Skip to Content

آرشیو

نرم افزار های مانیتورینگ شبکه

معرفی ویژگی های مهم پنج نرم افزار نمونه مانیتورینگ شبکه

نرم-افزار-های-مانیتورینگ-شبکه-خدمات-و-سرویس-های-شبکه-و-دیتاسنتر

Nagios: نگیوس یکی از نرم افزارهای پر طرفدار متن باز در حوزه ی نرم افزار های مانیتورینگ سرویس های شبکه است . این نرم افزار نمایی از سرویس ها و هاست ها و هشدارهایی در خصوص  وضعیت سرویس ها (on ، up …) به کاربران شبکه نشان می دهد.

نگیوس در ابتدا تحت اسم Netsaint ایجاد و نوشته شده بود، “Sainthood” (یا تقدیس) که مرجعی برای اسم اصلی این نرم افزار می باشد، در پاسخ به رقابت قانونی با مالکان مارک های تجاری مشابه، مجبور به تغییر شد.

Agios”” نیز لغتی یونانی به معنی “Saint” (یا مقدس) می باشد. N.A.G.I.O.S (با تلفظ / نگیوس/) در حال حاضر توسط Ethan Galstad همراه با یک گروه توسعه دهنده ، که از حامیان فعال پلاگین های اداری و نیز غیر اداری، می باشد پشتیبانی می شود.

Nagios یک سیستم کامپیوتری  متن باز و نیز برنامه ای  کاربردی برای نظارت شبکه می باشد. نگیوس در اصل به منظور کار،  تحت GNU/Linux طراحی شده بود، اما روی یونیکس های گوناگون دیگر نیز به خوبی اجرا می شود. این یک نرم افزار رایگان است.

در ذیل به برخی از ویژگی های این نرم افزار اشاره می شود.

  • مانیتورینگ سرویس های شبکه از قبیل: (SMTP, pop3,HTTp,NNTP,ICMP,SNMP,FTP,SSH).

  • مانیتورینگ منابع تعریف شده، برای هاست های شبکه از قبیل: (پردازش بار سیستم، میزان فضای استفاده از هارد دیسک، ذخیره logهای سیستم و… ) همچنین این این نرم افزار قادر است از طریق فعال کردن پلاگین Check_MK روی سرور نگیوس، و نصب نرم افزار NSClient++ بر روی سیستم عامل ویندوز، مانیتورینگ سیستم عامل های ویندوزی را هم داشته باشد.

  • مانیتورینگ بر روی همه وضعیت های شبکه از  قبیل مشکلات هاست ها (دما، هشدارها…) از طریق نوشتن Script هایی  که برای جمع آوری داده ها در سراسر شبکه صورت می گیرد.

  • مانیتورینگ از طریق  اسکریپت های اجرا شده از راه دور توسط  فعال کردن پلاگین های از پیش تعریف شده .

  • قابلیت کنترل سرور نگیوس، از را دور توسط سرویس هایSSH یا . SSL

  • قابلیت نوشتن پلاگین های ساده ای از طریق (,Perl ,C++ ,Shell scripts ,Payton ,Ruby,PHP C#و غیره) برای چک کردن سرویس هایی که به کاربران اطلاعات بیشتری از وضعیت شبکه می دهد.

  • وجود Plugin هایی برای ترسیم نمودار های داده ای از قبیل: (Nagiosgraph,PHP4Nagios Splunk for Nagis و غیره).

  • قابلیت چک کردن سرویس ها به صورت موازی و همزمان.

  • قابلیت تعریف هاست ها در شبکه به صورت سلسله مراتبی، همچنین قابلیت تشخیص هاست های Down شده از Unreachabl.

  • ارسال پیام هنگام بروز مشکل یا برطرف شدن آن،  برای هاست ها یا سرویس ها از طریق , e-mail ,pager SMSو یا از طریق تعریف پلاگین ها.

  • امکان بکاپگیری از logفایل ها.

  • امکان مانیتوریگ از سرور های بکاپ.

  • وجود رابط گرافیکی برای تماشای نمایی از شبکه، log فایل ها، هشدارها، مشکلات و…

  • ذخیره سازی داده ها در فایل های متنی علاوه بر پایگاه داده .

    نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر Nagios

· Home Page: http://www.nagios.org

· Author: Ethan Galstad

· Latest stable release:  3.2

· License: Open Source. GNU.

· Read more about Nagios at Wikipedia.

:Cactiیکی از نرم افزارهای متن باز مانیتورینگ شبکه است، که به صورت تحت وب  و گرافیکی در فواصل زمانی مشخصی اطلاعاتی را از وضعیت شبکه و سرویس ها در قالب نمودارها و گراف ها (بر اساس  پکیج RRDtools) به کاربر نشان می دهد، با طور کلی این نمودار های زمانی پارامترهایی مانند بار CPU، میزان استفاده از پهنای باند و… را به کاربر شبکه نشان می دهد.

یکی از موارد استفاده متداول از این نرم افزار نظارت بر ترافیک شبکه به وسیله ی جمع آوری اطلاعات سوئیچ ها و روتر ها از طریق پرو تکل SNMP می باشد.

این نرم افزار به زبان PHP نوشته شده و کاربران مختلف می توانند مجموعه گراف مخص به خود را مشاهده کنند. از این نرم افزار  گاهی اوقات توسط ارائه دهندگان خدمات میزبانی وب استفادهمی شود (به خصوص سرور اختصاصی، سرور مجازی خصوصی ، و ارائه دهندگان خدماتcollocation) برای نشان دادن میزان استفاده کاربران از پهنای باند به کار می رود.همچنین اطلاعات جمع آوری شده در سطح شبکه را  بدون نیاز به تنظیات RRDtools برای  (نمایش گراف ها و نمودارها) به کاربر نشان می دهد.

این نرم افزار، برای پروژهای کوچکتر سمت سرور نیاز به نصب  پکیج cmd.php و برای پروژه های بزرگتر نیاز پکیج هایی به زبان C دارد.

نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر Cacti

· Home Page: http://www.cacti.net

· Latest stable release: 0.8.7e

· License: Open Source. GNU.

· Read more about Cacti at Wikipedia.

:(and other top variations)Top

ntop (Network Top):

:ntop یکی از نرم افزارهای رایگان مانیتورینگ شبکه است. که خروجی ای شبیه به دستور top ( میزان استفاده از Cpu به صورت online نشان می دهد.) ایجاد می کند.

خروجی نرم افزار ntop در فایلی با پسوند HTML وجود دارد. در ضمن برای نصب این نرم افزار نیازی به نصب وب سرور نیست زیرا به طور پیش فرض وب سرور دارد.

htop (interactive process viewer for Linux):

:htopاین نرم افزار با داشتن کمی ویژگی های بیشتر بسیار شبیه ntop است. مهم ترین خصوصیت آن  این است که با موس می توان بر روی منو های آن کلیک کرد.

نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر ntop

Zabbix:یکی از نرم افزارهای رایگان مانیتورینگ شبکه است، با گواهینامه تجاری از شرکتSIA zabbix این شرکت بحث توسعه این نرم افزار را به عهده دارد. این نرم افزار برای مانیتور کردن داده ها نیاز به دیتابیس های MySQL،PostgreSQL، SQLlite،Oracle،IBM DB2 دارد.

