Skip to Content

آرشیو دسته بندی ها:Network

مفهوم IPSEC

مفهوم IPSEC

مفهوم IPSEC

مفهوم IPSEC

پروتکل IPSec یا همان ” Internet Protocol Security ” مجموعه ای از پروتکل های محبوب برای برقراری اتصال VPN بوده که بدون نیاز به نصب کانکشن، روی اکثر سیستم‌عامل‌ها تعبیه شده است. در این پست قصد داریم به آموزش کامل مفهوم IPSEC بپردازیم.

IPSec VPN به زبان ساده

یکی از موارد مهمی که در مفهوم IPSEC به آن اشاره کردیم این بود که این پروتکل مجموعه ای از پروتکل ها می باشد که در واقع براساس استانداردهایی است که توسط کارگروه مهندسی اینترنت (IETF) ایجاد شده است، IPsec محرمانگی، یکپارچگی و صحت ارتباطات داده را در یک شبکه عمومی تضمین می‌کند.

هنگامی که یک سازمان در حال رشد به چندین مکان گسترش می‌یابد، یکی از چالش‌های پیش روی آن، چگونگی اتصال سایت‌های از راه دور با شبکه شرکت است. ریسک‌های امنیتی شبکه افزایش می‌یابد و رعایت مقررات ضروری می‌باشد. بنابراین، رسیدگی به این نیازهای مهم ضروری است.

شما می‌توانید با استفاده از VPNهای سیسکو IOS IPsec ، دسترسی به شبکه خود را بطور چشمگیری افزایش دهید. IPsec یک فناوری رمزنگاری مبتنی بر استانداردها است. این فناوری به سازمان شما امکان می‌دهد تا دفاتر شعبه و کاربران از راه دور را به طور ایمن متصل کند. همچنین، در مقایسه با دسترسی سنتی WAN مانند تقویت قابی یا ATM، صرفه جویی قابل توجهی در هزینه را ارائه می‌دهد.

امروزه یکی از گسترده‌ترین فناوریهای مستقر در امنیت شبکه، IPSec VPN امنیت بالایی را از طریق رمزگذاری و تأیید اعتبار فراهم می‌کند و از داده ها در برابر دسترسی غیرمجاز محافظت می‌کند.

ویژگی های اصلی IPSec VPN

محافظت از حملات Replay

IPSec از حملات replay محافظت می‌کند. این ویژگی، یک شماره ترتیبی منحصر به فرد را به هر بسته (پکت) اختصاص می دهد. اگر بسته‌ای را با شماره ترتیبی تکراری تشخیص دهد، حذف می‌شود.

احراز هویت منبع اطلاعات

کد تأیید هویت پیام Hash HMAC تأیید می‌کند که بسته‌ها تغییر نکرده‌اند.

محرمانگی تام اطلاعات ( رمزنگاری )

PFS در این پروتکل، امنیت اتصال VPN شما را افزایش می‌دهد. این کار با ایجاد کلید منحصر به فرد، برای هر ارتباط انجام می‌شود.

شفافیت

IPSec در زیر لایه‌ی حمل کار می‌کند، بنابراین، برای کاربران و برنامه‌ها شفاف است. در نتیجه، نیازی نیست هنگام اجرای آن روی مسیریاب یا فایروال خود، تغییری در نرم افزار ایجاد کنید.

رمزنگاری مجدد پویا

رمزنگاری مجدد، در فواصل زمانی مشخص، برای تنظیم مجدد کلیدهای مخفی قطع می‌شود. بنابراین، در مقابل بیشتر حملات رهگیری و جعل هویت امن است.

محرمانه بودن

بسته‌ها قبل از انتقال توسط فرستنده رمزگذاری می‌شوند. در نتیجه، داده‌های حساس فقط به گیرنده مورد نظر خود می‌رسند.

معایب پروتکل IPSec VPN

معایب IPSec VPN به صورت ذیل است :

  • می توانید با استفاده از فایروال‌های محدود کننده آن را مسدود کنید.
  • سریعترین پروتکل نیست. L2TP / IPSec داده ها را دو بار کپسوله می‌کند. این موضوع اتصال را کند می‌کند.
  • به زمان پردازش و پهنای باند قابل توجهی نیاز دارد.

مزایای پروتکل IPSec VPN

مزایای ipsec به صورت ذیل می‌باشد:

  • سازگاری با کلیه دستگاههای اصلی.
  • بهترین امنیت را ارائه می‌دهد. دلیلش آنست که از رمزهای متنوعی مانند DES3 ،AES و AES-256 بهره می‌برد.
  • بهره وری کارمندان را افزایش می‌دهد و در هر زمان و هر مکان دسترسی ایمن به منابع شرکت را ممکن می‌سازد.
  • کارایی کسب و کار را افزایش می‌دهد و هزینه‌های مرتبط با استقرار و مدیریت را با استفاده از یک راه حل ارتباطی ایمن و با کاربرد آسان و با نصب آسان، کاهش می‌دهد.
  • پایدار است، به خصوص هنگام تعویض شبکه یا اتصال مجدد پس از قطع شدن اتصال.
  • در سطح شبکه عمل می کند. نیازی به نگرانی در مورد وابستگی برنامه نیست.

پروتکل IPSec چگونه کار می کند؟

IPSec VPN از تونل‌سازی برای ایجاد یک ارتباط خصوصی برای ترافیک شبکه استفاده می‌کند.

پروتکل‌های دیگر مانند Openvpn در لایه‌ی برنامه کار می‌کنند ولی IPSec VPN در لایه شبکه عمل می‌کند. این ویژگی اجازه می‌دهد تا کل بسته رمزنگاری شود.
انواع مختلفی از الگوریتم‌های رمزنگاری بدین منظور استفاده می‌شوند. ما می‌توانیم آنها را به دو مکانیزم اصلی که در زیر شرح داده‌ایم تقسیم کنیم. همچنین این پروتکل از استاندارد رمزنگاری پیشرفته به همراه سایر فناوری‌ها برای ایمنی داده‌ها استفاده می‌کند.

