Skip to Content

آرشیو

حمله Man in The Middle یا مرد میانی چیست؟

حمله Man in The Middle یا مرد میانی چیست؟

حمله Man in The Middle یا مرد میانی چیست؟ حمله Man in The Middle (به اختصار MITM) یا مرد میانی به نوعی از حملات گفته می شود که در آن شخص سوم اقدام به استراق سمع و تجسس اطلاعات در حال مبادله بین دو سیستم می کند. در این مطلب شما را با مفهوم حملات MITM آشنا می کنیم و همچنین در صورتی که علاقه مند به مطالعه بیشتر در این زمینه باشید ، می توانید کتاب PDF معرفی شده در ادامه را دانلود کنید.

حمله Man in The Middle یا مرد میانی چیست؟

حمله Man in The Middle یا مرد میانی چیست؟

توسط حملات middle-the-in-Man که به اختصار MITM و به فارسی حمله مردی در میان خوانده می شود امکان استراق سمع و تجسس بر اطلاعات رد و بدل شده بین دو سیستم میسر می گردد. برای نمونه هنگام مبادله اطلاعات از نوع HTTP ،هدف حمله، ارتباط TCP میان کاربر و سرور است. شخص مهاجم با استفاده از روشهای مختلف، ارتباط TCP اصلی را به دو ارتباط جدید تقسیم می کند. همان طور که در تصویر ۱ مشخص است، این دو ارتباط شامل ارتباط میان حمله کننده و کاربر و ارتباط میان حمله کننده و سرور می باشد. هنگامی که ارتباط TCP ردیابی شد، شخص حمله کننده به عنوان یک فیلتر که قادر به خواندن، تغییر و اضافه کردن اطلاعات است عمل می کند.

حمله Man in The Middle یا مرد میانی چیست؟

شکل ۱ .نمونه تصویری حمله شخص میانی

از آنجایی که برنامه های http و انتقال داده بر پایه ASCII طراحی شده اند، حملات MITM می تواند بسیار مؤثر باشد. توسط این حملات، امکان مشاهده یا جمع آوری اطلاعات موجود در http و همچنین اطلاعات مبادله شده براحتی میسر می شود. بنابراین وقتی بتوان یک کوکی session را که در حال خواندن اطلاعات http می باشد کنترل کرد، پس این امکان نیز وجود خواهد داشت که مثلاً عدد مربوط به مقدار پول را در برنامه تراکنش تغییر داد.

حمله Man in The Middle یا مرد میانی چیست؟

شکل ۲ .نمونه تصویری یک بسته http که توسط Proxy Paros ردیابی شده است

با استفاده از روش های مشابه، می توان اقدام به حمله MITM به ارتباطات https نمود. تنها تفاوت این حمله، در نحوه برقراری دو session SSL مستقل در دوسر ارتباط TCP می باشد. در این حالت، مرورگر اینترنت یک ارتباط SSL با فرد حمله کننده ایجاد نموده و شخص حمله کننده نیز یک ارتباط SSL دیگر با سرور برقرار می نماید. در این هنگام، معمولاً مرورگر اینترنت یک پیغام هشدار دهنده برای کاربر ارسال می کند ولی کاربر به علت عدم آگاهی از وجود تهدید، این پیغام را نادیده می گیرد. در برخی موارد امکان دارد پیغام هشدار برای کاربر ارسال نگردد. به عنوان مثال، هنگامی که تأییده سرور مورد حمله قرار گرفته باشد یا در شرایطی که شخص حمله کننده مورد تأیید یک CA معتمد قرار گرفته باشد که CN آن همان CN وب سایت اصلی باشد. حملات MITM فقط به منظور حمله به سیستم ها در شبکه استفاده نمی شوند، معمولاً از این حملات هنگام اجرای یک برنامه شبکه یا در جهت کمک به آسیب پذیر نمودن شبکه نیز استفاده می گردد.

 

 

 

 

ادامه مطلب

راه اندازی SSH در سیسکو

راه اندازی SSH در سیسکو

راه اندازی SSH در سیسکو

راه اندازی SSH در سیسکو

یکی از متداولترین روش های اتصال به سخت افزارهای سیسکو استفاده از پروتکل telnet می باشد. حتما با telnet آشنایی دارید.
یک پروتکل که عموما برای مدیریت و کنترل سخت افزار ها از راه دور استفاده می شود. این پروتکل اطلاعات را به صورت clear text میان سرور و کلاینت عبور میدهد, که این امر باعث نا امنی زیادی می شود. چرا که به راحتی می توان با قرار دادن یک Packet capture مانند Wireshark تمامی Packet های عبوری را مشاهده و از اطلاعات آن سو استفاده کرد. البته روشهایی برای امن کردن آن مانند دسترسی تنها چند کامپیوتر خاص به telnet وجود دارد. اما باز هم نمیتوان امنیت آن را تضمین کرد.
یک راه حل مفید برای جایگزینی telnet استفاده از پروتکل SSH است. SSH یا Secure Shell پروتکلی است که اطلاعات را به صورت کد شده میان سرور و کلاینت رد و بدل میکند.
به صورت پیش فرض این پروتکل در روتر ها و سوئیچ های سیسکو غیر فعال است.
این جدول نشان دهنده IOS ها و سخت افزارهایی است که از پروتکل SSH پشتیبانی میکنند.

Router IOS

C1700      12.1(1) and later

C2600      12.1(1) and later

C3600      12.1(1) and later

C7200      12.1(1) and later

C7500      12.1(1) and later

Ubr920     12.1(1) and later

 

CatOS SSH
Cat 4000/4500/2948G/2980G (CatOS)                K9 images as of 6.1

Cat 5000/5500 (CatOS)                                     K9 images as of 6.1

Cat 6000/6500 (CatOS)                                     K9 images as of 6.1

Cat 2950                                                         12.1(12c)EA1 and later

Cat 3550*                                                       12.1(11)EA1 and later

Cat 4000/4500 (Integrated Cisco IOS Software)   12.1(13)EW and later

Cat 6000/5500 (Integrated Cisco IOS Software)   12.1(11b)E and later

Cat 8540/8510                                                 12.1(12c)EY and later, 12.1(14)E1 and later

 

NO SSH Support

Cat 1900                  no
Cat 2800                  no
Cat 2948G-L3            no
Cat 2900XL               no
Cat 3500XL               no
Cat 4840G-L3            no
Cat 4908G-L3            no

برای فعال سازی SSH ابتدا میبایست hostname و domain name را مشخص کنیم:

  • تغییرhostname
Router(config)#hostname PersianAdmins

 

  • مشخص کردنdomain name
vCenter(config)#ip domain-name router1.vcenter.ir

 

  • حالا باید یک RSA key pair برای روتر خود تولید کنیم. که با تولید این کلید به طور اتوماتیک SSH بر روی روتر شما فعال خواهد شد.
vCenter(config)#crypto key generate rsa

 

‏IOS از شما خواهد پرسید که طول این کلید چند بیتی باشد. که میتوانید از 360 تا 2048 انتخاب کنید. پیش فرض آن 512 است که توصیه میشود از کلید 1024 بیتی استفاده نمائید.
هم اکنون SSH بر روی روتر شما فعال است و میتوانید بوسیله نرم افزارهای مانند Putty به آن متصل شوید.
لینک دانلود putty:

 

http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

 

شما میتوانید بعضی از تنظیمات مانند مدت زمان تبادل کلید ( بین SSH Server و SSH Client ) و تعداد دفعات تلاش برای وارد کردن username و Password را مشخص کنید. مدت زمان تبادل کلید ماگزیمم 120 ثانیه است که به صورت پیش فرض همان 120 ثانیه تنظیم گردیده و تعداد دفعات تلاش برای login 5 دفعه که به صورت پیش فرض 3 دفعه تعیین گردیده است.

vCenter(config)#ip ssh timeout 100
vCenter(config)#ip ssh authentication-retries 4

 

با دستور زیر هم میتوان اینترفیسی که کانکشن SSH به آن وارو میشود را مشخص کرد:

vCenter(config)#ip ssh source-interface f0/1

و برای log بر داشتن از کانکشن های SSH :

