ليست فوق حاوی نام برنامه هائی است که به آنان مجوز لازم به منظور فعال نمودن ارتباطات شبکه ای اعطاء شده است. برای انجام اين کار می توان مراحل زير را دنبال نمود :

·         Start | Control Panel | Security Center

·         کليک بر روی  Windows Firewall  از طريق Manage security settings for

·         انتخاب  Add Program  از طريق Exceptions

·         انتخاب برنامه مورد نظر ( از طريق ليست و يا Browse نمودن )

پس از انجام عمليات فوق ، می بايست نام برنامه مورد نظر در ليست Exception مشاهده گردد. در صورتی که قصد بلاک نمودن موقت فعاليت ارتباطی يک برنامه را داشته باشيم،می توان از Cehckbox موجود در مجاورت نام برنامه استفاده نمود . برای حذف دائم يک برنامه موجود در  ليست Exception ، می توان از دکمه  Delete استفاده  نمود .
کاربرانی که دارای اطلاعات مناسب در رابطه با پورت های مورد نياز يک برنامه می باشند ، می توانند با استفاده از Add Port ، اقدام به معرفی و فعال نمودن پورت های مورد نياز يک برنامه نمايند . پس از فعال نمودن پورت ها ، وضعيت آنان صرفنظر از فعال بودن و يا غيرفعال بودن برنامه و يا برنامه های متقاضی ، باز باقی خواهند ماند . بنابراين در زمان استفاده از ويژگی فوق می بايست دقت لازم را انجام داد . اغلب از ويژگی فوق در مواردی که پس از اضافه نمودن يک برنامه به ليست Exception همچنان امکان ارتباط آن با ساير کامپيوتر و يا برنامه های موجود در شبکه وجود نداشته باشد، استفاده می گردد .

آيا فايروال با بازی های اينترنتی کار می کند ؟  
پاسخ به سوال فوق مثبت است و فايروال ويندوز قادر به باز نمودن پورت های ضروری برای بازی های اينترنت و يا شبکه محلی است .  در اين رابطه يک حالت  خاص وجود دارد که ممکن است برای کاربران ايجاد مشکل نمايد. در برخی موارد ممکن است پيام هشداردهنده امنيتی که از شما به منظور ارتباط با ساير برنامه ها تعيين تکليف می گردد ، بر روی صفحه نمايشگر نشان داده نمی شود . همانگونه که اطلاع داريد اکثر بازی های کامپيوتری به منظور نمايش تصاوير سه بعدی بر روی نمايشگر و استفاده از تمامی ظرفيت های نمايش ، از تکنولوژی DirectX استفاده می نمايند . با توجه به اين موضوع که پس از اجرای يک بازی ، کنترل نمايش و خروجی بر روی نمايشگر بر عهده بازی مورد نظر قرار می گيرد ، امکان مشاهده پيام هشداردهنده امنيتی وجود نخواهد داشت . ( در واقع پيام پشت صفحه بازی مخفی شده است ) . بديهی است با عدم پاسخ مناسب به پيام هشداردهنده ، فايروال ويندوز امکان دستيابی شما به شبکه بازی را بلاک خواهد کرد . در صورت برخورد با چنين شرايطی در اکثر موارد با نگه داشتن کليد ALT و فشردن دکمه TAB می توان به Desktop ويندوز سوئيچ و پيام ارائه شده را مشاهده و پاسخ و يا واکنش مناسب را انجام داد . پس از پاسخ به سوال مربوطه می توان با فشردن کليدهای ALT+TAB مجددا" به برنامه مورد نظر سوئيچ نمود .
تمامی بازی های کامپيوتری از کليدهای ALT+TAB حمايت نمی نمايند . در چنين مواردی و به عنوان يک راهکار منطقی ديگر، می توان اقدام به اضافه نمودن دستی بازی مورد نظر به ليست Exception نمود ( قبل از اجرای بازی ) . 

چرا با اين که نام يک برنامه به ليست Exception اضافه شده است ولی همچنان امکان ارتباط صحيح وجود ندارد ؟ علت اين امر چيست و چه اقداماتی می بايست انجام داد ؟
در صورت استفاده از يک فايروال سخت افزاری ، می بايست پورت های مورد نياز يک برنامه بر روی آن نيز فعال گردند . فرآيند نحوه فعال نمودن پورت بر روی فايروال های سخت افزاری متفاوت بوده و به نوع آنان بستگی دارد . مثلا" در اکثر روترهائی که از آنان در شبکه های موجود در منازل استفاده می شود ، می توان با استفاده از يک صفحه وب پارامترهای مورد نظر ( نظير پورت های فعال ) را تنظيم نمود . در صورتی که پس از بازنمودن پورت های مورد نياز يک برنامه مشکل همچنان وجود داشته باشد ، می توان برای کسب آگاهی بيشتر به سايت پشتيبانی مايکروسافت مراجعه نمود .

آيا باز نمودن پورت های فايروال خطرناک است ؟
با باز نمودن هر پورت ، کامپيوتر شما در معرض تهديدات بيشتری قرار خواهد گرفت . عليرغم باز نمودن برخی پورت ها به منظور بازی و يا اجرای يک کنفرانس ويدئويی ، فايروال ويندوز همچنان از سيستم شما در مقابل اغلب حملات محفاظت می نمايد. پس از معرفی يک برنامه به فايروال ويندوز ، صرفا" در زمان اجرای اين برنامه پورت های مورد نياز فعال و پس از اتمام کار ، مجددا" پورت های استفاده شده غيرفعال می گردند . در صورتی که به صورت دستی اقدام به باز نمودن پورت هائی خاص شده باشد، پورت های فوق همواره باز شده باقی خواهند ماند . به منظور حفط بهترين شرايط حفاظتی و امنيـتی ، می توان پس از استفاده از پورت و يا پورت هائی که با توجه به ضرورت های موجود فعال شده اند ، آنان را مجددا" غيرفعال نمود ( استفاده از  checkbox موجود در مجاورت برنامه در ليست Exception ) .

چگونه می توان صفحه مربوط به نمايش پيام های هشداردهنده امنتي فايروال ويندز را غيرفعال نمود ؟
در صورتی که فايروال ويندز را اجراء نکرده باشيد و مرکز امنيت ويندوز (WSC ) قادر به تشخيص فايروال استفاده شده بر روی سيستم شما نباشد ، شما همواره  يک پيام هشداردهنده امنيتی فايروال را مشاهده خواهيد کرد . برای غيرفعال نمودن اين چنين پيام هائی می توان مراحل زير را انجام داد :

·         Start | Control Panel | Security Center

·         در بخش Windows Security Center ، بر روی دکمه Recommendation کليک نمائيد . در صورتی که دکمه فوق مشاهده نشود ، فايروال ويندوز فعال است )

·         انتخاب گزينه  I have a firewall solution that I'll monitor myself 

پس از انجام عمليات فوق ، ويندوز وضعيت فايروال را اعلام نخواهد کرد . رويکرد فوق در مواردی که از يک فايروال سخت افزاری و يا نرم افزاری خاص استفاه می شود ، پيشنهاد می گردد . بدين ترتيب مرکز امنيت ويندوز ، وضعيت فايروال را مانيتور نخواهد کرد .

و اما نکته آخر و شايد هم تکراری !
برای استفاده ايمن از اينترنت ، می بايست اقدامات متعددی را انجام داد . قطعا" استفاده از فايروال يکی از اقدامات اوليه و در عين حال بسيار مهم در اين زمينه است . يک سيستم بدون وجود يک فايروال ، در مقابل مجموعه ای گسترده از برنامه های مخرب آسيپ پذير است و در برخی موارد صرفا" پس از گذشت چندين دقيقه از اتصال به اينترنت ، آلوده خواهد شد . با استفاده از يک فايروال ، ضريب مقاومت و ايمنی کاربران در مقابل انواع حملات افزايش می يابد.

برگرفته از سايت شرکت مايکروسافت

CCNA

شرايط لازم برای دريافت مدرك CCNA

‍CCNA ( برگرفته از  Cisco Certified Network Associate ) ، اولين مدرك معتبر شركت سيسكو در رابطه با شبكه است كه می توان آن را پيش نياز ساير مدارك اين شركت در نظر گرفت . علاقه مندان به دريافت اين مدرك می بايست دارای مجموعه ای از  قابليت ها باشند :

  • نصب ، پيكربندی و مديريت شبكه های محلی ( LAN ) و شبكه های گسترده ( WAN )
  • آشنائی و قابليت پيكربندی پروتكل IP ( برگرفته از  Internet Protocol )
  • آشنائی و قابليت پيكربندی پروتكل IGRP ( برگرفته از  Interior Gateway Routing Protocol  )
  • آشنائی و قابليت پيكربندی پروتكل  EIGRP ( برگرفته از Enhanced IGRP )
  • آشنائی و قابليت پيكربندی پروتكل  OSPF ( برگرفته از Open Shortest Path First )
  • آشنائی و قابليت پيكربندی پروتكل PPP ( برگرفته از Point-to-Point Protocol  )
  • آشنائی و قابليت پيكربندی  ISDN  ( برگرفته از  Integrated Services Digital Network  )
  • آشنائی و قابليت پيكربندی پروتكل Frame Relay 
  • آشنائی و قابليت پيكربندی پروتكل RIP ( برگرفته از Routing Information Protocol )
  • آشنائی و پيكربندی شبكه های محلی مجازی VLAN ( برگرفته از  virtual LANs  )
  • آشنائی با مفاهيم اساسی اترنت
  • آشنائی و پيكربندی ليست های دستيابی
  • نصب و پيكربندی يك شبكه

·         بهينه سازی WANs به كمك راه حل های مبتنی بر اينترنت  با استفاده از ويژگی هائی نظير فيلترينگ و ليست های دستيابی و DDR ( برگرفته از dial-on-demand routing  )  به منظور كاهش پهنای باند و هزينه WAN  

چگونه می توان مدرك CCNA را دريافت نمود ؟
اولين مرحله برای دريافت مدرك CCNA ، شركت در آزمون شماره  801  - 640 و كسب نمره قبولی است  .شركت سيسكو برای دريافت مدرك CCNA اين امكان را نيز برای متقاضيان فراهم نموده است كه در مقابل يك آزمون در دو آزمون جداگانه شركت نمايند:

·         640-811 ICND (  Interconnecting Cisco Networking Devices )

·         640-821 INTRO

تصميم در خصوص شركت در دو آزمون  فوق و يا شركت در يك آزمون ( شماره  801  - 640 )  با متقاضی است . بديهی است كه علاقه مندان به دريافت مدرك CCNA  با شركت در دو آزمون می بايست هزينه بيشتری را پرداخت نمايند . از طرف ديگر، با تقسيم مطالب و شركت در دو آزمون جداگانه شرايط مطلوبتری برای علاقه مندان فراهم می‌ گردد ( كاهش حجم مطالب ) .
در صورت حضور در كلاسی كه شما را برای آزمون شماره  801  - 640 آماده می نمايد ، می توان در صورت تمايل در دو آزمون جداگانه شركت و موفق به كسب مدرك CCNA گرديد .

ماهيت و نحوه سوالات آزمون

·          آزمون CCNA شامل 50 سوال ( و شايد هم بيشتر ) است كه می بايست در مدت زمان 90 دقيقه به آنها پاسخ داده شود ( اين احتمال وجود دارد كه زمان فوق كمتر هم در نظر گرفته شود ) . توجه داشته باشيد كه اعداد اشاره شده ممكن است تغيير يابد و هر آزمون شرايط مختص به خود را داشته باشد . برای موفقيت در آزمون می بايست به 85 درصد سوالات  پاسخ صحيح داده شود ( كسب حداقل نمره 85 ) . 

·         پاسخ برخی سوالات ( خصوصا" سوالات چند گزينه ای در رابطه با گرامر دستورات ) ، ممكن است در اولين مرحله مشابه و يكسان بنظر آيد . بديهی است كه در زمان پاسخ به سوالات ، می بايست هم صورت مسئله و هم پاسخ های مربوطه به دقت مطالعه گردند. 

·         توجه داشته باشيد كه پاسخ صحيح ، پاسخ مورد نظر شركت سيسكو می باشد . در برخی موارد ممكن است بيش از يك پاسخ مناسب برای يك سوال خاص مطرح شده باشد ولی گزينه صحيح ، پاسخی است كه سيسكو آن را توصيه نموده است . 

·         در صورتی كه برخی سوالات دارای بيش از يك پاسخ صحيح باشند ، همواره در متن سوال به اين موضوع اشاره می گردد.


فرمت سوالات آزمون شماره  801 - 640

·         سوالات چند گزينه ای كه صرفا" يك پاسخ درست دارند .

·         سوالات چندگزينه ای كه دارای چندين پاسخ درست می باشند  .

·         سوالاتی كه به صورت Drag -Drop می باشند .

·         تكميل بخش خالی يك عبارت

·         شبيه سازی روتر

نكاتی برای كسب موفقيت در آزمون  

·         حضور به موقع در مركز آزمون ( مطالعه و پاسخ به سوالات بدون نگرانی و استرس )

·         مطالعه دقيق سوالات 

·         آشنائی دقيق به آنچه كه در صورت مسئله طرح شده است ( قبل از بررسی گزينه های انتخابی  )

·         در زمان پاسخ به سوالات چند گزينه ای كه در رابطه با پاسخ صحيح آنها اطمينان نداريد ، از فرآيند حدف تدريجی پاسخ هائی كه نادرست بودن آنها كاملا" مشهود است ، استفاده نمائيد .  سياست فوق به شما كمك می كند حتی در صورت انتخاب حدسی يك گزينه  ، احتمال درست بودن آن افزايش يابد .

·         بررسی پاسخ قبل از فشردن دكمه Next ( بررسی پاسخ در زمانی كه امكان انجام اين كار وجود دارد )

پس از اتمام آزمون ، بلافصله نتايچ آن به شما اعلام می گردد ( score report ) . پس از پنج روز نيز نتايج بطور اتوماتيك برای سيسكو ارسال خواهد شد ، بنابراين لازم نيست كه شما نتايج آزمون را برای آنها ارسال نمائيد . در صورت كسب موفقيت در آزمون ، تائيديه آن از  طريق شركت سيسكو  و پس از طی دو تا چهار هفته به شما اعلام می گردد.

 محور كلی سوالات
آزمون شماره  801  - 640 برای دريافت مدرك  CCNA  ( و يا آزمون های جداگانه  811  - 640 و 821  - 640  ) بر روی چندين محور اساسی متمركز می باشد :

 برنامه ريزی و طراحی شامل :

  • طراحی يك شبكه LAN ساده با استفاده از فناوری سيسكو
  • طراحی يك مدل آدرس دهی IP منطبق بر طراحی شبكه
  • انتخاب يك پروتكل روتينگ مناسب
  • طراحی يك ارتباط بين شبكه ای ساده با استفاده از فناوری سيسكو
  • پياده سازی يك ليست دستيابی منطبق بر نياز كاربران
  • انتخاب سرويس های WAN منطبق بر نياز مشتريان 

 پياده سازی و عمليات شامل :

  • پيكربندی پروتكل های روتينگ
  • پيكربندی آدرس های IP ، آدرس های gateway و subnet mask بر روی روتر و هاست ها
  • پيكربندی يك روتر به منظور انجام فعاليت های اضافه مديريتی 
  • پيكربندی يك سوئيچ با استفاده از VLAN و ارتباط داخلی بين سوئيچ ها

پياده سازی يك شبكه محلی ( LAN )  شامل :

  • سفارشی نمودن پيكربندی يك سوئيچ منطبق بر نياز های موجود
  • مديريت فايل های پيكربندی دستگاه ها و image سيستم
  • انجام يك پيكربندی اوليه بر روی روتر
  • انجام يك پيكربندی اوليه بر روی سوئيچ
  • پياده سازی اوليه پروتكل های WAN

 اشكال زدائی  شامل :

  • بكارگيری مدل مرجع OSI به عنوان يك راهنما برای اشكال زدائی شبكه
  • اشكال زدائی يك شبكه محلی و VLAN
  • اشكال زدائی پروتكل های روتينگ
  • اشكال زدائی آدرس دهی IP و پيكربندی هاست
  • اشكال زدائی دستگاه های شبكه ای  
  • اشكال زدائی يك ليست دستيابی
  • اشكال زدائی اوليه شبكه های WAN

آشنائی با مفاهيم و فن آوری ها شامل :

  • تشريح ارتباطات شبكه با استفاده از مدل های لايه ای
  • تشريح فرآيند Spanning Tree 
  • مقايسه و تبين خصايص كليدی يك محيط شبكه ای LAN
  • بررسی خصايص پروتكل های روتينگ
  • بررسی فرآيند ارتباطی TCP/IP و پروتكل های مرتبط به آن
  • تشريح عناصر موجود در يك شبكه
  • نقش قوانين به منظور كنترل بسته های اطلاعاتی
  • بررسی خصايص كليدی شبكه های WAN
+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:38 AM |

نحوه استفاده از فايروال ويندوز  XP  ( بخش اول )

امروزه از اينترنت در ابعاد گسترده و با اهدافی مختلف استفاده بعمل می آيد . يکی از نکات قابل توجه اينترنت ، تنوع استفاده کنندگان آن در رده های سنی مختلف و مشاغل گوناگون است. در ساليان اخير و به موازات رشد چشمگير استفاده از اينترنت خصوصا" توسط کاربران خانگی ، مشاهده شده است به محض شيوع يک ويروس و يا کرم جديد ، اغلب قربانيان را کاربرانی تشکيل می دهند که فاقد مهارت های لازم در جهت استفاده ايمن از اينترنت بوده و  دارای يک سطح حفاظتی مناسب نمی باشند . کاربران اينترنت همواره در تيررس مهاجمان بوده و هميشه امکان بروز حملات وجود خواهد داشت .
برای استفاده ايمن از اينترنت ، می بايست اقدامات متعددی را انجام داد . قطعا" استفاده از فايروال يکی از اقدامات اوليه و در عين حال بسيار مهم در اين زمينه است . استفاده از اينترنت بدون بکارگيری يک فايروال ، نظير بازنگهداشتن درب ورودی يک ساختمان است که هر لحظه ممکن است افراد غيرمجاز از فرصت ايجاد شده برای ورود به ساختمان استفاده نمايند . با نصب و استفاده از يک فايروال ، ضريب مقاومت و ايمنی کاربران در مقابل انواع حملات افزايش خواهد يافت .
شرکت مايکروسافت اخيرا"  Service Pack 2  ويندوز XP را عرضه نموده است ( نسخه های Professional و Home ) . يکی از ويژگی های مهم SP2 ، نصب پيش فرض يک فايروال است.
فايروال ويندوز XP که از آن با نام ( ICF ( Internet Connection Firewall  نيز ياد می گردد به صورت پيش فرض ، فعال می گردد. پس از  فعال شدن فايروال ، شاهد بروز تغييراتی گسترده در رابطه با عملکرد ويندوز بوده و ممکن است برخی برنامه ها ، ابزارها و يا سرويس ها در زمان اجراء با مشکلاتی مواجه گردند (بلاک شدن برخی از پورت های استفاده شده توسط برنامه ها و يا ساير ابزارهای کاربردی ) .
در اين مطلب قصد داريم به بررسی نحوه استفاده از فايروال ويندوز XP پرداخته و به برخی از سوالات متداول در اين زمينه پاسخ دهيم . احازه دهيد قبل از هر چيز با فايروال ها  و جايگاه آنان در  استفاده ايمن از شبکه های کامپيوتری ( اينترانت ، اينترنت ) بيشتر آشنا شويم  .

فايروال چيست ؟
فايروال يک برنامه و يا دستگاه سخت افزاری است که با تمرکز بر روی شبکه و اتصال اينترنت ، تسهيلات لازم در جهت عدم دستيابی کاربران غيرمجاز به شبکه و يا کامپيوتر شما را ارائه می نمايد. فايروال ها اين اطمينان را ايجاد می نمايند که صرفا" پورت های ضروری برای کاربران و يا ساير برنامه های موجود در خارج از شبکه در دسترس و قابل استفاده می باشد. به منظور افزايش ايمنی ، ساير پورت ها غيرفعال می گردد تا امکان سوء استفاده از آنان توسط مهاجمان وجود نداشته باشد . در برخی موارد و با توجه به نياز يک برنامه می توان موقتا" تعدادی از پورت ها را فعال و پس از اتمام کار مجددا" آنان را غيرفعال نمود . بخاطر داشته باشيد که به موازات افزايش تعداد پورت های فعال ، امنيت کاهش پيدا می نمايد .
فايروال های نرم افزاری ، برنامه هائی هستند که پس از اجراء ، تمامی ترافيک به درون کامپيوتر را کنترل می نمايند( برخی از فايروال ها علاوه بر کنترل ترافيک ورودی ، ترافيک خروجی را نيز کنترل می نمايند) . فايروال ارائه شده به همراه ويندوز XP ، نمونه ای در اين زمينه است . فايروال های نرم افزاری توسط شرکت های متعددی تاکنون طراحی و پياده سازی شده است . تعداد زيادی از اينگونه فايروال ها، صرفا" نظاره گر ترافيک بين شبکه داخلی و اينترنت بوده و ترافيک بين کامپيوترهای موجود در يک شبکه داخلی را کنترل نمی نمايند .

ضرورت استفاده از فايروال 
يک سيستم بدون وجود يک فايروال ، در مقابل مجموعه ای گسترده از برنامه های مخرب آسيپ پذير است و در برخی موارد صرفا" پس از گذشت چندين دقيقه از اتصال به اينترنت ، آلوده خواهد شد . در صورتی که تدابير و مراقبت لازم در خصوص حفاظت از سيستم انجام نگردد ، ممکن است کامپيوتر شما توسط برنامه هائی که به صورت تصادفی آدرس های اينترنت را پويش می نمايند ، شناسائی شده و با استفاده از پورت های فعال اقدام به تخريب و يا سوء استفاده از اطلاعات گردد .
بخاطر داشته باشيد با اين که استفاده از فايروال ها به عنوان يک عنصر حياتی در ايمن سازی محيط های عملياتی مطرح می باشند ولی تمامی داستان ايمن سازی به اين عنصر ختم نمی شود و می بايست از ساير امکانات و يا سياست های امنيتی خاصی نيز تبعيت گردد . باز نکردن فايل های ضميمه همراه يک Email قبل از حصول اطمينان از سالم بودن آنان ، پيشگيری از برنامه های جاسوسی معروف به Spyware و يا نصب برنامه های Plug-ins که با طرح يک پرسش از شما مجوز نصب را دريافت خواهند داشت ، نمونه هائی از ساير اقدامات لازم در اين زمينه است . 
فايروال ها قادر به غيرفعال نمودن ويروس ها و کرم های موجود بر روی سيستم نبوده و همچنين نمی توانند نامه های الکترونيکی مخرب به همراه ضمائم آلوده را شناسائی و بلاک نمايند . به منظور افزايش ضريب ايمنی و مقاومت در مقابل انواع حملات ، می بايست اقدامات متعدد ديگری صورت پذيرد :

  • نصب و بهنگام نگهداشتن يک برنامه آنتی ويروس
  • استفاده از ويندوز Upadate ( برطرف نمودن نقاط آسيب پذير ويندوز و سرويس های مربوطه )
  • استفاده از برنامه های تشخيص Spyware
  • نصب Plug-ins از سايت های تائيد شده

نحوه فعال نمودن فايروال در ويندوز XP 
در صورت نصب SP2 ويندوز XP ، فايروال به صورت پيش فرض فعال می گردد . برخی از مديران شبکه و يا افرادی که اقدام به نصب نرم افزار می نمايند ، ممکن است  آن را غيرفعال کرده باشند .

برای آگاهی از وضعيت فايروال از پنجره Security Center  استفاده می شود . بدين  منظور مراحل زير را دنبال می نمائيم :

  • Start | Control Panel | Security Center
  • انتخاب  گزينه Recommendations در صورت غيرفعال بودن فايروال
  • انتخاب گزينه Enable Now  به منظور فعال نمودن فايروال

در صورتی که ويندوز XP بر روی سيستم نصب شده است ولی SP2 هنوز نصب نشده باشد ، پيشنهاد می گردد که در اولين فرصت نسبت به نصب  SP2 ويندوز XP  ، اقدام شود ( استفاده از امکانات گسترده امنيتی و فايروال ارائه شده ) .
نسخه های قبلی ويندوز نظير ويندوز 2000 و يا 98 به همراه يک فايروال از قبل تعبيه شده ارائه نشده اند . در صورت استفاده از  سيستم های عامل فوق، می بايست يک فايروال نرم افزاری ديگر را انتخاب و آن را بر روی سيستم نصب نمود .

ضرورت توجه به امکانات ساير فايروال های نرم افزاری 
فايروال ويندوز ، امکانات حفاظتی لازم به منظور بلاک نمودن دستيابی غيرمجاز به سيستم شما  را ارائه می نمايد . در اين رابطه دستيابی به سيستم از طريق کاربران و يا برنامه های موجود در خارج از شبکه محلی ، کنترل خواهد شد . برخی از فايروال های نرم افزاری يک لايه حفاظتی اضافه را نيز ارائه داده و امکان ارسال اطلاعات و يا داده توسط کامپيوتر شما به ساير کامپيوترهای موجود در شبکه توسط برنامه های غير مجاز را نيز بلاک می نمايند ( سازماندهی و مديريت يک فايروال دوطرفه ) . با استفاده از اين نوع فايروال ها ، برنامه ها قادر به ارسال داده از کامپيوتر شما برای ساير کامپيوترها بدون اخذ مجوز نخواهند بود . در صورت نصب يک برنامه مخرب بر روی کامپيوتر شما ( سهوا" و يا تعمدا" ) برنامه فوق می تواند در ادامه اطلاعات شخصی شما را برای ساير کامپيوترها ارسال و يا آنان را سرقت نمايد . پس از نصب فايروال های دوطرفه ، علاوه بر تمرکز بر روی پورت های ورودی (  Incoming   ) ، پورت های خروجی ( Outgoing ) نيز کنترل خواهند شد.

آيا می توان بيش از يک فايروال نرم افزاری را بر روی يک سيستم نصب نمود ؟
پاسخ به سوال فوق مثبت است ولی ضرورتی به انجام اين کار نخواهد بود. فايروال ويندوز بگونه ای طراحی شده است که می تواند با ساير فايروال های نرم افزارهای همزيستی مسالمت آميزی را داشته باشد ولی مزيت خاصی در خصوص اجرای چندين فايروال نرم افزاری بر روی يک کامپيوتر وجود ندارد . در صورت استفاده از  يک فايروال نرم افزاری ديگر ، می توان فايروال ويندوز XP را غير فعال نمود .

در صورتی که بر روی شبکه از يک فايروال استفاده می گردد ، آيا ضرورتی به استفاده از فايروال ويندوز وجود دارد ؟
در صورت وجود بيش از يک کامپيوتر در شبکه ، پيشنهاد می گردد که حتی در صورتی که از يک فايروال سخت افزاری استفاده می شود ، از فايروال ويندوز XP نيز استفاده بعمل آيد . فايروال های سخت افزاری عموما" ترافيک بين شبکه و اينترنت را کنترل نموده و نظارت خاصی بر روی ترافيک بين کامپيوترهای موجود در شبکه را انجام نخواهند داد . در صورت وجود يک برنامه مخرب بر روی يکی از کامپيوترهای موجود در شبکه ، شرايط و يا پتانسيل لارم برای گسترش و آلودگی ساير کامپيوترها فراهم می گردد. فايروال ويندوز XP علاوه بر حفاظت کامپيوتر شما در خصوص دستيابی غيرمجاز از طريق اينترنت ، نظارت و کنترل لازم در رابطه با دستيابی غيرمجاز توسط کامپيوترهای موجود در يک شبکه داخلی را نيز انجام خواهد داد .

برگرفته از سايت شرکت مايکروسافت

نحوه استفاده از فايروال ويندوز  XP  ( بخش دوم )

در بخش اول به جايگاه فايروال ها در ايجاد يک سطح مناسب حفاظتی اشاره و به برخی از سوالات متداول در زمنينه نصب و استفاده از فايروال ويندوز XP پاسخ داده شد . در ادامه به بررسی ساير سوالات متداول در اين رابطه خواهيم پرداخت .

فايروال بر روی چه برنامه هائی تاثير می گذارد ؟
فايروال ويندوز با هر برنامه ای که تصميم به ارسال داده برای ساير کامپيوترهای موجود در شبکه داخلی و يا اينترنت را داشته باشد ، تعامل خواهد داشت . پس از نصب فايروال ، صرفا" پورت های مورد نياز برنامه های متداول مبادله اطلاعات نظير Email و استفاده از وب،  فعال می گردند . در اين راستا  و به منظور حفاظت کاربران ، امکان استفاده از برخی برنامه ها بلاک می گردد . سرويس FTP ( سرويس ارسال و يا دريافت فايل ) ، بازی های چند نفره ، تنظيم از راه دور Desktop و ويژگی های پيشرفته ای نظير کنفرانس های ويدئويی و ارسال فايل از طريق برنامه های  ( IM ( Instant Messaging  ، از جمله برنامه هائی می باشند که فعاليت آنان توسط فايروال بلاک می گردد . در صورت ضرورت می توان پيکربندی فايروال را بگونه ای انجام داد که پورت های مورد نياز يک برنامه فعال تا امکان مبادله اطلاعات برای برنامه متقاضی فراهم گردد .

چگونه می توان فايروال را برای يک برنامه خاص فعال نمود ؟
در صورتی که فايروال ويندوز فعال شده باشد ، اولين مرتبه ای که يک برنامه درخواست اطلاعات از ساير کامپيوترهای موجود در شبکه ( داخلی و يا اينترنت ) را می نمايد ، يک جعبه محاوره ای حاوی يک پيام هشداردهنده امنيتی فعال و از شما سوال خواهد شد که آيا به برنامه متقاضی اجازه مبادله اطلاعات با ساير برنامه ها و يا کامپيوترهای موجود در شبکه داده می شود و يا دستيابی وی بلاک می گردد . در اين جعبه محاوره ای پس از نمايش نام برنامه متقاضی با ارائه سه گزينه متفاوت از شما در رابطه با ادامه کار تعيين تکليف می گردد :

·         Keep Blocking  : با انتخاب اين گزينه به برنامه متقاضی اجازه دريافت اطلاعات داده نخواهد شد .

·         Unblock : پس از انتخاب اين گزينه پورت و يا پورت های مورد نياز برنامه متقاضی فعال و امکان ارتباط با کامپيوتر مورد نظر فراهم می گردد . بديهی است صدور مجوز برای باز نمودن پورت های مورد نياز يک برنامه به شناخت مناسب نسبت به برنامه و نوع عمليات آن بستگی خواهد داشت . در صورتی که از طريق نام برنامه نمی توان با نوع فعاليت آن آشنا گرديد ، می توان از مراکز جستجو برای آشنائی با عملکرد برنامه متقاضی ، استفاده نمود .

·         Ask Me Later : با انتخاب گزينه فوق در مقطع فعلی تصميم به بلاک نمودن درخواست برنامه متقاضی می گردد.در صورت اجرای برنامه ، سوال فوق مجددا" مطرح خواهد شد .

در صورتی که يک برنامه بلاک شده است ولی بدلايلی تصميم به فعال نمودن و ايجاد شرايط لازم ارتباطی برای آن را داشته باشيم ، می توان به صورت دستی آن را  به ليست موسوم به Exception اضافه نمود .
+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:37 AM |

نحوه حفاظت درمقابل مسائل Anonymouse logon  .
در اين مقاله ، اطلاعاتی در رابطه با تغيير ريجستری ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغيير در ريجستری ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازيابی مجدد ( Restore ) آنان وجود داشته باشد.در اين رابطه می توان از منابع اطلاعاتی زير استفاده نمود :

- تشريح ريجستری ويندوز
- نحوه Backup ، ويرايش ، و Restore نمودن ريجستری در ويندوز NT 4.0
- نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز 2000
- نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز XP و ويندوز 2003

کامپيوترهائی که بصورت ويندوز NT Domain Controllers پيکربندی شده اند ، نيازمند يک  Null sessions بمنظور ارتباطات مورد نياز خود خواهند بود . بنابراين در صورتيکه از يک Windows NT Domain ويا اکتيو دايرکتوری ويندوز 2000 / 2003 که در حالت ترکيبی اجراء شده است ( امکان دستيابی نسخه های قبل از ويندوز 2000 را نيزفراهم می نمايد ) ، استفاده می گردد ،  می توان ميزان اطلاعاتی را که ممکن است توسط مهاحمان استفاده گردد را کاهش ولی نمی بايست اين انتظار وجود داشته باشد که با تنظيم ريجستری  RestrictAnonymouse به مقدار يک ، تمامی زمينه ها و پتانسيل های مربوطه حذف گردند. راه حل ايده آل  در موارديکه از يک اکتيو دايرکتوری ذاتی ويندوز 2000 , 2003 استفاده می گردد ، مقداردهی RestrictAnonymouse به دو خواهد بود . بمنظور اخذ اطلاعات بيشتر در رابطه با اعمال محدوديت بر اساس null sessions ، می توان از مجموعه مقالات زير استفاده نمود:
- اعمال محدوديت در ارائه اطلاعا ت  به کاربران Anonymouse  در ويندوز NT
نحوه استفاداره از مقدار ريجستری RestrictAnonymouse در ويندوز 2000
بمنظور اشکال زدائی ، مقدار ريجستری RestrictAnonymouse  می توان از مقاله زير استفاده نمود :
مقدار ريجستری ResteictAnonymous ممکن است باعث شکستن Trust در يک Domain ويندوز 2000 گردد .

نحوه حفاظت در مقابل دستيابی به ريجستری سيستم
بمنظور برخورد با تهديد فوق، می بايست دستيابی و مجوزهای مرتبط به کليدهای  مهم و حياتی ريجستری ، بررسی و درصورت لزوم بازنويسی گردند . کاربران ويندوز NT 4.0 ، می بايست از نصب  Service Pack 3 بر روی سيستم خود  قبل از انجام تغييرات مورد نياز در ريجستری ، مطمئن شوند . در اين مقاله ، اطلاعاتی در رابطه با تغيير ريجستری ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغيير در ريجستری ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازيابی مجدد ( restore ) آنان وجود داشته باشد.در اين رابطه می توان از منابع اطلاعاتی زير استفاده نمود :
- تشريح ريجستری ويندوز
- نحوه Backup ، ويرايش ، و Restore نمودن ريجستری در ويندوز NT 4.0
- نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز 2000
- نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز XP و ويندوز 2003

محدوديت دستيابی  شبکه : بمنظور اعمال محدوديت دستيابی به ريجستری از طريق شبکه ، مراحل زير را بمنظور ايجاد يک کليد ريجستری دنبال می نمائيم :

create the following Registry key

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SecurePipeServers\winreg
Description: REG_SZ
Value: Registry Server

مجوزهای امنيتی  کليد فوق ، کاربران و گروههائی را که دارای مجوز دستيابی از راه دور به ريجستری می باشند را مشخص می نمايد . در زمان نصب ويندوز ، تنظيمات پيش فرض کليد فوق ، Access Control List بوده که امتيازات و مجوزهای کاملی را در اختيار مديريت سيستم و گروههای مديريتی ( Backup Operators در ويندوز 2000 ) قرار می دهد . برای ايجاد يک کليد بمنظور اعمال محدوديت در دستيابی به ريجستری ، مراحل زير را دنبال می نمائيم :
- اجرای برنامه ريجستری ( Regedit32.exe و يا Regedit.exe )
- جستجو جهت يافتن  کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 
- انتخاب گزينه Add Key از طريق  منوی Edit
- درج مقادير زير :

Enter the following values:

Key Name: SecurePipeServers
Class: REG_SZ

- جستجو جهت يافتن  کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers 
- انتخاب گزينه Add Key از طريق  منوی Edit
- درج مقادير زير :

Enter the following values:

Key Name: winreg
Class: REG_SZ

 - جستجو جهت يافتن  کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg  
- انتخاب گزينه Add Key از طريق  منوی Edit
- درج مقادير زير :

Enter the following values:

Value Name: Description
Data Type: REG_SZ
String: Registry Server

 - جستجو جهت يافتن  کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg   
- انتخاب  winreg ، کليک بر روی Security و در ادامه Permissions . در اين حالت می توان کاربران و گروه های مجاز بمنظور اعطاء مجوز دستيابی به ريجستری را اضافه نمود .
- از برنامه Registry Editor خارج و بمنظور فعال شدن تنظيمات انجام شده ، سيستم را راه اندازی نمائيد .
در صورتيکه در ادامه قصد تغيير ليست کاربران مجاز دستيابی به ريجستری وجود داشته باشد ، می توان آخرين مرحله اشاره شده را تکرار نمود.

اعمال محدوديت دستيابی از راه دور تائيد شده  : اعمال محدوديت  صريح در ارتباط با ريجستری،  می تواند اثرات جانبی ناسازگاری را در رابطه با سريس های وابسته نظير Directory Replicator و printer Spooler service ، بدنبال داشته باشد . در اين رابطه می توان سطح خاصی از مجوزهای لازم  را با افزودن account name مربوط به سرويس در حا ل اجراء به ليست دستيابی کليد winreg ، و يا با پيکربندی ويندوز بمنظور عدم اعمال محدوديت دستيابی به کليدهای خاصی  را تعريف نمود ( مشخص نمودن آنان در کليد  AllowedPaths  مربوط به Machine و يا Users ) :

Bypass the access restriction :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SecurePipeServers\winreg\AllowedPaths

Value: Machine
Value Type: REG_MULTI_SZ - Multi string
Default Data: System\CurrentControlSet\Control\ProductOptionsSystem\
               CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\
               Services\EventlogSoftware\Microsoft\WindowsNT\CurrentVersionSystem\
               CurrentControlSet\Services\Replicator
Valid Range: (A valid path to a location in the registry)
Description: Allow machines access to listed locations in the
registry provided  that no explicit access restrictions exist for that location.
Value: Users
Value Type: REG_MULTI_SZ - Multi string
Default Data: (none)
Valid Range: (A valid path to a location in the registry)
Description: Allow users access to listed locations in
the registry provided that no explicit access restrictions exist for that  location.

نحوه حفاظت سيستم در مقابل مسائل مرتبط با RPC
 بهترين روش در اين رابطه نصب Patch های ارائه شده توسط  MBSA  و يا Windows Update می باشد. در اين رابطه روش های متعددی بمنظور غيرفعال نمودن و يا اعمال  محدوديت درارتباط با عملکرد RPC وجود دارد . استفاده از آدرس http://www.ntbugtraq.com/dcomrpc.asp  در اين رابطه می تواند مفيد باشد . لازم است به اين نکته مهم اشاره گردد که غيرفعال نمودن و يا اعمال محدوديت در رابطه با نحوه عملکرد RPC ، می تواند باعث  از کار افتادن برخی سرويس ويندوز گردد ، بنابراين پيشنهاد می گردد که در ابتدا  تغييرات  مورد نظر خود را يک سيستم غيرعملياتی انجام و پس از اطمينان از صحت عملکرد ، آنان را بر روی سيستم اصلی اعمال نمود.در صورتيکه امکان  Patch نمودن سيستم وجود نداشته باشد ، می بايست پورت های مرتبط با  RPC در ويندوز ( پورت های 135 و139 و 445 و 593  مربوط به TCP و پورت های 135 ، 137 ، 138 ، و 445 مربوط به UDP) را  بلاک نمود.

بمنظور آشنائی با نحوه  اعمال محدوديت دستيابی به ريجستری ويندوز و ساير موارد اشاره شده در رابطه با نقطه آسيب پذير Windows Remote Access Services ، می توان از منابع اطلاعاتی زير استفاده نمود:
 - Microsofts HotFix & Security Bulletin Service
- نحوه استفاده از ويندوز XP و Windows Server 2003 Registry Editor  
- Network access: Remotely accessible registry paths and subpaths
- Windows Server 2003 Security Guide  

در بخش چهارم اين مقاله به بررسی ساير نقاط آسيب پذير ويندوز خواهيم پرداخت .

 

مهمترين نقاط آسيب پذير ويندوز ( بخش چهارم ) 

در بخش چهارم  اين مقاله به بررسی نقاط آسيب پذير  MDAC  و  WSH ، خواهيم پرداخت . 

ششمين  نقطه آسيب پذير :  ( Microsoft Data Access Components (MDAC 
MDAC ، شامل مجموعه ای از تکنولوژی های مرتبط با بانک اطلاعاتی است که در تعدادی از نسخه های اخير ويندوز، بکارگرفته شده است . مهاجمان با استفاده از نقاط آسيب پذير MDAC ، تاکنون حملات متعددی را  در اين رابطه سازماندهی و توانسته اند از سيستم های آسيب پذير در جهت اهداف خود ( اجراء کد و دستورات مخرب )  استفاده نمايند . حملات فوق ، می تواند دلايل متعددی داشته باشد ولی می توان به دو عامل اصلی در اين زمينه اشاره نمود : استفاده از رويکردهای قديمی ( نظير RDS  )  و وجود مسائل جديد در محصولات ارائه شده که يک مهاجم را قادر می سازد با ايجاد يک buffer overflow ، تمامی سيستم را بمخاطره اندازد .
RDS که از کلمات Remote Data Services اقتباس شده است ، نسخه قديمی MDAC بوده و دارای يک ضعف امنيتی است که کاربران از راه دور را قادر می سازد ، دستوراتی را بصورت محلی بهمراه مجوزها و امتيازات مديريتی، اجراء نمايند.با ترکيب ضعف فوق بهمراه ضعف امنيتی موجود در Microsoft Jet Database Engine 3.5 ( بخشی از MS Access  ) ، آسيب پذيری سيستم افزايش و زمينه تهديدات متعددی فراهم می گردد( دستيابی به بانک های اطلاعاتی ) .ضعف ها و مشکلات فوق ، بطور کامل شناخته شده و بيش از سه سال است که مستندات لازم بمنظور مقابله با آنان تهيه و ارائه شده است . وجود سيستم های قديمی که هنوز خود را با آخرين وضعيت موجود بهنگام نکرده و يا عدم پيکربندی مناسب سيستم ها ، از دلايل اصلی آسيب پذيری سيستم ها ی موجود می باشد  .   
 مهاجمان تاکنون با استفاده از ضعف فوق ،حملات متنوعی را سازماندهی و به سرانجام رسانده اند . يکی ازحملات اخير در اين رابطه ،  بدليل Buffer Overflow در MDAC بوده که در بولتن ( خبرنامه )  امنيتی شماره MS03-033 مايکروسافت   به آن  اشاره شده است . نسخه MDAC  در ويندوز 2003 ، دارای اين نقطه آسيب پذير نمی باشد . 

سيستم های عامل در معرض تهديد
اکثر سيستم های ويندوز NT 4.0 که بر روی آنان نسخه های  سه  و يا چهار برنامه IIS ، ويژوال استوديو شش  و يا  RDS 1.5  ، نصب شده باشد ، دارای  ضعف امنيتی فوق می باشند. ويندوز 2000 و XP همانند سيستم هائی که بر روی آنان آفيس 2000 ( بهمراه SP1 ) ، نسخه SQL Server 7  ( که بر روی آنان SP2 و به بعد نصب شده است ) ، SQL Server 2000  از MDAC  استفاده می نمايند . همانگونه که مشاهده می شود، اکثر نسخه های ويندوز دارای نقطه آسيب پذير فوق می باشند .    

نحوه تشخيص آسيب پذير ی سيستم
درصورتيکه بر روی کامپيوتری  ويندوز NT 4.0  بهمراه  IIS نسخه سه ويا چهار نصب شده باشد ، می بايست بررسی لازم  در خصوص وجود فايل "msadcs.dll" انجام شود( فايل فوق،عموما" در آدرس    C:\Program Files\Common Files\System\Msadc\msadcs.dll ، قرار دارد، آدرس فوق ممکن است با توجه به پيکربندی سيستم متفاوت باشد). در صورتيکه  سيستم مورد نظر شامل فايل فوق باشد ، بهنگام سازی و يا Patching سيستم ، منطقی ترين کاری است که می توان انجام داد.در صورت وجود نرم افزارهای قديمی و سيستم های عامل اشا ره شده، سيستم در معرض تهديد و آسيب قرار خواهد داشت. بمنظور آگاهی از جزيئات لازم در خصوص نقاط آسيب پذير اخير MDAC  می توان از  بولتن امنيتی شماره MS03-033مايکروسافت  استفاده نمود . در ايـن رابطه می توان از  Windows Update   نيز بمنظور تشخيص آسيب پذيری سيستم ، استفاده نمود. امکان فوق ، بررسی لازم در خصوص نرم افزارهای نصب شده بر روی ماشين را انجام و متناسب با شرايط موجود اقدام به بهنگام سازی نرم افزارها خواهد نمود.

نحوه حفاظت در مقابل نقطه آسيب پذير
در رابطه با ضعف های RDS ، Jet  و نحوه تصحيح و مقابله با آنان می توان از آدرس http://www.wiretrip.net/rfp/txt/rfp9907.txt  استفاده نمود. مايکروسافت نيز در اين رابطه چندين بولتن ( خبرنامه ) امنيتی را منشتر که در آنان نحوه برخورد وحفاظت در مقابل اين نقطه آسيب پذير نشريح شده است .

http://support.microsoft.com/support/kb/articles/q184/3/75.asp 
http://www.microsoft.com/technet/security/bulletin/ms98-004.asp 
http://www.microsoft.com/technet/security/bulletin/ms99-025.asp 
http://www.microsoft.com/security/security_bulletins/ms03-033.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-033.asp 
http://support.microsoft.com/default.aspx?scid=kb;en-us;823718 

 بمنظور برخورد با ضعف امنيتی فوق ، می توان MDAC موجود را به نسخه MDAC ver 2.8 ، ارتقاء داد . آخرين نسخه MDAC و ساير عناصر مرتبط با بانک های اطلاعاتی را میتوان از طريق آدرس http://msdn.microsoft.com/library/default.asp?url=/downloads/list/dataaccess.asp  مشاهده و دريافت نمود. در ايـن رابطه می توان  از  Windows Update     نيز استفاده نمود.

هفتمين  نقطه آسيب پذير :  (Windows Scripting Host (WSH
WSH ، تکنولوژی ارائه شده توسط مايکروسافت بمنظور افزايش عملکرد  وتوانائی های ويندوز می باشد .تکنولوژی فوق ، از جاوا اسکريپت و VBScript حمايت و اولين مرتبه بهمراه IEنسخه پنج ارائه ودرادامه بعنوان يک استاندارد بهمراه ساير نسخه های سيستم عامل ويندوز ارائه گرديد( آغاز آن با ويندوز 98 همراه بوده است ) . تکنولوژی WSH ،  امکان دستيابی به پوسته ويندوز ، سيستم فايل ، ريجستری و ساير موارد ديگر را با استفاده از کدهای ساده اسکريپت فراهم می نمايد( پتانسيل های فوق در جهت اتوماسيون عمليات ويندوز ارائه شده است ) . اسکريپت ها می توانند مستقيما" از طريق Desktop و با کليک نمودن بر روی يک فايل اسکريپت و يا از طريق يک برنامه اجراء گردند ( نظير يک برنامه سرويس گيرنده پست الکترونيکی ) .
ويژگی اجراء اتوماتيکWSH ، عامل اصلی عرضه و انتشار کرم  ILOVEYOU ( کد نوشته شده توسط VBScript ) در ساليان گذشته بوده که  باعث ميليونها دلار خسارت گرديد.کرم فوق و ساير کرم هائی که پس از آن مطرح گرديدند ، بمنظور نيل به اهداف مخرب خود  از مزايای WSH  استفاده  نموده اند . بدين ترتيب ، امکان اجرای هر نوع  فايل متنی با  انشعاب  vbs,.vbe, .js, .jse . وwsf . ،بعنوان يک اسکريپت ويژوال بيسيک و يا Jscript  با مجوزهای سطح سيستم و يا برنامه  ، فراهم می گردد .

سيستم های عامل در معرض تهديد
WSH ، می تواند بصورت دستی و يا از طريق   IE( نسخه پنج به بعد )  ،  بر روی ويندوز NT و 95 نصب گردد .درويندوز ME , 98 , 98SE , 2000 , XP و 2003  ، WSH  بصورت پيش فرض نصب می گردد . برای دريافت آخرين نسخه Windows Scrpt  می توان از آدرس Download Windows Script  استفاده نمود .

نحوه تشخيص آسيب پذير ی سيستم  

  • سيستم هائی  که بر روی آنان ويندوز 95 و يا NT بهمراه نسخه IE 5.5 نصب شده است .
  • سيستم هائی که بر روی آنان ويندوز 98 ، ME ، 2000,XP و يا 2003 نصب شده است.

در صورتيکه WSH بر روی سيستم نصب و رفتار آن کنترل شده نباشد ، سيستم در معرض آسيب قرار خواهد داشت . در اين رابطه لازم است که بررسی لازم در خصوص سيستم هائی که WSH بر روی آنان نصب شده است را انجام و در ادامه با استفاده از روش هائی که دربخش بعد به آنان اشاره خواهد شد ، از يک راهکار منطقی بمنظور حفاظت در مقابل آن  ، استفاده گردد..

نحوه حفاظت در مقابل نقطه آسيب پذير
در ابتدا لازم است به اين نکته مهم اشاره گردد که  برخی برنامه ها وعمليات مديريتی، نيازمند استفاده از WSH بوده و در صورت غير فعال نمودن و يا حذف پتانسيل فوق ، برنامه های فوق با اشکال مواجه خواهند شد .

غيرفعال نمودن WSH
 تکنولوژی WSH ، بخشی اختياری از سيستم عامل ويندوز بوده و می توان با اطمينان و بدون نگرانی خاصی  آن را  در موارد متعددی از روی  کامپيوترها ، حذف و يا غير فعال نمود.پيشنهاد می گردد ،  بمنظور حفاظت در مقابل حملات و مسائل امنيتی مرتبط با  WSH ، پتانسيل فوق غير فعال گردد (در موارديکه به عملکرد آن بر روی سيستم نياز نمی باشد ) .                                                    
برنامه Noscript.exe ، ارائه شده توسط Symantec ، سرويس WSH را با تغيير نام فايل کلاس های مربوط به هر کلاسی که دارای Wscript.exe و يا Cscript.exe در کليد های  ريجستری Shell\Open2\Command و يا Shell\Open\Command است ، غير فعال می نمايد.بدين ترتيب ، پيشگيری لازم در خصوص اجرای تمامی اسکريپت ها صرفنظر از اهداف مثبت و يا منفی آنان  ، انجام خواهد شد . بمنظور نصب  برنامه Noscript.exe  مراحل زير را دنبال می نمائيم :
 

  • دريافت برنامه  Noscript.exe  از سايت Symantec
  • پس از  اجراء برنامه Noscript ( برنامه Norton Script Disabler/Enabler ، نمايش داده می شود) با توجه به آخرين وضعيت WSH ( فعال و يا غير فعال ) ، امکان فعال و يا غير فعال نمودن آن فراهم می گردد.

تغيير در رفتار پيش فرض WSH
بمنظور حفاظت و پيشگيری لازم در خصوص عملکرد WSH  در جهت انجام  پردازش های اتوماتيک Desktop و مديريتی با لحاظ نمودن تهديدات و مسائل ايمنی ، می توان  رفتار پيش فرض ويندوز را در ارتباط با فايل های اسکريپت ( فايل هائی با انشعاب vbs, .vbe, .js, jse, .wsf . ) ، تغيير داد. . نحوه برخورد پيش فرض ويندوز با فايل ها ی اسکريپت ، مشابه فايل های استاندارد اجرائی ويندوز بوده  ( فايل های با انشعاب EXE. و يا COM. )  و بلافاصله آنان اجراء خواهند شد . با تغيير تنظيمات و پيکربندی انجام شده می توان امکان اجرای اتوماتيک اسکريپت های WSH را حذف تا اطمينان لازم در خصوص عدم فعال شدن اسکريپت های غير مجاز ، فراهم نمود .در چنين مواردی پس از فعال شدن فايل حاوی اسکريپت ، فايل مورد نظر در مقابل اجرای اتوماتيک در يک اديتور متنی نمايش داده خواهد شد . بدين ترتيب ، کاربران می توانند پس از اطمينان از صحت اسکريپت های نوشته شده ، تصميم لازم در خصوص اجرای آنان را اتخاذ نمايند . بنابراين ، عرصه برای اسکريپت هائی که سعی در تهديد و آسيب سيستم را دارند ، محدود و در عين حال کنترل شده می گردد. اسکريپت های مجاز WSH ، همچنان امکان اجراء را خواهند داشت . بدين منظور می توان نام فايل حاوی اسکريپت را بعنوان آرگومان برنامه های cscript.exe و يا wscript.exe  تعريف و مشخص نمود .

cscript.exe myscript.vbs
wscript.exe myscript.vbs

بمنظور کسب اطلاعات بيشتر در رابطه با نحوه حذف  و يا غير فعال نمودنWSH می توان از آدرس   http://www.symantec.com/avcenter/venc/data/win.script.hosting.html  استفاده  نمود .

آنتی ويروس ها
پيشنهادمی گردد که برنامه آنتی ويروس بهنگام شده ای  در gatways ، سرويس دهندگان و ميزبانان ، نصب گردد.(علاوه بر غير فعال نمودنWSH ) . بدين ترتيب،  می توان  با استفاده از پتانسيل های ارائه شده توسط نرم افزارهای فوق ، برخورد لازم در ارتباط با  نامه های الکترونيکی که دارای ضمائم حاوی اسکريپت های مخرب  بمنظور انتشار ويروس ها و کرم ها  می باشند را انجام داد( نظير فايل های vbs, .vbe, .js, .jse, .wsf, .bat, .exe, .pif and .scr .) .مثلا" برنامه Norton AntiVirus 2001 به بعد،  امکان Script Blocking را ارائه که می تواند ميزبانان را در مقابل ويروسهای مبتنی بر WSHحفاظت نمايد .

بهنگام سازی موتور ( هسته ) اسکريپت
WSH طی ساليان اخير ، بدفعات ارتقاء يافته است .آخرين نسخه آن  را می توان از آدرس  Download Windows Script   دريافت نمود .

مجوزهای NTFS
از مجوزهای دستيابی NTFS می توان بمنظور تعريف سطح دستيابی قابل دسترس برای wscript.exe  و jscript.exe  در ارتباط با کاربران و يا گروه هائی ازکاربران بهمراه account های معتبر ويندوز،استفاده نمود . زمانيکه يک دايرکتوری و يا فايل به اشتراک گذاشته می شود ، تنظيمات پيش فرض دستيابی  برای دايرکتوری ها و فايل های NTFS ، بصورت  Full Control و برای گروه Everyone که شامل تمامی کاربران می باشد ، در نظر گرفته می شود. بدين ترتيب ، تمامی کاربران دارای مجوز لازم در خصوص اصلاح ، انتقال وحذف فايل ها و يا دايرکتوری ها ، می باشند.تنظيمات پيش فرض فوق برای wscript.exe و cscript.exe مناسب نمی باشند . ايمن سازی فايل ها و فولدرها شامل حذف کاربران و گروه هائی است که ضرورتی در رابطه با دستيابی به منابع را ندارند . بمنظور تغيير مجوزهای NTFS در ارتباط با يک دايرکتوری و يا فايل مراحل زير را دنبال می نمائيم :

  • فعال نمودن My Computer ، انتخاب درايو ، دايرکتوری و يا فايلی که قصد ايمن سازی آن وجود داشته باشد.
  • فعال نمودن صفحه Property مربوط به شی انتخاب شده ( درايو ، دايرکتوری ، فايل ) 
  • در بخش Security صفحه خصايص ،  Account مورد نظری که قصد تغيير مجوزهای مرتبط با آن وجود دارد را انتخاب می نمائيم .
  • در بخش  Permission ، نوع دستيابی را برای کاربر و يا گروه مربوطه مشخص می نمائيم  .گزينه Allow امکان  دستيابی و Deny عدم دستيابی در ارتباط با يک مجوز ( خواندن ، نوشتن و ... ) را مشخص می نمايد .

در صورتيکه در صفحه Property مربوط به فايل ، درايو و يادايرکتوری ، Security tab مشاهده نمی گردد ، سيستم فايل کامپيوتر ميزبان بصورت NTFS پيکربندی نشده است . بمنظور تبديل سيستم فايل به NTFS ، می توان از دستور Convert استفاده نمود (  convert drive_letter: /fs:ntfs ). بمنظور کسب اطلاعات بيشتر در خصوص نحوه تنظيم مجوزهای NTFS ، برای يک دايرکتوری و يا فايل می توان از آدرس http://www.microsoft.com/windows2000/en/server/iis/htm/core/iidfpsc.htm   استفاده نمود .

در بخش پنجم  اين مقاله به بررسی ساير نقاط آسيب پذير ويندوز خواهيم پرداخت .

