Skip to Content

آرشیو دسته بندی ها:وبلاگ

فايروال چيست ؟

فايروال چيست ؟

فايروال چيست ؟

فايروال چيست ؟

فايروال نرم افزار و يا سخت افزاری است که اطلاعات ارسالی از طريق  اينترنت  به شبکه خصوصی و يا کامپيوتر شخصی  را فيلتر می نمايد. اطلاعات فيلترشده ، فرصت توزيع  در شبکه را بدست نخواهند آورد.

فرض کنيد، سازمانی دارای 500 کارمند باشد. سازمان فوق دارای ده ها کامپيوتر بوده که بر روی هر کدام يک کارت شبکه نصب شده و يک شبکه درون سازمانی ( خصوصی ) ايجاد شده است . سازمان فوق دارای يک يا چند خط اختصاصی ( T1 و يا T3 ) برای استفاده از اينترنت است . بدون استفاده از فايروال تمام کامپيوترهای موجود در شبکه داخلی، قادر به ارتباط با هر سايت و هر شخص بر روی اينترنت می باشند. کاربران مربوطه قادر به استفاده از برنامه هائی همچون FTP و يا Telnet بمنظور ارتباط مستقيم با افراد حقوقی و يا حقيقی موجود بر روی اينترنت می باشند. عدم رعايت مسائل ايمنی توسط پرسنل سازمان، می تواند زمينه دستيابی به اطلاعات موجود در شبکه داخلی را برای سارقين و متجاوزان اطلاعاتی اينترنت فراهم نمايد.

زمانيکه در سازمان فوق از فايروال استفاده گردد، وضعيت کاملا”  تغيير خواهد کرد. سازمان مربوطه می تواند برروی هر يک از خطوط ارتباطی اينترنت يک فايروال نصب نمايد.فايروال مجموعه سياست های امنيتی را پياده سازی می نمايد. مثلا” يکی از قوانين فوق می تواند بصورت زير باشد :

– تمام کامپيوترهای موجود در شبکه مجاز به استفاده از اينترنت می باشند ، فقط يک فرد مجاز به استفاده از سرويس FTP است و ساير پرسنل مجاز به استفاده از سرويس فوق نخواهند بود.

يک سازمان می تواند برای هر يک از سرويس دهندگان خود ( وب ، FTP،  Telnet و … ) قوانين مشابه تعريف نمايد. سازمان قادر به کنترل پرسنل  بهمراه  ليست سايت های مشاهده  خواهد بود.  با استفاده از  فايروال يک سازمان قادر به کنترل کاربران شبکه  خواهد بود .

فايروال ها به منظور کنترل ترافيک يک شبکه از روش های زير استفاده می نمايند:
1- فيلتر نمودن بسته های اطلاعاتی

بسته های اطلاعاتی با استفاده ازتعدادی فيلتر، آناليز خواهند شد. بسته هائی که از آناليز فوق سربلند بيرون  آيند از فايروال عبور داده شده و  بسته ها ئی  که شرايط لازم را برای عبور از فايروال را نداشته باشند دور انداخته شده و از فايروال عبور نخواهند کرد.

2- سرويس Proxy

اطلاعات درخواستی از طريق اينترنت توسط فايروال بازيابی و در ادامه در اختيار درخواست کننده گذاشته خواهد شد. وضعيت فوق در موارديکه کامپيوتر موجود در شبکه داخلی، قصد ارسال  اطلاعاتی را برای خارج از شبکه خصوصی  داشته باشند ، نيز صدق می کند.

 

ادامه مطلب

فيبر نوری

فيبر نوری

فيبر نوری

يکی از جديدترين محيط های انتقال در شبکه های کامپيوتری ، فيبر نوری است . فيبر نوری از يک ميله استوانه ای که هسته ناميده می شود و جنس آن از سيليکات است تشکيل می گردد. شعاع استوانه بين دو تا سه ميکرون است . روی هسته ، استوانه ديگری ( از همان جنس هسته ) که غلاف ناميده می شود ، استقرار می يابد. ضريب شکست هسته را با M1 و ضريب شکست غلاف را با M2  نشان داده و همواره M1>M2 است . در اين نوع فيبرها ، نور در اثر انعکاسات کلی در فصل مشترک هسته و غلاف ، انتشار پيدا خواهد کرد. منابع نوری در اين نوع کابل ها ، ديود ليزری و يا ديودهای ساطع کننده نور می باشند.منابع فوق ، سيگنال های الکتريکی را به نور تبديل می نمايند.

مزايای فيبر نوری :

  • حجم و وزن کم
  • پهنای باند بالا
  • تلفات  سيگنال کم و در نتيجه فاصله تقويت کننده ها زياد می گردد.
  • فراوانی مواد تشکيل دهنده آنها
  • مصون بودن از اثرات القاهای الکترو معناطيسی مدارات ديگر
  • آتش زا نبودن آنها بدليل عدم وجود پالس الکتريکی در آنها
  • مصون بودن در مقابل عوامل جوی و رطوبت
  • سهولت در امر کابل کشی و نصب
  • استفاده در شبکه های  مخابراتی آنالوگ و ديجيتال
  • مصونيت در مقابل پارازيت

معايب فيبر نوری :

  • براحتی شکسته شده و می بايست دارای يک پوشش مناسب باشند. مسئله فوق با ظهور فيبر های تمام پلاستيکی و پلاستيکی / شيشه ای کاهش پيدا کرده است .
  • اتصال دو بخش از فيبر يا اتصال يک منبع نور به فيبر ، فرآيند دشواری است. در چنين حالتی می توان از فيبرهای ضخيم تر استفاده کرد اما اين مسئله باعث تلفات زياد و کم شدن پهنای باند می گردد.
  • از اتصالات T شکل در فيبر نوری نمی توان جهت گرفتن انشهاب استفاده نمود. در چنين حالتی فيبر می بايست بريده شده و يک Detector اضافه گردد. دستگاه فوفق می بايست قادر به دريافت و تکرار سيگنال را داشته باشد.
  • تقويت سيگنال نوری يکی از مشکلات اساسی در زمينه فيبر نوری است . برای تقويت سيگنال می بايست سيگنال های توری به سيگنال های الکتريکی تبديل ، تقويت و مجددا” به علائم نوری تبديل شوند.

