Monthly Archiveژانویه 2017

Byadmin

مجازی سازی به وسیله VMware Unity Mode

مجازی سازی به وسیله VMware Unity Mode

مجازی سازی به وسیله VMware Unity Mode

مجازی سازی به وسیله VMware Unity Mode

مجازی سازی:Unity mode

بر‌‌اساس این قابلیت می‌توانید برنامه‌ها و اعمالی که می‌خواهید بر‌‌روی ماشین‌‌مجازی انجام دهید را از روی ماشین میزبان اجرا کنید. با استفاده از این قابلیت، به‌‌عنوان مثال کنسولServer Manager از روی ماشین‌‌مجازی به روی ماشین میزبان منتقل می‌شود و شما از روی ماشین میزبان می‌توانید کنسول Server Manager ماشین مجازی را مدیریت کنید. همچنین با این کار می‌توانید عمل Copy – Past بین ماشین مجازی و ماشین میزبان را به‌‌راحتی انجام دهید.

برای اینکه بتوانید از این قابلیت استفاده کنید، باید VMware Tools را نصب کرده باشید. برای انجام این کار در حالی که ماشین‌‌مجازی روشن است، از منوی View گزینه Unity را انتخاب کنید.

مجازی سازی به وسیله VMware Unity Mode

شکل ۷- ۲

با این کار برنامه‌‌ای که روی ماشین‌‌مجازی در حال اجراست، روی ماشین میزبان منتقل می‌شود و دسکتاپ ماشین‌‌مجازی به شکل ۷- ۳ در می‌آید.

مجازی سازی به وسیله VMware Unity Mode

شکل ۷- ۳

برای خارج شدن از این حالت گزینهExit Unity را انتخاب کنید.

 

 

Byadmin

دوره آموزشی EMC VNX Fundamentals

دوره آموزشی EMC VNX Fundamentals

معرفی دوره آموزشی EMC VNX Fundamentals

دوره آموزشی EMC VNX Fundamentals

دوره آموزشی EMC VNX Fundamentals

دوره EMC VNX Fundamentals برای ایجاد آمادگی لازم برای شرکت در دوره عملی VNX Block Storage Management

اهداف دوره:

 

این دوره مختص برند EMC نمی باشد و مبانی های مشترک مورد نیاز همه سیستم های ذخیره سازی را تحت پوشش قرار می دهد.
1- آشنایی با ساختار سیستم های ذخیره سازی
2- آشنایی با انواع RAID و پارامترهای با اهمیت در انتخاب آن
3- آشنایی با SAN و NAS
4- آشنایی با روش های محافظت از دیتا
5- آشنایی با Lifecycle Management
6- آشنایی با انواع استویج های موجود
7- آشنایی با تکنولوژی های نوین استوریج های امروزی

 مخاطبین دوره:

مديران سیستم های ذخیره سازی
مدیران سیستم های مجازی سازی
مدیران دیتابیس
مدیران فروش
کارشناسان و دانشجويان فعال در حوزه فناوري اطلاعات

Byadmin

دوره آموزشی EMC ISM v3

دوره آموزشی EMC ISM v3

معرفی دوره آموزشی EMC ISM v3

دوره آموزشی EMC ISM v3

دوره آموزشی EMC ISM v3

دوره Information Storage and Management(ISM) یکی از معدود دوره های آموزش سیستم های ذخیره سازی می باشد که ساختار سیستم های ذخیره سازی در فضای کلاسیک و مجازی مدرن دیتاسنتر های امروزی را توضیح می دهد. و آماده سازی دانشجویان برای حضور در دوره های پیشرفته استوریج را انجام می دهد.این دوره شامل دو دوره مبانی سیستم های ذخیره سازی و مبانی شبکه های ذخیره سازی می باشد که راجع به ساختار استوریج و کامپوننت های تشکیل دهنده آن و شبکه سیستم های ذخیره سازی و انواع آن و تکنولوژی های مرتبط با آن از قبیلRAID, ILM, FC, iSCSI,SAN, NAS, Zoning, Replication صحبت می کند این دوره برای متخصصان حوزه سیستمی, دانشجویان, مدیران فروش, متخصصان مجازی سازی و … می باشد.

 اهداف دوره:

 این دوره مختص برند EMC نمی باشد و مبانی های مشترک مورد نیاز همه سیستم های ذخیره سازی را تحت پوشش قرار می دهد.
1- آشنایی با ساختار سیستم های ذخیره سازی
2- آشنایی با انواع RAID و پارامترهای با اهمیت در انتخاب آن
3- آشنایی با SAN و NAS
4- آشنایی با روش های محافظت از دیتا
5- آشنایی با Lifecycle Management
6- آشنایی با انواع استویج های موجود
7- آشنایی با تکنولوژی های نوین استوریج های امروزی

 مخاطبین دوره:

مديران سیستم های ذخیره سازی,
مدیران سیستم های مجازی سازی,
مدیران دیتابیس,
مدیران فروش,
کارشناسان و دانشجويان فعال در حوزه فناوري اطلاعات

Information Storage, Virtualization, and Cloud Computing
Key Data Center Elements
Compute, Application, and Storage Virtualization
Disk Drive and Flash Drive Components
Performance
RAID
Intelligent Storage System and Storage Provisioning Including Virtual Provisioning

Storage Networking Technologies

Fibre Channel SAN Components, FC Protocol, and Operations
Block Level Storage Virtualization
iSCSI and FCIP as an IP-SAN Solutions
Converged Networking Option: FCoE
Network Attached Storage (NAS): Components, Protocol, and Operations
File-Level Storage Virtualization
Object-Based Storage and Unified Storage Platform

Backup, Archive, and Replication

Business Continuity Terminologies, Planning, and Solutions
Clustering and Multipathing Architecture to Avoid Single Points of Failure
Backup and Recovery: Methods, Targets, and Topologies
Data Deduplication and Backup in Virtualized Environment
Fixed Content and Data Archive
Local Replication in Classic and Virtual Environments
Remote Replication in Classic and Virtual Environments
Three-Site Remote Replication and Continuous Data Protection

Cloud Computing

Characteristics and Benefits
Services and Deployment Models
Cloud Infrastructure Components
Cloud Migration Considerations

Securing and Managing Storage Infrastructure

Security Threats and Countermeasures in various domains
Security Solutions for FC-SAN, IP-SAN, and NAS Environments
Security in Virtualized and Cloud Environments
Monitoring and Managing Various Information Infrastructure Components in Classic and Virtual Environments
Information Lifecycle Management (ILM) and Storage Tiering

Byadmin

شبکه های SDN مبتنی بر VMware NSX

شبکه های SDN مبتنی بر VMware NSX

اولین نرم‌افزار مبتنی بر SDN برای مراکز داده

در سال‌های اخیر، ماشین‌های مجازی به کمک مراکز داده آمده‌اند. با استفاده از مجازی‌سازی، می‌توانید سیستم‌هایی با بارهای کاری متفاوت روی زیرساخت فیزیکی بسازید و به سرعت یک ماشین مجازی را از سروری به سرور دیگر منتقل کنید؛ بدون آنکه وقفه‌ای در سرویس‌دهی آن ایجاد شود. بهره‌وری را افزایش می‌دهید. وضعیت یک ماشین مجازی را ذخیره می‌کنید تا در صورت خرابی آن، به‌سرعت ماشین مجازی را بازیابی کنید. این‌ها تعداد محدودی از فواید مجازی‌سازی هستند. امروزه، استفاده از مجازی‌سازی در مرکز داده اجتناب‌ناپذیر است. به دلیل همین استقبال گسترده و سودمندی آن، مفهوم SDN یا شبکه‌های نرم‌افزارمحور ایجاد شد. شرکت «VMware» با محصول خود با نام «NSX» تمامی مرزهای مجازی‌سازی را از نو تعریف کرد و مفهوم SDN واقعی را در مقیاس بزرگ برای همگان آشنا ساخت.

