشخص گردد . ( یکی از اشکالات ما استفاده از پاسخ های ایستا در مواجهه با مسائل پویا است !) .
در این مقاله قصد داریم به بررسی پارامترهای لازم در خصوص تدوین یک استراتژی مشخص به منظور طراحی شبکه پرداخته تا از این طریق امکان طراحی منطقی ، طراحی فیزیکی و در نهایت پیاده سازی مطلوب یک شبکه کامپیوتری ، فراهم گردد .
مقدمه قبل از طراحی فیزیکی شبکه ، می بایست در ابتدا و بر اساس یک فرآیند مشخص ، خواسته ها شناسائی و آنالیز گردند. چرا قصد ایجاد شبکه را داریم و این شبکه می بایست چه سرویس ها و خدماتی را ارائه نماید ؟ به چه منابعی نیار می باشد ؟ برای تامین سرویس ها و خدمات مورد نظر اکثریت کاربران ، چه اقداماتی می بایست انجام داد ؟ در ادامه می بایست به مواردی همچون پروتکل مورد نظر برای استفاده در شبکه ، سرعت شبکه و از همه مهم تر، مسائل امنیتی شبکه پرداخته گردد. هر یک از مسائل فوق ، تاثیر خاص خود را در طراحی منطقی یک شبکه به دنبال خواهند داشت .یکی دیگر از پارامترهائی که معمولا” از طرف مدیریت سازمان دنبال و به آن اهمیت داده می شود ، هزینه نهائی برپاسازی شبکه است . بنابراین لازم است در زمان طراحی منطقی شبکه به بودجه در نظر گرفته شده نیز توجه نمود .
در صورتی که قصد ایجاد یک شبکه و تهیه نرم افزارهای جدیدی وجود داشته باشد ، زمان زیادی صرف بررسی توانمندی نرم افزارها ، هزینه های مستقیم و غیر مستقیم آنان ( آموزش کاربران ، کارکنان شبکه و سایر موارد دیگر ) ، خواهد شد .در برخی موارد ممکن است تصمیم گرفته شود که از خرید نرم افزارهای جدید صرفنظر نموده و نرم افزارهای قدیمی را ارتقاء داد. تعداد زیادی از برنامه های کامپیوتری که با استفاده از زبانهائی نظیر : کوبال ، بیسیک و فرترن نوشته شده اند ، ممکن است دارای قابلیت های خاصی در محیط شبکه بوده که استفاده از آنان نیازمند بکارگیری پروتکل های قدیمی باشد. در چنین مواردی لازم است به چندین موضوع دیگر نیز توجه گردد :
هزینه ارتقاء هزاران خط کد نوشته شده قدیمی توسط نسخه های جدید و پیشرفته همان زبان های برنامه نویسی ، چه میزان است ؟
هزینه ارتقاء برنامه ها به یک زبان برنامه نویسی شی گراء چه میزان است ؟
آیا به منظور صرفه جوئی در هزینه ها ، می توان بخش های خاصی از شبکه را ارتقاء و از سخت افزارها و یا نرم افزارهای خاصی برای ارتباط با عناصر قدیمی شبکه استفاده نمود؟
با توجه به هزینه و زمان ارتقاء برنامه های نوشته شده قدیمی توسط زبان های جدید برنامه نویسی ، ممکن است تصمیم گرفته شود که فعلا” و تا زمانی که نرم افزارهای جدید نوشته و جایگزین گردند از نرم افزارهای موجود حمایت و پشتیبانی شود. در این رابطه ممکن است بتوان از یک بسته نرم افراری به عنوان گزینه ای جایگزین در ارتباط با برنامه های قدیمی نیز استفاده نمود. در صورتی که می توان با اعمال تغییراتی اندک و ترجمه کد منبع برنامه ، امکان اجرای برنامه را بر روی یک سیستم عامل جدید فراهم نمود ، قطعا” هزینه مورد نظر بمراتب کمتر از حالتی است که برنامه از ابتدا و متناسب با خواسته های جدید ، بازنویسی گردد. یکی دیگر از مسائلی که می بایست در زمان ارتقاء یک برنامه جدید مورد توجه قرار گیرد ، آموزش کاربرانی است که از نرم افزار فوق استفاده می نمایند .
برنامه ریزی برای طراحی منطقی شبکه برای طراحی منطقی شبکه ، می توان از یک و یا دونقطه کار خود را شروع کرد: طراحی و نصب یک شبکه جدید و یا ارتقاء شبکه موجود. در هر دو حالت ، می بایست اطلاعات مورد نیاز در خصوص چندین عامل اساسی و مهم را قبل از طراحی منطقی شبکه ، جمع آوری نمود. مثلا” با توجه به سرویس ها و خدماتی که قصد ارائه آنان به سرویس گیرندگان شبکه را داریم ، می بایست به بررسی و آنالیز الگوهای ترافیک در شبکه پرداخته گردد . شناسائی نقاط حساس و بحرانی (در حد امکان ) ، کاهش ترافیک موجود با ارائه مسیرهای متعدد به منابع و تامین سرویس دهندگان متعددی که مسئولیت پاسخگوئی به داده های مهم با هدف تامینLoad balancing را دارا می باشند ، نمونه هائی در این رابطه می باشد .برای برنامه ریزی در خصوص طراحی منطقی شبکه می بایست به عواملی دیگر نیز توجه و در خصوص آنان تعیین تکلیف شود :
سرویس گیرندگان، چه افرادی می باشند؟ نیاز واقعی آنان چیست ؟چگونه از نیاز آنان آگاهی پیدا کرده اید ؟ آیا اطلاعات جمع آوری شده معتبر است ؟
چه نوع سرویس ها و یا خدماتی می بایست بر روی شبکه ارائه گردد؟ آیا در این رابطه محدودیت های خاصی وجود دارد ؟ آیا قصد استفاده و پیکربندی یک فایروال بین شبکه های محلی وجود دارد ؟ در صورت وجود فایروال ، به منظور استفاده از اینترنت به پیکربندی خاصی نیاز می باشد؟
آیا صرفا” به کاربران داخلی شبکه ، امکان استفاده از اینترنت داده می شود و یا کاربران خارجی ( مشتریان سازمان ) نیز می بایست قادر به دستیبابی شبکه باشند ؟ هزینه دستیابی و ارائه سرویس ها و خدمات به کاربران خارجی از طریق اینترنت، چه میزان است ؟ ؟ آیا تمامی کاربران شبکه مجاز به استفاده از سرویس پست الکترونیکی می باشند (سیستم داخلی و یا خارجی از طریق فایروال ) . کاربران شبکه ، امکان دستیابی به چه سایت هائی را دارا خواهند بود؟ آیا سازمان شما دارای کاربرانی است که در منزل و یا محیط خارج از اداره مشغول به کار بوده و لازم است به شبکه از طریق Dial-up و یا VPN ( از طریق ایننترنت ) ، دستیابی نمایند ؟
یکی از موضوعات مهمی که امروزه مورد توجه اکثر سازمان ها می باشد ، نحوه تامین امکان دستیابی نامحدود به اینترنت برای کاربران است. در صورتی که کاربران نیازمند مبادله نامه الکترونیکی با مشتریان سازمان و یا مشاوران خارج از شرکت می باشند ، می بایست ترافیک موجود را از طریق یک برنامه فیلتر محتوا و یا فایروال انجام و به کمک نرم افزارهائی که حفاظت لازم در مقابل ویروس ها را ارائه می نمایند ، عملیات تشخیص و پیشگیری از کد های مخرب و یا فایل ضمیمه آلوده را نیز انجام داد.