زابیکس مانیتورینگ سرویس های شبکه، سرورها و سخت افزار شبکه را انجام می دهد همچنین این نرم افزار از سمت سرور نیاز به زبان Cو چون تحت وب است نیاز به php دارد. این نرم افزار قادر به چک کردن وضعیت چند سرویس ساده مانند SMTP یا HTTP بدون نصب هیچ برنامه ای از سمت کلاینت می باشد. همچنین زابیکس بر روی سیستم عامل های یونیکسی و ویندوزی نصب می شود و پارامترهایی نظیر میزان استفاده از CPU، ترافیک شبکه، میزان فضای استفاده از هارد دیسک و غیره را کنترل می کند. همچنین با انجام تغییراتی در هنگام نصب زابیکس سرویس هایی نظیر ,SNMP TCPو ICMP و به همان خوبی سرویس های IPMI، SSH،telnet را بر روی کلاینت هامانیتور میکند. این نرم افزار از مکانیزم اخطار برای سیستم های real-time مانند XMPP پشتیبانی می کند.

Zabbix از سه ماژول مهم زیر پیروی می کند.

· Server (written in C)

· Agents (written in C)

· Frontend (PHP and Javascript)

نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر Zabbix

· Home Page: http://www.zabbix.com

· Latest stable release: 1.6.6

· License: Open Source. GNU.

· Developed by: Zabbix SIA (Private company)

· Read more about Zabbix at Wikipedia

Munin: یکی از نرم افزارهای متن باز مانیتورینگ شبکه، یا سیستم ها می باشد. که خروجی را به صورت گرافیکی و تحت وب به کاربر شبکه نشان می دهد علاوه بر اینکه کار کردن با این نرم افزار بسیار راحت و آسان است، حدود 500 پلاگین از پیش تعریف شده برای این نرم افزار وجود دارد که به قابلیت های این نرم افزار اضافه می کند. شما با استفاده از این نرم افزار به راحتی می توانید وضعیت های مختلف سیستم ها ، شبکه و SANs خود را مانیتور کنید.

در واقع این نرم افزار بیشتر به دنبال پیدا کردن تفاوت های شبکه در هر روز است و همچنین برای تهیه گزارش ها توسط پکیج RRDtools که به زبان Perl نوشته شده استفاده می کند. منطق این نرم افزار به این صورت است که شامل یک نود های اصلی و چندین نود های فرعی است که نود اصلی توسط ارتباط برقرار کردن با سایر نود ها اطاعات مربوط به وضعیت شبکه را جمع آوری می کند و توسط پکیج RRDtoolsکه بر روی سرور یا سیستم نصب شده است، به صورت نمودار یا گراف به کاربر شبکه نشان می دهد. از ویژگی های این نرم افزار می توان قابلیت تعریف پلاگین های جدید را نام برد.

نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر Munin

· Home Page: http://munin.projects.linpro.no

· Latest stable release: 1.2.6

· License: Open Source. GNU.

· Read more about Munin at Wikipedia

منبع: (ترجمه) http://www.thegeekstuff.com/2009/09/top-5-best-network-monitoring-tools

ادامه مطلب

پوتی Putty چیست؟

Putty برنامه‌ای برای سرویس‌گیرنده‌ها است که استفاده از پروتکل‌های SSH، Telnet و Rlogin از راه دور به سیستم تحت لینوکس متصل می شود. برای شرح این نرم‌افزار بایستی با برخی اصطلاحات آشنا باشیم:

درگاه(Port): شماره برنامه بر روی یک کامپیوتر خاص و یا به عبارت بهتر شماره شناسایی نرم‌افزار است. مثلاً معمولاً برنامه webserver دارای درگاه ۸۰ است.

نرم-افزار-شبکه-ای-پوتی-ارتباط-ریموت-Putty

SSH: استانداردی برای اتصال به هسته لینوکس می‌باشد این استاندارد اطلاعات را به صورت رمز شده ارسال می‌کند.

Telnet: امکانی است برای چک کردن وجود یک برنامه روی یک درگاه و اتصال به آن.

Rlogin: استاندارد دیگری برای اتصال به سیستم از راه دور.

Raw: استاندارد دیگری برای اتصال است که امروزه کمتر استفاده می‌شود.

به کمک Putty می‌توان در محیط ویندوز از راه دور به یک سیستم لینوکس اتصال برقرار کرد. برای این منظور ابتدا فایل Putty.exe را اجرا می‌کنیم. محیطی همچون شکل روبرو باز می‌گردد. از طریق بخش Category می‌توان تنظیمات این برنامه را جهت اتصال به سرور مورد نظر تغییر داد.

در بخش host name or IP address نام یا IP سیستم موردنظر را وارد می‌نماییم. برای اتصال امن‌تر از استاندارد SSH و درگاه پیش‌فرض ۲۲ استفاده می‌کنیم. می‌توان این نام و IP جهت استفاده مجدد ذخیره نمود. بعد از وارد نمودن IP سیستم، کلید Open را فشار می‌دهیم تا محیط Linux باز گردد. اگر با شبکه جهانی متصل نباشیم پیام خطایی می‌گردد. در صورتی که بدون خطا به سرور لینوکس متصل شویم در آغاز نام کاربری و رمز عبور پرسیده می‌شود: و آنگاه پرامت لینوکس که دارای فرم کلی زیر است ظاهر می‌گردد:

username@localhost

در صورت ریموت موفق شکل زیر ظاهر می شود که باید بر روی گزینه Yes کلیک می کنیم.

Putty-نرم-افزار-طراحی-و-راه-اندازی-شبکه

ادامه مطلب

مفهوم Load Balancing

load balancing به معنای این است که فعالیت های پردازشی (proccessing) و فرستادن request ها از client و فرستادن respond ها از sever به نحوی باشد که بر هیچ وسیله ای  بار اضافی وارد نشود. یعنی مجبور نشود به تنهایی این کارها رو انجام بدهد و فعالیت ها به گونه ای بتوانند بین server های مختلف در network پخش بشوند. یعنی در حقیقت ترافیک شبکه کم بشود.

یکی از روش های load balancing همین استفاده از DNS است. یعنی مثلا
یک server  به شما یک اسم مجازی نشان میدهد در حالی که اطلاعاتش روی Serverهای مختلف کپی شده است (back up).

حالا وقتی تعداد تقاضاها (requests) بالا میروند، load balancing که به روش DNS درست شده است request ها رو بین server های مختلف پخش می کند.

ان چیزی که شما می بینیند به عنوان www1, www2, www3, , … در حقیقت تعداد سرورهای موجودی هستند که اطلاعات روی انهاکپی شده است.
بنابراین در حقیقت محتوای انها با هم فرقی ندارند و اطلاعات تفاوتی ندارند. یعنی چه شما بزنید www1.microsoft.com  و یا www2.microsoft.com به هر حال یک جواب می بینید.

load balancing یک روش ارزان قیمت است و یکی از روشهای گران قیمت  load distributer است که سایت yahoo از آن استفاده می کند هم اکنون تقریباً خیلی از server های شلوغ و پرترافیک از چند روش با هم استفاده می کنند.

ادامه مطلب

سیستم مدیریت امنیت اطلاعات ISMS

این روزها در ایران در حوزه امنیت اطلاعات و ارتباطات یک بحث بسیار داغ است و آن چیزی نیست جز سیستم مدیریت امنیت اطلاعات یا چیزی که ما به عنوان ISMS می شناسیم . این سیستم امروزه به شکل یک تب در بین سازمان های دولتی در آمده است و بسیاری از سازمان ها و شرکت ها حتی برای چشم و هم چشمی هم که شده بایستی به سراغ این سیستم بروند. این دقیقا همان مشکلی است که در خصوص سیستم مدیریت کیفیت یا ISO 9000 نیز پیش آمد. یعنی تب بالا می گیرد و همه به سراغش می روند و هر کس و ناکسی ادعای امنیت اطلاعات می کند. از اینها که بگذریم برویم به سراغ اصل سیستم مدیریت امنیت اطلاعات و چیستی آن ، در ابتدا واژه سیستم را تعریف می کنیم و کلیات موضوع سیستم مدیریت امنیت اطلاعات و اجزاء آن را برای شما شرح خواهیم داد پس تا آخر مقاله با ما باشید.