شبکه‌های نرم‌افزارمحور (Software-Defined Networks) گونه‌ جدیدی از سیستم مدیریت شبکه هستند که شبکه را به دو قسمت سطح مدیریتی و سطح ارسال داده تقسیم می‌کنند. در این نوع شبکه‌ها، سطح مدیریتی مسئولیت کنترل و برنامه‌ریزی برای پیاده‌سازی در سطح ارسال را بر عهده دارند. از سطح ارسال با نام Forwarding Plane نیز یاد می‌شود که مسئولیت هدایت ترافیک به سمت مقصد را عهده‌دار است. SDN باعث می‌شود نمایی متمرکز از شبکه به دست آورید. یکی از معروف‌ترین پروتکل‌هایی که در شبکه‌های نرم‌افزارمحور استفاده می‌شود، پروتکل OpenFlow است.
NFV) Network Functions Virtualization) نیز حوزه جدیدی در شبکه است که با کمک آن می‌توان المان‌های شبکه را به صورت مجازی و نرم‌افزاری پیاده‌سازی کرد. منظور از المان، دستگاه‌های سخت‌افزاری هستند که مجزا پیاده‌سازی می‌شدند؛ دستگاه‌هایی مانند دیواره آتش، مسیریاب، سوییچ، Load Balancer و مانند این‌ها. بدیهی است خرید و پیاده‌سازی هر کدام از این تجهیزات، هزینه‌بر، زمان‌بر و نیازمند به نیروی متخصص است. به همین دلیل NFV به کمک مدیران شبکه آمده است تا هزینه‌ها و پیچیدگی‌های خود را کاهش دهند. NFV مکمل شبکه‌های نرم‌افزارمحور است. شرکت VMware، با استفاده از این دو تکنولوژی محصولی با نام NSX را روانه بازار کرده است. این محصول مزایای هر دو تکنولوژی شبکه‌های نرم‌افزارمحور و NFV را با هم دارد. در سال ۲۰۱۲ شرکت VMware، شرکتی با نام «Nicira» را خریداری کرد که بر روی مجازی‌سازی شبکه و شبکه‌های نرم‌افزارمحور فعالیت می‌کرد و تولد این پروژه به آن زمان بازمی‌گردد.

وظیفه اصلی NSX، ایجاد و مدیریت شبکه‌ای مجازی است. همان‌گونه که با استفاده از بستر مجازی‌سازی می‌توان ماشین مجازی را ایجاد، ذخیره، حذف و بازیابی کرد، با استفاده از NSX نیز می‌توان شبکه‌ای مجازی را ایجاد، ذخیره، حذف و بازیابی کرد. نتیجه این کار، مرکزداده‌ای با انعطاف‌پذیری بسیار زیاد در ارتباطات است که در کمترین زمان می‌تواند تنظیمات متفاوتی را پیاده کند؛ یک مسیر را حذف کند، مسیر جدید بسازد، لینک پشتیبان ایجاد کند و مانند این‌ها. با استفاده از NSX، سخت‌افزار فعلی تنها چیزی است که برای پیاده‌سازی یک مرکزداده مبتنی بر نرم‌افزار نیازمندید.
در حال حاضر دو نسخه متفاوت از NSX وجود دارد. اولین نسخه NSX for vSphere است که برای استفاده از محیط vSphere مناسب است. نسخه دوم، NSX for Multi-Hypervisor است که مناسب محیط‌های ابری همانند اپن‌استک (OpenStack) است. شکل یک، مقایسه دو رویکرد مجازی‌سازی شبکه و بستر مجازی‌سازی برای ساخت ماشین مجازی را نشان می‌دهد. همان‌طور که در سمت چپ این شکل نشان داده شده است، در مجازی‌سازی سخت‌افزاری، یک مجازی‌ساز روی سخت‌افزار نصب می‌شود. در لایه بالاتر، به صورت نرم‌افزاری و منطقی ماشین مجازی ساخته می‌شود که همان ویژگی‌های سخت‌افزار را از خود نشان می‌دهد و به‌راحتی می‌توان مشخصات سخت‌افزاری یک ماشین را تغییر داد. در سمت راست شکل ۱، نحوه عملکرد NSX نشان داده شده است. NSX شامل یک پلتفرم مجازی‌ساز شبکه است که ویژگی‌های یک شبکه را شبیه‌سازی می‌کند. بر روی این پلتفرم، شبکه‌های مجازی قرار می‌گیرد و از طریق این شبکه‌های مجازی می‌توان سرویس‌های لایه دو تا لایه هفت ارائه داد. سرویس‌هایی مانند سویچینگ، مسیریابی، دیواره آتش، کیفیت خدمات (QoS) و توازن بار شبکه.

شبکه های SDN مبتنی بر VMware NSX

شبکه های SDN مبتنی بر VMware NSX

  شکل ۱٫ مقایسه دو رویکرد متفاوت در مجازی‌سازی

اجزای NSX
NSX چهار جزء دارد. این اجزا در شکل ۲ نشان داده شده‌اند که شامل این اجزا می‌شود:
۱٫ Cloud Consumption
۲٫ Management Plane
۳٫ Control Plane
۴٫ Data Plane

شبکه های SDN مبتنی بر VMware NSX

  شکل ۲٫ اجزای NSX

در ادامه به بررسی بیشتر این اجزا و راهکار شبکه های SDN مبتنی بر VMware NSX می‌پردازیم.

۱-Cloud Consumption
CMP) Cloud Management Platform)  که در شکل نشان داده شده است، طبق گفته VMware از اجزای اصلی نیست، اما به دلیل اینکه از طریق REST APIهای NSX می‌توان به صورت مجازی آن را با هر CMPای یکپارچه کرد، آن را یکی از اجزای NSX به حساب می‌آورند. طبق ادعای VMware از طریق API این لایه، به‌راحتی می‌توان ماژول‌های خاص NSX برای هر محیط ابری‌ای را ایجاد کرد. به گفته این شرکت، در حال حاضر NSX برای یکپارچه شدن با VMware vCloud Automation Center، vCloud Director و اپن‌استک آماده است. این شرکت، این ویژگی را out-of-box integration نامیده است. برای ارتباط با اپن‌استک از طریق پلاگینی که برای Neutron وجود دارد، می‌توان NSX را با اپن‌استک یکپارچه کرد.

۲- Management Plane
این قسمت شامل NSX Manager می‌شود. قسمتی که به کمک آن می‌توانید شبکه را به صورت متمرکز مدیریت کنید. اکثر صاحب نظران این قسمت را همان سطح مدیریتی در SDN می‌دانند که به آن اشاره شد. با NSX Manager، می‌توان به «Single point of configuration» دست یافت. در شکل ۳، کنسول NSX Manager نشان داده شده است که از طریق مرورگر قابل دسترسی است.