کابل های استفاده شده در شبکه های اترنت

فيبر نوری

 

ادامه مطلب

تاریخچه شبکه اترنت

تاریخچه شبکه اترنت

تاریخچه شبکه اترنت

تاریخچه شبکه اترنت

در سال 1973 میلادی پژوهشگری با نام ” Metcalfe” در مرکز تحقيقات شرکت زيراکس، اولين شبکه اترنت را بوجود آورد.هدف وی ارتباط کامپيوتر به يک چاپگر بود. وی روشی فيزيکی به منظور کابل کشی بين دستگاههای متصل بهم در اترنت ارائه نمود. اترنت در مدت زمان کوتاهی بعنوان يکی از تکنولوژی های رايج برای برپاسازی شبکه در سطح دنيا مطرح گرديد. همزمان با پيشرفت های مهم در زمينه شبکه های کامپيوتری ، تجهيزات و دستگاه های مربوطه، شبکه های اترنت نيز همگام با تحولات فوق شده و  قابليت های متفاوتی را در بطن خود ايجاد نمود. با توجه به  تغييرات و اصلاحات انجام شده  در شبکه های اترنت ،عملکرد و نحوه کار آنان  نسبت به  شبکه های اوليه تفاوت چندانی نکرده است. در اترنت اوليه، ارتباط تمام دستگاه های موجود در شبکه از طريق يک کابل انجام می گرفت که توسط تمام  دستگاهها به اشتراک گذاشته می گرديد. پس از اتصال يک دستگاه به کابل مشترک ، می بايست وسیله ای به نام کارت شبکه برای ايجاد ارتباط با ساير دستگاههای مربوطه  نيز بر روی دستگاه وجود داشته باشد. بدين ترتيب امکان گسترش شبکه بمنظور استفاده از دستگاههای چديد براحتی انجام  و نيازی به اعمال تغييرات بر روی دستگاههای موجود در شبکه نخواهد بود.

اترنت يک تکنولوژی محلی (LAN) است. اکثر شبکه های اوليه  در حد و اندازه يک ساختمان بوده و دستگاهها نزديک به هم  بودند. دستگاههای موجود بر روی يک شبکه اترنت صرفا” قادر به استفاده از چند صد متر کابل  بيشترنبودند. اخيرا” با توجه به توسعه امکانات مخابراتی و محيط انتقال، زمينه استقرار دستگاههای موجود در يک شبکه اترنت با مسافت های چند کيلومترنيز  فراهم شده است.

 

 

ادامه مطلب

تست نفوذ

تست نفوذ

تست نفوذ

تست نفوذ

تست نفوذ چیست؟

تست نفوذ، اقدامی پیشگیرانه و با مجوز از طرف سازمان مجری این تست می باشد، که وظیفه اصلی آن ارزیابی امنیت ساختارهای مبتنی بر فناوری اطلاعات می باشد که از این رو گام هایی جهت شناسایی آسیب پذیری های احتمالی در سیستم عامل ها، سرویس ها و برنامه های کاربردی و همچنین وجود خطا در تنظیمات اعمال شده و حتی شناسایی رفتارهای انسانی خطر سازی که ممکن است از سمت کاربران رخ دهد مورد بررسی می گردد. همچنین این نوع ارزیابی در جهت بررسی میزان تأثیر گذاری سیستم دفاعی یا امنیتی کاربرد بسیاری دارد که به عنوان مثال، می توان به ارزیابی میزان پایبندی کاربران به سیاست های امنیتی نام برد.

تست نفوذ به صورت معمول با استفاده از تکنولوژی هایی موجود در زمینه امنیت، به صورت روال های از قبل تعریف شده و یا در صورت نیاز تعریف توسط نفوذگر صورت می پذیرد، که این امر موجب شناسایی خطرات موجود در سرورها، کاربران، برنامه های تحت وب، شبکه های بی سیم، تجهیزات شبکه، دستگاه های قابل حمل و هر نقطه ی دیگری که ظرفیت آسیب پذیری داشته باشد را شامل می گردد. وقتی یک سیستم آسیب پذیر شناسایی شد، ممکن است نفوذگر از طریق همان سیستم به صورت متناوب به شناسایی منابع دیگر اقدام نماید، که در اینصورت به اطلاعات بیشتری از لایه های امنیتی و نفوذ بیشتری در تجهیزات و اطلاعات بدون محدودیت دست پیدا می کند.

کلیه اطلاعات آسیب پذیری های بدست آمده طی فرآیند تست نفوذ، در قالب یک گزارش جمع آوری شده به مدیران مجاز ارایه می گردد تا با استناد به این سند، استراتژی ها  و اولویت های مربوط به برون رفت از آسیب پذیری ها را تدوین نمایند. در واقع هدف اصلی تست نفوذ، ارزیابی میزان در خطر بودن سیستم ها و کاربران و بروز مخاطرات برای منابع و عملکرد های سازمان می باشد.

چرا انجام تست نفوذ برای تمامی سازمان ها از اولویت بالایی برخوردار است؟

حفره های امنیتی و وقفه در سرویس دهی برای سازمان ها درجه اهمیت بالایی دارند.حفره های امنیتی و وقفه در سرویس دهی به صورت غیر مستقیم سازمان را با هزینه های هنگفت مالی و همچنین تهدید های مختلفی نظیر از دست دادن اعتبار، کاهش رضایت مخاطبان، انعکاس اخبار منفی در رسانه ها، مواجه می نماید و همچنین باعث تحمل جریمه و مجازات های قابل توجهی برای سازمان می گردد.

برای سازمان ها حفاظت از همه اطلاعات در همه موقعیت ها تقریباً غیر ممکن می باشد. از این رو سازمان ها به صورت سنتی به دنبال راه اندازی و نگهداری لایه های مکانیزم دفاعی امنیتی، شامل کنترل دسترسی کاربران، رمز نگاری اطلاعات، IPS، IDS و Firewall ها، بوده اند تا با این روش حفره های امنیتی را از میان بردارند. با ادامه روند استفاده از تکنولوژی های روز مانند تجهیزات امنیتی پیچیده و در نتیجه پیچیدگی های بوجود آمده پیدا کردن و حذف آسیب پذیری ها و محافظت در برابر خطرات امنیتی به مراتب مشکل تر شده است. هر روز آسیب پذیری های جدیدی کشف می شوند که در نتیجه باعث حمله های مداوم و پیشرفته مبتنی بر مسائل فنی و اجتماعی را صورت می دهند.