سیستم مدیریت امنیت اطلاعات یا ISMS

 

تعریف سیستم یا System و استاندارد


سیستم به معنی مجموعه ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده اند. در واقع سیستم مدیریت امنیت اطلاعات نیز از مجموعه ای از اجزاء تشکیل شده است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت شما می باشد در کنار هم جمع شده اند. سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا می باشد که ما به خودی خود نمی توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند و یک معیار و پایه و اساس برای اینکار بایستی تعریف شود. تعریف کردن این معیارها بر عهده یک سازمان بین المللی است که استانداردها در آن تهیه و تنظیم می شوند و این سازمان جایی نیست به غیر از سازمان ISO یا International Standardization Organization ، این سازمان وظیفه تدوین استاندارد های یکپارچه در دنیا را بر عهده دارد ، تا به حال هر استانداردی که شنیده اید در این سازمان تعریف و تدوین شده است ، قطعا با ISO 9000 یا استاندارد کیفیت کالا آشنایی دارید ، همین نوع استاندارد برای مدیریت سیستم امنیت اطلاعات با کد ISO 27000 تعریف شده است که در ادامه با آن آشنا خواهید شد.

ساختار یک استاندارد به چه شکل است ؟


همه استانداردها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین المللی ISO یک سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده سازی استانداردها مورد نیاز است ، برای مثال یکی از کنترل های سیستم مدیریت امنیت اطلاعات این است که بایستی بر روی امنیت فیزیکی درب های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل ها معیار را برای ما تشریح می کنند اما چگونگی انجام شدن آن را تعریف نمی کنند و این یک اصل است. هر استانداردی برای خود دارای یک سری کنترل است که در قالب سرفصل هایی ارائه می شوند. همیشه در تمامی سازمان ها لازم نیست تمامی این معیارها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده سازی کنید ، شما بر حسب سرویس و نیازی که دارید از بین این کنترل ها ، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده سازی می کنید. اما بعد از اینکه شما از بین کنترل های موجود ، آنهایی که مورد نیازتان هستند را انتخاب کردید ، بایستی آنها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه سازی و تدوین کنید . بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می آید که به آن خط مشی یا Policy گفته می شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می کنید. خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین می کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. توجه کنید که در این مستند چگونگی برقراری امنیت تشریح نشده است ، چگونگی انجام و پیاده سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می شود.

فواید استفاده از سیستم مدیریت امنیت اطلاعات ( ISMS ) چیست ؟


طبیعی است که شما زمانیکه به یک کشور خارجی سفر می کنید یکی از مهمترین معیارها برقرار بودن امنیت در آن کشور است ، همین موضوع باعث ترقیب شدن توریست ها برای سفر کردن و سرمایه گذاری در آن کشور می شود . در خصوص سازمان ها هم به همین شکل است ، اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت کند تجارتی دائمی و همراه با ریسک کمتر خواهد داشت ، تصور کنید شخصی قصد سرمایه گذاری در یک شرکت را دارد ، اگر این شرکت که در کار تولید مواد اولیه رنگ پلاستیک است فرمول ساخت رنگ را به درستی امن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن است بازار کار خود را از دست بدهد ، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش تهديدها می شود.پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمينان از سازگاري با استانداردهای امنيت اطلاعات و محافظت از داده ها ، قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات ، ايجاد اطمينان نزد مشتريان و شرکاي تجاري ،امکان رقابت بهتر با ساير شرکت ها و ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات شود.

سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است ؟


همانطور که اشاره کردیم ، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد ؟ بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات ، هر دستگاه یا سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:

  • مستند اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه ( Security Policy )
  • مستند طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه ( Risk Assessment )
  • مستند طرح امنيت فضاي تبادل اطلاعات دستگاه
  • مستند طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه ( Disaster Recovery)
  • مستند برنامة آگاهي رساني امنيتي به پرسنل دستگاه ( Awareness )
  • مستند برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه

 

مراحل پیاده سازی و دریافت استاندارد ISO 27001 یا ISMS چیست ؟


 

  1. سازمان قصد به دریافت استاندار ISO 27001 می گیرد . ( نیت می کنیم )
  2. این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می گذارد.
  3. شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می کند .
  4. بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می شود .
  5. قبل از اینکه سر ممیز اصلی ( Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی ، بازرسی های لازم را انجام می دهند .
  6. از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می شود برای انجام بازرسی های لازم.
  7. در صورت تایید صلاحیت و کسب حداقل امتیازات لازم ، گواهینامه صادر می شود.

 

مشکلات معمول در پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS )


  • بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.

 

  • امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیاده سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین المللی از چرخه ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی ، انجام ، آزمایش و اعمال مجدد طراحی استفاده می شود.

 

PDCA

 

  • ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس نا امنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.

 

  • امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.ITPro باشید.
ادامه مطلب

تکنولوژی POE و مزایای آن

فناوری توان الکتریکی بر بستر اترنت ( power over ethernet : PoE) به کابل های شبکه اترنت این قابلیت را می‌دهد که بتوانند همانند کابل‌های برق عمل کنند. به‌عنوان‌مثال اگر بخواهید یک دوربین تحت شبکه (وب کم) را در خارج ساختمان نصب و راه‌اندازی نمایید نیازمند PoE هستید.

فناوری PoE سبب می‌شود که کابل‌های اترنت معمولی به‌عنوان سیم‌های برق عمل کنند. در یک شبکه که PoE وجود دارد جریان الکتریکی مستقیم (DC) به همراه ترافیک داده شبکه اترنت از کابل عبور می‌کند. بسیاری از دستگاه‌های PoE از استانداردهای IEEE 802.3af یا 802.3at پشتیبانی می‌کنند.blog-poe-03

فناوری PoE برای استفاده به همراه تجهیزات الکترونیکی قابل‌حمل و بی‌سیم مانند اکسس پوینت‌های وای فای (Aps)، webcam ها و تلفن‌های ویپ طراحی شده است. این فناوری اجازه می دهد که تجهیزات شبکه ای بر روی سقف ها یا فضا های دیوار ها که دسترسی به پریز های برق به آسانی امکان پذیر نمی باشد نصب شوند.

فناوری دیگری که ارتباطی با PoE ندارد “اترنت بر بستر کابل های برق” است که سبب می شود که خطوط الکتریکی معمولی به عنوان لینک های شبکه اترنت در فواصل طولانی عمل کنند.

چرا بیشتر شبکه های خانگی از PoE استفاده نمی‌کنند؟
ازآنجاکه به‌طورمعمول بسیاری از خانه‌ها دارای پریزهای برق متعددی هستند و همچنین تعداد نسبتاً کمی نیز سوکت اینترنت دارند و بسیاری از گجت های مصرف کننده از ارتباطات وای فای به جای اترنت استفاده می کنند، لذا کاربردهای PoE برای بسیاری از شبکه های خانگی محدود است. به همین دلیل سازندگان تجهیزات شبکه فناوری PoE را تنها بر روی روتر ها و سوییچ های شبکه ای و تجاری خود قرار می دهند.

در برخی دستگاه ها با استفاده از یک تراشه نسبتاً کوچک و ارزان به نام تزریق کننده PoE می‌توان پشتیبانی از PoE را به ارتباطات اترنت اضافه کرد. این دستگاه ها دارای پورت های اترنت و یک آداپتور برق هستند که سبب می شوند کابل‌های استاندارد اترنت نیز برق‌دار شوند.