با استفاده از نرم افزارهائی نظیر FTP ،کاربران قادر به ارسال و یا دریافت فایل از طریق سیستم های راه دور می باشند .آیا در این خصوص تابع یک سیاست مشخص شده ای بوده و می توان پتانسیل فوق را بدون این که اثرات جانبی خاصی را به دنبال داشته باشد در اختیار کاربران قرار داد ؟ از لحاظ امنیتی ،امکان اجرای هر برنامه جدید بر روی هر کامپیوتر ( سرویس گیرنده و یا سرویس دهنده ) بدون بررسی لازم در خصوص امنیت برنامه ، تهدیدی جدی در هر شبکه کامپیوتری محسوب می گردد .
آیا کاربران شبکه با یک مشکل خاص کوچک که می تواند برای دقایقی شبکه و سرویس های آن را غیر فعال نماید ، کنار می آیند و یا می بایست شبکه تحت هر شرایطی به منظور ارائه خدمات و سرویس ها ، فعال و امکان دستیابی به آن وجود داشته باشد ؟ آیا به سرویس دهندگان کلاستر شده ای به منظور در دسترس بودن دائم شبکه ، نیاز می باشد ؟ آیا کاربران در زمان غیرفعال بودن شبکه ، چیزی را از دست خواهند داد ؟ آیا یک سازمان توان مالی لازم در خصوص پرداخت هزینه های مربوط به ایجاد زیرساخت لازم برای فعال بودن دائمی شبکه را دارا می باشد ؟ مثلا” می توان توپولوژی های اضافه ای را در شبکه پیش بینی تا بتوان از آنان برای پیشگیری از بروز اشکال در یک نقطه و غیر فعال شدن شبکه ، استفاده گردد. امروزه با بکارگیری تجهیزات خاص سخت افزاری به همراه نرم افزاری مربوطه ، می توان از راهکارهای متعددی به منظور انتقال داده های ارزشمند در یک سازمان و حفاظت از آنان در صورت بروز اشکال ، استفاده نمود.
در صورتی که قصد ارتقاء شبکه موجود وجود داشته باشد ، آیا می توان از پروتکل های فعلی استفاده کرد و یا می بایست به یک استاندارد جدید در ارتباط با پروتکل ها ، سوئیچ نمود ؟ در صورتی که یک شبکه جدید طراحی می گردد ، چه عواملی می تواند در خصوص انتخاب پروتکل شبکه ، تاثیر گذار باشد ؟ اترنت ، متداولترین تکنولوژی شبکه ها ی محلی ( LAN ) و TCP/IP ، متداولترین پروتکلی است که بر روی اترنت ، اجراء می گردد . در برخی موارد ممکن است لازم باشد که سایر تکنولوژی های موجود نیز بررسی و در رابطه با استفاده از آنان ، تصمیم گیری گردد .
استفاده کنندگان شبکه چه افرادی هستند ؟ این سوال به نظر خیلی ساده می آید. ما نمی گوئیم که نام استفاده کنندگان چیست ؟ هدف از سوال فوق، آشنائی با نوع عملکرد شغلی و حوزه وظایف هر یک از کاربران شبکه است . طراحان شبکه های کامپیوتری نیازمند تامین الگوها و خواسته ها متناسب با ماهیت عملیاتی هر یک از بخش های یک سازمان بوده تا بتوانند سرویس دهندگان را به درستی سازماندهی نموده و پهنای باند مناسب برای هر یک از بخش های فوق را تامین و آن را در طرح شبکه ، لحاظ نمایند . مثلا” در اکثر سازمان ها ، بخش عمده ترافیک شبکه مربوط به واحد مهندسی است . بنابراین در چنین مواردی لازم است امکانات لازم در خصوص مبادله داده در چنین واحدهائی به درستی پیش بینی شود .