تست نفوذ فرآیندی است که بر اساس آن، سازمان ها می توانند توانایی ساختار خود، از لحاظ میزان محافظت از شبکه، برنامه ها و سیستم کاربران را با هدف عبور از لایه های امنیتی و دسترسی به اطلاعات و دارایی های با اهمیت را ارزیابی نماید. نتایج این تست ها، آسیب پذیری های امنیتی موجود، و یا فرآیندهای دارای نقاط ضعف را بررسی می نماید که به مدیران IT سازمان ها  و متخصصان امنیت امکان طبقه بندی آسیب پذیری ها و انجام فرآیندهایی جهت برطرف کردن آن ها را ارایه می نماید. با انجام متناوب یک تست نفوذ جامع، سازمان به صورت موثر می تواند خطرات امنیتی را پیش بینی نماید و مانع از هرگونه دسترسی غیر مجاز به سیستم های حساس و اطلاعات با ارزش گردد.

زمان های مناسب برای انجام تست نفوذ در سازمان ها ؟

تست نفوذ می بایست، بوسیله شناسایی خطرات احتمالی جدید و یا پیش بینی آسیب پذیری هایی که ممکن است مورد سوء استفاده هکرها قرار گیرد، در جهت اطمینان از پایداری ساختار IT و مدیریت امنیت شبکه، به طور منظم و براساس یک روال همیشگی انجام پذیرد. داشتن یک برنامه منظم جهت آنالیز و ارزیابی نیازمند یک استاندارد از پیش تدوین شده می باشد که به طور مثال می توان به موارد زیر اشاره کرد :

  • زمان اضافه شدن تجهیزات و یا نرم افزارهای جدید
  • بعد از ارتقاء، بروز رسانی و یا اعمال تغییرات در لایه زیر ساخت شبکه و یا نرم افزارها
  • تأسیس یک ساختمان یا فضای فیزیکی جدید
  • بعد از بروز رسانی وصله های امنیتی
  • تغییرات در سیاست های امنیتی کاربران

چگونه سازمان می تواند از مزایای تست نفوذ بهره مند گردد؟

تست نفوذ مزایای در اختیار سازمان ها قرار می دهد که در اینجا می توان به تعدادی از آن اشاره نمود :

مدیریت هوشمندانه آسیب پذیری ها

تست نفوذ اطلاعات دقیقی از مخاطرات امنیتی موجود تهیه می نماید، که با استفاده از آن سازمان ها می توانند به صورت پیشگیرانه، به شناسایی آسیب پذیری ها از لحاظ درجه اهمیت و یا بررسی صحت درستی آن آسیب پذیری اقدام نمایند. این ویژگی به سازمان ها، امکان انجام روال های مرتفع سازی، طبقه بندی و اولویت بندی مناسب را داده و با اعمال وصله های امنیتی درست و اختصاص تجهیزات و تنظیمات امنیتی، حفاظت از ساختار را تضمین نمایند.

جلوگیری از هزینه های از دسترس خارج شدن شبکه

بازیابی ساختاری که مورد نفوذ قرار گرفته است، سازمان ها را متحمل هزینه های هنگفت مالی، در جهت بهبود شرایط IT، محافظت از مشتریان، حفظ چشم اندازها و فعالیت ها، می نماید و همچنین بروز این اتفاقات باعث کاهش اعتماد شرکای تجاری، عدم بهره وری منابع انسانی و خدمات رسانی، میگردد. تست نفوذ جهت جلوگیری از بروز مشکلات مالی و بی اعتمادی در سازمان ها، با اقدامات شناسایی پیشگیرانه و برطرف کردن خطر حمله یا نفوذ امنیتی، به سازمان کمک می نماید.

تست نفوذ در جهت رعایت استانداردها و جلوگیری از جرایم بازرسی قوانین دولتی

تست نفوذ به سازمان ها کمک می کند تا در پیاده سازی قوانین و مقررات ابلاغی توسط دولت و یا نهادهای وابسته در حوزه امنیت، کمتر دچار مشکل شده و با بررسی و آنالیز طبق قوانین و مقررات تنظیم شده، مانع از بروز هرگونه تخلف ناشی از بازرسی های دوره ای توسط متولیان این امر گردد.

حفظ اعتبار سازمان در سطح داخلی و خارجی

تنها یک اتفاق خطر ساز در خصوص اطلاعات افراد و یا سازمان می تواند در ابعاد مختلفی از جمله اعتبار سازمان در افکار جامعه و همچنین تأثیر در تعامل سازمان با کاربران باعث مشکلات و هزینه های فراوانی گردد. تست نفوذ همواره در جهت جلوگیری از خطراتی که اعتبار و اصول سازمان را هدف قرارداده است همراه و کمک رسان سازمان های محترم می باشد.

گروه فنی و مهندسی وی سنتر با تدوین سیاست های امنیتی و استفاده از ابزارهای پیشرفته و کارشناسان خبره در این زمینه، و همچنین ایجاد ساختارهای کاملا علمی-عملیاتی و در نظر گرفتن حساسیت ها و Business Continuity سازمان ها، اقدام به شناسایی و ارزیابی امنیتی می نماید. ما با انجام تست نفوذ و با در نظر گرفتن تمامی حالت ها و استانداردهای ممکن در این زمینه، آینده روشنی را برای حفظ هر چه بیشتر دارایی و اطلاعات با اهمیت سازمان ها را به ارمغان می آوریم.