 

vCenter(config)#ip ssh logging events

 

برای غیر فعال نمودن SSH میتوانید از این دستور استفاده کنید:

 

vCenter(config)#crypto key zeroize rsa

 

شما میتوانید با دستور زیر وضعیت SSH را چک کنید:

 

vCenter#show ip ssh

 

برای مشاهده لیست کانکشن های متصل با SSH

 

vCenter#show ssh

 

بقیه تنظیمات SSH از تنظیمات  line vty 0 4 پیروی میکند. تنظیماتی مانند مدت زمان هر کانکشن که پیش فرض در صورت Idle بودن 10 دقیقه است و ماکزیمم 5 کانکشن همزمان پشتیبانی میکند.
ممکن است شما نیاز به مدت زمان زیادی برای باز بودن یک کانشن دارید. حتی اگر استفاده ای از آن نشود و از هر 10 دقیقه یکبار از وارد کردن Username و Password رنج میبرید. میتوانید با این دستور مدت زمان آن را زیاد کنید اما توجه داشته باشید که این کار از لچاظ امنیتی توصیه نمی شود:

vCenter(config)#line vty 0 4
vCenter(config-line)#exec-timeout 35

 

که این عدد میتوانید بین 0 تا 35791 دقیقه باشد.
در بعضی شبکه ها شما دارای تعداد زیادی روتر و سوئیچ هستید که میبایست با تمامی آنها کار کنید. اینجا یک مشکل به وجود می آید. اگر شما پسورد های مختلف روی آنها قرار بدید به خاطر سپردن آنها خیلی سخت خواهد بود و اگر همه را یکسان بگذارید از لحاظ امنیتی دچار مشکل خواهید شد. چرا که در صورت لو رفتن پسورد یک روتر شما تمامی روترهای خود را از دست خواهید داد.
برای حل این مشکل میتوانیم از یک Radius server استفاده کنیم. Radius دارای یک دیتا بیس است که لیست یوزرهای ما , مشخصات و صفات آنها در آن ثبت میشود. وقتی شما سعی میکنید که به یک روتر متصل شوید آن روتر یوزر و پسورد شما را به Radius میفرستد. اگر آنها درست بودند یک پیغام از Radius به روتر فرستاده میشود و روتر به شمااجازه ورود می دهد. که این کار مزایای دیگری نیز دارد.

  • شما میتوانید زمان ورود و خروج کاربران مختلف را ثبت کنید
  • تنها یک پسورد به خاطر می سپارید
  • میتوانید برای ورود به روتر زمان مشخص کنید
  • سطح دسترسی هر یوزر به روتر قابل کنترل است
  • با یکبار عوض کردن پسورد در تمامی روتر ها پسورد شما عوض خواهد شد

ابتدا میبایست مشخص کنیم که چه درخواست هایی به Radius فرستاده شود

 

vCenter(config)#aaa new-model
vCenter(config)#aaa authentication login shahin group radius local
vCenter(config)#aaa authentication enable default group radius

 

در خط دوم مشخص کرده ایم که چک کردن یوزر و پسورد ورود به روتر به radius برود اگر radius نبود از میان یوزرهای ساخته شده داخل خود روتر چک کند. ما میتوانیم متد های مختلف برای هر اکانتینگ  داشته باشیم. اگر بجای واژه shahin بنویسیم default آنگاه این دستور برای تمامی اینترفیس ها اعمال میشود. اما اگر یک اسم خاص بنویسیم میتوانیم هر اینترفیسی که میخواهیم را به این لیست اضافه کنیم.
خط سوم نیز تمامی درخواست های enable را به radius می فرستد با این تفاوت که روی تمامی اینترفیس ها اعمال شده و فقط از radius چک می شود. یعنی اگر radius قابل دسترس نبود از اطلاعات موجود در روتر استفاده نمی کند.
در مرحله بعد میبایست یک radius server برای روتر مشخص کنیم.

 

vCenter(config)#radius-server host 192.168.9.6  auth-port 1812 acct-port 1813 key 8888

 

که پورت 1812 برای authentication و 1813 برای Accounting مشخص شدند که اینها قرار دادی است و میتوان بسته به radius server آنها را تغییر داد. در آخر هم یک shared-key مشخص کرده ایم که در radius نیز باید آن را وارد کنیم که صرفا جهت بالا بردن ضریب امنیت است.
حال داخل line vty 0 4 مشخص میکنیم که از تنظیمات لیست shahin پیروی کند:

 

vCenter(config)#line vty 0 4
vCenter(config-line)#login authentication shahin

 

شما میتوانید از یک Radius server استاندارد مثل NttacPlus یا IBSng استفاده کنید. یک عدد RAS مشخص کنید و یک یوزر بسازید.
با آن یوزر میتوانید به روتر خود وصل شوید.
در تنظیمات دیدیم که enable نیز به radius فرستاده شد. شما میبایست یک یوزر با نام $enab15$ بسازید و یک پسورد برای آن مشخص کنید. وقتی که دستور enable را در روتر وارد میکنید روتر درخواست شما را با این یوزر به روتر خواهد فرستاد.
و آخرین نکته این که ممکن است در بعضی مواقع لینک ارتباطی شما تا radius دچار مشکل شود به همین دلیل شما قادر به ورود به روتر نخواهید بود. برای مرتفع کردن این مشکل میتوانید یک یوزر با privilege 15 بر روی روتر بسازید. با انجام تنظیمات بالا روتر ابتدا تلاش میکند که به radius متصل شود. در صورت عدم اتصال به radius به شما اجازه خواهد داد که با آن یوزر وارد روتر شوید.

 

vCenter(config)#username reza privilege 15 password 1234

 

و برای گزارش های radius از دستور زیر میتوانید استفاده کنید:

 

vCenter#show radius statistics

 

 

 

 

 

ادامه مطلب

كاربرد مديريت شبكه

كاربرد مديريت شبكه

كاربرد مديريت شبكه

كاربرد مديريت شبكه

كاربرد مديريت شبكه : مديريت براي سرويس‌هاي اطلاعات شبكه بندي شده، هم مديريت منابع سيستم و هم مديريت شبكه را طلب مي‌كند. يعني مديريت در اين زمينه مهم است. OSI مديريت شبكه را در يك معماري 5 لايه تعريف مي‌كند. ما اين مدل را توسعه مي‌دهيم تا مديريت سيستم را نيز شامل شود كه در شكل 1 آمده است.

كاربرد مديريت شبكه در 5 زمينه است.

  • مديريت پيكربندي
  • مديريت خطا
  • مديريت كارائي
  • مديريت امنيت
  • مديريت محاسبه

مديريت پيكربندي صرفاً به نقطه نظرات عملياتي نگاه نمي‌كند بلكه به نقطه نظرات مهندسي و طرح‌ريزي نيز توجه دارد. طرز عمل خود را در مورد مديريت پيكربندي در پيش‌بيني‌هاي شبكه و مديريت موجوديتها بيان و بحث خواهيم كرد. كه عنوانهاي مفروض براي پيكربندي، توپولوژي شبكه مي‌باشد. كه قسمتي از مديريت شبكه‌ها به صورت سنتي است.

مديريت خطا، خواستار كشف يك خطا است كه در شبكه پديد آمده است و تشخيص مكان خطا و جداسازي از مشكلات به پي‌آمد آن بايد انجام گيرد.

توصيف كردن كارائي در قسمتهايي از يك شبكه، مشكل تر از تعريف كردن قسمتهاي آن مي‌باشد. براي مثال ما زماني مشاهده مي‌كنيم كه در قسمتي  كارائي شبكه كند شده است. در آن صورت ما نيازمند تعريف كردن كندي هستيم مبني بر اينكه قطعة شبكه آهسته شده است كه ممكن است از آهسته عمل كردن سروري باشد كه كاربرد را روي خود داشته و اجرا مي‌كند. در قسمتي كه به مديريت كارائي مربوط مي‌شود در مورد شاخصهاي كارائي و چگونگي مانيتور كردن يك شبكه در جهت رسيدن به كارائي مورد نظر بحث خواهيم كرد. آمارهاي كارائي يك قسمت اصلي در مديريت شبكه بازي مي‌كند كه براي اين منظور چندين ابزار سيستم در دسترس را براي جمع‌آوري آمارها بيان خواهيم كرد.