شبکه مورد نظر می بایست چه نوع سرویس ها و خدماتی را ارائه نماید ؟ مهمترین وظیفه یک شبکه ، حمایت از نرم افزارهائی است که امکان استفاده از آنان برای چندین کاربر ، وجود داشته باشد. در این رابطه لازم است در ابتدا لیستی از انواع نرم افزارهائی که در حال حاضر استفاده می گردد و همچنین لیستی از نرم افزارهائی را که کاربران تقاضای استفاده از آنان را نموده اند، تهیه گردد. هر برنامه دارای یک فایل توضیحات کمکی است که در آن به مسائل متفاوتی از جمله رویکردهای امنیتی ، اشاره می گردد ( در صورت وجود ) . نرم افزارهای عمومی شبکه در حال حاضر FTP، telnet و مرورگرهای وب بوده که نسخه های خاص امنیتی در ارتباط با هر یک از آنان نیز ارائه شده است . برخی از این نوع نرم افزارها دارای نسخه هائی می باشند که همزمان با نصب ، حفره ها و روزنه های متعددی را برروی شبکه ایجاد می نمایند . صرفنظر از این که چه نرم افزارهائی برای استفاده در شبکه انتخاب می گردد ، می بایست به دو نکته مهم در این رابطه توجه گردد :
آیا برنامه ایمن و مطمئن می باشد؟ اکثر برنامه ها در حال حاضر دارای نسخه هائی ایمن بوده و یا می توان آنان را به همراه یک سرویس دهنده Proxyبه منظور کمک در جهت کاهش احتمال بکارگیری نادرست ، استفاده نمود.سرویس دهندگان Proxy ، یکی از عناصر اصلی و مهم در فایروال ها بوده و لازم است به نقش و جایگاه آنان بیشتر توجه گردد. حتی شرکت های بزرگ نیز در معرض تهدید و آسیب بوده و هر سازمان می بایست دارای کارشناسانی ماهر به منظور پیشگیری و برخورد با مشکلات امنیتی خاص در شبکه باشد .
آیا یک برنامه با برنامه دیگر Overlap دارد؟ هر کاربر دارای نرم افزار مورد علاقه خود می باشد . برخی افراد یک واژه پرداز را دوست دارند و عده ای دیگر به واژه پردازه دیگری علاقه مند می باشند. در زمان استفاده از چنین نرم افزارهائی لازم است حتی المقدور سعی گردد از یک محصول خاص بمظور تامین خواسته تمامی کاربران ،استفاده گردد. فراموش نکنیم که پشتیبانی چندین برنامه که عملیات مشابه و یکسانی را انجام می دهند هم سرمایه های مالی را هدر خواهد داد و هم می تواند سردرگمی ، تلف شدن زمان و بروز مشکلات مختلف در جهت مدیریت آنان توسط گروه مدیریت و پشتیبان شبکه را به دنبال داشته باشد .
هر برنامه و یا سرویس جدیدی را که قصد نصب و فعال شدن آن را در شبکه داشته باشیم ، می بایست در ابتدا بررسی و در ادامه متناسب با سیاست ها و شرایط موجود ، پیکربندی نمود . برنامه های جدید می بایست منطبق بر این حقیقت باشند که چرا به وجود آنان نیاز می باشد؟ در صورتی که یک برنامه موجود می تواند به منظور تحقق اهداف خاصی استفاده گردد ، چرا به برنامه ای دیگر نیاز می باشد ؟ آیا عدم کارائی برنامه قدیمی بررسی و بر اساس نتایج به دست آمده به سراغ تهیه یک نرم افزار جدید می رویم ؟ همواره لازم است برنامه جدید بررسی تا اطمینان لازم در خصوص تامین خواسته ها توسط آن حاصل گردد.این موضوع در رابطه با برنامه های قدیمی نیز صدق خواهد کرد: آیا این نوع برنامه ها بر روی شبکه جدید و یا شبکه موجود که قصد ارتقاء آن را داریم ، کار خواهند کرد؟
آیا استفاده از شبکه ، مانیتور می گردد؟ آیا به کاربران شبکه اجازه داده می شود که اکثر وقت خود را در طی روز به استفاده از اینترنت و یا ارسال و یا دریافت نامه های الکترونیکی شخصی ، صرف نمایند ؟ تعداد زیادی از سازمان ها و موسسات امکان استفاده از تلفن برای کاربردهای شخصی را با لحاط نمودن سیاست های خاصی در اختیار کارکنان خود قرار می دهند. آیا در زمان تعریف آدرس الکترونیکی کاربران ، راهکاری مناسب در این خصوص انتخاب و به آنان اعلام شده است ؟ آیا پیشگیری لازم به منظور دستیابی به سایت هائی که ارتباطی با عملکرد شغلی پرسنل ندارند ، پیش بینی شده است ؟
برای هر یک از لینک های شبکه به چه درجه ای از اطمینان نیاز است ؟ از کار افتادن شبکه و غیر فعال شدن سرویس های آن تا چه میزان قابل قبول است ؟ شاید اکثر کاربران در پاسخ زمان صفر را مطرح نموده و تمایل دارند که شبکه تحت هر شرایطی فعال و در دسترس باشد . عناصر مهم در شبکه ، نظیر سرویس دهندگان فایل دارای استعداد لازم برای پذیرش اشکالات و بروز خطاء می باشند . در سرویس دهندگان بزرگ ، از دو منبع تغذیه متفاوت که هر کدام به یک ups جداگانه متصل می گردند ، استفاده می شود و از فن آوری های Raid به منظور اطمینان از صحت ارائه اطلاعات در رابطه با حوادثی که ممکن است باعث از کار افتادن یک دیسک گردد ، استفاده می شود. در صورتی که دو بخش متفاوت یک سازمان از طریق یک خط ارتباطی ( لینک ) خاص با یکدیگر مرتبط شده باشند و لازم است که همواره ارتباط بین آنان بصورت تمام وقت برقرار باشد، می بایست برنامه ریزی لازم در خصوص ایجاد چندین لینک بین دو سایت ، صورت پذیرد (لینک Backup ). در چنین مواردی ، می بایست هزینه تامین لینک اضافه نیز پیش بینی گردد. در صورتی که از چندین لینک برای ارتباط با سایت های راه دور استفاده می شود ، می توان از مسیرهای مختلفی بدین منظور استفاده نمود . بدیهی است در صورت بروز اشکال در یکی از لینک های موجود، می توان از سایر مسیر ها استفاده به عمل آورد . در این رابطه لازم است به موارد زیر نیز توجه گردد :
علاوه بر در نظر گرفتن خطوط اختصاصی بین سایت ها ، استفاده از VPN)Virtual Private Networking) ، نیز روشی متداول به منظور اتصال به سایت های راه دور، می باشد . مهمترین مزیت روش فوق، ارزان بودن آن نسبت به یک لینک اختصاصی با توجه به استفاده از زیرساخت اینترنت برای مبادله داده است . کاربران موبایل می توانند با استفاده از یک VPN به شبکه سازمان خود دستیابی داشته باشند ( در زمان حرکت از یک نقطه به نقطه ای دیگر ) . در چنین مواردی لازم است سایت راه دور ( و نیز سایت اصلی ) ، از دو ISP استفاده نموده تا اگر یکی از آنان با مشکل روبرو گردید ، امکان استفاده از اینترنت از طریق یک اتصال دیگر ، وجود داشته باشد .