چه نوع تجهیزاتی با PoE کار می کنند؟
مقدار توان الکتریکی (برحسب وات) که از طریق بستر اترنت قابل‌دستیابی است محدود است. سطح آستانه توان الکتریکی موردنیاز به‌عنوان منبع PoE و توان کشیده شده به دستگاه‌های کلاینت وابسته است. به‌عنوان‌مثال استاندارد IEEE 802.3af تنها توانی به میزان 12.95 وات را در یک ارتباط تضمین می‌کند. رایانه‌های شخصی و لپ‌تاپ‌ها به دلیل نیاز به توان الکتریکی بیشتر (معمولاً 15 وات یا بیشتر) نمی‌توانند از PoE استفاده کنند اما دستگاه‌های قابل‌حمل مانند وب کم‌ها می‌توانند همان عملکرد را با توان کمتر از 10 وات داشته باشند.

blog-poe-02
گاهی اوقات شبکه‌های تجاری یک سوییچ PoE را از طریق وب کم‌ها یا سایر دستگاه‌های قابل‌حمل مشابه به کار می‌گیرند.

ادامه مطلب

استوریج NAS

استوریج های NAS

تجهیزات ذخیره سازی NAS با توجه به حجم ذخیره سازی خود معمولا در سه گروه اصلی تقسیم می شوند:

در گروه بندی ذخیره ساز های NAS معمولا پارامتر هایی مانند تعداد هارد دیسکها و انواع و ظرفیت دیسکهایی که پشتیبانی می کنند مهم می باشند.

1- استوریج های High-End NAS و یا Enterprise NAS

استوریج های High-End و یا Enterprise  این دسته در سازمانهایی که نیاز به ذخیره سازی حجم عظیمی از فایلها را دارند و نیز برای نگهداری Image های ماشین های مجازی را دارند مناسب می باشد. استوریج High-End NAS یک دسترسی بسیار سریع به فایلها و همچنین قابلیت NAS Clustering را فراهم می سازد.

2- استوریج های Mid-Sized NAS

استوریج های این رده قابلیت ذخیره سازی صدها ترابایت اطلاعات را دارند و برای سازمانهای معمولی مناسب می باشد البته این استوریج ها قابلیت NAS-Clustering را پشتیبانی نمی کنند.

3- استوریج های Small NAS و یا Desktop NAS

این دستگاهها برای محیط های کسب و کار کوچک و یا حتی کاربران خانگی ساخته می شوند. با توجه به رشد فزاینده نیاز به این دستگاهها ، بازار مربوط به این رده به سمت دستگاههای Cloud NAS حرکت می کند.

 

 رشد تجهیزات ذخیره سازی NAS

با گذشت زمان تجهیزات NAS جوری طراحی شدند تا مجازی سازی را ساپورت کنند. استوریج های High-End NAS قابلیت های خاص دیگری مانند Data Deduplication و Replication و دسترسی Multi protocol به دیتا در قالب یک استوریج فلشی را ارائه می کنند.

برای حذف نقاط ضعف سیستمهای NAS معمولا سازندگان این دستگاهها سیستمهای Clustered NAS را ارائه می نمایند. یک سیستم Clustered NAS به یک فایل سیستم که بصورت همزمان بر روی چندین NAS Node ها اجرا می شوند گفته می شود. قابلیت کلاسترینگ دسترسی به تمامی فایلها از سمت تمامی نود های کلاسترینگ شده را بدون توجه در مکان قرار گیری فیزیکی فایل را میسر می سازد.

بعضی از استوریج های NAS از یک سیستم عامل مشخصی مانند ویندوز مایکروسافت بهره می گیرند. در این دستگاهها پروتکل IP به عنوان پروتکل اصلی برای ارسال دیتا استفاده می شود. پروتکل های دیگری نیز مانند NFS و IPX و NetBEUI و CIFS برای ارسال اطلاعات در این دستگاهها مورد استفاده قرار می کیرد.

در دستگاههای NAS امروزی شما می توانید از کارت شبکه هایی با سرعتهای بسیار بالا که قابلیت Teaming را نیز دارند بهره ببرید.

استوریج های NAS قدیمی و نسل جدید

In a traditional network-attached storage deployment, the NAS head — which is the hardware that performs the NAS control functions — provides access to back-end storage through an Internet connection. Scale-out NAS simply means that the storage administrator has installed larger heads and additional hard disks to boost storage capacity.

استوریج NAS و DAS

Directt-Attached Storage DAS به استوریجی گفته می شود که به یک سرور اختصاصی متصل شده است و این استوریج در شبکه ای قرار ندارد.

 

In order to access files stored on direct-attached storage, the end user must have physical access to the device where the files are stored. The advantage of DAS is that it can provide end users with better performance than NAS, which is important for compute-intensive software programs. The disadvantage of DAS is that it requires the storage on each device to be managed separately, which can complicate the way files are managed and shared.

NAS vs. SAN

A storage-area network (SAN) organizes storage resouces on an independent, high-performance network. The key distinction between NAS and SANs is that network-attached storage handles input/output (I/O) requests for individual files, whereas a storage-area network manages I/O requests for contiguous blocks of data. Today, some SANs can transport data over a standard Ethernet connection, but most often storage area networks use the Fibre Channel protocol, which was developed specifically for high-speed data transport on storage-area networks.

SAN/NAS convergence

Until recently, technological barriers have kept the file and block storage worlds separate, each in its own management domain and each with its own strengths and weaknesses. Many storage managers view block storage as first class and file storage as economy class. Given the prevalence of business-critical databases housed on storage area networks (SANs), that’s understandable.

Today, vendors are seeking to improve large-scale file storage by drawing these two worlds together with a hybrid SAN/NAS solution that allows companies to consolidate block- and file-based data on the same storage arrays. Companies that are looking to combine SAN and NAS operations have a sometimes bewildering number of choices, including standalone NAS gateways, SAN solutions with integrated NAS functionality and NAS devices that allow block I/O and filer I/O to run within the same set ofswitches.

ادامه مطلب

دلیل امنیت بالای پروتکل HTTPS چیست ؟

دلیل امنیت بالای پروتکل HTTPS چیست ؟

دلیل امنیت بالای پروتکل HTTPS چیست ؟

دلیل امنیت بالای پروتکل HTTPS چیست ؟

آیا شما هم جزو آن دسته از افراد هستید که می خواهید بدانید پروتکل HTTPS چیست و یا اینکه چه تفاوتی بین HTTPS با HTTP وجود دارد ؟ اگر هنگامی که ایمیل خود را باز می کنید به قسمت آدرس بار توجه کنید متوجه وجود یک آیکون قفل مانند خواهید شد. از آن جایی که برای باز کردن ایمیل خود از یک ارتباط رمز شده استفاده کرده اید این علامت در آن قسمت قرار گرفته است. در واقع پروتکل HTTPS یک ارتباط امن و محافظت شده است که برای ارتباط با سایت های مهم و حساس مثل سایت های بانک ها و یا سایت های مشابه استفاده می شود

پروتکل HTTPS  که خلاصه شده ی Hypertext Transfer Protocol Secure به معنای پروتکل امن انتقال ابر متن است در واقع یک پروتکل برای برقراری ارتباط های ایمن است .اما این نکته برای همه جای سوال دارد که ایراد HTTP چیست که برای برقراری ارتباط های امن باید از پروتکل HTTPS استفاده کرد ؟ ما به شما می گوییم. زمانی که شما از طریق پروتکل HTTPS به یک سایت متصل می شوید ، جستجوگر  شما به دنبال آی پی آن سایت گشته و هنگامی که آی پی آن را پیدا کند به آن متصل می شود. اما ایراد آن در این قسمت است که هم ممکن است آن آی پی مربوط به لینک مشابه آن سایت باشد وهم اینکه اطلاعات شما از قبیل اطلاعاتی که وارد می کنید یا رمز عبورهایتان برای ارائه دهندگان سرویس اینترنت قابل مشاهده هستند.