ارزيابی امنيتی سيستم عامل ويندوز
سيستم عامل ويندوز، يکی از ده ها سيستم عامل موجود در جهان است که مديريت منابع سخت افزاری و نرم افزاری در يک کامپيوتر را برعهده دارد . استفاده از ويندوز بعنوان سيستم عاملی  شبکه ای ، همزمان با  عرضه NT ، وارد مرحله جديدی گرديد . در ادامه و بدنبال ارائه نسخه های ديگری از  ويندوز ، فصل جديدی از بکارگيری سيستم عامل فوق در شبکه های کامپيوتری گشوده گرديد . استفاده از سيستم عامل ويندوز ( نسخه های متفاوت ) در ايران بطرز محسوسی افزايش  و هم اينک، در اکثر شبکه های کامپيوتری  از سيستم عامل فوق، استفاده می گردد . دامنه استفاده از ويندوز، از شبکه های کوچک سازمانی تا شبکه های بزرگ را شامل و حتی اکثر مراکز ASP ، برای ميزبانی وب سايت ها از گزينه فوق ، بهمراه مجموعه نرم افزارهای مربوطه استفاده می نمايند . با توجه به جايگاه  سيستم عامل در کامپيوتر و نقش آنان در برپاسازی يک  شبکه مقتدر و ايمن  ، لازم است با نگاهی دقيق به ارزيابی امکانات امنيتی آنان  پرداخته و پس از شناسائی نقاط آسيب پذير،  در اسرع وقت نسبت به برطرف نمودن حفره های امنيتی اقدام لازم صورت گيرد . ما عادت کرده ايم اکثر نرم افزارها را با تنظيمات پيش فرض نصب و در اين راستا از دکمه طلائی  Next ، بدفعات استفاده نمائيم! بديهی نصب و پيکربندی مناسب يک سيستم عامل شبکه ای با رويکرد فوق،  می تواند اثرات مخربی را در رابطه با حفاظت از اطلاعات در يک سازمان بدنبال داشته باشد . طراحی و پياده سازی يک سيستم ايمنی مناسب در شبکه های  کامپيوتری ، يکی از مهمترين چالش های موجود در دنيای گسترده تکنولوژی اطلاعات است . در اين راستا  لازم است،  سازمان ها و موسسات در اين رابطه با يک هدفمندی خاص بسمت برپاسازی يک محيط ايمن در شبکه های کامپيوتری حرکت نموده و قبل از وقوع هرگونه پيشامد ناگوار اطلاعاتی ، پيشگيری های لازم صورت پذيرد .
با توجه به استفاده گسترده از سيستم عامل ويندوز در ايران ، لازم است به بررسی و ارزيابی امنيتی سيستم عامل فوق پرداخته  گردد . شرکت ماکروسافت خود در اين زمينه تلاش های گسترده ای را آغاز و اخيرا" توجه خاصی را به اين مقوله اختصاص و پروژه های بزرگی را بمنظور نيل به يک سيستم عامل شبکه ای ايمن با توجه واقعيت های موجود تعريف و دنبال می نمايد .
شرکت ماکروسافت پس از عرضه نسخه های خاصی از ويندوز و با مشاهده اشکالات و نواقص خصوصا" نواقص امنيتی اقدام به ارائه نرم افزارهای تکميلی بمنظور بهنگام ساری ويندوز می نمايد . Hotfix,Patch و Service pack  نمونه های متفاوتی در اين زمينه می باشند . با توجه به نقش نرم افزارهای فوق در صحت عملکرد امنيتی ويندوز ، لازم است در ابتدا به  نرم افزارهای فوق اشاره  گردد .

Service Pack و HotFix
 Service Pack ، يک بهنگام سازی ادواری در رابطه با سيستم عامل بمنظور رفع  اشکالات و نواقص موجود است . ماکروسافت برای  ويندوز NT 4.0  ( نسخه قبل از ويندوز 2000 با نگرش امکانات شبکه ای ) شش و برای ويندوز 2000 تاکنون ، سه  Service Pack متفاوت را  ارائه کرده است . بمنظور برطرف نمودن مشکلات احتمالی  در فاصله زمانی بين دو service pack  ، اقدا م به عرضه Hotfix می گردد. هر  service Pack ،  شامل تمام hotfix های قبلی نسبت به نسخه service pack قبلی است .
علاوه بر نصب آخرين نسخه های service Pack ، می بايست اقدام به نصب نسخه های hotfix نيز گردد . معمولا" hotfix  ، با توجه به شيوع و گسترش يک مسئله خاص (مثلا" يک  حمله اينترنتی ) در شبکه ، از طرف شرکت ماکروسافت، ارائه می گردد . با اينکه شرکت ماکروسافت توصيه کرده است در صورت بروز مشکل،  اقدام به نصب نسخه های Hotfix گردد،  ولی پيشنهاد می گردد که بلافاصله پس از نصب آخرين نسخه Service Pack ، اقدام به نصب تمام نسخه های امنيتی  Hotfix  مربوطه نيز گردد .
يکی از مهمترين چالش های مديران شبکه ، بهنگام سازی سيستم و نصب آخرين نسخه های Patch  است . ماکروسافت در اين راستا ،  يک برنامه خاص را بمنظور بررسی وضعيت امنيتی Hotfix ها ، ارائه که مديران شبکه را قادر به پيمايش سرويس دهنده های موجود در شبکه می نمايد ( برنامه  Hfnetchk.exe)  . برنامه فوق قادر به تشخيص صحت نصب تمام نسخه های Patch در رابطه با ويندوز 2000 و ساير نرم افزارهای سرويس دهنده نظير IIS ،  IE و SQL است ( وضعيت موجود را تشخيص و کمبودها را اعلام می نمايد ) . برنامه HFNetChk يک ابزار خط دستوری بوده که مديران شبکه را قادر به بررسی آخرين وضعيت Patch ها در رابطه با تمام کامپيوترهای موجود در شبکه از يک محل مرکزی می نمايد .(  مشاهده جزئيات برنامه HFNetChk )  . شرکت ماکروسافت در اين زمينه ، برنامه جامعی را بمنظور بررسی وضعيت سيستم امنيتی ارائه نموده که برنامه Hfnetchk.exe نيز بخشی از آن است ( مشاهده جزئيات و دريافت برنامه Microsoft Baseline Security Analyzer ).

پس از معرفی امکانات موجود برای بهنگام سازی ويندوز و برطرف نمودن مشکلات و مسائل موجود در هر يک از نسخه های ويند وز، در ادامه به بررسی و ارزيابی سيستم امنيتی ويندوز پرداخته و در اين راستا پيشنهاداتی مطرح می گردد.
 سنجش امنيت در ويندوز 2000
 تاکنون بيش از 400 نقطه آسيب پذير در  نسخه های ويندوز 2000 ، NT  و برنامه های مرتبط با آنان  شناخته  شده  و نحوه برطرف نمودن آنان  مستند شده است . در اين بخش به بررسی برخی از نقاط آسيب پذير اشاره و نحوه برخورد با آنان بيان می گردد. لازم است به اين نکته مهم دقت شود که  کاهش  برخی از نقاط آسيب پذير در يک شبکه به معنی عرضه يک شبکه ايمن نمی باشد ( تلاشی است در جهت ايمن شدن ) .

·         از سيستم فايل NTFS در مقابل FAT استفاده شود . سيستم فايل فوق ، امکان کنترل دستيابی به فايل ها را برخلاف FAT فراهم می نمايد .

·         اطلاعات و ميدان عمل اتصالات  بی هويت (Anonymous users)  ، می بايست به حداقل مقدار خود برسد . يک اتصال بی هويت ( کاربران ناشناس و گمنام ) عضوی از گروه  Everyone  ( گروه از قبل ايجاد شده ) خواهد بود . بدين ترتيب آنان قادر به  دستيابی تمام منابعی خواهند بود ، که  برای گروه Everyone مجاز شناخته شده است . ويندوز NT پس از نصب آخرين نسخه ( Servic Pack  (  6a ،  اکثر عملياتی را که يک کاربر گمنام قادر به انجام آنها می باشد ، محدود می نمايد . بمنظورر پيشگيری از شمارش اسامی  account  ها ، توسط کاربران گمنام ، از کليد ريجستری زير بهمراه تتنظيمات مربوطه استفاده می شود .

Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
Value: 1

·         امتياز Access this computer from the network را در رابطه با کاربران عضوء گروه Everyone  حذف و آن را با گروه معتبر  Users ،  جايگزين نمائيد . در ويندوز NT 4.0 ، برای انجام عمليات فوق از مسير زير و  در ويندوز 2000 از Group Policy و يا Security Configuration Toolset استفاده می شود.

User Manager -> Policies -> User Rights

·         امکان دستيابی از راه دور به ريجستری  را سلب نمائيد . کليدهای ريجستری  متعددی وجود دارد، که اين امکان را به گروه Everyone و بالطبع کاربران ناشناس خواهد داد که از راه دور قادر به ويرايش ريجستری باشند( خواندن و تنظيم مقادير مربوط به مجوزها ). در صورتيکه  کاربر تاييد نشده ای ، قادر به ويرايش مقادير موجود در ريجستری  گردد، امکان تغيير مقادير موجود و بدست آوردن  امتيازات با درجه بالا نيز در اختيار وی قرار خواهد گرفت. توصيه می گردد که صرفا" مديران شبکه و سيستم ، دارای امکان دستيابی از راه دور به ريجستری باشند . بمنظور اعمال محدوديت در رابطه با دستيابی از راه دور به ريجستری ، از کليد زير برای تنظيم مجوزهای امنيتی استفاده می شود .

HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

·          Account مربوط به Guest غير فعال گردد.در اين راستا پيشنهاد می گردد،  که تمام Account ها ( سرويس ها و کاربران ) دارای رمز عبورگردند .( صرفنظر از اينکه account  فعال و يا غير فعال باشد ) .

·         تاييد اعتبار LanMan را غير فعال نمائيد . رمز عبورهای LanMan بمنظور سازگاری با نسخه های قبلی ويندوز ( 9X )  مطرح  و عملا" رمزهای عبوری  مشابه ويندوز 2000 بوده که تماما" به حروف بزرگ تبديل و  با استفاده از يک روش خاص رمز شده اند .رمزهای عبور LanMan ، نسبت به ساير رمزهای عبور بمراتب ساده تر کشف و مورد استفاده متجاوزان اطلاعاتی قرار می گيرند . پيشنهاد می گردد، رمزهای عبور LanMan غير فعال گردند . بمنظور غير فعال نمودن رمزهای عبور فوق ، کليد ريجستری مربوطه ، می بايست مطابق زير تغيير تنظيم گردد .

Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: LMCompatibilityLevel
Type: REG_DWORD
Value: 5

·         پورت های 135,137,138 و 139  در محدوده روتر و يا فايروال  را غير فعال نمائيد (Colse) . برای شبکه های مبتنی بر ويندوز 2000 ، می بايست پورت 445 نيز بلاک گردد . پورت های فوق،  برای  شبکه های داخلی  لازم بوده ولی برای شبکه های خارجی مورد نياز نخواهند بود . با بلاک نمودن پورت های فوق ، از تعداد حملات متجاوزان اطلاعاتی در شبکه های مبتنی بر ويندوز NT 4.0 و 2000 بنحو چشمگيری کاسته خواهد شد . در اين راستا لازم است ، پروتکل های غير ضروری ( نظير NetBeui و IPX) نيز غير فعال گردند .

·         بر روی فولدرها و فايل های سيستمی ويندوز نيز می بايست لايه های امنيتی مناسبی ايجاد گردد. در اين راستا لازم است بر روی  فولدرهای حياتی سيستم نظير WINNT و System32 و کليدهای ريجستری  HKLM\Software\Microsoft\Windows\Run  و HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AEDebug امکان استفاده از گروه Everyone سلب و به گروه معتبر Users ( شامل ليست کاربران مجاز ) اختصاص يابد .

·         در رابطه با منابع اشتراکی در شبکه ، می بايست محدوديت های لازم اعمال گردد. زمانيکه  منبعی  در شبکه به اشتراک گذاشته می شود، کنترل دستيابی بصورت پيش فرض گروه Everyone با امتيازFull control  خواهد بود  . در اين راستا پيشنهاد می گردد ، امکان استفاده از منابع اشتراکی ،  صرفا" در اختيار کاربرانی قرار گيرد که نيازمند دستيابی به منابع فوق،  می باشند . 

·         تمام سرويس های غير ضروری نظير Telnet,FTP,WEB را غير فعال نمائيد. از صحت  محل استقرار سرويس ها  بر روی شبکه اطمينان حاصل نمائيد . مثلا" سرويس دهنده RAS و WEB نبايد بر روی يک کنترل کننده Domain ، نصب گردند .

·         امکان مميزی (auditing)  در شبکه را فعال نمائيد . در ساده ترين حالت مميزی مربوط به ورود و خروج از شبکه ،  دستيابی به امتيازات کاربران و رويدادهای سيستمی نظير غير فعال نمودن سيستم (Shutdown)  است .

·         اعتماد (Trust) موجود بين  حوزه ها (Domian)  را بررسی و در صورت امکان، موارد غير ضروری را حذف نمائيد .

برنامه های ماکروسافت
وجود نقاط آسيب پذير در برنامه هائی نظير outlook,Microsoft Exchange,SQL Server و IIS  ، بستر مناسب برای متجاوران اطلاعاتی بمنظور نفوذ در شبکه را ايجاد می نمايد . بنابراين لازم است که از آخرين Service Pack و Patch مربوط به هر يک از برنامه ها استفاده گردد . شرکت ماکروسافت، بمنظور بهبود امنيت برنامه ها ، ابزارهای متعددی را ارائه نموده  است . ليست برخی از اين برنامه ها در جدول زير نشان داده شده است .

توضيحات

برنامه

به مديران سرويس دهنده وب امکان اعمال محدوديت در رابطه با پاسخ به درخواست های معتبر را خواهد داد .
 جزئيات بيشتر

URL Scan Security Tool

ابزاری برای ايمن سازی سرويس دهنده وب IIS ، نسخه های چهار و پنج .
جزئيات بيشتر

IIS Lockdown Tool

يک نسخه جديد از برنامه بهنگام سازی Outlook بمنظور حفاظت در مقابل انواع حملات اينترنتی مبتنی بر نامه های الکترونيکی .
جزئيات بيشتر

Improved Outlook E-mail Security Update

ابزاری بمنظور بررسی آخرين نسخه های Patch نصب شده در رابطه با سيستم عامل و برخی از برنامه ها نظير IIS, IE و SQL .
جزئيات بيشتر

HFNetChk Security Tool

ابزاری بمنظور بررسی صحت عملکرد  امنيتی سرويس گيرندگان .
 جزئيات بيشتر

Microsoft Personal Security Advisor

برنامه ای جامع برای بررسی وضعيت امنيتی يک کامپيوتر .
 جزئيات بيشتر

Microsoft Baseline Security Analyzer

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:37 AM |

 برای اخد اطلاعات نکميلی می توان  از مقالات زير استفاده نمود:

- How to Disable LM Authentication on Windows NT 
- How to Enable NTLMv2 Authentication for Windows 95/98/2000/NT 
- New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager

در بخش سوم اين مقاله به بررسی ساير نقاط آسيب پذير ويندوز خواهيم پرداخت .

مهمترين نقاط آسيب پذير ويندوز ( بخش سوم ) 

در بخش سوم اين مقاله به بررسی نقاط آسيب پذير  (Internet Explorer (IE    و Windows Remote Access Services  ، خواهيم پرداخت .

چهارمين نقطه آسيب پذير:  (Internet Explorer (IE 
IE ، مرورگر وب پيش فرض نصب شده در پلات فرم ويندوز مايکروسافت است .در صورتيکه نسخه های نصب شده IE در ادامه Patch و بهنگام نگردند ، تمامی آنان دارای نقاط آسيب پذير خواهند بود . تاکنون حملات متعددی بر اساس نقاط آسيب پذير در مرورگرهای IE توسط مهاجمان انجام شده است . نقاط آسيب پذير در IE را می توان به گروههای متفاوتی نظير : صفحات وب ، بروز اشکال در اينترفيس ويندوز ، کنترل های اکتيو ايکس ، اسکريپت های فعال ، تفسير نادرست محتوی و نوع MIME و سرريز بافر تقسيم بندی نمود. مهاجمان با استناد به نقاط آسيب پذير فوق می تواند حملاتی راانجام دهند که پيامد آن  افشاء کوکی ها ، دستيابی به فايل های محلی و داده ، اجراء برنامه های محلی ، دريافت و اجرای کد های دلخواه و يا کنترل کامل سيستم آسيب پذير است .

سيستم های عامل در معرض تهديد
نقاط آسيب پذير اشاره شده بر روی تمامی سيستم هائی که از نسخه های  متفاوت ويندوز استفاده می نمايند ، وجود خواهد داشت . مرورگر IE در موارد متعدد و گسترده ای در نرم افزارهای مايکروسافت نصب و عموما" بر  روی اغلب سيستم های ويندوز وجود خواهد داشت . مرورگر IE ، حتی بر روی سرويس دهندگانی که شايد ضرورت استفاده از مرورگر برای آنان چندان وجود ندارد نيز نصب می گردد  .

نحوه تشخيص آسيب پذير ی سيستم
در صورتيکه بر روی سيستمی مرورگر IE وجود داشته وهنوز آخرين و جديدترين Patch های امنيتی نصب نشده باشند  ، سيستم در معرض تهديد و آسيب قرار خواهد داشت . در صورتيک سرويس Windows Update بر روی سيستم فعال باشد با مشاهده سايت  http://windowsupdate.microsoft.com  ، می توان بررسی لازم در خصوص IE و Patch های نصب شده و مورد نياز را انجام داد. در صورتيکه سرويس Windows Update فعال نشده باشد ، می توان از برنامه HFNetChk و يا Microsoft BaseLine Security Analyzer استفاده نمود. در اين راستا می توان از برنامه های Online موجود در اينترنت ( ابزارهای آناليز مرورگر وب ) نظير : Qualys Browser Check  که دارای توانائی بسيار بالا و مطلوبی می باشند در جهت بهبود وضعيت امنيتی IE ، استفاده نمود.

نحوه حفاظت در مقابل نقطه آسيب پذير
Patch های لازم  برای نقاط  آسيب پذير اشاره شده بمنظور استفاده در مرورگر IE نسخه شش موجود و قابل استفاده است . نسخه های اوليه IE نيز آسيب پذير بوده و متاسفانه  Patch های لازم در اينخصوص اغلب موجود نمی باشند. در صورتيکه بر روی سيستمی از  نسخه IE 5.5 استفاده می گردد، پيشنهاد می گردد نسخه فوق به شش ، ارتقاء يابد . علت اين امر ، عدم وجود patch های لازم در اينخصوص است . در صورتيکه از نسخه IE 6.0 استفاده می گردد ، آن را با آخرين Service Pack ارائه شده ، ارتقاء و بهنگام نمائيد . برای دريافت Service Pack های می توان از آدرس :  Internet Explore 6 SP1   استفاده نمود . در اين رابطه لازم است که  آخرين Patch جامع  امنيتی ( 822925 ) که باعث اصلاح نقاط آسيب پذير اضافه ديگری می گردد را نيز بر روی سيستم  نصب نمود.

ايمن سازی IE 
برنامه IE دارای مجموعه ای از امکانات امنيتی بوده که با تنظيم و پيکربندی صحيح آنان می توان وضعيت امنيتی IE رابهبود بخشيد . برای نيل به خواسته فوق ، می توان مراحل زير را دنبال نمود:

  • انتخاب گزيته Options از طريق منوی Tools
  • انتخاب گزينه Security Tab و فعال نمودن  Custom Level مرتبط با Inetnet Zone .
    اکثر حملات مبتنی بر نقاط آسيب پذير IE ، بدليل سوء استفاده از پتانسيل های Active Scripting و ActiveX Controls ، محقق می گردند. بنابراين لازم است ، فعال شدن و بهره برداری از پتانسيل های فوق  با نظارت و آگاهی کاربر انجام شود :
  • دربخش  Scripting ، گزينه  Prompt for Allow paste operations via script را  انتخاب تا يشگيری لازم درخصوص محتوی موردنظر از طريق Clipboard  انجام شود. ( لازم است به اين نکته اشاره  گردد که  Active Scripting نمی بايست غير فعال گردد ،چراکه  تعداد زيادی از وب سايت ها  از پتانسيل فوق ، استفاده می نمايند ) .
  • انتخاب گزينه Prompt  برای Download signed ActiveX Controls
  • انتخاب گزينه Disable  برای Download unsigned ActiveX Controls
  • انتخاب گزينه Disable  برای Initialize and script ActiveX Controls not marked as safe
    اپلت های جاوا دارای قابليت های بمراتب بيشتری نسبت به اسکريپت ها می باشند:
  •  در بخش Microsoft VM ، گزينه High safety for Java permissions را در ارتباط با مجوزهای لازم بمنظور اجرای صحيح  اپلت های جاوا و پيشگيری دستيابی به سيستم ، انتخاب گردد.
  • در بخش  Miscellaneous ، گزينه Access to data sources across domains ، بمنظور ممانعت از حملات مبتنی بر Cross-site scripting ، غير فعال گردد.

پنجمين  نقطه آسيب پذير : Windows Remote Access Services

نسخه های متفاوت ويندوز ، امکانات و تکنولوژی های متفاوتی را در ارتباط با شبکه ارائه و حمايت می نمايند .در اين رابطه برخی از امکانات و پتانسيل های ارائه شده در ارتباط با اکثر پروتکل های شبکه ای استاندارد و توانائی های ارائه شده مربوط به تکنولوژی های شبکه ای مختص ويندوز ، مورد حمايت ذاتی ويندوز قرار می گيرند. پيکربندی غير ايمن و نادرست مواردی همچون اشتراک های  شبکه NETBIOS ، جلسات Anonymous Logon NULL  ، دستيابی راه دور به  ريجستری و فراخوانی از راه دور روتين ها ( RPC ) ، زمينه تهاجمات متعددی را در ارتباط با ويندوز و با استناد به امکانات و قابليت های شبکه ای آن ، فراهم نموده است .  در ادامه به تشريح هر يک از موارد فوق ، خواهيم پرداخت :

NETBIOS : عدم حفاظت مناسب از منابع اشتراکی
سيتم عامل ويندوز ، امکان  اشتراک فايل و يا فولدرهائی را برای يک ماشين فراهم و بدين ترتيب ساير ميزبانان موجود در شبکه قادر به استفاده از منابع به اشتراک گذاشته شده توسط ساير ميزبانان بوده و خود نيز می توانند ، منابع موجود بر روی سيستم را با سايرين به اشتراک گذاشته تا زمينه استفاده از منابع فوق برای ساير ميزبانان شبکه نيز فراهم گردد . مکانيزم فوق مبتنی بر پروتکل Server Message Block)SMB) و يا Common Internet File System)CIFS) می باشد. پروتکل های فوق ، امکان انجام عمليات بر روی فايل ها را از راه دور برای يک ميزبان فراهم می نمايند. ( دقيقا" مشابه وضعيتی که عمليات بر روی يک کامپيوتر محلی انجام می گيرد ) .پتانسيل فوق يکی از امکانات برجسته و قدرتمند ويندوز بوده ولی بدليل عدم پيکربندی صحيح اشتراک شبکه، می تواند سوءاستفاده از فايل های حياتی سيستم و کنترل يک ميزبان توسط يک مهاجم را بدنبال داشته باشد. برخی از کرم ها و ويروس ها ( نظير نيمدا که در سال 2001 حيات خود را آغاز و در مدت زمانی کوتاه توانست بسرعت درشبکه منتشر شود ) با استناد و بهره برداری از نقاط ضعف فوق و عدم حفاظت مناسب اشتراک شبکه  ، توانستند نسخه هائی از خود را بر روی ميزبانان ، مستقر نمايند. بسياری از استفاده کنندگان کامپيوتر بدليل عدم پيکربندی مناسب اشتراک منابع در شبکه ، پتانسيل لازم در خصوص يک تهاجمم و بهره برداری از آن توسط مهاجمان را بصورت ناآگاهانه ايجاد می نمايند. کاربران فوق با اهداف مثبت و تسهيل در ارائه امکان دستيابی ساير همکاران خود ، برخی از منابع موجود بر روی سيتسم ( نظير درايو ها و يا برخی فولدرها و يا فايل ها ) را به اشتراک گذاشته تاامکان خواندن و نوشتن برای ساير کاربران شبکه فراهم گردد.در صورتيکه پيکربندی مناسبی از منابع به اشتراک گذاشته شده در شبکه انجام شود، ريسک و خطر سوء استفاده و يا تهديدات بطرز محسوسی کاهش خواهد يافت .

Anonymouse Logon
Null Session ، عملا" به يک Session ايجاد شده بدون اعتبارنامه ( نام و رمز عبور خالی ) ، اطلاق می گردد. از يک Null Session بمنظور نمايش اطلاعات مرتبط  با کاربران ، گروه ها ، منابع اشتراکی و سياست های امنيتی استفاده می گردد . سرويس های ويندوز NT ،بعنوان Local System account بر روی کامپيوتر محلی اجراء و با ساير سرويس ها ی  شبکه از طريق ايجاد يک null Session ارتباط برقرار می نمايند. ويندوز 2000 و سرويس های  مرتبط ، که بعنوان Local System account بر روی Local Computer اجراء می گردند ، از Local computer account بمنظور تائيد ساير سرويس دهندگان، استفاده می نمايند. اکتيو دايرکتوری در موارديکه بصورت native اجراء  می گردد ، قادربه پذيرش درخواست های Null Session نخواهد بود. در حالت ترکيبی ، اکتيو دايرکتوری ، امکان دستيابی را برای نسخه های قبل از ويندوز 2000  فراهم و قادر به پذيرش درخواست های Null Session خواهد بود . بدين ترتيب با اينکه ويندوز 2000 ونسخه های بعد از آن امکان درخواست های مبتنی برNull Session  را فراهم نمی نمايند ولی بدليل سازگاری و پاسخگوئی به نسخه های قبل از ويندوز 2000 ، امکان تغيير در سياست فوق در رابطه با اکتيو دايرکتوری فراهم و اين مشکل امنيتی ( Null Session )  می تواند به ويندوز 2000 نيز سرايت نمايد . 

دستيابی از راه دور به  ريجستری  ويندوز
 ويندوز 98 ،  CE ،  NT ،  2000 ،  ME و XP از يک بانک اطلاعاتی مرکزی سلسله مراتبی ، که  ريجستری ناميده می شود بمنظور مديريت نرم افزار ، پيکربندی دستگاهها و تنظيمات کاربر استفاده می نمايند.  مجوزهای نادرست و يا تنظيمات اشتباه امنيتی می تواند زمينه دستيابی از راه دور به ريجستری را توسط مهاجمان فراهم و آنان در ادامه  قادر به سوء استفاده از وضعيت فوق و بمخاطره انداختن سيستم و اجرای کدهای مخرب خواهند بود. 

فراخوانی از راه  دور (Remote Procedure Calls:  RPC )
 تعداد زيادی از نسخه های ويندوز (  NT ،  2000 ،  XP ،  2003 ) از يک مکانيزم ارتباطی Inter-Process  استفاده می نمايند. درچنين مواردی يک برنامه در حال اجراء بر روی يک کامپيوتر ميزبان ، قادر به فراخوانی کد موجود در ميزبان ديگر و از راه دور می باشد .تاکنون حملات متعددی با استفاده از نقطه آسيب پذير فوق ، صورت گرفته است . در چنين مواردی يک مهاجم قادر به اجرای کد دلخواه خود بر روی يک ميزبان از راه دور می گردد. (بهمراه  مجوزهای مشابه سيستم محلی )  . کرم های  Blaster/MSblast/LovSAN و  Nachi/Welchia  از نقطه آسيب پذير فوق استفاده کرده اند. در برخی موارد با استفاده از ساير نقاط آسيب پذير يک مهاجم قادر به انجام حملات از نوع DoS ، در ارتباط با عناصر RPC است .

سيستم های عامل در معرض آسيب
تمامی نسخه های ويندوز در معرض اين تهديد  قرار دارند .

نحوه تشخيص  آسيب پذيری سيستم
نحوه تشخيیص آسيب پذيری سيستم در رابطه با مسائل NETBIOS :   در اين رابطه می توان از تعداد زيادی ابزار بمنظور تشخيص اشکالات امنيتی مرتبط با NETBIOS استفاده نمود.NAT  که از کلمات NetBIOS Auditing Tool اقتباس  شده است ،يک محصول نرم افزار در اينخصوص و  ارائه شده توسط Afentis Security می باشد . NAT ، بررسی لازم در خصوص سرويس اشتراک فايل مربوط به NETBIOS  را بر روی سيستم های مقصد ،انجام و از يک رويکرد مرحله ای بمنظور جمع آوری اطلاعات قبل از تلاش در جهت امکان دستيابی به سيستم فايل، استفاده می نمايد . برای آگاهی از نحوه عملکرد برنامه فوق ، می توان  از آدرس  http://www.afentis.com/resources/win32/nat  استفاده نمود.
کاربران ويندوز 95 و 98  ، می توانند از Legion v2.11 ( آخرين نسخه پويشگر اشتراک فايل Legion ارائه شده توسط Rhino9 )  بمنظور بررسی  وضعيت اشتراک شبکه استفاده نمايند. کابران  ويندوز 2000 ، می توانند از برنامه Security Fridays Share Password Checker ) SPC) بمنظور بررسی اشتراک فايل سرويس گيرندگان ويندوز (نسخه های 95 ، 98 و CE )استفاده نمايند. برنامه فوق ، امکان تشخيص آسيب پذيری سيستم در ارتباط با  Share Level password را فراهم می نمايد. کاربران ويندوز NT ( که بر روی آنان SP4 نصب شده باشد ) ، 2000 ،  XP و  2003 ،  می توانند از برنامه BaseLine Security Advisor  استفاده و با اخذ گزارش لازم در خصوص ميزبانان آسيب پذير در رابطه با  SMB ، اقدام به برطرف نمودن مشکل فوق نمايند.
بررسی و تست سيستم های آسيب پذير را می توان بر روی ميزبانان محلی و يا ميزبانان از راه دور انجام داد . کاربران ويندوز NT ،  2000 ،  XP و  2003  می توانند با استفاده از دستور net Share و از طريق خط دستور، ليست منابع اشتراکی را مشاهده نمايند (برای آگاهی از اطلاعات تکميلی در ارتباط با دستور فوق ، می توان از ? / Net Share  ، استفاده نمود ) .
در اين مقاله اطلاعاتی در رابطه با تغيير و اصلاح منابع اشتراکی ارائه شده است . بنابراين لازم است ، قبل از انجام هر گونه تغييرات در ارتباط با منابع اشتراکی ، دانش کافی در خصوص برگرداندن منابع به حالت اوليه وجود داشته باشد ( انجام هر گونه تست و اعمال تغييرات می بايست بصورت کاملا" آگاهانه انجام شود ) .  بمنظور کسب اطلاعات بيشتر در رابطه با منابع اشتراکی ، می توان از مقالات زير استفاده کرد:
- ذخيره و بازيابی منابع اشتراکی  ويندوز
- منابع اشتراکی خاص
- نحوه تنظيم ، مشاهده ، تغيير و يا حذف مجوزهای خاصی در ارتباط با فايل و فولدرها در ويندوز XP
- نحوه غير فعال نمودن اشتراک ساده شده و حفاظت رمز عبور يک فولدر اشتراکی در ويندوز XP
- نحوه کپی فايل ها و نگهداری مجوزهای اشتراک NTFS

مجوزهای پيش فرض در ارتباط با منابع اشتراکی در هر يک از نسخه های ويندوز  بصورت زير است :
- ويندوز NT ، ويندوز 2000 و ويندوز XP ( قبل از نصب SP1 ) ، دارای مجوز Everyone و بصورت Full Control می باشند .
- ويندوز XP که بر روی آنان SP1 نصب شده است ، دارای مجوز Everyone و بصورت Read  می باشد .
- ويندوز XP بصورت پيش فرض دارای يک دايرکتوری اشتراکی با نام " ShareDocs " است (C:\Documents and Settings\All Users\Documents )  که دارای مجوز Everyone و بصورت Full Control می باشد .
اغلب پويشگرهای موجود، بمنظور بررسی وضعيت منابع استراکی قادر به تشخيص Open Share می باشند ( برخی از برنامه ها رايگان نمی باشند) . يکی از  برنانه تست رايگان ،ايمن و سريع بمنظوربررسی وضعيت  SMB مربوط به File Sharing و مسائل آسيب پذير مرتبط با آن که قابل استفاده در تمامی نسخه های ويندوز است را می توان از سايت  Gibson Research Corporation  دريافت نمود . در اين رابطه می توان از ابزارهای پويش اتوماتيک بمنظور تشخيص نقاط آسيب پذير مرتباط با منابع اشتراکی نيز استفاده نمود :
- NesSus : يک ابزار پويش رايگان ، بهنگام شده و ساده بمنظوراستفاده از راه دور .
- Winfingerprint : پويشگر Win32 Host/Network Enumeration

نحوه تشخيص آسيب پذيری سيستم در مقابل Anonymouse Logon و مسائل مرتبط با آن . بمنظور بررسی آسيب پذيری سيستم در رابطه با Anonymouse Logon ، يک  null Session را با استفاده از دستور زیر و از طريق خط دستور ، فعال می نمائيم .

From Command Line Prompt :

C:\>net use \\ipaddress\ipc$ "" /user:""

دستور  فوق ، باعث ايجاد يک اتصال به  منبع اشتراکی  $IPC  در IPaddress مشخص شده و بعنوان کاربر anonymouse ( نام آن در نظر نگرفته شده است  "":  user / ) و با يک رمز عبور Null می گردد( ايجاد hidden interprocess communications )  .در صورتيکه پس از اجرای دستور فوق ،  System error 5 محقق گردد، نشاندهنده عدم وجود مجوز لازم بمنظور انجام اين کار بوده و سيستم در معرض نقطه آسيب پذير فوق ، قرار نخواهد داشت .در صورتيکه پس از اجرای دستور فوق ،  پيامی مبنی بر اجرای موفقيت آميز دستور بر روی صفحه  نمايش داده شود ، نشاندهنده آسيب پذيری سيستم در مقابل اين ضعف امنيتی خواهد بود. از نزم افزارهای معرفی شده  در بخش قبل ( Nessus و Winfingerprint ) نيز می توان بمنظور تشخيص Null Session ،استفاده نمود .

نحوه تشخيیص آسيب پذيری سيستم  در مقابل دستيابی از راه دور به ريجستری   ، برنامه NT Resource Kit)NTRK) ، قابل دسترس از طريق مايکروسافت،  شامل يک  فايل اجرائی با نام regdump.exe بوده که بصورت غير فعال مجوزهای دستيابی به ريجستری را  از طريق يک ميزبان ويندوز NT در مقابل ساير ميزبانان ويندوز نظير  XP ، 2000 و يا NT  بر روی اينترنت و يا شبکه داخلی ، بررسی می نمايد . علاوه بر ابزار فوق ،  می توان از آدرس  http://www.afentis.com/top20 ، بمنظور آشنائی به ساير ابزارهای موجود ( برنامه های خط دستوری ) نيز استفاده نمود .

- نحوه تشخيص آسيب پذيری  سيستم  در مقابل RPC و مسائل مربوطه  : مايکروسافت در اين رابطه يک ابزار hotfix و Patch-cheking  را  با نام Microsoft Baseline Security Analyzer ، ارائه داده است . استفاده از برنامه فوق ، بهترين روش بمنظور تشخيص آسيب پذيری سيستم است. برنامه فوق را می توان از طريق آدرس   http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp  دريا فت نمود.

نحوه حفاظت در مقابل نقاط آسيب پذير
نحوه حفاظت در مقابل حملات مرتبط با NETBIOS  :
 در اين رابطه می توان از راهکارهای متعددی بمنظور کاهش تهديدات مربوطه  استفاده نمود :
- غير فعال نمودن  sharing  در موارديکه ضرورتی به استفاده از آن نمی باشد .
- پيشنهاد می گردد سرويس گيرندگان ويندوز 95 ، 98 و CE که بعنوان بخشی از Domain ويندوز NT می باشند ، بصورت User-Level share access control پيکربندی گردند.
- غير فعال نمودن sharing بر روی ميزبانان اينترنت .اشتراک فايل ها با ميزبانان اينترنت می بايست از طريق FTP و يا HTTP صورت پذيرد.
- در صورت ضرورت استفاده از sharing ، امکان دستيابی به منابع  به اشتراک گذاشته شده را فقط از طريق کاربران تائيد شده و مجاز انجام دهيد .بدين ترتيب ، بمنظور استفاده از منبع اشتراکی ، درج  رمز عبور الزامی خواهد بود.
- sharing را صرفا"  محدود به فولدر نمائيد .بدين ترتيب ، sharing صرفا" در رابطه با يک فولدر انجام و در صورت ضرورت، می توان  فولدرهای ديگری را درآن ايجاد و آنان را به اشتراک گذاشت .
- بمنظور افزايش ضريب امنيتی ،  می توان امکان sharing را محدود به آدرس های IP نمود. ( امکان دستکاری اسامی DNS می تواند وجود داشته باشد ) .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:36 AM |

·          (Minimum password length (range: 0-14 characters ، سياست فوق ، حداقل تعداد کاراکتر لازم برای تعريف يک رمز عبور را مشخص می نمايد( حداقل طول يک رمز عبور)  می توان در اين رابطه حداقل طول يک رمز عبور را بين يک تا چهارده  کاراکتر در نظر گرفت . با اختصاص مقدار صفر ، ضرورت وجود رمز عبور حذف می گردد. حداقل طول رمز عبور، می بايست متناسب و سازگار با سياست های امنيتی سازمان باشد. در صورتيکه در اين رابطه سياست مشخص و شفافی وجود ندارد می توان مقدار هشت را در نظر گرفت .برخی از سازمان های امنيت اطلاعات شبکه ، مقدار دوازده را در اين رابطه پيشنهاد داده اند .

 Store password using reversible encryption for all users in the domain . سياست فوق ، مشخص می نمايد که می بايست رمزعبور با استفاده از رمزنگاری وارونه  ، ذخيره گردد . در اين رابطه ، امکانات حمايتی لازم درخصوص برنامه هائی که از پروتکل هائی بمنظور آگاهی از رمز عبور کاربر بمنظور انجام فرآيند تائيد کاربران استفاده می نمايند، نيز ارائه شده است . ذخيره سازی رمزهای عبوری که از رمزنگاری وارونه استفاده می نمايند ، مشابه رمزهای عبورمعمولی است ( رمز عبور بصورت متن ذخيره می گردد). بنابراين فعال شدن سياست فوق می بايست با لحاظ نمودن پارامترهای متعددی نظير الزام يک برنامه بمنظور استفاده از يک رمز عبور حفاظت شده ، صورت پذيرد .
يکی از روش هائی که می توان از آن بمنظور ايجاد اتوماتيک و نسبت دهی رمزهای عبور پيچيده به  هر يک از account های کاربران  استفاده نمود ، اجرای دستورالمل زير از طريق خط دستور است :

From Command Line Prompt :

Net User Username / random

·         با اجرای دستورالعمل فوق ، رمزهای عبور تصادفی و پيچيده (همواره هشت کاراکتر طول ) به يک account نسبت داده شده و در ادامه رمزعبور مورد نظر بر روی صفحه نمايش داده می شود. روش فوق ،  امکانی مناسب بمنظور نسبت دهی رمزهای عبوردر ارتبط با  Service accounts بوده و کمتر در ارتباط با  کاربران واقعی استفاده می گردد.
بهترين روش برای مميزی کيفيت رمزهای عبور ، اجرای برنامه های cracking رمز عبور در وضعيتStand-alone است (بخشی از فرآيند بررسی رمزهای عبور)  . لازم است مجددا" به اين موضوع اشاره گردد که بدون کسب مجوز لازم از مديران ارشد سيستم در سازمان ، نمی بايست از برنامه های cracking استفاده شود.پس از کسب مجوز لازم بمنظور اجرای برنامه های cracking رمز عبور ، می بايست عمليات فوق را بر روی يک ماشين حفاظت شده انجام داد.کاربرانی که رمزهای عبور آنان crack  می گردد، می بايست موضوع  بصورت محرمانه به اطلاع آنان رسيده و دستورالعمل های لازم در خصوص نحوه انتخاب يک رمز عبور مناسب ، در اختيار آنان قرار داده شود.اخيرا" و در پاسخ به رمزهای عبور ضعيف ، استفاده از روش هائی ديگر بمنظور تائيد کاربران،  نظير بيومتريک (زيست سنجی )  ، نيز مورد توجه  واقع شده است .

·         حفاظت رمزهای عبور مستحکم . حتی اگر رمزهای عبور ، مستحکم و قدرتمند باشند ، در صورت عدم حفاظت آنان توسط کاربران ، سيستم های موجود در يک سازمان در معرض تهديد قرار خواهند گرفت .  يک سياست امنيتی مناسب ، می بايست شامل دستورالعمل های لازم بمنظور آموزش کاربران در رابطه با حفاظت رمزهای عبور می باشد.عدم ارائه رمز عبور به افراد ديگر، عدم نوشتن رمز عبور در محلی که امکان خواندن آن برای ديگران وجود داشته باشد و حفاظت اتوماتيک فايل  هائی که رمزهای عبور در آن ذخيره شده اند ، از جمله مواردی می باشند که می بايست به کاربران آموزش داده شود. اغلب کاربران در مواجهه با پيامی مشابه "Your password has expired and must be changed,"  که نشاندهنده اتمام عمر مفيد يک رمز عبور است ، يک رمز عبور ضعيف را برای خود انتخاب می نمايند ، بنابراين لازم است در فرصت مناسب و قبل از برخورد با اينچنين پيام هائی ، به کاربران آموزش های لازم ارائه گردد.
 

·          کنترل مستمر account ها .  مديران سيستم و شبکه می بايست حضوری موثر و مستمر در ارتباط با مديريت  account های موجود داشته باشند .
- هر گونه account  مبتنی بر سرويسی خاص و يا مديريتی که از آن استفاده نمی گردد، می بايست حذف گردد .
- ممیزی account ها بر روی سيستم را انجام  داده و  لازم است در اين رابطه يک ليست اصلی ايجاد گردد .در اين رابطه می بايست رمزهای عبور در ارتباط با سيستم هائی نظير روترها ، چاپگرهای ديجيتالی متصل شده به اينترنت و ساير موارد ديگر نيز مورد بررسی قرار گيرد.
- روتين هائی خاص بمنظور افزودن account های تائيد شده  به ليست و يا حذف  account هائی که ضرورتی به استفاده از آنان نمی باشد ، پياده سازی و همواره خود را پايبند به آن بدانيم .
- اعتبار ليست را در فواصل زمانی خاصی بررسی تا از بهنگام بودن آن اطمينان حاصل گردد.
- از روتين های  خاصی بمنظورحذف account متعلق به کارکنان و يا پيمانکارانی که سازمان را ترک نموده اند ، استفاده گردد .
 

·         نگهداری و پشتيبانی از سياست رمزعبور . بمنظور پشتيبانی و نگهداری مناسب رمز عبور، می توان علاوه بر استفاده از امکانات کنترلی ارائه شده توسط سيستم عامل و يا سرويس های شبکه ، از ابزارهای گسترده ای که در اين رابطه ارائه  شده است ،نيز استفاده گردد . بدين ترتيب ،نگهداری سياست رمز عبور ، مبتنی بر آخرين تکنولوژی های موجود خواهد بود.
 

·         غير فعال نمودن تائيد LM در شبکه . بهترين گزينه بمنظور جايگزينی با Lan Manager ، استفاده از روش NT LAN Manager version 2)  NTLMv2) است . متدهای چالش / پاسخ NTLMv2 ، با استفاده از رمزنگاری مستحکم تر و بهبود مکانيزم های تائيد ، اکثر صعف های LM را برطرف نموده است جدول زير ، کليد ريجستری موردنظری را که قابليت فوق را در ويندوز NT و 2000 کنترل می نمايد، نشان می دهد:

Rgistry key

Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\LSA
Value: LMCompatibilityLevel
Value Type: REG_DWORD - Number
Valid Range: 0-5
Default: 0

·         پارامتر فوق ، نوع و روش تائيد را مشخص و می تواند مقداری بين صفر تا پنج را دارا باشد :
0 - ارسال پاسخ بر اساس روش  LM و NTLM ، هرگز از امکانات امنيتی NTLMv2 استفاده نمی شود .
1 - استفاده از امکانات امنيتی NTLMv2
2 - ارسال بر اساس روش  تائيد NTLM 
3 - ارسال بر اساس روش تائيد NTLMv2
4 - DC باعث  رد تائيد LM  می گرد.
5 - DC باعث رد تائيد LM و NTLM شده و صرفا" تائيد NTLMv2 پذيرفته می گردد .

·         در ويندوز 2000 ، 2003 و XP نيز امکاناتی ارائه شده است که می توان با استفاده از آنان اقدام به پيکربندی تنظيمات مورد نظر در ارتباط با سطح تائيد Lan Manager نمود . در اين رابطه لازم است  برنامه  Local Security Policy  فعال و در ادامه گزينه های  Local Policies  و  Security Options  بترتيب انتخاب گردند . در ويندوز 2000 سياست  LAN Manager authentication level ، و در ويندوز XP و 2003 سياست  Network security: LAN Manager authentication level ، بمنظور پيکربندی ومقداردهی مناسب انتخاب گردند .
در صورتيکه بر روی تمامی سيستم ها ، ويندوز NT SP4 و يا بعد از آن  نصب شده باشد ، می توان مقدارپارامتر فوق را بر روی تمامی سرويس گيرندگان سه و بر روی Domain Controllers مقدار پنج درنظر گرفت (پيشگيری از ارسال LM hashes بر روی شبکه ) . سيستم هائی نظير ويندوز 95 و 98 از NTLMv2 بصورت پيش فرض بهمراه  Microsoft Network Client استفاده نمی نمايند ، بنابراين لازم است بمنظور استفاده از قابليت های NTLMv2 ، برنامه Directory Services Client  بر روی آنان نصب گردد. پس از نصب سرويس فوق ، مقدار ريجستری با نام LMCompatibility می تواند مقدار صفر و يا سه را دارا باشد .در صورتيکه نمی توان سرويس گيرندگان قديمی ( ويندوز 95 و يا ويندوز 98 ) را  ملزم به استفاده از NTLMv2 نمود ، می توان تغيير مورد نظر را در رابطه با LM hashing  نسبت به استفاده از NTLM   (NT Lan Manager, version ) در Domain Controller اعمال نمود.در اين رابطه می توان مقدار LMCompatibilityLevel  را چهار در نظر گرفت . درصورت استفاده  از ابزاری نظير Local Security Policy،می بايست مقدار LAN Manager authentication level را  Send NTLMv2 Response only\Refuse LM درنظر گرفت . لازم است به اين نکنه اشاره گردد که ايمن ترين گزينه در اين رابطه،  اعمال محدوديت برروی سرويس گيرندگان است .
 

·         ممانعت از ذخيره سازی  LM hash  . يکی از مسائل اصلی در ارتباط با حذف LM hashes  در  شبکه ، ذخيره سازی آنان در  SAM و يا اکتيو دايرکتوری است  .مايکروسافت دارای مکانيزمی بمنظور غيرفعال نمودن ايجاد LM hashes بوده  ولی امکان استفاده از آن صرفا" در سيستم های  ويندوز 2000 ( SP2 و يا بعد بر روی آنان نصب شده است ) ، 2003 و XP   بوجود دارد. کليد ريجستری زير، کنترل عمليات فوق راانجام می دهد. در صورتيکه بر روی Windows 2000 Domain Controller کليد فوق ايجاد شده باشد ، LanMan hashes  ، در ادامه ايجاد نخواهد شد و در اکتيو دايرکتوری نيز ذخيره نمی گردد. در ويندوز 2003 و XP ، می توان با فعال نمودن گزينه  Network security: Do not store LAN Manager hash value on next password change   به اهداف موردنظر در رابطه با ذخيره سازی LM hash دست يافت . در اين رابطه لازم است  برنامه  Local Security Policy  فعال و در ادامه گزينه های  Local Policies  و  Security Options  بترتيب انتخاب گردند  . پس از اعمال تغييرات فوق ، می بايست سيستم راه اندازی شده تا تغييرات ايجاد شده ، موثر واقع شوند . لازم است به اين نکته مهم اشاره گردد که روش های ارائه شده ، صرفا" پيشگيری لازم در خصوص ايجاد LM hashes جديد راانجام داده و LM hashes موجود بصورت انفرادی و در زمانيکه کاربر رمز عبور خود را تغيير دهد ، حذف خواهند شد .

Rgistry key

Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\LSA\NoLMHash

·         ممانعت و پيشگيری از تکثير Hash و بانک های اطلاعاتی SAM
ابزارهای cracking  رمزعبور، بمنظور بدست آوردن رمزهای عبور hashes  از روش های زير استفاده می نمايند :
- کشف رمزهای عبور از شبکه . بدين منظور موارد زير پيشنهاد می گردد :
- استفاده از شبکه های سوئيچ شده .
- تشخيص و حذف کارت های شبکه بی هدف موجود در شبکه (در اين رابطه می توان از ابزارهای امنيتی خاصی نظير ethereal  استفاده کرد)  .
- تکثير فايل SAM . فايل فوق در ويندوز NT4 و 2000 در فولدر SystemRoot%\System32\Config%  (عموما" در مسير C:\Winnt\System32\Config ) و در ويندوز XP و يا 2003 در فولدر  C:\Windows\System32\Config مستقرمی باشد.، فايل فوق ، توسط سيستم عامل ويندوز Lock و صرفا" زمانی امکان تکثيرآن  وجود خواهد داشت که ماشين با يک سيستم عامل ديگر راه اندازی شده باشد. فايل SAM را می توان با استفاده از فايل Backup مربوطه نيز بدست آورد.
بمنظور پيشگيری از تکثير فايل SAM و افزايش سطح امنيتی سيستم لازم است دستيابی فيزيکی به سيستم های موجود خصوصا" Domain Controllers محدود و همواره از اطلاعات Backup  گرفته شده و ديسک Repair  نيز بمنظور برخورد با مشکلات آتی ايجاد گردد .



+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:36 AM |

مهمترين نقاط آسيب پذير ويندوز ( بخش دوم ) 
در بخش اول اين مقاله به بررسی دو مورد از نقاط آسيپ پذير ويندوز پرداخته گرديد . در اين بخش به بررسی سومين نقطه آسيب پذير ويندوز ، اشاره می گردد.

سومين نقطه آسيب پذير :   Windows Authentication
استفاده از رمزعبور، روش های تائيد کاربر و کدهای امنيتی در هر گونه تعامل ارتباطی بين کاربران وسيستم های اطلاعاتی ، امری متداول و رايج است . اکثر روش ها ی  تائيد کاربران ، نظير حفاظت فايل و داده ، مستقيما" به رمزهای عبور ارائه شده توسط کاربران ، بستگی خواهد داشت . پس از تائيد کاربران ، امکان دستيابی آنان به منابع مشخص شده فراهم و هر يک از آنان  با توجه به امتيازات و مجوزهای نسبت داده شده ، قادر به استفاده از منابع موجودخواهند بود. در اغلب موارد ، فعاليت کاربرانی که مجاز بودن آنان برای دستيابی به منابع ، تائيد شده است ، لاگ نشده و يا در صورتيکه فعاليت آنان ثبت گردد ، کمتر سوء ظنی به آنان می تواند وجود داشته باشد . ( آنان پس از تائيد وارد ميدانی شده اند که بدون هيچگونه رديابی ، قادر به انجام فعاليت های گسترده ای خواهند بود) . بنابراين ، رمز عبور دارای نقشی حياتی و اساسی در ايجاد اولين سطح دفاع در يک سيستم اطلاعاتی بوده  و از دست رفتن رمز عبور و يا  ضعف آن می تواند سيستم را در معرض تهديدات جدی قرار دهد . مهاجمان پس از دستيابی به رمز عبور کاربران تائيد شده ( استفاده از مکانيزم های متفاوت ) قادر به دستيابی منابع سيستم و حتی تغيير در تنظيمات ساير account های تعريف شده و موجود بر روی سيستم خواهند بود،عملياتی که می تواند پيامدهای بسيار منفی را بدنبال داشته باشد . پس می بايست بپذيريم که وجود يک account ضعيف و يا فاقد رمز عبور می تواند تهديدی جدی در يک سازمان باشد . در اين راستا علاوه بر اينکه می بايست از پتانسيل های ارائه شده توسط سيستم عامل با دقت استفاده نمود ، ضروری است ، تابع يک  سياست امنيتی تدوين شده در رابطه با رمز عبور در سازمان متبوع خود باشيم . تعريف و نگهداری يک account بهمراه رمز عبور مربوطه در سازمان ما تابع چه سياست امنيتی است ؟  مهمترين و متداولترين نقاط آسيب پذير در ارتباط با رمز عبور شامل موارد زير است :

  •  Account  تعريف شده  دارای رمز عبور ضعيف و يا فاقد رمز عبور است .
  •  عدم حفاظت مناسب کاربران از رمزهای عبور ،صرفنظر از استحکام رمزهای عبور تعريف شده .
  •  سيستم عامل و يا ساير نرم افزارهای موجود ، امکان ايجاد account مديريتی ضعيف  و فاقد رمز عبور را فراهم می نمايند .

·         الگوريتم های Hashing رمز عبور( رمزنگاری مبتنی بر کليد عمومی بر پايه يک مقدار hash ، استوار بوده و بر اساس يک مقدار ورودی که دراختيار الگوريتم hashing گذاشته می گردد ، ايجاد می گردد. در حقيقت مقدار hash ، فرم خلاصه شده و رمز شده ای  از مقدار اوليه خود است  ) ، شناخته شده بوده و در اغلب موارد مقدار Hashe بدست آمده ، بگونه ای ذخيره می گردد که امکان مشاهده آن توسط سايرين وجود خواهد داشت. مناسبترين نوع حفاظت در اين راستا ، تبعيت از يک سياست رمز عبور قدرتمند بوده  که در آن دستورالعمل ها ی لازم برای تعريف يک رمز عبورمناسب مشخص و در ادامه با استفاده از ابزارهای موجود، بررسی لازم در خصوص  استحکام و بی نقص بودن رمز عبور صورت گيرد.

ويندوز، رمزهای عبور را بصورت متن شفاف ذخيره و يا ارسال نمی نمايد و در اين راستا از يک مقدار  Hash  متناظر با  رمزعبور ، بمنظور تائيد کاربران ، استفاده می نمايد . يک مقدار Hash دارای طولی ثابت است که توسط بکارگيری يک تابع رياضی ( الگوريتم hashing ) بر روی  حجم دلخواهی از داده ( message digest  ناميده می شود) ايجاد می شود.در وينوز سه نوع الگوريتم تائيد وجود دارد :

  •  LM   ( ايمنی کمتر و سازگاری بيشتر )
  • NTLM
  • NTLMv2  ( ايمنی بيشتر و سازگاری کمتر )

با اينکه اکثر محيط های فعلی ويندوز ، ضرورتی به حمايت از  (Lan Manager  (LM را ندارند، ولی ويندوز بصورت محلی رمز های عبور Hash  شده مربوط به LM  را ( LANMAN Hashes  نيز ناميده می شود )  بصورت پيش فرض در ويندوز NT ، 2000 و XP ( در ويندوز 2003 وضعيت بدين شکل نيست ) ذخيره می نمايد. با توجه به اينکهLM  از يک مدل رمزنگاری بمراتب ضعيف تر نسبت به رويکردهای فعلی مايکروسافت ( NTLM,NTLMv2 ) ،  استفاده می نمايد، رمزهای عبور LM می توانند در مدت زمانی کوتاه  شکسته گردند. حتی رمزهای عبوری که دارای قدرت و استحکام مناسبی می باشند ، در کمتر از يک هفته با استفاده از روش هائی خاص و با اتکاء به قدرت سخت افزارهای موجود ،  شکسته خواهند شد
http://www.msdn.miscrosoft.com/library/default.asp?url=/library/en-us/security/Security/h_gly.asp

ضعف LM hashes  بدلايل زير است :

  •  رمزهای عبور محدود  به چهارده کاراکتر می باشند .
  •  رمزهای عبور با استفاده از فضای خالی ، به چهارده کاراکتر تبديل می شوند .
  • رمزهای عبور تماما" به حروف بزرگ تبديل می گردند .
  • رمزهای عبور به دو بخش هفت کاراکتری مجزا تقسيم  می گردند .

با توجه به ماهيت فرآيند hashing ،يک مهاجم صرفا" می بايست عمليات تشخيص رمز عبور( cracking) را محدود به دو مجموعه نمايد  که هر يک دارای هفت کاراکتر بوده که به  حروف بزرگ تبديل شده اند . با تکميل عمليات فوق و اخد نتايج مثبت ، يک مهاجم قادر به تشخيص رمز عبور يک کاربر تائيد شده می گردد وبدين ترتيب ، امکان دستيابی وی به منابع سيستم فراهم خواهد شد. پيچيدگی عمليات تشخيص Hashe ، متنا سب با طول Hash افزايش می يابد ، بنابراين رشته هائی که صرفا" شامل هفت کاراکتر می باشند ، بمراتب راحت تر نسبت به رشته هائی که دارای چهارده کاراکتر می باشند ، تشخيص داده و اصطلاحا" شکسته می گردند. با توجه به اين موضوع که تمامی رشته ها شامل هفت کاراکتر بوده و تمامی آنان به حروف بزرگ  نيز تبديل  می گردند ، يک تهاجم به  "سبک - ديکشنری" ( dictionary-style ) نيز بسادگی محقق و موفقيت آن تضمين شده خواهد بود. بنابراين، روش LM hashing ، آسيبی جدی را متوجه سياست های امنيتی رمز عبور نموده و سيستم را در معرض تهديد قرار خواهد داد .
علاوه بر تهديد و خطر ذخيره سازی LM hashes در SAM ، فرآيند تائيد Lan Manager  ، اغلب و بصورت پيش فرص بر روی سرويس گيرندگان فعال و توسط سرويس دهنده پذيرفته می گردد . لازم است به اين نکته اشاره گردد که ، ماشين هائی که بر روی آنان ويندوز نصب شده است ، قادر به استفاده از الگوريتم های hash بمراتب قويتر در مقابل روش ضعيف LM hashes  بمنظور ارسال داده های حساس نظير رمز عبور می باشند .حداقل پيامد منفی استفاده از روش LM hashes ، آسيب پذيری سيستم تائيد کاربران در ويندوز بوده و قطعا" در چنين مواردی نمی توان به فرآيند تائيد کاربران ، اعتماد نمود چراکه  در اين وضعيت عملا" امکان استراق سمع ( شنود اطلاعاتی ) فراهم و يک مهاجم قادر به تشخيص و بدست آوردن رمزهای عبور خواهد بود.