شبکه های SDN مبتنی بر VMware NSX

  شکل ۳٫ کنسول NSX Manager

NSX Manager به صورت یک ماشین مجازی در vCenter اجرا می‌شود و برای نصب و راه‌اندازی نیز باید از طریق OVF installation اقدام و تنظیمات مربوط به آن انجام شود. به گفته VMware برای هر vCenter تنها یک NSX Manager می‌توان داشت. در صورتی که چندین vCenter مجزا داشته باشید و بین آن‌ها ارتباط برقرار کرده باشید، محیط Cross vCenter ایجاد کرده‌اید. معمولاً در چنین محیطی یک NSX Manager اصلی و چندین NSX Manager ثانویه وجود دارد. در چنین محیطی حداکثر یک NSX Manager اصلی و هفت عدد ثانویه می‌توان داشت. وظیفه NSX Manager اصلی، ایجاد قوانین برای سوییچ‌ها، مسیریاب‌ها و دیواره‌های آتشِ منطقی در سطح کل محیط Cross vCenter است. وظیفه ثانویه‌ها نیز مدیریت سرویس‌های شبکه در سطح محلی و مخصوص به هر vCenter است.

۳- Control Plane
Control Plane نیز از NSX Controller Cluster تشکیل شده است. همان‌طور که از نام این کنترلر مشخص است، یک سیستم توزیع‌شده مدیریتی است که وظایف مدیریتی سوییچ‌ها و مسیریاب‌های منطقی را انجام می‌دهد. از این  کنترلر هیچ‌گونه ترافیکی عبور نمی‌کند و خراب شدن آن، Data Plane و جریان ترافیک عبوری را تحت تأثیر قرار نمی‌دهد.
NSX Controller اطلاعات شبکه را به هاست‌ها ارسال می‌کند. اطلاعاتی که از NSX Controller به سایر قسمت‌ها ارسال می‌شود، اهمیت بسیار زیادی دارد؛ زیرا اگر اطلاعات اشتباه فرستاده شود، تنظیمات شبکه به هم خواهد ریخت و کل شبکه از کار خواهد افتاد. به همین دلیل باید احتمال خرابی را کاهش داد. VMware برای حل این مشکل، از ساده‌ترین روش برای افزایش افزونگی (Redundancy) استفاده کرده است. در این روش، به جای پیاده‌سازی یک NSX Controller، باید سه NSX Controller پیاده‌سازی شده و بین دستورات آن‌ها رأی‌گیری شود. اگر دستور یا فرمانی حداقل دو رأی را به خود اختصاص دهد، اجرا خواهد شد و این‌گونه، خرابی یک NSX Controller مشخص شده و از اجرای دستورات اشتباه جلوگیری می‌شود. در صورتی که از دو NSX Controller استفاده شود، اگر جواب‌های آن‌ها با هم متفاوت باشد، نمی‌توان جواب صحیح را تشخیص داد و مشکل «Split-Brain scenario» به وجود می‌آید. با پیاده‌سازی این کلاستر که شامل سه کنترلر است، به High Availability نیز دست خواهید یافت. برای اطلاع از تکنیک‌های افزایش افزونگی و آشنایی با روش‌های آن، به کتاب Design and Analysis of Fault-Tolerant Digital Systems نوشته Barry W.Johnson رجوع کنید.
در هر کلاستر، یک نود به عنوان NSX Controller اصلی وجود دارد. در صورتی که یک NSX Controller اصلی دچار خرابی شود، در کلاستر مربوطه نود دیگری برگزیده شده و به عنوان NSX Controller اصلی شناخته می‌شود. سایر نودهای موجود در کلاستر، باید با آن هماهنگ باشند و دائماً همگام‌سازی اتفاق افتد.

۴- Data Plane
Data Plane شامـــل NSX vSwitch اســـت کـــه بـــر اســــاس VDS) vSphere Distributed Switch) کار می‌کند. کرنل ماژول‌های NSX، userspace agent، فایل‌های تنظیمات و اسکریپت‌های نصب در VIBها گنجانده شده‌اند و پس از نصب، با کرنل vSphere اجرا می‌شوند تا سرویس‌هایی همچون مسیریابی توزیع‌شده، دیواره آتش منطقی و VXLAN bridging فعال شوند. شکل ۴ تصویری از vSphere web client پس از نصب NSX است. پس از نصب، در قسمت Inventory آیکونی به نام Networking and Security اضافه می‌شود. پس از کلیک بر روی این آیکون، به صفحه اصلی NSX هدایت می‌شوید. این صفحه در شکل ۵ نشان داده شده است.

شبکه های SDN مبتنی بر VMware NSX

  شکل ۴٫ اضافه شدن آیتم جدید در vSphere Inventory

شبکه های SDN مبتنی بر VMware NSX

  شکل ۵٫ صفحه اصلی NSX

VIB، مخفف عبارت vSphere Installation Bundle، عملکردی تقریباً شبیه به فایل‌های ZIP دارد، با این تفاوت که این فرمت برای vSphere است. VXLAN نیز مخفف Virtual Extensible LAN است. VXLAN یک تکنولوژی مجازی‌سازی شبکه بوده و برای حل مشکلات مقیاس‌پذیر نبودن شبکه ایجاد شده است. VXLAN از تکنیک‌های کپسوله کردن (مانند VLAN) استفاده می‌کند تا فریم‌های اترنت لایه دو OSI را که بر اساس مک آدرس هستند، در بسته‌های لایه چهار UDP قرار دهد. برای اطلاعات دقیق‌تر در این خصوص می‌توانید به RFC7348 مراجعه کنید.
برخی از مزایای استفاده از NSX vSwitch به این شرح است:
پشتیبانی از Overlay با استفاده از پروتکل‌هایی مانند VXLAN و انجام تنظیمات شبکه به صورت متمرکز
تسهیل پیاده‌سازی تعداد زیادی ماشین مجازی
قابلیــت‌هــایـــی همچـــون Port Mirroring، NetFlow/IPFIX، LACP، پشتیبان‌گیری و بازیابی تنظیمات کل شبکه، بررسی سلامت شبکه، کیفیت خدمات (QoS)، ابزارهای کارآمد و بسیار مفید برای مدیریت و نظارت ترافیک و در نهایت عیب‌یابی شبکه
صحبت درباره این نرم‌افزار، محدود به مباحث مذکور نمی‌شود و مسائل مربوط به آن، به اندازه‌ای بزرگ و پیچیده هستند که کتاب‌های متفاوت برای تشریح آن‌ها نوشته شده است. به همین دلیل قصد داریم با مثالی عملی و ساده، توضیحات ساده‌تری ارائه دهیم.

یک سناریو ساده
یکی از قابلیت‌های NSX، دیواره آتش است. تجهیزات موجود در این سناریو و ارتباطات شبکه آن در شکل ۶ نشان داده شده است. دو عدد سوییچ Cisco 2960 ToR در رک، دو عدد سوییچ Cisco X4748 در لایه Aggregation، دو عدد دیواره آتش سخت‌افزاری، چند عدد سرور و دو ماشین مجازی موجود هستند. ToR مخفف عبارت Top of Rack و به معنای بالا رک است.