 

 

ادامه مطلب

مفهوم میل سرور

مفهوم میل سرور

مفهوم میل سرور

مفهوم میل سرور

میل سرور نرم افزاری می باشد که همانند یک شبکه کامپیوتری عمل نموده و کار اصلی آن تبادل نامه های الکترونیکی می باشد. در واقع Mail سرور دارای امکانات وسرویس های خاصی است که برای ارسال میل از یک سرور به سایت ها و ایمیل های دیگران مورد استفاده قرار می گیرد. با کلیک کردن یک دکمه ماوس شما می توانید یک ایمیل را از یک نقطه جهان به نقطه ای دیگر در چند ثانیه ارسال نمائید. به مجموعه ای از نرم افزار ها و سخت افزار ها گفته می شود که امکان ارسال و دریافت پست الکترونیک را برای یک سازمان فراهم می آورد. میل سرور نرم افزاری می باشد که همانند یک شبکه کامپیوتری عمل نموده و کار اصلی آن تبادل نامه های الکترونیکی می باشد. در واقع Mail سرور دارای امکانات و سرویس های خاصی است که برای ارسال میل از یک سرور به سایت ها و ایمیل های دیگران مورد استفاده قرار می گیرد. با کلیک کردن یک دکمه ماوس شما می توانید یک ایمیل را از یک نقطه جهان به نقطه ای دیگر در چند ثانیه ارسال نمائید. بسیاری از ما از این فرایند ارسال داده استفاده می نماییم، اما تا به حال از خود پرسیده ایم که این ارسال ایمیل چگونه صورت می گیرد؟ پاسخ به این پرسش حول محوری به نام سرور میل می چرخد. سرور پست الکترونیکی مثل یک پستچی در یک محله عمل می کند و عملکرد آن بدین صورت است که هر ایمیل پس از ارسال از مجموعه های سرویس دهنده پست الکترونیک که در آن آدرس گیرنده برای ایمیل مشخص می گردد، عبور نموده و به سرور مقصد می رسد.

این فرایند درست همانند رد و بدل شدن داده در اینترنت می باشد. هر ایمیل به چندین بسته اطلاعاتی تقسیم می شود که همه آنها روی یک کامپیوتر مرکزی ( ایمیل سرور ) که سرویس ایمیل را میزبانی می کند قرار می گیرند. وقتی فرستنده بر روی کلید Send کلیک نماید، بسته های اطلاعاتی از طریق اینترنت به سروری که سرویس ایمیل گیرنده را پشتیبانی می کند ارسال می شود، در این زمان سرور گیرنده به دنبال آدرس ایمیل فرد گیرنده می گردد و به محض یافتن آن، ایمیل را در پوشه inbox آن منتشر می سازد، بدین ترتیب شخص گیرنده ایمیل را همان گونه که فرستنده ارسال نموده است، مشاهده می نماید.

بسیاری از ما از این فرایند ارسال داده استفاده می نماییم، اما تا به حال از خود پرسیده ایم که این ارسال ایمیل چگونه صورت می گیرد؟پاسخ به این پرسش حول محوری به نام سرور میل می چرخد. سرور پست الکترونیکی مثل یک پستچی در یک محله عمل می کند و عملکرد آن بدین صورت است که هر ایمیل پس از ارسال از مجموعه های سرویس دهنده پست الکترونیک که در آن آدرس گیرنده برای ایمیل مشخص می گردد، عبور نموده و به سرور مقصد می رسد. این فرایند درست همانند رد و بدل شدن داده در اینترنت می باشد. هر ایمیل به چندین بسته اطلاعاتی تقسیم می شود که همه آنها روی یک کامپیوتر مرکزی ( ایمیل سرور ) که سرویس ایمیل را میزبانی می کند قرار می گیرند. وقتی فرستنده بر روی کلید Send کلیک نماید، بسته های اطلاعاتی از طریق اینترنت به سروری که سرویس ایمیل گیرنده را پشتیبانی می کند ارسال می شود، در این زمان سرور گیرنده به دنبال آدرس ایمیل فرد گیرنده می گردد و به محض یافتن آن، ایمیل را در پوشه inbox آن منتشر می سازد، بدین ترتیب شخص گیرنده ایمیل را همانگونه که فرستنده ارسال نموده است، مشاهده می نماید. از محبوب ترین سرور ایمیل های رایگان می توان به Yahoo ,Gmail و Hotmail اشاره نمود.

 

 

ادامه مطلب

آشنایی با پروتکل DHCP

آشنایی با پروتکل DHCP

DHCP پروتکلی می باشد که توسط دستگاه های تحت شبکه بکار می رود تا تنظیمات و پارامتر های مختلف را برای عملکرد دستگاه در بستر شبکه فراهم کند. با استفاده از این پروتکل حجم فعالیت مدیریت شبکه کاهش می یابد و دستگاه ها می توانند بدون تنظیمات دستی به شبکه متصل شوند.

هدف DHCP اختصاص اتوماتیک آدرس های IP  برای یک دستگاه (برای مثال: کامپیوتر های شخصی، موبایل و …) در بستر شبکه می باشد؛ این پروتکل دارای پایگاه داده ای شامل طیف وسیعی از آدرس های اختصاصی داده شده است که به دستگاه هایی که درخواست یک IP آدرس می کنند، IP جدید اختصاص می دهد. یک IP آدرس، برای یک بازه زمانی مشخص به یک دستگاه اختصاص داده می شود، و پس از آن زمان دستگاه باید IP آدرس جدیدی را مجدد از سرور DHCP دریافت و یا IP قبلی خود را تمدید کند.

DHCP به دستگاه هایی که قابلیت اتصال به شبکه را دارند اجازه می دهد تا تنظیماتی را از سرور دریافت کنند که در شبکه های مدرن بسیار رایج است. همچنین در شبکه های خانگی نیز استفاده می شود به طوری که در شبکه های خانگی، ارائه دهنده خدمات اینترنت یا همان ISP ممکن است یک IP آدرس اینترنتی (IP Public) منحصر به فردی را به یک روتر و یا مودم اختصاص دهد که این IP برای ارتباطات اینترنتی استفاده شود. همچنین ممکن است روتر یا مودم از DHCP جهت فراهم کردن یک IP آدرس غیر اینترنتی (IP Private) قابل استفاده برای دستگاه های متصل شده به شبکه خانگی استفاده کند تا به دستگاه های متصل شده اجازه ارتباط با اینترنت را بدهد.

پروتکل DHCP

روش های تخصیص IP

بسته به نوع تنظیمات، سرور DHCP برای تخصیص IP آدرس ها از یکی از سه روش زیر استفاده می کند:

Dynamic allocation: سرور DHCP به طور پویا (Dynamic) یک IP آدرس را برای مدت زمانی مشخص به دستگاهی که درخواست کننده می باشد، اختصاص می دهد و پس از زمان تعریف شده می تواند مجدد آن IP را برای همان دستگاه تمدید کند.