دلیل امنیت بالای پروتکل HTTPS چیست ؟

اگر مطلب قبلی ما که در مورد استفاده از Wi-Fi های رایگان منتشر کرده بودیم را هم به یاد داشته باشید ، در آن مطلب هم توضیح دادیم که اگر تصمیم گرفتید از اینترنت جایی که با آنجا آشنایی کافی ندارید استفاده کنید بهتر است حتی المقدور از ارتباط های امن استفاده کنید.

اکثر این مشکلات به این دلیل پیش می آیند که این نوع از ارتباط ها رمز گذاری نشده اند و اکثر هکر ها هم از این ویژگی آن سوء استفاده کرده و به حریم افراد تجاوز می کنند. بعد از آن برای رفع این مشکلات پروتکل HTTPS طراحی شد که تا حدی بتواند این مشکلات را برطرف کند. این پروتکل به طور کامل رمز گذاری شده است .

دلیل امنیت بالای پروتکل HTTPS چیست ؟

اما منظور از رمز گذاری یا encryption چیست ؟ در علم مهندسی اینترنت عمل رمز گذاری به عمیات رمز گذاشتن بین بسته های ارسالی و دریافتی در شبکه گفته می شود. در واقع هنگامی که کاربر یک بسته را برای یک سرور خاص می فرستد آن بسته رمز گذاری شده تا در حین ارسال مشکلی برای آن پیش نیاید و این رمز فقط توسط دریافت کننده قابل فهم است و متقابلا آن سایت هم هنگامی که بخواهد جواب این بسته را ارسال کند آن را رمز گذاری می کند. در این نوع ارتباط ها تمام ارسال و دریافت ها رمز گذاری شده هستد و همین باعث افزایش ضریب ایمنی آن شده است.

دلیل امنیت بالای پروتکل HTTPS چیست ؟

اما باز هم با تمام اینها نمی توان به طور قاطع گفت که پروتکل HTTPS  ایمن ترین راه است ولی به طور حتم بهتر و امن تر از HTTP است و تا حدی هم توانسته مشکلات آن را از میان بردارد . در این پروتکل هنگامی که شما بخواهید یک سایت خاص را باز کنید ، HTTPS اول کنترل می کند که آیا سایت درست است و همچنین امنیت آن را هم بررسی می کند و بعد شما را به آنجا لینک می کند .

 

ادامه مطلب

کدام استاندارد رمزنگاری در شبکه WiFi ایمن‌تر و سریع‌تر است؟

با افزایش محبوبیت استفاده از ارتباطات وای‌فای در اغلب گجت‌های امروزی، لزوم توجه به رعایت نکات امنیتی نیز بیش از پیش نمود پیدا می‌کند. اما اگر با روش‌های متداول برای احراز هویت و رمزگذاری این ارتباطات وای‌فای و مزایا و معایب آنها آشنایی ندارید با ما همراه شوید تا به بررسی جامع این استانداردها بپردازیم.اگر شما هم تاکنون گذرتان به پنل تنظیمات روتر بی‌سیم منزل یا محل‌کارتان افتاده باشد، گزینه‌های مربوط به استانداردهای امنیتی وای‌فای نیز به چشمتان خورده است. در روترهای وای‌فای، به هنگام تنظیم رمز عبور برای شبکه‌ی بی‌سیم، دو بخش دیگر نیز می‌بایست با گزینه‌های صحیح تنظیم شوند؛ بخش‌ Authentication Type یا شیوه‌ی احراز هویت که معمولاً شامل گزینه‌هایی از این قرارند:

  • Disabled (یا Open)
  • WEP 64 Bits
  • WEP 128 Bits
  • WPA – PSK
  • WPA2 – PSK

و بخش Encryption یا رمزنگاری که متدهای مربوط به کدگذاری داده‌ها را در دسترس شما می‌گذارد:

  • AES
  • TKIP

البته ممکن است در روترهای مختلف متناسب با نوع محصول، کمپانی سازنده و سال ساخت، این گزینه‌ها کمتر یا بیشتر باشند. ولی مهمترین موارد که بین اغلب آنها مشترک هستند، گزینه‌هایی بود که در بالا به آنها اشاره شد.

wifi-security1

اما این که این گزینه‌ها و استانداردها به چه معنا هستند و انتخاب هر یک چه مزایا و معایبی دارد، موضوعی است که اغلب کاربران هیچ آشنایی با آن نداشته و از همین رو، گاه با انتخاب تنظیمات ناصحیح، ضمن کاهش امنیت ارتباطات وای‌فای خود، سرعت آن را نیز با افتی محسوس مواجه می‌سازند.

wifi-security2

اما اگر مایلید تا در این رابطه اطلاعات کاملی بدست آورید و زین پس تنظیمات روتر وای‌فای خود را به شکلی صحیح انجام دهید، با ادامه‌ی این مقاله همراه شوید.

AES و TKIP چه هستند و چه تفاوت‌هایی دارند؟

TKIP و AES دو شیوه‌ی متفاوت برای رمزنگاری هستند که می‌توان از آنها برای ایمن‌سازی شبکه‌های وای‌فای بهره گرفت. TKIP مخفف Temporal Key Integrity Protocol به معنی «پروتکل جامع کلید موقت» است. TKIP یک پروتکل رمزنگاری در قالب چاره‌ای موقت برای شیوه‌ی رمزنگاری نه چندان ایمن WEP بود که به همراه WPA در آن زمان معرفی شد. در واقع TKIP ساختار بسیار مشابهی با شیوه‌ی رمزنگاری WEP دارد. نکته‌ی مهم اینست که TKIP در حال حاضر ایمن نیست و این شیوه‌ی رمزنگاری عملاً منسوخ شده است. به عبارتی شما نباید از آن استفاده کنید.

AES نیز مخفف عبارت Advanced Encryption Standard به معنای «استاندارد رمزنگاری پیشرفته» است. AES پروتکل رمزنگاری با ضریب امنیت بسیار بالاتر است که با WPA2 یعنی جایگزین WPA، معرفی شد. AES یک شیوه‌ی رمزنگاری منحصر به استفاده برای ایمن‌سازی ارتباطات وای‌فای نبوده و تنها بدین منظور توسعه نیافته است؛ بلکه یک استاندارد رمزنگاری جهانی و جدی است که استفاده از آن حتی توسط دولت ایالات متحده آمریکا نیز به تصویب رسیده است. برای مثال، وقتی شما هارددرایو خود را با استفاده از برنامه‌ی رایگان و محبوب TrueCrypt رمزنگاری می‌کنید، این برنامه قابلیت استفاده از استاندارد AES را نیز دارد. به طور کلی در استاندارد AES، امنیت بسیار بالایی در نظر گرفته شده است و تنها نقاط ضعفی که می‌توان برای آن قائل شد مربوط به ضعف در حملات Brute-Force یا نقطه ضعف‌های امنیتی پیرامون WPA2 است. البته در مورد حملات Brute-Force (حملاتی که در آن هکر با بکارگیری حجم انبوهی از رمزعبورهای تصادفی، سعی در کشف رمزعبور اصلی دارد)، در صورتی که از کلمه‌ی عبوری قوی استفاده کنید، ضریب موفقیت این حملات بسیار کم می‌شود.

عبارت PSK در WPA-PSK و WPA-PSK2 نیز محفف Pre-Shared Key به معنای «رمز عبور اصلی» مورد استفاده برای رمزنگاری است. این عبارت، روش‌های فوق را از متد WPA-Enterprise که از سرور Radius برای مدیریت کلید منحصر به فرد در شبکه‌های شرکت‌های بزرگ یا دولت‌ها استفاده می‌کند، متمایز می‌کند.