روش‌های امنیتی مختلف مورد استفاده در ipsec vpn

IPSec برای رمزگذاری اطلاعات خود به پروتکل‌های اصلی زیر متکی است:

  • هدر احراز هویت ( AH یا Authentication Header )

پروتکل برای محافظت از داده‌ها و شبکه، یک امضای دیجیتال را در هر بسته در نظر می‌گیرد. در نتیجه، محتوا بدون کشف قابل تغییر نیست. همچنین به گیرنده این امکان را می‌دهد تا بسته‌های دریافت شده توسط مبداء ارسال شده یا نه را تایید کند. AH همچنین شما را از حملات replay محافظت می‌کند.

  • محصور کردن بار امنیتی (ESP یا Encapsulation Security Payload)

AH مانع از دستکاری بسته می‌شود و ESP رمزگذاری بسته‌ها را بر عهده دارد. مقدار بار بسته از طریق هدر ESP، ناظرESP و بلوک تأیید اعتبار ESP رمزگذاری می‌شود. این روش می‌تواند به تنهایی مورد استفاده قرار گیرد و یا با روش AH بصورت پیوسته و در ادامه آن عمل کند.

هر دو پروتکل با هم همکاری می‌کنند تا تأیید هویت، امنیت و حفظ حریم خصوصی را انجام دهند.

چگونه از IPSec VPN استفاده کنیم؟

برای دستگاه‌های اندرویدی و ویندوز، ipsec را می‌توان با پروتکل‌های L2TP و IKEv2 استفاده کرد و متصل شد. در واقع l2tp و ikev2 از زیر مجموعه‌های ipsec هستند و تحت این پروتکل عمل می‌کنند. اما در سیستم‌عامل‌های IOS یا MAC شما تنها قابلیت اتصال مستقیم به خود IPSec را خواهید داشت.

IPSec از کدام پورت استفاده می‌کند؟

در بیشتر مواقع، پورت‌های IPSec VPN معمولاً در فایروال باز هستند. اگر اینگونه نباشد، پورت ۵۰۰ روی UDP خواهد بود. این موضوع باعث می‌شود تا ترافیک ISAKEP از طریق فایروال شما به جلو هدایت شود.