موقعي كه يك خطا در شبكه روي مي‌دهد يا علت آن از عيب اجزاء است يا از كارائي است و ممكن است، در بيشتر مكانها خود را نشان دهد لذا در يك سيستم مديريت متمركز شده، خطاها مي‌توانند از مكانهاي مختلف بيايند رخدادهاي خطا با پيدا كردن علّت مشكل همانند يك جنگ تن به تن مي‌ماند.

امنيت شبكه به جلوگيري كردن از دسترسي‌هاي غير مجاز به اطلاعات توسط پرسنل و اشخاص غير مجاز مربوط مي‌شود، امنيت شبكه علاوه بر اينكه خواستار بحث تكنيكي است نيازمند سياستها و رويه‌هاي خوب تعريف شده مي‌باشد.

ما همچنين مي‌توانيم از يك رمز در ارتباط ميان منبع و دريافت كننده بهره بگيريم بدون اينكه مانيتور و دستكاري غير قانوني داشته باشيم.

براي داشتن نگهداري خوب به محاسبه‌گري در مديريت و گزارشات نيازمنديم كه اين عمل سلامت اقتصادي را در بر دارد، كزارش براي مديريت به منظورهاي مختلفي و به عنوان عملهاي روزانه شبكه، انجام مي‌گيرد.  براي مثال گزارشاتي براي اندازه‌گيري كيفيت سرويس‌ها مورد نياز است كه در توافقات سطح سرويس صورت گرفته وتهيه مي‌گردد.

مديريت شبكه در سه سطح و مديريت سرويس در چهار سطح از سلسله مراتب بنا نهاده شده است كه نه تنها مفروضات تكنيكي است بلكه تصميم‌هاي سياسي نيز هست سياستها يكبار ايجاد شده كه بعضي در سيستم‌ها پياده‌سازي شده‌اند. براي مثال براي حل تراكم شبكه در ترافيكهاي بالا ممكن است به طور اتوماتيك پارامتر‌ها را تنظيم نمايد. به اين معني كه پهناي باند را زياد كرده تا ترافيك كاهش يابد. كه قبلاً يكي از سياستهاي تصميم‌گيري بود و در قسمتي از سيستم مديريت پياده‌سازي مي‌شد.

مديريت سطوح سرويس در بخش مهمي از مديريت سيستم و شبكه آورده شده است كه از مديريت منابع برتر مي‌باشد كه به توافقات سطح سرويس ميان مشتري‌ها وارائه كننده سرويس و به كيفيتي كه از شبكه و سيستم انتظار داريم مربوط مي‌شود و سرويس‌هاي كاربرد، اقتصادي ارائه و نگهداري مي‌شوند.

 

 

ادامه مطلب

تاريخچه امنيت در شبكه های كامپيوتری

تاريخچه امنيت در شبكه های كامپيوتری

تاريخچه امنيت در شبكه های كامپيوتری

تاريخچه امنيت در شبكه های كامپيوتری

در چند دهة نخست پيدايش شبكه‌ها، محققين دانشگاه از آنها براي ارسال پست الكترونيكي استفاده مي‌كردند و كارمندان نيز براي اشتراك چاپگرها از آن استفاده مي‌نمودند. تحت اين شرايط امنيت مورد توجه نبود. اما اكنون، ميليونها شهروند از شبكه‌ها براي امور بانكي و مالياتي استفاده مي‌كنند و در نتيجه، امنيت شبكه از اهميت خاصي برخوردار است.
معيارهاي ارزيابي امنيت سيستم‌ها، موضوعي است كه از اوايل دهة 1980 ميلادي با گزارش موسوم به «Orange book» به وسيلة وزارت دفاع آمريكا، مطرح شد هدف از معيارهاي ارزيابي، اراية الگويي براي طبقه‌بندي سيستم‌هاي كامپيوتري بر اساس قابليت‌هاي اشاره شده از سوي پنتاگون در چهار بخش و هفت رده به طبقه‌بندي سيستم‌هاي كامپيوتري مي‌پردازند. معيارهاي ارزيابي ابتدا براي سيستم‌هاي نظامي مطرح شد. امروزه در صحنة بين‌المللي شاهد تلاش كشورها و مجامع مختلف براي اراية معيارهاي مشتركي به منظور ارزيابي كليه سيستم‌هاي كامپيوتري هستيم.

 

ادامه مطلب

مزايای سيستم انتقال فيبر‌نوری

مزايای سيستم انتقال فيبر‌نوری

مزايای سيستم انتقال فيبر‌نوری

مزايای سيستم انتقال فيبر‌نوری

فیبر نوری از جمله ابزار های انتقال اطلاعات است ، که در زمینه های مختلفی مانند شبکه های صنعتی و مخابراتی کاردبرد فراوانی دارد و به علت حجم کم و توان انتقال بالا بیشتر سیستم های انتقال اطلاعات کابلی به سمت استفاده از فیبر نوری رفته اند.

1- پهنای باند بسيار بالا
2- افت بسيار کم
3- وزن کم و قطر کوچک
4- ايزولاسيون کامل الکتريکی
5- مصونيت در برابر تداخل و هم شنوايی
6- امنيت سيگنال
7- فراوانی و ارزان بودن مواد
8- نگهداری آسان
9- ظرافت و قابليت انعطاف
10- مصونيت در مقابل عوامل جوی و رطوبت

 

.1پهناي باند بسیار زیاد

پهناي باند بسیار زیاد، در نتیجه ظرفیت انتقال بیشتر Band Width ،فرکانس این سیستم در محدوده 1012 تا 1016 هرتز است و در مقایسه با سیستم کابلهاي فلزي قابلیت بسیار زیادي را ارائه می دهد فرکانس نور مورد استفاده در این سیستم ارتباطی معمولاً نزدیک به اشعه مادون قرمز و حدود HZ1014 یا GHZ105 می باشد لازم به یادآوري است که سیستم ارتباط از طریق کابل کواکسیال داراي پهناي باند حدود 500MHZ بوده و سیستم امواج میلیمتري رادیویی در حدود 700MHZ پهناي باند دارد. بنابراین حجم اطلاعاتی که توسط کابل هاي فیبر نوري قابل انتقال است خیلی بیشتر از بهترین سیستم کابل هاي مسی می باشد. با توجه به اینکه در کابل هاي کواکسیال هنگامی که فرکانس از 100MHZ بیشتر شود انتقال تنها در مسافت چند کیلومتر امکان پذیر است.

.2تضعیف بسیار کم Attenuation

تضعیف بسیار کم فیبرهاي نوري از امتیازات مهم آن بشمار می رود و این فیبرها را در مسافت زیاد بدون استفاده از ریپیتر می توان مورد استفاده قرار داد. تضعیفی در حدود 0.2db/km در مورد فیبرهایی که هم اکنون بطور معمول مورد استفاده قرار می گیرند وجود دارد تضعیف در طول موج هاي مختلف متفاوت است و بستگی به عوامل زیادي دارد که در بحث مربوط به تضعیف مفصلاً شرح داده خواهد شد ولی در طول موج هاي 16001100 نانومتر کمترین تضعیف بدست آمده است مثلاً در طول موجµm1.55 و تضعیف 0.2db/km و در طول موج 1.3 تضعیف حدود 0.3db/km را داریم.