فن آوری دیگری که می توان از آن به منظور ارائه یک لایه اضافه به منظور در دسترس بودن شبکه استفاده نمود ، دستیابی با سرعت بالا به دستگاههای ذخیره سازی و شبکه ذخیره سازی ( SAN:Storage Area Network ) است . SAN ، شبکه ای است که از LAN جدا بوده و شامل صرفا” دستگاههای ذخیره سازی و سرویس دهندگان لازم برای دستیابی به دستگاه ها است . با توجه به این که پهنای باند شبکه با کاربران شبکه محلیLAN به اشتراک گذاشته نمی شود ، چندین سرویس دهنده قادر به دستیابی محیط ذخیره سازی مشابه و یکسانی ، خواهند بود. سایر سرویس دهندگان می توانند بگونه ای پیکربندی گردند که امکان دستیابی به داده را فراهم نمایند . در این رابطه می توان از RAID و یا برخی فن آوری های دیگر مرتبط با دستگاه های ذخیره سازی نیز استفاده نمود .
در بخش دوم این مقاله به بررسی سایر پارامترهای لازم در خصوص تدوین استراتژی طراحی یک شبکه کامپیوتری خواهیم پرداخت .
شبکه های کامپيوتری زير ساخت لازم برای عرضه اطلاعات در يک سازمان را فراهم می نمايند . بموازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنيت در شبکه های کامپيوتری ، بطور چشمگيری مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سيستم های امنيتی در اين زمينه می باشند ، افزوده می گردد . در اين مقاله ، پيشنهاداتی در رابطه با ايجاد يک محيط ايمن در شبکه ، ارائه می گردد .
سياست امنيتی
يک سياست امنيتی، اعلاميه ای رسمی مشتمل بر مجموعه ای از قوانين است که می بايست توسط افراديکه به يک تکنولوژی سازمان و يا سرمايه های اطلاعاتی دستيابی دارند، رعايت و به آن پايبند باشند . بمنظور تحقق اهداف امنيتی ، می بايست سياست های تدوين شده در رابطه با تمام کاربران ، مديران شبکه و مديران عملياتی سازمان، اعمال گردد . اهداف مورد نظر عموما” با تاکيد بر گزينه های اساسی زير مشخص می گردند .
” سرويس های عرضه شده در مقابل امنيت ارائه شده ، استفاده ساده در مقابل امنيت و هزينه ايمن سازی در مقابل ريسک از دست دادن اطلاعات ”
مهمترين هدف يک سياست امنيتی ، دادن آگاهی لازم به کاربران، مديران شبکه و مديران عملياتی يک سازمان در رابطه با امکانات و تجهيزات لازم ، بمنظور حفظ و صيانت از تکنولوژی و سرمايه های اطلاعاتی است . سياست امنيتی ، می بايست مکانيزم و راهکارهای مربوطه را با تاکيد بر امکانات موجود تبين نمايد . از ديگر اهداف يک سياست امنيتی ، ارائه يک خط اصولی برای پيکربندی و مميزی سيستم های کامپيوتری و شبکه ها ، بمنظور تبعيت از سياست ها است . يک سياست امنيتی مناسب و موثر ، می بايست رضايت و حمايت تمام پرسنل موجود در يک سازمان را بدنبال داشته باشد .
يک سياست امنيتی خوب دارای ويژگی های زير است :
امکان پياده سازی عملی آن بکمک روش های متعددی نظير رويه های مديريتی، وجود داشته باشد .
امکان تقويت آن توسط ابزارهای امنيتی ويا دستورات مديريتی در موارديکه پيشگيری واقعی از لحاظ فنی امکان پذير نيست ، وجود داشته باشد .
محدوده مسئوليت کاربران ، مديران شبکه و مديران عملياتی بصورت شفاف مشخص گردد .
پس از استقرار، قابليت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ( يک بار گفتن و همواره در گوش داشتن )
دارای انعطاف لازم بمنظور برخورد با تغييرات درشبکه باشد .( سياست های تدوين شده ، نمونه ای بارز از مستندات زنده تلقی می گردنند . )
سيستم های عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی
در صورت امکان، می بايست از آخرين نسخه سيستم های عامل و برنامه های کاربردی بر روی تمامی کامپيوترهای موجود در شبکه ( سرويس گيرنده ، سرويس دهنده ، سوئيچ، روتر، فايروال و سيستم های تشخيص مزاحمين ) استفاده شود . سيستم های عامل و برنامه های کاربردی می بايست بهنگام بوده و همواره از آخرين امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در اين راستا می بايست حساسيت بيشتری نسبت به برنامه های آسيب پذير که زمينه لازم برای متجاوزان اطلاعاتی را فراهم می نمايند ، وجود داشته باشد .
برنامه های : IIS ,OutLook , Internet Explorer , BIND و sendmail بدليل وجود نقاط آسيب پذير می بايست مورد توجه جدی قرار گيرند . متجاوزان اطلاعاتی ، بدفعات از نقاط آسيب پذير برنامه های فوق برای خواسته های خود استفاده کرده اند .