ادامه مطلب

شبکه تحویل محتوا (CDN) چگونه کار می کند

شبکه تحویل محتوا (CDN) چگونه کار می کند
به بیان ساده، شبکه تحویل محتوا یا همان CDN، متشکل از مجموعه ای از سرور های قوی می باشد که بصورت جغرافیایی در مناطق مختلف توزیع شده اند. این ساختار توزیع شده به این شبکه ها اجازه می دهد تا محتوا را با سرعت بالا به کاربران نهایی خود ارائه دهند. علاوه برا آن، صاحبان وب سایت هایی که هاست های خود را بر روی شبکه تحویل محتوا قرار می دهند اطمینان بیشتری از در دسترس بودن سایت های خود برای کاربرانشان دارند. به این معنی که چنانچه یکی از سرور ها بر روی CDN از کار بیفتد، وب سایت توسط سرور های دیگر موجود بر روی شبکه در اختیار کاربران قرار خواهد گرفت.
عدم استفاده از CDN یا استفاده از آن؟
بدون استفاده از CDN تمامی محتوای شما بر روی یک سرور میزبانی خواهد شد. این بدان معنی است که تمامی ترافیک وب سایت شما به یک نقطه هدایت خواهد شد که این مسئله سرور شما را به گلوگاهی در مقابل حجم ترافیک بالا تبدیل خواهد کرد و با بالارفتن تعداد بازدید های سایتتان تاخیر بارگذاری صفحات بیشتر و بیشتر خواهد شد در نهایت منجر به عدم توانایی سرور در پاسخگویی می گردد.
بدون استفاده از CDN سرعت بارگذاری صفحات بر روی سیستم کاربران نهایی پایین خواهد بود. مثلا فرض کنید وب سایت شما بر روی سروری در آمریکا میزبانی می شود در حالی که کاربران شما در ایران قرار دارند. در این صورت به ازای هر بازدید از صفحات وب سایت شما، ابتدا در خواستی به قاره امریکا فرستاده می شود و سپس محتوا از انجا برای کاربران به ایران باز گردانده می شود. بدین تریب محتوای مورد نظر کاربران باید مسیری طولانی را طی کند تا به کاربر نهایی برسد. این مسئله وقتی مشکل ساز خواهد شد که کاربران شما از چند صد نفر به چندین هزار نفر افزایش یابند. در این صورت مشکلاتی نظیر مصرف پهنای باند، تاخیر شبکه و افت سرعت در بارگذاری صفحات مشاهده خواهد شد.
اکنون حالتی را در نظر بگیرید که وبا سایت خود را بر روی یک شبکه تحویل محتوا قرار داده اید. در این صورت شما با هزینه ای اندک صاحب سرور هایی در نقاط مختلف خواهید شد که بصورت توزیع شده وب سایت شما را میزبانی می کنند. در این حالت کاربران مقیم ایران بجای آنکه محتوای شما از سرور مستقر در آمریکا دریافت کنند، آن را از یک سرور محلی در نزدیکترین موقعیت جغرافیایی نسبت به خودشان دریافت خواهند کرد. به این ترتیب کاربران با سرعت بیشتر و تاخیر کمتری نسبت به قبل از سایت شما بازدید خواهند کرد.
تکنیک های مورد استفاده در CDN
یکی از تکنیک هایی که در CDN مورد استفاده قرار می گیرد وب کش می باشد. یکی از سناریو هایی که این تکنیک در آن می تواند بسیار مفید واقع شود، مواقعی است که فایلی بر روی سرور توسط کاربران مختلف به دفعات مورد درخواست قرار می گیرد. تکنیک دیگری که در شبکه های تحویل محتوا مورد استفاده قرار می گیرد توزیع بار یا load balancing می باشد. این تکنیک علاوه بر آنکه ظرفیت و مقیاس وب سایت شما را بالا می برد، احتمال آنکه سرور شما به گلوگاه تبدیل شود را نیز از بین می برد. البته توزیع بار مباحث مفصلی دارد که در جای دیگری می تواند بطور کامل به ان پرداخت. اما انچه در این مقاله می توان به ان اشاره کرد این است که برای استفاده از تکنیک توزیع بار الگوریتم هایی وجود دارد که بر اساس فاکتور های مختلفی سعی می کنند ترافیک را بصورتی عادلانه بروی سرور های مختلف تقسیم نمایند. بعنوان مثال این الگوریتم ها بر اساس داده هایی نظیر میزان در دسترس بودن سرور در گذشته و یا تعداد هاب هایی که نیاز است پیموده شود تا محتوا به کاربر برسد تصمیم می گیرند در خواست را به چه سروری هدایت کنند. البته طبیعی است که برای این منظور نیاز است بصورت دوره ای اطلاعاتی در اختیار این الگوریتم ها قرار داده شود تا بتوانند بدرستی تصمیم گیری نمایند.
در هنگام خرید یک سرویس CDN به چه نکاتی باید توجه نمود
هنگامی که می خواهید برای وب سایت خود از یک سرویس CDN استفاده کنید باید در انتخاب خود به نکاتی توجه کنید که در ادامه سه مورد از انها اورده شده است.
توزیع جغرافیایی کاربران
اولین مسئله در انتخاب سرویس CDN این است که بدانید کاربرانتان در چه نقاطی از دنیا قرار دارند. اگر بیشتر کاربران شما در داخل کشور هستند سروریس های داخلی که در شهر های مختلف ایران سرور دارند گزینه مناسبی می توانند باشد. اگر کاربران شما تنها در شهر مشهد هستند سرویس هایی که تنها در مشهد مستقر هستند می توانند برای شما مناسب باشند. در صورتی که کاربران شما در سراسر دنیا باشند طبیعی است باید به دنبال سرویس هایی بگردید که در بیشتر نقاط دنیا سرور هایی مستقر دارند.
چه میزان از محتوای خود را نیاز دارید بر روی CDNقرار دهید؟
اگر یک سرویس دانلود فایل دارید، بیشترین درخواست کاربران درخواست دانلود فایل ها خواهد بود. بنابراین تنها نیاز است فایل های قابل دانلود خود را بر روی CDN قرار دهید و به این ترتیب در هزینه سرویس خود صرفه جویی کنید. گاهی یک وب سایت پر بازدید دارید. در این صورت بسته به نیاز و سیاست خود می توانید تنها فایل های استاتیک خود نظیر فایل های css یا جاوااسکریپت  را بر روی CDNقرار دهید یا آنکه برای بالابردن حداکثری سرعت وب سایت خود کل سایت را بر روی شبکه تحویل محتوا قرار دهید.
هزینه یا کارایی
اگر چه استفاده از سرویس های CDN هر دوی این موارد رو برای شما تامین می کنند اما گاهی نیاز است خودشما نیز در این مورد که چقدر برای بهبود کارایی و سرعت سایت میخواهید هزینه کنید تصمیم گیری نمایید. شبکه های تحویل داده عموما سرویس های مختلفی با هزینه ها و کارایی های مختلف به شما ارائه می دهند که بر اساس نیاز و بودجه مورد نظر خود می توانید بهترین گزینه را انتخاب کنید.
مزایای استفاده از سی دی ان
استفاده از سی دی ان مزایایی زیادی دارد که از جمله آنها می توان به افزایش سرعت بارگذاری صفحات و کاهش اعوجاج (jitter) در بارگذاری فایل های بزرگ مانند فایل های چند رسانه ای که بصورت آنلاین پخش می شوند اشاره نمود. علاوه بر آن شبکه های تحویل محتوا با کپی کردن محتوا و توزیع آن در نقاط مختلف جغرافیایی از ایجاد گلوگاه و نقطه شکست (single point of failure) جلوگیری می کنند. توزیع سرور ها مزیت دیگری نیز دارد و آن اینست که درصورتی که یکی از سرورهای شما از کار بیافتد ترافیک بطور خودکار بر روی سایر سرور ها هدایت شده و بدین ترتیب محتوا شما همواره توسط کاربران قابل دسترس خواهد بود. یکی دیگر از مزایای استفاده از CDN صرفه جویی در پهنای باند می باشد. بدین صورت که با هدایت درخواست کاربر به نزدیکترین سرور، ترافیک سرور منبع شما کاهش یافته و بدین ترتیب در پهنای باند و هزینه صرف شده پهنای باند صرفه جویی می شود.
در پایان می توان این گونه جمع بندی نمود که سرویس های CDN از یک طرف کاربران شما را راضی و خشنود تر می کنند و از طرف دیگر در کاهش میزان هزینه های شما تاثیر گذار هستند بنابراین در صورتی که قصد راه اندازی وب سایتی پر بازدید را دارید این شبکه های بعنوان بخشی از سیستم خود در نظر بگیرید.
ادامه مطلب

LDAP چیست؟

LDAP چیست؟

LDAP از استانداردهای موجود در X.500  ( استاندارد X.500 یک استاندارد جامع تر برای تعریف، نگهداری و مدیریت دایرکتوری های عمومی است. این استاندارد برای نگهداری اطلاعات عمومی (جهانی) استفاده می شود مانند آنچه در DNS استفاده شده است) پیروی می کند. اما LDAP از آن ساده تر و عملی تر است و برخلاف X.500، TCP/IP را نیز پشتیبانی می کند که برای استفاده در اینترنت نیز مفید است. LDAP سبک تر از X.500 است و به همین دلیل گاهی به آن X.500 Lite نیز گفته می شود.

اما X.500 یک مدل کلی برای سرویس های مرتبط با دایرکتوری ها، در OSI (Open System Interconnection) است. این مدل شامل چهارچوب های کلی و پادمان هایی برای به روز نگه داشتن شاخه و پرسش و جو (query) از آن است. پادمان اصلی موجود در X.500 ، DAP است که ساختار کامل و توابع بسیار زیادی دارد.  همین عامل باعث پیچیدگی در آن شده است و استفاده از X.500 را مشکل کرده است.

برخلاف X.500 ، LDAP از مقبولیت خوبی برخوردار است و به یک فناوری استراتژیک تبدیل شده است که اکثر تولیدکنندگان نرم افزار از آن پشتیبانی  می کنند.

دایرکتوری (Directory)

دایرکتوری یک فهرست از اشیاء است که اطلاعات مربوط به آنها براساس یک ترتیبِ خاص مرتب شده اند. برای مثال اطلاعات تلفن های یک شهر، مثال خوبی از یک دایرکتوری است که بر حسب نام افراد، طبقه بندی شده اند. در این تلفن دایرکتوری، اشیاء، افراد هستند که بر حسب نام، مرتب شده اند و اطلاعات مربوطه به هر فرد، آدرس و شماره تلفن آن فرد است.