Automatic allocation: سرور DHCP به طور اتوماتیک یک IP آدرس آزاد را برای مدت زمانی مشخص به دستگاه درخواست کننده اختصاص می دهد. این همانند Dynamic allocation است با این تفاوت که سرور DHCP در حالت Automatic یک جدول از IP های اختصاص داده شده را نگه می دارد، به طوری که می تواند به یک دستگاه IP آدرسی را اختصاص دهد که قبلاً آن را داشته است.

Manual allocation: در این حالت  تنها دستگاه هایی که MAC آدرس آنها در جدول سرور DHCP موجود است می توانند از آن سرور درخواست تخصیص IP کنند. این حالت دارای امنیت بیشتری نسب به دو حالت قبلی می باشد.

عملکرد DHCP

عملکرد DHCP به چهار قسمت تقسیم می گردد:

DHCP Discovery: دستگاه هایی که قابلیت استفاده از DHCP را دارند و یا تنظیمات شبکه ای آنها به صورت DHCP پیکر بندی شود به منظور شناسایی سرورهای DHCP موجود اقدام به فرستادن پیامی در شبکه می کنند که به این درخواست DHCP Discovery گفته می شود.

DHCP Offer: هنگامی که سرور DHCP یک درخواست شناسایی (DHCP Discovery) را از دستگاهی در شبکه دریافت می کند، یک IP آدرس را برای آن دستگاه رزرو می کند و آن را به عنوان DHCP Offer برای درخواست کننده ارسال می کند.

DHCP Request: دستگاه درخواست کننده بعد از دریافت DHCP Offer از سمت سرور به منظور پذیرفتن IP رزرو شده و درخواست برای تخصیص آن IP، پیغامی با نام DHCP Request را به سرور ارسال می کند.

DHCP Acknowledgement: هنگامی که سرور DHCP پیغام درخواست IP را دریافت می کند، مرحله DHCP Acknowledgement آغاز می شود. در این مرحله سرور یک بسته شامل IP آدرس، Subnet Mask و هر گونه اطلاعات مورد نیاز دیگری را برای درخواست کننده ارسال می کند.

عملکرد DHCP

DHCP relaying

در شبکه های کوچک معمولا از یک Subnet برای تمامی شبکه استفاده می شود و یک DHCP سرور به طور مستقیم درخواست های دستگاه های داخل شبکه را دریافت و آنها را پاسخ می دهد. اما در شبکه های بزرگ و گسترده معمولا از چندین Subnet استفاده می شود که به منظور یکپارچه سازی و ارتباط بین Subnet های مختلف از Router استفاده می گردد. در حالت پیش فرض به دلیل Broadcast بودن درخواست های DHCP و عدم وجود Rout مناسب، چنین درخواست هایی توسط Router عبور داده نمی شود به عبارتی در صورتی که دستگاه درخواست کننده در یک Subnet  غیر از Subnet سرور DHCP قرار گرفته باشد، نمی تواند از سرویس DHCP آن سرور استفاده کند. برای رفع این موضوع از ویژگی DHCP relaying استفاده می شود، این ویژگی این امکان را فراهم می سازد تا درخواست های DHCP به واسطه DHCP relay agents در بین Subnet های مختلف عبور کرده و تمامی دستگاه ها موجود در شبکه از سرویس DHCP استفاده کنند.

ادامه مطلب

آشنایی با NAT

آشنایی با NAT

تکنولوژی NAT یا Network Address Translation به منظور صرفه جویی در تعداد آدرس IP های Public و کاهش هزینه ها می باشد.

این تکنولوژی به دلایل زیر ایجاد شد.

  • محدودیت در تعداد آدرس IP های Public
  • هزینه بر بودن تهیه آدرس های Public برای استفاده در اینترنت

نحوه فرآیند تکنولوژی NAT :

NAT در واقع تکنولوژی تغییر آدرس IP مربوط به فرستنده پیام می باشد. بدین معنا که زمانی که این تکنولوژی برای یک شبکه Private پیاده سازی می شود، یک سمت این شبکه متصل به یک Public IP شده و سمت دیگر درون شبکه Private قرار می گیرد و NAT حائل بین این دو سمت می شود. هر درخواستی که از شبکه Private برای شبکه Public ارسال می شود، توسط این تکنولوژی دریافت و با تغییر آدرس IP منبع ارسال کننده به آدرس خود که یک آدرس Public می باشد، درخواست را به سمت اینترنت ارسال می کند. این تغییرات درون جدولی که NAT Table گفته می شود ذخیره می شود و زمانیکه پاسخ آن درخواست توسط اینترنت به سمت این Public IP برگشت داده می شود، با توجه به اطلاعات موجود در NAT Table به دست درخواست کننده اصلی در شبکه Private می رسد.

فرهنگ واژگان تکنولوژی NAT :

تکنولوژی NAT

انواع مختلف NAT :

  • Static NAT
  • Dynamic NAT
  • PAT (NAT Overload)

آشنایی با Static NAT :

این نوع از NAT باید به صورت دستی پیاده سازی شود. نحوه پیاده سازی این نوع به این صورت است که شما باید آدرس های Private خود را به صورت دستی و براساس تعداد آدرس های Public که در اختیار دارید نگاشت کنید. به طور مثال شما بر روی روتر خود 2 آدرس Public قرار داده اید و در شبکه Private خود 100 آدرس IP ایجاد کرده اید، حال می بایست 50 عدد از این آدرس ها را به صورت دستی به یکی از Public IP ها نگاشت کنید و 50 عدد دیگر را به Public IP دیگر روتر نگاشت نمایید.

نکته: تا زمانیکه یک Private IP به یک Public IP متصل باشد، Private IP دیگر نمی تواند به اینترنت دسترسی داشته باشد. یعنی عمل نگاشت در NAT به صورت یک به یک است.

پیکربندی Static NAT :

در بحث پیکربندی NAT بخشی از دستورات برای تمام انواع NAT ها ثابت می باشد و آن بخش مشخص کردن بخش داخل و خارج شبکه خودتان می باشد. دستورات زیر به این منظور به کار برده می شوند (در سطح اینترفیس):

Conf-if# ip nat {inside or outside}

نکته: این دستورات باید بر روی تمام Interface ها و Sub Interface ها (مباحث Inter VLAN) مربوط به بخش Inside و Outside زده شوند.

دستورات مربوط به NAT Table به شرح زیر می باشند:

Conf# ip nat inside source static ‘Inside Local IP’ ‘inside global IP’

Router# show ip nat translation

Router# clear ip nat translation

دستور مربوط به Clear به منظور قطع ارتباط کاربران از شبکه به منظور حذف تکنولوژی NAT می باشد.