3. وزن کم و قطر کوچک Small size and weight

مزیت دیگر ، کوچک بودن قطر کابل که باعث کمتر اشغال نمودن کانال می گردد. قطر رشته هاي فیبر نوري در حدود قطر موي سر بوده و هنگامیکه تعدادي از این رشته ها بطور مجتمع در یک پوسته قرا گرفته و بعنوان کابل مورد استفاده قرار می گیرد باز هم قطر بسیار کمی را دارا خواهد بود. قطر فیبرها با توجه به نوع آنها متفاوت است. مثلاً براي فیبر تک مدي قطر هسته بین12(-3) میکرومتر و قطر پوشش (غلاف) بین 125(-05) میکرومتر می باشد و بطور کلی با توجه به قطر کم داراي وزن بسیار کمی نیز می باشد که طول زیادي از کابل روي یک قرقره بسته می شود و به سادگی حمل می گردد اگر یک مقایسه نسبی بین فیبر نوري و کابل مسی داشته باشیم. 40 کیلومتر فیبر نوري داراي وزنی معادل 1kg است در صورتیکه یک و نیم کیلومتر سیم مسی با قطر 0.32 میلی متر داراي وزن 1kg می باشد. همچنین در هواپیما که وزن کم اهمیت ویژه اي دارد از فیبر نوري می توان استفاده کرد. بطور مثال در هواپیماي جنگی میراژ 2000 حدود 16km فیبر نوري بکار رفته است.

4. ایزولاسیون کامل الکتریکی Electrical Isolation

عدم تأثیر جریانات القائی الکتریکی بر روي موج برهاي نوري نیز یکی از خواص مهم فیبر نوري می باشد. میدان هاي ناشی از تشعشع کابل هاي برق تأثیري در این موج برها ندارند و می توان رشته هاي سیم مسی را هم در کابل نوري پیش بینی کرد و برق مورد نیاز تقویت کننده هاي بین راه را از این طریق تأمین کرد و یا می توان خطوط فیبر نوري را در روي دکل هاي برق فشار قوي نصب کرد.

5. مصونیت در برابر تداخل و هم شنوایی Immunity to inter ference and crosstalk

امواج الکترو مغناطیس و امواج با فرکانس رادیوئی اثري بر روي کابل هاي فیبر نوري ندارند بنابراین سیستم ارتباطات نوري در مقابل محیط آلوده به نویز مصون بوده علاوه بر این کابل هاي فیبر نوري که در مجاور هم هستند نیز بر روي یکدیگر اثرات القایی ندارند و بر خلاف کابل هاي مسی ، پدیده کراستاك در آنها بسیار ناچیز است و استفاده در کاربردهاي نظامی که مسئله تداخل با دیگر امواج الکترو مغناطیس اهمیت دارد. طبیعت عایق فیبر نوري امکان هر نوع تداخل را از بین می برد و در فیبر نوري نگرانی از اتصال به زمین براي موج بر وجود ندارد.

6. امنیت سیگنال Signal Security   

نوري که از فیبرهاي نوري عبور می کند فاقد پدیده تشعشع بوده و بنابراین اطلاعات ارسالی از طریق سیستم ارتباطات فیبر نوري در مسیر انتقال قابل بهره برداري و استفاده هاي استراق سمع نمی باشد و براي مقاصد نظامی ایده آل می باشد.

7. فراوانی و ارزان بودن موارد Potential Low Cost

یکی دیگر از مزایاي فیبر نوري این است که ماده اولیه آن شیشه سیلیکا است و آن را در همه جا می توان یافت. چرا که منبع اصلی سیلیکا ، سنگ و شن و ماسه است. در نتیجه قیمت کابل هاي فیبر نوري بسیار ارزانتر از کابل هاي مسی تمام می شود.

8.نگهداري آسان  Eeasy of maintenance   

با توجه به تضعیف کم این کابل ها نیاز کمتري به وجود ریپتر در طول مسیر می باشد. یعنی فاصله تکرار کننده ها نسبت به سیستم هاي کابل هاي مسی بیشتر است در نتیجه تعمیرات این کابل ها ساده تر و با هزینه و وقت کمتري انجام پذیر است و چون تعداد مفصل ها نسبت به کابل مسی کمتر است و در هر مفصل مقداري تضعیف داریم در نتیجه خرابی کمتر و نصب نگهداري آسانتر می باشد ، طول هر کابل فیبر نوري در حدود چندین کیلومتر می باشد.

9. ظرافت و قابلیت انعطاف Ruggedness and Flexibility

ظرافت و قابلیت خمش این رشته هاي موئین ضمن بوجود آوردن تسهیلاتی در امر جابجایی و انبار نمودن و کابلکشی ، وجود روکش هاي محافظ را جهت این کابل ها شایسته اهمیت می سازد.

10. مصونیت در مقابل عوامل جوي و رطوبت

فیبرهاي نوري در محیط هاي مرطوب و در درجه حرارت هاي (  30 ocتا – 70oc)  بازدهی خود را از دست نمی دهد.

ادامه مطلب

لن اکانتینگ در لایه هفت شبکه

لن اکانتینگ در لایه هفت شبکه (Layer 7 Accounting)

لن اکانتینگ در لایه هفت شبکه (Layer 7 Accounting)

لن اکانتینگ در لایه هفت شبکه (Layer 7 Accounting)

Layer 7 Accounting :

امروزه یکی از مهمترین چالش های سازمان ها در بکارگیری اینترنت، نگرانی از تهدیدات و حملاتی است که هر لحظه تهدید کننده، سرمایه و دارایی های الکترونیکی سازمان است. که معمولا به دلیل کامل نبودن زنجیره های امنیتی در سازمان ها باعث شده تا موضوع جداسازی بستر اتصال به اینترنت از شبکه داخلی به یک موضوع مهم و اصلی تبدیل شود.

در این بین جهت رفع این موضوع، راه کار های مختلفی از سوی کارشناسان ارائه شده است، که برخی از آنها هزینه های بسیار سنگینی را به سازمان ها تحمیل نموده است.

 

از جمله این راه کارها می توان به موارد زیر اشاره کرد:

  • طراحی و پیاده سازی یک شبکه مستقل به همراه سیستم های سخت افزاری و نرم افزاری مورد نیاز
  • راه اندازی مراکز اینترنت در سازمان ها به شیوه کافی نتی
  • استفاده از راه کاری های مبتنی بر مجازی سازی و سیستم های Virtual APP

 

پرواضح است که راه کار های اول و دوم، هزینه های سنگینی در دو بخش تجهیز و نگهداری را بر دوش سازمان می اندازد. ضمن آنکه نتوانسته است. از لحاظ فنی از تبادل داده بین دو بستر داخلی و اینترنت جلوگیری نماید.

شاید به جرات بتوان گفت بهترین و تنها روش فنی و عملی جداسازی ، گزینه سوم است که  نسبت به دورش قبل از مزایای زیادی برخوردار است. برخی از این موارد عبارتند از:

 

  • ۱- کاهش هزینه های راه اندازی سرویس و ارائه خدمات نسبت به دو روش اول و دوم
  • ۲- امکان جداسازی ۱۰۰% ترافیکی و جلوگیری کامل از انتقال داده ها بین دو بستر
  • ۳- جلوگیری از اتلاف وقت پرسنل به واسطه حضور در محل دیگری به جز محل کار خود برای استفاده از اینترنت
  • ۴- کاهش هزینه های نگهداری و تعمیرات سخت افزار ها و نرم افزار های (بستر دومی یا کافی نت ها) در سازمان.
  • ۵- فعال شدن سرویس در کمترین زمان
  • ۶- عدم نیاز به انجام تغییرات در ساختار شبکه

Virtual App چیست؟

یکی از روش های مجازی سازی، مجازی سازی نرم افزار های کاربردی است، که امروزه فواید و کاربرد های آن بر همگان روشن است.  به واسطه قابلیت های بیشماری که اینگونه راه حل ها در اختیار استفاده کنند گان قرار می دهند، محبوبیت سیستم های Virtual App هر روز بیشتر و کاربردی تر می شود.

با استفاده از Virtual App می توان :

۱-    نرم افزارها را بدون در نظر گرفتن سیستم عامل اجرایی آنها دراختیار گرفت. این به آن معنی است که به عنوان مثال  یک نرم افزار حسابداری تحت ویندوز که فقط بر روی ویندوز XP اجرا می شود را میتوان روی Apple و یا Android اجرا نمود.