مثال های دیگری که می توان در این مورد از آنها نام برد، کاتالوگ ها، در یک کتابخانه است یا دایرکتوری کاربران، که به شما این اجازه را می دهد تا آدرس پست الکترونیک یا شماره فاکس کاربران را پیدا کنید.

در واقع دایرکتوری ها مانند پایگاه داده ها هستند با این تفاوت که دایرکتوری ها، برای منظور خاصی تعبیه شده اند:

  1. بیشتر برای خوانده شدن طراحی شده اند، تا نوشتن و ایجاد تغییرات در آنها.
  2. یک نمای (view) ثابت از اطلاعات را به نمایش می گذارند.
  3. تغییرات در آنها ساده است و معمولا تراکنش (transaction) را پشتیبانی نمی کنند.
  4. برای دسترسی به دایرکتوری از یک پادمان شبکه استفاده می شود.

درخواست ها با نام Directory کاربر و سرویس دهنده ها با نام Directory Server شناخته می شوند. برخی از دایرکتوری سرویس های معروف عبارتند از:

  1. File Servers
  2. Mail Servers
  3. Print Servers
  4. Web Servers

توضیحات بیشتر درباره LDAP

LDAP ، یک پادمان مبتنی بر پیام را، بین سرویس دهنده و سرویس گیرنده، برقرار می کند. پیام های متفاوتی بین سرویس دهنده و سرویس گیرنده ممکن است رد و بدل گردد.  سرویس دهنده و سرویس گیرنده می توانند هر کدام با انتخاب روش های معمول، به شیوه دلخواه پیاده سازی شوند (این از مزایای LDAP است) و سرویس دهنده و سرویس گیرنده هر کدام می تواند از دو تکنیک جداگانه استفاده کنند بدون اینکه مشکلی در ارتباط با یکدیگر داشته باشند.

LDAP یک پادمان ارتباطی مشخص می کند که در آن، یک پیام از سرویس گیرنده، برای استفاده و دسترسی به اطلاعات یک دایرکتوری X.500 ، به سرویس دهنده ارسال می گردد. اکثر سرویس دهندگاه LDAP از نسخه 3.0 آن استفاده می کنند. دایرکتوری ها اغلب با یک مدل ارتباطی کاربر – کارگزار (Client – Server) قابل دسترسی هستند.

برنامه ای که در خواست خواندن، یا ایجاد تغییر در دایرکتوری را دارد، به طور مستقیم نمی تواند چنین کاری را انجام بدهد بلکه با استفاده از یک سرویس میانی قادر به انجام این کار خواهد بود به این صورت که یک API فراخوانی می شود و آن API، پیامی به یک فرآیند دیگر می فرستد و آن فرآیند با استفاده از TCP/IP به اطلاعات دسترسی خواهد داشت. پورت استاندارد برای ارتباط امن، پورت 636 و برای حالت عادی 389 است.

تلاش برای استفاده از XML در LDAP و استفاده در وب سرویس ها، منجر به زبانی به نام DSML شد که این زبان به استفاده کنندگان از دایرکتوری ها این امکان را می داد، که بدون نوشتن Interface برای کار با API های مربوطه، به دایرکتوری ها دسترسی داشته، بتوانند با آنها کار کنند.

انواع دایرکتوری

انواع دایرکتوری عبارتند از:

  1. محلی (Local)
  2. عمومی (Global)
  3. متمرکز (Centralized)
  4. توزیع شده (Distributed)

موارد بالا دو به دو در مقابل همدیگر هستند. معنای هرکدام تا حدودی در ذهن آشنا است. برای مثال در مورد دایرکتوری اطلاعات افراد یک شرکت، دایرکتری Local، شامل اطلاعات افراد در یک تیم یا واحد باشند و دایرکتوری Global شامل اطلاعات کل شرکت است.

در صورتی که اطلاعات در روی یک دستگاه و در یک مکان متمرکز قرار گرفته باشد، Centerilized و در صورتی که به صورت توزیع شده و در چند مکان نگهداری شود، Distributred گفته می شود. (به  طور مشخص اطلاعات در حالت دوم بصورت تقسیم شده در چند مکان قرار خواهد شد)

مثال

اطلاعات در یک دایرکتوری در یک ساختار مانند درخت (tree) ذخیره می شوند که به آن درخت اطلاعاتی دایرکتوری (Directory Information Tree – DIT)گفته می شود و هر شی ء با یک مشخصه شناخته می شود که به آن نام متمایز (Distinguished Name – DN) گفته می شود. هر نام متمایز (DN) یک عنصر در درخت را، مشخص می کند. هر نام متمایز می تواند از چند نام متمایز مرتبط (Relative Distinguished Name – RDN) تشکیل شده باشد. برای مثال، یک نام متمایز، آورده شده است که نام های متمایز مرتبط آن با کاما از هم جدا شده اند:

cn=thomas,ou=itso,o=ibm

جدول نام های متمایز معتبر(RDN)

String Attribute type
DC domainComponent
CN commonName
OU organizationalUnitName
O organizationName
STREET streetAddress
L LocalityName
ST StateOrProvinceName
C CountryName
UID Userid

نمونه درخت اطلاعاتی دایرکتوری (DIT)

استفاده از LDAP به صورت عملی

APIای که در LDAP در اختیار شما قرار می گیرد، سازوکاری فراهم می کند تا در یک دایرکتوری (که بطور عام، یک اینترنت دایرکتوری است) کارهای معمول مانند وصل شدن، جستجو و تغییرات را انجام دهید. برخلاف بقیه پادمان های اینترنت، LDAP دارای یک APIمشخص است که نوشتن یک سرویس مرتبط با یک Internet Directory را ساده می کند.

استفاده کردن از یک کارگزار LDAP شامل 4 بخش اصلی است :

  1. ایجاد و شروع یک Session : وقتی یک Session ایجاد می کنید، این Session ، مقادیر پیش فرض را، به خود می گیرد. اطلاعاتی که در این Session نگهداری می شود عبارتند از وضعیت کنونی Session، مدت اتصال، شماره ی نسخه ی در حال استفاده و برخی ملاحظات امنیتی. پس از ایجاد (Initialize) کردن session شما یک handle خواهید داشت که با استفاده از آن می توانید برخی مقادیر پیش فرض را تغییر دهید.
  2. مقداردهی اولیه (اختیاری) : تغییر برخی مقادیر پیش فرض
  3. اتصال به کارگزار (اختیاری)
  4. Bind شدن به کارگزار. در این مرحله کارگزار، کاربر را اعتبارسنجی می کند. در صورت تأیید اعتبار کاربر، در حد اختیارات خود اجازه دسترسی به توابع کارگزار را دارا خواهد بود. اگر شما این کار را انجام ندهید به عنوان کاربر anounymous به کارگزار معرفی خواهید شد و در حد کاربر میهمان به امکانات کارگزار دسترسی خواهید داشت.