نکته: در بخش Inside Local IP می بایست آدرس کلاینتی را بدهید که قرار است دسترسی به اینترنت داشته باشد و Inside Global IP مربوط به آدرس Public می باشد که قرار است توسط آن NAT انجام شود.

آشنایی با Dynamic NAT :

در این نوع NAT یک NAT Pool وجود دارد که شامل چند Public IP می باشد. توسط این ساختار آدرس های Private مشخص شده می توانند به صورت یک به یک و هر کدام به یکی از این Public IP ها NAT شوند.

نکته: پیاده سازی Dynamic NAT توسط Access List انجام می شود.

پیاده سازی Dynamic NAT :

بخش اول پیاده سازی مانند Static NAT می باشد. در بخش دستورات Dynamic NAT داریم:

Conf# Access-list ‘ACL#’ permit ‘Network’ ‘Wild Mask’

به منظور ایجاد Access List از دستور بالا استفاده می کنیم و در ادامه:

Conf# ip nat pool ‘Pool-Name’ ‘First IP’ ‘Last IP’ netmask ‘Subnet-Mask’

نکته: مقدار Net Mask مورد نیاز در دستور بالا مقداری است که در بردارنده تعداد آدرس های Public مشخص شده در First تا Last می باشد. یعنی باید Subnet Mask را استفاده کنیم که این محدوده آدرس دهی را شامل شود.

Conf# ip nat inside source list ‘ACL#’ pool ‘Pool-Name’

OR

Conf# ip nat inside source list ‘ACL#’ interface ‘Slot/Port’
Conf# ip nat translation time-out ‘Seconds’

نکته: دستور آخر مربوط به پاک شدن آدرس Private ای می باشد که به صورت Idle درآمده و این مدت زمان برای پاک شدن بر حسب ثانیه و برای آزاد شدن آدرس Public و استفاده سایر آدرس ها از آن آدرس Public می باشد.

آشنایی با PAT :

در ساختار Static و Dynamic مشکل محدودیت تعداد Public IP ها و در نتیجه دسترسی تصادفی سیستم ها به اینترنت وجود داشت. نوع PAT که Port Address Translation نام دارد این مشکل را رفع کرده است.

در این نوع نگاشت پیاده سازی با استفاده از Port Number ها صورت می پذیرد. یعنی علاوه بر تغییر آدرس IP منبع ارسال کننده، اقدام به تغییر شماره پورت منبع ارسال کننده نیز می کند. یعنی اگر کاربری یک درخواست روی پورت 80 برای اینترنت ارسال کرد، این درخواست قطعا با یک شماره پورت توسط کاربر ارسال شده است که مثلا می تواند 1200 باشد. زمانیکه این درخواست به سرویس NAT می رسد علاوه بر تغییر آدرس IP مربوط به کلایت، شماره پورت 1200 را به 1201 تغییر می دهد و به سمت بیرون هدایت می کند. این امر به این دلیل است که هیچ تضمینی وجود ندارد که 2 کامپیوتر از یک شماره پورت برای ارسال درخواست خود استفاده نکنند و ممکن است این شماره پورت برای دو کامپیوتر یکسان انتخاب شود، بنابراین این تغییر شماره پورت در سرویس NAT به دلیل رفع مشکل تداخل درخواست ها می باشد.

با این فرآیند تنها با استفاده از یک Public IP می توان برای تمام آدرس های Private دسترسی به بیرون را ایجاد کرد.

پیاده سازی PAT :

پیاده سازی PAT عینا مانند ساختار Dynamic می باشد. یعنی همان مراحل مربوط به Dynamic را برای PAT باید انجام داد و تنها تفاوت در 2 مورد می باشد:

  • نگاشت به یک اینترفیس
  • استفاده از کلیدواژه overload در انتهای دستور

بنابراین دستور پیاده سازی به شکل زیر تغییر می کند:

Conf# ip nat source list ‘ACL#’ interface <slot/port> overload

در پایان این مبحث به این نکته توجه داشته باشید که عملیات NAT صرفا برای برقراری دسترسی به اینترنت نیست بلکه تکنولوژی تغییر آدرس IP می باشد. بنابراین این مبحث را به عنوان تغییر دهنده آدرس IP به خاطر بسپارید.

ادامه مطلب

آشنایی با پروتکل HSRP

آشنایی با پروتکل HSRP

پروتکل HSRP زیر مجموعه پروتکل های FHRP یا First-Hop Redundancy protocols می باشد. این پروتکل به منظور افزایش دسترس پذیری در شبکه می باشد.

این بدین معناست که شما می توانید به طور مثال 2 روتر را به عنوان یک خروجی برای شبکه قرار دهید بدین صورت که هر زمان یک روتر از مدار خارج شد، روتر دیگر به صورت اتوماتیک کار خروج بسته های اطلاعاتی را انجام دهد. عملکرد این پروتکل درست مانند عملکرد سرویس های کلاسترینگ می باشد.

زیر مجموعه پروتکل FHRP به شرح زیر می باشند:

  • Host Standby Router Protocol (HSRP)
  • Virtual Router Redundancy Protocol (VRRP)
  • Gateway Load Balancing Protocol (GLBP)

پروتکل HSRP مخصوص دستگاه های سیسکو می باشد.

پروتکل VRRP یک پروتکل استاندارد می باشد که بسیار شبیه HSRP عمل می کند.

پروتکل GLBP به دلیل وجود محدودیت در HSRP و VRRP ایجاد شد و مخصوص دستگاه های سیسکو می باشد. یکی از دلایل تاثیر گذار در ایجاد این پروتکل شرایط Active بودن تنها یک دستگاه در پروتکل HSRP و VRRP می باشد و مابقی دستگاه ها به صورت Standby قرار می گیرند و به اصطلاح Load Sharing را ایجاد نمی کنند. این پروتکل فقط در سری های 6500 وجود دارد.