سيستم های عامل در معرض تهديد :
تمامی نسخه های ويندوز در معرض اين تهديد قرار دارند .

نحوه تشخيص آسيب پذيری سيستم
با اينکه دلايل و علل متفاوتی می تواند در در رابطه با ضعف رمز عبور مورد توجه قرار گيرد ، مثلا" وجود Account های فعال برای کاربرانی که سازمان خود را ترک نموده ويا سرويس هائی که اجراء نشده اند، ولی يکی از مناسبترين روش ها بمنظور آگاهی از استحکام  يک رمز عبور ، بررسی  و تست تمامی آنان در مقابل نرم افزارهای cracking رمزهای عبور استفاده شده توسط مهاجمان است . لازم است به اين نکته مهم اشاره گردد که از برنامه های تشخيص دهنده رمز عبور بر روی سيستم هائی که حتی مجوز دستيابی به آنان را داريد ، بدون اخذ مجوزهای لازم  از مديران ارشد سيستم  ، نمی بايست استفاده نمود. برای دريافت نمونه برنامه هائی در اين زمينه می توان از   LC4 )l0phtcrack version 4) و John the Ripper  استفاده کرد . صرفنظر از رويکرد ذخيره سازی محلی LAN Manager hash ، موارد زير می بايست موردتوجه قرار گيرد : 

·          در صورتيکه ويندوز NT ، 2000 و يا XP بصورت پيش فرض نصب شده اند،سيستم در معرض آسيب خواهد بود. در چنين مواردی Lan Manager hashes بصورت پيش فرض و محلی ذخيره می گردد.

·         در صورتيکه ، بدلايلی نيازمند تائيد مبتنی بر LM در يک سازمان بمنظور ارتباط با سرويس دهنده وجود داشته باشد ، سيستم مجددا" در معرض آسيب قرار خواهد گرفت .چراکه اين نوع از ماشين ها اقدام به ارسال LM hashes نموده و پتانسيل شنود اطلاعاتی در شبکه را ايجاد خواهند کرد.

نحوه حفاظت در مقابل نقطه آسيب پذير :
بهترين و مناسبترين دفاع در مقابل رمزهای عبور ضعيف ، استفاده از يک سياست مستحکم مشتمل بر دستورالعمل های لازم بمنظور ايجاد رمز عبور قدرتمند و بررسی مستمر آنان بمنظور اطمينان از استحکام و صحت  عملکرد می باشد . در اين رابطه موارد زير پيشنهاد می گردد :

·          اطمينان ازاستحکام و انسجام  رمز های عبور . با استفاده از سخت افزار مناسب و اختصاص زمان کافی ، می توان هر رمز عبوری را  crack نمود. در اين راستا می  توان با استفاده ازروش های ساده و در عين حال موفقيت آميز، عمليات تشخيص رمز عبور را انجام داد . اغلب برنامه های تشخيص دهنده رمزعبوراز روشی موسوم به "حملات مبتنی بر سبک ديکشنری " ، استفاده می نمايند. با توجه به اينکه روش های رمز نگاری تا حدود زيادی شناخته شده می باشند  ، برنامه های  فوق ، قادر به مقايسه  شکل  رمز شده يک رمز عبور در مقابل شکل  های رمز شده کلمات ديکشنری می باشند( در زبان های متعدد و استفاده از اسامی مناسب بهمراه جايگشت های مختلف آنان  ) . بنابراين ، رمز عبوری  که ريشه آن در نهايت يک کلمه شناخته شده باشد ، دارای استعداد ذاتی در رابطه با اين نوع از حملات خواهد بود . تعداد زيادی از سازمان ها ، آموزش های لازم در خصوص نحوه تعريف رمزهای عبور را به کارکنان خود داده و به آنان گفته شده است  که رمزهای عبور مشتمل بر ترکيبی از حروف الفبائی و کاراکترهای ويژه را برای خود تعريف نمايند.متاسفانه اکثر کاربران اين موضوع را رعايت ننموده و  بمنظور تعريف يک رمز عبور با نام "password" ، صرفا" اقدام به تبديل حروف به اعداد و يا حروف ويژه می نمايند ( pa$$w0rd) . چنين جايگشت هائی نيز قادر به  مقاومت در مقابل يک تهاجم مبتنی بر ديکشنری نبوده و  "pa$$w0rd" به روش مشابهی که "password" تشخیص داده می شود ، crack خواهد شد .
يک رمز عبور خوب ، نمی بايست از ريشه يک  کلمه و يا نام شناخته شده ای  اقتباس شده باشد .در اين راستا لازم است به کاربران آموزش لازم در خصوص انتخاب و ايجاد رمزهای عبور از موارد تصادفی نظير  يک عبارت ، عنوان يک کتاب ،نام يک آواز و يا نام يک فيلم  داده شود. با انتخاب  يک رشته طولانی که بر اساس رويکردهای خاصی می تواند انتخاب گردد( گرفتن اولين حرف هر کلمه ، جايگزينی يک کاراکتر خاص برای يک کلمه ، حذف تمامی حروف صدادارو  ساير موارد ) ، کاربران قادر به ايجاد رمزهای عبور مشتمل بر ترکيبی از حروف الفبائی و حروف ويژه بوده که در صورت مواجه شدن  با حملات مبتنی بر ديکشنری ، تشخيص آنان بسختی انجام می شود. لازم است به اين نکته نيز اشاره گردد که رمزعبور می بايست براحتی بخاطر سپرده شده و بازيابی ( يادآوری)آن مشکل نباشد ( هدف از ذخيره سازی ، بازيابی است اگر چيزی را ذخيره  نمائيم ولی در زمان مورد نظر قادر به بازيابی آن نباشيم ، سيستم ذخيره و بازيابی ما با اشکال مواجه شده است ! ). پس از تدوين دستورالعمل لازم بمنظور توليد رمزهای عبور مناسب و  آموزش کاربران بمنظور پايبندی به  اصول امنيتی تعريف شده ، می بايست از روتين ها ی جانبی متعددی بمنظور اطمينان از پيروی کاربران از دستوراالعمل های اعلام شده ، استفاده گردد. بهترين گزينه در اين راستا ، بررسی صحت رمزهای عبور پس از اعمال تغييرات توسط کاربران است .
ويندوز 2000 ، XP و 2003 دارای ابزارهای قدرتمندی بمنظورافزايش توان سياست های امنيتی می باشند . در اکثر نسخه های ويندوز بمنظور مشاهده سياست تعريف شده در رابطه با رمز می توان از مسير زير استفاده و برنامه  Local Security Policy  را فعال نمود:

Local Security Policy Program

Start| Programs|Administrative Tools |Local Security Policy
Select : Account Policies , Then  Password Policy

 برنامه  Local Security Policy دارای تنظيمات زير است :
 Password must meet complexity requirements ، با فعال نمودن سياست فوق ، رمزهای عبور ملزم به رعايت استانداردهای موجود بمنظور استحکام و پيچيدگی بيشتر در زمان ايجاد و يا تغيير می باشند. در چنين حالتی ، رمزهای عبور تعريف شده می بايست  با لحاظ نمودن موارد زير ايجاد گردند:

◄ رمز عبور، نمی بايست شامل تمام و يا بخشی از نام account کاربر باشد .
◄ رمز عبور می بايست دارای حداقل  شش کاراکتر باشد .
◄ رمز عبور می بايست شامل کاراکترهائی از سه گروه از چهار مجموعه  زير باشد :
      ●  حروف بزرگ الفبای انگليسی ( A تا Z )
      ● حروف کوچک الفبای انگليسی ( a تا z )
      ● ارقام پايه دهدهی ( رقم های     0 تا 9 )
      ● کاراکترهای غير الفبائی ( مثلا" ! ، $ ، # ، % )

( Enforce password history (range: 0-24  . اغلب کاربران تمايل دارند که پس از انقضاء تاريخ استفاده از رمز عبور خود ، مجددا" همان رمز عبور قبلی را تعريف و از آن استفاده نمايند . با استفاده از سياست فوق ، می توان مشخص نمود که در چه زمانی و پس از چندين رمز عبور تعريف شده جديد ، کاربران مجاز به استفاده از رمزهای عبور قبلی خود برای وضعيت جديد می باشند .بدين ترتيب ،مديران شبکه اطمينان لازم در خصوص عدم استفاده مستمر و دائمی يک رمز عبور توسط کاربران را بدست آورده و اين موضوع می تواند از زوايای مختلفی بهبود وضعيت امنيتی شبکه را بدنبال داشته باشد . بمنظور نگهداری موثر تاريخچه رمز عبور، نمی بايست امکان تغيير رمزهای عبور بلافاصله  پس از پيکربندی سياست  minimum password age   ، وجود داشته باشد .

( Maximum password age (range: 0-999 days . سياست فوق ، حداکثر عمر( اعتبار)  يک  رمز عبور را بر حسب روز ، مشخص می نمايد.( قبل از اينکه سيستم کاربر را ملزم به تغيير رمز عبور نمايد) . با در نظر گرفتن مقدار صفر ، رمز عبور دارای عمری جاودانه خواهد شد !

(Minimum password age (range: 0-999 days . سياست فوق ، حداقل عمر( اعتبار)  يک  رمز عبور را بر حسب روز ، مشخص می نمايد( قبل از اينکه کاربر قادر به تغيير رمزعبور گردد) . با در نظر گرفتن مقدار صفر ، به کاربران اجازه داده خواهد شد که بلافاصله رمز عبور خود را تغيير دهند. minimum password age می بايست کمتر از maximum password age باشد . پيکربندی  minimum password age می بايست بگونه ای انجام شود که دارای مقداری بيش از صفر باشد تا سياست password history  نيز لحاظ شده باشد. بدون وجود يک  minimum password age ، کاربران قادر به تغيير ادواری و زمانبندی نشده رمزهای عبور شده  و امکان استفاده مجدد از رمزهای عبور قديمی در يک محدوده زمانی کمتر برای آنان فراهم می گردد.مقادير پيش فرض تامين کننده اهداف و خواست های امنيتی در يک سازمان نبوده و لازم است مديران سيستم  در ابتدا يک رمز عبور مناسب را برای کاربر تعريف و پس از سپری شدن مدت زمان مشخصی ( مدت زمان فوق را minimum password age  مشخص می نمايد ) کاربر را ملزم به تعريف ( تغيير ) رمز عبور تعريف شده توسط مديريت شبکه نمايند. زمانيکه کاربران ،عمليات Log on را انجام و در صورتيکه  password history مقدار صفر را دارا باشد ، الزامی در رابطه با انتخاب يک رمز عبور جديد برای کاربران وجود نخواهد داشت . بدين دليل password history دارای مقدار پيش فرض يک است .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:35 AM |

سيستم عامل های شبكه ای

مهمترين نقاط آسيب پذير ويندوز ( بخش اول )
سيستم عامل، يکی از عناصر چهار گانه در يک سيستم کامپيوتری است که دارای نقشی بسيار مهم و حياتی در نحوه مديريت منابع سخت افزاری و نرم افزاری است . پرداختن به مقوله  امنيت سيستم های عامل ، همواره از بحث های مهم در رابطه با ايمن سازی اطلاعات در يک سيستم کامپيوتری بوده که امروزه با گسترش اينترنت ، اهميت آن مضاعف شده است . بررسی و آناليز امنيت در سيستم های عامل می بايست با ظرافت و در چارچوبی کاملا" علمی و با در نظر گرفتن تمامی واقعيت های موجود ، انجام تا از يک طرف تصميم گيرندگان مسائل استراتژيک در يک سازمان قادر به انتخاب مستند و منطقی يک سيستم عامل باشند و از طرف ديگر امکان نگهداری و پشتيبانی آن با در نظر گرفتن مجموعه تهديدات موجود و آتی  ، بسرعت و بسادگی ميسر گردد .
اکثر کرم ها و ساير حملات موفقيت آميز در اينترنت ، بدليل وجود نقاط آسيب پذير در تعدادی  اندک  از سرويس های سيستم  های عامل متداول است . مهاجمان ، با فرصت طلبی خاص خود از روش  های متعددی بمنظور سوء استفاده از نقاط ضعف امنيتی شناخته شده ، استفاده نموده  و در اين راستا ابزارهای  متنوع ، موثر و گسترده ای را بمنظور نيل به اهداف خود ، بخدمت می گيرند . مهاجمان ، در اين رهگذر متمرکز بر سازمان ها و موسساتی می گردند که هنوز مسائل موجود امنيتی ( حفره ها و نقاط آسيب پذير ) خود را برطرف نکرده و بدون هيچگونه تبعيضی آنان را بعنوان هدف ، انتخاب می نمايند . مهاجمان بسادگی و بصورت مخرب ،  کرم هائی نظير : بلستر ، اسلامر و Code Red را در شبکه  منتشر می نمايند. آگاهی از مهمترين نقاط آسيب پذير در سيستم های  عامل ، امری ضروری است . با شناسائی و آناليز اينگونه نقاط آسيب پذير توسط کارشناسان امنيت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمی تدوين شده بمنظور برخورد منطقی با مشکلات موجود و ايجاد يک لايه حفاظتی مناسب می باشند.
در مجموعه مقالاتی که ارائه خواهد شد ، به بررسی مهمترين نقاط آسيب پذير ويندور خواهيم پرداخت . در اين راستا ، پس از معرفی هر يک از نقاط آسيب پذير ، علت وجود ضعف امنيتی ، سيستم های عامل در معرض تهديد ، روش های  تشخيص آسيب پذيری سيستم و نحوه مقابله و يا پيشگيری در مقابل هر يک از نقاط آسيب پذير ، بررسی می گردد .همزمان با  ارائه مجموعه مقالات مرتبط با ويندوز ( پنج مقاله ) ، به بررسی مهمترين نقاط آسيب پذير در يونيکس و لينوکس  ، طی مقالات جداگانه ای خواهيم پرداخت .
همانگونه که اشاره گرديد ، اغلب تهديدات و حملات ، متاثر از وجود نقاط آسيب پذير در سيستم های عامل بوده که زمينه تهاجم را برای مهاجمان فراهم می آورد .  شناسائی و آناليز نقاط آسيب پذير در هر يک از سيستم های عامل ، ماحصل  تلاش و پردازش دهها کارشناس امنيتی ورزيده در سطح جهان است و می بايست مديران سيستم و شبکه در يک سازمان بسرعت با آنان آشنا و اقدامات لازم را انجام دهند.
نقاط آسيب پذير موجود در هر سيستم عامل  که در ادامه به آنان اشاره می گردد ، سندی پويا و شامل دستورالعمل های لازم بمنظور برخورد مناسب با هر يک از نقاط آسيب پذير و لينک هائی به ساير اطلاعات مفيد و تکميلی مرتبط با ضعف امنيتی است .

مهمترين نقاط آسيب پذير ويندوز :
ويندوز ، يکی از سيستم های عامل رايج در جهان بوده که امروزه در سطح بسيار وسيعی استفاده می گردد . تا کنون حملات متعددی توسط مهاجمين متوجه سيستم هائی بوده است که از ويندوز ( نسخه های متفاوت )  بعنوان سيستم عامل استفاده می نمايند . با توجه به حملات متنوع و گسترده انجام شده ، می توان مهمترين نقاط آسيب پذير ويندوز را به ده گروه عمده تقسيم نمود :

·         Internet Information Services (IIS)

·         Microsoft SQL Server (MSSQL )

·         Windows Authentication

·         Internet Explorer (IE )

·         Windows Remote Access Services

·         Microsoft Data Access Components (MDAC)

·         Windows Scripting Host (WSH)

·         Microsoft Outlook Outlook Express

·         Windows Peer to Peer File Sharing (P2P)

·         Simple Network Management Protocol (SNMP)

در بخش اول اين مقاله ، به بررسی IIS  وMSSQL  (موارد يک و دو)  ، خواهيم پرداخت .

اولين نقطه آسيب پذير :  ( Internet Information Services (IIS
نصب  برنامه IIS با تنظيمات و پيکربندی پيش فرض ، آسيب پذيری خود را در موارد متعددی به اثبات رسانده و می تواند زمينه تهديدات زير را فراهم نمايد :

  • غير فعال نمودن سرويس ( DoS )
  • نمايش و بمخاطره انداختن  فايل ها و داده های حساس
  • اجراء دستورات خودسرانه ( اختياری )
  • بمخاطره انداختن کامل سرويس دهنده

IIS از پتانسل  شناخته شده ISAPI ( فايل هائی با انشعاب DLL که به آنان فيلترهای ISAPI هم گفته می شود ) بمنظور همبستگی  و ارتباط با  فايل هائی که دارای انشعاباتی خاص می باشند ، استفاده می نمايد . پيش پردازنده هائی نظير ColdFusion و PHP از ISAPI استفاده می نمايند.IIS ، از فيلترهای  ISAPI  ديگر برای انجام عمليات مرتبط با ASP)Active Server Pages ، ( SSI)Server Side Includes) و اشتراک چاپ مبتنی بر وب ، استفاده می نمايد.تعداد زيادی از فيلترهای ISAPI ، مستلزم عمليات خاص و جداگانه ای برای نصب نبوده و عملا" بصورت پيش فرض و در زمان نصب IIS  بر روس سيستم مستقر ( نصب ) می گردند . اکثر فيلترهای فوق ، قابل سوء استفاده توسط مهماجمان می باشند. Code red و Code Red 2  ، نمونه هائی از برنامه های مخرب می باشند که از ضعف فوق در جهت پيشبرد اهداف خود استفاده نموده اند . 
IIS نيز نظير ساير سرويس دهندگان وب ، شامل برنامه های نمونه ای است  که بمنظور اثبات توانائی سرويس دهنده وب ، طراحی شده اند . در طراحی برنامه های فوق ، عملکرد آنان با لحاظ نمودن مسائل امنيتی در يک محيط عملياتی و توليدی مورد توجه قرار نگرفته است . برخی ازنمونه برنامه های ارائه شده بهمراه IIS ، امکان مشاهده و بازنويسی فايل های دلخواه  ويا دستيابی  از راه دور به اطلاعات حساس نظير رمز عبور مديريت سيستم را فراهم می نمايند .
عدم بهنگام سازی و نگهداری مناسب IIS پس از نصب اوليه ، از ديگر مواردی است که زمينه تهاجم برای مهاجمان را فراهم می آورد .مثلا" نقاط آسيب پذير WebDAV ntdll.dll   در IIS 5.0 ، امکان حملات از نوع  DoS ( غيرفعال نمودن سرويس )  را فراهم و مهاجمان در ادامه قادر به  ايجاد و اجرای اسکريپت های مورد نظر خود بر روی سرويس دهنده می گردند . در مواردی ديگر  و با توجه به نقاط آسيب پذير موجود ، مهاجمان قادر به اجرای دستورات دلخواه خود بر روی سرويس دهنده می باشند (  درخواست دقيق و ماهرانه آدرس های URL  ) .
امکانات و پتانسيل هائی که در ادامه و با توجه به ضرورت بر روی IIS نصب می گردند ( نظير ColdFusion و PHP )  نيز می تواند زمينه بروز نقاط آسيب پذير جديدی را فراهم نمايد .اينگونه نقاط آسيب پذير، می تواند بدليل عدم پيکربندی صحيح و يا وجود ضعف و اشکال امنيتی  در محصول نصب شده ای باشد که  به  IIS نيز سرايت می نمايد ( توارث مشکلات و ضعف های امنيتی از يک محصول به محصول ديگر) .

سيستم های عامل در معرض تهديد :

  • ويندوز NT 4.0 که از IIS 4.0 استفاده می نمايد .
  • ويندوز 2000 سرويس دهنده که از IIS 5.0 استفاده می نمايد .
  • ويندوز XP نسخه Professional که از نسخه IIS 5.1 استفاده می نمايد .

در رابطه با نقطه آسيب پذير فوق بر روی ويندوز 2003 که از IIS 6.0 استفاده می نمايد ، تاکنون گزارشی ارائه نشده است .

نحوه تشخيص آسيب پذيری سيستم
در صورتيکه برنامه IIS بصورت پيش فرض و استاندارد نصب و يا  Patch های  مربوطه بر روی آن نصب نشده باشند ، آسيب پذيری برنامه فوق در مقابل حملات قطعی خواهد بود . مديران سيستم وشبکه  که مسئوليت نصب ، نگهداری و بکارگيری IIS را بر عهده دارند ، می بايست خود را با جديدترين ابزارهای  مايکروسافت و مستندات امنيتی ارائه شده در رابطه با مديريت مناسب IIS ، بهنگام نمايند. در اين رابطه می توان بمنظور دستيابی به مستندات امنيتی مرتبط با IIS از  مرکز امنيتی IIS  شرکت مايکروسافت استفاده نمود. پيشنهاد می گردد ، برنامه  Microsoft BaseLine Security Analyzer را که شامل روتين های حفاظتی مناسب و مرتبط به IIS می باشد را دريافت و از آن بمنظور بررسی وضعيت امنيتی IIS استفاده بعمل آيد . مديران شبکه ، می بايست با استفاده از منابع اطلاعاتی متعدد ارائه شده نظير : Checklists ، مستنداتی  که توصيه های لازم در جهت ارتقاء سطح امنيتی را ارائه و مستندات آموزشی نقاط آسيب پذير که توسط  مايکروسافت ارائه شده است ،  دانش خود را بهنگام  و با دنبال نمودن فرآيندهای مناسب فنی ، از صحت عملکرد امنيتی IIS بر روی سيستم های سازمان خود اطمينان حاصل نمايند.مقايسه وضعيت موجود IIS با وضعيت مطلوب ،  يکی از روش هائی است که می تواند در اين زمينه مفيد واقع گردد .

نحوه حفاظت در مقابل نقطه آسيب پذير
نصب آخرين Patch ارائه شده : در اولين مرحله ، می بايست  سيستم را با استفاده از Patch های ارائه شده ، بهنگام نمود. Patching يک سرويس دهنده نصب شده ، امری ضروری است  ولی بتنهائی کافی نخواهد بود . بموازات کشف نقاط ضعف جديد در IIS  ، می بايست  از Patch مربوطه بسرعت استفاده گردد. Windows Update و AutoUpdate گزينه هائی مناسب بمنظور بهنگام سازی IIS با توجه به آخرين Patch های ارائه شده است .
 برنامه ( HFNetChk ( Network Security Hotfix Checker ، به مديران سيستم کمک  لازم در پويش و بررسی محلی و يا از راه دور سيستم ها برای Patch های موجود را ارائه می نمايد . ابزار فوق ، قابل استفاده بر روی ويندوز NT 4.0 ، ويندوز 2000 و ويندوز XP می باشد . آخرين نسخه ابزار فوق را می توان از آدرس  http://www.microsoft.com/technet/security/tools/hfnetchk.asp  دريافت کرد .
در صورتيکه از برنامه های اضافه شده ای  نظير CouldDusion ،PerlIIS و يا PHP بهمراه IIS استفاده می گردد ، لازم است به سايت های عرضه کنندگان هر يک از محصولات فوق مراجعه و نسبت به آخرين patch ارائه شده در رابطه با هر محصول آگاه و آنان را با توجه به توصيه های انجام شده بر روی سيستم نصب نمود . امکان Windows Update و ساير سرويس های بهنگام سازی ارائه شده توسط مايکروسافت ، شامل Patch های لازم و مرتبط با محصولات اضافه شده ساير شرکت ها در برنامه IIS مايکروسافت نبوده  و لازم است مديران سيستم بهنگام سازی محصولات اضافه شده ( غير مايکروسافت ) در IIS را خود راسا"  انجام دهند .
استفاده از برنامه کمکی IIS Lockdown بمنظورنصب مطمئن تر : مايکروسافت ، ابزاری ساده بمنظور ايمن سازی نصب IIS را ارائه که ويزارد IIS Lockdown ناميده می شود. نسخه موجود را می توان از آدرس http://www.microsoft.com/technet/security/tools/locktool.asp ، دريافت نمود. با اجرای برنامه فوق در حالت " Custom " و يا " Expert" ، می توان تغييرات مورد نظر خود را در ارتباط با نصب IIS مشخص نمود. بدين ترتيب ، امکان اعمال تغييرات زير در رابطه با نصب IIS ، فراهم می گردد :

  • غير فعال نمودن WebDAV ( مگر اينکه محيط مورد نظر شما به وجود آن برای نشر محتوی وب ، نياز داشته باشد )
  • غير فعال نمودن ISAPI extensions های غير ضروری ( نظير : htr، .idq , .ism ، .printer . )
  • حذف نمونه برنامه های ارائه شده بهمراه IIS
  • منع سرويس دهنده وب از اجراء دستورات سيستمی متداول که عموما" توسط مهاجمان استفاده می گردد( نظير cmd.exe و يا tftp.exe ) .

استفاده از URLScan  بمنظور فيلتر نمودن درخواست های HTTP : تعدادی زيادی از حملات مرتبط با نقاط آسيب پذير IIS نظير Code Blue و خانواده Code Red ، از کدهای مخربی که بصورت درخواست های HTTP  سازماندهی می شوند،استفاده می نمايند( حملاتی از نوع  Buffer Overflow ) . فيلتر URLScan را می توان بگونه ای پيکربندی نمودکه باعث عدم پذيرش اينچنين درخواست هائی قبل از پردازش آنان توسط سرويس دهنده باشد.برنامه فوق،بهمراه ويزارد IIS Lockdown ارائه ولی می توان آن را از آدرس : http://www.microsoft.com/technet/security/tools/urlscan.asp نيز دريافت کرد .

دومين  نقطه آسيب پذير :  ( Microsoft SQL Server (MSSQL 
سرويس دهنده SQL مايکروسافت ( MSSQL ) ، دارای چندين نقطه آسيب پذير جدی است که امکان دريافت  اطلاعات حساس، تغيير در محتويات بانک اطلاعاتی وبمخاطره انداختن حيات سرويس دهندگان SQL  توسط مهاجمان را فراهم می نمايد . در برخی موارد خاص و بدليل عدم پيکربندی  صحيح سيستم  ، ميزبانان سرويس دهنده نيز ممکن است در معرض تهديد و آسيب قرار گيرند . نقاط آسيب پذير MSSQL ، مورد توجه خاص عموم مهاجمان بوده و آنان بسرعت از ضعف های امنيتی کشف شده در جهت اهداف خود استفاده می نمايند. دو کرم  SQLSnake/Spida و  SQL-Slammer/SQL-Hell/Sapphire  در ساليان اخير ( سال های 2002 و 2003 )  از نقاط ضعف شناخته شده  MSSQL  استفاده و توانستند در مدت زمان کوتاهی حملات گسترده ای را با توجه به نقظه آسيب پذير فوق ،انجام دهند. ميزبانان آلوده به کرم ها ی فوق ، بمنظور گسترش آلودگی  و جستجو جهت يافتن ساير سيستم های آسيب پذير ، ترافيک شبکه را در حد بالائی افزايش داده بودند( اشغال درصد بسيار بالائی از پهنای باند محيط انتقال ).  برای دريافت اطلاعات تکميلی در رابطه با کرم های فوق ، می توان از منابع و آدرس های زير استفاده نمود :

اطلاعات تکميلی در رابطه با کرم SQLSnake/Spida  ( فعال شده در May 2002 )  :

·         http://isc.incidents.org/analysis.html?id=157

·         http://www.eeye.com/html/Research/Advisories/AL20020522.html

·         http://www.cert.org/incident_notes/IN-2002-04.html

اطلاعات تکميلی در رابطه با کرم  SQL-Slammer/SQL-Hell/Sapphire ( فعال شده در تاريخ January 2003 ) :

·         http://isc.incidents.org/analysis.html?id=180

·         http://www.nextgenss.com/advisories/mssql-udp.txt

·         http://www.eeye.com/html/Research/Flash/AL20030125.html

·         http://www.cert.org/advisories/CA-2003-04.html

براساس گزارش ارائه شده توسط  Internet Storm Center ، پورت های  1433 و 1434 ( پورت های پيش فرض سرويس دهنده MSSQL )  ، از جمله پورت هائی می باشند که بصورت دائم توسط مهاجمين مورد بررسی ( نگاه موشکافانه ) قرار می گيرد.
 نحوه عملکرد کرم SQLSnake ، به account مديريتی پيش فرض (   sa" account"  که دارای يک رمز عبور Null می باشد )  بستگی دارد.در اين رابطه لازم است پيکربندی سيستم بطرز صحيحی انجام و هر يک از سيستم های موجود بمنظور حصول اطمينان از دارا بودن رمز عبور مرتبط با account مربوطه بررسی و بدرستی حفاظت گردند . در صورتيکه از account خاصی استفاده نمی شود ، می بايست نسبت به غير فعال نمودن آنان اقدام گردد.. بمنظوردريافت اطلاعات تکميلی در رابطه تنظيم و مديريت sa Account ، می توان از مستندات ارائه شده در آدرس " Changing the SQL Sever Administrator Login "  استفاده نمود . sa Account ، می بايست دارای يک رمز عبور پيچيده بوده که حدس و تشخيص آن مشکل باشد( حتی اگر از آن بمنظور اجراء SQL/MSDE استفاده نمی شود ) .
نحوه عملکرد کرم SQL Slammer ، بر اساس يک Buffer Overflow در  SQL Server Resolution Service  است . Buffer Overflow  فوق ، موجب گسترش ( حمل )  مشکل از سيستمی به سيستم ديگر شده و در اين راستا امنيت ميزبان زمانيکه کرم اقدام به ارسال بسته های اطلاعاتی تهديد آميز خود به پورت 1434 سيستم های مقصد آسيب پذير می نمايد، در معرض تهديد و آلودگی قرار می گيرد. در صورتيکه بر روی يک ماشين ، سرويس هائی از SQL اجراء که مرتبط با اين نوع Stack Buffer Overflow می باشند و بسته های اطلاعاتی خود را  بر اساس واقعيت فوق دريافت می نمايد ، تمامی سيستم ها و سرويس دهندگان در معرض تهديد قرار خواهند گرفت .موثرترين روش دفاع در مقابل کرم فوق، Patching مستمر ، اقدامات لازم در جهت پيکربندی سيستم بصورت کنشگرايانه ، پيشگيری سيستم بصورت پويش های ادواری و  فيلترينگ پورت 1434 مربوط به UDP در gatway های شبکه است ( اجازه ورود و خروج بسته های اطلاعاتی مرتبط با پورت اشاره شده ) .
عملکرد Microsoft Server 2000 Desktop Engine ) ،  MSDE 2000)، را می توان بعنوان " SQL Server Lite" ( زير بناء سرويس دهنده SQL ) در نظرگرفت . تعداد زيادی از صاحبان سيستم حتی نسبت به اين موضوع که بر روی سيستم آنان MSDE اجراء و آنان دارای يک نسخه از SQL Server نصب شده بر روی سيستم می باشند ، آگاهی و شنخت مناسبی را ندارند.  MSDE 2000 ، بعنوان يکی از اجزاء اساسی بهمراه محصولات زير نصب می گردد :

·         SQL/MSDE Server 2000 (Developer, Standard and Enterprise Editions) 

·         Visual Studio .NET (Architect, Developer and Professional Editions)

·         ASP.NET Web Matrix Tool

·         Office XP

·         Access 2002

·         Visual Fox Pro 7.0/8.0  

علاوه بر موارد فوق،نرم افزارهای متعدد ديگری وجود دارد که از MSDE 2000  استفاده می نمايند . برای مشاهده ليست تمامی محصولات مربوطه ، می توان از اطلاعات موجود در آدرس : http://www.SQLsecurity.com/forum/applicationslistgridall.aspx  استفاده نمود . باتوجه به اينکه، نرم افزارهای فوق ، از MSDE بعنوان هسته اساسی بانک اطلاعاتی استفاده می نمايند ، آنان نيز دارای  نقاط آسيب پذير مشابه  سرويس دهنده SQL/MSDE  خواهند بود.پيکربندی MSDE 2000 را می توان بگونه ای انجام داد  که با استفاده از روش های مختلف به درخواست های اتصال به بانک اطلاعاتی توسط سرويس گيرندگان،گوش داده شود. مثلا"  پيکربندی فوق را می توان بصورتی انجام داد که سرويس گيرندگان قادر به استفاده از named pipes بر روی يک NetBIOS Session ( پورت  139/445 پورت TCP ) بوده  و يا از سوکت هائی که سرويس گيرندگان با استفاده از پورت 1433 مربوط به TCP به آن متصل می گردند ( امکان استفاده از هر دو رويکرد اشاره شده نيز وجود دارد ) . صرفنظر ازروش انتخابی ، سرويس دهنده SQL و MSDE همواره به پورت 1434 مربوط به UDP گوش خواهند داد . پورت فوق بعنوان يک پورت هماهنگ کننده طراحی شده است . سرويس گيرندگان يک پيام را برای پورت فوق ارسال تا  نحوه اتصال سرويس گيرنده به سرويس دهنده ، مشخص گردد .
هسته MSDE 2000 ،در موارديکه با يک بسته اطلاعاتی تک بايتی 0x02  ، بر روی پورت 1434 مربوط به UDP مواجه گردد ، اطلاعاتی در رابطه با خود را برمی گرداند . ساير بسته های اطلاعاتی تکی بايت بدون اينکه الزامی به تائيد آنان برای سرويس دهنده وجود داشته باشد،باعث  بروز يک Buffer overflow می گردند .با توجه به اينکه سازماندهی حملات ازاين نوع  بر اساس UDP انجام خواهد شد ، وضعيت تهاجم فوق وخيم تر خواهد شد .  (صرفنظر از اينکه پردازه های  MSDE 2000  در يک بافتار امنيتی مربوط به  يک Domain User و يا account مربوط به Local System  اجراء می گردند). استفاده موفقيت آميز از حفره های امنيتی موجود ، می تواند سيستم مقصد را در معرض مخاطره و تهديد قرار دهد .
با توجه به اينکه SQL Slammer از يک Buffer overflow بر روی سيستم مقصد استفاده می نمايد ،استفاده مستمر از Patching و  پيکربندی دقيق سيستم ، کمک لازم در جهت کاهش تهديد فوق را ارائه می نمايد . با دريافت و استفاده از ابزارهای دفاعی نظير : Microsoft SQL Critical Update Kit ، می توان تمام Domain و يا شبکه های شامل سيستم های آسيب پذير را بررسی و بصورت فايل های متاثر را بهنگام نمود. برای آشنائی و آناليز جزيئات مربوط به کرم  اسلامر SQL/MSDE ، می توان از آدرس Incidents.org استفاده نمود .

سيستم های عامل در معرض تهديد :
هر يک از نسخه های ويندوز که  بهمراه آنان  SQL/MSDE Server 7.0  ، SQL/MSDE Server 2000 و يا Microsoft SQL/MSDE Desktop Engine 2000 نصب شده باشد و هر سيستم نرم افزاری ديگری که بصورت جداگانه از موتور MSDE 2000 استفاده می نمايد،  در معرض اين تهديد و آسيب قرار خواهد شد .

نحوه تشخيص آسيب پذيری سيستم
شرکت مايکروسافت مجموعه ای از ابزارهای امنيتی را در اين رابطه ارائه که می توان از طريق آدرس  http://www.microsoft.com/sql/downloads/securitytools.asp به آنان دستيابی پيدا نمود . Toolkit ارائه شده ،SQL Critical Update Kit  ناميده شده و شامل ابزارهائی نظير SQL Scan و SQL Critical Update است . سايت SqlSecurity.com نيز در اين رابطه ابزاری با نام SQLPingv2.2  را ارائه داده است .ابزار فوق ، يک بسته اطلاعاتی UDP تک بايتی ( مقدار بايت 0X02 ) را به پورت 1434  مربوط به يک ميزبان و يا تمامی Subnet ارسال می نمايد .سرويس دهندگان SQL که به پورت UDP 1434  گوش می دهند ، به آن پاسخ  لازم را داده و اطلاعاتی در ارتباط با سيستم نظير شماره نسخه و ساير موارد مربوطه را اعلام می نمايد . عملکرد نرم افزار فوق مشابه Microsoft SQL Scan است .

نحوه حفاظت در مقابل نقطه آسيب پذير :
بمنظور حفاظت سيستم ها  در مقابل نقطه آسيب پذير فوق ، عمليات زير را دنبال می نمائيم :

·         غير فعال نمودن SQL/MSDE Monitor Service در پورت UDP 1434  .  بمنظورانجام خواسته  فوق، می توان اقدام به نصب و استفاده از قابليت های ارائه شده بهمراه SQL Server 2000 Service Pack 3a  نمود. موتور MSDE 2000  دارای دو نقطه آسيب پذير Buffer Overflow است که می تواند توسط يک مهاجم استفاده و از راه دور و بدون هيچگونه الزامی جهت  تائيد کاربر، به سرويس دهنده متصل و يک تهاجم از طريق UDP را باعث شود. صرفنظر از اينکه پردازه های  MSDE 2000  در بافتار امنيتی يک Domain User و يا account مربوط به Local System  اجراء می گردند ، استفاده موفقيت آميز از حفره های امنيتی موجود، ممکن است سيستم مقصد را در معرض مخاطره و تهديد قرار دهد . کرم MS-SQL/MSDE Slammer يک بسته اطلاعاتی شامل  376 بايت را از طريق پورت UDP 1434 برای مقصد مورد نظر خود که بصورت تصادفی انتخاب می گردد، ارسال می نمايد. سيستم های در معرض تهاجم  پس از آلودگی ، اقدام به ارسال بسته های اطلاعاتی مشابه 376 بايتی می نمايند . کرم فوق ،  ترافيک موجود در شبکه را افزايش خواهد داد .آدرس های IP که بصورت تصادفی انتخاب می گردند ، از نوع multicast بوده و در نهايت يک تهاجم از نوع DoS ( غير فعال نمودن يک سرويس ) بر روی شبکه مقصد، محقق خواهد شد. بر اساس گزارشات ثبت شده ، يک ماشين آلوده  بيش از پنجاه  MB/Sec  از ترافيک شبکه رابخود اختصاص و عملا" امکان انجام ساير عمليات بر روی شبکه سلب می گردد.

·         بکارگيری آخرين Service Pack برای سرويس دهنده SQL/MSDE و MSDE 2000  . آخرين نسخه های Service Pack در رابطه با سرويس دهنده SQL/MSDE  عبارتند از :
- SQL/MSDE Server 7.0 Service Pack 4
- MSDE/SQL Server 2000 Service Pack 3a 
بمنظور اطمينان از بهنگام بودن سيستم می توان از "  Make Your SQL/MSDE Servers Less Vulnerable "   استفاده نمود.

·         بکارگيری آخرين Patch ارائه شده پس از آخرين Service Pack . بمنظور آگاهی از آخرين Patch های ارائه شده برای تمامی نسخه های سرويس دهنده SQL/MSDE/MSDE می توان از بولتن امنيتی ارائه شده توسط مايکروسافت استفاده نمود .  بمنظور اطمينان از نصب آخرين Patch موجود در رابطه با سرويس دهنده SQL/MSDE می توان از آدرس های زير استفاده کرد :
- Microsoft SQL/MSDE Server 7.0
- Microsoft SQL Server 2000
- MSDE Server Desktop Engine 2000 (MSDE 2000)

·         بکارگيری Patch های  خاص و جداگانه ای که پس از آخرين Patch مربوطه ارائه شده اند .پس از معرفی  MS02-061 Elevation of Privilege in SQL/MSDE Server Web Tasks    ، تاکنون  Patch مربوطه ای در اين زمينه ارائه نشده است . بمنظور اطمينان و آگاهی از اخرين Patch ارائه شده می توان از آدرس های زير استفاده نمود :
- Microsoft SQL/MSDE Server 7.0
- Microsoft SQL Server 2000
- MSDE Server Desktop Engine 2000 (MSDE 2000)

·         فعال نمودن SQL Server Authentication Logging .  امکان فوق عموما" غير فعال است . بمنظور فعال نمودن آن می توان از طريق برنامه Enterprise Manager  اقدام نمود(  Server Properties|Tab Security )

·         ايمن سازی سرويس دهنده در سطح سيستم و شبکه . يکی از متداولترين حملات MSSQL/MSDE ، برخاسته از account مديريتی پيش فرض ( شناخته شده با نام "sa" ) بوده  که دارای  يک رمز عبور تهی ( blank ) است. در صورتيکه sa Account مربوط به SQL/MSDE  دارای رمز عبور حفاظت شده ای نمی باشد ، سيستم در معرض تهديد جدی قرار خواهد داشت . لازم است در اين راستا از پيشنهادات ارائه شده در بخش System Administrator(SA) Login مربوط به SQL/MSDE Server Book Online  استفاده تا اطمينان لازم در خصوص مطمئن بودن رمز عبور sa Account حاصل گردد . ( حتی اگر سرويس دهنده SQL/MSDE مربوطه از account فوق استفاده نمی نمايد، نيز می بايست اقدامات امنيـتی لازم ضورت پذيرد ) . با استفاده از مستندات ارائه شده در MSDN مايکروسافت و در بخش Changing the SQL Server Administrator Login  ، و  Verify and Change the System Administrator Password by Using MSDE  می توان از آخرين امکانات و توصيه های ارائه شده بمنظور پيکربندی و تنظيم مناسبsa Account  ، استفاده نمود .

·         به حداقل رساندن امتيازات مربوط به سرويس MSSQL/MSDE  و سرويس دهنده SQL/MSDE Server Agent . در اين رابطه پيشنهاد می گردد که سرويس MSSQL/MSDE  سرويس دهنده و SQL/MSDE Server Agent ، تحت يک Valid Domain account با حداقل امتيازات مربوط اجراء گردد( نه بعنوان يک domain administrator  و يا SYSTEM ( در ويندوز NT ) و يا LocalSystem ( در ويندوز 2000 و يا XP ) ) . يک سرويس در معرض آسيب که بهمراه امتيازات محلی و يا Domain اجراء می گردد ،به يک مهاجم امکان کنترل کامل سيستم و يا شبکه را خواهد داد  . در اين رابطه موارد زير پيشنهاد می گردد :
- فعال نمودن Windows NT Authentication و auditing برای Login های موفقيت آميز و يا با شکست مواجه شده ، در ادامه سرويس MSSQL/MSDEServer رامتوقف و مجددا" آنان را فعال  نمائيد . در صورت امکان ، پيکربندی سرويس گيرندگان را بگونه ای انجام دهيد که از NT Authentication  استفاده نمايند .
- فيلترينگ بسته های اطلاعاتی می بايست در محدوده های مرزی شبکه انجام تا پيشگيری و ممانعت  لازم در خصوص اتصالات ورودی و خروجی غير مجاز به MSSQL و مرتبط با سرويس های خاص صورت پذيرد . فيلترينگ نقطه ورود و خروج پورت های 1434 و 1433 مربوط به TCP/UDP می تواند باعث ممانعت مهاجمان داخلی و يا خارجی از پويش و آلودگی سرويس دهندگان SQL/MSDE که دارای پتانسيل آسيب پذيری می باشند، گردد .
- درصورتيکه لازم است از پورت های 1433 و 1434 مربوط به TCP/UDP استفاده گردد ، می بايست فيلترينگ مناسبی در ارتباط با استفاده نادرست از پورت های فوق را انجام داد .

بمنظور  آگاهی از  ايمن سازی سرويس دهنده SQL/MSDE ، می توان از آدرس های زير استفاده نمود :

·         Microsoft SQL/MSDE Server 7.0 Security

·         Microsoft SQL/MSDE Server 2000 Security

در بخش دوم اين مقاله به بررسی  ساير نقاط آسيب پذير در ويندوز خواهيم پرداخت

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:33 AM |

اشکال زدائی شبکه های مبتنی بر TCP/IP (بخش سوم) 

Ping و Tracert  ، دو برنامه مفيد به منظور تست وضعيت ارتباطی گره های موجود در يک شبکه مبتنی بر TCP/IP می باشند . در اين بخش با برنامه بسيار سودمند ping آشنا خواهيم شد و در بخش های بعدی به بررسی دستور tracert خواهيم پرداخت .

دستور Ping
دستور Ping می تواند نقطه شروع مناسبی برای اشکال زدائی يک شبکه مبتنی بر TCP/IP باشد . از برنامه فوق برای تست وضعيت ارتباط بين دو سيستم موجود در شبکه استفاده می شود . اين برنامه از پروتکل ICMP (  اقتباس شده از Internet Control Message Protocol ) به منظور مبادله بسته های اطلاعاتی با سيستم راه دور استفاده می کند (ICMP از پروتکل UDP برای حمل داده استفاده می نمايد ) .
برنامه Ping در ابتدا توسط Mike Muuss و با عملکردی ساده ، پياده سازی گرديد. اين برنامه از پروتکل ICMP به منظور ارسال پيام های UDP به يک آدرس ( ECHO REQUEST ) استفاده می نمايد و پس از ارسال پيام ، در انتظار دريافت پاسخ ( ECHO REPLY ) می ماند . سيستم راه دور، يک بسته اطلاعاتی از نوع پاسخ ( REPLY ) را برای فرستنده پيام ارسال می نمايد و بر اساس آن Round-trip ( ارسال يک درخواست و دريافت پاسخ ) محاسبه می گردد .
ساختار بسته های اطلاعاتی ECHO REQUEST و ECHO REPLY در جدول زير نشان داده شده است . از فيلد اطلاعاتی "نوع پيام " به منظور مشخص نمودن نوع پيام ، استفاده می شود . در صورتی که مقدار اين فيلد هشت باشد ، بسته اطلاعاتی از نوع ECHO REQUEST  و در صورتی که مقدار اين فيلد صفر باشد ، بسته اطلاعاتی از نوع ECHO REPLY  خواهد بود .

ساختار بسته های اطلاعاتی  ECHO REQUEST و ECHO REPLY

نوع پيام ICMP
( صفر و يا هشت )

کد صفر

CheckSum

Identifier

Sequence number

Optional data

استفاده از Ping
Ping دارای عملکردی بسيار ساده است . در ابتدا فيلد Sequence number مقدار صفر را خواهد گرفت و به ازای ارسال هر بسته اطلاعاتی، يک واحد به آن اضافه می شود . مقدار فيلد Identifier ، منحصر بفرد بوده  تا امکان تشخيص بسته های اطلاعاتی برگردانده شده وجود داشته باشد ( در مواردی که بيش از يک کاربر بطور همزمان از دستور Ping بر روی يک ماشين استفاده می نمايند) . در اکثر نسخه های يونيکس و لينوکس ، مقدار فيلد Identifier معادل Process ID  پردازه ای در نظر گرفته می شود که پيام ECHO REQUEST را ارسال نموده است .
پس از دريافت پيام ECHO REQUEST توسط کامپيوتر دريافت کننده ، وی يک پاسخ ( REPLY ) را برای فرستنده ارسال می نمايد که شامل  Identifier و Sequence number مشابه بسته اطلاعاتی ارسالی است .
با توجه به پاسخ ارائه شده توسط دريافت کننده بسته های اطلاعاتی می توان به نتايج متفاوتی دست يافت :

·          تمامی بسته های اطلاعاتی ارسالی ، مجددا" برگردانده می شوند . ( بين سيستم ارسال کننده و دريافت کننده مشکل ارتباطی وجود ندارد ) .

·         برخی از بسته های اطلاعاتی ارسالی، توسط دريافت کننده برگردانده نمی شوند ( کاهش بسته های اطلاعاتی ارسالی ) و يا با اولويتی که ارسال می گردند با همان اولويت دريافت نمی شوند . اين مسئله می تواند نشاندهنده وجود اشکال در يک شبکه باشد . در اين رابطه احتمال ديگری نيز وجود دارد : سيستم از راه دور ( سيستمی که می بايست به پيام های ارسالی پاسخ دهد ) درگير پردازش های متعددی است و قادر به پاسخگوئی پيام های ECHO REQUEST  در مدت زمان مشخص شده  نمی باشد .

دستور Ping ، مدت زمان Round-trip بر حسب ميلی ثانيه را محاسبه و نمايش می دهد . برای محاسبه مدت زمان Round-trip ، برنامه ping زمان ارسال بسته اطلاعاتی را در فيلد Optional data قرار داده و پس از برگشت بسته اطلاعاتی، زمان ذخيره شده را با زمان جاری سيستم مقايسه نموده تا در نهايت مدت زمان رفت و برگشت يک بسته اطلاعاتی مشخص گردد . دستور Ping همچنين مقدار TTL ( اقتباس شده از Time To Live ) را در خروجی نمايش خواهد داد .TTL مدت زمان اعتبار يک بسته اطلاعاتی را مشخص نموده و  هر host و يا روتر موجود در مسير بسته اطلاعاتی معمولا"  به ميزان يک ثانيه آن را کاهش می دهد .
در برخی موارد ممکن است در زمان ارسال درخواست های متوالی ping ، مدت زمان Round-trip کاهش پيدا نمايد . اين موضوع می تواند دلايل متعددی داشته باشد :

·         ماشين مقصد ( و يا روتر gateway ) در آن مقطع زمانی در جدول محلی ARP نمی باشد و مدت زمانی طول خواهد کشيد ( ميلی ثاينه ) تا arp آدرس سخت افزاری اولين بسته اطللاعاتی را  بدست آورد  .

·         در صورتی که به همراه دستور ping در مقابل استفاده از آدرس IP از نام host استفاده شود ، ممکن است يافتن سرويس دهنده DNS که برنامه ping می بايست با آن ارتباط برقرار نمايد( ترجمه نام host به آدرس IP ) ،  زمان خاص خود را داشته باشد .

در زمان استفاده از دستور Ping بهتر است که در ابتدا عمليات ping را در ارتباط با اينترفيس محلی و يا آدرس
 ( Loopback ( IP: 127.0.0.1 شروع نمود . آدرس loopback در پشته TCP/IP استفاده شده و می توان از آن به منظور حصول اطمينان از صحت کارکرد پشته محلی ، استفاده نمود . آدرس فوق ، يک آدرس IP رزو شده است که امکان استفاده از آن در اينترنت وجود ندارد . در صورتی که نمی توان آدرس IP سستم محلی را ping نمود ، ممکن است پيکربندی سيستم  دارای مشکل باشد .  در صورتی که نمی توان آدرس Loopback را ping نمود ، ممکن است پشته TCP/IP  و يا آداپتور شبکه مشکل داشته باشند .

استفاده از Ping در  ويندوز
جدول زير  گرامر دستور Ping به همراه عملکرد برخی از  سوئيچ های متداول  آن را نشان می دهد :

گرامر دستور Ping در ويندوز

ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]]  
[-w timeout] destination-list

عملکرد

سوئيچ

به صورت پيوسته عمليات Ping را انجام می دهد. برای توقف برنامه ping می توان از کليدهای CTRL+C استفاده نمود .

-t

 ترجمه آدرس به نام را انجام می دهد

-a

تعداد بسته های اطلاعاتی ICMP ECHO REQUEST ارسالی را مشخص می نمايد .

-n count

اندازه بافر را ارسال می نمايد.

-1 size

 مقدار TTL را مشخص می نمايد .

-i TTL

مدت زمان انتظار پاسخ برحسب ميلی ثانيه

-w timeout

نحوه استفاده از دستور Ping :

تايپ دستور

خروجی

C:\>ping www.google.com  

 Pinging www.google.akadns.net [64.233.187.99] with 32 bytes of data:

Reply from 64.233.187.99: bytes=32 time=421ms TTL=238
Reply from 64.233.187.99: bytes=32 time=430ms TTL=238
Reply from 64.233.187.99: bytes=32 time=431ms TTL=238
Reply from 64.233.187.99: bytes=32 time=430ms TTL=238

Ping statistics for 64.233.187.99:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 421ms, Maximum = 431ms, Average = 428ms

توضيحات :

·         چهار بسته اطلاعاتی ارسال شده است که همان چهار بسته نيز دريافت شده اند ( در زمان انتقال، هيچيک از بسته های اطلاعاتی گم نشده اند )

  • زمان پاسخ حدودا"  430 ميلی ثانيه بوده است
  • اندازه بسته های اطلاعاتی ارسالی ، سی و دو بايت است .

اشکال زدائی ارتباط بين گره های يک شبکه با استفاده از دستور Ping 
برای اشکال زدائی ارتباط بين گره های يک شبکه ، می توان مراحل زير را دنبال نمود :

·         آيا پيکربندی TCP/IP بر روی سيسم محلی ( ارسال کننده ) درست است ؟ برای پاسخ به سوال فوق می توان آدرس IP سيستم محلی را Ping و نتايج را مشاهده نمود . در صورت عدم ارائه پاسخ مناسب ،می تواند مشکل  مربوط به پيکربندی تنظيمات TCP/IP بر روی سيستم محلی باشد .

·         آيا امکان ping نمودن نام host وجود دارد ؟ برای پاسخ به سوال فوق به  همراه دستور ping از نام host استفاده نمائيد . ping ، قبل از ارسال بسته اطلاعاتی برای host مورد نظر ، نام آن را به يک آدرس IP ترجمه می نمايد . اگر آدرسی که Ping ترجمه می نمايد ، آدرسی نيست که تصور آن را داريد ، می بايست پيکربندی سيستم خود را بررسی نمائيد . در چنين مواردی ممکن است شما کامپيوتر خود را بگونه ای پيکربندی نموده ايد که از يک آدرس IP خاص استفاده نمايد ولی در سرويس دهنده DNS ، به کامپيوتر شما يک آدرس IP ديگر مرتبط شده است . در اين رابطه می توان از دستور nslookup به منظور اشکال زدائی ترجمه استفاده نمود .

·         آيا امکان ارتباط با سيستمی ديگر در شبکه وجود دارد ؟ برای پاسخگوئی به سوال فوق می بايست يک سيستم ديگر را که مطمئن هستيد در Subnet شما وجود دارد ، ping نمائيد . در صورتی که نتايج موفقيت آميز باشد ، شما می توانيد با اعضاء broadcast Domain ارتباط برقرار نمائيد .

·         آيا امکان ارتباط با Default Gateway وجود دارد ؟ Default Gateway ، روتر و يا دستگاهی ديگر است که  Subnet شما را به ساير شبکه ها متصل می نمايد. در صورت عدم امکان ping نمودن Default Gateway ، دو احتمال می تواند وجود داشته باشد : احتمال اول : ممکن است آدرس Subnet شما اشتباه باشد . در چنين مواردی می بايست پيکربندی سيستم بررسی گردد  تا اين اطمينان حاصل شود که شما از يک آدرس درست برای روتر و يا host ديگر که مسئول فورواردينگ بسته های اطلاعاتی در Local Subnet است ، استفاده می نمائيد . احتمال دوم : ممکن است خود Default gateway دارای مشکل باشد . برای اطمينان از اين موضوع ، می توان از طريق يک سيستم ديگر موجود در شبکه ، Default Gateway را ping نمود . در صورتی که مشکل همچنان باقی است ، می بايست برای حل مشکل بر روی Default Gateway متمرکز گرديد .

·         آيا امکان ارتباط با ساير سيستم های موجود در خارج از شبکه محلی وجود دارد ؟ برای پاسخ به سوال فوق ، می توان يک سيستم راه دور را ping نمود . در صورتی که عمليات توام با موفقيت باشد ، ارتباط شما از طريق Default gateway به درستی  برقرار شده است و در صورت عدم موفقيت ، دلايل متعددی می تواند وجود داشته باشد : بروز اشکال در سيستم مقصد ، بروز اشکال در روتينگ به سيستم مقصد و يا تجهيزات موجود در خارج از شبکه محلی

و اما دو نکته که بد نيست به آنان نيز اشاره ای داشته باشيم  :

·         نکته اول : همانگونه که ملاحظه گرديد ، دستور ping دارای امکاناتی مفيد و قدرتمند به منظور اشکال زدائی ارتباط بين گره ها در شبکه های مبتنی بر TCP/IP است، ولی Ping of Death که احتمالا" نام آن را تاکنون شنيده ايد دارای وضعيتی اينچنين نمی باشد . Ping of Death يک نوع تهاجم در شبکه های کامپيوتری است که در آن يک مهاجم با استفاده از برنامه هائی خاص ، بسته های اطلاعاتی ICMP را توليد می نمايد که دارای اندازه ای بيش از حد مجاز می باشند . در صورتی که نرم افزار موجود بر روی سيستم مقصد به درستی Patch نشده باشد ، بسته های اطلاعاتی ارسالی توسط مهاجمان دريافت و بخش عمده ای از حافظه را اشغال نموده و می تواند سرريز حافظه را بدنبال داشته باشد . مديران شبکه می بايست يک محيط ايمن به منظور استفاده از ping را در شبکه فراهم نموده تا امکان تحقق چنين حملاتی در شبکه وجود نداشته باشد .

·         نکته دوم : در صورتی که نتوان يک کامپيوتر راه دور را ping نمود ، نمی توان با قاطعيت اعلام نمود که سيستم مقصد به شبکه متصل نمی باشد و  يا  مشکل مربوط به کابل کشی شبکه است . در اين رابطه دلايل متعددی می تواند وجود داشته باشد : بروز اشکال در هر يک از دستگاه های موجود در مسير ارتباطی نظير  هاب ، سوئيچ ، روتر و يا Default Gateway . به همين دليل ، می بايست همواره يک طرح کامل از شبکه به همراه جزئيات مربوطه وجود داشته باشد تا در صورت بروز مشکلاتی اينچنين به سرعت بتوان مسير مربوطه را برای اشکال زدائی بررسی نمود . در چنين مواردی ، می بايست هر دستگاه موجود در مسير ارتباطی بررسی گردد .