Active Directory به عنوان یکی از مهمترین بخش های از ویندوز بر پایه LDAP پیاده سازی شده است. Active Directory به دغدغه های کاربران برای پیدا کردن منابع و سرویس ها پایان داد و بی تردید می توان آن را مهمترین خصوصیت افزوده شده به ویندوزهای سری 2000 دانست.

ادامه مطلب

مفهوم Ping

مفهوم Ping

مفهوم Ping

مفهوم Ping

مفهوم Ping :Ping قسمتی از پروتکل ICMP است که برای رفع مشکلات شبکه ای تحت TCP/IP استفاده می شود. Ping فرمانی است که یک دیتا گرام به یک میزبان مشخص ارسال می کند .اگر این میزبان روشن بوده و به شبکه یا اینترنت متصل باشد ، یا جواب می دهد یا همان دیتا گرام را بر می گرداند. پس اگر دیتاگرام برگشتی ، از آن میزبان با دیتاگرام ارسالی مشابه بود معلوم می شود میزبان روشن است .به عبارتی Ping  ابزاری است که نشان می دهد کامپیوتر مورد نظر روشن است یا خیر.

فرمان Ping پارامترهای زیادی دارد. با تایپ کردن فرمان Ping خالی در خط فرمان داس در ویندوز می توانید لیست کاملی از آن را ببینید. شما حتی می توانید کامپیوتر خودتان را نیز Ping کنید. شماره 127.0.0.1در واقع آدرس خود کامپیوتر شما به صورت محلی و نه در هنگام اتصال به اینترنت است، و زمانی که شما به این شماره وصل می شوید در واقع به کامپیوتر خودتان متصل می شوید و از صحت آن آگاهی پیدا می کنید.

ادامه مطلب

مفهوم DNS Domain Name Server

مفهوم DNS Domain Name Server

مفهوم DNS Domain Name Server

مفهوم DNS Domain Name Server

مفهوم DNS Domain Name Server: یک DNS در واقع وسیله ای برای تبدیل نام میزبانها مثل hotmail.com ، به شماره اینترنتی است که کامپیوتر ها برای اتصال به میزبانها احتیاج دارند .اتفاقی که پس از وارد کردن www.hotmail.com می افتد این است مرورگر به دنبال شماره اینترنتی این سایت می گردد تا با آن ارتباط برقرار کند. این بدان معنی است که مرور گر برای انجام این جستجو به سروری در ISP شما که کار DNS را انجام می دهد وصل می شود و به این ترتیب سعی می کند تا شماره اینترنتی مخصوص سایت مورد نظر را بیابد. سروری که مرور گر برای اولین جستجو به آن مراجعه می کند (Primary DNS Server) نام دارد.

اگر این سرور چیزی نیابد ، آن وقت با یک DNS Server ارتباط برقرار می کند.اگر این سرور دوم موفق شد آدرسی پیدا کند ، سرور اول هم بانک اطلاعاتی خود را به روز می کند تا دیگر برای این آدرس مجبور به برقراری ارتباط با Server نشود.

هر DNS ، یک حافظه پنهانی( کش) دارد که آدرس میزبانهایی را که جستجو کرده را ذخیره می کند . بدین ترتیب اگر Server آدرس یک میزبان را در حافظه داشته باشد چنانچه مجددآ این آدرس درخواست شود دیگر به دنبال آن نمی گردد و همان اطلاعات موجود در حافظه پنهان خود را به عنوان نتیجه به مرورگر می فرستد.

تکنولوژیهای جدیدی در مورد DNS معرفی شده اند ، به عنوان مثال سایت amazon.com یک کتابخانه اینترنتی است که هر روزه حدود یک میلیون بازدید کننده دارد و به همین خاطر برای خود چندین آدرس IP اختیار کرده است.

اتفاقی که در این مورد می افتد این است که DNS تمام این ادرس IP ها را به عنوان نتیجه به مرورگر می فرستد و مرور گر به صورت اتفاقی یکی از آنها را انتخاب می کند ، و نتیجه را بر می گرداند.

ادامه مطلب

مفهوم Telnet

مفهوم Telnet

مفهوم Telnet

مفهوم Telnet

مفهوم Telnet :Telnet یکی از ابزارهای فوق العاده مهمی است که برای نفوذ سرور باید از آن اطلاع داشته باشید.این ابزار به پروتکل TCP/IP جهت کار کردن نیاز دارد. از این برنامه جهت اتصال به کامپیوتر مقصد از راه دور و اجرای برنامه از طریق خط فرمان آن استفاده می شود.Telnet از فایل های موجود در کامپیوتر مبدا استفاده نمی کند ، بلکه با منابع موجود در کامپیوتر مقصد یا همان سرور کار می کند . در واقع این برنامه یک ترمینال شبیه ساز است که اجازه اتصال به کامپیوتر مقصد را به شما می دهد. چگونه می توان با Telnet به کامپیوتر مقصد متصل شد؟

این کار بسیار راحت صورت می گیرد.ابتدا Telnet را در خط فرمان داس اجرا کنید وقتی پنجره آن ظاهر شد از منوی مربوطه ، گزینه Control>Remark System را کلیک کرده و قسمت نام میزبان (Host Name) آدرس کامپیوتر مقصد را وارد کنید.سپس پورت مربوطه را جهت اتصال مشخص کنید .البته بهتر است پورت را به خود Telnet محول کنید.پورتی که بطور معمول استفاده می شود پورت VT100 است.

بعد از این مراحل کلید Go meet را فشار دهید.به این ترتیب به کامپیوتر مورد نظر متصل می شوید.ساختمان اولیه خط فرمان Telnet بصورت زیر است:

C:\>telnet  hostname.com

 

 

ادامه مطلب

مفهوم Port Scanning

مفهوم Port Scanning

مفهوم Port Scanning

مفهوم Port Scanning

فرض کنید شما می خواهید Server ، ISP خود را مشاهده کنید .خوب اولین کاری که می کنید یافتن اسم سرور هایی است که در ISP شما موجود هستند.