۲-    مدیریت و محدود سازی استفاده از نرم افزار های منتشر شده

۳-     امکان اجرای برنامه از راه دور

۴-    انتقال داده بین کاربر و برنامه از طریق یک بستر کاملا ایمن

لیکن یکی از مهمترین کاربرد های Virtual App در زمینه جداسازی شبکه های داخلی از بستر اینترنت است که به واسطه شرایط کنونی می تواند به عنوان بهترین و امن ترین راه کار در دستور کار قرارگیرد:

در سیستم های نرم افزارهای مجازی یا Virtual APP ، معمولا به جای در اختیار قراردادن یک سیستم عامل کامل (فیزیکی یا مجازی) فقط یک نرم افزار کاربردی مورد نیاز کاربر، در اختیار کاربر قرار می گیرد. این نرم افزار بر روی سرور با سطوح دسترسی و امنیتی از پیش تعریف شده و به درخواست کاربر اجرا می شود. در این وضعیت کاربر فقط تصویری از نرم افزار مذکور را بر روی سیستم خود دارد. به عبارت دیگر با آنکه ظواهر امر نشان می دهد که کاربر مستقیما برنامه را اجرا نموده است، ولی هیچ یک از فعالیت آن نرم افزار بر روی سیستم کاربر اجرا نمی شود. و فقط از طریق لایه امن شده ای امکان تبادل داده در حد یک ترمینال از سیستم کاربر به سرور فراهم شده است. بنابراین در این روش، بدون اینکه نیاز باشد تا کاربر( پرسنل) از سیستم دیگری استفاده نماید، بدون اتلاف وقت می تواند از خدمات مورد نظر و کاملا کنترل شده استفاده نماید.

با استفاده از این قابلیت، اگر در اختیار کاربر نرم افزار های مربوط به اینترنت نظیر Browser ها قرار گیرد، در این صورت می توان تصویری از آنچه را که کاربر Download می کند را به ایشان نشان دهیم و عملا همه عملیات بر روی سرور سرور انجام خواهد شد.

به واسطه عدم دسترسی کاربر به داده های تبادل شده با اینترنت، امکان انتقال هرگونه بد افزار منتفی خواهد بود. همچنین پس از خاتمه استفاده کاربر، تمامی سرویس های فعال شده برای ایشان از بین خواهد رفت و برای کاربر بعدی از ابتدا و با تنظیمهای پیش فرض آماده خواهد شد. لذا در این وضعیت هیچ گونه بد افزاری بر روی سرور نیز باقی نخواهد ماند.

با استفاده از روش فوق می توان مطمئن بود که تمامی مصرف کاربر در محیطی بسیار امن و بدون قابلیت نشت اطلاعات انجام خواهد شد.

تا این بخش از فرآیند، امکان فراهم سازی بستری ایمن و پایدار برای استفاده کاربران از اینترنت فراهم شده است. لیکن موضوع مهمتر در این حوزه مکانیزم های کنترل و مدیریت مصرف اینترنت است که در صورت عدم وجود آن کل پروژه با نقص فنی بزرگی مواجه خواهد بود.

 

ادامه مطلب

ایمنی شبکه بی سیم Wireless Security

ایمنی شبکه بی سیم Wireless Security

ایمنی شبکه بی سیم Wireless Security

ایمنی شبکه بی سیم Wireless Security

اهمیت سامانه های بی سیم، به دلیل صرفه جویی های فراوانی که در استفاده از منابع شبکه به همراه دارند، بر کسی پوشیده نیست. همچنین با توجه به مزایای متعدد این نوع از شبکه ها، استفاده از آنها در محیط های آموزشی، مراکز تفریحی، اقامتی و حتی اداری و سازمانی با استقبال فراوانی روبه رو بوده است. از جمله مزایای عمومی و تخصصی استفاده از شبکه های بی سیم در این اماکن میتوان به این موارد اشاره کرد:

 

  • سرعت استقرار: سیستم های بی سیم در سریعترین زمان و با ایجاد کمترین تغییر در یک مکان استقرار میابند.
  • بهره وری هزینه: هزینه های راه اندازی سیستم های بی سیم در دراز مدت بسیار کم تر از شبکه های با سیم است.
  • قابلیت توسعه پذیری: این سیستم ها به سرعت در مقیاس های وسیع قابل گسترش اند.
  • افزایش دسترسی و قابلیت جابه جایی: کاربران سیستم های بیسیم میتوانند در هر لحظه و در هر موقعیتی به سیستم متصل گردند.
  • توسعه آموزش الکترونیک در فضاهای آموزشی: با افزایش ضریب دسترسی به شبکه و اینترنت در درون دانشگاه ها و موسسات آموزشی و پژوهشی
  • امکان ارائه سرویس های متنوع: ارائه سرویس های اختصاصی به انواع گروه های سازمانی در موسسات آموزشی نظیر اساتید، کارمندان، دانشجویان، میهمان و مدعوین،…

 

چالش های شبکه های بی سیم که ما آنها را به فرصت تبدیل میکنیم

عدم رعایت برخی استاندارد ها در مورد تجهیزات شبکه های بی سیم و بی توجهی به اصول ایمنی در ایجاد این شبکه ها میتواند مخاطرات زیادی را بهمراه داشته باشد، از جمله:

۱- عدم امنیت شبکه

در این شبکه ها نفوذ پذیری شبکه توسط افراد غیر مجاز زیاد است. بسیاری از پروتکل های رایج امنیت شبکه در سیستم های بی سیم در مراکز بزرگ کارایی نداشته و به راحتی قابل نفوذ میباشند. به همین دلیل است که بسیاری از سازمان ها و شبکه ها بزرگ برای ایجاد شبکه های داخلی خود به بستر های سیمی روی می آورند. در برخی سازمان ها برای ایمن سازی شبکه های بی سیم اقدام به جداسازی فیزیکی تجهیزات شبکه های بیسیم از بستر شبکه های داخلی و با سیم مینمایند. این اقدام شاید باعث امنیت بالای شبکه داخلی و دوری از مخاطرات شبکه های بی سیم گردد، ولی هزینه های سر سام آوری را نیز به دنبال خواهد داشت !

در برخی از سازمان ها شبکه های بی سیم را به شبکه ها داخلی متصل نموده که میزان آسیب پذیری این شبکه ها را به شدت افزایش میدهد. کاربرانی که گاه بصورت میهمان به این شبکه ها متصل میگردند میتوانند شبکه را آلوده کنند، به بسیاری از منابع شبکه و اطلاعات محرمانه سازمانی دسترسی پیدا کنند و یا اطلاعات غیر مجازی را در شبکه قرار دهند.

۲- افت شدید کیفیت سرویس دهی در شبکه های بزرگ

همچنین عدم پشتیبانی از سامانه جابه جایی میتواند مرتباً باعث افت کیفیت ارائه خدمات و قطع آن گردد. در این شرایط تعداد اتصال به اکسس پوینت های خاص زیاد شده و باعث کاهش کیفیت دسترسی و گاهاً خارج شدن از گردونه سرویس دهی میگردد. بسیاری از دستگاه های رایج و غیر استاندارد مدعی داشتن این قابلیت هستند، در صورتیکه در عمل به اثبات رسیده است که بسیار ی از آنها از این سرویس پشتیبانی نمیکنند. با سرویس های استاندارد Roaming به راحتی میتوان بار اتصال را در اکسس پوینت ها تقسیم و بصورت کاملاٌ اتوماتیک مدیریت کرد. کیفیت ارائه سرویس در این نوع از شبکه ها بسیار بالا و پایدار است.