اشکال زدائی شبکه های مبتنی بر TCP/IP (بخش چهارم ) 

هر بسته اطلاعاتی در يک شبکه کامپيوتری دارای مسيری  مشخص از زمان ارسال توسط فرستنده تا زمان دريافت توسط گيرنده ( گيرندگان ) می باشد . در صورتی که مقصد يک بسته اطلاعاتی برای سيستمی خارج از شبکه محلی باشد ، وی در مسير خود از بين دستگاه ها و يا روترهای متعددی عبور می نمايد تا  به مقصد نهائی خود برسد . مثلا" زمانی که آدرس يک وب سايت را در مرورگر خود تايپ می نمائيد ، درخواست شما از بين روترها و کامپيوترهای متعددی عبور می نمايد تا در نهايت به سرويس دهنده مقصد برسد .
برای مشاهده مسير يک بسته اطلاعاتی، از دستور tracerout که در برخی از سيستم های عامل نظير ويندوز  ( از ويندور 98 تا 2003 )  به آن tracert گفته می شود ، استفاده می گردد.در اکثر سيستم هائی که از يونيکس و لينوکس استفاده می نمايند ، می توان از دستور traceroute به منظور مشاهده  مسير يک بسته اطلاعاتی استفاده نمود .

موارد استفاده از دستور tracert

·         عدم امکان ping نمودن يک کامپيوتر موجود در خارج از Gateway پيش فرض . با استفاده از دستور فوق ، می توان کامپيوترها و روترهای موجود در مسير يک بسته اطلاعاتی تا رسيدن به مقصد نهائی را مشاهده نمود . بدين ترتيب امکان مشاهده محلی که از آن نقطه به بعد امکان حرکت بسته اطلاعاتی وجود ندارد ، فراهم می گردد .

·         در صورتی که امکان حرکت بسته های اطلاعاتی از مبداء به مقصد وجود نداشته باشد و يا زمان پاسخ دستور ping زمانی نامعقول و طولانی باشد .

·         آگاهی از محل توقف يک بسته اطلاعاتی در  شبکه

نحوه عملکرد دستور tracert
دستور فوق از فيلد TTL مربوط به IP در ICMP Echo Request  و پيام های ICMP Time Exceeded  به منظور تعيين مسير مبداء تا مقصد يک بسته اطلاعاتی استفاده می نمايد . عملکرد اين دستور نيز مشابه ping است و وی نيز  از پيام های مبتنی بر ICMP برای يافتن هر يک از دستگاه های  موجود در مسير يک بسته اطلاعاتی ، استفاده می نمايد . برای تشخيص مسير حرکت ، به TTL موجود در بسته اطلاعاتی يک مقدار اوليه نسبت داده می شود  . TTL ، يک عدد صحيح است که حداکثر تعداد hop ( گره و يا روتر ) را که يک بسته اطلاعاتی  در مسير خود با آنان برخورد می نمايد را مشخص می نمايد ( قبل از اين که توسط IP دورانداخته شود ). مقدار TTL در ابتدا يک خواهد بود و هر روتر و دستگاه موجود در مسير بسته اطلاعاتی ، يک واحد به آن اضافه می نمايد .
بدين ترتيب برنامه tracert قادر به دريافت پيام TIME_EXCEEDED ICMP از هر يک از روترها و يا ساير دستگاه های موجود در مسير يک بسته اطلاعاتی می باشد .
شکل زير نحوه عملکرد دستور  tracert را نشان می دهد .

همانگونه که در شکل فوق مشاهده می گردد ، کامپيوتر A يک مجموعه از پيام های ICMP ECHO REQUEST را توليد و آنان را برای کامپيوتر B ارسال می نمايد. زمانی که اولين بسته اطلاعاتی ارسال می شود ، مقدار TTL يک خواهد بود و در روتر شماره يک مقدار آن صفر شده و يک  پيام TIME_EXCEEDED ICMP ، برای کامپيوتر A ارسال می گردد . کامپيوتر A مجددا" يک بسته اطلاعاتی ICMP ديگر را ارسال می نمايد . ولی اين مرتبه مقدار TTL آن دو در نظر گرفته می شود . در چنين حالتی  روتر اول ، بسته اطلاعاتی را عبور داده و يک واحد از مقدار TTL کم می نمايد و آن را برای روتر دوم ارسال می نمايد . ( در اين مقطع مقدار TTL=1 شده است ) .  روتر دوم مقدار TTL را بررسی نموده و از آن يک واحد کم خواهد کرد . با توجه به اين که مقدار TTL=0 صفر شده است ، مجددا" يک پيام TIME_EXCEEDED ICMP برای کامپيوتر A ارسال می گردد . زمانی که ICMP ECHO REQUEST به کامپيوتر B می رسد ، وی يک ICMP Echo Reply را برمی گرداند . بدين ترتيب ، کامپيوتر A قادر به تشخيص تعداد hop موجود در مسير خواهد بود.  

استفاده از دستور tracert
جدول زير  گرامر دستور  tracert به همراه عملکرد برخی از سوئيچ های متداول  آن را نشان می دهد :

گرامر دستور tracert در ويندوز

tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

عملکرد

سوئيچ

نام host را به آدرس IP ترجمه نمی نمايد .

-d

حداکثر تعداد hop برای جستجوی مقصد را مشخص می نمايد .

-h maximum_hops

مدت زمان انتظار برای دريافت پاسخ بر حسب ميلی ثانيه را مشخص می نمايد .

-w timeout

نحوه استفاده از دستور tracert :

تايپ دستور

خروجی

C:\>tracert www.google.com

Tracing route to www.google.akadns.net [66.102.11.99]
over a maximum of 30 hops:

1 180 ms 170 ms 191 ms x1.y1.z1.w1
2 201 ms 190 ms 190 ms x2.y2.z2.w2
3 201 ms 180 ms 190 ms x3.y3.z3.w3
4 * 217.218.96.253 reports: Destination net unreachable.

Trace complete.

توضيحات :

·         در مواردی که در مسير يک بسته اطلاعاتی مشکل خاصی ايجاد شود و يا پيام ICMP Time Exceeded برگردانده نشود ، در خروجی علامت "ستاره"  نشان داده خواهد شد ( در سه ستونی که معمولا" زمان round-trip را نمايش می دهند ) . در چنين مواردی يک پيام Request timed out  در قسمت سمت راست نمايش داده می شود .

·         در برنامه اوليه tracert مقدار پورت در هدر UDP ، يک پورت UNREACHABLE  در نظر گرفته می شد . بنابراين زمانی که بسته اطلاعاتی ICMP به مقصد نهائی خود می رسد ، يک پيام ICMP DESTINATION UNREACHABLE توسط کامپيوتر مقصد برگردانده می شود .

 در صورتی که آخرين گره مشاهده شده در خروجی دستور tracert مقصد نهائی باشد ،  تمامی گره ها و يا روترهای موجود در مسير نمايش داده شده اند
+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:31 AM |

اشکال زدائی شبکه های مبتنی بر TCP/IP (بخش دوم ) 

ipconfig ، يکی از دستورات مفيد به منظور بررسی وضعيت پيکربندی TCP/IP در کامپيوترهای سرويس دهنده و يا سرويس گيرنده ای است که بر روی آنان ويندوز نصب شده است . در يونيکس و لينوکس از دستور ifconfig در اين رابطه استفاده می شود . در سيستم هائی که بر روی آنان ويندوز 9x و يا  ME نصب شده است ، می توان از دستور winipcfg استفاده نمود . 

استفاده از ipconfig                                                                     
برای استفاده از دستور فوق، کافی است نام آن را از طريق پنجره  command prompt تايپ نمود . عملکرد  ipconfig  و اطلاعاتی که در اثر اجرای آن نمايش داده خواهد شد به نوع سوئيچ استفاده شده ، بستگی دارد .

استفاده از ipconfig بدون سوئيچ ،اطلاعات پيکربندی TCP/IP در ارتباط با هر يک از  آداپتورهای موجود بر روی سيستم را نمايش خواهد داد:

  • آدرس IP
  • Subnet Mask
  • Default gateway
  • اطلاعات سرويس دهنده DNS
  • Domain

تايپ دستور

خروجی

C:\> ipconfig

 Ethernet adapter MyLan1:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . .   : 10.10.1.1
Subnet Mask . . . . . . . . . . . : 255.0.0.0
Default Gateway . . . . . . . . . :

PPP adapter My ISP:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . .   : 10.1.1.216
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 10.1.1.216

دستور فوق ، اطلاعات مربوط به اتصالات از نوع PPP که از آنان در Dialup و VPN استفاده می شود را نيز نمايش خواهد داد . 

استفاده از ipconfig به همراه سوئيچ all ، علاوه بر نمايش اطلاعات اشاره شده در بخش قبل ، اطلاعات ديگری را نيز نمايش خواهد داد  :

  •  آدرس سخت افزاری کارت شبکه ( آدرس MAC ) 
  • اطلاعات مربوط به DHCP

تايپ دستور

خروجی

C:\> ipconfig /all

 Windows 2000 IP Configuration

Host Name . . . . . . . . . . . . : srco
Primary DNS Suffix . . . . . . . : srco.ir
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : srco.ir

Ethernet adapter MyLan1:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : D-Link DFE-680TX CardBus PC Card
Physical Address. . . . . . . . . : 00-50-BA-79-DB-6A
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . .    : 10.10.1.1
Subnet Mask . . . . . . . . . . .  : 255.0.0.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . .  : 127.0.0.1

PPP adapter My ISP:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . .    : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . .    : 10.1.1.216
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . .: 10.1.1.216
DNS Servers . . . . . . . . . . . : x1.y1.z1.w1
                                            x2.y2.z2.w2

ساير سوئيچ های دستور ipconfig : با استفاده از دستور ipconfig و برخی سوئيچ های آن ( release ,renew ) ، می توان اطلاعات مربوط به پيکربندی TCP/IP ارائه شده توسط سرويس دهنده DHCP را که در اختيار يک سرويس گيرنده قرار داده شده است را آزاد و يا آنان را مجددا" از سرويس دهنده درخواست نمود . فرآيند فوق به منظور تشخيص عملکرد صحيح سرويس دهنده  DHCP  در شبکه بسيار مفيد و کارساز است . ( آيا سرويس دهنده DHCP وظايف خود را به خوبی انجام می دهد ؟ آيا يک سرويس گيرنده قادر به برقراری ارتباط با سرويس دهنده DHCP به منظور درخواست و دريافت اطلاعات پيکربندی TCP/IP می باشد ؟ ) . دستور ipconfig دارای سوئيچ های مفيد متعددی است که می توان با توجه به نوع خواسته خود از آنان استفاده نمود : 

عملکرد

سوئيچ 

 آدرس IP پيکربندی شده توسط  DHCP را آزاد می نمايد . در صورتی که سوئيچ فوق را به تنهائی و بدون مشخص نمودن adapter تايپ نمائيم،پيکربندی IP برای تمامی آداپتورهای موجود بر روی کامپيوتر، آزاد می گردد. در صورتی که قصد آزاد سازی اطلاعات پيکربندی مربوط به يک آداپتور خاص را داشته باشيم ، می بايست به همراه سوئيچ فوق نام آداپتور نيز مشخص گردد .
( مثلا" ipconfig / release MyLan1 )

 / release [ adapter]

يک آدرس IP را بر اساس اطلاعات جديدی که از طريق DHCP دريافت می نمايد ، پيکربندی مجدد می نمايد . در صورتی که سوئيچ فوق را به تنهائی و بدون مشخص نمودن adapter تايپ نمائيم،پيکربندی IP  تمامی آداپتورهای موجود بر روی کامپيوتر، مجددا" انجام خواهد شد.  در صورتی که قصد ايجاد مجدد اطلاعات پيکربندی مربوط به يک آداپتور خاص را داشته باشيم ، می بايست به همراه سوئيچ فوق نام آداپتور نيز مشخص گردد.
( مثلا" ipconfig / renew MyLan1 )

 /renew [adapter]

حذف محتويات Dns Resolver Cache

/ flushdn

Refresh نمودن تمامی اطلاعات توليد شده توسط DHCP برای آداپتور و ريجستر نمودن اسامی Dns

/ registerdn

 نمايش محتويات Dns Resolver Cache

/ displaydns

نمايش تمامی DHCP Class ID مجاز برای آداپتور

/ showclassid [adapter]

تغيير  DHCP Class ID 

/setclassid [adapter] [classidtoset ]

توضيحات :

·         تشخيص نام آداپتور : نام آداپتور را می توان با کليک ( Right click ) بر روی Network Neighborhood و انتخاب گزينه properties، از طريق پنجره Network and Dial-up Connections مشاهده نمود ( اسامی آدپتورها ، نام آيکون ها می باشند ) .

·         مفهوم DNS Cache : زمانی که يک سيستم ، ترجمه ( تبديل نام host  به آدرس ) را از طريق يک سرويس دهنده DNS دريافت می نمايد ، برای مدت زمان کوتاهی آن را در يک Cache ذخيره می نمايد . در صورتی که مجددا" از نام استفاده شود ، پشته TCP/IP محتويات Cache را به منظور يافتن رکورد درخواستی بررسی می نمايد . بدين ترتيب امکان پاسخگوئی سريعتر به درخواست ترجمه نسبت به حالتی که در خواست برای يک سرويس دهنده DNS ارسال می شود ، فراهم می گردد . با توجه به اين که اندازه Cache نمی تواند از يک ميزان منطقی و تعريف شده تجاوز نمايد ، هر رکورد موجود در Cache پس از مدت زمانی خاص حذف می گردد. در صورت اعمال هرگونه تغييرات در DNS ( مثلا" تغيير يک رکورد DNS ) ، می توان با استفاده از دستور ipconfig/flushdns تمامی رکوردهای موجود در cache را حذف نمود . بدين ترتيب در صورت درخواست يک نام host ، با سرويس دهنده DNS مشورت می گردد و نتايج مجددا" در Cache ذخيره خواهند شد .  دستور ipconfig / displaydns ، محتويات cache را نمايش خواهد داد. از اطلاعاتی که نمايش داده می شود ، می توان به منظور تشخيص اين موضوع که آيا برای ترجمه نام به آدرس از Cache و يا سرويس دهنده DNS استفاده شده است ،  کمک گرفت .

·         موارد استفاده از دستور Ipconfig : از دستور فوق در مواردی که قصد تشخيص اين موضوع را داريم که  آيا سرويس دهنده DNS و  DHCP در شبکه به درستی وظايف خود را انجام می دهند ، استفاده می شود( علاوه بر مشاهده اطلاعات پيکربندی TCP/IP ) . مثلا" با استفاده از سوئيچ های release و renew ، می توان براحتی تشخيص داد که آيا در زمينه دريافت اطلاعات پيکربندی از يک سرويس دهنده DHCP مشکل خاصی وجود دارد .از سوئيچ های مرتبط با  DNS می توان به منظور اعمال تغييرات پيکربندی ، بهنگام سازی cache  محلی و يا ريجستر نمودن اطلاعات پيکربندی جديد با يک سرويس دهنده DNS ، استفاده نمود .

·         امکانات جانبی به همراه دستور ipconfig : با استفاده از سوئيچ all / اطلاعات متنوعی در رابطه با پيکربندی TCP/IP نمايش داده خواهد شد . در صورتی که حجم اطلاعات بگونه ای است که می بايست صفحه را scroll نمود ، می توان  از   More| به همراه دستور ipconfig استفاده نمود . در صورت تمايل  می توان خروجی دستور ipconfig  را در مقابل ارسال بر روی دستگاه استاندارد خروجی ( صفحه نمايشگر ) ، در يک فايل ذخيره نمود تا امکان بررسی سريعتر نتايج و رفع مشکل فراهم گردد.
 ( ipconfg /all > test1.txt )

همانگونه که اشاره گرديد در سيتم هائی که از لينوکس و يا يونيکس استفاده می نمايند ، از دستور ifconfig استفاده می گردد. از دستور فوق برای نمايش اطلاعات پيکربندی IP  و اعمال تغييرات لازم استفاده می شود .

در بخش سوم به بررسی دستور ping  خواهيم پرداخت

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:31 AM |

اشکال زدائی کارت شبکه ( بخش دوم )

در صورتی که پس از بررسی موارد اشاره شده  در بخش اول اين مطلب ، مشکل کارت شبکه همچنان وجود داشته باشد، می توان کارت شبکه را بر روی يک سيستم که نسبت به عملکرد صحيح آن اطمينان وجود دارد ، نصب نمود . در صورتی که کارت شبکه وظايف خود را بر روی سيستم جديد به درستی انجام داد ، مشخص خواهد شد  که مشکل مربوط به کارت شبکه نبوده و ممکن است سيستم دارای يک مشکل سخت افزاری و يا نرم افزاری خاص باشد .

اجرای برنامه اشکال زدائی ارائه شده به همراه  کارت شبکه
تقريبا" به همراه تمامی کارت های شبکه حتی آنانی که به عنوان plug&Play ارائه می شوند ، يک فلاپی ديسک عرضه می گردد که بر روی آن درايورهای نرم افزاری و يک برنامه اشکال زدائی وجود دارد . برای اجرای برنامه های عيب يابی ارائه شده همراه کارت های شبکه ، عموما" می بايست کامپيوتر را با سيستم عامل DOS راه اندازی ( Boot ) نمود . بدين منظور برخی از کارت های شبکه به همراه يک فلاپی ديسک ارائه می گردند که Bootable نيز می باشد . زمانی که از برنامه های عيب يابی استفاده می گردد، می بايست اطمينان داشت که درايور و يا مدير حافظه اضافه ای در حافظه مستقر نشده باشد . ( پيشگيری از conflict ) . توجه داشته باشيد که منظور از DOS ، پنجره خط دستور ويندوز نمی باشد ، کامپيوتر می بايست با سيستم عامل DOS راه اندازی گردد .
تست هائی را که می توان با استفاده از برنامه های عيب يابی انجام داد به نوع برنامه ارائه شده بستگی دارد. پس از اجرای برنامه های عيب يابی با استفاده از منوی ارائه شده می توان يک و يا چندين تست را انجام داد . تست های فوق می تواند شامل بررسی وضعيت سخت افزار کارت شبکه  و يا تست loopback باشد .  برخی از کارت ها تست echo را نيز انجام می دهند. در چنين مواردی دو کارت شبکه  از يک توليد کننده يکسان  قادر به مبادله بسته های اطلاعاتی بين يکديگر می باشند .
در صورتی که کارت شبکه تمامی تست های ارائه شده توسط برنامه عيب يابی را با موفقيت به اتمام نرساند و اين اطمينان نيز وجود دارد که اسلاتی که کارت شبکه در آن نصب شده است ، مشکل خاصی ندارد ، می توان با احتمال بسيار زياد مشکل را در ارتباط با کارت شبکه تشخيص داد و به منظور رفع اشکال ،  آن را با کارت ديگر جايگزين نمود .
از روش فوق در زمان نصب يک کارت شبکه جديد نيز می توان استفاده نمود . با اين که اکثر کارت های شبکه را می توان با استفاده از برنامه کمکی Add/Remove Hardware نصب نمود ، برای نصب برخی از کارت های شبکه می بايست از برنامه های نصب موجود بر روی فلاپی ديسک و يا CD  همراه کارت شبکه، استفاده نمود.

عدم پيکربندی صحيح کارت شبکه
در صورتی که کارت شبکه تمامی تست های ارائه شده توسط برنامه عيب يابی را با موفقيت به اتمام برساند و مشاهده گردد که مشکل خاصی در ارتباط با عناصر فيزيکی  موجود بر روی کارت شبکه، کامپيوتر ، هاب و يا سوئيچ  وجود ندارد ، می توان متمرکز بر روی پيکربندی کارت شبکه گرديد و پارامترهای تنظيم شده در ارتباط با آن را بررسی نمود . بدين منظور لازم است مقادير درنظر گرفته شده برای IRQ و ساير اطلاعات پيکربندی مربوط به دستگاه های نصب شده بر روی کامپيوتر ، بررسی گردند . در صورت استفاده از سيستم عامل ويندوز ، می توان از برنامه System information به منظور آگاهی از وضعيت پيکربندی تجهيزات نصب شده بر روی سيستم ، استفاده نمود .
در صورت وجود conflict بين تنظيمات انجام شده ، می توان IRQ و  آدرس های حافظه مورد نياز را مجددا" به دستگاه های موجود نسبت داد تا امکان عملکرد صحيح تمامی دستگاه های نصب شده  فراهم گردد . مقداردهی مجدد مقادير IRQ و آدرس های حافظه ، مستلزم استفاده از نرم افزار ارائه شده همراه کارت شبکه است . در صورتی که از يک کارت ISA قديمی استفاده می گردد ، می بايست به منظور تغيير اطلاعات پيکربندی از  jumper و يا سوئيچ های کوچک موجود بر روی کارت شبکه استفاده نمود. در صورت استفاده از يک کارت EISA  ، می بايست از برنامه ECU به منظور پيکربندی کارت شبکه استفاده گردد .

بررسی پيکربندی شبکه
در صورتی که  پس از انجام عمليات اشاره شده ، اشکال موجود تشخيص و  برطرف نگردد ، ممکن است مشکل موجود در ارتباط با Protocol state باشد . مثلا" در صورتی که از يک سرويس دهنده DHCP برای اختصاص آدرس IP و ساير اطلاعات پيکربندی استفاده می گردد ، ممکن است کامپيوتر مورد نظر قادر به دريافت آدرس IP و ساير اطلاعات پيکربندی از يک سرويس دهنده DHCP  نباشد . در صورتی که آدرس IP به صورت دستی تنظيم و به کامپيوتر مورد نظر نسبت داده شده است ، می بايست اطمينان حاصل گردد که آدرس فوق به بيش از يک کامپيوتر نسبت داده نشده است . در اين رابطه لازم است آدرس IP نسبت داده شده به يک کامپيوتر با توجه به Subnet مربوطه نيز بررسی گردد .
پس از حصول اطمينان از صحت کارکرد عناصر سخت افزاری به عنوان منابع بروز اشکال ، می توان از ابزارهای استاندارد ارائه شده در شبکه های مبتنی بر TCP/IP به منظور تشخيص و رفع اشکالات احتمالی ،  استفاده نمود :

·           اشکال زدائی شبکه های مبتنی بر TCP/IP (بخش اول )

·           اشکال زدائی شبکه های مبتنی بر TCP/IP (بخش دوم )

·          اشکال زدائی شبکه های مبتنی بر TCP/IP (بخش سوم)

·          اشکال زدائی شبکه های مبتنی بر TCP/IP (بخش چهارم )

به منظور تسهيل در امر نگهداری و عيب يابی کامپيوترهای موجود در يک شبکه ، پيشنهاد می گردد اطلاعات پيکربندی هر يک از گره های  موجود در شبکه مستند گردد . مثلا" می توان با استفاده از برنامه ای نظير Execl ليست تمامی گره های موجود در شبکه به همراه اطلاعات پيکربندی مرتبط با آنان را تهيه تا در صورت بروز اشکال با مراجعه به آن سريعا" اقدام به عيب يابی و رفع اشکال نمود .

اشکال زدائی شبکه های مبتنی بر TCP/IP (بخش اول ) 

TCP/IP يکی از متداولترين پروتکل های استفاده شده در شبکه های کامپيوتری است . از مهمترين ويژگی های اين پروتکل می توان به مديريت غيرمتمرکز آن اشاره نمود . در چنين مواردی، امکان مديريت جداگانه شبکه های متعددی که از طريق اينترنت و يا اينترانت به يکديگر مرتبط شده اند، فراهم می گردد .
برای اشکال زدائی شبکه های مبتنی بر TCP/IP ،  تاکنون ابزارهای متعددی طراحی و پياده سازی شده است . برخی از اين ابزارها پس از نصب سيستم عامل در دسترس قرار خواهند گرفت و برخی ديگر را می بايست تهيه و بر روی سيستم نصب نمود . از ابزارهای فوق به منظور رفع اشکال ارتباطی يک کامپيوتر موجود در شبکه ، مسائل در ارتباط با پيکربندی TCP/IP و سرويس های مربوطه، استفاده می گردد .

برای اشکال زدائی از کجا می بايست شروع کرد ؟
تعيين مختصات نقطه شروع اشکال زدائی در يک شبکه به پارامترهای متعددی و نوع مشکل ايجاد شده، بستگی خواهد داشت . قبل از بررسی عناصر فيزيکی شبکه نظير کابل ها ، آداپتورهای شبکه ، هاب و يا سوئيچ ، در ابتدا می بايست پيکربندی پروتکل TCP/IP بر روی سيستمی که دارای مشکل است ، برررسی گردد . بدين منظور می توان از ابزارهای ارائه شده همراه سيستم عامل استفاده نمود .

اولين اقدام : بررسی وضعيت پيکربندی TCP/IP
پيکربندی TCP/IP ، معمولا" در زمان نصب سيستم عامل انجام می شود . در برخی موارد ممکن است لازم باشد که تنظيمات انجام شده ، تغيير يابند. مثلا" در صورتی که کامپيوتر به يک subnet ديگر منتقل شده است ، می بايست تغييرات ضروری را بر روی آن اعمال نمود ( آيا سيستم دارای يک آدرس IP است که دارای شماره شبکه ای يکسان و مشابه ساير کامپيوترهای موجود در شبکه است ؟ ) . اطمينان از صحت تنظيمات Subnet Mask و Default gateway از ديگر اقدامات ضروری در اين رابطه است . در صورتی که از DHCP به منظور نسبت دهی اطلاعات پيکربندی TCP/IP ( نظير آدرس IP ) استفاده می شود ، می بايست از وجود يک سرويس دهنده DHCP و يا يک DHCP relay agent در subnet جديد ، اطمينان حاصل نمود .
در صورتی که همه تنظيمات به درستی انجام شده است ولی همچنان سيستم دارای مشکل است ، می توان از ابزارهائی که به همراه اکثر نسخه های TCP/IP ارائه شده است ، استفاده نمود .

استفاده از hostname
يکی از عمليات اوليه به منظور اشکال زدائی يک کامپيوتر موجود درشبکه ، تشخيص نام آن است. بدين منظور می توان از برنامه کاربردی hostname استفاده نمود . برای نامگذاری کامپيوترها از دو روش متفاوت استفاده می شود . در اولين روش ، اسامی flat ( غيرسلسله مراتبی ) با استفاده از جداولی نظير host tables به دستگاه ها نسبت داده می شوند . در روش دوم ، از طريق سرويس دهنده DNS  يک نام به دستگاه موجود در شبکه ، نسبت داده می شود ( از دستور hostname در دو روش فوق می توان استفاده نمود ) .
hostname ، ساده ترين دستوری است که می توان با استفاده از آن بررسی اوليه پيکربندی يک کامپيوتر را انجام داد . در سيستم های مبتنی بر ويندوز ، دستور فوق نام کامپيوتر را نمايش خواهد داد . برای استفاده از دستور فوق ، کافی است نام آن را از طريق پنجره  command prompt تايپ نمود .

تايپ دستور

خروجی

C:\>hostname

 srcocomputer

ضرورت استفاده از دستور hostname
شايد اين سوال برای شما مطرح شده باشد که چرا می بايست از دستور hostname  استفاده نمائيم و نتايجی که نمايش داده می شود ، بيانگر چه واقعيتی است ؟ با توجه به اين که hostname به يک آدرس IP ترجمه شده است ، با استفاده از دستور فوق ، می توان از صحت آدرس IP مرتبط با نام ، اطمينان حاصل نمود .
از دستور hostname بر روی سيستم هائی که بر روی آنان سيستم عامل يونيکس و يا لينوکس نصب شده است نيز استفاده می گردد . با توجه به نوع سيستم عامل ، نحوه پيکربندی و پارامترهای استفاده شده ، اجرای اين دستور نتايج متفاوتی را بدنبال خواهد داشت. در سيستم های عامل ويندوز NT/2000/XP  ، دستور فوق نام host را نمايش خواهد داد .

در بخش دوم به بررسی دستور ipconfig خواهيم پرداخت .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:31 AM |


مرحله سوم : فعال شدن برنامه اوليه بوتينگ (
Boot loader phase )
پس از اين كه كنترل به NTLDR واگذار گرديد ، وی فرآيند استقرار سيستم عامل ويندوز 2000 و يا XP را آغاز می نمايد :

·         تغيير حالت حافظه از Real به 32 بيت  : پردازنده های اوليه  x86 ،  هشت و  يا شانزده بيتی و با  توانائی آدرس دهی محدودی بودند.  پردازنده های جديد و سازگار X86 ، همچنان دراين mode  و به منظور سازگاری با مدل های قديمی عمليات خود را آغاز می نمايند ،  ولی قادر به آدرس دهی حافطه بيشتری می باشند . اولين چيزی كه XP انجام خواهد داد ، سوئيچ از  Real mode  به Protect Mode  می باشد ( افزايش ميزان فضای آدرس دهی حافظه ) .

·          استقرار  فايل Boot.ini  در حافظه : Boot.ini  ،‌ يك فايل مقداردهی اوليه است كه در نسخه های ويندوز NT ، 2000 و XP از آن استفاده می گردد . اين فايل همواره در فهرست ريشه هارد ديسك primary وجود دارد . با استفاده از فايل فوق آدرس هر يك از  سيستم های عامل نصب شده بر روی كامپيوتر و سيستم عامل پيش فرض مشخص می گردد . در زمان راه اندازی‌ سيستم ، كاربران می توانند از طريق منوی مربوطه يكی از سيستم های عامل نصب شده  بر روی‌ سيستم خود را برای استقرار در حافظه انتخاب نمايند . كد زير محتويات يك فايل نمونه boot.ini را نشان می دهد :
 

[boot loader]
timeout=10
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect

·        
همانگونه كه مشاهده می گردد ، فايل Boot.ini از  دو بخش  boot Loader و operationg system ، تشكيل شده است .  در بخش اول با استفاده از پارامتر timeout  ، مدت زمان نمايش منو راه اندازی سيستم و با استفاده از پارامتر default ، سيستم عامل پيش فرض به منظور راه اندازی سيستم مشخص شده است . سيستم عامل مورد نظر (‌ Windows 2000 Professional ) در دايركتوری WINNT موجود و بر روی پارتيشن اول هارد ديسك شمار صفر نصب شده است .
در صورتی كه چندين سيستم عامل بر روی كامپيوتر نصب شده باشد ، آدرس هر يك از آنان در بخش دوم ( operating system ) مشخص می گردد .

·         نمايش منو انتخاب سيستم عامل :‌  در صورتی كه چندين سيستم عامل بر روی كامپيوتر نصب شده باشد ، در زمان راه اندازی سيستم  يك منو  نمايش داده می شود  كه كاربران می توانند از طريق آن سيستم عامل مورد نظر جهت استقرار در حافظه را انتخاب نمايند. در صورتی كه پس از گذشت مدت زمان مشخص شده توسط پارامتر timeout ، گزينه ای انتخاب نگردد ، سيستم عامل پيش فرض ( مشخص شده توسط پارامتر default )  به صورت اتوماتيك انتخاب و در حافظه مستقر خواهد شد .  كد زير محتويات  فايل Boot.ini   كامپيوتری را كه بر روی آن سه نوع سيستم عامل متفاوت نصب شده است را نشان می دهد :

[boot loader]
timeout=10
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows 2000 Advanced Server" /fastdetect
C:\="Microsoft Windows"

 

·         فعال كردن درايور SCSI در صورت نياز : در صورتی كه هارد ديسك تعريف شده در فايل Boot.ini از نوع SCSI باشد ، در ادامه NTLDR يك درايو اضافه ديگر با نام   NTboot.sys  را فعال تا مسئوليت مقداردهی اوليه و گفتگو  با كنترل كننده SCSI را برعهده گيرد .

مرحله چهارم : تشخيص و پيكربندی سخت افزارهای نصب شده ( Hardware detect and configure )
پس از استقرار NTLDR در حافظه ، فايل NtDetect.com از فهرست ريشه پارتيشن مربوطه در حافظه مستقر و اجراء می گردد . در ويندوز  NT و 2000 پيامی با اين مفهوم  كه سيستم در حال بررسی سخت افزار است، نمايش داده می شود (  NT Detect: checking hardware  )  . برنامه فوق بررسی اوليه سخت افزارهائی نظير موس ، صفحه كليد ، آداپتورهای كارت گرافيك و دسيك ها را انجام داده و در ادامه جزئيات مربوطه را در اختيار NTLDR قرار می دهد.
در ادامه ، hardware extraction layer در حافظه مستقر خواهد شد  ( قبل از استقرار فايل NtosKernel.exe موجود در فهرست systemroot\system32  و سپردن كنترل به وی ) .

مرحله  پنجم :استقرار هسته سيستم عامل در حافظه ( Kernal load )
در اين مرحله هسته سيستم عامل در حافظه مستقر و عمليات زير را انجام خواهد داد :  

·          ntoskernel.exe ، فايل systemroot\system32\config\system  را در حافظه مستقر و كليد ريجستری زير را ايجاد و اطلاعات مرتبط با آن خوانده می شود . كليد ريجستری زير دارای زير كليد های متعددی نظير Last Know Good , Failed و Default  می باشد كه در ادامه فرآيند booting  مقادير يكی از كليد ها می تواند  انتخاب گردد  .

HKEY_LOCAL_MACHINE\SYSTEM

·         هسته در ادامه با استفاده از اطلاعات برگردانده شده توسط NtDetect ، كليد ريجستری زير را كه شامل جرئيات اطلاعات مربوط به سخت افزارهای مختلف و منابع تخصيص داده شده است را ايجاد می نمايد  . همزمان با  استقرار هسته سيستم عامل  در حافظه ، پيشرفت عمليات در انتهای صفحه نمايش داده می شود.

HKEY_LOCAL_MACHINE\HARDWARE

·         در ادامه و در صورت ضرورت،‌ سرويس های متفاوت سيستم كه در كليد ريجستری زير  مشخص می گردند فعاليت خود را آغاز می نمايند .

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicename

·         پس از انجام مراحل فوق ،  هسته سيستم عامل فايل smss.exe را مقداردهی اوليه می نمايد . فايل فوق ،  مسئوليت نسبت دهی متغيرهای محيطی ، سوئيچ از حالت متن به گرافيك و اجرای فايل winlogon.exe   را برعهده دارد  .

مرحله ششم :‌ورود به سيستم ( Logon
در آخرين مرحله ، ( ‌ services subsystem (SCM  و ( local security authority (LSA  فعال و سيستم در انتظار فشردن كليدهای CTRL+ALT+DEL  می ماند . پس از  فعال  شدن كليدهای فوق و درج نام و رمز عبور ،‌ اطلاعات دريافتی به منظور تائيد در اختيار  LSA قرار داده می شوند. در صورت تائيد كاربر ، SCM اقدام به فعال كردن درايورها در حين اجرای winlogin می نمايد .
پس از انجام موفقيت آميز login ، مقادیر موجود در كليد دريحستری Last Known Good بهنگام  می گردند .

اشکال زدائی کارت شبکه ( بخش اول )

کارت شبکه ، يکی از مهمترين عناصر سخت افزاری در زمان پياده سازی يک شبکه کامپيوتری است  که امکان ارتباط يک کامپيوتر با محيط انتقال را فراهم می نمايد . پس از نصب فيزيکی کارت شبکه ، ممکن است به دلايل متعددی امکان استفاده عملياتی از آن وجود نداشته باشد :

  • وجود اشکال در سخت افزار کارت شبکه و يا کامپيوتری که کارت شبکه بر روی آن نصب شده است  .
  • وجود اشکال در کابلی که کارت شبکه را به هاب و يا سوئيچ متصل می نمايد .
  • هاب و يا سوئيچ دارای مشکلات مربوط به خود باشند .

اشکال زدائی يک کارت شبکه ممکن است صرفا" در حد و اندازه اعمال تغييراتی در خصوص پيکربندی آن باشد . در برخی موارد ، به منظور عيب يابی و رفع اشکال موجود ، می بايست تمامی موارد اشاره شده را بررسی نمود. در صورتی که از سيستم عامل ويندوز استفاده می گردد ، می توان لاگ سيستم را از طريق  Event Viewer مشاهده نمود . در فايل فوق تمامی خطاهای زمان راه اندازی سيستم ثبت می شود . پس از بررسی لاگ سيستم ، ممکن است مشکل موجود مربوط به پيکربندی يک نرم افزار خاص باشد .
در زمان نصب کارت شبکه بر روی يک ايستگاه ، می بايست در ابتدا به مستندات ارائه شده همراه کارت شبکه مراجعه نمود تا مشخص گردد که چه مقاديری را می بايست برای IRQ و آدرس پورت I/O  در نظر گرفت . در چنين مواردی لازم است که مستندات ساير دستگاه های نصب شده بر روی سيستم نيز مطالعه گردد. چراکه ممکن است اشکال موجود مربوط به conflict بين برخی تنظيمات انجام شده درخصوص ساير دستگاه های موجود بر روی سيستم باشد . ( برای رفع اشکال ، می بايست تنظيمات و پيکربندی ساير دستگاه ها را تغيير داد ) .
در صورتی که تمامی کارت های نصب شده بر روی يک سيسنم از نوع plug&play باشند ، می توان اين اطمينان را داشت که يک IRQ و يا آدرس حافظه باعث بروز conflict در سيستم نشده است . در چنين مواردی به منظور عيب يابی و رفع اشکال موجود ، می بايست امکاناتی ديگر نظير کابل ، هاب و سوئيچ را بررسی نمود .

بررسی LEDs : چراغ های مربوط به فعاليت و لينک
تمامی کارت های شبکه دارای يک و يا چندين LED به منظور نمايش وضعيت عملکرد کارت شبکه در هر لحظه می باشند . برای آگاهی از عملکرد هر يک از LED های موجود، می بايست به مستندات کارت شبکه مراجعه نمود . مثلا" برخی کارت های شبکه دارای يک LED به منظور نمايش وضعيت لينک ارتباطی می باشند . در اغلب موارد در صورتی که LED فوق روشن باشد ، اشکالی در لينک ارتباطی وجود نداشته و  در مواردی که  LED در وضعيت flashing باشد ، نشاندهنده وجود اشکال در لينک ارتباطی است (نظير مشکل در کابل ارتباطی و يا کانکتورها ) .
کارت های شبکه عموما" دارای  يک LED ديگر به منظور نمايش وضعيت فعاليت شبکه می باشند . مثلا" در مواردی که LED فوق در وضعيت چشمک زن ( blinking ) باشد ، نشاندهنده ارسال و يا دريافت داده توسط کارت شبکه است .با توجه به اين که استانداردهای متفاوتی ممکن است در اين رابطه استفاده شده باشد ، می بايست به منطور آشنائی با عملکرد هر LED به مستندات کارت شبکه مراجعه نمود .اکثر سوئيچ ها و هاب ها نيز دارای يک LED به منظور نمايش وضعيت لينک ارتباطی با دستگاه موجود در شبکه می باشند ، بنابراين در صورت بروز اشکال می توان وضعيت اين LED را نيز بررسی نمود .
در صورت اطمينان از وجود اشکال در لينک ارتباطی ، می توان مراحل زير را به منظور رفع اشکال دنبال نمود :

·         بررسی تمامی کانکتورها به منظور حصول اطمينان از اتصال درست آنان در سوکت مربوطه

·         اطمينان از تنظيم صحيح کارت شبکه و  پورت سوئيچ و يا هاب برای نوع يکسانی از لينک ارتباطی . ( مثلا" يک طرف بر روی سرعت 100Mbps و سمت ديگر بر روی سرعت 10Mbps تنظيم شده باشد و يا ممکن است سوئيچ در حالت full duplex تنظيم شده باشد در حالی که اين وضعيت در رابطه با کارت شبکه اعمال نشده است ) .

·         در صورتی که کارت شبکه ويژگی auto-negotiation را حمايت می نمايد ، سعی نمائيد ويژگی فوق را بر روی هاب و يا سوئيچ فعال و يا غير فعال نمائيد . در برخی موارد عليرغم اين که در مستندات ارائه شده همراه سوئيچ و يا هاب اعلام می شود که آنان دارای ويژگی auto-negotiation می باشند، ولی عملا" ممکن است دارای عملکرد صحيحی در اين رابطه نباشند . در چنين مواردی می بايست به صورت دستی اقدام به تنظيم و پيکربندی مناسب پورت هاب و يا سوئيچ نمود.

·         استفاده از پورت ديگری بر روی سوئيچ و يا هاب 

·         استفاده از يک کابل ديگر که نسبت به صحت عملکرد آن اطمينان داريد .

·         نصب مجدد کارت شبکه در اسلات مربوطه 

·         تغيير اسلاتی که کارت شبکه بر روی آن نصب شده است.

·         بررسی تنظيمات BIOS کامپيوتر . در اين رابطه لازم است که مستندات ارائه شده همراه کامپيوتر بررسی گردد تا مشخص شود که آيا می بايست برای آداپتورهای قديمی PCI اقدام به رزو نمودن IRQ نمود تا آنان از IRQ مشابهی استفاده ننمايند . در برخی از کامپيوترها می توان يک اسلات PCI را با استفاده از برنامه BIOS فعال و يا غيرفعال نمود . ( در صورت حمايت BIOS ) .

·         استفاده از يک کارت شبکه سالم تا مشخص گردد که آيا مشکل لينک ارتباطی همچنان وجود دارد .

در صورتی که پس از بررسی موارد اشاره شده همچنان مشکل وجود داشته باشد ، کارت شبکه را بر روی يک سيستم که نسبت به عملکرد صحيح آن اطمينان وجود دارد ، نصب نمائيد . در صورتی که کارت شبکه وظايف خود را بر روی سيستم جديد به درستی انجام می دهد ، مشخص خواهد شد  که مشکل مربوط به کارت شبکه نبوده و ممکن است سيستم دارای يک مشکل سخت افزاری و يا نرم افزاری  باشد .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:24 AM |

مبانی اشكال زدائی شبكه
وابستگی به منابع شبكه در ساليان اخير بطرز چشمگيری افزايش يافته است . در دنيای امروز ، موفقيت يك سازمان با قابليت در دسترس بودن شبكه آن گره خورده است . بديهی است كه در چنين مواردی توان تحمل سازمان ها در زمان بروز يك مشكل در شبكه و انجام عادی فعاليت های روزمره  بطرز محسوسی كاهش می يابد .  همين موضوع باعث شده است كه  اشكال زدائی شبكه به عنوان يكی از عناصر حياتی و تعيين كننده در اكثر سازمان ها مورد توجه جدی قرار بگيرد .
علاوه بر اين كه وابستگی به منابع شبكه رشد چشمگيری را داشته است ، اين صنعت بسرعت به سمت محيط های پيچيده نظير استفاده از چندين نوع رسانه انتقال داده ، چندين پروتكل و ضرورت ارتباط با شبكه های ناشناخته نيز حركت می كند . اين نوع شبكه های ناشناخته ممكن است يك شبكه گذرا متعلق به يك مركز ارائه دهنده سرويس های اينترنت ( ISP ) و يا يك شركت مخابراتی باشند كه شبكه های خصوصی را به يكديگر متصل می نمايند . همگرائی صوت و تصوير درون شبكه های داده نيز پيچيدگی بيشتری را به دنبال داشته است و اهميت اعتماد پذيری به شبكه را بيش از هر زمان ديگر مهم نموده است .
وجود محيط های شبكه ای پيچيده بدين معنی است كه مسائل مربوط به ارتباطات و حفط حداقل كارآئی در ارتباطات بين شبكه ای بشدت رشد و در برخی موارد يافتن منبع بروز مشكل سخت و اغفال كننده است .

علائم ، مسائل و راه حل ها
بروز اشكال در ارتباطات شبكه ای با آشكار شدن مجموعه ای از علائم و يا نشانه ها قابل شناسائی و تشخيص است . اين نوع علائم ممكن است عمومی ( عدم توانائی سرويس گيرندگان جهت ارتباط با يك سرويس دهنده خاص در شبكه ) و يا خيلی خاص ( عدم وجود مسيرها در يك جدول روتينگ ) باشند . پس از آشكار شدن علائم اوليه ، با استفاده از ابزارها و روش های خاص اشكال زدائی  می توان عامل و يا عوامل تاثيرگذار در بروز مشكلات را شناسائی نمود .شناسائی نشانه های اوليه بروز يك مشكل يكی از مهمترين مراحل در فرآيند اشكال زدائی است ، چراكه با تشخيص درست می توان راه حلی مشتمل بر مجموعه ای از عمليات را پياده سازی نمود ( نظير تشخيص درست بيماری توسط پزشك و ارائه يك طرح درمان مناسب  ) .
استفاده از يك زيرساخت علمی مناسب ،‌ احتمال موفقيت در اشكال زدائی شبكه را بطرز كاملا" محسوسی افزايش می دهد  . شناسائی علائم اوليه ، تعريف فرضيات ، تشخيص دقيق مشكل و پياده سازی يك راه حل مناسب از جمله عناصر كليدی در ايجاد يك زيرساخت علمی مناسب به منظور اشكال زدائی شبكه می باشند . 

مدل حل مشكلات
اعتقاد و تبعيت از يك رويكرد سيستماتيك بهترين گزينه موجود به منظور اشكال زدائی است . استفاده از يك رويكرد غيرسيستماتيك صرفا" باعث از دست دادن منابع ارزشمندی همچون زمان و ساير منابع می گردد و در برخی موارد حتی می تواند باعث وخيم تر شدن اوضاع گردد . 
برای اشكال زدائی شبكه در اولين مرحله می بايست پس از مشاهده و بررسی علائم اوليه اقدام به تعريف فرضيات نمود . در ادامه ، می بايست تمامی مسائلی كه دارای استعداد لازم جهت ايجاد فرضيات می باشند را شناسائی نمود . در نهايت و با استفاده از يك رويكرد كاملا" سيستماتيك می بايست هر عامل احتمالی تاثيرگذار در بروز مشكل بررسی تا در صورت عدم داشتن نقش موثر در بروز مشكل آن را از ليست فرضيات حذف نمود .  در چنين مواردی همواره می بايست از فرضياتی كه دارای احتمال بيشتری می باشند كار را شروع و بتدريج به سمت فرضياتی با احتمال كمتر حركت نمود . 
فرآيند زير نحوه حل مسائل را صرفنظر از نوع محيط عملياتی تشريح می نمايد :

·         مرحله اول : تعريف دقيق و شفاف مشكل ايجاد شده پس از آناليز وضعيت موجود  . پس از بروز يك مشكل و آناليز وضعيت موجود ، می بايست مسئله را به صورت مجموعه ای از فرضيات تعريف نمود .  پس از تهيه فرضيات كلی ، می بايست مشخص شود كه چه نوع مشكل و يا مورد احتمالی می تواند دارای سهمی در يك فرضيه داشته باشد . به عنوان نمونه ، در صورتی كه يك هاست نمی تواند به سرويس درخواستی سرويس گيرندگان پاسخ دهد ، عدم پيكربندی صحيح هاست ، وجود مشكل برای كارت اينترفيس شبكه و يا عدم پيكربندی مناسب روتر می تواند از جمله فرضيات موجود در رابطه با مشكل فوق باشند .

·         مرحله دوم : جمع آوری اطلاعاتی كه به ما در جهت ايزوله كردن مشكل ايجاد شده كمك می نمايد . در اين رابطه لازم است از كاربرانی كه مستقيما" با اين مشكل برخورد داشته اند ، مديران شبكه ، مديران و ساير عناصر كليدی در سازمان سوالات متعددی مطرح گردد . همچنين می بايست  اقدام به جمع آوری اطلاعات از ساير منابع نظير برنامه آناليز پروتكل ها ، خروجی دستورات عيب يابی روتر و يا ساير نرم افزارهای مرتبط نمود .

·         مرحله سوم : بررسی مسائل احتمالی بر اساس حقايق جمع آوری شده . پس از جمع آوری اطلاعات مورد نياز و آناليز آنها می توان برخی از پتانسيل های بروز مشكل را ناديده گرفت و از ليست فرضيات حذف نمود . با توجه به داده جمع آوری شده ممكن است بتوان عوامل سخت افزاری در بروز مشكل را حذف و بر روی نرم افزار متمركز گرديد . فرآيند فوق می بايست بگونه ای باشد كه در هر مرحله و متناسب با داده جمع آوری شده بتوان تعداد پتانسيل های احتمالی بروز يك مشكل را محدود تا امكان تهيه يك طرح موثر به منظور اشكال زدائی فراهم گردد .  

·         مرحله چهارم : آماده كردن يك طرح عمليات ( action plan ) بر اساس ساير پتانسيل های بروز مشكل موجود در ليست فرضيات. از مسائلی كه دارای احتمال بيشتری می باشند می بايست كار را شروع كرد . توجه داشته باشيد كه تغيير صرفا" يك متغير در هر لحظه و حل احتمالی مشكل ، ما را قادر می سازد كه در برخورد با يك مسئله مشابه بتوانيم از راه حل استفاده شده مجددا" استفاده نمائيم چراكه دقيقا" می دانيم چه عاملی بروز مشكل شده است و برای رفع آن چه كاری را انجام داده ايم . در صورتی كه در هر لحظه چندين متغير را تغيير دهيم و مشكل موجود برطرف گردد دقيقا" نمی توانيم متوجه شويم كه چه عاملی باعث بروز مشكل شده است تا بتوانيم به عنوان يك تجربه از آن در آينده استفاده نمائيم . 

·         مرحله پنجم : پياده سازی طرح عمليات  . بدين منظور لازم است كه هر مرحله موجود در طرح عمليات با دقت انجام و تاثير آن در حل مشكل بررسی گردد .

·         مرحله ششم : جمع آوری نتايج پس از انجام هرگونه تغيير در متغيرها . بدين منظور لازم است كه  علاوه بر جمع آوری نتايج هر مرحله از روش های مشابه جمع آوری اطلاعات كه در مرحله دوم به آنها اشاره گرديد نيز استفاده گردد ( جمع آوری اطلاعات از افراد كليدی و ابزارهای عيب يابی ) .

·         مرحله هفتم : آناليز نتايج . در صورتی كه پس از آناليز نتايج مشكل برطرف شده باشد ،‌ فرآيند اشكال زدائی يه اتمام می رسد .

·         مرحله هشتم : استفاده از يك طرح عملياتی ديگر در صورت عدم حل مشكل . در صورتی كه مشكل موجود برطرف نگردد ، می بايست يك طرح عمليات بر اساس مسئله ای كه احتمال بروز آن بيش از سايرين می باشد تهيه و فرآيند را از مرحله چهارم مجددا" تكرار نمود . 

آمادگی لازم در صورت بروز مشكل در شبكه
درصورت وجود آمادگی لازم ، فرآيند حل مشكل و يا خرابی شبكه با سرعت و سادگی بيشتری انجام خواهد شد . داشتن اطلاعات جاری و صحيح در رابطه با شبكه و ارائه آن به كاركنان بخش فنی يكی از مهمترين ملزومات مورد نياز در هر محيط شبكه ای است . توجه داشته باشيد كه صرفا" وجود اطلاعات فنی كامل از وضعيت شبكه موجود است كه باعث تسريع و سادگی بيشتر در فرآيند اشكال زدائی و اتخاذ تصميم مناسب در خصوص انجام تغييرات در شبكه  می گردد .
در زمان انجام فرآيند اشكال زدائی می بايست هرگونه تغييرات مستند شود تا بتوان در صورتی كه اشكال زدائی توام با موفقيت نباشد به سرعت به حالت قبل برگشت .
برای تشخيص ميزان آمادگی در جهت اشكال زدائی شبكه به سوالات زير پاسخ دهيد :

·          آيا يك لی اوت فيزيكی و منطقی صحيح از شبكه موجود را در اختيار داريد ؟

·         آيا سازمان و يا دپارتمان شما دارای نقشه ارتباطات شبكه ای و بهنگام شده می باشد كه در آن مكان فيزيكی تمامی دستگاه های شبكه ای و نحوه ارتباط آنها با يكديگر مشخص شده است ؟ آيا يك نقشه منطقی از آدرس های شبكه ، شماره های شبكه و زير شبكه ها موجود می باشد ؟

·          آيا  ليست تمامی پروتكل های پياده سازی شده در شبكه موجود است ؟ آيا برای هر پروتكل پياده سازی شده ، پيكربندی صحيح و بهنگام روتر در دسترس می باشد ؟

·         آيا اطلاعات مربوط به اين كه كدام پروتكل روت می شود موجود است ؟ 

·         آيا اطلاعات مربوط به  تمامی نقاط تماس با شبكه های خارجی در دسترس می باشد ؟  آيا مشخص است كه برای هر اتصال شبكه از چه پروتكلی استفاده شده است ؟

·         آيا سازمان شما رفتار طبيعی  و كارآئی شبكه را در مقاطع زمانی خاص مستند نموده است تا بتوان در صرورت بروز يك رفتار غيرطبيعی در شبكه آنها را با يكديگر مقايسه نمود ؟

·         و ...

در صورتی كه پاسخ به تمامی سوالات فوق مثبت است ، شما قادر به حل مشكل با سرعت و سادگی بيشتری خواهيد بود .
پس از حل هر مشكل می بايست آن را به همراه راه حلی كه منجر به برطرف شدن مشكل شده است مستند نمود . بدين ترتيب ، يك بانك اطلاعاتی پرسش و پاسخ به مرور زمان تهيه خواهد شد كه ساير افراد موجود در سازمان در صورت مواجهه با مسائل مشابه می توانند از آن استفاده نمايند . اين كار علاوه بر اين كه كاهش زمان اشكال زدائی را به دنبال خواهد داشت ، هزينه های بمراتب كمتری را متوجه سازمان شما خواهد كرد

اشكال زدائی شبكه : يك رويكرد ساختيافته
در صورت بروز مشكل در شبكه و به منظور اشكال زدائی آن از چه روش و يا روش هائی استفاده می نمائيد ؟  برای حل هر مشكل ، قطعا" می توان يك راه حل مناسب را پيدا نمود ولی مهم استفاده از روشی است كه در كوتاهترين زمان و با صرف كمترين هزينه مشكل را برطرف نمايد .
به منظور اشكال زدائی شبكه های مبتنی بر پروتكل TCP/IP ، می بايست شناخت مناسبی نسبت به اين پروتكل وجود داشته باشد . پروتكل ، در حقيقت مجموعه ای از مراحل به منظور ارسال بيت ها در شبكه را مشخص می نمايد . TCP/IP ، پروتكلی ‌است با چهار لايه و چندين پروتكل در هر لايه .

رويكرد سنتی
به منظور اشكال زدائی شبكه از روش های مختلفی استفاده می گردد . دنبال نمودن مجموعه ای از مراحل  كاملا" مشخص و بررسی سيستماتيك نتايج هر يك از مراحل ، يكی از روش های متداول در اين زمينه است .

·         استفاده از  دستور ipconfig به منظور مشاهده آدرس های IP ، Subnet mask و Gateway و اطمينان  از صحت آنها

·         استفاده از دستور ping 127.0.0.1 به منظور حصول اطمينان از صحت عملكرد كارت شبكه

·         Ping نمودن آدرس IP كامپيوتر به منظور حصول اطمينان از صحت تنظيمات و پيكربندی پروتكل TCP/IP

·         ping نمودن آدرس IP ساير كامپيوترهای موجود در Subnet مشابه

·         Ping نمودن آدرس Gateway پيش فرض

·         Ping نمودن آدرس IP  كامپيوتر موجود در Subnet ديگر

در روش فوق ، شعاع ميدان عملياتی به منظور اشكال زدائی بتدريج افزايش خواهد يافت . به عنوان نمونه در ابتدا فرض خواهد شد كه مشكل ايجاد شده مربوط به كامپيوتر كاربر است . در صورت عدم صحت فرضيه فوق ، بر روی شبكه ای متمركز خواهيم شد كه كاربر مورد نظر عضوی از آن است . در صورتی كه مشكل همچنان وجود داشته باشد ، پا را فراتر گذاشته و بر روی‌ ساير شبكه ها متمركز خواهيم شد .
روش فوق در زمانی كه واقعيتی با نام اينترنت وجود نداشت و يا استفاده از DNS برای حل مشكل نام متداول نشده بود و فايروال ها و VPNs به عنوان يك حقيقت انكار ناپذير در حيات اكثر شبكه های سازمانی مورد توجه قرار نگرفته بودند ،‌ در ابعاد گسترده ای استفاده می گرديد ( همچنان نيز مورد توجه است ) .
فرض كنيد يكی از كاربران طی تماس با بخش پشتيبانی شبكه ، عبارت زير را بيان و  درخواست كمك نمايد .

 من نمی توانم هم اينك به سرور ( server ) متصل شوم .

بد نيست عبارت فوق را آناليز و تمامی احتمالات ممكن را بررسی نمائيم . 

من نمی توانم ...
آيا تنها كاربری است كه اين مشكل خاص را در شبكه گزارش می نمايد ؟ آيا ساير كاربران شبكه نيز چنين مشكلی را گزارش نموده اند ؟ در صورتی كه مشكل فوق توسط تعداد زيادی از كاربران شبكه گزارش شده است ، نمی توان از روش اشاره شده به منظور تشخيص و حل مشكل استفاده نمود . مشكل ، كامپيوتر كاربر نيست بلكه اشكال چيز ديگری است . به عنوان نمونه ممكن است سرويس دهنده DNS دچار مشكل و يا offline  شده باشد و يا شايد يك روتر در شبكه داخلی دچار مشكل شده باشد و يا سرويس دهنده ای كه كاربران قصد اتصال به آن را دارند مشكل سخت افزاری پيدا كرده است .
آيا می توان بين تمامی كاربرانی كه برای آنان يك مشكل خاص ايجاد شده است ، رابطه ای  منطقی پيدا نمود ؟ به عنوان نمونه ، آيا تمامی ماشين های آنان بر روی يك subnet قرار دارد ؟ آيا gateway پيش فرض برای subnet مورد نظر به درستی پيكربندی شده است ؟ آيا روتر دچار مشكل شده است ؟ شايد كابلی كه دپارتمان مورد نظر را به ستون فقرات اصلی شبكه وصل می نمايد ، قطع شده باشد . شايد يك سرويس دهنده DHCP غيرواقعی در subnet مورد نظر نصب و به كاربران ( پس از اتمام مدت زمان  IP نسبت داده شده توسط DHCP واقعی) ، يك آدرس IP تقلبی و غيرقابل روت نسبت می دهد .
در صورتی كه مشكل گزارش شده مربوط به يك كاربر باشد ، می توان از روش اشاره شده استفاده و كار اشكال زدائی را با طرح سوالات مورد نظر آغاز نمود . 