هر سروری می تواند تعداد زیادی پورت باز داشته باشد بنابراین روزها طول می کشد که شما تمام پورتها را بررسی نمایید.اینجاست که ابزار کمکی، اسکنرهای پورت به کمک شما می آیند.بیشتر آنها لیست کاملی از پورتهای باز را به شما می دهند ، و برخی دیگر علاوه بر لیست فوق ، لیستی از برنامه های در حال اجرا را نیز در اختیار شما قرار می دهند. برنامه هایی مثل Satan لیستی از پورتهای باز و برنامه های در حال اجرا و حفره های امنیتی موجود را در اختیار شما قرار می دهند.مساله جالبی که در مورد پورت اسکنرها وجود دارد این است که آنها خیلی راحت شناسایی شده و قابل ردگیری هستند.

 

ادامه مطلب

پورت چیست؟

پورت چیست؟

پورت چیست؟

پورت چیست؟

اصلی ترین عامل در ارتباط شبکه ای Port میباشد که کارهای شبکه را بصورت خواندن و نوشتن در یک فایل شبیه سازی می نماید.Port در اصل مانند یک کانال ارتباطی بوده و اطلاعات را درون شبکه انتقال می دهد.معمولا شماره گذاری پورتها از 1 تا 65535 می باشد که از شماره 1 تا شماره 1024 سیستمی و استاندارد می باشد. به طور معمول دو نوع پورت وجود دارد:

پورت فیزیکی (سخت افزاری) و پورت مجازی (نرم افزاری).شاید چیزی که شما در ذهن خود از پورتها می دانید درگاه های (Slots) موجود در پشت CPU هستند که صفحه کلید ، ماوس و… را به آنها متصل می کنید. اینها پورتهای سخت افزاری هستند ، اما پورتهایی که مورد علاقه هکرها هستند پورتهای نرم افزاری یا مجازی هستند.یک کامپیوتر می تواند تعداد بسیار زیادی پورت داشته باشد . همه آنها شماره گذاری شده اند و روی هر کدام از آنها یک برنامه خاص اجرا شده است . در برقراری ارتباط بین کامپیوتر ها در یک شبکه دو امر بسیار مهم است:

  • آدرس ماشینی که می خواهیم اطلاعاتی از آن بگیریم یا به آن ارسال کنیم.
  • برنامه ای از آن ماشین که در خواست اطلاعات کرده یا اینکه می خواهیم اطلاعاتی از آن برنامه کسب کنیم.

این دو یعنی آدرس ماشین و شماره برنامه به وسیله سوکت در شبکه مشخص می شوند.

ادامه مطلب

مفهوم شبکه های کامپیوتری

مفهوم شبکه های کامپیوتری

مفهوم شبکه های کامپیوتری

مفهوم شبکه های کامپیوتری

دراین مقاله ما سعی خواهیم کرد تا برای شما در مورد مفهوم کلی شبکه های کامپیوتری توضیحاتی هر چند کوتاه را ارایه دهیم تا بیشتر با این واژه آشنا شده و در کارهای خود مورد بهره برداری قرار دهید . مفهوم « مركز كامپيوتر » بعنوان اتاقي كه كارهاي مشتريان را انجام دهد كهنه شده است و اين مدل قديمي كه تمام نيازهاي محاسباتي سازمانها را انجام مي داد جاي خود را به تعدادي از كامپيوترهاي متصل به هم داده است .
اين سيستم ها شبكه هاي كامپيوتري ناميده مي شود .
اگر دو كامپيوتر با يكديگر مبادله اطلاعاتي داشته باشند مي گويند اين دو كامپيوتر به يكديگر متصل اند . اگر كامپيوتري بتواند كامپيوتر ديگري را راه اندازي ، متوقف و كنترل كند مستقل نيستند . سيستمي با يك واحد كنترل و چند كامپيوتر پيرو شبكه نيست.
يك شبكه كامپيوتري سيستم ارتباطي براي تبادل داده هاست كه چندين كامپيوتر و دستگاه جانبي مثل چاپگر ها، سيستم هاي ذخيره سازي انبوه ، كتابخانه هاي CD-ROM – مودم – فكس و بسياري از دستگاههاي ديگر را بهم متصل مي كند . نرم افزار شبكه به كاربران شبكه امكان مي دهد كه از طريق پست الكترونيكي به تبادل اطلاعات بپردازند و به طور گروهي روي پروژه ها كار كنند . برنامه هاي كاربردي مجوز دار را به اشتراك بگذارند و به منابع مشترك دسترسي پيدا كنند .
سرپرستان شبكه همه اين منابع را مديريت كرده و خط مشي هاي امنيتي براي تعيين حقوق دستيابي كاربران و محدوديت هاي وي اتخاذ مي كنند . اسنتفاده اشتركي از منابع – كاهش هزينه صرفه جويي در هزينه – امنيت اطلاعات – ايجاد ارتباط مابين افراد مختلف از موارد استفاده شبكه هاي كامپيوتري مباشد استفاده از شبکه های کامپیوتری در چندین سال اخیر رشد فراوانی کرده وسازمانها وموسسات اقدام به برپایی شبکه نموده اند هر شبکه کامپیوتری باید با توجه به شرایط وسیاست های هر سازمان ، طراحی وپیاده سازی گردد.
در واقع شبکه های کامپیوتری زیر ساخت های لازم را برای به اشتراک گذاشتن منابع در سازمان فراهم می آورند؛ در صورتیکه این زیر ساختها به درستی طراحی نشوند، در زمان استفاده از شبکه مشکلات متفاوتی پیش آمده و باید هزینه های زیادی به منظور نگهداری شبکه و تطبیق آن با خواسته های مورد نظر صرف شود. فهرست زیر، دسته‌های شبکه‌های رایانه‌ای را نشان می‌دهد.