شناخت شبکه موجود
بمنظور پياده سازی و پشتيبانی سيستم امنيتی ، لازم است ليستی از تمام دستگاههای سخت افزاری و برنامه های نصب شده ، تهيه گردد . آگاهی از برنامه هائی که بصورت پيش فرض نصب شده اند، نيز دارای اهميت خاص خود است ( مثلا” برنامه IIS بصورت پيش فرض توسط SMS و يا سرويس دهنده SQL در شبکه های مبتنی بر ويندوز نصب می گردد ) . فهرست برداری از سرويس هائی که بر روی شبکه در حا ل اچراء می باشند، زمينه را برای پيمايش و تشخيص مسائل مربوطه ، هموار خواهد کرد .
سرويس دهندگان TCP/UDP و سرويس های موجود در شبکه
تمامی سرويس دهندگان TCP/UDP در شبکه بهمراه سرويس های موجود بر روی هر کامپيوتر در شبکه ، می بايست شناسائی و مستند گردند . در صورت امکان، سرويس دهندگان و سرويس های غير ضروری، غير فعال گردند . برای سرويس دهندگانی که وجود آنان ضروری تشخيص داده می شود، دستيابی به آنان محدود به کامپيوترهائی گردد که به خدمات آنان نيازمند می باشند . امکانات عملياتی را که بندرت از آنان استفاده و دارای آسيب پذيری بيشتری می باشند ، غير فعال تا زمينه بهره برداری آنان توسط متجاوزان اطلاعاتی سلب گردد. توصيه می گردد ، برنامه های نمونه (Sample) تحت هيچ شرايطی بر روی سيستم های توليدی ( سيستم هائی که محيط لازم برای توليد نرم افزار بر روی آنها ايجاد و با استفاده از آنان محصولات نرم افزاری توليد می گردند ) نصب نگردند .
رمزعبور
انتخاب رمزعبور ضعيف ، همواره يکی از مسائل اصلی در رابطه با هر نوع سيستم امنيتی است . کاربران، می بايست متعهد و مجبور به تغيير رمز عبور خود بصورت ادواری گردند . تنظيم مشخصه های رمز عبور در سيستم های مبتنی بر ويندوز، بکمک Account Policy صورت می پذيرد . مديران شبکه، می بايست برنامه های مربوط به تشخيص رمز عبور را تهيه و آنها را اجراء تا آسيب پذيری سيستم در بوته نقد و آزمايش قرار گيرد .
برنامه های john the Ripper ، LOphtcrack و Crack ، نمونه هائی در اين زمينه می باشند . به کاربرانی که رمز عبور آنان ضعيف تعريف شده است ، مراتب اعلام و در صورت تکرار اخطار داده شود ( عمليات فوق، می بايست بصورت متناوب انجام گيرد ) . با توجه به اينکه برنامه های تشخيص رمزعبور،زمان زيادی از پردازنده را بخود اختصاص خواهند داد، توصيه می گردد، رمز عبورهای کد شده ( ليست SAM بانک اطلاعاتی در ويندوز ) را بر روی سيستمی ديگر که در شبکه نمی باشد، منتقل تا زمينه بررسی رمزهای عبور ضعيف ، فراهم گردد . با انجام عمليات فوق برروی يک کامپيوتر غير شبکه ای ، نتايج بدست آمده برای هيچکس قابل استفاده نخواهد بود( مگراينکه افراد بصورت فيزيکی به سيستم دستيابی پيدا نمايند) .
برای تعريف رمز عبور، موارد زير پيشنهاد می گردد :
حداقل طول رمز عبور، دوازده و يا بيشتر باشد .
دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .
از کلمات موجود در ديکشنری استفاده نگردد .
رمز های عبور ، در فواصل زمانی مشخصی ( سی و يا نود روز) بصورت ادواری تغيير داده شوند .
کاربرانی که رمزهای عبور ساده و قابل حدسی را برای خود تعريف نموده اند، تشخيص و به آنها تذکر داده شود .( عمليات فوق بصورت متناوب و در فواصل زمانی يک ماه انجام گردد).
عدم اجرای برنامه ها ئی که منابع آنها تاييد نشده است .
در اغلب حالات ، برنامه های کامپيوتری در يک چارچوب امنيتی خاص مربوط به کاربری که آنها را فعال می نمايد ، اجراء می گردند.دراين زمينه ممکن است، هيچگونه توجه ای به ماهيت منبع ارائه دهنده برنامه توسط کاربران انجام نگردد . وجود يک زير ساخت PKI ) Public key infrastructure ) ، در اين زمينه می تواند مفيد باشد . در صورت عدم وجود زيرساخت امنيتی فوق ،می بايست مراقبت های لازم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا” ممکن است برخی آسيب ها در ظاهری کاملا” موجه از طريق يک پيام الکترونيکی جلوه نمايند . هرگز يک ضميمه پيام الکترونيکی و يا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده ايد ، فعال و يا اجراء ننمائيد . همواره از برنامه ای نظير Outlook بمنظور دريافت پيام های الکترونيکی استفاده گردد . برنامه فوق در يک ناحيه محدوده شده اجراء و می بايست امکان اجرای تمام اسکريپت ها و محتويات فعال برای ناحيه فوق ، غير فعال گردد.
ايجاد محدوديت در برخی از ضمائم پست الکترونيکی
ضرورت توزيع و عرضه تعداد زيادی از انواع فايل های ضميمه ، بصورت روزمره در يک سازمان وجود ندارد .بمنظور پيشگيری از اجرای کدهای مخرب ، پيشنهاد می گردد اين نوع فايل ها ،غير فعال گردند . سازمان هائی که از Outlook استفاده می نمايند، می توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمايند .
( برای ساير نسخه های Outlook می توان از Patch امنيتی مربوطه استفاده کرد .)