... متصل شوم .
در چنين مواردی بد نيست كه با صراحت از كاربر سوال شود كه منظور وی از "متصل شدن " چيست ؟ در برخی موارد ، كاربران از واژه فوق در جايگاه خود به درستی استفاده نمی نمايند . در شبكه از واژه اتصال در موارد متعددی استفاده می گردد .  TCP Session ، ارتباطات   MAC level ، تائيديه رمزعبور ، حقوق دستيابی و مجوزها ، اتصالات عبور يافته از NAT ، عبور از فايروال ها ، Application Session level و ... نمونه هائی در اين زمينه می باشند .
كاربران دارای چه نوع مشكلی ارتباطی می باشند ؟ كاربران پس از اتصال به سرور چه عملياتی را می خواهند انجام دهند ؟ آيا آنها قصد دستيابی و استفاده از يك منبع مشترك بر روی سرور را دارند ؟ آيا كاربران با پيامی نظير  "Access denied"  مواجه می شوند ؟ آيا از كاربران به منظور اتصال به سرور درخواست نام و رمزعبور می گردد ؟ آيا كاربران در يافتن منابع به اشتراك گذاشته شده در اكتيو دايركتوری دچار مشكل شده اند ؟ آيا كاربران با يك map drive مشكل دارند و سوالات فراوان ديگری .
تمامی سوالات فوق زمانی مطرح می گردد كه يك كاربر قصد اتصال به يك سرور را داشته باشد . اين مشكل می تواند جهت اتصال به  ساير سرورها و يا ساير كاربران نيز وجود داشته باشد . تعيين دقيق مختصات مسئله ايجاد شده بسيار حائز اهميت است . آيا مشكل ايجاد شده صرفا" در يك مورد خاص خود را نشان داده است و  يا در موارد ديگری نيز مشكل وجود دارد.

 ... به سرور ....
شما دارای كاربر و سرويس دهنده ای  در شبكه هستيد كه عليرغم وجود يك شبكه ارتباطی ، امكان ارتباط بين آنها وجود ندارد . علت چيست ؟ آيا سرور و كاربر عضوء‌يك    subnet  مشابه هستند و يا در يك دپارتمان ، subnet ، طبقه و يا ساختمان ديگر مستقر شده اند ؟ كاربر با استفاده از چه نوع لينك ارتباطی به سرور متصل شده است ؟ يك كابل و از طريق LAN ، يك لينك بی سيم WLAN ، يك خط T1 ، يك لينك Frame Relay ، يك ارتباط  VPN ، يك ارتباط ازطريق مودم كابلی و يا خطوط DSL ؟
در ابتدا لازم است نوع لينك ارتباطی بين كاربر و سرور دقيقا" مشخص گردد و در ادامه با توجه به ماهيت لينك ارتباطی ، بررسی لازم در خصوص عدم امكان برقراری ارتباط ، انجام پذيرد . شايد CSU/DSU  شل شده باشد  و يا به علت تميز كردن اطاق سرورها ، برخی كابل ها قطع و باعث خاموش شدن يك سوئيچ اترنت شده است . شايد محل سرور در مكان ديگری است و در آن مكان يك خاموشی غيرقابل پيش بينی اتفاق افتاده باشد .
به هر حال لازم است به دقت مشخص گردد كه مشكل برقراری ارتباط صرفا" در خصوص يك سرور است و يا ساير سرورها نيز دارای مشكل می باشند . چه نوع ارتباط منطقی بين تمامی سرورها وجود دارد ؟ آيا  كاربران ديگر از لحاظ ارتباط با ساير سرورها  نيز دارای مشكل می باشند ؟ 

 ... هم اينك ...
عنصر زمان در اشكال زدائی بسيار تعيين كننده و مهم است . آيا مشكل تازه ايجاد شده است ؟ آخرين مرتبه ای كه كاربران بطور موفقيت آميز به سرور متصل شده اند ، چه زمانی بوده است  ؟ از آن زمان تاكنون چه اتفاق خاصی افتاده است ؟ آيا مشكل دائمی است و يا به صورت كاملا" تصادفی خود را نشان می دهد ؟
پارامتر زمان يك عامل تعيين كننده به منظور تشخيص مشكل ارتباطی با ساير رويدادهائی است كه ممكن است شبكه را تحت تاثير قرار داده باشند . آيا مشكل ايجاد شده در يك ساعت خاص خود را نشان می دهد ؟ در آن زمان خاص چه اتفاق ديگری در شبكه افتاده است ؟ 
با بررسی نمونه پرسش های فوق و يافتن پاسخ مناسب برای هر يك از آنها ، می توان ارتباط احتمالی مشكل ايجاد شده با ساير مسائل موجود را تشخيص و يا حداقل رديابی نمود . 

رويكرد ساختيافته
در اين روش به منظور اشكال زدائی شبكه های مبتنی بر پروتكل TCP/IP می بايست بر روی‌ سه محور اساسی زير متمركز گرديد :

محور اول : مشخص كردن عناصری كه باعث بروز مشكل شده اند

·         سرويس گيرندگان : سرويس گيرنده و يا سرويس گيرندگانی كه عملا" دچار مشكل شده اند و امكان استفاده از منابع موجود در شبكه را ندارند .

·         سرويس دهندگان ، چاپگرها و ساير منابع شبكه نظير اينترنت كه سرويس گيرندگان با آنها مشكل دارند .

·         شبكه موجود : كابل ها ( در صورتی كه بی سيم نباشد ) ، هاب ها ، سوئيچ ها ، روترها ، فايروال ها ، و ساير عناصر موجود در زيرساخت شبكه بين سرويس گيرندگان و سرويس دهندگان

·         شرايط محيطی : شرايط خارجی  نظير قطع جريان برق ، تعمير و  نگهداری ساختمان و  ساير مواردی كه ممكن است سرويس دهی شبكه را تحت تاثير قرار دهد .

·         محدوده بروز مشكل : چه تعداد از سرويس گيرندگان و يا سرويس دهندگان دارای مشكل هستند .

·         محدوده زمانی بروز مشكل  : مشكل ايجاد شده در چه مقطع و يا مقاطع زمانی ايجاد می شود . ماهيت آن به چه صورت است : هميشگی ، تصادفی و يا بندرت

·         نوع مشكل ارتباط‍ی : در كدام لايه امكان برقراری ارتباط وجود ندارد : لايه فيزيكی ، شبكه ، حمل و يا application ، تائيد و يا كنترل دستيابی و ...

·         بررسی لاگ ها و خطاها : مشاهده و بررسی پيام های خطاء بر روی ماشين های سرويس گيرنده ، جعبه های login و ...

محور دوم :  مشخص كردن مراحل اشكال زدائی

·         بررسی محيط انتقال فيزيكی برای سرويس گيرندگان و سرويس دهندگان و سخت افزار استفاده شده در  زيرساخت شبكه . بدين منظور ، می بايست كابل ها و آداپتورهای شبكه بررسی‌ و نسبت به نصب و عملكرد صحيح آنها اطمينان حاصل نمود . 

·         برسی پيكربندی TCP/IP سرويس گيرندگان ، سرويس دهندگان و ساير سخت افزارهائی كه از آنها در زيرساخت شبكه استفاده می گردد . بر روی سرويس گيرنده و سرويس دهنده ، می بايست آدرس های IP ، sunbet ، تنظيمات Default Gateway ، سرويس دهنده DNS و ... بررسی گردند.

·         بررسی ارتباط روتينگ بين سرويس گيرندگان و سرويس دهندگان . بدين منظور می توان از دستوراتی نظير  Ping , Pathping , tracert و ساير ابزارهای مشابه به منظور بررسی صحت ارتباط end-to-end TCP/IP در سطح شبكه ، استفاده از packet sniffing به منظور مانيتورينگ session لايه transport ، استفاده از nslookup و telnet و ساير ابزارها به منظور اشكال زدائی لايه application نظير مسائل name resolution ، مسائل تائيديه و ... استفاده نمود .

محور سوم : درك مناسب ، طرح پرسش  و تست   

·         به منظور تسريع در امر اشكال زدائی و گرفتار نشدن در سيكل های بسته ، می بايست علاقه مندان با نحوه عملكرد پروتكل ها به خوبی آشنا شوند  . اشكال زدائی موفقيت آميز  TCP/IP به درك و شناخت مناسب از نحوه كاركرد اين پروتكل و ابزارهای اشكال زدائی بستگی دارد.
 

·         نوع پرسش و نحوه پاسخ به آن ، نحوه ذخيره سازی و ايجاد ارتباط بين اطلاعات دريافتی با اطلاعات ذخيره شده ، يكی از اركان مهم در موفقيت اشكال زدائی شبكه محسوب می گردد . اشكال زدائی ،‌ هنری است ارزشمند كه موفقيت آن به استفاده مناسب از منطق و  بصيرت بستگی دارد . 
 

·         در نهايت ، به منظور محدود نمودن شعاع عمليات اشكال زدائی ، می بايست همه چيز را تست نمود. بدين منظور ، می توان از نرم افزارهای متنوع اشكال زدائی استفاده نمود .

هيچ چيز در زندگی با ارزش تر از
حل يك مسئله سخت
و
كسب يك تجربه موفقيت آميز نمی باشد.

 

اشكال زدائی ويندوز 2000 و XP  ( بخش اول )
سيستم عامل مهمترين نرم افزار در يك كامپيوتر است كه مسئوليت مهم و حياتی مديريت منابع سخت افزاری و نرم افزاری در يك سيستم كامپيوتری را برعهده دارد . سيستم عامل ، ميزبان تمامی برنامه های كامپيوتری است و تا زمانی كه به درستی در حافظه مستقر نگردد ، امكان اجرای هيچگونه برنامه ای وجود نخواهد داشت . هر سيستم عامل بر اساس يك فرآيند خاص در حافظه مستقر می گردد . به اين فرآيند  Booting گفته شده  و كاربران كامپيوتر صرفا" پس از اتمام موفقيت آميز اين فرآيند ، قادر به استفاده از منايع موجود بر روی سيستم خود خواهند بود .
در زمان راه اندازی سيستم ممكن است به دلايل متعددی نظير بروز اشكال در سخت افزارها و يا نرم افزارهای نصب شده ، عدم سازگاری درايورها ، وجود اشكال در فايل های سيستم و عدم پيكربندی مناسب آنان ، فرآيند اشاره شده  توام با موفقيت نباشد.
سيستم های عامل ويندوز 2000 و XP نيز از اين قاعده مستثنی نبوده  و ممكن است  كاربران در زمان راه اندازی سيستم با مشكلات متعددی برخورد نمايند . در ادامه با فرآيند استقرار سيستم های عامل فوق  در حافظه آشنا خواهيم شد تا از اين رهگذر بتوانيم دانش خود را ارتقاء و بر مبنای يك روش كاملا" علمی و اصولی با مشكلات مربوطه برخورد نمائيم .

مراحل راه اندازی سيستم 
پس از روشن كردن كامپيوتر عمليات متعددی انجام می گردد تا در نهايت سيستم عامل در حافظه مستقر شود . عمليات فوق را می توان در شش مرحله زير خلاصه نمود :

·         بررسی و تست اوليه سيستم در زمان راه اندازی ( Power-on self test )

·         مقدار دهی و عمليات اوليه سيستم ( Initial start-up phase  )

·         فعال شدن برنامه اوليه بوتينگ ( Boot loader phase  )

·         تشخيص و پيكربندی سخت افزارهای نصب شده ( Hardware detect and configure )

·         استقرار هسته سيستم عامل در حافظه ( Kernal load )

·         ورود به سيستم ( Logon )

 در ادامه به بررسی هر يك از مراحل فوق خواهيم پرداخت.

مرحله اول : بررسی و تست اوليه سيستم در زمان راه اندازی ( Power-on self test )
 پس از روشن كردن كامپيوتر و اطمينان از صحت عملكرد منبع تغذيه به منظور تامين ولتاژ لازم  ، پردازنده فعال و ريجسترهای داخلی سيستم مقداردهی اوليه می گردند . در ادامه به آدرس  0xfffffff0  پرش و دستورات موجود در اين آدرس اجراء خواهند شد.  دستورالعمل های موجود در اين مكان حافظه بخشی از BIOS می باشند . BIOS ( برگرفته از  Basic Input Output System )  مجموعه ای از دستورالعمل ها و رويه ها است كه به عنوان يك واسطه بين سخت افزار و نرم افزار ايفای وظيفه نموده و به نرم افزار اجازه می دهد تا با سخت افزار ارتباط برقرار نمايد . BIOS ، همچنين مجموعه ای از دستورالعمل ها  برای راه اندازی اوليه سيستم را ارائه كه پس از اجرای آنان، كنترل به ساير برنامه های موجود جهت استقرار سيستم عامل در حافظه واگذار می گردد .
در صورت بروز اشكال در اجرای دستورات BIOS ، مراتب از طريق نواختن تعداد محدود و مشخصی beep كه نشاندهنده ماهيت و نوع خطاء می باشد به كاربر اعلام می گردد.  ويژگی فوق به نوع BIOS نصب شده بر روی كامپيوتر بستگی دارد .
در اولين اقدام  ،  سخت افزارهای نصب شده بر روی سيستم بررسی تا از صحت عملكرد آنان اطمينان حاصل گردد . بدين منظور تست های متعددی بر روی سخت افزارهائی نظير حافظه ، فلاپی ديسك ، هارد ديسك و ساير عناصر سخت افزاری ديگر انجام می گردد . فرآيند فوق را POST ( برگرفته از Power-on self test  ) می گويند.
در صورت بروز اشكال در اين مرحله ، مراتب از طريق نواختن تعداد محدود و مشخصی beep كه نشاندهنده ماهيت و نوع خطاء می باشد به كاربر اعلام می گردد. متاسفانه كدهای beep استاندارد نبوده و هر BIOS دارای مجموعه كدهای مختص به خود می‌باشد . بنابراين لازم است به منظور تشخيص اشكال ايجاد شده از نوع BIOS نصب شده بر روی سيستم خود آگاه گرديد . در ادامه به برخی از كدهای beep اشاره می گردد ( با توجه به نوع BIOS ) .

الف ) Beep Code مربوط به AMI BIOS 
در  AMI BIOS از كدهای beep زير استفاده می گردد :

Beep Code

مفهوم

 1 Short

 DRAMS refresh failure.

 2 Short

 Parity circuit failure.

 3 Short

 Base 64k RAM failure.

 4 Short

 System timer failure.

 5 Short

 Process failure.

 6 Short

 Keyboard controller Gate A20 error.

 7 Short

 Virtual mode exception error.

 8 Short

 Display memory Read/Write test failure

 9 Short

 ROM BIOS checksum failure.

 10 Short

 CMOS shutdown Read/Write error.

 11 Short

 Cache Memory error.

 1 Long, 3 Short

 Conventional/Extended memory failure.

 1 Long, 8 Short

 Display/Retrace test failed.

ب ) Beep Code  مربوط به   Award BIOS
Award ، دارای حداقل كد نسبت به ساير توليد كنندگان BIOS است و صرفا" از دو كد  كه مربوط به كارت گرافيك و يا حافظه RAM است ،‌استفاده می نمايند .

Beep Code

مفهوم

 1 Long, 2 Short

 A video error has occurred and the Bios cannot   initialise the video screen to display any additional information.

 Any other beep(s)

 RAM Problem

ج ) Beep Code مربوط به IBM BIOS
در IBM BIOS  از كدهای beep زير استفاده می گردد :

Beep Code

مفهوم

 No Beeps

 No Power, Loose Card, or Short.

 1 Short Beep

 Normal POST, Computer is ok.

 2 Short Beeps

 POST error, review screen for error code.

 Continuous Beeps

 No Power, Loose Card, or Short.

 Repeating Short Beeps

 No Power, Loose Card, or Short.

 1 Long & 1 Short Beeps

 Motherboard issue.

 1 Long & 2 Short Beeps

 Video (Mono/CGA) Display circuitry.

 1 Long & 3 Short Beeps

 Video (EGA) Display circuitry.

 3 Long Beeps

 Keyboard / Keyboard card error.

 1 Beep, Blank or Incorrect Display

 Video Display Circuitry.

د ) Beep Code مربوط به Macintosh
در ماشين های مكينتاش از كدهای beep زير استفاده می گردد :

Beep Code

مفهوم

 Error Tone. (two sets of different tones)

 Problem with logic board or SCSI bus.

 Start-up tone, drive spins, no video.

 Problem with video controller.

 Powers on, no tone.

 Logic board problem.

 High Tone, 4 Higher Tones

 Problem with SIMM.

در صورت عدم بروز خطاء‌ در اين  مرحله ، BIOS  اقدامات لازم به منظور فعال كردن كارت ويدئو را انجام خواهد داد . در اين مرحله كد مورد نياز به منظور فعال كردن ساير دستگاه های متصل به برد اصلی نظير هارد ديسك ها و يا اينترفيس های SCSI اجراء‌ می گردد .

نمايشگر ويدئو و كليدهای دستيابی به Set-up mode
BIOS ، شروع كار خود را با ارائه يك پيام بر روی صفحه نمايشگر اعلام می نمايد .  اطلاعات ارائه شده شامل توليد كننده BIOS  ، شماره نسخه و كليد های دستيابی به  به Setup mode  می باشد . برای فعال كردن Setup mode با توجه به نوع BIOS از كليد های خاصی استفاده می گردد :

BIOS

Key Sequence

AMI

Delete

Award

Delete or Ctr+Alt+Esc

Compaq

F10

Phoenix

F1 or F2

در اين زمان اطلاعات موجود در حافظه CMOS  ( برگرفته از Complementary Metal-Oxide Semiconductor   ) به منظور آگاهی از آخرين وضعيت دستگاه ها و پارامترهای مربوطه بررسی می گردد . CMOS يك نوع حافظه خاص است كه با دارا بودن يك باطری حتی در زمان خاموش بودن كامپيوتر اطلاعات مربوط به پيكربندی سيستم را در خود نگهداری می نمايد . در ادامه چاپگر  و دستگاه های سريال بررسی و فعال می گردند . 

سپردن كنترل به سيستم عامل
BIOS با مراجعه و استفاده از اطلاعات موجود در CMOS ، درايو ( فلاپی ديسك ، هارد ديسك ، لوح فشرده ، ... )  حاوی سيستم عامل را تشخيص و در ادامه اقدام به استقرار  ركورد MBR ( برگرفته از Master Boot Record  )  درون حافظه  ( از آدرس 0x00007c00 ) می نمايد . در نهايت كنترل به برنامه موجود درون MBR كه هم اينك در حافظه مستقر شده است ،  واگذار می گردد ( پايان ماموريت BIOS )  .
در صورتی كه BIOS نتواند ركورد MBR دستگاه مشخص شده در حافظه CMOS برای راه اندازی سيستم  را پيدا نمايد بر روی دستگاه بعدی متمركز می گردد ‌( اولويت دستگاه هائی كه می توان از طريق آنان سيستم را راه اندازی نمود در CMOS ذخيره و از طريق برنامه Setup مربوط به BIOS می توان آنان را تغيير داد ) . عمليات بررسی دستگاه های مشخص شده تا انتهای ليست تعريف شده در CMOS انجام خواهد شد و در صورتی كه هيچيك از دستگاه ها واجد شرايط لازم نباشند ،‌ ( حاوی MBR نمی باشند ) ،‌مراتب از طريق پيام زير با اين مضمون كه "  دستگاهی برای راه اندازی سيستم موجود نمی باشد  " به كاربر اعلام می گردد :

 no boot device is available

گزارش خطاء
پس از اين كه صفحه نمايشگر سيستم فعال و اصطلاحا" وارد مدار گرديد ، از مانيتور برای ارائه گزارش خطاء استفاده می گردد .  اين نوع خطاء ها كه توسط BIOS گزارش می گردند را می توان به هشت گروه متفاوت تقسيم نمود : 

كد

مفهوم

 1xx

 Motherboard error

 2xx

 Main Memory error

 3xx

 Keyboard errors

 5xx

 Colour monitor errors

 6xx

 Floppy controller error

 14xx

 Printer errors

 17xx

 Hard disk controller errors

 86xx

 Mouse controller errors

پس از اتمام مرحله اول راه اندازی سيستم كه به نوعی در اكثر كامپيوترهای شخصی با پردازنده های اينتل و سازگار با آن مشابه می باشد  ،‌مرحله دوم فرآيند راه اندازی سيستم آغاز خواهد شد كه دربخش دوم به بررسی  آن و ساير مراحل ديگر خواهيم پرداخت .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:23 AM |

شبكه   اشكال زدائی

 

اشكال زدائی سرويس دهنده DHCP
هر كامپيوتر و يا دستگاه شبكه ای در شبكه های مبتنی بر پروتكل TCP/IP به منظور ارتباط با يكديگر می بايست دارای يك آدرس IP منحصر بفرد باشند. آدرس IP سرويس دهندگان می بايست ثابت در نظر گرفته شود تا امكان دستيابی به آنها توسط سرويس گيرندگان وجود داشته باشد . بر روی سرويس گيرندگان می توان آدرس IP  را به صورت دستی تنظيم و يا  از امكانات يك سرويس دهنده خاص كه مسئوليت ارائه آدرس IP و ساير اطلاعات مرتبط با پروتكل TCP/IP را برعهده دارد ، استفاده نمود .
DHCP ( برگرفته از  Dynamic Host Configuration Protocol  ) ، سرويس دهنده ای است كه مسئوليت  ارائه خدمات فوق در شبكه را برعهده دارد. اين سرويس دهنده به دلايل متعددی ممكن است نتواند خدمات خود را در اختيار سرويس گيرندگان قرار دهد  و يا به عبارت ديگر،  سرويس گيرندگان قادر به دريافت اطلاعات مربوط به تنظيمات پروتكل TCP/IP از آن نباشند .
در صورتی كه تنظيمات پروتكل TCP/IP كامپيوتر يك كاربر بگونه ای انجام شده است كه وی را ملزم به دريافت آدرس IP ( و ساير اطلاعات لازم نظير آدرس سرويس دهنده DNS و يا آدرس gateway ) از يك سرويس دهنده DHCP می نمايد ولی در عمل چنين اتفاقی نيافتد ، سرويس گيرنده فوق قادر به دريافت يك آدرس IP نخواهد بود . بديهی است كه در چنين مواردی نمی توان اين انتظار را داشت كه چنين كاربرانی بتوانند به منابع موجود بر روی يك شبكه دستيابی داشته باشند .
در ادامه به بررسی مشكلات احتمالی از دو زاويه سرويس دهنده DHCP و سرويس گيرندگان خواهيم پرداخت .

نسبت دهی آدرس نادرست 
يكی از متداولترين مسائل در ارتباط با يك سرويس دهنده DHCP ،‌ نسبت دهی آدرس های IP غيرقابل قبول است . مثلا" فرض كنيد كه در سرويس دهنده DHCP يك حوزه (scope) آدرس در محدوده  IP : 192.168.0.1 تا IP : 192.168.0.50  تعريف شده باشد . با توجه به محدوده فوق ، اين انتظار وجود دارد كه به تمامی سرويس گيرندگان شبكه آدرس هائی در محدوده فوق نسبت داده شود .
فرض كنيد كه يكی از سرويس گيرندگان بر روی شبكه قادر به برقراری ارتباط با سرويس دهنده DHCP نباشد . برای تشخيص اشكال ايجاد شده در اولين مرحله و به منظور كسب اطلاعات لازم در خصوص وضعيت پيكربندی پروتكل TCP/IP بر روی كامپيوتر كاربر از دستور ipconfig/all استفاده می نمائيم و مشاهده می گردد كه در مقابل دريافت يك آدرس از سرويس دهنده DHCP ، به اينترفيس كارت شبكه آن آدرسی نسبت داده شده است كه با   254 . 169 شروع می گردد . احتمالا" برای شما اين سوال مطرح خواهد شد كه چه اتفاقی افتاده است؟در صورتی كه به يك سرويس گيرنده بطور غيره منتظره يك آدرس IP اختصاص داده شده باشد كه با 254 . 169 شروع شده است ، اين موضوع به اثبات خواهد رسيد كه آدرس فوق توسط سرويس دهنده DHCP اختصاص نيافته است  و سرويس گيرنده قادر به برقراری ارتباط با سرويس دهنده DHCP نشده است . در چنين مواردی ، سرويس گيرنده خود اقدام به اختصاص يك آدرس IP با استفاده از يكی از ويژگی های ويندوز موسوم به APIPA ( برگرفته از Automatic Private IP Addressing  ) می نمايد .
شكل زير وضعيت ارتباط سرويس گيرنده با سرويس دهنده DHCP جهت دريافت آدرس IP را نشان می دهد .


عدم امكان برقراری ارتباط بين سرويس گيرنده و سرويس دهنده DHCP

شركت مايكروسافت ويژگی فوق را در ويندوز تعبيه نموده است تا شبكه های بسيار كوچك بتوانند خدماتی بسيار محدود را در اختيار مخاطبان خود قرار دهند . مثلا" در صورتی كه قصد ايجاد يك شبكه بسيار كوچك مبتنی بر سيستم عامل ويندوز را داشته باشيد ، مجبور نخواهيد بود كه آدرس های IP را در صورت عدم استفاده از يك سرويس دهنده DHCP به صورت دستی تنظيم نمائيد . APIPA ، بطور اتوماتيك يك آدرس IP كلاس B منحصربفرد را به هر يك از ماشين های موجود بر روی شبكه اختصاص خواهد داد . ويژگی فوق در شبكه های بسيار كوچك می تواند تا اندازه ای مفيد واقع شود ولی در شبكه های بزرگ امكان پذير نبوده و دارای كارآئی مناسبی نيست .
در صورتی كه يك سرويس گيرنده مجبور به استفاده از آدرس نسبت داده شده توسط APIPA شده است ( عليرغم وجود يك سرويس دهنده DHCP  در شبكه ) ، دليل آن می تواند اين موضوع باشد كه به درخواست وی برای اختصاص يك آدرس IP توسط سرويس دهنده DHCP پاسخ داده نشده است . عدم پاسخ گوئی به درخواست يك سرويس گيرنده توسط سرويس دهنده DHCP می تواند دلايل متعددی داشته باشد . برای تشخبص علت بروز اينچنين مشكلی می توان بر روی يك و يا چند سرويس گيرنده ديگر متمركز و وضعيت تنظيمات پروتكل TCP/IP آنها را مشاهده نمود ( استفاده از دستور ipconfig/all ) . در صورتی كه ساير سرويس گيرندگان قادر به دريافت يك آدرس IP از سرويس دهنده DHCP می باشند ، می توان اين احتمال را كه سرويس دهنده DHCP در انجام وظايف خود با مشكل مواجه شده است را كنار گذاشت و بر روی سرويس گيرنده ای كه قادر به دريافت آدرس IP نمی باشد متمركز گرديد .
علت بروز مشكل فوق بر روی يك سرويس گيرنده ممكن است در ارتباط با سخت افزار نصب شده باشد . به عنوان نمونه ممكن است كارت شبكه به درستی نصب نشده باشد و يا درايور آن به درستی انتخاب نشده باشد و يا كابل شبكه به درستی به كارت شبكه متصل نشده باشد و يا سر ديگر كابل به درستی به هاب و يا سوئيچ متصل نشده باشد . عدم تطابق نرخ مبادله اطلاعات اينترفيس كارت شبكه با هاب و يا سوئيچ و يا بروز اشكال در پورت سوئيچ و هاب كه سرويس گيرنده به آن متصل شده است از ديگر عوامل احتمالی بروز مشكل ارتباطی بين سرويس گيرنده و سرويس دهنده DHCP  است  .
همانگونه كه اشاره گرديد با توجه به اين كه صرفا" يك سرويس گيرنده دارای مشكل دريافت يك آدرس IP است ، نمی توان سرويس دهنده DHCP را مقصر اين كار دانست . به عبارت ديگر ، در صورتی كه ساير سرويس گيرندگان قادر به دريافت موفقيت آميز آدرس IP باشند قطعا" سرويس دهنده DHCP كار خود را به درستی انجام داده است . در اين رابطه يك احتمال وجود دارد كه ممكن است مشكل را به سرويس دهنده DHCP مربوط نمايد : عدم وجود آدرس IP كافی به منظور اختصاص به سرويس گيرندگان . در صورت بروز اين مشكل ، می بايست حوزه آدرس های IP تعريف شده بر روی سرويس دهنده DHCP افزايش يابد تا سرويس گيرندگان بيشتری بتوانند آدرس IP خود را از آن دريافت نمايند . 

متداولترين مسائل سرويس دهنده DHCP
در صورتی كه چندين سرويس گيرنده دارای مشكل دريافت آدرس IP باشند ، به احتمال زياد مشكل مربوط به سرويس دهنده DHCP خواهد بود . در چنين مواردی لازم است كه به دقت بررسی شود كه آيا سرويس دهنده DHCP از طريق شبكه قابل دستيابی است ؟ بدين منظور می توان از طريق چندين سرويس گيرنده ، سرويس دهنده DHCP را ping نمود . نتايج حاصل از اين كار می تواند به خوبی وضعيت ارتباط با سرويس دهنده DHCP در شبكه را مشخص نمايد . 
در صورتی كه سرويس دهنده DHCP قادر به برقراری ارتباط با ساير سرويس گيرندگان موجود در شبكه باشد ، می توان اين موضوع را بررسی نمود كه آيا سرويس دهنده DHCP دارای يك آدرس IP سازگار با حوزه تعريف شده است ؟ مثلا" در صورتی كه حوزه تعريف شده در محدوده IP : 192.168.0.1 تا IP : 192.168.0.50  باشد ، سرويس دهنده قادر به اختصاص آدرس های فوق به سرويس گيرندگان نخواهد بود مگر اين كه خود دارای يك آدرس ايستا در محدوده فوق نظير IP : 192.168.0.0  و يا   IP : 192.168.0.51 باشد .
در صورت عدم حل مشكل ، می بايست موارد ديگری را بررسی نمود . مثلا" می بايست اطمينان حاصل نمود كه آيا سرويس دهنده DHCP توسط اكتيو دايركتوری authorized شده است تا بتواند آدرس های IP را اختصاص دهد؟ همچنين ، می بايست فعال بودن حوزه تعريف شده و اجرای سرويس های ضروری بر روی سرويس دهنده DHCP را بررسی نمود .

تناقض (conflict) بين آدرس های IP
يكی ديگر از مسائل در ارتباط با سرويس گيرندگان و سرويس دهنده DHCP ، ايجاد conflict بين آدرس IP سرويس گيرندگان است . در صورتی كه آدرس IP بر روی سرويس گيرندگان به صورت دستی تنظيم شده باشد شايد بتوان خطاء فوق را قابل قبول دانست ، ولی در صورتی كه با صراحت بر روی هر سرويس گيرنده اعلام شده است كه آدرس IP می بايست به صورت پويا و از يك سرويس دهنده DHCP دريافت گردد ، بروز conflict بين آدرس های تخصيص يافته به سرويس گيرندگان در مرحله اول غيرمنطقی بنظر می رسد و پرسش های فراوانی را در ذهن ايجاد می نمايد . قبل از هر چيز لازم است به اين موضوع اشاره گردد كه در زمان تعريف يك حوزه در سرويس دهنده DHCP ، اين مسئوليت سرويس دهنده DHCP است كه اين اطمينان را ايجاد نمايد كه آدرس های درون حوزه صرفا" به يك سرويس گيرنده در هر لحظه نسبت داده می شوند .
مشكل فوق به دو دليل زير ممكن است ايجاد شده باشد :

·         تنظيم دستی آدرس IP بر روی يكی از سرويس گيرندگان : پس از مشخص شدن اين موضوع كه كداميك از سرويس گيرندگان دارای آدرس IP تكراری و مشابه می باشند ، ممكن است با بررسی تنظيمات پروتكل TCP/IPمشاهده گردد كه بر روی يكی از آنها اختصاص آدرس IP به صورت دستی انجام شده است ( آدرسی اختصاص داده شده كه در محدوده حوزه تعريف شده بر روی سرويس دهنده DHCP است ) و بر روی سرويس گيرنده ديگر ، روش دريافت آدرس IP به صورت پويا و از طريق يك سرويس دهنده DHCP تعريف شده است . بدين منظور لازم است محدوديت های لازم در خصوص تغيير پيكربندی پروتكل TCP/IP توسط كاربران اعمال تا از تكرار اينگونه مسائل در شبكه پيشگيری بعمل آيد .

·         استفاده از چندين سرويس دهنده DHCP كه حوزه های تعريف شده بر روی آنها دارای نقاط مشترك است . در صورتی كه بر روی يك شبكه صرفا" از يك سرويس دهنده DHCP استفاده می گردد ، شايد هرگز روی اين موضوع فكر نكنيد كه عامل بروز conflict وجود يك سرويس دهنده DHCP ديگر در شبكه باشد . ولی همواره اين احتمال وجود خواهد داشت كه يك سرويس دهنده DHCP ناشناس در شبكه شما نصب و پيكربندی شده باشد كه با سرويس دهنده اصلی DHCP شبكه conflict دارد .
توجه داشته باشيد كه در ويندوز 2000 و 2003 به منظور پيشگيری از بروز اينچنين مسائلی ، می بايست يك سرويس دهنده DHCP توسط اكتيو دايركتوری authorized گردد . صرفا"  پس از انجام اين كار است كه سرويس دهنده DHCP قادر به ارائه آدرس های IP به متقاضيان خواهد بود . همانگونه كه اشاره گرديد اين ويژگی در ارتباط با سرويس دهندگان DHCP مبتنی بر ويندوز صادق است و سرويس دهندگان DHCP كه بر روی ساير سيستم های عامل اجراء می شوند اين آزادی عمل را خواهند داشت كه بتوانند آدرس های IP را به سرويس گيرندگان نسبت دهند بدون اين كه مجبور باشند توسط اكتيو دايركتوری Authorized شوند.
مشكل فوق صرفا" به نصب يك سرويس دهنده DHCP ديگر ( نظير يك سرويس دهنده DHCP بر روی لينوكس )  مربوط نمی شود و اين احتمال وجود دارد كه يك دستگاه access point بی سيم و يا روتر باعث بروز اينچنين مشكلی شده باشند . برخی از دستگاه های فوق دارای يك سرويس دهنده DHCP تعبيه شده درون خود می باشند كه عموما" از محدوده آدرس IP : 192.168.0.x تا IP : 192.168.1.x  استفاده می نمايند . در صورتی كه حوزه تعريف شده بر روی اينگونه دستگاه ها مشابه سرويس دهنده DHCP موجود در شبكه باشد ، ممكن است شرايطی بوجود آيد كه دو سرويس دهنده DHCP اقدام به ارائه آدرس های IP از يك address poll مشابه و يكسان نمايند .

 خلاصه
در اين مطلب اشاره گرديد كه يك سرويس دهنده DHCP ممكن است به دلايل متعددی با مشكل مواجه گردد و نتواند خدمات و يا وظايف از قبل تعريف شده خود را در اختيار سرويس گيرندگان قرار دهد . در اكثر موارد ، عدم امكان برقراری ارتباط بين سرويس گيرندگان و سرويس دهنده DHCP و دريافت آدرس IP عامل بروز مشكلات است

اشكال زدائی سيستم فايل
در اين مقاله به بررسی يك رويكرد سيستماتيك به منظور اشكال زدائی سيستم فايل بر روی سرويس دهندگانی كه ويندوز 2003 بر روی آنها نصب شده است ، خواهيم پرداخت . در اين راستا ابزارهای متعددی معرفی و با نحوه استفاده از آنها آشنا خواهيم شد. 
اشكال و يا خرابی سيستم فايل می تواند زمينه بروز مسائل مختلفی نظير از دست دادن داده و يا عدم راه اندازی سيستم را ايجاد نمايد .  كارشناسان حرفه ای فناوری اطلاعات علاوه بر اين كه اقدامات متعددی را به منظور نگهداری ايمن و مطمئن سيستم فايل انجام می دهند به  خوبی می دانند كه در صورت بروز مشكل ، چگونه با آن برخورد نمايند .
در اين مقاله علاوه بر آشنائی با مجموعه اقدامات پيشگيرانه در خصوص نگهداری مطلوب ديسك ، به بررسی يك رويكرد سيستماتيك به منظور برخورد با مشكل ايجاد شده ، خواهيم پرداخت . 

هفت قانون طلائی به منظور نگهداری ديسك
مديران سيستم به منظور نگهداری سيستم و پيشگيری از بروز مسائل و مشكلات در ارتباط با سيستم فايل ، می توانند از مجموعه قوانين زير كه انجام آنها تابع يك نظم و يا اولويت خاص نمی باشد ، استفاده نمايند .

·         ارتقاء سيستم به ويندوز 2003 :  ارتقاء سيستم به ويندوز 2003 دلايل متعددی دارد كه برخی از آنها در ارتباط با امكانات ارائه شده به منظور مديريت و نگهداری سيستم فايل و يا ديسك می باشد :
:: عملكرد دستور chkdsk در ويندوز 2003 بمراتب سريعتر از ويندور 2000 است . علاوه بر اين ، برنامه فوق قادر به حل مسائلی نظير خرابی MFT ( برگرفته از Master File Table ) است كه در نسخه های قبلی امكان آن وجود نداشت .
:: ارائه ابزارهای قدرتمندی نظير DiskPart.exe ،  Fsutil.exe و  Defrag.exe  كه دارای انعطاف مناسبی برای مديريت ديسك از طريق خط دستور در مقابل محيط رابط كاربر گرافيكی می باشند . استفاده از ابزارهای فوق را می توان توسط اسكريپت ها مديريت و  آنها را در يك بازه زمانی خاص به صورت اتوماتيك اجراء نمود .
:: با استفاده از ويژگی جديد ASR ( برگرفته از Automated System Recovery ) ، بازيافت ولوم سيستم و يا بوت در زمان بروز مشكل آسانتر می گردد .  

·         استفاده از سخت افزار های لازم به منظور افزونگی اطلاعات : با استفاده از RAID 1  ، امكان بازيافت اطلاعات از يك ديسك آسيب ديده با مدت از كارافتادگی صفر فراهم می گردد در حالی كه RAID 5 ، روش مناسبی به منظور حفاظت داده موجود بر روی ديسك است . نسخه های سرويس دهنده ويندوز دارای امكانات نرم افزاری از قبل تعبيه شده به منظور حمايت از RAID می باشند ( RAID نرم افزاری  ) . يك كنترل كننده RAID سخت افزاری دارای كارائی بمراتب بيشتری نسبت به مدل نرم افزاری آن است . به منظور استفاده از پتانسيل RAID نرم افزاری ارائه شده در ويندوز برای mirroring ولوم های سيستم و بوت ، می بايست ولوم های فوق يكی و مشابه باشند .

·         استفاده از يك نرم افزار مناسب آنتی ويروس : ويروس های كامپيوتری در صورت آلودگی يك سيستم ، قادر به انجام خرابی های گسترده و متنوعی می باشند . خرابی MBR ( برگرفته از Master Boot Record ) و ساير بخش های حياتی هارد ديسك ، نمونه هائی در اين زمينه می باشد . مديران سيستم می بايست علاوه بر نصب و بهنگام نگه داشتن يك برنامه مناسب آنتی ويروس ، پيشگيری لازم در خصوص انجام عمليات خطرناك و  تهديد آميز نظير اجرای اسكريپت ها از منابع غير مطمئن (اسكريپت های موجود در يك وب سايت غيرمطمئن ) و يا استفاده غيرايمن از اينترنت را انجام دهند . عدم رعايت موارد فوق ، احتمال آلودگی سيستم را افزايش خواهد داد .

·          Defragment كردن سيستم فايل در محدوده های زمانی مشخص :  انجام عمليات فوق در فواصل زمانی خاص بر روی تمامی كامپيوترها خصوصا" سرويس دهندگانی كه تراكنش های متعددی را انجام می دهند ، ضروری می باشد . چراكه پس از استفاده زياد از فضای ذخيره سازی ( اضافه و حذف فايل ) ، رسانه ذخيره سازی ( ديسك ) به سرعت قطعه قطعه خواهد شد . وضعيت فوق ، باعث كاهش سرعت اجرای برنامه های ذخيره شده بر روی رسانه ذخيره سازی می گردد . به منظور انجام يك defrag موفقيت آميز، می بايست حداقل پانزده درصد فصای آزاد بر روی هارد ديسك موجود باشد . بنابراين در صورت تكميل ظرفيت يك ديسك ( سيستم و يا داده ) ، امكان نگهداری مطلوب آن با مشكل مواجه خواهد شد . دستور جديد Defrag.exe ارائه شده در ويندوز 2003 را می توان با استفاده از دستور Schtasks.exe زمانبندی نمود  ( در مقابل اجرای دستی برنامه Defrag و يا تهيه يك نرم افزار خاص ) .

·         اجرای Chkdsk/r در محدوده های زمانی مشخص  : دستور فوق ، سكتورهای بد موجود بر روی ديسك را پيدا كرده و با بازيابی داده ذخيره شده ، آنها را به مكان ديگر منتقل می نمايد .  دستور chkdsk.exe را می توان از طريق خط دستور و يا از طريق كنسول Recovery ( در صورتی كه امكان راه اندازی طبيعی سيستم وجود نداشته باشد ) ، اجراء نمود . در مواردی كه قصد اجرای دستور فوق را بر روی ولوم سيستم و يا بوت داشته باشيم ، ويندوز برنامه autochk.exe را بگونه ای پيكربندی خواهد كرد تا در اولين مرتبه ای كه سيستم راه اندازی می گردد ، امكان اجرای آن فراهم گردد . 

·         بررسی و مشاهده event logs به صورت ادواری به منظور آگاهی از مسائل مرتبط با ديسك : در برخی موارد همزمان با بروز مشكل در ديسك ، ويندوز به صورت اتوماتيك اجرای برنامه autochk.exe را در اولين مرتبه راه اندازی سيستم ،‌ زمانبندی می نمايد . در چنين مواردی ، يك event در بخش application log ثبت می گردد ( منبع بروز خطاء Chkdsk و يا WinLogon اعلام می شود ) . با مشاهده application log  ،‌ می توان از وقوع اين نوع رويدادها و علل آن آگاهی يافت و قبل از بروز يك فاجعه اطلاعاتی ، راهكار مناسبی برای آن انتخاب نمود .

·         تهيه Backup از تمامی ولوم ها بطور مرتب  : گرفتن backup از ولوم سيستم ، بوت و داده از جمله اقدامات حياتی به منظور نگهداری مطمئن ديسك در شرايط خاص و بحرانی  است. با استفاده از ASR در ويندور 2003 ، به سادگی می توان از ولوم های سيستم و بوت backup تهيه نمود .  برای گرفتن Backup از داده های موجود برروی ديسك می توان از برنامه Backup ويندوز ( ntbackup.exe ) و يا ساير ابزارهای موجود در اين زمينه استفاده نمود . صرفنظر از روش استفاده شده برای تهيه backup ، می بايست همواره انجام آن در يك بازه زمانی خاص و كاملا" مشخص تكرار تا در صورت بروز مشكل بتوان به سرعت و مطمئن به آخرين اطلاعات دستيابی داشت .

 در پايان، می توان يك اصل مهم ديگر را به موارد  فوق اضافه نمود :  

·         نسبت به تغيير صدای ديسك بی تفاوت نباشيد : خرابی ديسك اغلب با صدای عجيب آن آغاز می گردد . هر نوع صدای غيرطبيعی می تواند علائم اوليه بروز يك مشكل باشد. بنابراين در صورت شنيدن صدای غيرعادی ، می بايست بلافاصله از آخرين اطلاعات موجود backup تهيه و در ادامه ، با بررسی event log ، اجرای دستور chkdsk -  r و ساير ابزارهای اشكال زدائی ،  علل بروز مشكل بررسی گردد .

نكاتی برای اشكال زدائی
با اين كه اقدامات پيشگيرانه در جای خود بسيار حائز اهميت است ، ولی همواره احتمال بروز مشكل و يا خرابی وجود خواهد داشت . در چنين مواردی ، از امكانات مختلفی به منظور برخورد با مشكل موجود استفاده می گردد . chkdsk.exe ، يكی از ابزارهای كليدی ارائه شده در ويندوز 2003 به منظور اشكال زدائی سيستم فايل است كه در ادامه با برخی نكات در خصوص استفاده بهينه و مطلوب از  آن آشنا می شويم . 

·         اطمينان از وجود آخرين نسخه backup سيستم قبل از اجرای دستور Chkdsk.exe

·         عدم توقف اجرای برنامه chkdsk.exe در حين انجام وظايف خود 

·         توجه به مدت زمان مورد نياز به منظور اجرای دستور chkdsk.exe  . اجرای دستور فوق بر روی ولوم های با ظرفيت بالا زمان زيادی بطول خواهد انجاميد . در صورت ضرورت می توان اجرای دستور فوق را با استفاده از سوئيچ هائی خاص سبك تر نمود ( chkdsk drive_letter /f /c /i ) .

·         دستور Chkdsk.exe را نمی توان بر روی ولوم های سيستم و يا بوت در زمان فعال بودن ويندوز ، اجراء نمود . همچنين ، در صورت باز بودن  file handles بر روی‌ يك ولوم ، نمی‌ توان از خدمات دستور فوق در جهت اشكال زدائی استفاده نمود . برنامه Chkdsk.exe قبل از هر گونه عمليات بر روی‌ رسانه ذخيره سازی، اقدام به قفل نمودن آن می نمايد . بديهی است در صورتی كه برنامه Chkdsk.exe قادر به قفل كردن يك ولوم نگردد ، پيكربندی آن را بگونه ای انجام خواهد داد كه در اولين مرتبه راه اندازی سيستم ، شرايط اجراء فراهم گردد . 

·         با استفاده از دستور chkntfs.exe می توان از وضعيت ولوم و اين كه آيا برنامه autochk.exe به منظور اجراء در اولين مرتبه راه اندازی پيكربندی شده است ، آگاه گرديد . در صورت ضرورت ، می توان اجرای برنامه autochk.exe را با استفاده از دستور chkntfs.exe با تاخير همراه ساخت . 

نگهداری مطلوب يك رسانه ذخيره سازی ،
مستلزم عمليات پيشگيرانه و آگاهی از نحوه برخورد ساختيافته با مشكلات موجود و استفاده مفيد از ابزارهای اشكال زدائی است .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:22 AM |

پيكربندی اوليه روتر ( بخش دوم )
در بخش اول پس از بررسی حالات متفاوت پيكربندی در اولين گام با نحوه تعريف يك نام و رمز عبور برای روتر آشنا شديم . در اين بخش به بررسی دستورات show ، نحوه پيكربندی يك اينترفيس سريال و ثبت تغييرات پيكربندی اشاره می نمائيم . 

بررسی دستورات Show
از دستورات متعدد show می توان به منظور بررسی محتويات فايل ها و اشكال زدائی روتر استفاده نمود . در privileged EXEC mode  و user EXEC mode  با تايپ دستور ? show  می توان ليستی از دستورات show موجود را مشاهده نمود . ليست فوق در privileged EXEC mode بمراتب بيشتر از user EXEC mode  است .
برخی از متداولترين دستورات show عبارتند از :

·         show interfaces : دستور فوق تمامی آمار و اطلاعات اينترفيس های موجود در روتر را نمايش می دهد . به منظور مشاهده اطلاعات يك اينترفيس خاص پس از تايپ دستور فوق كافی است نوع اينترفيس و شماره پورت آن را مشخص نمود . دستور زير اطلاعات مربوط به اينترفيس سريال را در خروجی نمايش می دهد .

Router1#show interfaces serial 0/1

·         show controllers serial : نمايش اطلاعات مرتبط با سخت افزار اينترفيس 

·         show clock : نمايش تاريخ و زمان در نظر گرفته شده برای روتر 

·         show hosts : نمايش يك ليست cached از اسامی و آدرس های  host  

·         show users : نمايش ليست تمامی كاربران متصل به روتر 

·         show history : نمايش ليست سوابق دستورات تايپ شده 

·         show flash : نمايش اطلاعاتی در خصوص حافظه فلش و فايل های IOS ذخيره شده درون آن

·         show version : نمايش اطلاعاتی در خصوص روتر و IOS موجود در حافظه RAM 

·         show ARP : نمايش جدول ARP روتر 

·         show protocol : نمايش اطلاعات و وضعيت پروتكل های لايه سه پيكربندی شده سراسری ‌و يا مختص به يك اينترفيس خاص  

·         show startup-configuration : نمايش اطلاعات پيكربندی ذخيره شده در NVRAM 

·         show running-configuration : نمايش اطلاعلات پيكربندی جاری موجود در حافظه RAM 

پيكربندی‌ يك اينترفيس سريال
برای پيكربندی يك اينترفيس سريال می توان از خط كنسول و يا يك خط مجازی ترمينال استفاده نمود . بدين منظور می بايست مراحل زير را دنبال نمود  :  

·         ورود به  global configuration mode 

·         ورود به  interface mode

·         مشخص كردن آدرس و subnet mask اينترفيس

·         تنظيم clock rate در صورتی كه اينترفيس به يك كابل DCE متصل شده است . ( در صورت عدم اتصال كابل DCE از اين مرحله صرفنظر شود )

·         فعال كردن اينترفيس

هر اينترفيس سريال فعال می بايست دارای يك آدرس IP و subnet mask باشد ( به منظور روت بسته های اطلاعاتی IP ) . برای پيكربندی آدرس IP اينترفيس سريال از دستورات زير استفاده می گردد :

Router1(config)#interface serial 0/0
Router1(config-if)#ip address

اينترفيس های سريال نيازمند يك سيگنال كلاك به منظور كنترل و زمانبندی مبادله داده می باشند . در اكثر محيط ها يك دستگاه DCE نظير CSU مسئوليت ارائه كلاك را برعهده دارد . به صورت پيش فرض ، روترهای سيسكو به عنوان دستگاه های DTE در نظر گرفته می شوند گرچه اين امكان  هم وجود دارد كه آنها را به عنوان دستگاه های DCE پيكربندی نمود .

توضيحات :

·         تمامی دستگاه های RS232 ، كه از يك كانكتور DB-9 استفاده می نمايند می بايست استاندارد TIA/EIA-574 را رعايت نمايند . دستگاه مورد نظر می بايست DCE ( برگرفته از Data Communications Equipment ) و يا DTE ( برگرفته از  Data Termination Equipment ) باشد . دستگاه های DCE می بايست دارای يك كانكتور female DB-9 و دستگاه های DTE يك كانكتور male DB-9  باشند .

·         پورت های سريال RS232 معمولا" به عنوان يك پورت DTE و يا DCE پيكربندی می گردند . پورت سريال موجود در كامپيوترهای شخصی يك پورت DTE  است . برای اتصال يك دستگاه DCE به دستگاه DCE ديگر از يك آداپتور null modem استفاده می گردد ( male-to-male ) . برای اتصال يك دستگاه DTE به دستگاه DTE ديگر از يك آداپتور null modem نوع female-to-female استفاده می گردد .

·          واژه DCE ( برگرفته از Data Communications Equipment )  و DTE ( برگرفته از  Data Termination Equipment ) دارای دو مفهوم در سرويس های packet-switching و frame-switching  می باشند . در Frame relay ، به سوئيچ های frame relay اصطلاحا" DCE و به دستگاه مشتری نظير روتر DTE گفته می شود . در اين بحث ، DCE به دستگاه های ارائه دهنده سرويس و به دستگاه های متقاضی استفاده از سرويس frame-switching اصطلاحا" DTE گفته می شود . CSU/DSU كلاك مورد نياز روتر را ارائه می نمايند . بنابراين از منظر لايه يك ، CSU/DSU همچنان يك DCE است و روتر همچنان يك DTE است .

بر روی لينك های سريال كه به صورت مستقيم متصل نيستند (  نظير يك آزمايشگاه ) ، می بايست يك سمت به عنوان يك DCE در نظر گرفته شود و مسئوليت ارائه سيگنال كلاك را برعهده بگيرد .
فعال كردن كلاك و مشخص كردن نرخ انتقال اطلاعات با استفاده از دستور clock rate انجام می شود. نرخ انتقال اطلاعات ( تعداد بيت ارسالی در يك ثانيه ) می تواند يكی از مقادير  1200, 2400, 9600, 19200, 38400, 56000, 64000, 72000, 125000, 148000, 500000, 800000, 1000000, 1300000, 2000000 و  4000000  باشد . برخی از نرخ های انتقال داده فوق بر روی برخی از اينترفيس ها تابع ظرفيت در دسترس آنها می باشد .
اينترفيس ها به صورت پيش فرض غيرفعال می باشند . برای فعال كردن يك اينترفيس از دستور no shutdown استفاده می گردد . در صورتی كه  لازم است يك اينترفيس به منظور اشكال زدائی غير فعال شود از دستور shutdown استفاده می گردد.
فرض كنيد می خواهيم نرخ انتقال داده 56000 را برای اينترفيس در نظر بگيريم . بدين منظور از دستورات زير برای مشخص كردن نرخ انتقال داده و فعال كردن اينترفيس سريال استفاده می گردد :

Router1(config)#interface serial 0/0
Router1(config-if)#clock rate 56000
Router1(config-if)#no shutdown

اعمال تغييرات در پيكربندی
در صورت نياز به تغيير پيكربندی ، می بايست در mode مناسب استقرار و از دستورات متناسب با آن mode خاص استفاده نمود . مثلا" در صورتی كه می بايست يك اينترفيس فعال گردد ،  می توان پس از ورود به  global configuration mode  و در ادامه   interface mode   دستور no shutdown را صادر نمود .
برای بررسی تغييرات انجام شده  از دستور show running-config  استفاده می گردد . دستور فوق پيكربندی جاری را نمايش می دهد . در صورتی كه اطلاعات نمايش داده شده متناسب با انتظار ما نباشد ، می توان محيط مورد نظر را با انجام يك و يا چندين مرحله زير تصحيح نمود :

·         صدور يك دستور پيكربندی به همراه no

·         Reload نمودن سيستم تا فايل پيكربندی اوليه از حافظه NVRAM فعال گردد .

·         كپی يك فايل پيكربندی آرشيو از طريق يك سرويس دهنده TFTP

·         حذف فايل پيكربندی راه انداز با استفاده از دستور erase startup-config و را ه اندازی روتر و ورود به setup mode

برای ذخيره پيكربندی انجام شده به فايل پيكربندی startup در NVRAM از دستور زير در privileged EXEC mode  استفاده می نمائيم .

Router1#copy running-config startup-config

شكل زير فرآيند انجام تغييرات در روتر  را نشان می دهد .


فرآيند انجام تغييرات در روتر

مزايای استفاده از دستور Show version
دستگاه های شبكه ای سيسكو كه بر روی آنها IOS اجراء می شود ( نظير روتر ) دارای دستورات متعددی به منظور جمع آوری و آگاهی از وضعيت پيكربندی دستگاه مورد نظر می باشند . دستور show  يك نمونه در اين زمينه است كه آگاهی از نسخه IOS نصب شده بر روی دستگاه شبكه ای از وظايف اوليه آن محسوب می گردد . دستور فوق دارای امكانات بمراتب بيشتری است كه در موارد متعددی می توان از آن استفاده كرد . شايد بتوان گفت كه نام در نظر گرفته شده برای دستور show version نشاندهنده تمامی توانمندی و قابليت های آن نمی باشد .
در ادامه ، با اين دستور و نحوه عملكرد آن بر روی دستگاه های مختلف سيسكو آشنا خواهيم شد .

خروجی دستور show version 
همانگونه كه اشاره گرديد ، دستور show version  چيزی بمراتب بيشتر از يك دستور ساده جهت نمايش شماره نسخه سيستم عامل است . دستور فوق قادر به نمايش اطلاعات متعددی است . 

·          نسخه سيستم عامل IOS

·         نسخه برنامه راه انداز موجود در ROM

·         نسخه boot loader

·         آگاهی از آخرين وضعيت خاموش كردن دستگاه ( روش دستی ، system reset و ... )

·         زمان و تاريخ آغاز به كار سيستم

·         فايل image كه دستگاه فعاليت خود را بر اساس آن آغاز كرده است ( مسير نرم افزار IOS )

·         ميزان حافظه RAM دستگاه

·         مشخصه برد پردازنده كه می توان از آن به منظور تعيين نسخه مادربرد دستگاه استفاده كرد .

·         تعداد و نوع اينترفيس های دستگاه ( نظير  تعداد اينترفيس های   Ethernet و  Serial )

·         تعداد خطوط ترمينال بر روی روتر در صورتی كه روتر دارای خطوط سريال اسنكرون باشد.

·         ميزان حافظه NVRAM كه از آن به منظور نگهداری نسخه ذخيره شده فايل پيكربندی استفاده می گردد ( startup-configuration ) .

·         ميزان و نوع فلش موجود بر روی دستگاه ( غير از سوئيچ ) كه از آن به منظور نگهداری سيستم عامل استفاده می گردد ( جايگاه فلش نظير هارد ديسك بر روی يك دستگاه كامپيوتر شخصی است ) .

·         ريجستر پيكربندی بر روی دستگاه كه يك عدد مبنای شانزده است و به دستگاه می گويد چه كاری را می بايست در زمان راه اندازی انجام دهد ( معمولا" ، مقدار ذخيره شده در ريجستر پيكربندی صرفا" در مواردی كه لازم است فايل پيكربندی به دليل فراموش كردن رمز عبور ناديده گرفته شود ، تغيير داده می شود . امكان تغيير مقدار فوق در موارد ديگر نيز وجود دارد ) . 

·         نام دستگاه

در صورت اجرای دستور show version  بر روی سوئيچ ، اطلاعات خاص ديگری نيز نمايش داده می شود .