WPA از رمزنگاری TKIP و WPA2 از رمزنگاری AES استفاده می‌کنند، ولی…

به طور خلاصه، TKIP یک استاندارد قدیمی به منظور رمزنگاری است که برای استاندارد قدیمی‌تری به نام WPA استفاده می‌شده. AES نیز راهکار رمزنگاری جدیدتری است که توسط استاندارد نو و ایمن‌تر WPA2 استفاده می‌شود. در روی کاغذ همه چیز همین است که گفته شد؛ ولی در عمل و متناسب با نوع روتر شما، ممکن است WPA2 به اندازه‌ی کافی خوب نباشد.

در حالی که قرار است WPA2 از AES برای امنیت بیشتر بهره بگیرد، ولی کماکان گزینه‌ای برای استفاده از TKIP بر روی دستگاه‌های قدیمی یا ناسازگار نیز پیش‌بینی شده است. به عبارتی WPA2 همیشه به معنای WPA2-AES نخواهد بود؛ ولی در دستگاه‌هایی که گزینه‌ی مستقلی برای انتخاب نوع رمزنگاری از میان AES و TKIP ندارند، به طور کلی WPA2 مترادف با WPA2-AES فرض می‌شود.

حالت‌های متداول برای امنیت وای‌فای

کمی سردرگم شده‌اید؟! جای تعجب ندارد. تنها کاری که لازم دارید این است که گزینه‌ی ترکیبی صحیح را متناسب با نوع روتر و استفاده‌ی خود برگزینید.

Disabled یا Open: این حالت بدترین انتخاب ممکن است؛ چرا که شبکه‌ی وای‌فای شما بدون هیچ رمزعبور خاصی در دسترس خواهد بود. اکیداً توصیه می‌شود از انتخاب این گزینه پرهیز کنید؛ چرا که مانند این است که درب منزل خود را باز بگذارید و به امید تامین امنیت خانه توسط پلیس باشید!

 WEP 64: استاندارد رمزنگاری WEP یا Wired Equivalent Privacy بسیار قدیمی و آسیب‌پذیر بوده و نباید از آن استفاده شود. WEP در سال ۱۹۹۷ متولد شد و در سال ۲۰۰۳ عملاً جای خود را به WPA داد و منقرض شد. هدف از این پروتکل همان‌گونه که از نام آن نیز مشخص است محرمانه نگه داشتن اطلاعات در سطحی معادل با شبکه های مبتنی بر سیم است. این پروتکل مبتنی بر الگوریتم رمزنگاری RC4 با کلید سری ۴۰ بیتی است که با یک IV به طول ۲۴ بیت ترکیب شده و برای رمزنگاری استفاده می‌شود.

WEP 128: این استاندارد حتی با بکارگیری کلید رمزنگاری قوی‌تر ۱۲۸ بیتی (ترکیب کلید سری ۱۰۴ بیتی با یک IV به طول ۲۴ بیت)، باز هم قابل اتکا نبوده و استفاده از آن ریسک زیادی دارد.

(WPA-PSK (TKIP: این، حالت پایه برای استاندارد رمزنگاری WPA یا WPA1 است که عملاً منسوخ شده و از امنیت کافی برخوردار نیست.

(WPA-PSK (AES: انتخاب پروتکل وایرلس قدیمی WPA در کنار شیوه‌ی رمزنگاری مدرن AES. سخت‌افزاری که از رمزنگاری AES پشتیبانی کند، در اغلب موارد از پروتکل وایرلس جدیدتر یعنی WPA2 نیز پشتیبانی می‌کند. همچنین سخت‌افزاری که تنها از پروتکل WPA1 استفاده می‌کند نیز اغلب از رمزنگاری AES پشتیبانی نمی‌کند. بنابر‌این انتخاب این گزینه اساساً غیر منطقی و اشتباه خواهد بود.

(WPA2-PSK (AES: می‌توان گفت این امن‌ترین گزینه‌ برای انتخاب است. استفاده از آخرین استاندارد رمزنگاری وای‌فای در کنار آخرین متود رمزنگاری مدرن یعنی AES. توصیه ما استفاده از این گزینه است. در روترهایی که رابط گرافیکی آنها کمی گیج‌کننده است، احتمالاً این حالت با عناوینی مثل WPA2 یا WPA2-PSK ذکر شده که به احتمال زیاد از رمزنگاری AES نیز استفاده می‌کنند (چرا که این منطقی‌ترین حالت است).

(WPAWPA2-PSK (TKIP/AES: در برخی از روترها این گزینه نیز در دسترس خواهد بود که سازگاری هر نوع دستگاهی را برای شما به ارمغان خواهد آورد. ترکیبی از نسل اول و دوم استاندارد وایرلس یعنی WPA1 و WPA2 در کنار دو شیوه‌ی رمزنگاری ضعیف و قوی TKIP و AES. هر چند استفاده از متدهای قدیمی و ضعیف‌تر، کور سوی امیدی را برای مهاجمان به منظور نفوذ به شبکه‌ی شما باز خواهد گذاشت.

wifi-security3

پشتیبانی اغلب دستگاه‌های تولید شده از سال ۲۰۰۶ به بعد از AES

گواهی WPA2 از سال ۲۰۰۴ در دسترس قرار گرفت؛ یعنی در حدود ۱۱سال قبل. از سال ۲۰۰۶، استفاده از گواهی WPA2 اجباری شد. به عبارتی هر دستگاهی که از سال ۲۰۰۶ به بعد تولید شده و آرم Wi-Fi بر روی آن درج گردیده، می‌بایست از رمزنگاری WPA2 پشتیبانی کند؛ یعنی از حدود ۹ سال قبل!

wifi-logo

قاعدتاً اغلب دستگاه‌های اطراف شما که لوگوی Wi-Fi روی آنها نقش بسته است، خیلی جدیدتر از ۹ یا ۱۱ سال قبل هستند؛ بنابراین شما باید گزینه‌ی (WPA2-PSK (AES را انتخاب کنید. حتی اگر این گزینه را انتخاب کردید و به هر دلیل دستگاه شما متوقف شد، به راحتی می‌توانید این تنظیمات را تغییر دهید. اگر هم دستگاه شما قدیمی است، شاید وقت آن رسیده باشد که دستگاهی با عمر کمتر از ۹ یا ۱۱ سال تهیه کنید و ریسک استفاده از یک دستگاه با استانداردهای امنیتی ضعیف را کاهش دهید.

WPA و TKIP عاملی برای کاهش سرعت وای‌فای شما

شاید جالب باشد بدانید که گزینه‌های سازگار با WPA و TKIP می‌توانند سرعت شبکه‌ی وای‌فای شما را به شکل محسوسی کاهش دهند. بسیاری از روترهای جدید که از استانداردهای ارتباطی ۸۰۲٫۱۱n و استاندارهای سریع‌تر و جدیدتر پشتیبانی می‌کنند، سرعتشان با فعال‌سازی WPA یا TKIP در گزینه‌های خود، به ۵۴ مگابیت بر ثانیه کاهش خواهد یافت. این کاهش سرعت به منظور اطمینان از سازگاری با دستگاه‌های قدیمی است.

اگر روتر دارای استاندارد ۸۰۲٫۱۱n از WPA2 در کنار AES استفاده کند، سرعتی تا ۳۰۰ مگابیت بر ثانیه را پشتیبانی خواهد کرد. در مورد استانداردی نظیر ۸۰۲٫۱۱ ac این تفاوت سرعت بسیار فاحش‌تر خواهد بود؛ چرا که این استاندارد از نظر تئوری و در شرایط ایده‌آل، از سرعت حداکثری ۳٫۴۶ گیگابیت بر ثانیه پشتیبانی می‌کند.