شبکه های SDN مبتنی بر VMware NSX

  شکل ۶٫ تجهیزات موجود قبل از پیاده‌سازی NSX

مهندسان شبکه قصد دارند از طریق دیواره آتش، ترافیک لایه سه را محدود کنند. در این حالت این موارد رخ خواهند داد:
۱٫ مهندسان شبکه باید خود را درگیر قوانین سخت برای مهندسی ترافیک کنند.
۲٫ ممکن است دیواره آتش باعث ایجاد گلوگاه شود.
۳٫ با بیشتر شدن وسعت شبکه، باید تعداد دستگاه‌های دیواره آتش بیشتری خرید و این موضوع باعث افزایش هزینه‌های سخت‌افزار (هزینه‌های Capex) می‌شود.
۴٫ در صورت نفوذ به دیواره آتش، می‌توان به ترافیک کل شبکه دسترسی پیدا کرد.
۵٫ این گونه ساختار پهنای باند زیادی مصرف می‌کند و کارایی شبکه را پایین خواهد آورد. برای مورد شماره پنج، شکل ۷ را در نظر بگیرید. در این شکل ماشین مجازی شماره یک که با رنگ سبز مشخص شده است، آی‌پی آدرس ۱۰٫۱٫۰٫۵/۲۴ را دارد و قصد دارد با ماشین مجازی شماره دو که با رنگ بنفش مشخص شده و دارای آدرس آی‌پی ۱۰٫۲٫۰٫۸/۲۴ است، ارتباط برقرار کند برای برقراری ارتباط با ماشین مجازی شماره دو، ترافیک ماشین مجازی یک باید از سوییچ‌های ToR عبور کند و سوییچ Cisco X4748 را پشت سر بگذارد تا به دیواره آتش برسد. پس از آنکه به دیواره آتش رسید، ترافیک دریافتی بررسی شده و مشخص می‌شود که اجازه دسترسی را ندارد و ترافیک ارسالی مسدود می‌شود.

شبکه های SDN مبتنی بر VMware NSX

  شکل ۷٫ برای بررسی ترافیک، باید از مسیر طولانی گذشت

برخی از تولیدکنندگان تجهیزات شبکه، محصولاتی تولید کرده‌اند که ترافیک یک ماشین مجازی به یک ماشین مجازی دیگر را مانیتور کنند و مسیری را که این ترافیک طی می‌کند تا بررسی شود، کوتاه‌تر کرده‌اند، اما هنوز مشکل هدررفت پهنای باند برای این موضوع باقی است.
NSX قابلیتی با نام (Distributed Firewall (DFW دارد که یک دیواره آتش توزیع‌شده است. این قابلیت، در هنگام نصب پلاگین NSX Manager vCenter فعال می‌شود. یکی از مزایای اصلی این قابلیت این است که دیواره آتش به سطح ماشین مجازی آورده شده است؛ به این معنی که هر بسته‌ای که از ماشین مجازی خارج شود یا بخواهد داخل شود، در بدو خروج یا ورود DFW آن را بررسی می‌کند. مطابق شکل ۸، تفاوت این ساختار با ساختار سنتی این است که DFW می‌داند ماشین مجازی شماره یک مجاز نیست به ماشین مجازی شماره دو ترافیک ارسال کند. پس ترافیک آن را در لحظه خروج از ماشین مجازی بررسی می‌کند و اجازه وارد شدن به بستر شبکه را نمی‌دهد. با این رویکرد ترافیک غیرضروری از شبکه حذف شده و کارایی آن بیشتر می‌شود؛ با وجود اینکه برای خرید سخت‌افزار و نگهداری آن هزینه‌ای نشده است.

شبکه های SDN مبتنی بر VMware NSX

  شکل ۸٫ بررسی ترافیک پس از خروج از ماشین مجازی

در صورتی که ماشین مجازی خود را از سروری به سرور دیگر جابه‌جا کنید، ممکن است ساختار شبکه در سرور جدید متفاوت باشد و ترافیک شما از دیوار آتش سخت‌افزاری برای بررسی شدن عبور نکند یا نیاز به تغییرات جدید بر روی دیواره آتش سخت‌افزاری خود داشته باشید. حال با استفاده از NSX DFW، تمام قوانین و سیاست‌هایی که برای ترافیک یک ماشین مجازی تعریف کرده‌اید، با جابه‌جایی آن از قسمتی به قسمت دیگر، همراه ماشین مجازی منتقل می‌شود و از ساختار فیزیکی شبکه شما تبعیت نمی‌کند.

سخن آخر
شرکت VMware که محصولات بسیاری در خصوص مجازی‌سازی دارد، این بار نیز توانسته است با مجازی‌ساز جدیدی که شبکه را مجازی‌سازی می‌کند، به بهبود کارایی و علمکرد شبکه در مرکز داده کمک فراوانی کند. NSX، مثال بارزی از ترکیب شبکه‌های مبتنی بر نرم‌افزار و NFV است. با استفاده از NSX می‌توانید به SDDC) Software Defined Data Center) دست یابید و هزینه‌های ثابت و حتی متغیر خود را کاهش دهید. بحث و تبادل نظر در خصوص این نرم‌افزار بسیار جالب و مفید، به همین نقطه ختم نمی‌شود. تمام مواردی که ذکر شد، پیش درآمدی بر این نرم‌افزار و بررسی دقیق ساختار و قابلیت‌های آن خارج از بحث این مقاله است. در نگاه اول، این نرم‌افزار بسیار مفید است، اما هنوز پرسش‌هایی در ذهن ما وجود دارند که برای پاسخ به آن‌ها باید بیشتر بر روی نحوه کار این نرم‌افزار تحقیق شود. اول اینکه هرچقدر شبکه مجازی باشد، قطعاً نیاز به عبور ترافیک از زیرساخت فیزیکی را خواهد داشت. حال برای اینکه بار ترافیک بر روی یک لینک فیزیکی زیاد نباشد، چه تمهیداتی در نظر گرفته شده است؟ آیا این نرم‌افزار می‌تواند بار لینک فیزیکی را تشخیص دهد؟ چگونه نزدیک‌ترین مسیر منطقی برای رسیدن به یک آدرس را پیدا می‌کند و مشخصات فیزیکی را در نظر خواهد گرفت؟ ممکن است سؤالاتی از این قبیل، برای شما نیز اهمیت فراوانی داشته باشد. به همین سبب پیشنهاد می‌کنیم برای پیاده‌سازی NSX اطلاعات بیشتری کسب کنید و شرایط فیزیکی شبکه خود را در نظر داشته باشید.

گروه فنی و مهندسی وی سنتر ارائه دهنده راهکارهای جامع مجازی سازی آمادگی خود را برای تامین نیازهای مشتریان در این حوزه اعلام می دارد.

تلفن: 88884268 – 021

Byadmin

مجازی سازی شبکه با VMware NSX و امنیت آن

مجازی سازی شبکه با VMware NSX و امنیت آن

مجازی سازی شبکه با VMware NSX و امنیت آن

مجازی سازی شبکه با VMware NSX و امنیت آن

شرکت VMware در نمایشگاه امسال VMworld محصول جدید خود NSX را برای “مجازی سازی شبکه” معرفی خواهد کرد.

محصول جدید NSX یک بستر مجازی سازی شبکه است که تمام ساختار شبکه و امنیت آن را به طور نرم افزاری فراهم می آورد.

ایده اصلی بر این اساس است که چون می توان سرویس های لایه 2 تا 7 شبکه را به صورت نرم افزاری اجرا کرد، مهندسی و اجرای شبکه آسان تر می شود.

NSX تنها یک محصول VMware نخواهد بود. NSX قادر خواهد بود تا با hypervisor های دیگر و محیط های ابری (cloud) نظیر Amazon و OpenStack ادغام شود. همچنین NSX با شبکه های فیزیکی و سرویس های شبکه سازگار خواهد بود.

NSX مجموعه یکپارچه ای از امکانات شبکه و امنیت را ارائه می دهد. امکاناتی نظیر نظارت متمرکز، حذف سخت افزار، تامین امنیت، آسان سازی عملیات اجرایی شبکه و …

NSX توجه فعالان حوزه امنیت و شبکه را نیز به خود جلب کرده است. با آنکه این محصول تا اوایل زمستان امسال به بازار عرضه نخواهد شد، ولی از هم اکنون شرکت های بزرگی نظیر F5, Fortinet ,McAfee و Juniper حمایت خود و سازگاری محصولات خود را تحت بستر جدید NSX اعلام کرده اند.