  • تعداد اينترفيس های اترنت سوئيچ
  • شماره سريال دستگاه و منبع تغذيه
  • آدرس MAC سوئيچ
  • شماره نسخه مادربرد
  • شماره مدل سوئيچ
  • آيا امكان password recovery فعال شده است ؟

بر روی‌ برخی سوئيچ ها ، حتی می توان از اين دستور به منظور برگرداندن شماره منبع تغذيه و مادربرد استفاده نمود . علاوه بر اين ، می توان تشخيص داد كه سوئيچ دارای نسخه IOS استاندارد و يا enterprise است . ( دو نوع IOS مختص سوئيچ می باشند ) .

در صورت اجرای دستور show version بر روی فايروال های PIX ،  اطلاعات خاص ديگری نيز نمايش داده می شود .

  • آدرس MAC اينترفيس ها
  • كدام license برای كدام و يژگی فعال شده است ( نظير failover ، رمزنگاری 3DES و يا تعداد هاست )
  • كليد activation برای هر license  
  • آخرين مرتبه ای كه فايل پيكربندی تغيير داده شده است

بررسی خروجی دستور show version  بر روی دستگاه های مختلف
در بخش قبل با موارد مختلف استفاده از دستور show version آشنا شديم . در ادامه خروجی دستور فوق را بر روی دستگاه های شبكه ای (‌دو روتر ،‌ دو سوئيچ و يك فايروال )  بررسی می كنيم . 

استفاده از دستور show version بر روی روترها
در جدول 1 ، ماحصل اجرای دستور show version بر روی يك روتر 3845 و در جدول 2 ، خروجی دستور فوق بر روی يك روتر 2511 نشان داده شده است . با مقايسه دو خروجی ارائه شده ، مشخص می گردد كه ميزان حافظه فلش  هر يك از روترها مختلف است . روتر 3845 كه جديدتر است دارای 64 مگابايت حافظه فلش است و در روتر 2511 ، كه قديمی تر است صرفا" از 16 مگابايت حافظه فلش فقط خواندنی استفاده شده است . 

اجرای دستور show version بر روی يك روتر مدل 3845

Router# show version

Cisco IOS Software, 3800 Software (C3845-IPBASE-M), Version 12.3(11)T7,...
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Sat 30-Jul-05 03:12 by dchih

ROM: System Bootstrap, Version 12.3(11r)T2, RELEASE SOFTWARE (fc1)

Cisco3845Router uptime is 10 weeks, 6 days, 9 hours, 30 minutes
System returned to ROM by power-on
System restarted at 05:09:07 CDT Thu Oct 20 2005
System image file is "flash:c3845-ipbase-mz.123-11.T7.bin"

Cisco 3845 (revision 1.0) with 419839K/104448K bytes of memory.
Processor board ID FTX0938A5PE
2 Gigabit Ethernet interfaces
27 Serial interfaces
1 ISDN Basic Rate interface
6 terminal lines
2 Channelized T1/PRI ports
1 Subrate T3/E3 port
DRAM configuration is 64 bits wide with parity enabled.
479K bytes of NVRAM.
62720K bytes of ATA System CompactFlash (Read/Write)

Configuration register is 0x2102

Router#
 

جدول 1 : اجرای دستور show version بر روی يك روتر مدل 3845
 

اجرای دستور show version بر روی يك روتر مدل 2511

Router# show version

Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-JS-L), Version 12.1(15), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Mon 13-May-02 22:10 by kellythw
Image text-base: 0x03073DB4, data-base: 0x00001000

ROM: System Bootstrap, Version 11.0(10c)XB1, PLATFORM SPECIFIC RELEASE SOFTWARE (fc1)
BOOTLDR: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c)XB1, PLATFORM SPECIFIC RELEASE SOFTWARE (fc1)

Cisco2511Router uptime is 13 weeks, 6 days, 14 hours, 54 minutes
System returned to ROM by power-on
System restarted at 23:44:31 CDT Wed Sep 28 2005
System image file is "flash:c2500-js-l.121-15.bin"

cisco AS2511-RJ (68030) processor (revision K) with 14336K/2048K bytes of memory.
Processor board ID 18862472, with hardware revision 00000000
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
1 Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
16 terminal line(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read ONLY)

Configuration register is 0x2102

Router#
 

جدول 2 : اجرای دستور show version بر روی يك روتر مدل 2511
 

استفاده از دستور show version بر روی سوئيچ ها
در جدول 3 ، ماحصل اجرای دستور show version بر روی يك سوئيچ سيسكو مدل 2950 و در جدول 4 خروجی اين دستور بر روی يك سوئيچ سيسكو مدل 3750 نشان داده شده است . در سوئيچ 3750 ، خروجی دستور show version ميزان حافظه RAM سوئيچ را نشان می دهد كه لازم است دو عدد نشان داده شده در خط مربوطه را با يكديگر جمع كرد . در صورت جمع دو عدد ، ميزان حافظه 128 مگابايت خواهد بود . علاوه بر اين ، بر روی سوئيچ 3750 ، می توان با استفاده از دستور show version ،  شماره سريال دستگاه  را مشاهده نمود ( يك مزيت بزرگ در زمان نگهداری و پشتيبانی ).

اجرای دستور show version بر روی سوئيچ  مدل 2950

Switch# show version

 Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA4, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Wed 23-Mar-05 15:33 by yenanh
Image text-base: 0x80010000, data-base: 0x80562000

ROM: Bootstrap program is C2950 boot loader

Cisco2950Switch uptime is 21 weeks, 2 days, 6 hours, 6 minutes
System returned to ROM by power-on
System restarted at 08:33:15 central Mon Aug 8 2005
System image file is "flash:/c2950-i6q4l2-mz.121-22.EA4.bin"

cisco WS-C2950-24 (RC32300) processor (revision R0) with 21039K bytes of memory.
Processor board ID FOC0918Z0XQ
Last reset from system-reset
Running Standard Image
24 FastEthernet/IEEE 802.3 interface(s)

32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:14:1C:40:B0:80
Motherboard assembly number: 73-5781-13
Power supply part number: 34-0965-01
Motherboard serial number: FOC0917322J
Power supply serial number: DAB09093XU1
Model revision number: R0
Motherboard revision number: A0
Model number: WS-C2950-24
System serial number: FOC0918Z0XQ
Configuration register is 0xF

Switch#
 

جدول 3 : اجرای دستور show version بر روی يك سوئيچ مدل 2950

اجرای دستور show version بر روی يك سوئيچ مدل 3750

Switch# show version

Cisco IOS Software, C3750 Software (C3750-IPBASE-M), Version 12.2(25)SEB2, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 08-Jun-05 01:19 by yenanh

ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SE1, RELEASE SOFTWARE (fc)

Cisco3750Switch uptime is 11 weeks, 5 days, 8 hours, 43 minutes
System returned to ROM by power-on
System restarted at 06:00:07 CST Fri Oct 14 2005
System image file is "flash:c3750-ipbase-mz.122-25.SEB2/c3750-ipbase-mz.122-25.SEB2.bin"

cisco WS-C3750G-48TS (PowerPC405) processor (revision C0) with 118784K/12280K bytes of memory.
Processor board ID FOC0936U2S8
Last reset from power-on
1 Virtual Ethernet interface
52 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.

512K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address : 00:15:62:D0:C4:80
Motherboard assembly number : 73-9366-08
Power supply part number : 341-0107-01
Motherboard serial number : FOC09361A13
Power supply serial number : FXD0844008B
Model revision number : C0
Motherboard revision number : A0
Model number : WS-C3750G-48TS-S
System serial number : FOC0936U2S8
SFP Module assembly part number : 73-7757-03
SFP Module revision Number : A0
SFP Module serial number : CAT092813D2
Top Assembly Part Number : 800-25409-02
Top Assembly Revision Number : A0
Version ID : V02
CLEI Code Number : CNMWU00ARB
Hardware Board Revision Number : 0x05


Switch Ports      Model                 SW Version        SW Image
------   -----        -----                    ----------            ----------
*    1     52    WS-C3750G-48TS   12.2(25)SEB2    C3750-IPBASE-M


Configuration register is 0xF

Switch#

جدول 4 : اجرای دستور show version بر روی يك سوئيچ مدل 3750
 

استفاده از دستور show version بر روی فايروال ها
در جدول 5 ، ماحصل اجرای دستور show version كه بسيار متفاوت نسبت به سوئيچ و يا روتر است بر  روی يك دستگاه فايروال PIX 501 نشان داده شده است . به عنوان نمونه در خروجی زير مشخص شده است كه توسط فايروال كدام license فعال و يا غيرفعال شده است . همچنين در خروجی فوق مشخص شده است كه throughput محدود بر روی اين فايروال وجود دارد و صرفا" می تواند ده هاست را درون اينترفيس داشته باشد .

اجرای دستور show version بر روی PIX 501 firewall

PIX# show version

 Cisco PIX Firewall Version 6.2(2)
Cisco PIX Device Manager Version 2.1(1)

Compiled on Fri 07-Jun-02 17:49 by morlee

pix501 up 295 days 1 hour

Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
Flash E28F640J3 @ 0x3000000, 8MB
BIOS Flash E28F640J3 @ 0xfffd8000, 128KB

0: ethernet0: address is 000b.be94.a1f5, irq 9
1: ethernet1: address is 000b.be94.a1f6, irq 10
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES: Enabled
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: 10
Throughput: Limited
IKE peers: 5


Serial Number: 806513007 (0x3012696f)
Running Activation Key: 0xf9833f64 0xc56a2d1b 0x7588b45a 0x07c75e4b
Configuration last modified by enable_15 at 12:59:35.800 UTC Wed Jan 4 2006

PIX#
 

جدول 5 : اجرای دستور show version بر روی يك PIX 501 firewall
 

خلاصه
موارد اشاره شده صرفا" نمونه هائی متداول از اجرای دستور show version را نشان می دهد . لازم است اين نكته مهم بخاطر سپرده شود كه خروجی دستور فوق  از يك پلت فرم به پلت فرم ديگر  متفاوت خواهد بود . در صورتی كه فردی از شما در رابطه با عملكرد دستور show version سوال نمايد ، می توانيد به وی نشان دهيد كه چگونه اين دستور قادر به انجام كارهائی است كه صرفا" محدود به نمايش شماره نسخه نرم افزار نمی باشد . 

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:22 AM |

جايگاه ليست های دستيابی در روتر
امنيت شبكه های كامپيوتری به يكی از داغ ترين مباحث در دنيای فناوری اطلاعات و ارتباطات تبديل شده است . ايجاد و نگهداری يك شبكه ايمن و مطمئن از جمله اهداف مشترك ( حداقل بر روی كاغذ!  ) تمامی سازمان ها و موسسات تجاری در عصر حاضر می باشد .كارشناسان امنيت اطلاعات از امكانات سخت افزاری و نرم افزاری متعددی در اين رابطه استفاده می نمايند.بكارگيری پتانسيل های موجود در برخی دستگاه های شبكه ای( نظير ليست های دستيابی در روتر ) نمونه ای در اين رابطه است .
با استفاده از ليست های دستيابی (Access Lists) می توان دستيابی به يك شبكه را در سطح روتر كنترل و  ترافيك های خاصی را به منظور ورود و يا خروج از شبكه فيلتر نمود.ليست های دستيابی را می توان برای تمامی پروتكل های شبكه ای قابل روت ( نظير IP ,AppleTalk ) پيكربندی نمود  .
در ادامه با جايگاه و ماهيت ليست های دستيابی به منظور پيكربندی روتر در جهت افزايش امنيت يك شبكه كامپيوتری بيشتر آشنا می شويم .

قابليت ليست های دستيابی 
با استفاده از ليست های دستيابی می توان عمليات مختلفی‌ نظير فيلترينگ ترافيك شبكه را از طريق كنترل بسته های اطلاعاتی در هر يك از اينترفيس های روتر انجام داد . روتر هر يك از بسته های اطلاعاتی را بر اساس مجموعه ضوابط تعريف شده در ليست های دستيابی بررسی و در خصوص فوروارد و يا بلاك نمودن آنها تصميم گيری می نمايد .
ضوابط و يا قوانين تعريف شده در ليست های دستيابی می تواند شامل آدرس مبداء ترافيك ، آدرس مقصد ترافيك ، پروتكل لايه بالاتر و ساير اطلاعات باشد . 

ضرورت پيكربندی و استفاده از ليست های دستيابی 
برای پيكربندی و  استفاده از ليست های دستيابی دلايل متعددی وجود دارد :

·         اعمال محدوديت در خصوص بهنگام سازی محتويات روتينگ و يا كنترل بر روی ترافيك ورودی و يا خروجی

·         ارائه يك سطح اوليه امنيت در شبكه. با استفاده از ليست های دستيابی می توان يك سطح اوليه امنيتی را به منظور دستيابی به يك شبكه تعريف نمود .

·         در صورت عدم پيكربندی ليست های دستيابی ، تمامی بسته های اطلاعاتی دريافتی توسط روتر مجاز خواهند بود كه به هر بخش از شبكه وارد شوند . 

·         با استفاده از ليست های دستيابی می توان امكان دستيابی يك هاست به يك بخش خاص از شبكه را فراهم نمود و برای هاست ديگر ، امكان دستيابی به همان بخش را سلب نمود . 

·         از ليست های دستيابی می توان به منظور اتخاذ تصميم در خصوص ترافيك مجاز و يا غيرمجاز در سطح اينترفيس های روتر استفاده نمود . به عنوان نمونه ، می توان تمامی ترافيك e-mail  را روت و يا تمامی ترافيك Telnet را بلاك نمود .

مكان پيكربندی ليست های دستيابی
از ليست های دستيابی می بايست در روترهای فايروال كه اغلب بين شبكه داخلی و يك شبكه خارجی نظير اينترنت مستقر می گردند ،‌ استفاده نمود . همچنين می توان از ليست های دستيابی بر روی روترهای موجود بين دو بخش شبكه  با هدف كنترل ترافيك ورودی و يا خروجی يك بخش خاص از شبكه داخلی ، استفاده نمود .
به منظور استفاده از مزايای امنيتی ليست های دستيابی ، می بايست در حداقل حالت پيكربندی از آنها بر روی روترهای مرزی استفاده گردد ( روترهای موجود در محدوده مرزی شبكه داخلی با شبكه های خارجی ) .  در اينگونه روترها ، می بايست  ليست های دستيابی برای هر پروتكل شبكه ای پيكربندی شده در اينترفيس های روتر ، تعريف گردد .  ليست های دستيابی را می توان بگونه ای پيكربندی نمود كه ترافيك ورودی ، خروجی و يا هر دو آنها را بر روی يك اينترفيس فيلتر نمايد .
ليست های دستيابی را می بايست برای هر پروتكل فعال شده بر روی يك اينترفيس تعريف نمود . ( مشروط به اين كه قصد داشته باشيم ترافيك يك پروتكل خاص را كنترل نمائيم ) .  

ليست های دسيابی اوليه و پيشرفته
در اين مطلب با نحوه استفاده از ليست های دستيابی استاندارد و استاتيك توسعه يافته آشنا خواهيم شد كه از آنها به عنوان ليست های دستيابی اوليه نام برده می شود. برخی از ليست های دستيابی اوليه می بايست با هر پروتكل روت شده كه بر روی اينترفيس های روتر پيكربندی شده است ،‌استفاده گردد .
علاوه بر ليست های دستيابی اوليه كه در اين مطلب به تشريح آنها خواهيم پرداخت ، ليست های دستيابی پيشرفته تری نيز وجود دارد كه با استفاده از آنها می توان ويژگی های امنيتی اضافه تری را به منظور  كنترل بيشتر بر روی مبادله بسته های اطلاعاتی اعمال نمود .

پيكربندی ليست های دستيابی
با اين كه هر پروتكل دارای مجموعه قوانين مورد نياز خود  به منظور فيلترينگ ترافيك است، در اكثر پروتكل ها به منظور پيكربندی ليست های دستيابی حداقل می بايست دو اقدام زير اساسی را انجام داد :

·         مرحله اول : ايجاد يك ليست دستيابی

·         مرحله دوم : نسب دادن ليست دستيابی به يك اينترفيس

در ادامه به تشريح هر يك از مراحل فوق خواهيم پرداخت .

مرحله اول : ايجاد ليست های دستيابی
برای هر پروتكلی كه قصد فيلترينگ آن را بر روی هر اينترفيس روتر داريم ، می بايست ليست های دستيابی را ايجاد نمود . برای برخی پروتكل ها می بايست يك ليست دستيابی را برای فيلترينگ ورودی و يك ليست دستيابی ديگر را برای كنترل ترافيك خروجی تعريف نمود . جداول 1 و 2 ، پروتكل هائی را كه می توان با استفاده از ليست های دستيابی آنها را فيلتر نمود مشخص می نمايد .

پروتكل

Apollo Domain

 IP

IPX

ISO CLNS

NetBIOS IPX

Source-route bridging NetBIOS

   جدول 1 : مراجعه به پروتكل ها در ليست های دستيابی بر اساس نام     

 محدوده

پروتكل

99 - 1

IP

199 - 100

Extended IP

299 - 200

Ethernet type code

799 - 700

Ethernet address

299 - 200

Transparent bridging (protocol type)

799 - 700

Transparent bridging (vendor code)

1199 - 1100

Extended transparent bridging

399 - 300

DECnet and extended DECnet

499 - 400

XNS

599 - 500

Extended XNS

699 - 600

AppelTalk

299 - 200

Source-route bridging (protocol type)

799 - 700

Source-route bridging (vendor code)

899 - 800

IPX

999 - 900

Extended IPX

1099 - 1000

IPX SAP

100 - 1

Standard VINES

200 - 101

Extended VINES

300 - 201

Simple VINES

   جدول 2 : مراجعه به پروتكل ها در ليست های دستيابی بر اساس اعداد     

برای ايجاد يك ليست دستيابی ، پروتكلی را كه قصد فيلترينگ آن را داريم مشخص و يك نام و يا عدد منحصربفرد را به ليست دستيابی نسبت داده و ضوابط مربوط به فيلترينگ بسته های اطلاعاتی را تعريف می كنيم . در يك ليست دستيابی می توان چندين عبارت فيلترينگ را تعريف نمود .
شركت سيسكو توصيه نموده است كه در ابتدا ليست های دستيابی بر روی يك سرويس دهنده TFTP تعريف و در ادامه آنها را بر روی روتر download نمود . با اين كار ، امكان نگهداری و پشتيبانی از ليست های دستيابی ساده تر خواهد شد . در ادامه با ايجاد و ويرايش عبارات  مورد نياز به منظور تعريف ضوابط در ليست های دستيابی بر روی يك سرويس دهنده TFTP آشنا خواهيم شد .

نسبت دهی يك نام و يا عدد منحصر بفرد به هر ليست دستيابی
در زمان پيكربندی ليست های دستيابی بر روی يك روتر ، می بايست هر ليست دستيابی به صورت منحصربفرد توسط يك پروتكل ، يك نام و يا عدد مشخص گردد . توجه داشته باشيد كه ليست های دستيابی برای برخی پروتكل ها می بايست توسط يك نام و در برخی ديگر توسط يك عدد مشخص گردند . برخی پروتكل ها را می توان توسط يك نام و يا يك عدد مشخص نمود . زمانی كه از يك عدد به منظور مشخص كردن يك ليست دستيابی استفاده می گردد ، عدد استفاده شده می بايست در محدوده مجاز پروتكل باشد .  برای پروتكل های نشان داده شده در جدول 1 ، می توان ليست های دستيابی را بر اساس نام ايجاد نمود .
برای پروتكل های نشان داده شده در جدول 2 ، می توان ليست های دستيابی را بر اساس اعداد مشخص نمود . در جدول فوق ، محدود مجاز اعداد برای هر پروتكل نيز نشان داده شده است . 

تعريف ضوابط لازم  برای فوروادينگ و يا بلاك كردن بسته های اطلاعاتی
در زمان ايجاد يك ليست دستيابی ، ضوابط مورد نياز به منظور پردازش بسته های اطلاعاتی توسط روتر مشخص می گردد . با توجه به ضوابط تعريف شده ، روتر در خصوص فوروارد نمودن و يا بلاك كردن هر بسته اطلاعاتی تصميم گيری‌ می نمايد .
برای تعريف مجموعه ضوابط مورد نياز در يك عبارت از آدرس های مبداء بسته اطلاعاتی ، آدرس های مقصد بسته اطلاعاتی و يا پروتكل های لايه بالاتر استفاده می گردد . هر پروتكل دارای مجموعه ضوابط اختصاصی مربوط به خود است كه می توان آنها را تعريف نمود .
در يك ليست دستيابی ، می توان چندين ضابطه را در چندين عبارت جداگانه تعريف نمود . در چنين مواردی هر يك از عبارات ، می بايست دارای يك نام و يا عدد مشابه باشند تا عبارات در ارتباط با يك ليست دستيابی مشابه بكار گرفته شوند . در تعداد عباراتی كه به كمك آنها ضوابط را تعريف می نمائيم ، محدوديتی وجود ندارد و تنها محدوديت به ميزان حافظه موجود بر می گردد . توجه داشته باشيد كه هر اندازه كه تعداد عبارات بيشتر باشد ، مديريت ليست های دستيابی مشكل تر خواهد شد .

مفهوم عبارت  Deny All Traffic
در انتهای هر ليست دستيابی از يك عبارت Deny all traffic استفاده خواهد شد . بنابراين ، اگر يك بسته اطلاعاتی با هيچيك از شرايط مشخص شده مطابقت ننمايد ، بسته اطلاعاتی بلاك خواهد شد .

اولويت عبارات در يك ليست دستيابی 
هر عبارت جديد در يك ليست دستيابی ، به انتهای ليست اضافه خواهد شد . همچنين توجه داشته باشيد كه نمی توان عبارات خاصی را در ليست دستيابی حذف نمود و در صورت نياز می بايست تمام ليست دستيابی حذف و مجددا" با شرايط جديد ايجاد گردد .
اولويت عبارات موجود در يك ليست دستيابی بسيار حائز اهميت است . نرم افزار IOS ، بسته اطلاعاتی را متناسب با هر يك از ضوابط تعريف شده در عبارات با توجه به اولويت تعريف شده، بررسی می نمايد و در صورت مطابقت با يكی از ضوابط تعريف شده ، از ساير عبارات صرفنظر خواهد كرد (نظير عبارت معروف IF Then Else در دنيای برنامه نويسی است ) .
در صورتی كه عبارتی تعريف شده است كه در آن با صراحت مجوز لازم برای تمامی ترافيك صادر شده باشد ، ساير عبارات موجود در ليست بررسی نخواهند شد . همچنين ، در صورتی كه لازم باشد به يك ليست دستيابی عبارات جديدی اضافه گردد ،‌ می بايست ليست دستيابی را حذف و مجددا" آن را به همراه موجوديت های جديد ايجاد نمود .

ايجاد و ويرايش عبارات ليست دستيابی بر روی يك سرويس دهنده TFTP
با توجه به اهميت اولويت عبارات موجود در يك ليست دستيابی و عدم امكان تغيير و يا حذف اولويت ها  ، شركت سيسكو توصيه نموده است كه تمامی عبارات ليست دستيابی بر روی‌ يك سرويس دهنده TFTP تعريف و در ادامه تمامی ليست دستيابی بر روی روتر download گردد .
برای استفاده از يك سرويس دهنده TFTP ،  در ابتدا لازم است كه با بكارگيری يك ويرايشگر متن عبارات مورد نظر در ليست دستيابی را درج و فايل را با فرمت اسكی بر روی يك سرويس دهنده TFTP كه برای روتر در دسترس است ،‌ ذخيره نمود . در ادامه و از طريق روتر ، از دستور copy tftp running-config file_id   به منظور كپی ليست دستيابی بر روی روتر استفاده می گردد . در نهايت از دستور  copy running-config startup-config به منظور ذخيره ليست دستيابی درون حافظه NVRAM روتر استفاده می گردد . در صورتی كه لازم است تغييراتی در ليست دستيابی اعمال گردد ، تغييرات را در فايل متن بر روی سرويس دهنده TFTP اعمال و فايل متن ويرايش شده را بر روی روتر كپی می نمائيم .
توجه داشته باشيد كه اولين دستور در يك فايل حاوی ليست دستيابی ويرايش شده ، حذف ليست دستيابی قبلی است . ( مثلا" استفاده از دستور no access-list در ابتدای فايل ) . در صورت عدم انجام اين كار ، پس از كپی فايل ويرايش شده به روتر عبارات اضافی به انتهای ليست دستيابی موجود اضافه خواهند شد .

مرحله دوم : نسب دادن ليست دستيابی به يك اينترفيس
برای برخی  از پروتكل ها می توان به يك اينترفيس دو ليست دستيابی را نسبت داد . در چنين مواردی يكی از ليست های دستيابی به عنوان ليست دستيابی ورودی و ليست ديگر به عنوان ليست دستيابی خروجی ايفای وظيفه خواهند كرد .
در صورتی كه ليست دستيابی از نوع ورودی باشد ، پس از دريافت يك بسته اطلاعاتی توسط روتر ، نرم افزار IOS عبارات موجود در ليست دستيابی را بررسی می نمايد .  در صورتی كه در ليست ضابطه ای تعريف شده باشد كه امكان ورود اينچنين بسته های اطلاعاتی را مجاز شمرده باشد ، پردازش بسته اطلاعاتی ادامه خواهد يافت .در صورتی كه ماحصل بررسی انجام شده در ليست دستيابی عدم وجود هيچگونه ضابطه و يا شرطی برای ورود اينچنين بسته های اطلاعاتی باشد با آنها برخورد خواهد شد و عملا" نرم افزار IOS آنها را دور خواهد انداخت .
در صورتی كه ليست دستيابی از نوع خروجی باشد ، پس از دريافت و روتينگ يك بسته اطلاعاتی به اينترفيس خروجی ، نرم افزار IOS عبارات موجود در ليست دستيابی را بررسی و در صورت يافتن ضابطه ای كه حاوی مجوز ارسال اينچنين بسته های اطلاعاتی باشد ، آن را ارسال و در غيراينصورت آن را دور خواهد انداخت.
در مطالبی جداگانه به تشريح نحوه تعريف و  استفاده كاربردی از ليست های دستيابی خواهيم پرداخت .

پيكربندی اوليه روتر ( بخش اول )
با اين كه پيكربندی روتر به منظور انجام عمليات پيچيده بين شبكه ای می تواند چالش های مختص به خود را داشته باشد ولی پيكربندی اوليه  آن كار چندان مشكلی نمی باشد. پيكربندی اوليه روتر مستلزم استفاده از رويه هائی نسبتا" ساده است كه به وجود آنها در تمامی موارد و صرفنظر از ميزان پيچيدگی عمليات نياز خواهد بود . در صورت كسب مهارت به منظور استفاده از رويه ها و حركت ببن مدهای مختلف ، پيكربندی روتر به منظور انجام عمليات بين شبكه ای پيچيده ، مسائل و مشكلات كمتری را به دنبال خواهد داشت .
در مجموعه مطالبی كه با عنوان "پيكربندی اوليه روتر " تهيه و بر روی سايت منتشر خواهد شد با پيكربندی اوليه روتر آشنا خواهيم شد . بدين منظور موارد زير را بررسی خواهيم كرد :

  • نامگذاری يك روتر
  • تعريف و تنظيم رمزهای عبور
  • بررسی دستورات show
  • پيكربندی يك اينترفيس سريال
  • پيكربندی يك اينترفيس اترنت
  • ذخيره تغييرات و پيكربندی انجام شده در روتر
  • پيكربندی و تشريح يك اينترفيس
  • پيكربندی جداول host 
  • اهميت backup و مستند سازی پيكربندی روتر

قبل از هر چيز لازم است به اين نكته مهم اشاره گردد كه پيكربندی انجام شده می بايست مستند و در فواصل زمانی مشخص از آن backup گرفته شود .IOS سيسكو چندين ابزار مديريتی را به منظور اضافه كردن اطلاعات به فايل پيكربندی برای اهداف مستندسازی ارائه نموده است . همانند يك برنامه نويس با تجربه كه مستندات لازم برای هر مرحله برنامه نويسی را آماده می نمايد ، يك مدير شبكه نيز می بايست اطلاعات پيكربندی را بگونه ای مستند نمايد كه امكان استفاده از آنها توسط ساير مديران شبكه وجود داشته باشد . 

CLI command modes
تمامی تغييرات پيكربندی يك روتر از طريق global configuration mode  انجام می شود . از ساير مدهای موجود با توجه نوع تغييرات استفاده خواهد شد . ساير مدها زير مجموعه global configuration mode می باشند .
از دستورات global configuration mode به منظور اعمال تغييراتی استفاده می گردد كه تمامی سيستم را تحت تاثير قرار می دهند . با استفاده از دستور زير می توان به  global configuration mode  وارد و دستورات مورد نظر به منظور پيكربندی روتر را فعال نمود .

Router#configure terminal
Router(config)#

global configuration mode كه به اختصار به آن global config نيز گفته می شود ، مد پيكربندی اوليه روتر محسوب می گردد . از طريق اين mode می توان به چندين mode ديگر وارد شد :

  • Interface mode
  • Line mode
  • Router mode 
  • Subinterface mode 

·         Controller mode


CLI command modes

پس از ورود به هر يك از مدهای فوق شكل پرامپت تغيير خواهد كرد . توجه داشته باشيد كه هر نوع تغيير پيكربندی كه در يك مد انجام می شود صرفا" به اينترفيس ها و يا پردازه های مورد حمايت در آن مد خاص اعمال خواهد شد .
با تايپ دستور exit  از هر يك از مدهای فوق به global configuration mode برمی گرديم . با فعال كردن توام كليدهای Ctrl-Z از global configuration mode خارج و به privileged EXEC mode برمی گرديم . 

تعريف و پيكربندی يك نام برای روتر
در اولين مرحله پيكربندی روتر می بايست يك نام منحصربفرد به روتر نسبت داده شود . بدين منظور لازم است كه به global configuration mode وارد و دستور hostname را به صورت زير تايپ نمائيم .

Router#hostname Router1
Router1(config)#

پس از فشردن كليد Enter ، نام host پيش فرض در نظر گرفته شده برای روتر ( Router ) به Router1 تغيير و در شكل پرامپت نشان داده می شود .

تعريف و پيكربندی رمزهای عبور روتر
استفاده از رمزهای عبور باعث اعمال محدوديت در دستيابی به روتر می گردد . از رمزهای عبور همواره می بايست در ارتباط با خطوط ترمينال مجازی و خط كنسول استفاده شود . از رمزهای عبور همچنين به منظور كنترل دستيابی به privileged EXEC mode استفاده می گردد تا صرفا" كاربران مجاز قادر به انجام تغييرات در فايل پيكربندی باشند .
از دستورات زير به منظور تعريف رمز عبور بر روی خط كنسول استفاده می گردد :

Router1(config)#line console 0
Router1(config-line)#password
Router1(config-line)#login

يك رمز عبور می بايست بر روی يك و يا چندين خط ترمينال مجازی ( VTY : برگرفته از virtual terminal lines ) استفاده شود تا صرفا" كاربران مجاز از راه دور بتوانند با استفاده از برنامه Telnet به روتر متصل شوند . معمولا" روترهای سيسكو پنج خط VTY را كه با اعداد از صفر تا چهار مشخص می گردند ، حمايت می نمايد ( توجه داشته باشيد كه پلت فرم های سخت افزاری متفاوت از تعداد خطوط VTY مختلفی حمايت می نمايند ) . معمولا" بر روی تمامی خطوط يك رمز عبور تعريف می گردد ولی برخی مواقع لازم است كه برای هر خط يك رمز عبور منحصربفرد در نظر گرفته شود . دستورات زير رمز عبور را بر روی خطوط VTY تعريف می نمايد .

Router1(config)#line vty 0 4
Router1(config-line)#password
Router1(config-line)#login

برای اعمال محدوديت دستيابی به  privileged EXEC mode از دستور enable password و يا enable secret استفاده می گردد . از دستور enable password صرفا" در  مواردی استفاده می گردد كه رمزعبوری با استفاده از enable secret در نظر گرفته نشده باشد . توصيه می گردد كه همواره از enable secret استفاده گردد چراكه رمزعبور در نظر گرفته شود با استفاده از الگوريتم های رمزنگاری ، كد خواهد شد . اين وضعيت در خصوص دستور enable وجود ندارد . دستورات زير نحوه تعريف رمز عبور به منظور كنترل دستيابی به  privileged EXEC mode را نشان می دهد .

Router1(config)#enable password
Router1(config)#enable secret  

برخی مواقع لازم است كه رمزهای عبور در نظر گرفت شده در هنگام اجرای دستورات show running-config  و  show startup-config در خروجی به صورت clear text نمايش داده نشود . بدين منظور می توان از دستور زير به منظور رمزنگاری رمزهای عبور در خروجی پيكربندی استفاده گردد .

Router1(config)#service password-encryption

 

دستور service password-encryption با استفاده از يك الگوريتم ضعيف تمامی رمزهای عبور غيررمزشده  را رمزنگاری می نمايد . اين در حالی است كه دستور  enable secret  از الگوريتم قدرتمند MD5 برای رمزنگاری استفاده می نمايد .

ساير مطالب مرتبط :
آشنائی با سيستم عامل روتر
راه اندازی اوليه روتر
راه اندازی روتر : ايجاد يك  HyperTerminal Session
راه اندازی روتر :  Logging
راه اندازی روتر

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:21 AM |

آشنائی با روترهای سيسکو
سيسکو يکی از معتبرترين توليد کنندگان روتر و سوئيچ در سطح جهان است که از محصولات آن در مراکر شبکه ای متعددی استفاده می گردد . اين شرکت تاکنون مدل های متعددی  از روترها را با قابليت های مختلفی توليد نموده است . سری 1600 ،  2500 و   2600 ، متداولترين نمونه در اين زمينه می باشند . روترهای توليد شده توسط اين شرکت از سری  600 شروع و تا سری 12000 ادامه می يابد( در حال حاضر )  . شکل زير برخی از نمونه های موجود را نشان می دهد :

سری 12000

سری 2600

منبع : سايت سيسکو

تمامی تجهيزات فوق ، نرم افزار خاصی را با نام Internetwork Operating System و يا IOS اجراء می نمايند . IOS ، هسته روترها  و اکثر سوئيچ های توليد شده توسط سيسکو ، محسوب می گردد . اين شرکت با رعايت اصل مهم سازگاری که از آن به عنوان يک استراتژی مهم در توليد و با نام  Cisco Fusion ، نام برده می شود ،   قصد دارد محصولات خود را بگونه ای توليد نمايد که تمامی دستگاههای سيسکو يک سيستم عامل يکسان را اجراء نمايند .

عناصر اصلی در يک روتر سيسکو

·          اينترفيس ( Interfaces  ) .با استفاده از اينترفيس ها  ، امکان استفاده از روتر فراهم می گردد . اينترفيس  ها شامل  پورت های سريال و اترنت  مختلفی می باشند که از آنان به منظور اتصال روتر به شبکه LAN استفاده می گردد .هر روتر با توجه به پتانسيل های ارائه شده ، دارای اينترفيس های متعددی است . برای هر يک از اينترفيس های روتر از يک نام خاص استفاده می شود . جدول زير برخی از اسامی متداول را نشان می دهد .

نام اينترفيس

کاربرد

E0

first Ethernet interface

E1

second Ethernet interface

S0

first Serial interface

S1

second Serial interface

BRI 0

first B channel for Basic ISDN

BRI 1

second B channel for Basic ISDN

·         در شکل زير نمای پشت يک روتر سيسکو را به همراه اينترفيس های متفاوت آن مشاهده می نمائيد . ( يک روتر با قابليت استفاده از  ISDN ) .

·        
منبع : سايت سيسکو

·         همانگونه که مشاهده می نمائيد ، روتر فوق حتی دارای سوکت های مختص تلفن نيز می باشد ، چراکه با توجه به اين که روتر فوق از نوع ISDN می باشد ، می بايست يک تلفن ديجيتالی را به يک خط ISDN متصل نمود. روتر فوق علاوه بر اينترفيس های ISDN دارای يک اينترفيس اترنت به منظور اتصال به يک دستگاه در شبکه LAN است ( معمولا" يک هاب و يا يک کامپيوتر ) . در صورتی که اينترفيس فوق را به پورت uplink يک هاب متصل نمائيد ، می بايست سوئيچ کوچک موجود در پشت روتر را در حالت هاب ، تنظيم نمود . در صورتی که اينترفيس فوق را به يک دستگاه کامپيوتر متصل نمائيد ، می بايست وضعيت سوئيچ را در حالت node قرار داد . پورت Config و يا Console از نوع کانکتور DB9 ( مادگی ) بوده که با استفاده از يک کابل خاص به پورت سريال کامپيوتر متصل  تا  امکان پيکربندی مستقيم روتر ، فراهم می گردد .

·          پردازنده ( CPU ) : تمامی روترهای سيسکو دارای يک پردازنده اصلی می باشند که مسئوليت انجام عمليات اصلی در روتر را برعهده دارند . پردازنده با توليد وققه ( IRQ ) با ساير عناصر موجود در روتر ارتباط برقرار می نمايد . روترهای سيسکو از پردازنده های RISC موتورولا  استفاده می نمايند. معمولا" درصد استفاده از پردازنده بر روی يک روتر معمولی  از بيست تجاوز نمی نمايد .

·          IOS ،  سيستم عامل اصلی اجراء شده بر روی روترها است . IOS بر اساس فرآيند موسوم به Bootup ، لود  و در حافظه مستقر می گردد . حجم IOS  معمولا" بين دو تا پنچ مگابايت بوده و اين حجم می تواند با توجه به نوع روتر از ميزان اشاره شده نيز تجاوز نمايد . آخرين نسخه IOS در حال حاضر ، نسخه شماره دوازده است . شرکت سيسکو به صورت مستمر  و با هدف برطرف نمودن باگ ها و يا افزودن قابليـت های اضافه ، اقدام به ارائه نسخه های جانبی متعددی در طی هر ماه می نمايد . ( 1 . 12 ، 2. 12 ) .
IOS ، قابليت ها و پتانسيل های متعددی را در رابطه با روتر ارائه داده و می توان آن را بهنگام و يا به منظور Backup گرفتن آن را از روتر download  نمود . در سری 16000 به بالا ، IOS بر روی يک حافظه فلش کارت PCMCIA ارائه شده است . حافظه فوق ، در ادامه به يک اسلات موجود در پشت روتر متصل شده و از طريق آن   IOS image ، لود می گردد . IOS image  ، معمولا" فشرده بوده و روتر می بايست آن را از حالت فشرده خارج نمايد.
IOS يکی از مهمترين عناصر موجود در يک روتر بوده و بدون وجود آن ، امکان استفاده از روتر وجود نخواهد داشت . به منظور استقرار IOS در حافظه ضرورتی به داشتن يک کارت فلش ( همانگونه که در خصوص روترهای سری 1600 اشاره گرديد ) نخواهد بود . بدين منظور می توان پيکربندی اکثر روترهای سيسکو را به منظور لود IOS image از طريق يک سرويس دهنده tftp شبکه و يا روتر ديگری که دارای چندين IOS image برای روترهای متفاوتی است ، انجام داد . در چنين روترهائی از يک فلش کارت حافظه با ظرفيت بالا به منظور ذخيره سازی چندين ISO image ، استفاده می گردد .

·          RXBoot Image ، که به آن Bootloader نيز گفته می شود ، چيزی بيشتر از يک نسخه کم حجم  IOS نبوده که در حافظه ROM روتر مستقر می گردد . در صورتی که  يک روتر دارای فلش کارت لازم به منظور لود IOS نباشد، می توان پيکربندی روتر را بگونه ای انجام داد که RXBoot image را لود نمايد . با لود برنامه فوق ، امکان  انجام عمليات اوليه نگهداری و  فعال نمودن و يا غير فعال کردن اينترفيس های متفاوت آن فراهم می گردد .

·         حافظه RAM ، محلی است که روتر،  IOS و فايل های پيکربندی را در آن لود می نمايد . عملکرد حافظه فوق مشابه حافظه RAM استفاده شده در کامپيوتر است ( استقرار سيستم عامل و برنامه های کاربردی متفاوت ) . ميزان حافظه RAM  مورد نياز يک روتر ، بستگی به اندازه  IOS image و فايل های پيکربندی دارد . در اکثر موارد و در روترهای کوچک تر ( سری 1600 ) ، حافظه RAM استفاده شده بين دوازده تا شانزده مگابايت می باشد.اين وضعيت در روترهای بزرگتر که  دارای  ISO image بيشتری می باشند، بين سی و دو  تا شصت و چهار مگابايت خواهد بود . با توجه به استقرار جداول روتينگ در حافظه RAM ، در صورتی که جداول فوق بزرگ و پيچيده می باشند ، می بايست از يک روتر با ميزان حافظه RAM مناسبی استفاده گردد .

·         حافظه ( NVRAM ( Non-Volatile RAM  . روترها از حافظه فوق به منظور ذخيره و نگهداری اطلاعات مربوط به پيکربندی خود استفاده می نمايند . پس از پيکربندی يک روتر ، نتايج و ماحصل عمليات در  NVRAM ذخيره می گردد . حجم حافظه فوق در مقايسه با حافظه های RAM ، اندک می باشد. مثلا" در روترهای سری 1600 ، حجم حافظه فوق به هشت کيلوبايت می رسد. در روترهای بزرگتری نظير سری 2600 ، حجم حافظه NVRAM به سی و دو  کيلوبايـت می رسد . پس از راه اندازی يک روتر و لود  ISO image ، فايل پيکربندی از حافظه  NVRAM  به منظور انجام پيکربندی روتر ، لود می گردد . اطلاعات موجود در اين نوع از حافظه ها  ، پاک نخواهد شد (حتی زمانی که روتر Reload  و يا  خاموش است ) .

·         حافظه ROM ، از حافظه فوق به منظور راه اندازی و نگهداری روتر استفاده می گردد . حافظه فوق شامل برخی کدها نظير Bootstrap و POST بوده  که تسهيلات لازم در خصوص انجام تست های اوليه و راه انداری را برای روتر فراهم می نمايد . محتويات اين حافظه را نمی توان تغيير داد ( فقط خواندنی ). تمامی اطلاعات موجود در حافظه ROM توسط توليد کننده ذخيره شده است .

·         حافظه فلش ، همان کارتی است که در بخش IOS به آن اشاره گرديد .
 اين حافظه از نوع( EEPROM (Electrical Eraseable Programmable Read Only Memory ، می باشد . کارت فوق از طريق اسلاتی که در پشت يک روتر قرار دارد به روتر متصل می گردد و چيزی بيش از  IOS image را در خود ذخيره نمی نمايد . با استفاده از کنسول روتر می توان اطلاعاتی را در اين نوع حافظه نوشت و يا اقدام به حذف برخی اطلاعات موجود نمود . حجم حافظه فوق از 4 مگابايت در روترهای سری 1600 شروع شده و متناسب با مدل روتر ، افزايش می يابد .

·          ريجستر پيکربندی ( Configuration Register ) ، نقطه شروع فرآيند راه اندازی IOS  را مشخص می نمايد ( فلش کارت ، سرويس دهنده tftp و يا صرفا" لود RXBoot image ) . ريجستر فوق، شانزده بيتی است .

آشنائی با روتر
استفاده از روترها در شبکه به امری متداول تبديل شده است . يکی از دلايل مهم گسترش استفاده از روتر ، ضرورت اتصال يک شبکه به چندين شبکه ديگر ( اينترنت و يا ساير سايت ها ی از راه دور ) در عصر حاضر است . نام در نظر گرفته شده برای روترها ، متناسب با کاری است که آنان انجام می دهند : " ارسال داده از يک شبکه به شبکه ای ديگر " . مثلا" در صورتی که يک شرکت دارای شعبه ای در تهران و  يک دفتر ديگر در اهواز باشد ، به منظور اتصال آنان به يکديگر می توان از يک خط  leased ( اختصاصی ) که به هر يک از روترهای موجود در دفاتر متصل می گردد ، استفاده نمود . بدين ترتيب ، هر گونه ترافيکی که لازم است از يک سايت به سايت ديگر انجام شود از طريق روتر محقق شده و تمامی ترافيک های غيرضروری ديگر فيلتر و در پهنای باند و هزينه های مربوطه ، صرفه جوئی می گردد .

انواع روترها
روترها را می توان به دو گروه عمده سخت افزاری و نرم افزاری تقسيم نمود:

·         روترهای سخت افزاری : روترهای فوق ، سخت افزارهائی می باشند که نرم افزارهای خاص توليد شده توسط توليد کنندگان را اجراء می نمايند (در حال حاضر صرفا" به صورت black box به آنان نگاه می کنيم ).نرم افزار فوق ، قابليت روتينگ را برای روترها فراهم نموده تا آنان مهمترين و شايد ساده ترين وظيفه خود که ارسال داده از يک شبکه به شبکه ديگر است را بخوبی انجام دهند . اکثر شرکت ها ترجيح می دهند که از روترهای سخت افزاری استفاده نمايند چراکه آنان در مقايسه با روترهای نرم افزاری، دارای سرعت و اعتماد پذيری بيشتری می باشند . شکل زير يک نمونه روتر را نشان می دهد . ( Cisco 2600 Series Multiservice Platform )


منبع : سايت سيسکو

·         روترهای نرم افزاری : روترهای نرم افزاری دارای عملکردی  مشابه با روترهای سخت افزاری بوده و مسئوليت اصلی آنان نيز ارسال داده از يک شبکه به شبکه ديگر است. يک روتر نرم افزاری می تواند يک سرويس دهنده NT  ، يک سرويس دهنده نت ور و يا يک سرويس دهنده لينوکس باشد . تمامی سيستم های عامل شبکه ای مطرح ،دارای قابليت های روتينگ از قبل تعبيه شده می باشند .

در اکثر موارد از روترها به عنوان فايروال و يا gateway  اينترنت ، استفاده می گردد . در اين رابطه لازم است به يکی از مهمترين تفاوت های موجود بين روترهای نرم افزاری و سخت افزاری ، اشاره گردد : در اکثر موارد نمی توان يک روتر نرم افزاری را جايگزين يک روتر سخت افزاری نمود ، چراکه روترهای سخت افزاری دارای سخت افزار لازم و از قبل تعبيه شده ای می باشند که به آنان امکان اتصال به يک لينک خاص WAN ( از نوع Frame Relay ، ISDN و يا ATM ) را خواهد داد .يک روتر نرم افزاری ( نظير سرويس دهنده ويندوز ) دارای تعدادی کارت شبکه است که هر يک از آنان به يک شبکه LAN متصل شده و ساير اتصالات به شبکه های WAN از طريق روترهای سخت افزاری ، انجام خواهد شد .

مثال 1 :  استفاده از روتر به منظور اتصال دو شبکه به يکديگر و ارتباط به اينترنت
فرض کنيد از يک روتر مطابق شکل زير به منظور اتصال دو شبکه LAN به يکديگر و اينترنت ، استفاده شده است . زمانی که روتر داده ای را از طريق يک شبکه LAN و يا اينترنت دريافت می نمايد ، پس از بررسی آدرس مبداء و مقصد ، داده دريافتی را برای هر يک از شبکه ها و يا اينترنت ارسال می نمايد . روتر استفاده شده در شکل زير ، شبکه را به دو بخش متفاوت تقسيم نموده است .( دو شبکه مجزاء ) . هر شبکه دارای يک هاب است که تمامی کامپيوترهای موجود در شبکه به آن متصل شده اند . علاوه بر موارد فوق ، روتر استفاده شده دارای اينترفيس های لازم به منظور اتصال هر شبکه به آن بوده و از يک اينترفيس ديگر به منظور اتصال به اينترنت ، استفاده می نمايد . بدين ترتيب ،  روتر قادر است داده مورد نظر را به مقصد درست ، ارسال نمايد .

 مثال 2:  استفاده از روتر در يک شبکه LAN
فرض کنيد از يک روتر مطابق شکل زير در يک شبکه LAN ، استفاده شده است . در مدل فوق ، هر يک از دستگاههای  موجود در شبکه با روتر موجود نظير يک gateway برخورد می نمايند . بدين ترتيب ، هر يک از ماشين های موجود بر روی شبکه LAN که قصد ارسال يک بسته اطلاعاتی ( اينترنت و يا هر محل خارج از شبکه LAN ) را داشته باشند ، بسته اطلاعاتی مورد نظر را برای gateway ارسال می نمايند . روتر ( gateway ) نسبت به محل ارسال داده دارای آگاهی لازم می باشد . ( در زمان تنظيم خصلت های پروتکل TCP/IP برای هر يک از ماشين های موجود در شبکه يک آدرس IP برای gateway در نظر گرفته می شود ) .  شکل زير نحوه استفاده از يک روتر به منظور دستيابی کاربران به اينترنت در شبکه LAN را نشان می دهد :

 مثال 3:  استفاده از روتر به منظور اتصال دو دفتر کار
فرض کنيد ، بخواهيم از روتر به منظور اتصال دو دفتر کار يک سازمان به يکديگر ، استفاده نمائيم . بدين منظور هر يک از روترهای موجود در شبکه با استفاده از يک پروتکل WAN نظير ISDN به يکديگر متصل می گردند . عملا" ، با استفاده از يک کابل که توسط ISP مربوطه ارائه می گردد ، امکان اتصال به اينترفيس WAN روتر فراهم شده و از آنجا سيگنال مستقيما" به شبکه ISP مربوطه رفته و سر ديگر آن به اينترفيس WAN روتر ديگر متصل می گردد . روترها ، قادر به حمايت از پروتکل های WAN متعددی نظير  Frame Relay , ATM , HDLC و يا PPP ، می باشند .

مهمترين ويژگی های يک روتر :

  • روترها دستگاههای لايه سوم ( مدل مرجع OSI ) می باشند .
  • روترها ماداميکه برنامه ريزی نگردند ، امکان توزيع داده را نخواهند داشت .
  • اکثر روترهای مهم  دارای سيستم عامل اختصاصی خاص خود می باشند .
  • روترها از پروتکل های خاصی به منظور مبادله اطلاعات ضروری خود ( منظور داده نيست ) ، استفاده می نمايند .
نحوه عملکرد يک روتر در اينترنت  : مسير ايجاد شده برای انجام مبادله اطلاعاتی بين سرويس گيرنده و سرويس دهنده در تمامی مدت زمان انجام تراکش ثابت و يکسان نبوده و متناسب با وضعيت ترافيک موجود و در دسترس بودن مسير ، تغيير می نمايد
+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:21 AM |

ماهيت و نحوه پيكربندی دستگاه های شبكه ای
استفاده از فن آوری های متعدد و درعين حال پويا در طراحی ، پياده سازی و نگهداری شبكه های كامپيوتری ، ضرورت ارتقاء مستمر دانش برای علاقه مندان فعاليت در اين عرصه را به يك بايد تبديل كرده است . صرفنظر از ميزان اطلاعات شما در خصوص شبكه های كامپيوتری، همواره لازم است كه با يك ديد جديد به بازنگری اندوخته های خود پرداخته  تا از اين رهگذر يك ساختار مناسب علمی  در جهت مديريت و اشكال زدائی بهينه شبكه در ذهن ايجاد گردد .
علاقه مندان فعاليت در عرصه مديريت شبكه های كامپيوتری ، می بايست دارای اطلاعات مناسبی در موارد متعددی نظير تفاوت روتر با سوئيچ و اصول اوليه آدرس دهی IP باشند. علاوه بر اين ، توجه دقيق به برخی از مفاهيم كليدی در خصوص ماهيت و نحوه پيكربندی دستگاه های شبكه ای نيز حائز اهميت است . در ادامه به بررسی مواردی خواهيم پرداخت كه توجه به آنها، مسير ما را برای حركت منطقی و سريع به سمت جلو هموارتر می نمايد. 

نكته اول : آگاهی از تفاوت بين پروتكل های routing و routed
 واژه routing  در شبكه های كامپيوتری به انتخاب مسير جهت ارسال داده اطلاق می گردد. پروتكل های routing ، به آندسته از پروتكل هائی اطلاق می شود كه مسئوليت توزيع اطلاعات روتينگ بين ساير روترهای موجود در يك شبكه را برعهده دارند. هر روتر می بايست نسبت به ساير شبكه هائی كه به وی متصل شده اند آگاهی داشته باشد . پروتكل های زير نمونه هائی از پروتكل های routing می باشند :

·         OSPF ( برگرفته از  Open Shortest Path First   )

·         RIP ( برگرفته از Routing Information Protocol  )

·         EIGRP ( برگرفته از Enhanced Interior Gateway Routing Protocol  )

·         BGP ( برگرفته از Border Gateway Protocol  )

هر پروتكل شبكه كه اطلاعات لازم در سطح لايه شبكه را ارائه می نمايد تا به كمك آن يك packet بتواند از يك ميزبان به ميزبان ديگر ( بر اساس يك مدل آدرس دهی ) ارسال گردد ، يك پروتكل routed محسوب می گردد . اين نوع پروتكل ها فرمت يك packet را تعريف و از فيلدهای موجود در آن استفاده می نمايند . پروتكل IP يك نمونه از پروتكل های routed و  NetBEUI ( برگرفته از  NetBIOS Extended User Interface ) نمونه ای از يك پروتكل non-routable است .

نكته دوم : آشنائی با حالات متفاوت مديريت روتر
بخش رابط كاربر IOS روترهای سيسكو به چندين حالت (mode ) متفاوت تقسيم می گردد . هر command mode ، امكان پيكربندی عناصر مختلفی را بر روی روتر فراهم می نمايد . با توجه به موضوع فوق ، مديران شبكه می بايست شناخت مناسبی نسبت به هر يك از سطوح مجاز روتر داشته باشند . به  عبارت ديگر ، آگاهی و شناخت مناسب نسبت به عملكرد هر command mode  و نحوه استفاده از پتانسيل های موجود، امكان پيكربندی بهينه روتر را فراهم می نمايد. 

·          User Exec Mode :  پس از log in به يك روتر سيسكو ،  به صورت پيش فرض در اين mode قرار خواهيم گرفت . در mode فوق ، عمليات زيادی را نمی توان انجام داد و صرفا" امكان دستيابی و مشاهده برخی اطلاعات وجود دارد . در اين mode امكان تغيير پيكربندی روتر وجود ندارد . از دستور enable برای استقرار در Privileged EXEC Mode  استفاده می گردد .
 

·          Privileged Exec Mode : پس از استقرار در اين mode با استفاده از مجموعه دستورات موجود می توان به مجموعه كاملی از اطلاعات دستيابی داشت . مثلا"  با استفاده از گونه های مختلف دستور ‌show می توان اطلاعات گسترده ای در خصوص وضعيت روتر و پيكربندی آن را مشاهده نمود . در اين mode  نيز نمی توان  پيكربندی روتر را تعيير داد  و می بايست از ساير مدهای زير مجموعه ( sub modes ) استفاده نمود . از دستور config terminal به منظور استقرار در Global Configuration Mode  استفاده می گردد .
 

·          Global Configuration Mode : با استفاده از امكانات موجود در اين mode می توان پيكربندی روتر را تغيير داد . از دستور exit به منظور برگشت به Privileged Exec Mod استفاده می گردد .

نكته سوم :  شناخت مناسب نسبت به گونه های مختلف دستور show
دستور show ، از جمله دستورات مهم در IOS سيسكو است كه از آن در موارد متعددی استفاده می گردد . با اين كه می بايست با تمامی قابليت های اين دستور آشنا گرديد ولی استفاده از آن در برخی موارد دارای اهميت بيشتری است  :  

·         Show ip route : دستور فوق ، مسيرهای موجود بر روی روتر را نمايش می دهد ( اطلاعات موجود در جدول روتينگ IP ) . مسيرهای روتر می توانند به صورت ايستا و يا پويا تعريف گردند . در صورت عدم تعريف يك مسير پيش فرض و يا عدم وجود مقصدی كه ترافيك روتر می بايست به آن هدايت شود ، روتر ترافيك منتقل شده به خود را ناديده گرفته و از آن صرفنظر می نمايد .
 

·         show running-configuration : دستور فوق ، پيكربندی جاری روتر را نشان می دهد . در صورت اعمال هرگونه تغييرات در پيكربندی روتر ، می بايست با استفاده از دستور  copy run start آنان را ذخيره نمود .
 

·         show ip interface brief : دستور فوق ، خلاصه ای از وضعيت جاری تمامی اينترفيس های موجود بر روی روتر را نمايش می دهد . از خروجی اين دستور می توان به منظور تشخيص تعداد و نوع اينترفيس ها ،‌ آدرس و وضعيت آنان ( فعال بودن و يا غيرفعال بودن ) ، استفاده نمود. 

نكته چهارم : آگاهی از نحوه عملكرد آدرس های IP خصوصی و NAT با يكديگر
بر اساس RFC 1918 ، آدرس های IP خصوصی قابل route بر روی شبكه اينترنت نمی باشند .از آدرس های فوق صرفا" در شبكه های داخلی استفاده می گردد و روترهای اينترنت ترافيك دريافتی از اين نوع شبكه ها را دورخواهند انداخت .

10.0.0.0 /8 or 255.0.0.0
172.16.0.0 /12 or 255.240.0.0
192.168.0.0 /16 or 255.255.0.0

 اكثر شركت ها و شبكه های موجود در منازل در حال حاضر از آدرس های IP خصوصی استفاده می نمايند .  شايد برای شما اين سوال مطرح شده باشد كه با توجه به اين كه روترها اينگونه آدرس ها را route نخواهند كرد ، نحوه مبادله اطلاعات از طريق كاربران اينگونه شبكه ها برروی اينترنت به چه صورت است ؟  در پاسخ می بايست به اين موضوع اشاره نمود كه در اين نوع شبكه ها از NAT ( برگرفته از network address translation   ) استفاده می گردد .  NAT ، آدرس های IP خصوصی را به آدرس های IP عمومی تبديل ( ترجمه ) می نمايد .( در زمان ارسال و برگشت درخواست كاربران ) .