بر اساس نوع اتصال :
شبکه‌های رایانه‌ای را می‌توان با توجه به تکنولوژی سخت افزاری و یا نرم افزاری که برای اتصال دستگاه‌های افراد در شبکه استفاده می‌شود، دسته بندی کرد؛ مانند فیبر نوری، اترنت، شبکه محلی بی‌سیم، HomePNA، ارتباط خط نیرو یا G.hn. ایترنت با استفاده از سیم کشی فیزیکی دستگاه‌ها را به هم متصل می‌کند. دستگاه‌های مستقر معمول شامل هاب‌ها، سوئیچ‌ها، پل‌ها و یا مسیریاب‌ها هستند. تکنولوژی شبکه بی‌سیم برای اتصال دستگاه‌ها، بدون استفاده از سیم کشی طراحی شده‌است. این دستگاه‌ها از امواج رادیویی یا سیگنالهای مادون قرمز به عنوان رسانه انتقال استفاده می‌کنند. فناوری ITU-T G.hn از سیم کشی موجود در منازل (کابل هم‌محور، خطوط تلفن و خطوط برق) برای ایجاد یک شبکه محلی پر سرعت (تا۱ گیگا بیت در ثانیه) استفاده می‌کند.

بر اساس تکنولوژی سیم کشی

زوج به‌هم‌تابیده:
زوج به‌هم‌تابیده یکی از بهترین رسانه‌های مورد استفاده برای ارتباطات راه دور می‌باشد. سیم‌های زوج به‌هم‌تابیده، سیم تلفن معمولی هستند که از دو سیم مسی عایق که دو به دو به هم پیچ خورده‌اند درست شده‌اند. از زوج به‌هم‌تابیده برای انتقال صدا و داده‌ها استفاده می‌شود. استفاده از دو سیم به‌هم‌تابیده به کاهش تداخل و القای الکترومغناطیسی کمک می‌کند. سرعت انتقال داده، دامنه‌ای از ۲ میلیون بیت درهر ثانیه تا ۱۰۰ میلیون بیت در هر ثانیه، دارد.

کابل هم‌محور :
کابل هم‌محور به طور گسترده‌ای در سیستم‌های تلویزیون کابلی، ساختمان‌های اداری، و دیگر سایت‌های کاری برای شبکه‌های محلی، استفاده می‌شود. کابل‌ها یک رسانای داخلی دارند که توسط یک عایق منعطف محصور شده‌اند، که روی این لایهٔ منعطف نیز توسط یک رسانای نازک برای انعطاف کابل، به هم بافته شده‌است. همهٔ این اجزا، در داخل عایق دیگری جاسازی شده‌اند. لایه عایق به حداقل رساندن تداخل و اعوجاج کمک می‌کند. سرعت انتقال داده، دامنه‌ای از ۲۰۰ میلیون تا بیش از ۵۰۰ میلیون بیت در هر ثانیه دارد.

فیبر نوری:
کابل فیبر نوری شامل یک یا چند رشته از الیاف شیشه‌ای پیچیده شده در لایه‌های محافظ می‌باشد. این کابل می‌تواند نور را تا مسافت‌های طولانی انتقال دهد. کابل‌های فیبر نوری تحت تاثیر تابش‌های الکترومغناطیسی قرار نمی‌گیرند. سرعت انتقال ممکن است به چند تریلیون بیت در ثانیه برسد.

بر اساس تکنولوژی بی سیم :
ریزموج (مایکروویو) زمینی: ریزموج‌های زمینی از گیرنده‌ها و فرستنده‌های زمینی استفاده می‌کنند. تجهیزات این تکنولوژی شبیه به دیش‌های ماهواره‌است. مایکروویو زمینی از دامنه‌های کوتاه گیگاهرتز استفاده می‌کند، که این سبب می‌شود تمام ارتباطات به صورت دید خطی محدود باشد. فاصله بین ایستگاه های رله (تقویت سیگنال) حدود ۳۰ مایل است. آنتن‌های ریزموج معمولاً در بالای ساختمان‌ها، برج‌ها، تپه‌ها و قله کوه نصب می‌شوند.

ماهواره‌های ارتباطی :
ماهواره‌ها از ریزموج‌های رادیویی که توسط جو زمین منحرف نمی‌شوند، به عنوان رسانه مخابراتی خود استفاده می‌کنند. ماهواره‌ها در فضا مستقر هستند؛ به طور معمول ۲۲۰۰۰ مایل (برای ماهواره‌های geosynchronous) بالاتر از خط استوا. این سیستم‌های در حال چرخش به دور زمین، قادر به دریافت و رله صدا، داده‌ها و سیگنال‌های تلویزیونی هستند. تلفن همراه و سیستم‌های پی سی اس: تلفن همراه و سیستم‌های پی سی اس از چندین فناوری ارتباطات رادیویی استفاده می‌کنند. این سیستم‌ها به مناطق مختلف جغرافیایی تقسیم شده‌اند. هر منطقه دارای فرستنده‌های کم قدرت و یا دستگاه‌های رله رادیویی آنتن برای تقویت تماس‌ها از یک منطقه به منطقه بعدی است.

شبکه‌های محلی بی سیم :
شبکه محلی بی سیم از یک تکنولوژی رادیویی فرکانس بالا (مشابه سلول دیجیتالی) و یک تکنولوژی رادیویی فرکانس پایین استفاده می‌کند. شبکه‌های محلی بی سیم از تکنولوژِی طیف گسترده، برای برقراری ارتباط میان دستگاه‌های متعدد در یک منطقه محدود، استفاده می‌کنند. نمونه‌ای از استاندارد تکنولوژی بی سیم موج رادیویی، IEEE است.

ارتباطات فروسرخ:
ارتباط فروسرخ، سیگنال‌های بین دستگاه‌ها را در فواصل کوچک (کمتراز ۱۰ متر) به صورت همتا به همتا (رو در رو) انتقال می‌دهد؛ در خط انتقال نباید هیچ گونه شی ای قرار داشته باشد.

بر اساس اندازه :
ممکن است شبکه‌های رایانه‌ای بر اساس اندازه یا گستردگی ناحیه‌ای که شبکه پوشش می‌دهد طبقه‌بندی شوند. برای نمونه «شبکه شخصی» (PAN)، «شبکه محلی» (LAN)، «شبکه دانشگاهی» (CAN)، «شبکه کلان‌شهری» (MAN) یا «شبکه گسترده» (WAN).