آشنایی با HSRP :

روند کار این پروتکل به این صورت است که ابتدا باید یک گروه ایجاد نمایید. باید توجه داشته باشید که حداکثر تعداد گروه های HSRP روی یک دستگاه 16 گروه می باشد. در بین روترها یا سوییچ های لایه 3 قرار گرفته در یک گروه می بایست یکی به عنوان Active و یک دستگاه به صورت Standby قرار گیرد که در صورت از مدار خارج شدن دستگاه Active دستگاه Standby جایگزین آن می شود. مابقی دستگاه ها به صورت Listen HSRP State در این گروه قرار می گیرند و زمانی که دستگاه Standby به Active تبدیل می شود، یکی از دستگاه های Listener به Standby تبدیل می شود.

روند درک وضعیت دستگاه ها در یک گروه HSRP با ارسال بسته های Hello به یکدیگر می باشند. این بسته ها هر 3 ثانیه به آدرس مالتی کست تمام روترها (224.0.0.2) ارسال می شود.

پیکربندی HSRP در لایه اینترفیس روترها و یا در Interface Vlan سوییچ های لایه 3 انجام می شود. یعنی می بایست به بخش conf-if وارد شوید تا بتوانید تنظیمات HSRP را پیاده سازی نمایید.

Config-if# standby ‘group’ IP ‘ip-address’

دستورات HSRP با کلمه Standby شروع می شوند.

معماری این پروتکل به این صورت است که زمانیکه شما یک Virtual IP برای گروه HSRP ایجاد می کنید، یک Virtual Mac Address برای این IP ایجاد می شود که به صورت 0000.0c07.acxx می باشد. مقدار 0000.0c مربوط به تولید کننده سیسکو می باشد، مقدار 07.ac مربوط به پروتکل HSRP و مقدار xx مشخص شده برای شماره گروه HSRP می باشد که از 01 شروع می شود.

دستگاهی که به صورت Active در این گروه قرار گرفته است مدام به این MAC Address گوش می دهد و درخواست هایی که توسط کاربران به آن ارسال می شود را پاسخ می دهد.

روند اکتیو کردن یک دستگاه:

به منظور معرفی یک دستگاه به عنوان Active در گروه HSRP می بایست از HSRP Priority استفاده کرد. این Priority مقداری بین 0 تا 255 می باشد و پیش فرض آن 100 می باشد. عدد بالاتر معرف اکتیو بودن دستگاه می باشد. در صورتیکه مقدار Priority به صورت پیش فرض تعریف شود ویژگی که باعث اکتیو شدن یک دستگاه می شود بزرگترین آدرس IP بین دستگاه ها می باشد.

Config-if# standby ‘group’ priority ‘priority’

استفاده از ویژگی Preemption در HSRP:

در صورتیکه روتر فعال شما از مدار خارج شود و روتر Standby جایگزین آن شود و پس از مدتی روتر از مدار خارج شده مجدد به مدار بازگردد و Priority بالاتر داشته باشد چه اتفاقی خواهد افتاد؟

ویژگی Preemption به HSRP این قدرت را می دهد تا در صورتیکه روتر اکتیو از مدار خارج شده به مدار بازگردد، مجدد به صورت اکتیو قرار گیرد.

Config-if# standby ‘group’ preempt

آشنایی با HSRP Link Track:

تصور کنید 2 روتر در یک گروه در HSRP قرار گرفته اند و هر کدام از این روتر ها توسط یک اینترفیس خود به اینترنت متصل شده اند. زمانیکه اینترفیس اینترنت روتر اکتیو قطع شود، دلیلی برای تغییر حالت اکتیو به Standby برای HSRP وجود ندارد اما در سمت کاربر دسترسی به اینترنت قطع شده است. در این شرایط چه می توان کرد؟

HSRP ویژگی دارد که به وسیله آن می توان از مقدار Priority یک اینترفیس به صورت اتوماتیک کم کرد و در نهایت اقدام به سوییچ کردن بین دستگاه های اکتیو و Standby کرد. این ویژگی Link Track نام دارد. با مقدار دهی این ویژگی می توان به دستگاه گفت که در صورت قطع شدن یک اینترفیس مشخص در آن، مقدار مشخصی را از Priority اینترفیس دیگر کم کند اما لازم است تا ویژگی Preemption بر روی دستگاه Standby نیز زده شود.

Config-if# standby ‘group’ Track ‘type mode/num’ ‘Decrement-Value’

Example:

Config-if# standby 1 track FastEthernet 0/10 60

ادامه مطلب

آشنایی با پروتکل VRRP

آشنایی با پروتکل VRRP

پروتکل VRRP یک پروتکل استاندارد به منظور پیاده سازی High Availability می باشد. به لحاظ کارآیی و پیکربندی کاملا شبیه پروتکل HSRP می باشد.

تفاوت های HSRP و VRRP :

  • در VRRP گروه از 0 تا 255 وجود دارد
  • در VRRP یک روتر به صورت Active با نام Master می باشد و مابقی روترها به صورت Backup قرار می گیرند.
  • در VRRP بسته های Hello هر 1 ثانیه یکبار به آدرس مالتی کست 244.0.0.2 ارسال می شوند.
  • در VRRP مقداری که به عنوان Virtual MAC Address در نظر گرفته می شود 0000.5e00.01XX می باشد که XX در انتها به عنوان شماره گروه می باشد.
  • به صورت پیش فرض Preemption در VRRP فعال می باشد.
  • این پروتکل فاقد مکانیزمی برای ردیابی Interface می باشد.

این پروتکل در روترهایی که دارای IOS نسخه 12.0 (18)ST به بالا هستند وجود دارد و در مورد سوییچ ها در سری های 4500 با IOS نسخه 12.2(31)SG به بالا و سری های 6500 Supervisor 2 با IOS نسخه 12.2(9)ZA و بالاتر در سری های 6500 Supervisor 720 با IOS نسخه 12.2(17a)SX4 به بالا وجود دارد.

پیکربندی VRRP :

به منظور پیکربندی VRRP از دستورات زیر استفاده نمایید:

Config-if# vrrp ‘group#’ ip ‘IP-Address’

این دستور به منظور ایجاد Virtual IP می باشد.

Config-if# vrrp ‘group#’ priority ‘Priority’

مقدار Priority عددی مابین 1 تا 254 می باشد و در صورت برابر بودن Priority ها بزرگترین آدرس IP به عنوان Tie Breaker در نظر گرفته می شود.

Router# show vrrp brief

ادامه مطلب

آشنایی با IPSec VPN

آشنایی با IPSec VPN

در ادامه مباحث VPN می خواهیم پروتکل امن IPSec را بررسی نماییم. این پروتکل معروفترین پروتکل امن VPN می باشد.