به بیان دیگر، صرف‌نظر از مبحث امنیتی، از لحاظ سرعت ارتباطات شبکه‌ی وای‌فای نیز استفاده از استانداردهای قدیمی WPA و TKIP به هیچ‌وجه منطقی نیست.

اما آنچه مسلم است در اغلب روترهای موجود در بازار ایران و خصوصاً روترهای تی‌پی لینک و دی‌لینک که بیش از دیگر برندها در میان کاربران ایرانی متداولند، دسترسی به گزینه‌ی ایده‌آل یعنی (WPA2-PSK (AES پیش‌بینی شده است.

wifi-security5

اگر روتر شما WPA2 را به شما پیشنهاد داده و مانند روتر من به شما حق انتخاب برای استفاده از TKIP یا AES را می‌دهد، حتما AES را انتخاب کنید. مطمئن باشید اغلب دستگاه‌های شما با آن سازگار بوده و خیال‌تان نیز از بابت امنیت و سرعت آسوده خواهد بود. پس همیشه به خاطر داشته باشید که انتخاب استاندارد رمزنگاری AES چه برای کدگذاری ارتباطات وای‌فای و چه برای کدگذاری هر نوع اطلاعات دیگری مثل هارددرایو شما، امنیت و سرعت بیشتری را به ارمغان خواهد آورد.

 

ادامه مطلب

تفاوتهای سوئیچ های سیسکو سری Nexus 7000 و Catalyst 6500

تفاوتهای-سوئیچ-های-سیسکو-سری-Nexus-7000-و-Catalyst-6500

مهندسین شبکه بحث های فراوانی را در رابطه با مقایسه ۶۵۰۰ ,Nexus انجام میدهند ولی جواب سوال از کدام یک استفاده کنم همچنان مبهم است.بستگی به نیازهایتان دارد.هر دو دارای تواناییهای خوبی هستند و انتخاب بستگی به اینکه کاربری شما نیازمند چه Interfaceها و چه خصوصیتهایی است، دارد.

الف) تفاوت های ساختاری

•معماری ارسال بسته Forwarding Architecture

مهمترین تفاوت ، معماری ارسال است. ۶۵۰۰ می تواند از هر دو تکنولوژی ارسال مرکزی که در آن sup تصمیمات ارسال را می گیرد و ارسال توزیع شده که در آن  Line Card ها تصمیمات ارسال را می گیرند استفاده نماید در حالی که Nexus فقط از ارسال توزیع شده استفاده می کند.

• Switch Fabric

در ۶۵۰۰ فابریک سوئیچ در sup ادغام گردیده است در حالی که در Nexus 7000 فابریک سوئیچ در قسمت جداگانه ای از شاسی بدون وابستگی به بقیه کارت ها قرار دارد که در نتیجه آن در ۷۰۰۰ ، sup تنها اعمال کنترلی را بر عهده می گیرد و سیستم عامل را اجرا کرده و کل سیستم را مدیریت می نماید و دیگر امکانات ارسالی بر روی آن قرار ندارد.

• Interface  ها:

یکی از اساسی ترین تفاوت های این دو در interface های مورد پشتیبانی است.هم سری ۶۵۰۰ و هم Nexus 7000 از اینترفیس های ۴۰Gb پشتیبانی می کنند. در حالی که فقط Nexus 7000 از ۱۰۰ Gb پشتیبانی م

ی کند. در کاربردهای قدیمی ۱۰G و ۱G نیز سری ۷۰۰۰ از Line card هایی با تعداد بیشتری پورت پشتیبانی می نماید.

ب) تفاوت های خصوصیات و تکنولوژیها:

با اینکه هر دو سری امکانات سوئیچینگ لایه ۳، پشتیبانی از روتینگ پروتکل ها ، MPLS/VRF و QoS را دارند ولی هر یک تواناییهای منحصر به فرد خود را نیز دارا هستند که در ادامه مورد بررسی قرار می گیرد.

VSS -Virtual Switching System :

مهندسین شبکه همواره در شبکه ها از افزونگی در ارتباطات و سوئیچها به منظور افزایش قابلیت اطمینان استفاده می کنند ولی این مورد باعث ایجاد پیچیدگی هایی در طراحی و کارکرد شبکه می گردد. VSS در ۶۵۰۰ شبکه را با کوچکتر کردن تعداد ادوات شبکه از پیچیدگی و مدیریت مسیرها و سوئیچهای افزونه ( (redundant می کاهد. VSS دو سوئیچ فیزیکی را به یک سوئیچ تبدیل کرده و باعث ساده تر شدن ساختار می شود . VSS دو سوئیچ فیزیکی را به یک سوئیچ تبدیل کرده و باعث ساده تر شدن ساختار Port Channelها می شود. همچنین باعث کاهش تعداد همسایگان در روتینگ لایه ۳ میگردد و از بوجود آمدن Loop های لایه ۲ نیز جلوگیری می کند.مثلاً به صورت فیزیکی در لایه توزیع شبکه معمولاً هر سوئیچ دسترسی (Access) به وسیله دو لینک مجزا به دو سوئیچ توزیع (Distribution) متصل میگردد.به وسیله VSS میتوان Port channel های منطقی از یک سوئیچ دسترسی تعریف نمود و توپولوژی لایه۳و امکانات بالانس ترافیکی (Load Balancing) را به وجود آورد. همچنین به کمک VSS دیگر لازم نیست مهندسان شبکه خود را با Spanning Tree درگیر نمایند.در Nexus این موارد از طریق VPC انجام میپذیرد.

•Virtual Port-Channel- vPC :

کاربرد اصلی این مورد در Nexus 7000 نیز استفاده از امکان Link Aggregation در چند سوئیچ فیزیکی مختلف است ولی آن را به صورت متفاوتی انجام می دهد . تفاوت اصلی در این است که در Control plane ,VSS ها به صورت منطقی واحد در نظر گرفته می شود ولی در vPC اینگونه نیست . بنابراین هر دو سوئیچ می توانند به صورت کاملاً مستقل عمل نمایند و به همین علت نیز Ether Channel های ساخته شده بین چند سوئیچ قابلیت لایه ۳ ندارند و نیاز به استفاده از پرو تکل هایی نظیر HSRP وجود دارد.

•ماژولهای سرویسدهی Service Modules

۶۵۰۰ از ماژول های سرویس دهی پشتیبانی میکند مانند ASA-SM که امکانات فایروال با توان عملیاتی بالا را فراهم می کند و نیز NAM که امکانات گزارشگیری ترافیک و مدیریت را فراهم میسازد در حالی که Nexus 7000 از آنها پشتیبانی نمی نماید.

Virtual Device Context- VDC:

این امکان در Nexus 7000 اجازه می دهد که یک سوئیچ فیزیکی به چندین سوئیچ کاملاً مستقل منطقی تقسیم شود و Control Plane نیز به چند قسمت تقسیم شود و هر سوئیچ منطقی را مستقل می نماید تا مطمئن شود که هیچگونه وابستگی به یکدیگر ندارند. این قابلیت به منظور استقلال نگهداری سیستمها استفاده میشود به طور مثال بخش امنیت فقط به DMZ VDC دسترسی داشته باشد. VPC ها هیچگونه ارتباطی با هم ندارندمگر اینکه ارتباط فیزیکی پورتهای آنها برقرار گردد.

•WAN Interfaces:

۶۵۰۰ امکان استفاده از Interface های WAN وسیعی از E1، T1 تا OC ، STM را دارا میباشد.