نكته پنجم : آگاهی از نحوه اشكال زدائی شبكه با استفاده از مدل OSI
اشكال زدائی شبكه از جمله وظايف مهم مديران شبكه های كامپيوتری است كه در صورت عدم تبعيت از يك رويكرد علمی به منظور برخورد با آن ، اتلاف منابع موجود خصوصا" زمان را به دنبال خواهد داشت . به منظور اشكال زدائی  شبكه از روش های متفاوتی استفاده می گردد . پيشنهاد می گردد كه از لايه فيزيكی ( لايه اول) مدل OSI كار شروع شود و بتدريج به سمت لايه های ديگر حركت گردد . رويكرد فوق ، يكی از سريعترين روش های اشكال زدائی در شبكه های كامپيوتری است . 

ساير مطالب مرتبط :

اصول اوليه پيكربندی روتر
پيكربندی روتر ، از جمله اهداف مشترك تمامی مديران شبكه های كامپيوتری است . با اين كه پيكربندی روتر برای انجام عمليات پيچيده بين شبكه ای چالش های مختص به خود را دارد ، ولی انجام برخی از عمليات اوليه كار مشكلی بنظر نمی آيد . برای پيكربندی يك روتر لازم است كه در ابتدا با برخی مفاهيم كليدی آشنا شويم تا در ادامه بتوانيم با سرعت بيشتری از CLI ( برگرفته از   command-line interface ) استفاده نمائيم.
در ادامه با برخی از اين مفاهيم كليدی آشنا می شويم .
 

استفاده از Help
برای آشنائی با نحوه عملكرد و گرامر يك دستور می توان از "?" و كليدهای جهت نما، استفاده نمود .

·         تايپ "?" به منظور مشاهده ليستی از دستورات موجود در هر mode 

تايپ دستور

خروجی

Router>?

Exec commands:
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
clear Reset functions
connect Open a terminal connection
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
exit Exit from the EXEC
help Description of the interactive help system
lock Lock the terminal
login Log in as a particular user
logout Exit from the EXEC
--More--

·         استفاده از  "?" پس از تايپ چند حرف از يك دستور به منظور تكميل آن ( بدون فاصله )

تايپ دستور

خروجی

Router>sh?

show

·         استفاده از  "?" پس از تايپ دستور با حداقل يك فاصله به منظور مشاهده ليستی از گونه های متفاوت يك دستور

تايپ دستور

خروجی

Router>show ?

alps                Alps information
backup          Backup status
clock             Display the system clock
compress       Show compression statistics
dialer             Dialer parameters and statistics
drip               DRiP DB
flash              display information about flash: file system

·         استفاده از كليدهای جهت نما به منظور نمايش مجدد دستورات تايپ شده

آشنائی با حالات متفاوت دستورات
بخش رابط كاربر IOS روترهای سيسكو به چندين حالت (mode ) متفاوت تقسيم می گردد . هر command mode ، امكان پيكربندی عناصر مختلفی را بر روی روتر فراهم می نمايد . با توجه به نوع command mode از مجموعه دستورات خاصی می توان استفاده نمود . به عبارت ديگر ، هر command mode ما را محدود به استفاده از مجموعه ای از دستورات می نمايد . با تايپ علامت سوال (?) در هر command mode ، می توان ليستی از دستورات مجاز در آن mode خاص را مشاهده نمود( در زمان استفاده از help به شكل پرامپت دقت نمائيد ) .  
جدول زير انواع command mode  متداول و نحوه ورود و خروج از آن mode  را نشان می دهد .

command mode

 روش دستيابی

 شكل پرامپت

روش خروج

 User  EXEC

Log in

 Router1>

 استفاده از دستور Logout

 privileged  EXEC

 تايپ دستور enable
از طريق user EXEC mode

 Router#

استفاده از دستور    exit و يا logout
برای برگشت به
 user EXEC mode 

Global configuration

تايپ دستور
 configure terminal
از طريق privileged EXEC mode

 Router (config)#

استفاده از دستور ات
   exit  ، end
و يا كليدهای
 Ctrl-z 
برای برگشت به
privileged EXEC mode

Interface configuration

تايپ  دستور
 interface type number نظير  :
interface serial 0/0
از طريق
 global configuration mode
 

 Router (config-if)#

برای برگشت به
global configuration mode
تايپ
دستور exit
و برای برگشت مستقيم به
privileged EXEC mode
   از كليدهای Ctrl-z

در هر command mode می توان با فشردن كليدهای Ctrl-Z مستقيما" به privileged EXEC mode  برگشت ، در مقابل استفاده از دستور exit كه ما را به mode قبلی برمی گرداند .
مثال : مجموعه دستورات زير نحوه سوئيچينگ بين command modes را نشان می دهد .

تايپ دستورات

Router> enable
Router# configure terminal
Router(config)# interface serial 0/0
Router(config-if)# line 0
Router(config-line)# controller t1 0
Router(config-controller)# exit
Router(config)# exit
Router#

ابطال يك دستور و يا ويژگی خاص
به منظور ناديده گرفتن (Undoing) دستور تايپ شده و يا غيرفعال كردن يك ويژگی خاص ، می توان از كليد واژه no قبل از اكثر دستورات استفاده نمود ( نظير: no ip routing  ) .

ذخيره تغييرات پيكربندی
پس از انجام پيكربندی مورد نظر ، می بايست تغييرات اعمال شده را در حافظه NVRAM ( برگرفته از nonvolatile random-access memory ) ذخيره نمود. بدين ترتيب در صورت قطع برق و يا loading مجدد سيستم ، اطلاعات پيكربندی از بين نخواهند رفت . 

تايپ دستور

خروجی

Router# copy running-config startup-config
Building configuration...

[[OK]
 Router#

پس از تايپ دستور فوق ، پس از چند دقيقه ( يك تا دو ) اطلاعات پيكربندی در NVRAM ذخيره می گردد .

خلاصه 
پس از آشنائی اوليه با اصول نرم افزار IOS ، در ادامه می توان با استفاده از CLI پيكربندی روتر را انجام داد ( در مطالب جداگانه ای به اين موضوع خواهيم پرداخت ) .  در اين مطلب به موارد زير اشاره گرديد :

·         از علامت سوال (?) و كليدهای جهت نما می توان به منظور كمك در تايپ دستورات استفاده نمود .

·         هر command mode ما را محدود به مجموعه ای از دستورات می نمايد . با بررسی شكل پرامپت و تايپ علامت سوال، می توان از مجموعه دستورات آن mode آگاهی يافت .

·         برای غيرفعال كردن يك ويژگی و يا ابطال يك دستور می توان  از كليد واژه no قبل از اكثر دستورات استفاده نمود .

·         به منظور ذخيره دائم تغييرات پيكربندی ، می بايست اطلاعات در NVRAM ذخيره گردد .

ساير مطالب مرتبط :

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:20 AM |

راه اندازی روتر 

بخش اول :  مفاهيم اوليه

·         روتر يك نوع كامپيوتر خاص است كه دارای عناصر مشابه يك كامپيوتر استاندارد شخصی نظير پردازنده ، حافظه ، خطوط داده و اينترفيس های مختلف ورودی و خروجی است. روترها نيز همانند كامپيوترها كه برای اجرای برنامه ها  به يك سيستم عامل نياز دارند ، از خدمات يك سيستم عامل در ابعاد گسترده استفاده می نمايند .

·         فرآيند راه اندازی روتر با استقرار برنامه Bootstrap  ، سيستم عامل و يك فايل پيكربندی در حافظه آغاز می گردد . در صورتی كه روتر نتواند يك فايل پيكربندی را پيدا نمايد ، Setup mode فعال و پس از اتمام عمليات در اين mode ،‌ می توان يك نسخه backup از فايل پيكربندی را در حافظه NVRAM ذخيره نمود.هدف از اجرای روتين های راه انداز  نرم افزار IOS ، راه اندازی و آغاز فعاليت های يك روتر می باشد .

·         پس  از روشن كردن روتر ، در اولين اقدام برنامه ای موسوم به POST  ( برگرفته از  power-on self-test ) اجراء می گردد. برنامه فوق در حافظه ROM ذخيره و مشتمل بر روتين هائی است كه تمامی عناصر سخت افزاری روتر نظير پردازنده ، حافظه و پورت های اينترفيس شبكه را بررسی و تست می نمايد .  

·          IOS ( برگرفته از  Internetwork Operating System  ) ، نرم افزاری است كه از آن به منظور كنترل روتينگ و  سوئيچينگ دستگاه های بين شبكه ای استفاده می گردد . 

·         يك روتر و يا سوئيچ بدون وجود يك سيستم عامل قادر به انجام وظايف خود نمی باشند(همانند يك كامپيوتر ) . شركت سيسكو ،‌  سيستم عامل Cisco IOS را برای طيف گسترده ای از محصولات شبكه ای خود طراحی و پياده سازی نموده است . نرم افزار فوق، جزء لاينفك در معماری نرم افزار روترهای سيسكو می باشد و همچنين به عنوان سيستم عامل در سوئيچ های  Catalyst ايفای وظيفه می نمايد . بدون وجود يك سيستم عامل ، سخت افزار قادر به انجام هيچگونه عملياتی نخو اهد بود . ( عدم تامين شرايط لازم برای بالفعل شدن پتانسيل های سخت افزاری ) .

·         نرم افزار IOS از يك اينترفيس خط دستوری و يا CLI ( برگرفته از command-line interface  ) استفاده می نمايد. IOS يك تكنولوژی كليدی است كه از آن در اكثر خطوط توليد محصولات شركت سيسكو استفاده می گردد . عملكرد IOS با توجه به نوع دستگاه های بين شبكه ای متفاوت می باشد .
برای دستيابی به محيط IOS از روش های متعددی استفاده می گردد.

·         برای پيكربندی روترهای سيسكو ، می بايست در ابتدا به بخش رابط كاربر  آنان دستيابی داشت . بدين منظور ، می توان از يك ترمينال و يا دستيابی از راه دور استفاده نمود . پس از دستيابی به روتر ، در اولين اقدام می بايست عمليات logging را انجام تا زمينه استفاده از ساير دستورات به منظور مشاهده آخرين وضعيت پيكربندی و يا تغيير پيكربندی روتر فراهم گردد .

·         به منظور ارائه يك لايه امنيتی مناسب ،  امكان بالفعل كردن پتانسيل های ارائه شده ( دستورات )  روتر در دو mode متفاوت فراهم شده است .

·         برای آشنائی اوليه با فرآيند راه اندازی روتر و IOS ، مطالعه مطالب زير پيشنهاد می‌گردد :
آشنائی با سيستم عامل روتر
راه اندازی اوليه روتر
راه اندازی روتر : ايجاد يك  HyperTerminal Session
راه اندازی روتر :  Logging
 

بخش دوم :  پرسش و پاسخ

سوال يک : پس از راه اندازی روتر ، با استفاده از دستورات كدام mode می توانيم آخرين وضعيت روتر را مشاهده نمائيم ؟

a.        global configuration mode 

b.        setup mode

c.        Privileged mode

d.        user mode

مشاهده پاسخ :

پاسخ :  گزينه d
توضيحات :
به منظور ارائه يك لايه امنيتی مناسب ، امكان بالفعل كردن پتانسيل های ارائه شده ( دستورات ) روتر در دو mode متفاوت فراهم شده است :
User EXEC mode  : در اين mode ، عموما" دستوراتی را می توان اجراء نمود كه ماحصل اجرای آنان ، نمايش وضعيت پيكربندی روتر است و نمی توان با استفاده از مجموعه امكانات ارائه شده در اين mode ، پيكربندی روتر را تغيير داد .
Privileged EXEC mode : با استفاده از امكانات موجود در اين mode ، می توان پيكربندی روتر را انجام و تغييرات لازم را اعمال نمود .

 


سوال دوم : كداميك از گزينه های زير  عملكرد  كليدهای تركيبی در اينترفيس خط دستور را به درستی تشريح می نمايد ؟

a.        ESC + B : انتقال cursor  به كلمه قبلی

b.        Ctrl + E  : انتقال cursor به انتهای خط دستور

c.        Ctrl + B  : انتقال cursor به كاراكتر قبلی

d.        Ctrl + A  : انتقال cursor به ابتدای خط دستور

e.        تمام موارد

مشاهده پاسخ :

پاسخ :   گزينه e
توضيحات :
اينترفيس خط دستور  در روترهای سيسكو شامل يك mode اضافی ويرايش است كه با تعريف مجموعه ای از كليدها ، امكان ويرايش يك دستور را در اختيار كاربر قرار می دهد . mode  فوق ، به صورت پيش فرض فعال می گردد و در صورت تمايل می توان آن را با استفاده از دستور terminal no editing  در privileged EXEC mode  غيرفعال نمود .


سوال سوم: عملكرد تركيب كليدهای Ctrl و P در بخش اينترفيس خط دستور روتر چيست ؟  

a.        توقف پردازش جاری

b.        فراخوانی مجدد آخرين دستور

c.        نمايش ليست كاربرانی كه به روتر logging نموده اند

d.        ارسال اطلاعات نمايشگر بر روی چاپگر

مشاهده پاسخ :

پاسخ : گزينهb
توضيحات :
بخش رابط كاربر روتر به منظور استفاده مجدد از دستورات تايپ شده ، آنان را در يك بافر و با ظرفيت محدود نگهداری می نمايد ( سوابق و يا تاريخچه دستورات ) . برای‌ دستيابی به دستورات تايپ شده ، از كليدهای Ctrl-P و يا كليد Up arrow  ( حركت به سمت ابتدای ليست ) و  كليدهای Ctrl-N و يا down arrow ( حركت به سمت پائين ليست ) استفاده می گردد . 


سوال چهارم : با استفاده از دستور show version به چه نوع اطلاعاتی می توان دست يافت ؟

a.        نام فايل IOS

b.        نام روتر

c.        وضعيت هر اينترفيس

d.        آدرس IP نسبت داده شده به هر اينترفيس

مشاهده پاسخ :

پاسخ :  گزينه a
توضيحات :
استفاده از دستور Show version ، اطلاعات متنوعی را در رابطه با نسخه نرم افزار IOS نصب شده بر روی روتر، نمايش می دهد . از جمله اين اطلاعات ، نمايش نام فايل حاوی نرم افزار IOS است .
 


سوال پنجم : در كدام mode روتر ، می توان پيكربندی آن را تغيير داد ؟

a.        global configuration mode 

b.        setup mode

c.        Privileged mode

d.         user mode

مشاهده پاسخ :

پاسخ :  گزينه c و a
توضيحات :
به منظور ارائه يك لايه امنيتی مناسب ، امكان بالفعل كردن پتانسيل های ارائه شده ( دستورات ) روتر در دو mode متفاوت فراهم شده است :
User EXEC mode  : در اين mode ، عموما" دستوراتی را می توان اجراء نمود كه ماحصل اجرای آنان ، نمايش وضعيت پيكربندی روتر است و نمی توان با استفاده از مجموعه امكانات ارائه شده در اين mode ، پيكربندی روتر را تغيير داد .
Privileged EXEC mode : با استفاده از امكانات موجود در اين mode ، می توان پيكربندی روتر را انجام و تغييرات لازم را اعمال نمود .
 جهت ورود به برخی حالات خاص پيكربندی می توان از طريق Global Configuration Mode  اقدام نمود و در برخی موارد ديگر اين كار از طريق  Privileged mode  انجام می گردد .
 


سوال ششم : كدام گزينه زير عبارتی صحيح در رابطه با ويژگی "سوابق دستورات " بخش اينترفيس خط دستور روتر، نمی باشد؟

a.        می توان آن را غيرفعال نمود

b.        امكان دستيابی به سوابق دستورات  صرفا" از طريق كليدهای پيكانی وجود دارد .

c.        قابليتی مفيد جهت استفاده از دستوراتی است كه دارای يك گرامر طولانی می باشند .

d.        قادر به ذخيره حداكثر 256 دستور است .

مشاهده پاسخ :

پاسخ :  گزينه  b
توضيحات :
بخش اينترفيس خط دستور روتر به منظور استفاده مجدد از دستورات تايپ شده ، آنان را در يك بافر و با ظرفيت محدود نگهداری می نمايد ( سوابق و يا تاريخچه دستورات ) .
سوابق دستورات به صورت پيش فرض فعال می گردد و قادر به ذخيره حداكثر ده خط دستور در بافر مربوطه می باشد . برای تغيير تعداد دستوراتی كه می توان آنان را در ليست سوابق نگهداری نمود ، از دستور   terminal history size و يا   history size  استفاده می گردد . حداكثر 256 دستور را می توان در ليست سوابق نگهداری نمود .
برای‌ دستيابی به دستورات تايپ شده ، از كليدهای Ctrl-P و يا كليد Up arrow  ( حركت به سمت ابتدای ليست ) و  كليدهای Ctrl-N و يا down arrow ( حركت به سمت پائين ليست ) استفاده می گردد . 


سوال هفتم :كدام دستور زير ميزان حافظه موجود روتر به منظور ذخيره IOS image را نشان می دهد؟ ( دو گزينه را انتخاب نمائيد ) .

a.        router# Show flash

b.        router# show nvram

c.        router# show version

d.        router# show memory

e.        show# startup-configuration

f.         show# runing-configuration

مشاهده پاسخ :

پاسخ :  گزينه های a و c
توضيحات :
يكی از مهمترين مواردی كه در زمان انتخاب يك IOS image جديد می بايست به آن توجه گردد ، سازگاری آن با حافظه فلش و RAM است . نسخه های جديدتر عموما"  دارای امكانات بيشتری بوده و به حافظه بيشتری نيز نياز خواهند داشت . با استفاده از دستور Show version می توان وضعيت image موجود و حافظه فلش را مشاهده نمود . قبل از نصب يك نسخه جديد از نرم افزار IOS ، می بايست وضعيت حافظه آن به منظور اطمينان از وجود ظرفيت كافی ، بررسی گردد .
برای مشاهده ميزان حافظه RAM ،‌ از دستور Show version و برای مشاهده ميزان حافظه فلش می توان از دستور Show flash استفاده نمود .
 


سوال هشتم : برای پيكربندی اوليه روتر از كداميك از روش های ارتباطی زير استفاده می گردد؟ ( دو گزينه را انتخاب نمائيد ).

a.        استفاده از يك اتصال سريال از كامپيوتر به پورت كنسول روتر

b.        telnet به روتر از طريق يك پورت سريال

c.        استفاده از يك پورت vty كه از اينترفيس اترنت استفاده می نمايد.

d.        استفاده از كابل null modem كه به پورت Aux روتر متصل است.

مشاهده پاسخ :

پاسخ :  گزينه های a و d
توضيحات :
نرم افزار IOS از يك اينترفيس خط دستوری و يا CLI ( برگرفته از command-line interface ) استفاده می نمايد. IOS يك تكنولوژی كليدی است كه از آن در اكثر خطوط توليد محصولات شركت سيسكو استفاده می گردد . عملكرد IOS با توجه به نوع دستگاه های بين شبكه ای متفاوت می باشد .
برای دستيابی به محيط IOS از روش های متعددی استفاده می گردد :
console session : در اين روش با استفاده از يك اتصال سريال با سرعت پائين، كامپيوتر و يا دستگاه ترمينال را مستقيما" به پورت كنسول روتر متصل می نمايند . ( سرويس شبكه ای خاصی بر روی روتر پيكربندی نشده است )
ارتباط Dialup : در اين روش با استفاده از مودم و از طريق پورت كمكی ( AUX ) با روتر ارتباط برقرار می گردد . ( سرويس شبكه ای خاصی بر روی روتر پيكربندی نشده است ) .


سوال نهم: مسئوليت  IOS  در روتر چيست ؟

a.        عمليات  پايه روتينگ

b.        عمليات پايه سوئيچينگ

c.        دستيابی ايمن به منابع شبكه

d.        دستيابی مطمئن به منابع شبكه

e.        تمامی موارد

مشاهده پاسخ :

پاسخ :  گزينه e
يك روتر و يا سوئيچ بدون وجود يك سيستم عامل قادر به انجام وظايف خود نمی باشند(همانند يك كامپيوتر ) . شركت سيسكو ،‌ سيستم عامل Cisco IOS را برای طيف گسترده ای از محصولات شبكه ای خود طراحی و پياده سازی نموده است . نرم افزار فوق، جزء لاينفك در معماری نرم افزار روترهای سيسكو می باشد و همچنين به عنوان سيستم عامل در سوئيچ های Catalyst ايفای وظيفه می نمايد . بدون وجود يك سيستم عامل ، سخت افزار قادر به انجام هيچگونه عملياتی نخو اهد بود . ( عدم تامين شرايط لازم برای بالفعل شدن پتانسيل های سخت افزاری ) .
IOS ،‌ سرويس های‌ شبكه ای زير را ارائه می نمايد :
عمليات روتينگ و سوئيچينگ
دستيابی ايمن و مطمئن به منابع شبكه
قابليت توسعه و تغيير پيكربندی شبكه
 


سوال دهم:مراحل چهارگانه راه اندازی روتر به ترتيب عبارتند از :

a.        اجراء POST ، اجراء برنامه bootstrap از طريق حافظه ROM ، يافتن و استقرار سيستم عامل درون حافظه RAM ، استقرار فايل پيكربندی در حافظه RAM از طريق حافظه NVRAM
 

b.        اجراء برنامه bootstrap از طريق حافظه ROM ، اجراء POST ،  يافتن و استقرار سيستم عامل درون حافظه RAM ، استقرار فايل پيكربندی در حافظه RAM از طريق حافظه NVRAM
 

c.        استقرار فايل پيكربندی در حافظه RAM از طريق حافظه NVRAM   ، اجراء POST ، اجراء برنامه bootstrap از طريق حافظه ROM ، يافتن و استقرار سيستم عامل درون حافظه RAM  
 

d.        اجراء POST ، اجراء برنامه bootstrap از طريق حافظه ROM ،  استقرار فايل پيكربندی در حافظه RAM از طريق حافظه NVRAM   ، يافتن و استقرار سيستم عامل درون حافظه RAM

مشاهده پاسخ :

پاسخ :  گزينه a
پس از روشن كردن روتر ، در اولين اقدام برنامه ای موسوم به POST ( برگرفته از power-on self-test ) اجراء می گردد. برنامه فوق در حافظه ROM ذخيره و مشتمل بر روتين هائی است كه تمامی عناصر سخت افزاری روتر نظير پردازنده ، حافظه و پورت های اينترفيس شبكه را بررسی و تست می نمايد .
پس از حصول اطمينان از صحت عملكرد سخت افزار ،‌ فرآيند راه اندازی روتر بر اساس مراحل زير دنبال می شود :
مرحله اول : اجرای برنامه bootstrap loader موجود در حافظه ROM . مرحله دوم : يافتن محل ذخيره IOS .
مرحله سوم : استقرار IOS image در حافظه .
مرحله چهارم : استقرار فايل پيكربندی در حافظه و اجرای دستورات آن .
مرحله پنجم : فعال شدن Setup mode
 


آشنائی با هاب و سوئيچ 

سوال يک : کداميک از عبارات زير در رابطه با هاب درست  است ؟

a.        يک جعبه کوچک که دارای تعدادی پورت در قسمت پشت و يا جلو می باشد.

b.        يک نوع کابل شبکه است .

c.        يک کامپيوتر خاص که دارای مانيتور ، صفحه کليد و چاپگر    نمی باشد .

d.        يک برنامه نرم افزاری  است .

مشاهده پاسخ :

پاسخ :  گزينه a
توضيحات :
هاب يک جعبه کوچک سخت افزاری است که معمولا" دارای طولی به اندازه کمتر از سی سانتيمتر و ارتفاعی معادل پنج سانتی متر است . هاب ها را نمی توان مشابه يک کامپيوتر در نظر گرفت ، چراکه آنان دارای پردازنده و يا حافظه نمی باشند . هاب ها به نرم افزارهای خاصی نيز نياز ندارند . مهمترين ويژگی يک هاب تعداد پورت هائی است که می توان از طريق آنان کامپيوتر و ساير دستگاه های مورد نياز را به آنان متصل نمود .


سوال دوم : يکی از مهمترين ويژگی های هاب :

a.        حفاظت کامپيوترها در مقابل ويروس ها و افزودن يک سطح اضافه  امنيتی

b.        اشتراک محيط های ذخيره سازی موجود بر روی شبکه

c.        قابليت اشتراک فايل ها بين دو و يا چندين دستگاه کامپيوتر

d.        هيچکدام

مشاهده پاسخ :

پاسخ :   گزينه c
توضيحات :
با استفاده از هاب ، می توان چندين کامپيوتر را به يکديگر متصل تا  امکان مبادله اطلاعات بين آنان فراهم گردد . هاب ها دارای فضای ذخيره سازی مربوط به خود نبوده و همچنين از هوشمندی لازم به منظور پياده سازی نوع خاصی از امنيت و يا حفاظت در مقابل ويروس ها برخوردار نمی باشند .
 


سوال سوم:: کامپيوترها و يا ساير دستگاه های موجود در شبکه با استفاده از کداميک از امکانات زير به هاب متصل می شوند ؟

a.        buse

b.        Jack

c.        Port

d.        Socket 

مشاهده پاسخ :

پاسخ : گزينه c
توضيحات :
از پورت های موجود بر روی يک هاب به منظور اتصال کامپيوترها و ساير دستگاه های موجود در شبکه استفاده می گردد . از واژه سوکت معمولا" به منظور اتصالات نرم افزاری در مقابل اتصالات سخت افزاری استفاده می شود . واژه bus نيز  نشاندهنده نوع توپولوژی استفاده شده در يک شبکه است .


سوال چهارم : هر هاب دارای تعداد پورت مشخصی است . هاب های موجود  معمولا" دارای چه تعداد پورت می باشند؟ 

a.         دو ، چهار ، شش ، هشت  

b.        سه ، پنج ، هفت ، نه 

c.        چهار ، پنج ، هشت ، شانزده

d.        پنج ، ده ، پانزده ، بيست

مشاهده پاسخ :

پاسخ :  گزينه c
توضيحات :
اکثر هاب هائی که در شبکه های کوچک استفاده می شوند ، دارای چهار و يا هشت پورت می باشند. از هاب های شانزده و بيست و چهار پورت نيز در شبکه های بزرگتر استفاده می شود .برخی از هاب های جديد دارای پنج پورت می باشند که چهار پورت آنان استاندارد و از يک پورت ديگر به منظور اهداف خاصی ( uplink ) استفاده می گردد .


سوال پنجم : هاب و سوئيچ در چه مواردی با يکديگر مشابه هستند ؟

a.        اندازه و شکل ظاهری

b.        حمايت از اشتراک فايل ها

c.        دارا بودن تعداد مشخصی پورت

d.        تمامی موارد

مشاهده پاسخ :

پاسخ :  گزينه d
توضيحات :
هاب و سوئيچ دارای پتانسيل های مشابهی نظير اشتراک فايل ها و  تعداد پورت مشخصی می باشند. يک هاب و يک سوئيچ با تعداد مشابهی پورت و از يک توليد کننده، معمولا" دارای شکل ظاهری مشابهی می باشند .


سوال ششم : تعداد زيادی از هاب ها و سوئيچ ها دارای يک پورت خاص به منظور ايجاد يک زنجيره می باشند . نام اين پورت چيست ؟

a.        پورت chain 

b.        پورت Uplink 

c.        پورت WAN 

d.        پورت موازی

مشاهده پاسخ :

پاسخ :  گزينه b
توضيحات :
با اين که اگر اين پورت را پورت chain بناميم ، معقول تر بنظر می آيد  ولی کارشناسان شبکه عموما" به آن پورت uplink می گويند . هاب ها و سوئيچ های جديد اغلب دارای يک پورت اضافه uplink می باشند که بنوعی از ساير پورت ها متمايز شده است . در برخی از هاب ها و سوئيچ ها ، پورت شماره يک بگونه ای طراحی شده است که می توان در صورت نياز از آن به عنوان يک پورت chaining نيز استفاده نمود . روترهای broadband جديد دارای يک پورت WAN می باشند که از آن به منظور اتصال به مودم Broadband در مقابل يک سوئيچ و يا هاب استفاده می شود . از پورت های موازی نيز به منظور اتصال چاپگرها به کامپيوترها استفاده می گردد .  


سوال هفتم :آيا علاوه بر هاب ها و سوئيچ ها ی اترنت ، نوع های ديگری از آنان نيز وجود دارد ؟

a.        بلی

b.        خير

مشاهده پاسخ :

پاسخ :  گزينه a
توضيحات :
با اين که هاب ها و سوئيچ های اترنت متداولترين نوع موجود در شبکه های کامپيوتری می باشند ، در شبکه های بزرگ ممکن است از هاب و يا سوئيچ های ( ATM (  Asynchronous Transfer Mode     و يا       ( FDDI ( Fiber Distributed Data Interface   استفاده گردد .


سوال هشتم : يک هاب و يا سوئيچ  autosensing دارای چه ويژگی مهمی است ؟

a.        تنظيم پهنای باند متناسب با سياست های مشخص شده توسط مدير سيستم

b.         standby نمودن power زمانی که از دستگاه استفاده نمی گردد .

c.        تشخيص اتوماتيک سرعت شبکه

d.        تمامی موارد

مشاهده پاسخ :

پاسخ :  گزينه c
توضيحات :
autosensing ، يک ويژگی از قبل تعبيه شده در هاب ها و سوئيچ ها است که از آن به منظور تشخيص اتوماتيک سرعت دستگاه های موجود در يک شبکه استفاده می گردد. يک هاب با ويژگی فوق، حداکثر سرعت اتصال هر دستگاه را بدست آورده و متناسب با آن نرخ انتقال داده خود را تنظيم می نمايد .


سوال نهم:  از واژه chaining در هاب ها و سوئيچ ها به چه منظوری استفاده می شود ؟

a.        نشان دادن قابليت اتصال هاب ها و سوئيچ ها به يکديگر به منظور افزايش اندازه شبکه

b.        ايمن سازی يک هاب و يا سوئيچ

c.        اتصال بيش از يک کامپيوتر به هاب و يا سوئيچ  مشابه

d.        هيچکدام
 

مشاهده پاسخ :

پاسخ :  گزينه a
توضيحات :
اتصال يک هاب و يا سوئيچ به هاب و سوئيچ ديگر ، chaining ناميده شده و مهمترين هدف آن افزايش ظرفيت شبکه است.(تعداد دستگاه هائی که با استفاده از يک هاب و يا سوئيچ به يکديگر مرتبط می گردند ). از chaining در سوئيچ ها به منظور بهبود  کارآئی شبکه  استفاده می گردد ( ايزوله کردن کامپيوترها از يکديگر و ايجاد  collision domain جداگانه ) .


سوال دهم : آيا به منظور اتصال کامپيوترها به يک هاب و يا سوئيچ حتما" می بايست از کابل استفاده گردد ؟

a.        بلی

b.        خير

مشاهده پاسخ :

پاسخ :  گزينه b
توضيحات :
در هاب های قديمی به ازای هر کارت شبکه می بايست از يک کابل و به منظور اتصال کامپيوتر به هاب استفاده نمود ( مثلا" کابل های CAT5  ) . در مدل های جديد هاب و سوئيچ از پورت های wireless نيز استفاده شده که می توان يک کامپيوتر را که دارای اينترفيس مربوطه است به آنان متصل نمود  .


سوال يازدهم  : چرا در يک شبکه ترجيح داده می شود که از سوئيچ در مقابل هاب استفاده گردد ؟

a.        استفاده از سوئيچ باعث افزايش کارائی شبکه می گردد .

b.        می توان کامپيوترهای بيشتری را در مقايسه با هاب به آنان متصل نمود .

c.        سوئيچ  دارای قيمت کمتری نسبت به هاب است .

d.        تمامی موارد

مشاهده پاسخ :

پاسخ :  گزينه a
توضيحات :
سوئيچ پردازش ها و عمليات مورد نياز در يک شبکه را با هوشمندی بيشتری نسبت به هاب انجام می دهد. با استفاده از سوئيچ ترافيک يک شبکه کاهش پيدا کرده و بسته های اطلاعاتی موجود بر روی شبکه صرفا" برای کامپيوترهای مورد نياز ، ارسال می گردند . اين وضعيت در هاب وچود نداشته و  بسته های اطلاعاتی موجود در شبکه برای هر کامپيوتری که به هاب متصل شده است ، ارسال می گردد. در يک شبکه شلوغ که سرويس های متعددی بر روی آن اجراء می گردد ، بخوبی می توان تفاوت عملکرد سوئيچ و هاب را مشاهده نمود .


سوال دوازدهم : چرا در يک شبکه ترجيح داده می شود که از هاب در مقابل سوئيچ  استفاده گردد ؟

a.        استفاده از هاب باعث افزايش کارائی شبکه می گردد .

b.        می توان کامپيوترهای بيشتری را در مقايسه با سوئيچ به آنان متصل نمود .

c.        هاب دارای قيمت کمتری نسبت به هاب است .

d.        تمامی موارد

مشاهده پاسخ :

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:18 AM |

نحوه ترجمه اسامی Domain توسط DNS
آيا تاکنون اين سوال برای شما مطرح شده است  که پس از تايپ نام يک سايت در مرورگر وب، آدرس IP  آن چگونه پيدا می شود؟ برای ارتباط با يک سايت ، می بايست قبل از هر چيز آدرس IP آن مشخص گردد . به منظور ترجمه  اسامی کامپيوترهای ميزبان و Domain به آدرس های IP از پروتکل DNS استفاده می گردد.

Queries و Resolution
يک سرويس گيرنده به منظور استفاده از DNS و اخذ پاسخ لازم از دو روش متفاوت استفاده می نمايد :

·         در روش اول ، سرويس گيرنده با سرويس دهندگان نام ارتباط برقرار می نمايد . فرآيند فوق ماداميکه سرويس دهنده مجاز شامل اطلاعات مورد نياز پيدا نشود ، ادامه خواهد يافت ( روش  non Recursive query  ) .

·         در روش دوم ، ماموريت ترجمه نام به آدرس به DNS واگذار می شود . در اين روش سرويس گيرنده اقدام به ارسال درخواست خود  برای DNS نموده و DNS پس از انجام عملياتی خاص و يافتن آدرس IP سايت درخواستی ، آن را برای سرويس گيرنده ارسال می نمايد (روش  Recursive query  ) .

شکل زير نحوه انجام کار در روش دوم را نشان می دهد :

 

به منظور آشنائی با نحوه انجام عمليات فوق به بررسی يک نمونه مثال می پردازيم . زمانی که شما قصد مشاهده يک وب سايت نظير وب سايت شرکت سيسکو  (  www.cisco.com  ) را داشته باشيد ، پس از فعال نمودن مرورگر وب و تايپ آدرس   http://www.cisco.com  و يا www.cisco.com  ، پس از مدت زمان کوتاهی ! صفحه اصلی وب سايت در مرورگر شما نمايش داده می شود . برای يافتن آدرس IP وب سايت درخواستی مراحل زير دنبال می شود : 

·         مرحله اول : فعال نمودن مرورگر و درج آدرس www.cisco.com در بخش آدرس آن . در اين مقطع کامپيوتر شما دارای آگاهی لازم در خصوص آدرس IP وب سايت سيسکو نمی باشد. بنابراين يک درخواست DNS را برای سرويس دهنده DNS مربوط به مرکز ارائه دهنده سرويس های اينترنت ( ISP ) ارسال می نمايد .  حتما" اين سوال برای شما مطرح شده است که کامپيوتر به چه صورت از آدرس IP  سرويس دهنده DNS آگاهی می يابد تا درخواست خود را برای وی ارسال نمايد ؟  در صورتی که شما از طريق Dial-up به اينترنت متصل شده ايد ، اين موضوع با استفاده از تنظيمات انجام شده ( ايستا و پويا ) پروتکل TCP/IP مرتبط با آداپتور مجازی Dial-up انجام خواهد شد . در صورتی که دارای يک اتصال دائم به اينترنت و از طريق يک شبکه محلی می باشيد ، اين موضوع با استفاده از  تنظيمات انجام شده ( ايستا و پويا ) پروتکل TCP/IP مرتبط با آداپتور کارت شبکه انجام خواهد شد .

مرحله دوم : سرويس دهنده DNS مرکز ارائه دهنده خدمات اينترنت ( ISP ) شما ، آدرس IP مربوط به سايت سيسکو را نمی داند و بدين دليل، آدرس سايت فوق را از يکی از سرويس دهندگان نام ريشه درخواست می نمايد .

·         مرحله سوم : سرويس دهنده DNS ريشه ، بانک اطلاعاتی خود را بررسی نموده و از سرويس دهنده DNS اوليه Cisco.com  آگاهی می يابد ( IP  : 198.133.219.25 ) . پس از آگاهی از آدرس IP  سرويس دهنده DNS مربوط به cisco.com ، پاسخ لازم برای سرويس دهنده ISP شما ارسال می گردد.

·         مرحله چهارم : در اين مرحله سرويس دهنده DNS مرکز ISP شما دانش لازم به منظور ارتباط با سرويس دهنده DNS سيسکو را پيدا نموده و پس از برقراری ارتباط از وی آدرس IP وب سايت سيسکو (  www.cisco.com ) را جويا می شود. بدين منظور سرويس دهنده شما يک درخواست Recursive را برای سرويس دهنده DNS مربوط به Cisco.com ارسال می نمايد.

·         مرحله پنجم : سرويس دهنده DNS سيسکو، بانک اطلاعاتی خود را بررسی نموده و از وجود رکورد www.cisco.com در بانک آگاه می گردد. رکورد فوق دارای يک آدرس IP معادل IP:198.133.219.25 است . در اين حالت خاص ، سرويس دهنده وب بر روی ماشين مشابهی است که سرويس دهنده DNS نصب شده است . در صورتی که سرويس دهنده وب و سرويس دهنده DNS بر روی يک ماشين مشابه نصب نشده باشند ، آدرس IP آنان متفاوت بوده و اين موضوع از طريق رکوردهای منبع موجود در بانک اطلاعاتی سرويس دهنده DNS مشخص می گردد .

·         مرحله ششم : سرويس دهنده DNS مربوط به ISP شما از آدرس IP مربوط به www.cisco.com آگاهی پيدا نموده و نتايج را برای کامپيوتر شما ارسال می نمايد .

·         مرحله هفتم : کامپيوتر شما در اين مقطع دارای آگاهی لازم در خصوص آدرس IP وب سايت سيسکو بوده و می تواند با آن ارتباط برقرار نمايد . بنابراين کامپيوتر شما يک درخواست http را مستقيما" برای سرويس دهنده وب سيسکو ارسال نموده و از وی درخواست يک صفحه وب را می نمايد  .

دسدستگاه های شبكه ای تگاه های شبكه ای 

 

روتر و نقش آن در شبكه های WAN

بخش اول :  مفاهيم اوليه

·         روتر يكی از دستگاه های شبكه ای مهم و حياتی است كه از آن در شبكه های LAN و WAN استفاده می گردد .

·         روتر يك نوع كامپيوتر خاص است كه دارای عناصر مشابه يك كامپيوتر استاندارد شخصی نظير پردازنده ، حافظه ، خطوط داده و اينترفيس های مختلف ورودی و خروجی است. روترها به منظور انجام عمليات بسيار خاص كه عموما" نمی توان آنان را توسط كامپيوترهای شخصی انجام داد ‌، طراحی شده اند . مثلا" با استفاده از روتر می توان دو شبكه را به يكديگر متصل تا در ادامه امكان مبادله اطلاعات بين آنان فراهم گردد . روتر ، همچنين بهترين مسير ارسال داده از يك شبكه به شبكه ای ديگر را تعيين می نمايد.

·         با اين كه می توان از روتر برای تقسيم ( Segmentation ) يك شبكه محلی استفاده نمود ولی‌ مهمترين كاربرد آن به عنوان يك دستگاه شبكه ای در شبكه های WAN می باشد .

·         WAN ( برگرفته از   wide-area network  ) ،‌ يك شبكه ارتباطی است كه يك حوزه جغرافيائی گسترده نظير يك شهرستان ، استان و يا كشور را تحت پوشش قرار می دهد. اين نوع شبكه ها دارای  مشخصات منحصربفرد مختص به خود می باشند كه آنان را از يك شبكه محلی متمايز می نمايد .

·         شبكه های WAN دارای تفاوت های عمده ای  نسبت به شبكه های LAN می‌باشند . مثلا" برخلاف يك شبكه LAN كه ايستگاه ها ، دستگاه های جانبی ، ترمينال ها و ساير دستگاه های موجود در يك ساختمان و يا منطقه جغرافيائی محدود و كوچك را به يكديگر متصل می نمايد ، شبكه های WAN امكان مبادله اطلاعات بين دستگاه های موجود در يك حوزه جغرافيائی گسترده را فراهم می نمايند .

·         شبكه های WAN در لايه فيزيكی و لايه data link مدل مرجع OSI كار می كنند . با استفاده از اين نوع شبكه ها ، می توان شبكه های محلی موجود در مكان های متعدد و مسافت های طولانی را به يكديگر متصل نمود .

·         از تكنولوژی های WAN  در اكثر موارد به منظور اتصال روترها به يكديگر استفاده می گردد و  روترها با اتصالات مبتی بر WAN با يكديگر ارتباط برقرار می نمايند . روترها  مسئوليت ايجاد ستون فقرات در شبكه های داخلی بزرگ ( اينترانت ) و يا اينترنت را برعهده داشته و در لايه سوم مدل مرجع OSI فعاليت می نمايند ( اتخاذ تصميم بر اساس آدرس های شبكه ) .

·         شبكه های WAN در لايه فيزيكی و data link مدل مرجع OSI  فعاليت می نمايند . مطلب فوق بدين معنی نمی باشد كه پنج لايه ديگر مدل مرجع OSI در شبكه های WAN جايگاهی ندارند . عبارت فوق بر اين نكته مهم تاكيد  می نمايد كه خصايصی كه يك شبكه WAN را از LAN متمايز می نمايد در لايه های فيزيكی و data link حضور موثر و كاملا" مشهودی را دارند . به عبارت ديگر ، استانداردها و پروتكل های استفاده شده در شبكه های WAN و در لايه های اول و دوم متفاوت با استانداردها و پروتكل های‌ استفاده شده در شبكه های محلی و در لايه های‌ مشابه می باشد .

·         برای آشنائی با روتر و نقش آن در شبكه های WAN مطالعه مطالب زير پيشنهاد می‌گردد :
آشنائی با شبكه های WAN
روتر و جايگاه آن در شبكه های WAN 
آشنائی با عناصر داخلی روتر
آشنائی با اينترفيس های روتر
 

بخش دوم :  پرسش و پاسخ

سوال يک : كداميك از گزينه های زير وظايف عناصر داخلی يك روتر را به درستی تشريح می نمايد ؟

a.        حافظه فلش : ذخيره برنامه راه انداز 

b.        حافظه ROM : ذخيره فايل پيكربندی راه انداز

c.        حافظه NVRAM : ذخيره IOS

d.        حافظه RAM : ذخيره جداول روتينگ و ARP Cache

مشاهده پاسخ :

پاسخ :  گزينه d
توضيحات :
 از حافظه RAM به منظور ذخيره اطلاعات جدول روتينگ ، صف های بسته های اطلاعاتی ، اجراء پيكربندی و cache سوئيچينگ سريع استفاده می‌گردد .
از حافظه فلش  برای ذخيره نسخه كامل نرم افزار IOS ، از حافظه ROM  برای ذخيره دائم كد اشكال زدائی راه انداز ( ROM Monitor ) و از حافظه های NVRAM به منظور ذخيره پيكربندی راه اندازی روتر استفاده می گردد .
 


سوال دوم : كداميك از گزينه های زير  عملكرد حافظه NVRAM را  به درستی تشريح می نمايد ؟

a.        نگهداری IOS

b.        مكان لازم جهت نگهداری و اجراء فايل پيكربندی در زمان روشن شدن روتر را ارائه می نمايد .

c.        يك مكان ذخيره سازی دائم با قابليت نوشتن مجدد اطلاعات به منظور ذخيره فايل پيكربندی مورد نياز روتر در زمان راه اندازی را ارائه می نمايد .

d.        شامل روتين های عيب يابی در زمان روشن شدن روتر ، يك برنامه راه انداز و يك نسخه از نرم افزار IOS است .

مشاهده پاسخ :

پاسخ :   گزينه C
توضيحات :
از حافظه های NVRAM  غير فرار به منظور ذخيره پيكربندی راه اندازی روتر استفاده می گردد . در برخی دستگاه ها ، NVRAM بر اساس تكنولوژی EEPROMs  و  در ساير دستگاه ها به صورت حافظه های فلش پياده سازی می گردد. اطلاعات موجود در  NVRAM  پس از خاموش شدن و يا راه اندازی مجدد روتر از بين نخواهند رفت .
 


سوال سوم: كداميك از امكانات ‌زير اطلاعات مورد نياز روتر جهت اتخاذ تصميم برای انتخاب بهترين مسير را ارائه می نمايد ؟

a.        جداول ARP

b.        جداول DNS

c.        جداول host

d.        جداول روتينگ 

مشاهده پاسخ :

پاسخ : گزينه d
توضيحات :
انتخاب بهترين مسير و سوئيچينگ فريم ها به اينترفيس مناسب از مهمترين وظايف يك روتر محسوب می گردد. روترها به منظور انجام وظايف فوق جداول روتينگی را ايجاد ( ايستا و يا پويا )  تا به كمك آن اقدام به مبادله اطلاعات شبكه با ساير روترها نمايند . يك مدير شبكه می تواند با پيكربندی مسيرهای ايستا ، اطلاعات جداول روتينگ را سازماندهی و مديريت نمايد ولی عموما" اطلاعات موجود در جداول روتينگ به صورت پويا و با استفاده از يك پروتكل روتينگ ذخيره و بهنگام می گردند . مسئوليت پروتكل روتينگ ، مبادله اطلاعات توپولوژی شبكه ( مسير ) با سایر روترها می باشد .  
 


سوال چهارم : کداميک از گزينه های‌ زير به عنوان يك پروتكل data link در شبكه های WAN  ايفای وظيفه می نمايد؟

a.        LLC

b.        PPP

c.        CSMA/CD

d.        V.35

مشاهده پاسخ :

پاسخ :  گزينه b
توضيحات :
اولين وظيفه روتر در يك شبكه WAN روتينگ نمی باشد و اگر قرار است برای آن وظيفه ای اختصاصی را تعريف نمائيم بهتر است گفته شود كه مسئوليت روتر در شبكه های WAN ،  ارائه اتصالات لازم بين استانداردهای مختلف data link و فيريكی WAN است . PPP ،‌ يكی از پروتكل های لايه data link در شبكه های WAN محسوب می گردد. 


سوال پنجم : کداميک از گزينه های زير عملكرد يك دستگاه DCE را به درستی تشريح می نمايد ؟

a.        دستگاه های DCE مسئوليت اتصال دستگاه های DTE به يك شبكه LAN را برعهده دارند .

b.        دستگاه های DCE توسط ارائه دهندگان سرويس، عرضه می گردند .

c.        دستگاه های DCE مسئوليت ارائه سرويس ها به دستگاه های DTE را برعهده دارند .

d.        دستگاه های DCE به منظور عملكرد خود نيازمند استفاده از پروتكل های همزمان می باشند .

مشاهده پاسخ :

پاسخ :  گزينه c
توضيحات :
برای هر يك از انواع سرويس های WAN ، دستگاه مشتری ( اغلب يك روتر است ) به منزله يك  DTE ( برگرفته از data terminal equipment ) رفتار می نمايد . پايانه فوق با استفاده از يك دستگاه DCE ( برگرفته از data circuit-terminating equipment)  كه معمولا" يك مودم و يا  CSU/DSU ( برگرفته از channel service unit/data service unit   ) می باشد به ارائه دهنده سرويس متصل می گردد . از دستگاه فوق برای تبديل داده از DTE به يك شكل قابل قبول برای ارائه دهنده سرويس WAN ، استفاده می گردد .


سوال ششم : از پورت كنسول در چه مواردی استفاده می گردد؟ ( سه گزينه را انتخاب نمائيد )

a.        اشكال زدائی

b.        بازيافت رمز عبور

c.        روتينگ داده بين شبكه

d.        عيب يابی

e.        اتصال يك روتر به روتر ديگر 

مشاهده پاسخ :

پاسخ :  گزينه های  a , b ,d
توضيحات :
به منظور عيب يابی و اشكال زدائی روتر، استفاده از پورت كنسول نسبت به پورت كمكی ترجيح داده می شود . در زمان استفاده از پورت كنسول به صورت پيش فرض پيام های خطاء ، اشكال زدائی و راه اندازی نمايش داده می‌ شوند. از پورت كنسول در مواردی كه سرويس های شبكه فعال نشده و يا با مشكل مواجه شده اند نيز می توان استفاده نمود . بنابراين پورت كنسول گزينه ای مناسب برای بازيافت رمز عبور و ساير مشكلات غيرقابل پيش بينی می باشد .


سوال هفتم :کداميک از گزينه های زير را می توان به عنوان يك اتصال   مديريتی در نظر گرفت ؟ ( سه گزينه را انتخاب نمائيد )

a.        پورت كنسول

b.        پورت كمكی

c.        پورت سريال همزمان

d.        پورت سريال غيرهمزمان

مشاهده پاسخ :

پاسخ :  گزينه a , b , d
توضيحات :
 پورت های كمكی (  auxilliary )  و كنسول (console )  دو نمونه متداول از پورت های مديريت روتر می باشند . اين نوع پورت ها ، از نوع پورت های سريال غيرهمزمان EIA-232 می باشند كه به يك پورت ارتباطی كامپيوتر متصل می گردند .
 


سوال هشتم : کداميک از گزينه های زير را می توان به عنوان يك اتصال شبكه  در نظر گرفت ؟ ( سه گزينه را انتخاب نمائيد )

a.        پورت Fast Ethernet

b.        پورت Ethernet

c.        پورت سريال همزمان

d.        پورت سريال غيرهمزمان

مشاهده پاسخ :

پاسخ :  گزينه های a , b , c 
توضيحات :
در اكثر محيط های LAN ، روتر با استفاده از يك اينترفيس Ethernet و يا Fast Ethernet به شبكه متصل می گردد . در چنين مواردی روتر  همانند يك ميزبان است كه با شبكه LAN از طريق يك هاب و يا سوئيچ ارتباط برقرار می نمايد .


سوال نهم: در كداميك از موارد زير از كابل straight-through  استفاده می گردد ؟

a.        روتر به هاب

b.        روتر به سوئيچ

c.        روتر به كامپيوتر

d.        روتر به روتر

مشاهده پاسخ :

پاسخ :  گزينه های a , b
در اكثر محيط های LAN ، روتر با استفاده از يك اينترفيس Ethernet و يا Fast Ethernet به شبكه متصل می گردد . در چنين مواردی روتر  همانند يك ميزبان است كه با شبكه LAN از طريق يك هاب و يا سوئيچ ارتباط برقرار می نمايد . برای برقراری ارتباط  از يك كابل  straight-through  استفاده می گردد .
 


سوال دهم:در كداميك از موارد زير از كابل Crossover استفاده می گردد ؟

a.        روتر به هاب

b.        روتر به سوئيچ

c.        روتر به كامپيوتر

d.        روتر به روتر

مشاهده پاسخ :

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:17 AM |
  • سرويس دهنده DHCP را بر روی يک Member Server که يک Domain Controller نمی باشد ، نصب گردد .
  • به تمامی سرويس دهندگان داخلی مهم ( شامل سرويس دهندگان DHCP ) ، آدرس های IP ثابتی نسبت داده شود و سرويس DHCP Client  بر روی آنان ، متوقف گردد .
  • به تمامی سرويس گيرندگان  داخلی مهم ، آدرس های IP ثابتی نسبت داده شود و سرويس DHCP Client بر روی آنان ، متوقف  گردد.
  • سرويس دهنده DHCP بر اساس روشی که ارائه خواهد گرديد ، ايمن گردد.
  • سرويس گيرندگان DHCP بر اساس روشی که ارائه خواهد گرديد ، ايمن گردند.

آدرس های IP ثابت در مقابل آدرس های IP رزو شده
واژه آدرس IP ثابت ، به پيکربندی دستی آدرس های  IP اطلاق می گردد( hardcoded ). فرآيند فوق، نقظه مقابل  يک آدرس IP  است رزو شده در DHCP است که بصورت دائم به يک ماشين خاص ، نسبت داده می شود. استفاده از امکان DHCP Reservations ، برای ماشين های حساس توصيه نمی گردد.

سرويس DHCP Client بر روی ماشين های حساس ، غيرفعال گردد
در زمان نصب ويندوز 2000 ( هم سرويس دهنده و هم سرويس گيرنده ) ، سرويس DHCP client فعاليت خود را آغاز و بعنوان يک سيستم محلی اجراء خواهد شد. سرويس دهندگان DHCP و ساير ماشين های حساس ديگر که از آدرس های IP ثابتی استفاده می نمايند به اين سرويس نياز نداشته و لازم است که سرويس فوق، متوقف و وضعيت فعاليت  آن در زمان راه اندازی یيستم به حالت دستی ( Manually ) تغيير يابد .

DHCP و DNS 
ويندوز 2000 با سيستم DNS)Domain Naming Service) در ارتباط خواهد بود. زمانيکه آدرس IP سرويس گيرنده بصورت پويا  و توسط يک سرويس دهنده DHCP نسبت داده شد ، جداول DNS ، می بايست بهنگام گردند. پيشنهاد  می گردد که خصلت : " Allow Dynamic Update" در سرويس دهنده DNS به مقدار "Only Secure Updates" ، تغيير يابد.

بصورت پيش فرض ، سرويس گيرندگان DHCP ، پس از نسبت دهی يک آدرس پويا توسط سرويس دهنده DHCP ، پيامی را برای سرويس دهنده DNS بمنظور بهنگام سازی ارسال می نمايند. برای سرويس گيرندگانی که امکانات حمايتی لازم در خصوص عمليات بهنگام سازی را ندارند ( نظير ويندوز 95 ) ، سرويس دهنده DHCP ، می بايست مسئوليت فوق را پذيرفته و به نمايندگی از سرويس گيرنده ، جداول سرويس دهنده DNS را بهنگام نمايد. سرويس دهنده DHCP ، بصورت پيش فرض بگونه ای پيکربندی شده است که جداول DNS  را در زمان درخواست سرويس گيرندگان ، بهنگام  می نمايد .پيشنهاد می گردد که ويژگی فوق ، غير فعال گردد.

پيکربندی سرويس دهنده
DHCP
سرويس دهنده DHCP بصورت اتوماتيک آدرس های IP و ساير اطلاعات مرتبط با پيکربندی TCP/IP را در اختيار سرويس گيرندگان DHCP-enabled  ، قرار می دهد . سرويس،  سرويس دهنده  DHCP بعنوان يک سيستم محلی اجراء می گردد . بمنظور کاهش احتمال بروز خرابی و اشکالات حاصل از عوامل  جانبی  ، پيشنهاد می گردد که سرويس دهنده DHCP بر روی يک Domain Server که يک Domain Controller نمی باشد ، نصب گردد . جايگاه سرويس دهندگان DHCP ، بسيار حساس و مهم بوده و می بايست تمامی آنان دارای آدرس های IP  ثابت باشند. سرويس DHCP Client می بايست برروی اين نوع از سيستم ها متوقف و وضعيت اجراء آن در زمان راه اندازی سيستم ، بصورت دستی در نظر گرفته شود.

DHCP Administrators و  Users Group  
زمانيکه سرويس DHCP بر روی يک ماشين سرويس دهنده ويندوز 2000 نصب می گردد ، دو گروه محلی جديد ايجاد می گردد : DHCP Administrator و DHCP Users . از گروههای  فوق ، می توان در صورت نياز و با توجه به سياست های موجود استفاده بعمل آورد.

مجوزهای فايل و ريجستری DHCP
بانک اطلاعاتی DHCP ، فايل های Recovery و Audit  در فولدر SystemRoot%\System32\DHCP % ذخيره می گردند. تنظيمات زير در اين رابطه پيشنهاد  می گردد.

تنظيمات سرويس دهنده DHCP ( مربوط به File security )

مجوزهای پيشنهادی

User /Groups

فايل / فولدر

Full Control
Full Control
Read

System
DHCP Administrators
DHCP Users

%SystemRoot%\System32\DHCP
folder, subfolders, and files

تنظيمات زير در ارتباط با اطلاعات ثبت شده در ريجستری ويندوز و مرتبط با سرويس دهنده DHCP  ، پيشنهاد می گردد:

تنظيمات سرويس دهنده DHCP ( مربوط به ريجستری ويندوز )

مجوزهای پيشنهادی

User /Groups

کليد ريجستری

Full Control
Full Control

DHCP Administrator
System

HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\DhcpServer

Full Control
Full Control

DHCP Administrator
System

HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\DhcpServer

Full Control

System

HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\Dhcp

ابزارهای دستيابی سرويس دهنده DHCP
دو برنامه کاربردی در ارتباط با  DHCP در فولدر SystemRoot%\System32 % وجود دارد : IPconfig و netsh.exe ، در اين رابطه تنظيمات زير پيشنهاد می گردد:

تنظيمات سرويس دهنده DHCP ( مربوط به ابزارهای کاربردی )

مجوزهای پيشنهادی

User /Groups

فايل / فولدر

Full Control
Full Control

System
DHCP Administrators

%SystemRoot%\System32\ipconfig.exe

Full Control
Full Control

System
DHCP Administrators

%SystemRoot%\System32\netsh.exe

DHCP Scope  و گزينه های سرويس دهنده
در رابطه با DHCP گزينه های اندکی در دسترس می باشد . پيشنهاد می گردد که ميزان استفاده از گزينه ها به حداقل مقدار خود برسد . بمنظور کاهش ريسک  ماشين های سرويس گيرنده ، گزينه DNS Server نمی بايست انتخاب و به ماشين های سرويس گيرنده می بايست يک آدرس ثابت DNS نسبت داده می شود . C
ارتباط بين سرويس دهنده
DHCP و DNS 
پيکربندی پيش فرض DNS مربوط به سرويس دهنده DHCP در شکل زير نشان داده شده است . بر اساس  پيکربندی  فوق ، در زمان درخواست سرويس گيرنده عمليات بهنگام سازی جداول (Entries) انجام خواهد شد.پيشنهاد می گردد که ويژگی فوق ، غير فعال گردد ( فعال کردن سرويس دهنده DHCP ،  انتخاب سرويس دهنده ،  انتخاب گزينه Properties ، انتخاب  DNS Tab  و غير فعال نمودن :
 Automically Update DHCP Client information in DNS ) .