۳- مدیریت اتصال و تبادل اطلاعات کاربران در شبکه

در برخی شبکه های بیسیم، به علت عدم وجود سیستم مدیریت دسترسی کاربران، امکان تبادل اطلاعات بین بسیاری از کاربران وجود دارد. این مطلب میتواند تبدیل به یک مخاطره برای امنیت شبکه، بارگذاری اطلاعات غیر مجاز، دزدیده شدن اطلاعات شبکه،… گردد. این مساله همینطور باعث افزایش ترافیک اطلاعات روی اکسس پوینت ها گردیده و سرویس دهی آنها را با مشکل مواجه میکند. با ایجاد یک سیستم مدیریت دسترسی کاربران و Client ها به شبکه بی سیم، میتوان به شدت از این مخاطرات کاست. در این صورت کاربران داری حدود دسترسی و فعالیت خاص خود خواهند بود. شرکت مهندسین تحلیلگران آتی نگر راهکار شبکه های بی سیم خود را با این بینش ارائه میدهد که شبکه ای پایدار، سریع و ایمن را ایجاد نماید. بدینوسیله این دیدگاه در بین کاربران ایجاد میشودکه بستر های بی سیم نیز میتوانند به اندازه شبکه های با سیم، امن و پایدار گردند. از این رو این مجموعه در پی آن است که زیر ساخت های بی سیم را با بروزترین و ایمن ترین استاندارد ها ایجاد نماید.

خدمات شرکت آتی نگر در راه اندازی سیستم های بی سیم

  • امکان سنجی طرح: در طی این مرحله موقعیت مکانی پروژه بررسی و امکان سنجی طرح بر اساس ویژگی های محل انجام می پذیرد.
  • پیشنهاد بر اساس نیازهای محل: پس از انجام بررسی های اولیه و مشخص شدن ابعاد فیزیکی پروژه و همچنین اطلاع از نیاز های مدیران شبکه، بهترین پیشنهادات در زمینه تجهیزات ارائه میگردند.
  • ارائه راهکارهای امنیت شبکه: در این مرحله و با توجه به گستردگی و نیاز های شبکه داخلی، پیشنهادات ایمن سازی ارائه میگردند. این پیشنهادات میتوانند شامل تجهیزات فیزیکی و یا نرم افزاری باشند.
  • پیاده سازی و راه اندازی: در این مرحله بسترهای لازم جهت راه اندازی شبکه بی سیم آماده و در صورت لزوم، برخی تغییرات در ساختار فعلی شبکه ها صورت میگیرد.
  • تکمیل پروژه: با ایجاد قابلیت هایی نظیر سیستم های مدیریت مصرف اینترنت، سیستم های Captive Portal، سامانه های پرداخت الکترونیک،…

 

 

ادامه مطلب

مفهوم Software Defined Network یا SDN

مفهوم Software Defined Network یا SDN

مفهوم Software Defined Network یا SDN

مفهوم Software Defined Network یا SDN

مفهوم Software Defined Network یا SDN

در مقاله زیر سعی شده است بطور چکیده مفاهیم اولیه فناوری SDN ارائه شود تا خواننده با اصول اولیه و مفاهیم کلی فناوری SDN آشنا گردد.

بطور سنتی سوییچ های Ethernet دارای واحد پردازشی بعنوان تصمیم گیرنده ( Control Plane) و بخش دیگری بعنوان فرستنده داده ( Data plane ) می باشند. هر تجهیز شبکه دارای سامانه پردازشی و ارسال بسته داده مستقل از هم می باشد در شکل های بالا معماری پیشین تجهیزات شبکه به نمایش درآمده است. هنگامی که شما دستگاه شبکه ای را پیکر بندی می کنید در واقع تعامل شما با Control plane صورت می پذیرد. انجام پردازش های مربوط به چگونگی ارسال داده ها

شامل Switching ، Routing، QOS، Access Control List و غیره در Control plane با بکارگیری پردازنده اصلی دستگاه و نرم افزار( IOS ) بهینه شده انجام می شود یکی از ویژگی های اصلی تجهیزات سخت افزاری شبکه این است که در کمترین زمان، پردازش های مورد نیاز را انجام می دهند در واقع یکی از چالش های رقابت بر انگیز میان سازندگان تجهیزات شبکه، ارائه تجهیزات سخت افزاری و روش های بهینه برای انجام سریع و موثر چنین پردازش های می باشد. با نگاه به روند ارائه تجهیزات شبکه در ده سال اخیر می توان کاهش زمان لازم برای ارسال بسته داده (Switching Latency ) و افزایش حجم ترافیک گذر دهی ( Forwarding Throughput ) را مشاهده کرد. بعنوان نمونه سوییچ های سری Cisco Catalyst 2960 از توان گذردهی ۳۲Gbps به بیش از ۲۰۰ Gbps ارتقاء پیدا کرده اند و این روند همچنان ادامه دارد.

از ماژول های مدیریتی ( Supervisor Engine ) در سوییچ های سری Cisco 6500 و Management Module در سوییچ هایHP 8200 می توان بعنوان Control plane یاد کرد. نتایج حاصل از داده های پردازش شده توسط Control Plane در حافظه سوییچ به صورت جداول FIB،CAM ، Routing Table، ARP Table و غیره تشکیل می گردد وبا توجه به سرویس های قابل ارائه مورد استفاده قرار می گیرد به عنوان مثال Control plane دستگاه با دریافت بسته پیام BPDU مربوط به پروتکل STP محاسبات مربوط به ایجاد ساختار بدون Loop را انجام می دهد و پس از آن، اطلاعات بدست آمده را برای اعمال به Data Plane ارسال می کند. در برخی از سرویس ها مانند Quality of Service، Access Control List و Routing Protocols به دلیل پیچیدگی و حجم بالای پردازش های مورد نیاز، معماری سنتی با محدودیت های جدی مواجه می شود از این رو گرایش به ایجاد تغییرات برای رفع محدودیت های بیان شده ضروری می باشد.. شکل ۲ نمایانگر یکی از ماژول های مدیریتی می باشد تجهیزات مورد نظر دارای صرفا رابط های مدیریتی بوده و در صورتی که دارای پورت های داده باشند به تعداد بسیار محدود می باشند.

مفهوم Software Defined Network یا SDN

Data Plane و یا فرستنده داده در سوییچ های ماژولار بصورت Line Card عرضه می شود و در سوییچ های غیر ماژولار بصورت یکپارچه در دستگاه تعبیه شده است. در سوییچ های ماژولار امکان افزودن Line card به شاسی اصلی در هر لحظه ممکن می باشد ماژول های یاد شده دارای پورت های ارسال کننده داده از انواع گوناگون با تعداد ۲۴و یا ۴۸پورت می باشند. این تجهیزات با بار گذاری اطلاعات مورد نیاز از Control plane به صورت محلی در حافظه خود و بکارگیری سخت افزار ویژه ( Application Specific IC ) اقدام به ارسال داده بر روی پورت خروجی مناسب می نماید. در شکل ۳۳ ماژول فرستنده داده نمایش داده شده است.

مفهوم Software Defined Network یا SDN

در معماری سنتی تجهیزات شبکه بخش تصمیم گیرنده در ارتباط تنگاتنگ با بخش فرستنده می باشد و هرگونه تلاش برای جدا سازی و متمرکز سازی آن در کل شبکه نتیجه بخش نخواهد بود. زیرا محدوده کارکرد واحد تصمیم گیرنده محدود به همان سخت افزار می باشد و بدلیل عدم ارتباط با دیگر تجهیزات شبکه نمی تواند دایره تصمیم گیری خود را به کل تجهیزات شبکه گسترش دهد.

از محدودیت های دامن گیر معماری سنتی می توان به موارد زیر اشاره کرد.

          ۱٫ عدم چابکی و خودکار سازی روال های پیاده سازی سرویس های مورد نیاز در کل تجهیزات شبکه

بطور مثال پیکربندی ACL و یا QoS می بایست بر روی تک تک تجهیزات شبکه تکرار و انجام شود و این فرآیند زمان بر و مستعد خطا بود و رفع مشکلات آن بسیار سخت می باشد. در واقع نمی توان پیکربندی مورد نیاز را یک بار انجام داد و آنرا به کل تجهیزات شبکه بسط داد.

          ۲٫ گسترش پذیری محدود پردازشی و نا همگون مبتنی بر نیاز های سرویسی شبکه

performance دستگاه های شبکه درصورت اجرای سرویس های همچون PBR، QoS،Calculation Routing،Traffic Engineering و غیره بطور قابل توجهی کاهش می یابد دلیل این امر آن است که برخی از سرویس ها بر اساس معماری سنتی سه لایه شبکه تنها در لایه ای خاص قابل اجرا بوده و در نتیجه بار پردازشی مربوطه درآن لایه از شبکه بطور تصاعدی افزایش می یابد و به همین دلیل گلوگاه ترافیکی ایجاد می گردد تلاش برای افزایش توان پردازشی به منظور رفع این محدودیت نتیجه بخش نبوده است.