بر اساس لایه شبکه :
ممکن است شبکه‌های رایانه‌ای مطابق مدلهای مرجع پایه‌ای که در صنعت به عنوان استاندارد شناخته می‌شوند مانند «مدل مرجع ۷ لایه OSI» و «مدل ۴ لایه TCP/IP»، بر اساس نوع «لایه شبکه»ای که در آن عمل می‌کنند طبقه‌بندی شوند.

بر اساس معماری کاربری :
ممکن است شبکه‌های رایانه‌ای بر اساس معماری کاربری که بین اعضای شبکه وجود دارد طبقه‌بندی شود، برای نمونه معماری‌های Active Networking، «مشتری-خدمتگذار» (Client-Server) و «همتا به همتا» Peer-to-Peer

 

 

 

ادامه مطلب

مفهوم مانیتورینگ شبکه یا Network Monitoring

مفهوم مانیتورینگ شبکه یا Network Monitoring

Network Monitoring در لفظ فارسی به معنای پایش شبکه می باشد و امروزه این فرآیند یکی از مهمترین فعالیت های حساس یک تیم فناوری اطلاعات در یک سازمان محسوب می شود که به تنهای می تواند باعث بالا رفتن کارایی سرویس ها و پرسنل ، صرفه جویی در هزینه های سازمان و آرامش بخشیدن به مدیران شبکه شود. یک سیستم مانیتورینگ شبکه تمامی شبکه داخلی شما را برای پیدا کردن مشکلات پایش می کند ، این سیستم می تواند به شما کمک کند میزان دانلود کاربران شبکه و استفاده آنها از اینترنت را بدانید ، فضاهای اشغال شده توسط ایمیل های اسپم و کاربرانی که بیهوده ایمیل ارسال می کنند را شناسایی کنید ، سرورهایی که در حال بروز مشکل هستند یا مشکل ایجاد خواهند کرد را شناسایی کنید ، ترافیک شبکه را مشاهده کنید و موارد غیرعادی را در قالب گزارش ببینید و در کنار همه اینها علاوه بر نرم افزارها سخت افزارهای موجود در شبکه را نیز پایش کنید. بصورت کلی شما می توانید با داشتن یک سیستم مانیتورینگ قوی در سازمان خود از تمامی اتفاقاتی که در شبکه خود چه از لحاظ نرم افزاری و چه از لحاظ سخت افزاری رخ می دهد آگاه شوید. یکی از مواردی که بعضا مشاهده شده است اشتباه گرفتن سیستم های مانیتورینگ شبکه یا Network Monitoring Systems که به اختصار NMS می گوییم با سیستم های تشخیص نفوذ یا IDS ها و یا سیستم های جلوگیری از نفوذ یا IPS ها است ، توجه کنید که اینها کاملا با هم متفاوت هستند ، درست است که این سیستم ها نیز ترافیک شبکه را مانیتور می کنند اما هدف اصلی آنها شناسایی حملات هکری یا کدهای مخرب و جلوگیری از دسترسی های غیرمجاز است و با ذات کاری NMS تفاوت دارند. در واقع وظیفه اصلی یک سیستم جامع NMS بررسی کیفیت ، وضعیت و کارایی شبکه شما در فعالیت های عادی و روزانه شبکه می باشد و هدف آن به صورت تخصصی امنیتی نیست ، هر چند که بعضا از آن با توجه به قوانین CIA و قانون Availability به عنوان یک سیستم امنیتی نیز نام برده می شود .

مانیتوریگ شبکه یکی از پرکاربرد ترین ابزارهایی هست که یک مدیر شبکه جهت مدیریت بهتر و بالا بردن Performance شبکه نیاز هست در شبکه تحت مدیریت خود راه اندازی کرده و شبکه خود را مانیتور کند مانیتورینگ شبکه همان طور که از اسمش پیدا هست به معنی پایش شبکه می باشد که میتواند جهت بالا بردن سرعت سرویس دهی و کم کردن هزینه ها در یک شبکه نیز کمک کند.مانیتورینگ شبکه شامل مانیتور کردن تمامی دیوایس های میشوند که در شبکه قرار دارند  که عبارتند از Server’s(Physical & Virtualization) , Router, Switch, Firewall,UPS و…همچنین میتواند سرویس های موجود درشبکه مثل Domain Controller, SQL Server,File Server, DCHP & DNS Server  و سایر سرویس های موجود در یک شبکه رو مانیتور کند.به راحتی  میتوانیم از ابزارهای مانیتوریگ جهت  صحت یا عدم صحت کار کرد Device های اعم از Firwall ,server,Router,Switch و حتی Ups و سایر دستگاه های شبکه آگاه شویم و همچنین با پایش CPU,RAM,H.D.D  Power , و  Networkیک دستگاهی  میتوانیم بفهمیم که میزان استفاده از این پردازنده و حافظه در یک سیسم در چه سطحی هست ودر صورت بحرانی بودن به وضعیت Device خود رسیدگی کنیم با یک مثال ساده میخواهیم نشون بدهیم که مانیتورینگ شبکه در چه صورتی میتواند در صرفه جویی هزینه ها به ما کمک کند.همان طور که گفته شد با استفاده از مانیتورینگ می توان وضعیت پهنای باند شبکه خود را مانیتور کرده و متوجه شویم که چقدر از پهنای باند ما مورد استفاده میگردد که این امر در صرفه جویی هزینه پهنای باند موثر هست و یک امتیاز محسوب میشود. و نیز با پایش پردازنده و حافظه سرور ها متوجه این موضوع خواهیم شد که چه مقدار از پردازنده و حافظه و هارد اختصاص داده شده به سرور خاصی مورد استفاده قرار میگیرد و این امر نیز بخصوص در شبکه های مبتنی بر زیر ساخت مجازی بسیار مفید بوده و کمک بسیار بزرگی در تصمیم گیری اختصاص پردازنه و حافظه به سرور ها خواهد نمود . نیز میتوان ترافیک شبکه رو مانیتور کرده و با بررسی ترافیک های هر سرور یا دیوایسی در صورت وجود یا کندی در ارتباط های شبکه پی برده و در صورت نیاز به رفع آن اقدام کنیم,  , تصویر زیر نمونه ای  از نرم افزار های مانیتورینگ هست که وضعیت پردازنده و حافظه و در دسترس  یا عدم دسترس بودن سرویس ها و دیواس های موجود در یک شبکه رو نمایش میدهد.

ادامه مطلب