نباید شک داشت که در آینده شبکه های مرکز داده و امنیت آنها طبق دیدگاهی که شرکت VMware در NSX طراحی و گنجانده است، در خواهند آمد. ولی نباید هم تردید داشت که شرکت VMware راه طولانی و دشواری برای معرفی و تبدیل NSX به یک راهکار رایج برای شبکه های سازمانی پیش رو دارد.

از جمله موانعی که VMware برای جا انداختن NSX با آنها روبرو خواهد بود، می توان به موارد زیر اشاره کرد.

* جدا بودن پرسنل بخش های مختلف شبکه. برای بکارگیری NSX مدیران شبکه باید آمادگی ادغام و یکپارچه سازی بخش های مختلف شبکه، نظر بخش سرور، بخش شبکه و بخش امنیت را داشته باشند.

* محدودیت دانش و تجربه در حوزه مجازی سازی. یافتن کارشناس شبکه و یا کارشناس امنیت که در NSX تجربه و مهارت داشته باشد، برای مدت های طولانی، امری دشوار خواهد بود.

* تغییر عادت و سنت شکنی. مدتهاست که محصولات امنیتی نظیر دیواره آتش و نفوذیاب (IDS/IPS) به صورت نسخه های مجازی در بازار وجود دارند ولی سازمانها چندان از این نسخه های مجازی استفاده نمی کنند. همچنین این مشکل برای سوئیچ های مجازی هم صادق است.

برای رونق گرفتن NSX، مدیران شبکه باید حاضر به برداشتن قدم های بزرگی باشند؛ فناوری های نوین در حوزه پردازش موازی و همزمان را بپذیرند و حاضر به قبول تغییرات سازمانی و عملیاتی باشند. در مقابل، انعطاف پذیری، کارآمدی و چابکی نرم افزار بالاخره گزینه “شبکه و امنیت مجازی” را تبدیل به آنچنان گزینه قوی خواهد کرد که نتوان آن را نادیده گرفت.

 

 

 

 

Byadmin

معرفی محصول VMware NSX

معرفی محصول VMware NSX

معرفی محصول VMware NSX

معرفی محصول VMware NSX

VMware NSX یک Platform مجازی سازی شبکه ای است که برای مراکز داده نرم افزاری ( مجازی سازی شده )، مدل کاری ماشین مجازی را برای انواع شبکه ها به ارمغان می آورد. با استفاده از NSX امکانات شبکه ای از جمله .Routing, Switching, Firewalling درون Hypervisor نهفته می شود و ازین طریق در تمام محیط توزیع می شود. NSX و شیوه ی کارکرد آن به طور موثر Network Hypervisor می سازد که می تواند به عنوان پایه ای برای شبکه ها و سرویس های مجازی عمل کند. همانند شیوه کاری ماشین های مجازی ، شبکه های مجازی نیز برنامه نویسی شده تدارک دیده شده اند و به صورت اصولی مستقل از سخت افزار قرار گرفته اند. NSX تمامی شبکه را در محیط نرم افزاری ( مجازی سازی ) دوباره سازی می کند، فعال کردن هر توپولوژی شبکه چه ساده باشد و چه پیچیده و چند لایه تنها چند ثانیه زمان می برد. کاربران می توانند با استفاده از پیش نیاز های متنوع و گوناگون، اعمال نفوذ و ترکیب سرویس هایی که NSX در اختیارشان قرار می دهد، شبکه های مجازی مختلفی بسازند که به ذات ایمن تر باشند.

قابلیتهای نرم افزار

1- برقراری امنیت به ازای هر حجم کاری به کوچک ترین اندازه ممکن
2- کاهش زمان ارائه شبکه از روزها به چندین ثانیه و بهینه سازی عملیات ها از طریق اتوماتیک کردن آنها
3- قابلیت انتقال حجم کاری مستقل از توپولوژی شبکه فیزیکی بین دیتا سنتر ها
همچنین این محصول قابلیت هایی را ارائه کرده است که در زیر به شرح آن پرداخته شده است:

4- Switching
ترافیک لایه منطقی دو در شبکه با داشتن این ویژگی تحت لایه سه منتقل می شود.

5- Routing
عملیات مسیر یابی بین شبکه های مجازی به صورت توزیع شده در هسته ی Hypervisor انجام می شود. Static Routing ها و پروتکل های Dynamic مسیر یابی مانند پروتکل هایی از جمله (OSPF, BGP) را پشتیبانی می کند.

6- Distributed Firewalling
یک Firewall توزیع شده که در Hypervisor Kernel برای ظرفیت تا ۲۰Gbps ازگنجایش Firewall به ازای هر هاست Hypervisor قرار گرفته است. همچنین پشتیبانی از Active Directory و پایش فعالیت ها از ویژگی های این محصول است. به علاوه NSX می تواند توسط NSX Edge قابلیتNorth-South Firewall را نیز فراهم کند.

7- VPN
دارای قابلیت Tunneling سایت- به-سایت و ایجاد دسترسی Remote، VPN و همچنین VPN مدیریت نشده برای سرویس های Cloud Gateway است.

8- NSX Gateway
پشتیبانی برایارتباط VXLAN و VLAN که باعث یک اتصال ساده به حجم کاری فیزیکی می شود.

9- Cross vCenter Networking and Security
راه اندازی شبکه و تامین امنیت آن در vCenter و دیتا سنتر بدون توجه به توپولوژی فیزیکی باعث بوجود آمدن توانایی هایی از جمله Disaster Recovery و بوجود آمدن دیتا سنتر های Active-Active می شود.

 

 

 

Byadmin

ساختار بسیار جامع HPE Synergy

ساختار بسیار جامع HPE Synergy

HPE Synergy

Hewlett Packard Enterprise has developed a new type of “composable’ hardware that it claims will cut data center costs and slash the time it takes to spin up new applications.

Called HPE Synergy, it combines storage, compute and network equipment in one chassis, along with management software that can quickly configure the hardware automatically to provide just the resources needed to run an application, HPE said.

“HPE Synergy’s unique built-in software intelligence, auto discovery capabilities and fluid resource pools enable customers to instantly boot up infrastructure ready to run physical, virtual and containerized applications,” the company said.

Industry analysts who saw an early version of the product said they were largely impressed. But a lot depends on HPE’s ability to communicate the benefits to potential customers and deliver on the functionality it’s promising. It says Synergy will ship in the second quarter of next year, and it won’t release pricing until then.

HPE SynergyHPE
Five racks of HPE Synergy servers

The basic hardware is a frame 10 rack units high (17.5 inches) that can be ordered with various amounts of compute and storage. The frame also houses appliances that run the management software, including Synergy Composer and Synergy Image Streamer. Four frames can be stacked in a rack, and several racks can be lashed together.

Much of what’s new lies in the software, which provides the smarts to discover and assemble the pools of compute and storage. Detailed configurations for particular applications are saved as templates and deployed through Composer. When a template is launched, it configures the hardware programmatically, without human intervention, according to HPE, reducing the chance for errors and speeding up the process. The management software can can also store OS images and apply them when a server is configured, automating that process as well.

If a template for a configuration doesn’t exist, HPE developed a “unified API” that handles functions like the BIOS configuration, storage provisioning and other tasks to set up the hardware. If a dev ops team wants to start testing a new app, the unified API lets them type a single line of code to configure the system they need, according to HPE. That allows developers to work more quickly and prevents IT from being the bottleneck, the company says.

Richard Fichera, a principal analyst at Forrester Research, said Synergy should greatly reduce the time it takes IT departments to provision new systems.