          ۳٫ عدم امکان مدیریت متمرکز تجهیزات درگیر در مسیر جابجا شدن اطلاعات در شبکه

به دلیل نبود دید کامل و دقیق از همبندی منطقی شبکه امکان ایجاد راه کار جامع و یکپارچه برای پیکر بندی تجهیزات شبکه درگیر در فرآیند جابجا شدن بسته داده و پایش لحظه ای بسته داده در مسیر حرکت خود میسر نبوده.

          ۴٫ عدم امکان ایجاد شبکه های هم پوشان با امکان جداسازی کامل

با گسترش ارائه خدمات میزبانی سرویس های فناوری اطلاعات در مراکز داده، نیاز به جداسازی منطقی مشتریان اینگونه خدمات اهمیت پیدا کرده است. در معماری سنتی این کار با استفاده از شبکه های مجازی (Vlan ) و اعمال کنترل های امنیتی ممکن می گردد. به دلیل محدودیت های ذاتی در چنین پروتکلهای، توسعه پذیری کمی و کیفی با محدودیت های زیادی روبرو می گردد. عدم امکان ایجاد شبکه های همپوشان و یاMulti-Tenancy با امکان ارائه سرویس از دیگر ضعف های معماری سنتی شبکه می باشد.

          ۵٫ عدم امکان مدیریت و کنترل ترافیک تولیدی از مبداء تا مقصد در زیر ساخت مجازی سازی بطور کامل

به دلیل نبود ارتباط منطقی میان زیر ساخت شبکه بستر مجازی با بستر شبکه فیزیکی، امکان اعمال سیاست های کنترلی به بسته داده در بستر مجازی ممکن نمی باشد و این امکان تنها محدود به بستر شبکه فیزیکی می گردد.

با ظهور و قابل عرضه شدن فناوری مجازی سازی، نگاه و روش اجرای و ارائه بسیاری از فرآیند ها فناوری اطلاعات دچار تغییرات بنیادی گردید و افق های جدیدی برای ارائه سرویس و خدمات فناوری اطلاعات آفریده شد. بعنوان مثال در حوزه سرور نگاه سنتی خرید سرور به ازاء یک یا چند سرویس دچار دگرگونی شده است. با استفاده از فناوری مجازی سازی نصب و راه اندازی یک سرور تنها با چند کلیک ممکن می گردد در صورتی که پروسه ناهنجار و پرهزینه خرید و عملیاتی سازی سرور در گذشته چندین ساعت و یا روز بطول می انجامید و امکان بهره برداری کامل از منابع سخت افزاری نیز وجود نداشت. یکی دیگر از دست آورد های فناوری مجازی سازی در این بود که می توان چنین مدلی را به دیگر زیر ساخت های فناوری اطلاعات مانند امنیت، شبکه، ذخیره سازی و غیره بسط داد و همچون بستر مجازی سازی سرور، از مزایای بیشمار آن بهره برد. با ظهور زیر ساخت مجازی سازی اهمیت زیر ساخت شبکه های ارتباطی بیش از پیش شده است و ایجاد دگرگونی و رشد آن با توجه به نیاز های جدید ضروری می نماید.

پژوهش های چند ساله اخیر نشان داده که برای ایجاد نسل بعدی سرویس های قابل ارائه در بستر اینترنت و خدمات ابری نیاز به راه کاری نوین با قابلیت یکپارچگی کامل با زیر ساخت مجازی سازی می باشد. پس از بوجود آمدن شبکه های Ethernet Fabric ، ایجاد و فراهم شدن بیشینه کارائی و دسترس پذیری تحقق یافت و راه برای رسیدن به شبکه های مبتنی بر معماری SDN هموار گردید. در واقع ایجاد شبکه های Ethernet Fabric با هدف رفع محدودیت های پروتکل لایه دو همچون STP می باشد. بکارگیری پروتکلSTP با هدف رفع مشکلات Loop، منجر به مسدود شدن لینک های افزونه می شود و عملا بخشی از منابع شبکه بی استفاده می ماند و در ضمن زمان بازیابی شبکه در صورت بروز مشکل در لینک های ارتباطی به چندین ثانیه افزایش می یافت. گسترش کمی و کیفی شبکه باعث نا کارائی این معماری می گردد. معماری Ethernet Fabric ویژگی های Routing را در لایه دوم با استفاده از پروتکل Trill و یا SPB  محقق کرده است. در این معماری ویژگی L2 Multipath   قابل پیاده سازی می گردد و در نتیجه همه لینک ها قابلیت استفاده پیدا می کنند و از همه مهمتر زمان بازیابی شبکه به کمتر از۱۵۰ میلی ثانیه می رسد. بنابراین توسعه پذیری کمی و کیفی تا چندین هزار پورت امری ممکن می نماید.

راه کار شبکه های مبتنی بر مدیریت منطقی (Software Defined Network ) وبه اختصار SDN طبق تعریف، به هرگونه تلاش برای جدا سازی بخش تصمیم گیرنده تجهیزات شبکه از بخش فرستنده داده و ایجاد یک واحد تصمیم گیرنده متمرکز و یکپارچه در کل شبکه اتلاق می شود. در این رویکرد بجای مدیریت جزیره ای تجهیزات شبکه، نگاه متمرکز گرایانه در پیش گرفته شده است و با ایجاد یک واحد پردازش متمرکز برای کل شبکه، Control plane یا واحد تصمیم گیری کلیه تجهیزات شبکه حذف شده است در دو شکل زیر معماری کلی این راه کار ارائه شده است.

تحقق معماری SDN نیاز به ایجاد چهار چوبه ای واحد میان سازندگان تجهیزات شبکه می باشد. پروتکل و مدل ارائه شده در این خصوص معروف به OpenFlow می باشد. پروتکل OpenFlow بطور خلاصه استانداردی برای جابجا کردن و رابط برنامه ریزی اطلاعات مدیریتی میان Data plane و Control Plane می باشد. در شکل زیر یکپارچگی زیر ساخت شبکه با بستر مجازی به نمایش در آمده است. بستر ایجاد شده شرایط ارائه خدمات ابری را از منظر کیفی و کمی خواهد داشت.

مفهوم Software Defined Network یا SDN

در معماری SDN بخش Data plane به سوییچ های سخت افزاری بهینه شده که امکان ارتباط با Control Planeرا از راه پروتکل OpenFlow دارا می باشند. دستگاه های که در نقش Data plane می باشند با دریافت اطلاعات و سیاست های ارسال بسته داده، اقدام به اجرای آن با بکارگیری سخت افراز بهینه شده خود می کنند. این فرایند به دلیل اجرا توسط سخت افزار ویژه در کمتر از یک میکرو ثانیه اجرا می گردد. این ویژگی امکان ایجادEthernet Fabric Pod با زمان تاخیر حدود ۲ تا ۴۴ میکرو ثانیه را ممکن می سازد. در صورتی که در شرایط یکسان و با بکارگیری بهترین تجهیزات شبکه ای همچون سوئیچ های Cisco Catalyst 6500/2960X، زمان فوق به حدود ۴۰ تا ۵۰میکرو ثانیه می رسد که بسیار بیشتر از زمان دست یافته درEthernet Fabric می باشد.