•Fabric Extender:

Nexus 7000 دارای پشتیبانی از Fabric Extender های سری Nexus 2200 است که امکان به وجود آمدن شاسی های مجازی برای کاربردهای بزرگ در دیتا سنتر را به وجود می آورد همچنین به کمک تکنولوژی FCoE امکان یکی کردن بستر SAN و شبکه اترنت به وجود می آید و دیگر نیازی به استفاده از دو زیر ساخت مستقل برای SAN و شبکه وجود ندارد.

ادامه مطلب

کانفیگ کردن SAN Switch Zoning

در این پست به چگونگی انجام پیکربندی های ساده بر روی سوییچ های فیبر خواهیم پرداخت. مبنای این آموزش Zoning و تنظیمات مربوط به سطح دسترسی های میان HBA Host Bus Adapter های بر روی سرورها و HBA های سمت Storage Array خواهد بود.

نمونه ای که ما بر روی آن بحث میکنیم دارای چهار عدد سرورهای VMware ESX که هر کدام دارای دو کارت HBA می باشند که بصورت ضربدری متصل شده اند و به دو عدد سوییچ فیبر وصل شده اند.

در تصویر زیر دید کلی از محیط نصب را خواهیم دید مسیردهی ایده آل زمانی است که ما Node Name یا World Wide Node Name WWNN و شماره پورتها یا همان World Wide Port Name هر آداپتور را داشته باشیم و به بیان دیگر لازمه این کار این است که ما بدانیم کدام پورت با کدام WWNN ارتباط دارند.

در بالا WWPN و WWNN سرورها برای انجام Zoning در سوییچهای فیبر مورد نیاز می باشد. راه اندازی این قابلیت به امن تر شدن محیط و نیز اعمال محدودیت های لازم و مدیریت آسان و قابل درک کمک خواهد کرد. با راه اندازی این قابلیت دیگر هیچ درگیری ذهنی در خصوص نحوه تخصیص

LUN ها که بسیار به هم شبیه هستند و یا دارای کارکرد های مشابه هستند نخواهید داشت و ترکیب این دو پیکربندی باعث کانفیگ کردن ایده آل برای محیط شبکه SAN می باشد. شبکه ما دارای دو عدد سوییچ فیبر می باشد و دارای اطلاعات متفاوت WWNN و WWPN و Name و Alias و … می باشند.

ما از طریق یک Browser به سوییچ وصل می شویم البته قبلا باید یک آدرس IP بر روی کنسول آن ست کنیم و یا تولید کننده آن سوییچ یک آدرس IP بر روی آن بصورت پیش فرض ست شده است.

نام کاربری و کلمه عبور را وارد می کنیم

کنسول مدیریتی بصورت ذیل خواهد بود در این کنسول کلیات سوییچ و پورتهای استفاده شده و وضعیت کلی آنها را مشاهده می کنیم.

بر روی دکمه Switch Admin  کلیک می کنیم تا بتوانیم تنظیمات پایه را روی سوییچ انجام دهیم.

چگونگی تغییر نام سوییچ و یا تغییر آدرس IP سوییچ و آپدیت Firmware سوییچ ها با یک نسخه مشخص و استفاده ار لایسنس ها و یا تغییر پسورد USERID و نیز ایجاد کاربران جدید را در این مرحله می بینید. کلیه این قابلیت ها در تب های Switch – Network – Firmware – Download – License – User و با کلیک کردن بر روی گزینه Apply انجام می گیرد.

تغییرات کلی در وضعیت به ما اطلاع داده می شود و بدلیل اینکه این تغییرات را تایید کرده ایم ثبت و یادداشت کردن آنها ضروری می باشد.

ما از قبل اسم را تصحیح کرده ایم.

اگر ما کاربری از نوع Port Admin  باشیم می توانیم کلیه پورتهای موجود بر روی این سوییچ و یا سوییچ های دیگر را مدیریت کنیم.

از آنجا که پورتهای مشخص شده برای این کار داریم با پیش فرض Port Disabled کار را آغاز می کنیم و در این نمونه پورتهای سوییچ و خارجی بصورت Disabled  می باشند و ما می توانیم پورتهای مورد دلخواه را از طریق گزینه Persistent Enableروی آن Enable کنیم. در این حالت ما هیچ سرور وصل شده ای به پورتها را مشاهده نمی کنیم و آن بخاطر درایور های HBA و یا سیستم عامل آنها می تواند باشد.

پورت مورد نظر را Enable  می کنیم.

زمانی که پورت Enable  می شود یک Ack با متن Online نشان می دهد.

پیکربندی اصلی Zone Admin می باشد که در آن می توانیم نحوه دسترسی Device ها را در آن تعریف کنیم.

در Tab با نام Alias ما می توانیم کلیه Device های متصل به سوییچ را مشاهده نماییم که در مثال ما شامل چهار عدد سرور با کارتهای Qlogic HBA می باشند و چهار عدد دیگر از این اتصالات بر روی سوییچ دوم وجود دارد. با تنظیم Alias بر روی کارتهای HBA می توانیم براحتی اتصالات و Zone ها را تشخیص دهیم.

پس ابتدا بر روی دکمه New Alias کلیک می کنیم.

ما به اسم و Alias اشاره خواهیم کرد تا بتوانیم بهتر کارتهای HBA را از هم تشخیص بدهیم. در مثال ما دستگاه IBM N3300 با دو کنترلر UP و Down می باشد و طبق شکل نامگذاری می کنیم.

ما این HBA را انتخاب کرده ایم و آن را Add Member می کنیم.

Alias  با این Member مرتبط شده است.

و در این مرحله این کار را بر روی کلیه کارتهای HBA انجام می دهیم.

نام Alias Name را وارد کرده و سپس بر روی دکمه OK کلیک می کنیم.

مطابق شکل بالا HBA را Add Member می کنیم.

این کل کاری است که ما باید انجام دهیم.

زمانی که ما کلیه Alias ها را پیکربندی کردیم باید Area ها را ایجاد کنیم که این ناحیه ها می توانند اجازه ارتباط بین Alias ها را می دهد.

بر روی Tab با نام Zone کلیک کرده و Zone جدید را ایجاد می کنیم.

ما در این مثال به نام Zone اشاره کرده ایم و آن را ZONA_ESX01 نامگذاری کرده ایم و ترافیک میان کارت HBA سرور و استوریج را از خود عبور می دهد.

پس از این مرحله بر روی هر کدام از Alias های سرور و استوریج کلیک کرده و Add Member را کلیک می کنیم.

تنظیمات مربوط به Area ها را انجام می دهیم و در این محیط ترافیک و دسترسی بین سرور ESX و استوریج تعریف خواهد شد.

بنابراین ما یک Zone ایجاد می کنیم.

نام Area  و سپس OK

مرحله اضافه نمودن Member ها

مراحل آماده می باشند.

زمانیکه کلیه Area ها نصب شدند یک Global Configuration ایجاد می کنیم و آن را ذخیره و فعال می کنیم و به این منظور بر روی Tab مربوط به Zone Config می رویم.

نام Global Configuration ما در اینجا CONFIG_SW10 می باشد.

بر روی Area هایی که ایجاد و به عنوان Member به این Configuration اضافه کرده ایم Add Member می کنیم.

کلیه تنظیمات را از طریق Save Config نگهداری می کنیم.

تایید Zone Configuration

تنظیمات پیش فرض که در آن دسترسی ها کلا باز هستند و آن Effective Zone Config می باشد.

کانفیگ تولید شده توسط خودتان را انتخاب و بر روی OK کلیک نمایید.

کانفیگ فعال سازی می شود.

شکل سوییچ بعد از اعمال تغییرات

اگر شما عضو گروه Port Admin  باشید می توانید وضعیت پورتها را مشاهده کنید.

امیدواریم از این پستبهره لازم را برده باشید.

برای کسب اطلاعات بیشتر و یا ارائه مشاوره فنی با ما در ارتباط باشید.

ادامه مطلب