“It solves a lot of the fundamental problems in provisioning the physical layer, for what is increasingly a dynamic infrastructure world,” said Fichera, who was director of HP’s blade systems strategy before joining Forrester five years ago.

The idea of a composable infrastructure isn’t new, said Gartner analyst Paul Delory, noting that Cisco uses the term to describe its UCS M Series servers. But HPE appears closest to delivering on its potential, he said — with the caveat that Synergy is still months from release. “I think what they’ve done is innovative,” he said.

HPE is aiming the product initially at large enterprises that want the flexibility of a cloud infrastructure but don’t want to move applications in the cloud, perhaps for security or compliance reasons. It’s eyeing big companies in areas like finance, healthcare and insurance as good candidates.

Synergy is the next step in the evolution of converged systems, in which customers buy a preconfigured, virtualized infrastructure. But converged systems are limited by the physical hardware in the box, says Paul Durzan, HPE vice president for Infrastructure Management and Orchestration Software.

“When you buy your resources, you’re buying a physical boundary. So if you run out of storage but not compute, you have to buy another box,” he said. Synergy solves the problem of stranded resources, Durzan says, because unlike converged systems, there are no fixed ratios of storage to compute; with Synergy, all capacity can be used, even if that means tapping storage modules two racks over.

The systems can still be virtualized, and HPE says it’s working with VMware, Microsoft, Puppet, Ansible and Chef to provide access to the Synergy API through their virtualization and automation tools.

“With Chef, for instance, you take these configuration templates and you essentially serve it up as a library into Chef,” Durzan said.

Synergy could enable companies to streamline purchase processes, Fichera said, because they’ll no longer need to order new hardware against specific application or capacity requirements; Synergy provides them greater flexibility to configure systems after they’re installed.

It’s a stepping stone on the way to a more fully composable system, which might allow individual processors and memory chips to be programatically assembled. That capability is limited today by Intel’s Xeon server processors, but when high-speed silicon photonic interconnects become a reality, servers may eventually become disaggregated down to the individual chip level, said IDC analyst Jed Scaramella.

Customers are interested in the concept of composable systems, he said, though many don’t know the name. He thinks Synergy will appeal initially to blade server customers, of which HPE has a lot. “Then they can go after Cisco and UCS,” he said.

“There will be some education barriers,” Fichera said, “but this is not a technology that people need to be convinced is good for them.”

Byadmin

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

مقدمه :

Firewall در فرهنگ كامپيوتر يعني محافظت از شبكه هاي داخلي در مقابل شبكه هاي خطاكار . معمولا يك شبكه كامپيوتري با تمام دسترسي ها در طرف و در طرف ديگر شما شبكه توليدات شركت را داريد كه بايد در مقابل رفتارهاي مخرب محافظت شود. چند سوال مطرح مي شود كه آيا واقعا نياز به محافظت از يك شبكه داخلي داريم و سوال ديگر اينكه چگونه از طريق يFirewall در فرهنگ كامپيوتر يعني محافظت از شبكه هاي داخلي در مقابل شبكه هاي خطاكار .

 

معمولا يك شبكه كامپيوتري با تمام دسترسي ها در طرف و در طرف ديگر شما شبكه توليدات شركت را داريد كه بايد در مقابل رفتارهاي مخرب محافظت شود. چند سوال مطرح مي شود كه آيا واقعا نياز به محافظت از يك شبكه داخلي داريم و سوال ديگر اينكه چگونه از طريق يك شبكه عمومي مانند اينترنت به آن دسترسي داشته باشيم .

دليل بسيار ساده اي دارد ؟ كه آن نياز به بقاء و رقابت است . اعتبار كمپانيها در اينترنت به تبليغات توليداتشان مي باشد . اينترنت به صورت شگفت انگيزي در حال رشد است .

مانند يك فروشگاه بسيار بزرگ بيشتر مردم به طرف اينترنت مي آيند وهمانطوريكه در يك فروشگاه بايد محصولات سالم باشند و بعد از فروش گارانتي بشوند اطلاعات و داده و انتقالات آنها نيز بايد به صورت امن و گارانتي شده باشد .

حال بايد مكانيزمهايي براي حفاظت از شبكه داخلي يا اينترنت شركت در مقابل دسترسي هاي غير مجاز ارائه دهيم

 

Firewall هاي مختلفي با ساختارهاي مختلف وجود دارد ولي عقيده اصلي كه پشت آنها خوابيده يكسان است . شما به شبكه اي نياز داريد كه به كاربرانتان اجازه دسترسي به شبكه هاي عمومي مانند اينترنت را بدهد و برعكس .

مشكل زماني پيش مي آيد كه كمپاني شما بدون در نظر گرفتن معيارهاي امنيت بخواهد به اينترنت وصل شود و شما در معرض دسترسي از طرف Server هاي ديگر در اينترنت هستيد. نه تنها شبكه داخلي كمپاني در مقابل دسترسي هاي غير مجاز آسيب پذير است بلكه تمام Server هاي موجود در شبكه كمپاني در معرض خطر هستند .

بنابراين به فكر محافظت از شبكه مي افتيد و اينجاست كه نياز به يك Firewall احساس مي شود .

به هر حال قبل از فكر كردن درباره Firewall بايد سرويسها واطلاعاتي كه مي خواهيد روي اينترنت در دسترس عموم قرار دهيد مشخص كنيد .

آشكارست كه در ابتدا شما مي خواهيد مطمئن شويد كه سرور شما امن است شما مي توانيد مجوزهاي دسترسي , انتقال فايل و اجراي راه دور و همچنين منع مجوزهاي ورود دوباره , Telnet , Ftp , SMTP وديگر سرويسها . اگر شما بخواهيد از اين سرويسها استفاده كنيد نياز به Firewall داريد

به هر حال Firewall چيست ؟ اساسا يك فايروال جداكننده شبكه هاي امن از ناامن در اينترنت است . Firewall تمام اتصالاتي كه از اينترنت به شبكه هاي محافظت وارد مي شوند را فيلتر مي كند .

قبل از تعريف اينكه چه نوع از Firewall ها بهترين مجموعه براي نيازهاي ماست , ما بايد توپولوژي شبكه را براي تعيين اجزاي آن مانند Hub ها , Switch ها , Router ها و Cabling آناليز كنيم تا بهترين Firewall كه مخصوص اين توپولوژي باشد را پيدا كنيم .

براي ايجاد امنيت در شبكه ما نياز به بررسي شبكه داخلي از لحاظ مدل لايه بندي ISO آن داريم بطوريكه مي دانيد Reapter ها و Hub ها در لايه اول , Switch ها و Bridge ها در لايه دوم و Router ها در لايه سوم , يك Firewall در تمام لايه هاي شبكه مي تواند عمل كند ( از جمله در هر هفت لايه ) لايه ها مسئول پاسخگويي به كنترل و ايجاد نشستها و بكارگيري آنها مي باشند . بنابراين با يك Firewall ما مي توانيم جريان اطلاعات را در طول ايجاد كنترل كنيم .

Firewall ها به ما امكان مديريت دروازه هاي ورود به Web را مي دهد و امكان تمركز روي پروژه اصلي را مي دهد .

 

The purpose of a Firewall

Firewall ها به تنهايي نمي توانند امنيت شبكه را برقرار كنند آنها فقط يك قسمت از سايت شما را امن مي كنند و به منظور امنيت شبكه بايد محدوده اي از شبكه را مشخص كنيد و نياز به اين داريد كه چيزهايي در شبكه كه بايد محدود شوند را تعيين كنيد ويك سياست امن را گسترش دهيد و مكانيسمهايي براي اعمال سياستهاي مورد نظر روي شبكه را ايجاد كنيد البته مكانيسمهايي پشت Firewall ها هستند كه مي توانيد به صورت عجيبي سطح امنيت را بالا ببريد .