در صورت ضرورت می توان ، به ليست فوق برخی از فايل ها را اضافه و يا حذف کرد. مثلا” با توجه به وجود عناصر اجرائی در برنامه های آفيس ، ميتوان امکان اجرای برنامه ها را در آنان بلاک نمود . مهمترين نکته در اين راستا به برنامه Access بر می گردد که برخلاف ساير اعضاء خانواده آفيس ، دارای امکانات حفاظتی ذاتی در مقابل ماکروهای آسيب رسان نمی باشد .
پايبندی به مفهوم کمترين امتياز
اختصاص حداقل امتياز به کاربران، محور اساسی درپياده سازی يک سيتم امنيتی است. رويکرد فوق بر اين اصل مهم استوار است که کاربران می بايست صرفا” دارای حقوق و امتيازات لازم بمنظور انجام کارهای مربوطه باشند ( بذل و بخشش امتيازات در اين زمينه شايسته نمی باشد!) . رخنه در سيستم امنيتی از طريق کدهای مخربی که توسط کاربران اجراء می گردند، تحقق می يابد . در صورتيکه کاربر، دارای حقوق و امتيازات بيشتری باشد ، آسيب پذيری اطلاعات در اثر اجرای کدها ی مخرب ، بيشتر خواهد شد . موارد زير برای اختصاص حقوق کاربران ، پيشنهاد می گردد :
تعداد account مربوط به مديران شبکه، می بايست حداقل باشد .
مديران شبکه ، می بايست بمنظور انجام فعاليت های روزمره نظير خواندن پيام های پست الکترونيکی ، از يک account روزمره در مقابل ورود به شبکه بعنوان administrator ،استفاده نمايند .
مجوزهای لازم برای منابع بدرستی تنظيم و پيکربندی گردد . در اين راستا می بايست حساسيت بيشتری نسبت به برخی از برنامه ها که همواره مورد استفاده متجاوزان اطلاعاتی است ، وجود داشته باشد . اين نوع برنامه ها ، شرايط مناسبی برای متجاوزان اطلاعاتی را فراهم می نمايند. جدول زير برخی از اين نوع برنامه ها را نشان می دهد .
رويکرد حداقل امتياز ، می تواند به برنامه های سرويس دهنده نيز تعميم يابد . در اين راستا می بايست حتی المقدور، سرويس ها و برنامه ها توسط يک account که حداقل امتياز را دارد ،اجراء گردند .
مميزی برنامه ها
اغلب برنامه های سرويس دهنده ، دارای قابليت های مميزی گسترده ای می باشند . مميزی می تواند شامل دنبال نمودن حرکات مشکوک و يا برخورد با آسيب های واقعی باشد . با فعال نمودن مميزی برای برنامه های سرويس دهنده و کنترل دستيابی به برنامه های کليدی نظير برنامه هائی که ليست آنها در جدول قبل ارائه گرديد، شرايط مناسبی بمنظور حفاظت از اطلاعات فراهم می گردد .
چاپگر شبکه
امروزه اغلب چاپگرهای شبکه دارای قابليت های از قبل ساخته شده برای سرويس های FTP,WEB و Telnet بعنوان بخشی از سيستم عامل مربوطه ، می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از چاپگرهای شبکه بصورت FTP Bound servers ، Telnet و يا سرويس های مديريتی وب ، وجود خواهد داشت . رمز عبور پيش فرض را به يک رمز عبور پيچيده تغيير و با صراحت پورت های چاپگر را در محدوده روتر / فايروال بلاک نموده و در صورت عدم نياز به سرويس های فوق ، آنها را غير فعال نمائيد .
پروتکل SNMP (Simple Network Management Protocol )
پروتکل SNMP ، در مقياس گسترده ای توسط مديران شبکه بمنظور مشاهده و مديريت تمام کامپيوترهای موجود در شبکه ( سرويس گيرنده ، سرويس دهنده، سوئيچ ، روتر، فايروال ) استفاده می گردد .SNMP ، بمنظور تاييد اعتبار کاربران ، از روشی غير رمز شده استفاده می نمايد . متجاوزان اطلاعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمايند . در چنين حالتی، آنان قادر به اخذ اطلاعات متنوعی در رابطه با عناصر موجود در شبکه بوده و حتی امکان غير فعال نمودن يک سيستم از راه دور و يا تغيير پيکربندی سيستم ها وجود خواهد داشت . در صورتيکه يک متجاوز اطلاعاتی قادر به جمع آوری ترافيک SNMP دريک شبکه گردد، از اطلاعات مربوط به ساختار شبکه موجود بهمراه سيستم ها و دستگاههای متصل شده به آن ، نيز آگاهی خواهد يافت . سرويس دهندگان SNMP موجود بر روی هر کامپيوتری را که ضرورتی به وجود آنان نمی باشد ، غير فعال نمائيد . در صورتيکه بهر دليلی استفاده از SNMP ضروری باشد ، می بايست امکان دستيابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان، صرفا” به تعداد اندکی از کامپيوترها امتياز استفاده از سرويس دهنده SNMP اعطاء گردد .
تست امنيت شبکه
مديران شبکه های کامپيوترهای می بايست، بصورت ادواری اقدام به تست امنيتی تمام کامپيوترهای موجود در شبکه (سرويس گيرندگان، سرويس دهندگان، سوئيچ ها ، روترها ، فايروال ها و سيتستم های تشخيص مزاحمين) نمايند. تست امنيت شبکه ، پس از اعمال هر گونه تغيير اساسی در پيکربندی شبکه ، نيز می بايست انجام شود .