SDN Controller در فناوری SDN در نقش Control Plane می باشد. SDN Controller در واقع برنامه ای می باشد که با استفاده از ماشین فیزیکی یا مجازی اجرا می شود. SDN Controller بصورت مستقل و مجزا برای کل تجهیزات شبکه در نظر گرفته می شود. به دلیل ارتباط مستقیم SDN کنترلر با همه تجهیزات شبکه، ایجاد دید دقیق از هم بندی و ساختار منطقی اجزا شبکه و عدم وابستگی به اطلاعات ارسالی از تجهیزات شبکه، ممکن می شود علاوه بر این، بدست آوردن اطلاعات دقیق در لحظه از وضعیت بسته داده آسان می گردد و تصمیم گیری با در نظر گرفتن مبدا و مقصد داده ممکن می شود و نیز سرعت اعمال و اجرای سیاست های مورد نظر به شکل چشم گیری کاهش می یابد. بر اساس ویژگی های معرفی شده در معماری SDN، محدودیت های سنتی زیر ساخت شبکه اترنت مانند پردازش های مربوط به STP Loop Recovery، Trill Replication ، ARP Table Search، Routing Table Calculation، Fail over، Redundancy، Distributed Gateway،QOS Policy و بسیاری دیگر از سرویس ها برطرف گردیده است. با بکارگیری امکانات و ویژگی های ارائه شده در معماری SDN امکان اجرای الگو ریتم Djikstra based layer 2 در مقیاس چند ده هزار پورت ممکن می باشد بنابراین مقیاس پذیری با حفظ کمترین تاخیر و افت سرعت ممکن می گردد. در فناوری SDN ایجاد شبکه ای با چندین هزار پورت با زمان تاخیر کمتر از ۳ میکرو ثانیه امری نا ممکن نخواهد بود بگونه ای که Fabricایجاد شده شرایط افزونگی و جایگشت پذیری را در کمتر از ۵۰۰ میلی ثانیه فراهم خواهد نمود. با استفاده از فناوری SDN امکان ایجاد ساختاری پویا، مدیریت پذیر، ایمن و اقتصادی که می تواند کلیه نیاز های سرویسی را به سرعت ایجاد سرور مجازی در شبکه فراهم کند، ممکن گردیده است. (bpapp)

ادامه مطلب

پنج نکته برای استفاده ایمن از شبکه بی سیم

پنج نکته برای استفاده ایمن از شبکه بی سیم

پنج نکته برای استفاده ایمن از شبکه بی سیم

پنج نکته برای استفاده ایمن از شبکه بی سیم

شبکه های محلی بی سیم و به اصطلاح WLAN ها دسترسی آسان به اینترنت را برای کاربران فراهم می سازند. اما در صورتی که این شبکه ها به صورت ایمن مورد استفاده قرار نگیرند می توانند آسیب ها و تهدیدات زیادی را بهمراه داشته باشند. در ادامه پنج نکته امنیتی بیان می شود که اعمال آن ها می تواند حفاظت قدرتمندی از شبکه های بی سیم ایجاد کند و امنیت را در استفاده از این شبکه ها افزایش دهد.

استفاده از رمزنگاری WPA2

در هنگام انجام تنظیمات برای شبکه بی سیم از رمزنگاری WPA2 استفاده کنید که در حال حاضر قدرتمندترین الگوریتم امنیتی است. مهاجمان قابلیت شکستن رمزنگاری هایی که از طریق تکنیک های قدیمی تر نظیر WEP صورت می گیرد را پیدا کرده اند.

استفاده از پسوردهای طولانی با کاراکترهای ویژه

هرگز شبکه های خود را با پسوردهای ضعیف در معرض دید دیگران قرار ندهید. باید اطمینان حاصل کنید که طول پسوردهای شما بیش از 10 کاراکتر و ترکیبی از کاراکترهای خاص، اعداد و حروف بزرگ و کوچک است.با استفاده از نرم افزارهای کرک کننده کد، کشف رمز ضعیف یک شبکه در طی چند ثانیه امکان پذیر می شود.

تغییر نام SSID ها

بسیاری از کاربران زحمت تغییر نام شبکه های بی سیم و یا به اصطلاح SSID را به خود نمی دهند و ترجیح می دهند از همان نام پیش فرض استفاده کنند. از آنجاییکه رمزنگاری WPA2 این نام را بعنوان بخشی از پسورد در خود دارد هکرها از SSID ها برای شکستن پسوردها استفاده می کنند.

عدم قرار دادن اطلاعات شخصی به عنوان نام SSID ها

هیچکس نمی خواهد که خود راهی برای دسترسی مهاجمان به سیستمش از طریق فهماندن این مسئله که شبکه اش ارزش نفوذ و به خطر انداختن را دارد ایجاد کند. استفاده از نام هایی نظیر “delta net” بعنوان SSID راهی برای شناسایی شبکه توسط هکرها فراهم می سازد. از اسم های مبهم برای SSID استفاده کنید که در این صورت راهی برای شناسایی هویت، مکان و موقعیت توسط هکرها فراهم نمی سازد.

رنج رادیویی را تنظیم کنید

Access point های مدرن و پیشرفته بصورت چند آنتنه می باشند و قابلیت پوشش مناطق دورتری را خواهند داشت. اما امکان کنترل توان ارسالی و رنج رادیویی و کاهش آن وجود دارد. با این کار می توان محدوده و فاصله ای که امکان دسترسی به سیگنال وجود دارد را تعیین کرد. در این صورت به خطر انداختن شبکه برای هکرها دشوار می شود.

 

 

ادامه مطلب

امنیت شبکه چیست؟

امنیت شبکه چیست؟

امنیت شبکه چیست؟

امنیت شبکه چیست؟

امنیت شبکه چیست؟ یکی از مهم ترین فعالیت های مدیر شبکه، تضمین امنیت منابع شبکه است. دسترسی غیر مجاز به منابع شبکه و یا ایجاد آسیب عمدی یا غیر عمدی به اطلاعات، امنیت شبکه را مختل می کند. از طرف دیگر امنیت شبکه نباید آنچنان باشد که کارکرد عادی کاربران را مشکل سازد.
برای تضمین امنیت اطلاعات و منابع سخت افزاری شبکه، از دو مدل امنیت شبکه استفاده می شود. این مدل ها عبارتند از: امنیت در سطح اشتراک (Share-Level) و امنیت در سطح کاربر (User-Level). در مدل امنیت در سطح اشتراک، این عمل با انتساب اسم رمز یا Password برای هر منبع به اشتراک گذاشته تامین می شود. دسترسی به منابع مشترک فقط هنگامی برقرار می گردد که کاربر اسم رمز صحیح را برای منبع به اشتراک گذاشته شده را به درستی بداند.
به عنوان مثال اگر سندی قابل دسترسی برای سه کاربر باشد، می توان با نسبت دادن یک اسم رمز به این سند مدل امنیت در سطح Share-Level را پیاده سازی کرد. منابع شبکه را می توان در سطوح مختلف به اشتراک گذاشت. برای مثال در سیستم عامل ویندوز ۹۵ می توان دایرکتوری ها را بصورت فقط خواندنی (Read Only)، برحسب اسم رمز یا به شکل کامل (Full) به اشتراک گذاشت. از مدل امنیت در سطح Share-Level می توان برای ایجاد بانک های اطلاعاتی ایمن استفاده کرد.
در مدل دوم یعنی امنیت در سطح کاربران، دسترسی کاربران به منابع به اشتراک گذاشته شده با دادن اسم رمز به کاربران تامیین می شود. در این مدل کاربران در هنگام اتصال به شبکه باید اسم رمز و کلمه عبور را وارد نمایند. در اینجا سرور مسئول تعیین اعتبار اسم رمز و کلمه عبور است. سرور در هنگام دریافت درخواست کاربر برای دسترسی به منبع به اشتراک گذاشته شده، به بانک اطلاعاتی خود مراجعه کرده و درخواست کاربر را رد یا قبول می کند.
تفاوت این دو مدل در آن است که در مدل امنیت در سطح Share-Level، اسم رمز به منبع نسبت داده شده و در مدل دوم اسم رمز و کلمه عبور به کاربر نسبت داده می شود. بدیهی است که مدل امنیت در سطح کاربر بسیار مستحکم تر از مدل امنیت در سطح اشتراک است. بسیاری از کاربران به راحتی می توانند اسم رمز یک منبع را به دیگران بگویند. اما اسم رمز و کلمه عبور شخصی را نمی توان به سادگی به شخص دیگری منتقل کرد.

 

 

 

 

ادامه مطلب