این مبحث در دوره CCNA Security کاملا بررسی می شود و در این دوره به صورت اجمالی به آن می پردازیم.

آشنایی با IPSec :

IPSec بیشتر از آنکه یک پروتکل باشد یک Framework است. این پروتکل ترکیبی از 3 پروتکل زیر می باشد:

  • ISAKMP (Internet Security Association and Key Management Protocol)
  • AH (Authentication Header)
  • ESP (Encapsulation Security Payload)

نکته: به پروتکل ISAKMP پروتکل IKE یا Internet Key Exchange نیز گفته می شود.

نکته: از بین AH و ESP یکی از این موارد در IPSEC استفاده می شوند.

آشنایی با ISAKMP :

ISAKMP در دو فاز فعالیت خود را انجام میدهد. در فاز اول که ISAKMP SA نامیده می شود ابتدا توافقات امنیتی بین دو نقطه صورت می پذیرد که موارد زیر را شامل می شود:

  • Encryption (3DES or AES)
  • Digital Signature (HMAC SHA1 or HMAC MD5)
  • Key Management (DH or RSA)
  • Authentication (Pre Shared Key or Digital Certificate)

در فاز اول علاوه بر توافقات امنیتی، Key Management برای بحث رمزنگاری (تبادل کلید) و Authentication نیز انجام می شود.

نکته: توافقات امنیتی هر 24 ساعت یکبار Negotiate می شوند که این عدد قابل تغییر است.

در فاز دوم که IPSEC SA گفته می شود پروتکل Tunneling که می خواهیم استفاده نماییم از بین AH و ESP انتخاب می شود. در این فاز به صورت Optional می توانید Key Management را داشته باشید.

نکته: فاز دوم به حسن وجود فاز اول یک مرحله کاملا امن به حساب می آید. به همین دلیل تبادل کلید در این فاز یک فرآیند کاملا امن است.

نکته: این فاز هر 8 ساعت یک بار به صورت پیش فرض انجام می شود و قابل تغییر می باشد.

آشنایی با AH و ESP :

پروتکل AH یک پروتکل امضای دیجیتال می باشد. به واسطه امضای دیجیتال موارد زیر به دست می آیند:

  • Authentication
  • Data Integrity
  • Non Repudiation

فرآیند این پروتکل به این صورت می باشد که به انتهای Segment یک Trailer و به ابتدای آن یک Header اضافه می کند و آدرس IP جدید مربوط به Tunneling را به آن اضافه می کند. این پروتکل اقدام به HASH کردن بسته توسط Private Key خود می کند و از این طریق اقدام به Sign کردن بسته می کند. این Sign در Header قرار می گیرد.
پروتکل ESP علاوه بر انجام فرآیند Sign مانند AH فرآیند Encryption را روی بسته انجام می دهد.

نکته: از AH زمانی استفاده می شود که نیاز به Authentication قدرتمند وجود داشته باشد و از ESP در جاهایی استفاده می شود که نیاز به رمزنگاری بسته باشد.

هر دو پروتکل AH و ESP هم می توانند به صورت Tunnel Mode و هم Transport Mode فعالیت کنند:

آشنایی با AH و ESP :

نکته: در Transport Mode آدرس Original IP با New IP یکسان است بنابراین حذف می شود. این حالت زمانی است که بین دو کامپیوتر می خواهیم تونل بزنیم.

نکته: تونل IPSEC قابلیت ارسال ترافیک های Broadcast و Multicast را ندارد و در مقابل تونل GRE امکان ارسال این ترافیک ها را دارد. بنابراین شیوه ای ترکیبی از این دو تونل وجود دارد که ابتدا تونل GRE ایجاد می شود و سپس توسط IPSEC این تونل امن می شود در نتیجه ترافیک های Broadcast و Multicast قابلیت عبور خواهند داشت. به این کار GRE Over IPSEC گفته می شود.

پیکربندی IPSEC :

به منظور پیکربندی IPSEC دستورات زیر را استفاده می نماییم:

فاز اول:

Conf# crypto isakmp enable
Conf# crypto isakmp policy ‘Policy#’
Conf-isakmp# authentication pre-share
Conf-isakmp# encryption [3DES | AES | DES]
Conf-isakmp# hash [MD5 | SHA]
Conf-isakmp# group [1 | 2 | 5]
Conf# crypto isakmp key ‘Your Key Word’ address ‘Your Next Hop Interface’

فاز دوم:

ابتدا باید Transform Set تعریف شود:

Conf# crypto ipsec transform-set ‘Set a Name’ esp-3des [esp-md5-hmac | esp-sha-hmac]

حال باید یک Access List نوشته شود و لیست IP هایی که می خواهیم در این تونل رمزنگاری شوند را در آن لیست قرار دهیم:

Conf# access-list ‘#’ permit ‘Source IP Address’ ‘Wild Mask’ ‘Destination IP Address’ ‘Wild Mask’

حال می خواهیم این Transform Set را به یک اینترفیس تخصیص دهیم اما برای این کار ابتدا باید Crypto MAP نوشته شود تا آن را به اینترفیس اختصاص دهیم:

Conf# crypto map ‘Set a Name’ ‘Policy# you have been selected in the first place’ ipsec-isakmp
Conf-crypto-map# set peer ‘Next Hop Interface IP Address’
Conf-crypto-map# set transform-set ‘Transform Set Name that you choose above’
Conf-crypto-map# match address ‘Your Access List #’

حال باید این Crypto MAP را به اینترفیس مورد نظر تخصیص دهیم:

Conf-if# crypto map ‘You Crypto MAP Name that have been selected above’

نکته: این دستورات باید در هر دو روتر زده شوند. تنظیمات هر دوسر باید مانند یکدیگر باشند.

به منظور مانیتورینگ این فرآیند از دستورات زیر می توان استفاده کرد:

فاز اول:

Router# show crypto isakmp SA

فاز دوم:

Router# show crypto ipsec SA

در پایان به منظور آشنایی با مباحث VPN می توانید دوره های CCNP Security به منظور پیاده سازی VPN ها بر روی روترها و سوییچ های لایه 3 و CCNP VPN به منظور آشنایی با مدل ها و پیاده سازی بر روی فایروال ها را طی نمایید.

ادامه مطلب