اين مكانيسمها بعد از اعمال سياست امنيت مشخص مي شوند و نه قبل از آن . براي ايجاد يك مكانيسم امن براي محافظت از Web Site شما بايد يك Firewall براي نيازهاي خود مشخص كنيد وآن را پياده سازي كنيد.

ايجاد امنيت از سازماني به سازمان ديگر متفاوت است البته اين بستگي به چيزي كه آنها مخواهند توسعه دهند دارد . مثلا Firewall من اختصاصا روي UNIX , NT , Dos كار مي كند . شما دقيقا به بستر اجرايي مورد نظر خود دقت كنيد همانطور كه اجراي پروژه را مشخص مي كنيم بايد سطوح امنيت را نيز مشخص كنيم تا بتوانيم آن را پياده سازي كنيم . اين يك روش براي موفقيت در پياده سازي مكانيسمهاي امنيت است .

Firewall ها علاوه براين كه امنيت واقعي را برقرار مي كنند يك نقش اساسي در مديريت امنيت را پوشش مي دهند .

 

Firewall Role of Protection The

Firewall ها امنيت در شبكه را برقرار مي كنند و ريسك Server هاي روي شبكه را با فيلتر كردن كاهش مي دهند به عنوان مثال : شببكه داراي ريسك كمتري مي باشد به علت اينكه پروتكلهاي مشخص شده روي Firewall مي توانند روي شبكه اعمال وظيفه كنند .

مشكل فايروالها محدوديت آنها در دسترسي به و از اينترنت است و شما مجبور مي شويد كه از Proxy Server استفاده كنيد .

Firewalls Providing Access Control

سرورها مي توانند از بيرون قابل دسترس باشند مثلا كسي ويروسي را با Mail مي فرستند و بعد از اجرا , فايروال را از كار مي اندازد . بنابراين تا جايي كه امكان دارد از دسترسي مستقيم به سرورها جلوگيري كرد .

 

 

 

 

The Security Role of a Firewall

ما مي توانيم به جاي آنكه Server را محدود كنيم يك سرور را با تمام دسترسيهاي ممكن به اينترنت وصل كنيم و Server ديگر را پشت Firewall به عنوان Backup از سرور قبلي داشته باشيم . با هك شدن يا خرابي سرور اولي ما مي توانيم آن را بازيابي كنيم .

روشهاي ديگر براي اعمال امنيت روي شبكه ممكن است موجب تغييراتي روي هر Server شبكه شود ممكن است تكنيكهاي بهتري نسبت به Firewall ها باشد ولي Firewall ها براي پياده سازي بسيار آسان هستند براي اينكه Firewall ها فقط يك نرم افزار مخصوص هستند .

يكي از مزاياي Firewall ها استفاده آنها براي اينكه بتوانيم با Log كردن دسترسي به سايت آمار دسترسيهاي به سايت خود را مشخص كنيم .

 

Advantages and Disadvantages of Firewalls

Firewall ها داراي مزاياي بسياري مي باشند با اين وجود داراي معايب نيز هستند . بعضي از Firewall در مقابل محدود كردن كاربران و درهاي پشتي (Back door ) كه محل حمله هكرها ست كه امنيت ندارند .

 

Access Restrictions

Firewall ها براي ايجاد امنيت بعضي از سرويسها مانند Telnet , Ftp , Xwindow را از كار مي اندازند و اين تنها محدود به فايروالها نمي شود . بلكه در سطح سايت نيز مي شود اين كار را انجام داد .

Back-Door Challenges: The Modem Threat

تا حالا مشخص شد كه امنيت درهاي پشتي كمپاني به وسيله Firewall تامين نمي شود بنابراين اگر شما هيچ محدوديتي در دسترسي به مودم نداشته باشد اين در بازي براي هكرها ست

SLIP , PPP از راههاي ورودي مي باشند و سئوال پيش مي آيد كه اگر اين سرويسها وجود داشته باشند چرا از Firewall استفاده مي كنيم .

Risk of Insider Attacks

ريسك دسترسي اعضاي داخلي .

Firewall Components

Policy

Advanced Authentication

Packet Filtering

Application gateways

Network Security Policy

تصميم براي برپايي يك Firewall در شبكه دو سطحي مي باشد .

Installation , Use of the System

سياستهاي دسترسي به شبكه محدوديتهايي بر روي شبكه در سطح بالا به ما مي دهد . همچنين چگونگي به كارگيري اين سرويسها را نيز مشخص مي كند .

Flexibility Policy

اگر شما به عنوان گسترش دهنده يك سياست دسترسي به اينترنت يا مدير Web و سرويسهاي الكترونيكي معمولي هستيد اين سياستها به دلايل زير بايد انعطاف پذير باشند

اينترنت هر روز با سرعت غير قابل پيش بيني رشد مي كند . وقتي اينترنت تغيير تغيير مي كند سرويسهاي آن نيز تغيير مي كند . بنابراين سياستهاي كمپاني بايد تغيير كند و شما بايد آماده ويرايش و سازگار كردن اين سياستها بدون تغيير در امنيت اوليه باشد .

كمپاني شما داراي ريسكهاي متغير با زمان است و شما بايد در مقابل اين ريسكها امنيت پردازشها را تامين كنيد .

 

Service-Access Policy

سياستهاي دسترسي بايد روي ورودي كابران متمركز شود .

 

Advanced Authentication

با وجود استفاده از Firewall بسياري از نتايج بد در مورد امنيت از پسوردهاي ضعيف و غير قابل تغيير ناشي مي شوند .

پسوردها در اينترنت از راههاي زيادي شكسته مي شوند بنابراين بهترين پسوردها نيز بي ارزشند .

مسئله اين است كه پسوردهايي كه بايد با يك الگوريتم خاصي ساخته شوند مي توان با آناليز سيستم به پسوردها والگوريتم استفاده شده پي برد مگر اينكه پسوردها بسيار پيچيده باشند.يك كركر مي تواند با برنامه خود پسورد تعدادي از كاربران را امتحان كرده و با تركيب نتايج ساختار كلي الگوريتم استفاده شده را بدست آورد و پسورد كاربران مختلف را مشخص كند.

همچنين بايد فراموش نكرد كه بعضي از سرويسهاي TCP , UDP در سطح آدرس سرور هستند و نيازي به كاربران خاص خود ندارند .

به عنوان مثال يك هكر مي تواند آدرس IP خود را با سرور يك كاربر معتبر يكسان كند واز طريق اين كاربر يك مسير آزاد به سرور مورد نظر باز كند و اين كابر به عنوان يك واسط بين دو سرور عمل مي كند .

هكر مي تواند يك درخواست به كابر داده واين كاربر از سرور خود اطلاعات را به سرور هكر انتقال مي دهد.اين پروسه به عنوان IP Spoofing مي باشد.

بيشتر روترها بسته هاي مسير يابي شده منبع را بلاكه مي كنند و حتي مي توانند آنها از فيلتر Firewall بگذرانند.

 

 

Packet Filtering

معمولا IP Packet Filtering در يك روتر را بريا فيلتر كردن بسته هايي كه بين روترها مياني جابجا مي شوند به كار مي برند اين روترها بسته هاي IP را براساس فيلدهاي زير فيلتر مي كنند .