مدل چهار لایه ای TCP/IP: مدل TCP/IP زاده جنگ سرد در دهه شصت بود . در اواخر دهه ی شصت ، آژانس پروژه های پیشرفته ی تحقیقاتی دولت ایالات متحده ( Advanced Research Project Agency)ARPA با بودجه ی دولتی ، تصمیم به پیاده سازی یک شبکه ی WAN در نه ایالت آمریکا گرفت . این شبکه صرفاً اهداف نظامی را دنبال می کرد و در عرض دو سال پیاده سازی و نصب شد . برای اولین بار روش سوئیچ بسته در این شبکه معرفی شد و موفقیت این شبکه مراکز تحقیقاتی مختلف را بر آن داشت تا شروع به کار مشترک برای توسعه ی تکنولوژی شبکه نمایند . کمیته ی ARPA که به
( Internet Control and Configuration Board ) ICCB مشهور شد روز به روز شهرت یافت و رشد کرد . این کمیته با همکاری بقیه ی آژانسهای تحقیقاتی ، کار مشترک تبدیل تکنولوژی ARPA به یک پروتکل شبکه ای استاندارد به نام ( Transport Control Protocol / Internet Protocol ) TCP/IP را شروع کردند . در اوایل دهه ی هشتاد محیطهای دانشگاهی نیز از TCP/IP حمایت کردند . دانشگاه برکلی در کالیفرنیا در نسخه ی یونیکس خود که رایگان بود ، پروتکل TCP/IP را پیاده سازی و ارائه کرد . رایگان بودن این سیستم عامل بسیار قدرتمند باعث شد تا دانشکده های علوم کامپیوتری به سرعت با TCP/IP آشنا شده و ضمن پیاده سازی شبکه های مبتنی بر آن ، از این مدل حمایت نمایند . شاید بزرگترین عامل توسعه و رشد TCP/IP همین کار دانشگاه برکلی در ارائه رایگان TCP/IP بر روی یونیکس بود .
در سال ۱۹۸۳ کمیته ICCB بعنوان گروه طراحی اینترنت یا ( Internet Architecture Board ) IAB به جهان معرفی شد . این کمیته یک سازمان مستقل برای طراحی استانداردها و ترویج تحقیقات در زمینه ی تکنولوژی اینترنت است . کمیته ی IAB اکنون نیز وجود دارد و در دو قسمت فعالیت می کند :
گروه ( Internet Engineering Task Force ) IETF : موارد فنی و مشکلات استانداردها و تکنولوژی بکار گرفته شده در شبکه ی اینترنت را بررسی و حل می کند و جزییات پروتکلهای فعلی را در اختیار عموم قرار می دهد .
گروه ( Internet Research Task Force ) IRTF : کار تحقیقاتی به منظور بهبود و ارتقاء اینترنت را بر عهده دارد .
موفقیت IAB در اواسط دهه ی هشتاد سرمایه ها را به سمت شبکه سوق داد . سازمان ملی علوم آمریکا تصمیم به سرمایه گذاری برای راه اندازی یک ستون فقرات در آمریکا گرفت که NSFNET نامیده شد . با پیاده سازی موفق این ستون فقرات ، اینترنت باز هم رشد کرد و باز هم سرمایه ها را به سمت خود کشید و مرزهای آمریکا را در نوردید و به یک پدیده ی جهانی تبدیل شد .
مدیریت روزانه و پشتیبانی فنی شبکه ی اینترنت ، توسط مرکزی در آمریکا به نام
( Internet Network Information Center )INERNIC انجام می شود . این مرکز مدیریت سطح بالای شبکه ، ثبت اسامی نمادین در اینترنت و ثبت کلاسهای آدرس یکتا را برعهده دارد .
امروزه TCP/IP به عنوان محبوبترین پروتکل شبکه در تمام سیستمهای عامل حمایت می شود و با تمام نقایصی که دارد حتی در پیاده سازی اینترانتهایی که حتی به اینترنت متصل نیستند ، مورد استفاده قرار می گیرد .
مولفه های TCP/IP
عاملی که تمامی شبکه های مختلف دنیا را به صورت موفقیت آمیز به هم پیوند زده است ، تبعیت همه ی آنها از مجوعه پروتکلی است که تحت عنوان TCP/IP در دنیا شناخته می شود . دقت کنید که عبارت خلاصه شده ی TCP/IP می تواند به دو موضوع متفاوت اشاره داشته باشد :
مدل ( TCP/IP Model ) TCP/IP : این مدل یک ساختار چهار لایه ای برای ارتباطات گسترده تعریف می نماید که آنرا در ادامه تشریح خواهیم کرد .
پشته ی پروتکلهای ( TCP/IP Protocol Stack ) TCP/IP : پشته ی TCP/IP مجموعه ای شامل بیش از صد پروتکل متفاوت است که برای سازماندهی کلیه اجزاء شبکه ی اینترنت به کار می رود .
مدل TCP/IP
همانگونه که اشاره شد این مدل یک ساختار چهار لایه ای برای شبکه عرضه کرده است . اگر بخواهیم این مدل چهار لایه ای را با مدل هفت گانه OSI مقایسه کنیم ، لایه ی اول از مدل TCP/IP یعنی لایه ی دسترسی به شبکه تلفیقی از وظایف لایه ی فزیکی و لایه ی پیوند داده ها از مدل OSI خواهد بود . لایه ی دوم از این مدل معادل لایه ی سوم از مدل OSI یعنی لایه ی شبکه است . لایه سوم از مدل TCP/IP همنام و معادل لایه چهارم از مدل OSI یعنی لایه ی انتقال خواهد بود .
لایه های پنجم و ششم از مدل OSI در مدل TCP/IP وجود ندارد و وظایف آنها در صورت لزوم در لایه ی چهارم از مدل TCP/IP ادغام شده است .
لایه ی هفتم از مدل OSI معادل بخشی از لایه چهارم از مدل TCP/IP است .
بررسی اجمالی لایه های مدل TCP/IP
لایه ی اول : لایه ی واسط شبکه
در این لایه استانداردهای سخت افزار ، و نرم افزارهای راه انداز ( Device Driver ) و پروتکلهای شبکه تعریف می شود . این لایه درگیر با مسائل فزیکی ، الکتریکی و مخابراتی کانال انتقال ، نوع کارت شبکه و راه اندازهای لازم برای نصب کارت شبکه می باشد . در شبکه ی اینترنت که می تواند مجموعه ای از عناصر غیر همگن و نامشابه را به هم پیوند بزند انعطاف لازم در این لایه برای شبکه های گوناگون و ماشینهای میزبان فراهم شده است . یعنی الزام ویژه ای در بکارگیری سخت افزار و نرم افزار ارتباطی خاص ، در این لایه وجود ندارد . ایستگاهی که تصمیم دارد به اینترنت متصل شود بایستی با استفاده از پروتکلهای متعدد و معتبر و نرم افزار راه انداز مناسب ، به نحوی داده های خودش را به شبکه تزریق کند . بنابراین اصرار و اجبار خاصی در استفاده از یک استاندارد خاص در این لایه وجود ندارد .