 

Source ip address

Destination ip address

Tcp/Udp source port

Tcp/Udp destination port

 

 

 

 

Byadmin

تکنولوژی نوین کدهای مخرب

تکنولوژی نوین کدهای مخرب

تکنولوژی نوین کدهای مخرب

تکنولوژی نوین کدهای مخرب

شاید 15 سال پیش، هیچ كس گمان نمی‌كرد كه كد‌هاي مخرب تا اين حد در ساده‌ترين كار‌هاي روزمره ما نيز دخالت كنند.

آن روز‌ها وقتي يك ويروس جديد طراحي و خلق مي‌شد، انتشار آن، هفته‌ها و يا حتي ماه‌ها طول مي‌كشيد؛ چرا كه يك فلاپي ديسك مي‌تواند وسيله‌اي سريع براي انتشار ويروس‌ها نباشد!!

فناوري‌هاي مورد استفاده براي حفاظت سيستم‌ها در برابر اين ويروس‌هاي ماقبل تاريخ بسيار ساده و ابتدايي بودند، درست هماهنگ با فناوري‌هاي مورد استفاده براي طراحي، خلق و انتشار اين ويروس‌ها.

بنابراين در آن زمان، تعدادي روش محدود و ابتدايي براي مقابله با تهديدات رايانه اي و قابل قبول بودن سطح شرايط ايمني سيستم‌ها كفايت مي‌نمود.

اما اكنون ساختار و نحوه طراحي ويروس‌ها بسيار پيچيده‌تر شده است. هكر‌ها قدرتمند و توانا شده‌اند و عرصه‌هاي جديدي را فتح كرده‌اند مانند پست الكترونيك و نيز فناوري ويروس‌هايي كه بدون نياز به باز شدن پيغام‌ها از طرف كاربر به طور خودكار منتشر مي‌شوند.

اكنون ويروس‌هايي وجود دارند كه مي‌توانند رايانه‌ها را آلوده كنند فقط به اين دليل ساده كه كاربر به اينترنت متصل شده است.

 

هركدام از اين مراحل طي شده توسط هكر‌ها، نشان دهنده روند رو به رشد آنان در استفاده از فناوري‌هاي جديد براي طراحي، خلق و انتشار ويروس‌ها بوده است.

بنابراين براي حفاظت سيستم‌ها در مقابل اين كد‌هاي مخرب، روش‌هاي نوين منطبق بر فناوري‌هاي جديد لازم است.

براي نمونه اگر نامه‌هاي الكترونيكي منبع بالقوه تهديدات باشد، بررسي و جست‌وجوي مستمر يك برنامه ضدويروس، بايد نقل و انتقالات اطلاعاتي POP3 را نيز دربربگيرد.

اما امسال، سال 2006، واقعاً چه اتفاقاتي در حال رخ دادن است؟ آيا ما شاهد انقلاب‌هاي جديد در فناوري‌هاي مربوط به طراحي وخلق كد‌هاي مخرب خواهيم بود؟

هرگز. شايد بشود گفت كه طراحان كد‌هاي مخرب در خلاقيت و فناوري، حتي يك گام هم به عقب برداشته‌اند. روش‌هاي استفاده شده براي انتقال و انتشار كد‌هاي مخرب در رايانه‌ها، كمي ابتدايي‌تر نيز شده‌اند. مدت زماني است كه از ايده‌هاي خلاق و پي درپي براي نفوذ در سيستم‌ها مانند استفاده از روش‌هاي EPO (Entry Point Obscuring) و آلوده كردن فايل‌هاي PE ويندوز اثري نيست.

پيشرفته ترين روش‌ها در حال حاضر از يك rootkit استفاده مي‌كنند كه چه از نوع تجاري و چه از نوع غيرتجاري، اغلب اوقات توسط يك طراح حرفه‌اي ويروس، خلق نمي‌شوند.

خلاقيت و پيشرفت بسيار دشوار است و نياز به تلاش فراوان و تخيل خلاق دارد كه گمان نمي‌رود طراحان ويروس داراي چنين ويژگي‌هاي مثبتي باشند!!

شركت‌هاي امنيتي نيز به نوبه خود همواره در حال پژوهش، بررسي، طراحي و توليد فناوري‌هاي قدرتمند و مؤثر در مقابله با هكر‌ها هستند و به نظر مي‌رسد كه امنيت و حفاظت گوي سبقت را از طراحان كد‌هاي مخرب ربوده است و از لحاظ تكنولوژي درجايي بالاتر از آن‌ها ايستاده است.

استراتژي جديد هكر‌ها، روي استفاده از فناوري‌ها و خلاقيت‌هاي نوين تمركز نمي‌كند، بلكه جهت‌گيري آن به سمت رشد ارتكاب جرم‌هاي اينترنتي است.

 

تا چند سال قبل طراحان و خالقان ويروس به خود مي‌باليدند از اينكه ويروس‌هاي ساخت آن‌ها تا چه حد درسطح انتشار و تخريب موفق عمل مي‌كردند. اما اكنون در خصوص مبالغي كه از طريق كلاهبرداري‌هاي اينترنتي به سرقت مي‌برند به خود مي‌بالند.

 

براي دستيابي به اين هدف، آنها نيازي به تلاش فراوان و دانش پيشرفته براي تحليل API ها و آشنايي با سيستم‌هاي جديد تخريب ندارند.

يك روش قديمي و نخ نما براي فريب كاربر نيز كافي است كه پول وي به سرقت رود.

در دهه 30 در ايالات متحده آمريكا، فروشنده‌اي اعلام كرد كه روش قطعي مبارزه با آفات سيب زميني را يافته و حاضر است آن را با قيمتي مناسب در اختيار كشاورزان قرار دهد.

بسياري از توليدكنندگان سيب زميني نيز با خريد اين روش موافقت كردند و حتي حاضر شدند مبلغ آن را نيز پيش پرداخت كنند.

پس از پرداخت مبلغ، آنها دو تكه چوب به شكل مكعب مستطيل و به اندازه پاكت سيگار دريافت كردند. در راهنماي روش قاطع دفع آفات سيب زميني ذكر شده بود كه آنها مي‌بايست يك حشره را گرفته، آن را روي يكي از تكه‌هاي چوب گذاشته و با چوب ديگر روي آن ضربه بزنند تا آن حشره از بين برود و آنها بايد تا دفع كامل آفات اين عمل تكرار كنند!!

 

بله؛ اين فقط يك شگرد تبليغاتي فريبكارانه بود.

آيا شباهتي بين اين روش كهنه دهه 30 و روش‌هاي مورد استفاده طراحان كد‌هاي مخرب در سال 2006 ديده نمي‌شود؟

 

با غلبه امنيت و حفاظت بر كد‌هاي مخرب و ويروس‌ها در عرصه تكنولوژي و دانش، اكنون فناوري‌هاي امنيتي حفاظتي مبارزه دوم را آغاز مي‌كنند.

مقابله با كد‌هاي مخربي كه داراي تكنولوژي پيشرفته‌اي نيستند، اما از عملكرد كاربراني كه در دام هكر‌ها گرفتار شده‌اند سوءاستفاده مي‌كنند.

هيچ حفره امنيتي در زمينه امنيت IT از يك كاربر بي‌تجربه و ساده خطرناك‌تر نيست. بنابراين فناوري‌هاي حفاظتي جديد بايد به رفع اين مشكل بپردازند.

از آنجا كه تكنولوژي و دانش هكر‌ها براي مدت زماني است كه متوقف مانده و رو به پيشرفت نمي‌رود، سيستم‌هاي حفاظت جديد يقيناً قادر خواهند بود تا بسادگي حملات هك را دفع كنند.