لایه ی دوم : لایه ی شبکه
این لایه در ساده ترین عبارت وظیفه دارد بسته های اطلاعاتی را که از این به بعد آنها را بسته های IP می نامیم ، روی شبکه هدایت کرده و از مبداء تا مقصد به پیش ببرد . در این لایه چندین پروتکل در کنار هم وظیفه ی مسیریابی و تحویل بسته های اطلاعاتی از مبداء تا مقصد را انجام می دهند . کلیدی ترین پروتکل در این لایه ، پروتکل IP نام دارد . برخی از پروتکل های مهم که یک سری وظایف جانبی بر عهده دارند عبارتند از : IGMP – BOOTP – ARP – RARP – RIP – ICMP و … .
همانگونه که اشاره شد در این لایه یک واحد اطلاعاتی که بایستی تحویل مقصد شود ، دیتاگرام نامیده می شود . پروتکل IP می تواند یک دیتاگرام را در قالب بسته های کوچکتری قطعه قطعه کرده و پس از اضافه کردن اطلاعات لازم برای بازسازی ، آنها را روی شبکه ارسال کند .
لازم است بدانید که در این لایه برقرای ارتباط بین مبداء و مقصد به روش بدون اتصال خواهد بود و ارسال یک بسته ی IP روی شبکه ، عبور از مسیر خاصی را تضمین نمی کند . یعنی اگر دو بسته متوالی برای یک مقصد یکسان ارسال شود هیچ تضمینی در به ترتیب رسیدن آنها وجود ندارد ، چون این دو بسته می توانند از مسیرهای متفاوتی به سمت مقصد حرکت نمایند . در ضمن در این لایه پس از آنکه بسته ای روی یکی از کانالهای ارتباطی هدایت شد ، از سالم رسیدن یا نرسیدن آن به مقصد هیچ اطلاعی بدست نخواهد آمد ، چرا که در این لایه ، برای بسته های IP هیچ گونه پیغام دریافت یا عدم دریافت بین عناصر واقع بر روی مسیر ، رد و بدل نمی شود ؛ بنابراین سرویسی که در این لایه ارائه می شود نامطمئن است و اگر به سرویسهای مطمئن و یا اتصال گرا نیاز باشد در لایه بالاتر این نیاز تامین خواهد شد .
در این لایه مسیریابها بایستی از شرایط توپولوژیکی و ترافیکی شبکه اطلاعاتی را کسب نمایند تا مسیریابی به روش پویا انجام شود . همچنین در این لایه باید اطلاعاتی درباره مشکلات یا خطاهای احتمالی در ساختار زیر شبکه بین مسیریابها و ماشینهای میزبان ، مبادله شود . یکی دیگر از وظایف این لایه ویژگی ارسال چندبخشی ( Multicast ) است یعنی یک ایستگاه قادر باشد به چندین مقصد گوناگون که در قالب یک گروه سازماندهی شده اند ، بسته یا بسته هایی را ارسال نماید .
لایه ی سوم : لایه انتقال
این لایه ارتباط ماشینهای انتهایی ( ماشینهای میزبان ) را در شبکه برقرار می کند ، یعنی می تواند بر اساس سرویسی که لایه دوم ارائه می کند یک ارتباط اتصال گرا و مطمئن ( Reliable ) ، برقرار کند . البته در این لایه برای عملیاتی نظیر ارسال صوت و تصویر که سرعت ، مهمتر از دقت و خطا است سرویسهای بدون اتصال سریع و نامطمئن نیز فراهم شده است .
در سرویس مطمئنی که در این لایه ارائه می شود ، مکانیزمی اتخاذ شده است که فرستنده از رسیدن و یا عدم رسید صحیح بسته به مقصد با خبر شود .
در این لایه بر اساس خدمات لایه های زیرین ، سرویس سطح بالایی برای خلق برنامه های کاربردی ویژه و پیچیده ارائه می شود . این خدمات در قالب ، پروتکلهای استانداردی همانند موارد زیر به کاربر ارائه می شود :
گروه فنی و مهندسی وی سنتر مفتخر است که توانایی ارائه خدمات Routing and Switching را در مراحل طراحی ، پیاده سازی ، نگهداری و به روز رسانی مطابق با استاندارد های بین المللی دارا می باشد.
روتینگ و سوئیچینگ
• طراحی شبکه بر مبنای استاندارد سه لایه Core,Distribute,Access کمپانی Cisco
• نگهداری و به روز رسانی سخت افزاری و نرم افزاری تجهیزات های مرتبط با Routing and Switching
• ارائه راهکار های سوئیچینگ لایه 2، در شبکه های LAN , WAN
• ارائه راهکار های سوئیچینگ لایه 2، در شبکه های WAN (ATM, Frame Relay,DSL,STM1,…
• طراحی ، راه اندازی و پشتیبانی شبکه Switching کشوری (MPLS)
• ارائه راهکارهای Routing مبتنی بر الگوریتم های مسیر یابی Static وEGP,IGP) Dynamic)
• ارائه راهکارهای Routing and Switching مبتنی بر اولویت نوع اطلاعات (Qos)
• ارائه راهکارهای load balancing مبتنی بر اولویتهای Active-Active
لازم به ذکر است که گروه فنی و مهندسی وی سنتر کلیه خدمات فوق را با استفاده از محصولات کمپانی های معتبری مانند HP,Foundry,Cisco و Mikrotik ارائه می نماید.
آخرین دیدگاهها