پيکربندی پيش فرض تنظيمات DNS در سرويس دهنده DHCP

پيکربندی پيشنهادی  تنظيمات DNS در سرويس دهنده DHCP

پيکربندی سرويس گيرندگان DHCP
سرويس  DHCP Client ، بصورت اتوماتيک درخواست هائی را برای سرويس دهنده DHCP بمنظوردريافت يک آدرس IP  و نسبت دهی آن  به ماشين سرويس گيرنده ، انجام می دهد . درخواست فوق ،  در زمان راه اندازی سيستم ( Booting ) انجام و در صورت ضرورت و قبل از اتمام تاريخ اعتبار آن ، تکرار خواهد شد. سرويس DHCP Client بعنوان يک سيستم محلی بر روی ماشين سرويس گيرنده اجراء خواهد شد. پيشنهاد می گردد که از خدمات DHCP بر روی ماشين های سرويس گيرنده حساس و مهم استفاده نگردد . اين نوع از ماشين های سرويس گيرنده ، می بايست از آدرس های IP ثابتی  استفاده و بر روی آنان سرويس DHCP client متوقف و نحوه راه اندازی آنان  در زمان راه اندازی ، بصورت "دستی " تعيين گردد .

مجوزهای ريجستری DHCP Client 
تنظيمات زير در ارتباط با ريجستری DHCP client ، پيشنهاد می گردد .

تنظيمات DHCP Client ( مربوط به ريجستری ويندوز )

مجوزهای پيشنهادی

User /Groups

کليد ريجستری

Full Control
 

System
 

HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\Dhcp

تنظيمات TCP/IP مربوط به سرويس گيرندگان
پيشنهاد می گردد که سرويس گيرندگان صرفا" آدرس IP ،  آدرس Gateway و Subnet mask  را از سرويس دهنده DHCP دريافت نمايند. آدرس سرويس دهنده DNS ، می بايست بصورت ثابت در نظر گرفته شود.( تنظيمات پروتکل TCP/IP )

DHCP Client و DNS 
با انتخاب گزينه Advanced TCP/IP Setting ، مشاهد خواهد شد که " Register this connection's address in DNS" ، بصورت پيش فرض فعال است .( تنظيمات پروتکل TCP/IP )

امکان  فوق ، به سرويس گيرنده DHCP امکان بهنگام سازی را پس از دريافت  يک آدرس IP توسط سرويس دهنده DHCP ، خواهد داد. با توجه به اينکه سرويس دهنده DNS بگونه ای پيکربندی شده است که صرفا" بهنگام سازی ايمن را قبول نمايد ، صرفا" سرويس گيرندگان تائيد شده قادر به تغيير  اطلاعات مربوطه خود در DNS   خواهند بود( DNS Entries ) .

آدرس دهی اتوماتيک آدرس های خصوصی IP
ويندوز 2000 ، از آدرس دهی اتوماتيک IP خصوصی ( APIPA ) ، بمنظور نستب دهی يک آدرس IP به يک ماشين سرويس گيرنده و درموارديکه سرويس دهنده DHCP  در دسترس نبوده  و  يا درخواست ماشين سرويس گيرنده توام با موفقيت نگردد ، استفاده می نمايد.. بر اساس مستندات مايکروسافت آدرس های نسبت داده شده در محدوده IP:169.254.0.1 تا IP:169.254.255.254 می باشند. اين محدوده از آدرس های IP توسط IANA رزو و در اينترنت استفاده نمی گردد. پيشنهاد می گردد اين ويژگی غيرفعال گردد . بمنظور نيل به خواسته فوق ، عمليات زير را دنبال می نمائيم :

  • از طريق Start|Run برنامه Regedt32 را فعال نمائيد ( در رابطه با استفاده از برنامه فوق ، دقت گردد) .
  • در ريجستری ويندوز ، کليد زير را پيدا نمائيد :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

·         Entry زير را ايجاد  و مقدار آن صفر در نظر گرفته شود.(غير فعال نمودن آدرس دهی اتوماتيک آدرس های IP خصوصی ).

IPAutoconfigurationEnabled: REG_DWORD

fبرنامه های  کاربردی DHCP Client 
در اين راستا صرفا" يک برنامه وجود داشته و در فولدر %SystemRoot%\System32 قرار دارد: ipconfig.exe . تنظيمات زير در اين رابطه ، پيشنهاد می گردد:

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:16 AM |

پيکربندی IIS با رعايت مسائل امنيتی ( بخش پنجم )

آنچه تاکنون گفته شده است :
بخش اول : پيکربندیIIS
بخش دوم : نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager
بخش سوم : روش های  کنترل دستيابی به سرويس دهنده 
بخش چهارم :نحوه تنظيم و پيکربندی سرويس وب
در اين بخش به نحوه تنظيم و پيکربندی سرويس  FTP خواهيم پرداخت .
با استفاده از سرويس FTP) File Transfer Protocol) ، سرويس گيرندگان قادر به ارسال و يا دريافت اطلاعات به / از يک سرويس دهنده FTP می باشند . با اينکه برخی از قابليت ها و توانائی های FTP بر روی اينترنت،  توسط سرويس وب ( www ) ارائه و جايگزين شده است ولی استفاده از سرويس FTP  ، همچنان امری متداول است . پيشنهاد می گردد ، پيکربندی سرويس دهنده FTP بگونه ای انجام گردد که امکان ارسال فايل توسط سرويس گيرندگان  به سرويس دهنده ( Uploading ) از کاربران  سلب و عملا" امکان چنين فعاليتی وجود نداشته باشد . در صورتيکه با توجه به سياست های سازمان به پتانسيل  اشاره شده نياز باشد ، يک دايرکتوری مجزاء مثلا" با نام Incoming \  را برای دريافت فايل های ارسالی توسط سرويس گيرندگان  ايجاد و می بايست  تنظيمات  امنيتی خاصی را از منظر نوع دستيابی به آن تعريف و پيکربندی نمود. دايرکتوری فوق ، می بايست تحت نظارت و مشاهده دائم با توجه به سياست های امنيتی تعريف شده در سازمان  قرار داشته باشد .

سازماندهای دايرکتورهای FTP
بمنظور کنترل و هدايت مناسب سرويس دهنده FTP ، پيشنهاد می گردد که دايرکتوری ها بر اساس سياست های مشخص شده ای  برای کاربران ايجاد و سازماندهی گردند . برای دريافت فايل ، اسامی دايرکتوری ها  می بايست نشاندهنده محتويات دايرکتوری باشد . مثلا" درايورهای مربوط به دستگاهها ( Device Drivers ) می توانند بر اساس  دايرکتوری هائی سازماندهی گردند که مرتبط و هماهنگ شده با اسامی سيستم عامل مربوطه باشد . در رابطه با اين نوع دايرکتوری ها ، می بايست سطح دستيابی مجاز ، فقط خواندنی ( Read only ) در نظر گرفته شود.  برای ذخيره سازی موقت فايل های ارسالی توسط سرويس گيرندگان و قبل از اينکه آنان را در دايرکتوری مستقر نمائيم که امکان Download عمومی آنان فراهم گردد ، می بايست يک دايرکتوری موقت را  ايجاد و پس از استقرار فايل های ارسالی  توسط کاربران در آن  و بررسی مسائل امنيتی ، فايل های ارسالی تائيد شده  را در دايرکتوری مربوط به Download  عمومی ، مستقر نمود. دايرکتوری  موقت ،  می بايست  صرفا" دارای  مجوز نوشتن ( Write ) برای  Account مربوط به anonymous باشد . دايرکتوری FTP که برای Download نمودن کاربران پيکربندی می گردد ، صرفا" می بايست دارای مجوز "فقط خواندنی " باشد . رويکرد فوق ، ممکن است زمينه ساز مسائل اندکی نيز باشد چراکه کاربران ناشناس ( anonymous ) قادر به مشاهده فايل های Upload شده توسط ساير کاربران نمی باشند ولی اين امر آنان را در مقابل تغيير و يا حذف فايل ها ،محفاظت خواهد کرد( فايل های ارسالی توسط ساير کاربران در يک دايرکتوری موقت ذخيره که ساير کاربران امکان مشاهده آن را نخواهند داشت ، پس از بررسی لازم در خصوص فايل های ارسالی و استقرار آنان توسط مديريت سايت در دايرکتوری عمومی در نظر گرفته شده برای Download ، امکان استفاده از آنان برای ساير کاربران نيز فراهم خواهد شد )   . رويکرد فوق ، همچنين سايت FTP را در مقابل  کاربران غير مجازی که اقدام به ارسال و ذخيره سازی نرم افزارهای غيرقانونی  و يا ابزارهای hacking  می نمايند ، حفاظت می نمايد  . مديريت سايت ، می بايست بصورت مستمر فايل های ارسالی توسط کاربران به دايرکتوری موقت  را بررسی و پس از اطمينان از مسائل امنيتی وساير موارد مورد نظر ، آنان را دايرکتوری مختص Download، مستقر نمايد . دايرکتوری فوق ، صرفا" می بايست دارای مجوز فقط خواندنی باشد  .

FTP site Tab
خصلت های موجود در اين بخش مشابه خصلت های موجود در web site Tab می باشند ولی کاربرد آنان در رابطه با سرويس FTP خواهد بود .در اين رابطه مديريت سايت  می تواند ، مشخصه ای را برای سايت FTP ، کنترل تعداد اتصالات و تنظيم يک زمان ارتباط Timeout تعريف و مشخص نمايد . توصيه می گردد که گزينه Enable logging انتخاب و برای مشخص نمودن زمان Timeout ، مقداری در نظر گرفته شود که اولا" باعث استفاده مطلوب و بهينه از سايت شده و ثانيا" بتوان حملات از نوع  Denial of Service  :  DoS ( غيرفعال نمودن و ايجاد اختلال در ارائه  سرويس و خدمات به کاربران مجاز) را کنترل و  تشخيص داد .

Security Accounts Tab
با استفاده از امکانات موجود در اين بخش ، می توان دستيابی anonymous  و اپراتورهای سايت FTP را  مشخص و پيکربندی نمود. پيشنهاد می گردد که Allow only anonymous connections   ، انتخاب تا محدوديت دستيابی صرفا" مرتبط با اتصالات anonymous گردد . پس از انتخاب گزينه فوق ، کاربران قادر به log on نمودن با نام و رمز عبور واقعی خود نخواهند بود ( در چنين حالتی اطلاعات مربوط به account کاربر  بصورت شفاف و بدون رمزنگاری ارسال خواهد شد ) . بدين ترتيب ، سرويس دهنده FTP در مقابل برخی حملات که ممکن است از account مديريت سيستم و يا يکی از کاربران مجاز سوءاستفاده گردد ، محفاظت خواهد شد ( account های فوق، می توانند  دارای مجوزهای خاصی در ارتباط با دستيابی به سرويس دهنده باشند ) . در اين رابطه لازم است به اين نکته نيز اشاره گردد که حتی با انتخاب گزينه فوق ، محدوديتی در رابطه با log on نمودن کاربران مجاز با استفاده از نام و رمز عبور مربوطه  بوجود نخواهد آمد . کاربری که به  براساس عادت  در مواجهه با نمايش پيام FTP  ، نام و رمز عبور خود را برای ورود به سايت وارد می نمايد ، می بايست به اين مسئله توجه نمايد که حتی اگر درخواست  وی پذيرفته نگردد ، ولی با توجه به ارسال اطلاعات مرتبط با account وی بصورت شفاف و بدون اعمال هرگونه رمزنگاری،  می تواند زمينه بروز مشکلات امنيتی در ارتباط با سرويس دهنده FTP را بدنبال داشته باشد.زمانيکه کاربران بعنوان  anonymous به سايت log on می نمايند ، از آدرس پست الکترونيکی آنان بعنوان رمز عبور استفاده می گردد . سرويس دهنده FTP در ادامه از account با نام  IUSR_computername  بعنوان logon account بمنظور بررسی مجوزهای مورد نظر ، استفاده خواهد کرد . لازم است به اين نکته نيز اشاره گردد که Integrated windows authentication در رابطه با سرويس FTP  وجود ندارد. در قسمت پائين پنجره مربوط به Security Accounts Tab ، امکانات لازم  بمنظور مشخص نمودن account مربوطه به مديريت سايت FTP وجود دارد .

در اين رابطه لازم است گزينه Allow IIS to control password ، بمنظور تطبيق account مربوط به anonymous و رمز عبور ( عموما" بصورت IUSR_computername ) با account ايجاد شده در بخش users مربوط به Computer management  ، انتخاب گردد . در صورتيکه IUSR_computername شامل account مربوط به anonymous نباشد ، می بايست مطمئن گرديد که  account تعريف شده يک account  بر روی کامپيوتر محلی ( local computer ) است . بدين ترتيب ، در صورت عدم دستيابی به  Domain controller   ، سرويس دهنده وب قابل دسترس  خواهد بود .(در صورتيکه  account مربوط به anonymous يک domain account در نظر گرفته شده باشد ) .

Messages Tab
با استفاده از امکانات موجود در اين بخش می توان سه نوع پيام را بمنظور نمايش برای کاربران  مشخص نمود: Welcome ( ورود به سايت FTP ) ، پيام Exit بمنظور خروج يک کاربر از سايـت و پيام حداکثر تعداد ارتباطات ( Maximum Connections ) . پيشنهاد می گردد که از يک پيام خوش آمد گوئی  که به شکل يک Banner  امنيتی می باشد ،استفاده  گردد .از پيام های خروجی می توان بمنظور نمايش هشدارها ئی بر اساس توقف ارتباط  کاربر استفاده  گردد . در موارديکه حداکثر تعداد ارتباط به سايت FTP محقق می گردد ، می توان با ارائه يک پيام مناسب کاربران  را نسبت به وضعيت بوجود آمده ، آگاه نمود .

Home Directory Tab 
از امکانات موجود در اين بخش بمنظور مشخص نمودن مکان ( آدرس ) محتويات ارائه شده ( يک دايرکتوری بر روی  کامپيوتر ، يک فولدر به اشتراک گذاشته شده در شبکه و يا يک URL redircetions ) استفاده می گردد. مسير محلی  دايرکتوری ، مجوزهای دستيابی و سبک نمايش  ليست دايرکتوری که IIS برای سرويس گيرنده ارسال می نمايد را نيز می توان در اين بخش مشخص نمود. پيشنهاد می گردد که دايرکتوری فوق ، صرفا" دارای مجوز "فقط خواندنی"  باشد. در صورتيکه ضروری است که امکان ارسال فايل ( Upload ) در اختيار کاربران قرار گيرد،پيشنهاد می گردد دو دايرکتوری مجزای ديگر تحت دايرکتوری ftproot ، ايجاد گردد . يکی از دايرکتوری ها  دارای مجوز دستيابی "فقط خواندنی " در ارتباط با  ذخيره اطلاعات  قابل دسترس برای تمامی کاربران بمنظور download  و دايرکتوری ديگر ، دارای مجوز صرفا" " فقط نوشتن " برای ارسال فايل های کاربران بر روی سرويس دهنده FTP  باشد . ( دايرکتوری دوم صرفا" محلی موقت برای استقرار فايل های ارسالی کاربران خواهد بود ) . در ادامه يکی از مديران سيستم ( و يا web operator ) می تواند دارای مسئوليت بررسی داده و فايل های ارسالی در دايرکتوری فوق شده و پس از حصول اطمينان از عدم وجود مسائل امنيتی و ساير موارد مرتبط ، اقدام به استقرار فايل های ارسالی در دايرکتوری اول بمنظور در اختيار گذاشتن آنان برای Download توسط ساير کاربران نمايد .

Directory Security Tab
با استفاده از امکانات موجود در اين بخش می توان سياست دستيابی به سايت FTP را بر اساس آدرس های IP مشخص نمود.  در اين رابطه دو گزينه وجود دارد : Granted Access و Denied Access . با انتخاب گزينه Granted Access ، تمامی کامپيوترها قادر به دستيابی به منابع موجود خواهند شد ، بجزء کامپيوترهائی  که آدرس IP آنان مشخص شده است . با انتخاب گزينه Denied Access ، صرفا" آندسته از کامپيوترهائی که آدرس IP آنان مشخص خواهد شد ، قادر به دستيابی به منابع موجود بوده و تمامی درخواست های ديگر ناديده گرفته خواهد شد . در موادريکه آدرس های IP مشخص می گردد ، سه گزينه ديگر نيز موجود می باشد : single computer  و group of computers ( در اين حالت network ID و Subnet mask مشخص خواهد شد )  و يا Domain Name  ( درانتخاب گزينه فوق ، می بايست  دقت لازم را انجام داد. پس از انتخاب اين گزينه ، يک پيام هشداردهنده مبنی بر کاهش کارآئی سرويس دهنده با توجه به ضرورت انجام يک DNS reverse lookup  در ارتباط با هر درخواست اتصال، نمايش داده خواهد شد) . در صورتيکه  مجموعه ای تعريف شده از کاربران وجود دارد که می بايست به آنان مجوز دستيابی به دايرکتوری ftp داده شود ، پيشنهاد می گردد، گزينه Denied Access  انتخاب گردد . بدين ترتيب ، صرفا" کامپيوترهای مشخص شده قادر به دستيابی به داده موجود بر روی دايرکتوری ftp بوده و از دستيابی ديگران جلوگيری بعمل خواهد آمد.

در بخش ششم  اين مقاله ، به بررسی سرويس  Simple Mail Transfer Protocol ) SMTP) ، خواهيم پرداخت .

ايمن سازی سرويس دهنده FTP

سرويس FTP)File Transfer Protocol) يکی از قديمی ترين و متداولترين سرويس های موجود بر روی اينترنت است . از سرويس فوق ، بمنظور ارسال و دريافت فايل در يک شبکه استفاده می گردد. سرويس FTP ، توسط عموم کاربران اينترنت استفاده و بعنوان استانداردی برای ارسال و دريافت فايل در شبکه ( اينترانت ، اينترنت )  توسط اکثر سيستم های عامل پذيرفته  شده است
ويندوز 2000 بهمراه خود از يک سرويس دهنده FTP استفاده می نمايد که بعنوان بخشی از IIS  در نظر گرفته می شود. مديران سيستم با استفاده از سرويس فوق و ترکيب آن با  ساير امکانات ارائه شده توسط ويندوز ، قادر به ايجاد و پيکربندی يک سايت FTP با ضريب امنيتی مناسبی خواهند بود.در ادامه و بمنظور ايمن سازی يک سايت FTP ، پيشنهادات متعددی ارائه می گردد.

نکته اول : دستيابی از طريق  Anonymous account را غير فعال نمائيد . دستيابی از نوع Anonymouse، بصورت پيش فرض و پس از نصب اولين سرويس دهنده  FTP فعال می گردد. روش  فوق ، امکان دستيابی به سايت FTP را بدون نياز به يک  account  خاص فراهم می نمايد. بدين ترتيب استفاده کنندگان بصورت کاملا" ناشناس قادر به استفاده از منابع موجود بر روی سرويس دهنده FTP  بوده و امکان مشاهده سودمند ترافيک سايت و در صورت ضرورت، رديابی آنان وجود نخواهد داشت . با حذف قابليت دستيابی Anonymous ، امکان دستيابی به سايت FTP صرفا" در اختيار کاربرانی قرار خواهد گرفت که دارای يک account معتبر باشند.
پس از تعريف هر يک از account های مورد نظر، می توان در ادامه با استفاده از ACL)Access Control List) کنترل ها و مجوزهای مربوط به دستيابی به دايرکتوری FTP ( محل فيزيکی استقرار سايت FTP بر روی ديسک ) را تعريف و مشخص نمود . در اين رابطه می توان از مجوزهای NTFS استفاده کرد. به منظور غير فعال نمودن Anonymous account ، می توان از طريق صفحه Property مربوط به سايت FTP  (  برنامه Internet Information Service )  عمليات مورد نظر را انجام داد .

نکته دوم : فعال نمودن Logging . با فعال نمودن Logging بمنظور اتصال به سايت FTP ، اين اطمينان بوجود خواهد آمد که اطلاعات لازم ( آدرس های IP و يا نام کاربران ) در خصوص کاربرانی که بصورت موفقيت آميز به سايت متصل شده اند ، ثبت خواهد شد.با استفاده از فايل های لاگ که در اين رابطه ايجاد خواهد شد ، می توان ترافيک موجود بر روی سايت را مشاهده و در صورت يک تهاجم ، امکان رديابی اوليه آن فراهم گردد. بمنظور فعال نمودن ويژگی فوق، کافی است که  Chex box مربوطه  از طريق صفحه Property مربوط به سايت FTP انتخاب گردد .در ادامه ، فايل های لاگ  بر اساس فرمتی که مشخص شده است ، ايجاد خواهند شد . استفاده از فايل های لاگ ، بمنظور مشاهده و آناليز ترافيک سايت  بسيار مفيد خواهد بود.

نکته سوم : تنظيم و پيکربندی مناسب  ليست ACL ( ليست کنترل دستيابی ) .دستيتابی به دايرکتوری FTP می بايست با استفاده از مجوزهای NTFS و بکارگيری محدوديت های ACL ، کنترل گردد .  دايرکتوری FTP نبايد دارای گروه Everyone با تمامی امتيازات و مجوزها باشد ( امکان کنترل مجوزها  و کاربرانی که سايت FTP متصل شده اند وجود نخواهد داشت ) .بدين منظور لازم است  بر روی دايرکتوری مربوط به سايت FTP مستقر و با انتخاب گزينه Property و  Security Option ، اسامی موجود را حذف و  با انتخاب دکمه Add از ليست موجود،  Authenticated user را انتخاب کرد . در ادامه می توان با توجه به سياست های موجود مجوز Read,Write و List Folder contents را در اختيار گروه مربوطه قرار داد . در صورتيکه سياست موجود اقتضاء می کند ، می توان صرفا" امکان دستيابی Write را در اختيار گروه مربوطه قرار و مجوزهای Read وList Folder Contents را از آنها سلب نمود .

نکته چهارم : پيکربندی سايت بعنوان دريافت کننده نه ارسال کننده  . در صورتيکه صرفا" نياز است که کاربران فايل هائی را برای سرويس دهنده ، ارسال و امکان دريافت فايل از سرويس دهنده را نداشته باشند ، می توان سايت FTP را بصورت Blind put پيکربندی نمود. بدين ترتيب به کاربران امکان ارسال ( نوشتن ) فايل بر روی سرويس دهنده داده خواهد شد .( امکان  خواندن از دايرکتوری FTP  وجود نخواهد داشت ) . بدين منظور می توان پس از انتخاب سايت FTP از طريق Home Directory ، اقدام به تنظيمات مورد نظر نمود.

نکته پنجم : فعال نمودن Disk Quotas. با استفاده از امکانات ارائه شده توسط ويندوز 2000 ، می توان اقدام به تعيين ظرفيت و يا سهيه ذخيره سازی بر روی ديسک برای هر يک از کاربران نمود..ويژگی فوق ، باعث اعمال محدوديت در رابطه با ميزان فضای ذخيره سازی مربوط به يک کاربر می گردد.بصورت پيش فرض ، مالکيت  به هر کاربر که در فايلی می نويسد اعطاء می گردد . با فعال نمودن و انجام تنظيمات مورد نظر، می توان پيشگيری لازم در ارتباط با تهاجم به يک سايت FTP را انجام داد ( پر نمودن ظرفيت ديسک ). در صورت تحقق وضعيت فوق ، دامنه اشکال بوجود آمده به ساير  سرويس هائی که از فضای ذخيره سازی ديسک استفاده می نمايند نيز سرايت خواهد کرد. برای فعال نمودن Quota Management ، بر روی درايو موردنظر مستقر و با کليک سمت راست گزينه Property را انتخاب و در نهايت گزينه Quota Tab انتخاب شود .امکان فوق ، صرفا" در ارتبا ط با پارتيشن های NTFS قابل استفاده خواهد بود.استفاده از Disk Quota ، محدود به پارتيش های NTFS بوده و علاوه بر اين  صرفا" می تواند در رابطه با يک کاربر استفاده شده وامکان بکارگيری آن در ارتباط با گروه ها وجود نخواهد داشت . با انتخاب دکمه Quota Entries می توان اقدام به تعريف يک Entry جديد و تعريف محدوديت های مورد نظر نمود.

نکته ششم : استفاده از محدوديت زمانی برای Logon . با استفاده از امکانات ارائه شده همراه  ويندوز 2000 ، می توان زمان خاصی را برای ورود به شبکه کا ربران تعريف نمود. بدين ترتيب کاربران صرفا" قادر به استفاده از سرويس دهنده در ساعات مشخص شده خواهند بود.ويژگی فوق ، بطرز محسوسی باعث کنترل دستيابی به سايت FTP خواهد شد. برای پيکربندی زمان  logon ، از برنامه Active Directory Users and Computers استفاده می گردد . پس از فعال شدن برنامه فوق ، کاربر مورد نظر را انتخاب و پس از مشاهده صفحه  Property مربوطه، با انتخاب دکمه Logon hours  از طريق Account Tab ، می توان اقدام به  مشخص نمودن زمان مورد نظر کاربر برای استفاده ازسرويس دهنده  نمود.


 

نکته هفتم : محدوديت دستيابی بر اساس آدرس IP . بمنظور دستيابی به سايت FTP می توان معيار دستيابی را بر اساس آدرس های IP خاصی در نظر گرفت . با اعمال محدوديت فوق ، اقدامات مناسبی بمنظور کنترل دستيابی به سايت در نظر گرفته خواهد شد . بمنظور فعال نمودن ويژگی فوق ، پس از انتخاب سايت FTP از طريق برنامهInternet Information Services و مشاهده  صفحه Property ، گزينه Directory Security Tab انتخاب گردد. در ادامه،  Denied Access فعال و می توان  با استفاده از دکمه Add آدرس های IP تائيد شده را معرفی کرد.

نکته هشتم :ثبت رويدادهای Audit logon . با فعال نمودن  Auditing ( مميزی ) مربوط به رويدادهای Account Logon ، می توان تمامی تلاش های موفقيت آميز و يا با شکست مواجه شده جهت اتصال به سايت FTP را با استفاده از Security log مربوط به Event Viewer ، مشاهده نمود. مشاهده ادواری اين لاگ می تواند عامل موثری در کشف ، تشخيص و رديابی  تهاجم به يک سايت باشد. (تشخيص مزاحمين و مهاجمين اطلاعاتی ). بمنظور فعال نمودن ويژگی فوق ، از برنامه Local Security Policy و يا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Local Policies/audit policy ، می توان اقدام به تغيير Local Setting به Success و Failure نمود.

 

نکته نهم : فعال نمودن Strong Password . استفاده از رمزهای عبور پيچيده ،روشی مناسب بمنظور افزايش امنيت در خصوص ارائه يک سرويس خاص برای کاربران تائيد شده است . با توجه به جايگاه سرويس دهنده FTP ، استفاده از رمزهای عبور قدرتمند می تواند عاملی موثر در جهت افزايش امنيت سايت های FTP باشد .  با استفاده از امکانات ارائه شده در ويندوز 2000 ، مديران سيستم می توانند کاربران را مجبور به استفاده از رمزهای عبور مستحکم و قوی نمايند. بمنظور فعال نمودن ويژگی فوق ، از برنامه Local Security Policy و يا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Password Policy  ، می توان گزينه Passwords Must Meet Complexity Requirements را فعال نمود . پس از فعال شدن ويژگی فوق ، هر يک از account های تعريف شده تابع شرايط و محدوديت های زير خواهند بود :

  • رمز عبور تعريف شده نمی تواند شامل تمام و يا بخشی از نام Account کاربر باشد .
  • رمز عبور تعريف شده می بايست دارای طولی به اندازه حداقل  شش باشد .
  • رمز عبور تعريف شده می تواند شامل کاراکترها ئی از سه گروه از  چهار گروه زير باشد :
    - حروف الفبائی  A-Z
    - حروف الفبائی a-z
    - ارقام صفر تا نه
    - کاراکترهای خاص ( %,#,$,!)

نکته دهم : فعال نمودن Account Lockout و Account Lockout Threshold .آگاهی و تشخيص رمزهای عبور يکی از موضوعات مورد علاقه اکثر مهاجمان و برنامه های تشخيص دهنده رمز عبوراست .با استفاده از امکانات ارائه شده بهمراه  ويندوز 2000 ، مديران شبکه می توانند تعداد دفعاتی را که يک کاربرسعی در ورود به شبکه می نمايد و عمليات وی با موفقيت همراه نمی گردد را مشخص و در صورت تحقق شرايط فوق ، account مربوطه غير فعال گردد. با فعال نمودن ويژگی فوق و پيکربندی ميزان آستانه ، مديران شبکه می توانند عماکرد برنامه های تشخيیص دهنده رمز های عبور و يا مهاجمان اطلاعاتی را محدود و ضريب ايمنی را افزايش دهند.  بمنظور فعال نمودن ويژگی فوق ، از برنامه Local Security Policy و يا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Account Lockout Policy  ، می توان تنظيمات لازم در خصوص Account Lockout duration , Account lockout threshold و Reset account lockout counter after را انجام داد .

پيکربندی DHCP با رعايت مسائل ايمنی
در اين مقاله قصد داريم به بررسی نحوه پيکربندی سرويس دهنده و سرويس گيرندگانDynamic Host Configuration Protocol ) DHCP  ) ، با رعايت مسائل امنيتی پرداخته و با نحوه تنظيم پارامترهای ذيربط ، آشنا شويم . در ابتدا لازم است با جايگاه سرويس دهنده DHCP در يک شبکه بيشتر آشنا شويم .

مقدمه
تمامی پروتکل های شبکه به هر يک از کامپيوترهای موجود در شبکه، يک مشخصه (آدرس ) منحصر بفرد را نسبت می دهند پروتکل IPX ، آدرس فوق را  بصورت اتوماتيک و توسط ايستگاه کاری نسبت و منحصر بفرد بودن آن تضمين خواهد شد. پروتکل NetBEUI از يک نام NetBIOS شانزده بيتی استفاده می نمايد . پروتکل TCP/IP از يک آدرس IP ، استفاده می نمايد. در نسخه های اوليه پياده سازی شده TCP/IP ، از پروتکل فوق بمنظور اتصال تعداد اندکی از کامپيوترها استفاده می گرديد  و ضرورتی  به وجود يک مرکز متمرکز بمنظور اختصاص  اطلاعات آدرس دهی IP ، احساس نمی گرديد. بمنظور حل مشکل مديريت صدها و يا هزاران آدرس IP در يک سازمان ، DHCP پياده سازی گرديد. هدف سرويس فوق ، اختصاص آدرس های IP بصورت پويا و  در زمان اتصال يک کامپيوتربه شبکه است .
با وجود يک سرويس دهنده DHCP در شبکه ، کاربران شبکه قادر به اخذ اطلاعات مربوط به آدرس دهی IP می باشند . وضعيت فوق ، برای کاربرانی که دارای يک Laptop بوده و تمايل به اتصال به شبکه های متعدد را داشته باشند ، ملموس تر خواهد بود چراکه با برای ورود به هر يک از شبکه ها و استفاده از منابع موجود ، ضرورتی به انجام تنظيماتی خاص در رابطه با آدرس دهی IP وجود نخواهد داشت  . سرويس دهنده DHCP ،  علاوه براختصاص اطلاعات پايه IP نظير : يک آدرس IP و Subnet mask ، قادر به ارائه ساير اطلاعات مربوط به پيکربندی پروتکل TCP/IP برای سرويس گيرندگان نيز می باشد . آدرس Gateway پيش فرض ، سرويس دهنده DNS  ، نمونه هائی در اين زمينه می باشند.
DHCP ويندوز 2000 ( نسخه های سرويس دهنده ) با سرويس دهنده DNS)Domain Name System) ، در ارتباط خواهد بود. ويژگی فوق ، به يک سرويس دهنده DHCP اجازه می دهد که با يک سرويس دهنده پويای DNS  ويندوز 2000 ( DDNS ) ، مرتبط و اطلاعات ضروری را با وی مبادله نمايد . سرويس دهنده DHCP ويندوز 2000 ، قادر به ارائه پويای آدرس IP و Host name  بصورت مستقيم برای يک سرويس دهنده DDNS است .
DHCP ، مسئوليت ارائه اطلاعات  آدرس های IP  سرويس گيرندگان را برعهده دارد . بمنظور اخذ اطلاعات آدرس دهی IP ،  سرويس گيرنده می بايست يک lease را از سرويس دهنده DHCP دريافت نمايد.زمانيکه سرويس دهنده DHCP ، اطلاعات آدرسی دهی IP را به يک سرويس گيرنده DHCP نسبت ( اختصاص) می دهد ، سرويس گيرنده DHCP مالکيت آدرس IP را نخواهد داشت .در چنين حالتی ،  سرويس دهنده DHCP همچنان مالکيت آدرس IP را بر عهده داشته و سرويس گيرنده اطلاعات فوق را اجاره و بصورت موقت و بر اساس يک بازه زمانی در اختيار خواهد داشت . می توان يک آدرس IP را بمنزله يک قطعه زمين در نظر گرفت  که بصورت اجاره ای در اختيار سرويس گيرنده قرار گرفته و لازم است قبل از سررسيد مدت قرارداد! نسبت به تمديد آن اقدام گردد.در صورت عدم تمديد ، سرويس گيرنده قادر به حضور درشبکه نخواهد بود. دراين مقاله قصد نداريم به بررسی فرآيند اختصاص IP توسط سرويس دهنده به سرويس گيرنده پرداخته و مراحل چهارگانه  ( Discover, Offer, Request, Acknowledgement )  را تشريح نمائيم !
DHCP ، يکی از استانداردهای پروتکل TCP/IP بوده که باعث کاهش پيچيدگی و عمليات مديريتی در ارتباط با  آدرس های IP سرويس گيرندگان در شبکه می گردد . در اين راستا سرويس دهنده DHCP ، بصورت اتوماتيک عمليات اختصاص آدرس های IP و ساير اطلاعات مرتبط با TCP/IP  را در اختيار کاربرانی قرار می دهد که امکان DHCP-client آنان فعال شده باشد . بصورت پيش فرض ، کامپيوترهائی که بر روی آنان ويندوز 2000 اجراء می گردد ، سرويس گيرندگان DHCP-Enabled  خواهند بود.

جايگاه سرويس دهنده DHCP در يک شبکه مبتنی بر ويندوز 2000
بمنظور بکارگيری DHCP در يک محيط ويندوز 2000 از رويکردهای متفاوتی استفاده می گردد. با توجه به اينکه DHCP پروتکلی است که دارای محدوديت های امنيتی خاص خود است ، سرويس DHCP نبايد به خارج  ارائه گردد . به  Domain server های حياتی و ماشين های سرويس گيرنده مهم ، می بايست  آدرس های IP تابتی نسبت داده شود که ارتباطی با DHCP نخواهد داشت .

پيشنهادات عمومی پيکربندی
بمنظور پيشگيری  و افزايش امنيت ، موارد زير  پيشنهاد گردد :

  • پورت های DHCP ( شماره 67 و 68 )  در سطح فايروالی که اينترانت را به اينترنت متصل می نمايد ، بلاک گردد .
  • DHCP/BOOTP relay agent را بر روی فايروال ، غير فعال نمائيد ( در صورت  نصب ،  uninstall گردد ) .
+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:12 AM |
 

 

·         Log authoring actions . با انتخاب و فعال نمودن گزينه فوق ، اطلاعات متنوعی در رابطه با فرد ارسال کننده اطلاعات ، نظير: نام ارسال کننده ، زمان ارسال،  نام وب ميزبان از راه دور و موارد ديگر، ثبت می گردد .

·         Manage permissions manually . تنظيمات مربوط به ابزارهای مديريتی FrontPage server extension ( نظير FronPage MMC) را غير فعال می نمايد . بنابراين ابزارهای فوق ، قادر به تغيير و اصلاح تنظيمات امنيتی مربوط به سايت انتخاب شده نخواهند بود. بمنظور اطمينان از اينکه افراد ديگر ( مديريت و يا ساير کاربران ) امکان تغيير تنظيمات امنيتی را نخواهند داشت ، توصيه می گردد حتما" گزينه فوق،  فعال تا امکان تنظيمات امنيتی سيستم از برنامه های مربوطه،  سلب گردد . 

·         Require SSL for authoring . با انتخاب گزينه فوق ، نشر اطلاعات برروی سايت، با استفاده از پروتکل SSL انجام و يک سطح اميدوارکننده از لحاظ امنيتی را شاهد خواهيم بود .

·         Allow authors to upload Executables . اين امکان را به مديران مربوطه  خواهد داد که اسکريپت ها و يا فايل های اجرائی را برای اجراء بر روی سرويس دهنده ، ارسال نمايند . گزينه فوق می بايست غير فعال شده باقی بماند .

خلاصه
جدول زير خلاصه تنظيمات Master Properties  در رابطه با سرويس WWW ,FTP و Server Extension را با رعايت مسائل ايمنی نشان می دهد :

تنظيمات پيشنهادی برای خصلت های اصلی WWW

Web site Tab

Enable logging

Home directory Tab

Disable  Read, Write, Directory browsing options
Enable Log visits
None = Execute Permissions drop down box

Directory security Tab

If  will NOT allow Anonymous access, Disable
Anonymous access Else Enable it.

 

تنظيمات پيشنهادی برای خصلت های اصلی FTP

FTP site Tab

Set  number of connections for max users on FTP server
Set maximum seconds for timeout , 600 seconds is reasonable
Enable logging

Home directory Tab

Enable  Log visits

Security Accounts  Tab

Enable  Allow Anonymous Connections
Enable  Allow only anonymous connections

 

تنظيمات پيشنهادی برای خصلت های اصلی Server Extensions

Enable Log authoring actions
Enable Require SSL for authoring
Enable manage permissions manually
Disable Allow authors to upload executable

در بخش سوم اين مقاله  به بررسی نحوه پيکربندی و مديريت سرويس های متفاوت IIS با رعايت مسائل امنيتی خواهيم پرداخت .

 

پيکربندی IIS با رعايت مسائل امنيتی ( بخش سوم )

در بخش اول اين مقاله، پيکربندیIIS و در بخش دوم ،نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager ، با رعايت مسائل امنيتی تشريح  گرديد . در اين بخش به بررسی روش های  کنترل دستيابی به سرويس دهنده  که توسط تمامی سرويس ها ( www,FTP,SMTP,NNTP ) ، قابل استفاده خواهد بود ، پرداخته می گردد.

روش های کنترل دستيابی 
اولين سطح ايمنی در مدل امنيتی IIS ، امکان دستيابی به سرويس دهنده وب بر اساس آدرس های IP و يا Internet Domain Name  مربوط به درخواست های  سرويس گيرندگان است. در اين راستا می توان ، آدرس های  IP و يا اسامی  ماشين هائی خاص را مشخص ،  تا زمينه دستيابی آنان به سرويس دهنده وب فراهم و يا امکان دستيابی از آنان سلب گردد. در زمان دريافت هر يک از بسته های  اطلاعاتی ، آدرس IP و يا نام آنان با توجه به پيکربندی انجام شده در   بخش "IP address and Domain name Restrictions " ،  بررسی  و بر اساس سياست های تعريف شده ، عکس العمل لازم ارائه خواهد شد . ( گزينه فوق در بخش Directory Security Tab مربوط به جعبه محاوره ای خصلت های سرويس www ، وجود دارد ). زمانيکه از آدرس های IP بمنظور کنترل دستيابی استفاده می گردد ، برخی از سرويس گيرندگان وب ، ممکن است از طريق يک سرويس دهنده Proxy و يا فايروال ، به سرويس دهنده وب دستيابی پيدا می نمايند، در چنين شرايطی آدرس های IP  بسته های اطلاعاتی دريافتی برای سرويس دهنده Proxy و يا فايروال ، ارسال خواهند شد .
بمنظور پياده سازی برخی از روش های  کنترل دستيابی به سرويس دهنده وب ، می توان  از تکنولوژی هائی نظير SSL)Secure Sockets Layer) و امضاء الکترونيکی ، نيز استفاده کرد . SSL ، يک کانال ارتباطی  نقطه به نقطه خصوصی ، يکپارچه و معتبر را ايجاد می نمايد . از امضاء الکترونيکی ، بمنظور بررسی هويت  يک کاربر و يا يک سرويس دهنده و يا سرويس دهندگان وب و مرورگرها بمنظور معتبر سازی دوسويه ( متقابل ) ، تضمين صحت در ارسال صفحات و  يکپارچگی اطلاعات موجود در آنها ، استفاده می گردد .

شناسائی و تائيد 
بمنظور شناسائی و تائيد کاربران ، می توان از چهار گزينه موجود در IIS  استفاده کرد .

·         Anonymouse Access  . روش فوق ، متداولترين گزينه برای دستيابی به يک سرويس دهنده وب است. IIS  ، بدين منظور account هائی با نام IUSR_Computername  و IWAM_Computername  را  بصورت پيش فرض، ايجاد می نمايد. account فوق ، دارای مجوزهای زير خواهد بود :

Log on locally , access this computer from network  and  log as a  batch job

·         کاربران در زمان دستيابی به منابع سرويس دهنده بر روی وب،بصورت اتوماتيک توسط account فوق ، به شبکه وارد خواهند شد. در ادامه کاربران با توجه به مجوزهای تعريف شده در رابطه با account فوق ، قادر به دستيابی منابع موجود خواهند بود. نام account در نظر گرفته شده را می توان با استفاده از گزينه Edit تغيير داد . پيشنهاد می گردد ، مجوزهای Log on as a batch job و access this computer from network ، در رابطه با account فوق حذف گردد ( در صورتيکه ضرورتی به استفاده از آنان وجود ندارد ) .
نکته : زمانيکه سرويس IIS ، متوقف و مجددا" راه اندازی و يا سيستم راه اندازی  مجدد (Reboot ) می گردد ، مجوزهای Log on as a batch job و access this computer from the network ، برای accout های IUSR_Computername و IWAM_Computername ، مجددا" در نظر گرفته خواهد شد (Restore ) . در صورتيکه تاکيد بر حذف  مجوزهای فوق وجود داشته باشد ،  می توان يک Local user account جديد را ايجاد و آن را بعنوان account پيش فرض Anonymouse  برای سرويس IIS در نظر گرفت .( بخش Anonymouse access and authentication control مربوط به Directory Security Tab  سرويس www و يا Account Tab مربوط به سرويس FTP ) . پس از انجام عمليات فوق ، می توان IUSR_Computername ،  را حذف کرد.

·         Basic Authentication ، تقريبا" تمامی مرورگرهای وب موجود ، از روش فوق حمايت می نمايند . در اين روش ، نام و رمز عبور کاربر بصورت متن (Clear text ) ، ارسال می گردد . بديهی است در چنين مواردی امکان تشخيص و کشف اطلاعات ارسالی برای افراديکه ترافيک موجود در شبکه را مانيتور می نمايند ، وجود خواهد داشت . در صورتيکه تاکيد بر استفاده از روش فوق وجود داشته باشد ، پيشنهاد می گردد که بهمراه آن از SSL استفاده گردد . ترکيب SSL با روش Basic Authentication ، امکان رهگيری و کشف اطلاعات ارسالی را کاهش خواهد داد . بدين منظور لازم است مراحل زير دنبال گردد :
مرحله اول : استفاده از يک Server Certificate
مرحله دوم : استفاده از يک کانال ايمن در زمان دستيابی به منابع
مرحله سوم : فعال نمودن Basic authentication و غيرفعال نمودن Anonymouse و Integrated Windows authentication برای سايت مورد نظر.

·         Digest Authentication ، روش فوق امکاناتی مشابه Basic Authentication را ارائه ولی از روش متفاوتی بمنظور ارسال اطلاعات حساس و معتبر ، استفاده می نمايد . سرويس دهنده ، اطلاعاتی را  شامل نام و رمز عبور کاربر بهمراه  اطلاعات اضافه ديگر و  يک  Hash ( محاسبه می گردد ) را برای سرويس گيرنده  ارسال می دارد . در ادامه  Hash ، بهمراه ساير اطلاعات اضافه برای سرويس دهنده ارسال می گردد . زمانيکه سرويس دهنده اطلاعات را دريافت  می نمايد ، آنان را با نام و رمز عبور ترکيب و يک Hash را بدست می آورد . در صورتيکه  hash های مربوطه با يکديگر  مطابقت نمايند ، کاربر تائيد می گردد. در صورتيکه روش فوق فعال و ساير روش ها غير فعال گردند ، يک pop up box ، نمايش و کاربر می بايست نام و رمز عبور خود را  جهت ورود به سايت مشخص نمايد . اطلاعات فوق ، بصورت رمزشده و وارونه ذخيره خواهند شد . بمنظور فعال نمودن ويژگی فوق ، مديران شبکه می بايست يک password policy را در اين رابطه تعريف تا امکان استفاده از  روش فوق ، فراهم گردد . در صورت عدم تعريف  Password policy ، امکان استفاده از روش فوق، وجود نخواهد داشت . بمنظور فعال نمودن Password Policy  می بايست  :
در ويندوز 2000 ، Computer Configuration|Windows Settings | Security Settings | Account Policies | Password policy   را انتخاب  و گزينه Store Passwords using reversible encryption for all users in the domain  ، فعال گردد. ( گزينه فوق بصورت پيش فرض غير فعال است ) . پس از فعال شدن سياست فوق  و زمانيکه کاربر رمز عبور و يا نام خود را تغيير  و يا يک Account جديد ايجاد گردد ، رمز عبور بصورت رمز شده و وارونه ذخيره می گردد .

·         Integrated Windows Authentication  ، روش فوق  از رمزنگاری مبتنی بر Hashing بمنظور تائيد رمز عبور استفاده می نمايد . نام و رمز عبور واقعی هرگز در شبکه ارسال نخواهد شد ، بنابراين امکان کشف و تشخيص آن توسط يک منبع ناامن و تائيد نشده ، وجود نخواهد داشت . تائيد کاربران می تواند با استفاده از پروتکل Kerberos V5 و پروتکل Challenge/response صورت پذيرد . روش فوق،  گزينه ای مناسب برای  استفاده در اکسترانت ها  نخواهد بود ، (امکان فعاليت آن از طريق يک سرويس دهنده  Proxy و يا ساير برنامه های فايروال وجود نخواهد داشت) . از روش فوق بمنظور برپاسازی اينترانت های ايمن ، استفاده می گردد.

پيکربندی IIS می تواند بگونه ای صورت پذيرد  که امکان استفاده از ترکيب روش های تائيد اعتبار و Anonymouse  در آن پيش بينی گردد . در چنين مواردی ، می توان اين امکان را برای يک سايت فراهم آورد که دارای بخش های متفاوت ايمن و غيرحساس باشد . زمانيکه از يک مدل Authentication بهمراه Anonymouse استفاده می گردد ، کاربران همواره و در حالت اوليه با استفاده از IUSR_Computername  به سايت Log on خواهند نمود . زمانيکه درخواستی Fail گردد ( با توجه به عدم وجود مجوزهای لازم بمنظور دستيابی به يک منبع ) ، پاسخی برای سرويس گيرنده ارسال  که نشاندهنده عدم وجود مجوز لازم برای دستيابی به منبع مورد نظر است . همراه با اطلاعات فوق ، ليستی از مدل های متفاوت تائيد اعتبار که توسط سرويس دهنده حمايت می گردد، نيز ارسال خواهد شد . مرورگر سرويس گيرنده در اين راستا به کاربر پيامی را نمايش و از وی درخواست نام و رمز عبور را خواهد کرد .  در ادامه اطلاعات مورد نظر ( نام و رمز عبور کاربر ) برای سرويس دهنده ارسال خواهد شد ، در صورتيکه کاربر دارای مجوز لازم باشد ، امکان استفاده از منبع مورد نظر برای وی فراهم خواهد شد .

مديريت فهرست (Directory )
علاوه بر مجوزهای مربوط به فايل و فهرست ها که در سطح سيستم عامل برقرار می گردد ، IIS ، امکانی با نام Application level Permission را ارائه نموده است . در اين راستا ، امکان انتخاب گزينه هائی نظير : Read , Write , Directory Browsing ,Scripts only و Scripts and executables  وجود داشته و می توان از آنان بهمراه  فهرست های شامل محتويات مربوط به سرويس های www و FTP استفاده کرد .

·          Read . مجوز فوق ،امکان مشاهده و ارسال محتويات برای مرورگر سرويس گيرنده  را فراهم می نمايد .

·          Write . مجوز فوق،  به کاربرانی که مرورگرآنان دارای ويژگی PUT ( مربوط به پروتکل استاندارد HTTP 1.1 ) است ، امکان Upload نمودن فايل هائی برای سرويس دهنده و يا تغيير محتويات يک فايل write-enabled را خواهد داد . گزينه فوق ،  در اختيار کاربران قرار داده نمی شود  و صرفا" مديريت مربوطه به نوع خاص و محدودی از مجوز فوق ،  نياز خواهد داشت .

·         Directory Browsing ، مجوز فوق ، به يک سرويس گيرنده امکان مشاهده تمامی فايل های موجود در يک فهرست را خواهد داد . از مجوز فوق صرفا" در رابطه با سرويس دهندگان عمومی FTP  استفاده و در ساير موارد ، استفاده ازمجوز فوق ، توصيه نمی گردد  .

·         Scripts . مجوز فوق ، امکان اجراء را در سطح اسکريپت ها محدود خواهد کرد . در موارديکه از برنامه های CGI و يا ASP استفاده می گردد ، استفاده از مجوز فوق ، لازم خواهد بود. انشعاب فايل های مربوط به اسکريپت ها می بايست قبلا" به برنامه های Scripting مربوطه ، map شده باشد .

·         Scripts and Executables . مجوز فوق ، امکان اجرای برنامه های EXE و يا DLL را فراهم خواهد کرد( علاوه بر امکان اجرای فايل های ASP و CGI )  . با توجه به حساس بودن مجوز فوق ، استفاده از آن  بجزء در موارد خاص و کاملا" کنترل شده ، توصيه نمی گردد .

مجوزهای فوق را می توان همزمان با نمايش جعبه محاوره ای مربوط به خصلت های www و FTP ، تنظيم نمود .

اعمال محدوديت در رابطه با سرويس دهندگان و فهرست های مجازی
سرويس دهندگان مجازی ،اين امکان را فراهم می آورند که کامپيوتری  که بر روی آن IIS اجراء شده است، قادر به حمايت از چندين Domain Names ( وب سايت ) باشد.در زمان پيکربندی  يک سرويس دهنده مجازی  برای ايجادسرويس دهنده Primary  و هر يک از سرويس دهندگان مجازی ، به اطلاعاتی نظير:
( Host Header Names(NHN و يا آدرس های IP ، نياز خواهد بود. بدين ترتيب ، يک سرويس دهنده که بر روی آن IIS نصب و شامل صرفا" يک کارت شبکه است ، قادر به مديريت سايت های متعدد خواهد بود.
IIS ، امکان تعريف يک نام مستعار برای فهرست های حاوی اطلاعات مورد نياز برای انتشار بر روی سايت را خواهد داد . نام فوق ، بعنوان يک دايرکتوری مجازی شناخته شده و در آدرس های URL  می توان از آنان استفاده کرد. دايرکتوری های مجازی از منظر ملاقات کننده سايت ، فهرست هائی هستند که  از دايرکتوری اصلی wwwroot /  ، انشعاب شده اند . در رابطه با دايرکتوری های مجازی نيز می توان سياست های امنيتی خاصی را اعمال نمود. در اين راستا می توان از مجوزهای Read,Write,Directory Browsing,Script only و Scripts and executables  ، استفاده کرد. مجوز Read ، اين امکان را به يک سرويس گيرنده خواهد داد تا فايل های ذخيره شده در يک دايرکتوری مجازی و يا زيرفهرست مربوطه را Download نمايد . صرفا" دايرکتوری هائی که شامل اطلاعات مورد نياز برای نشر و يا Download می باشند ، می بايست دارای مجوز Read باشند . بمنظور ممانعت از Download نمودن فايل ها ی اجرائی و يا اسکريپت ها ، توصيه می گردد که آنان در دايرکتوری های مجزاء بدون در نظرگرفتن  مجوز Read ، مستقر گردند، اين نوع  دايرکتوری ها ی مجازی می بايست دارای مجوز Scripts only و يا Scripts and executables بوده تا سرويس گيرندگان وب قادر به اجرای آنان گردند .

خلاصه
در زمان پيکربندی سرويس دهنده وب ، موارد زير پيشنهاد می گردد :

·         در رابطه با نوع دستيابی به سايت ، تصميم مناسب اتخاذ و متناسب با آن ، محدوديت های لازم بر اساس آدرس های IP و يا Internet Domains ، اعمال گردد .

·         مشخص نمائيد که آيا ضرورتی به استفاده از  SSL و Certificates در محيط مورد نظر، وجود دارد .

·         يک روش موجود را برای " تائيد اعتبار " ، کاربران انتخاب نمائيد . روش Anonymouse متداولترين گزينه در اين زمينه است . در صورتی از Basic authentication استفاده گردد که سايت مورد نظر تکنولوژی SSL را حمايت می نمايد .

·         دايرکتوری هائی را با مجوز Read ( از مجموعه مجوزهای  NTFS ) ، برای گروه کاربران عمومی ( Webusers ) ايجاد نمائيد. اين دايرکتوری ها ، همچنين می بايست دارای مجوز Read only مربوط به IIS در زمان تنظيم سايت های FTP و www باشند . دايرکتوری ها ی فوق ،  شامل اطلاعات لازم برای سرويس گيرندگان بمنظور مشاهده و يا  Download  ، خواهند بود.

·         يک دايرکتوری با مجوز Read&Execute ( از مجموعه مجوزهای  NTFS ) صرفا" در رابطه با گروه کاربران عمومی  (Webusers ) ايجاد گردد . اين دايرکتوری همچنين می بايست دارای مجوز Script only ( مربوط به مجوزهای IIS ) در زمان پيکربندی سايت www گردد . دايرکتوری فوق ، شامل فايل های اجرائی نظير اسکريپت ها ، می باشد .

در بخش چهارم اين مقاله به بررسی نحوه پيکربندی سرويس های www و FTP خواهيم پرداخت .

پيکربندی IIS با رعايت مسائل امنيتی ( بخش چهارم )

آنچه تاکنون گفته شده است :
بخش اول : پيکربندیIIS
بخش دوم : نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager
بخش سوم : روش های  کنترل دستيابی به سرويس دهنده 
در بخش چهارم به بررسی نحوه تنظيم و پيکربندی سرويس وب خواهيم پرداخت .
بمنظور پيکربندی وب سايت ، برنامه ISM را فعال و در ادامه بر روی وب سايت مورد نظر مستقر و با فشردن دکمه سمت راست موس ، گزينه Properties را انتخاب نمائيد . در ادامه جعبه محاوره ای  مربوط به پيکربندی  وب سايت نمايش  و امکان انجام تنظيمات مورد نظر فراهم خواهد شد . در ادامه به تشريح هر يک از امکانات موجود در اين بخش خواهيم پرداخت .

- Web site Tab : در اين بخش می توان تنظيمات زير را انجام داد :

·         Web site Identification . در اين بخش می توان يک مشخصه ( نام نسبت داده شده به وب سايت قابل استفاده در زمان نمايش  درخت ISM ) را برای وب سايت تعريف نمود. همچنين در اين بخش می توان آدرس IP مربوط به اينترفيس کارت شبکه  مسئول پاسخگوئی به سايت ، يک پورت TCP و پورت SSL  را مشخص نمود. در بخش Advanced options ، می توان چندين نام domain و يا host header را به يک آدرس IP ، نسبت داد ( mapping ) .

·         Connections . گزينه فوق، امکان اعمال محدوديت در رابطه با تعداد دستيابی همزمان به يک وب سايت را فراهم می نمايد . با استفاده از گزينه های موجود در اين بخش می توان، يک زمان Timeout را مشخص کرد. پيشنهاد می گردد ، گزينه فوق انتخاب و مقدار مورد نظر به آن نسبت داده شود تا پيشگيری لازم در خصوص تهاجم اطلاعاتی از نوع غير فعال کردن سرويس ، ايجاد گردد.

·         Enable Logging .پيشنهاد می گردد که  گزينه فوق ، فعال گردد. پس از فعال شدن گزينه فوق،اطلاعات مربوط به ملاقات کنندگان سايـت،ثبت خواهد شد.

Operators Tab . در اين بخش می توان تنظيمات زير را انجام داد :

·         Web Site Operators . از امکانات موجود در اين بخش می توان  بمنظور مشخص نمودن گروه / کاربران  مورد نظر ، جهت مديريت وب سايت، استفاده کرد. Account فوق ، می بايست يک گروه باشد ( در صورتيکه سرويس دهنده در يک domain باشد ) . account های موجود  در گروه ضرورتی به  دارا بودن مجوزهای مديريتی نخواهند داشت . اپراتورها ، صرفا"  قادر به اعمال تغييرات  در رابطه با خصلت هائی می باشند که  محدوده اثر آنان همان وب سايت ، خواهد بود . اين نوع کاربران قادر به دستيابی به خصلت هائی که مربوط به عملکرد تمام IIS ،سرويس دهنده ويندوز 2000 که IIS را ميزبان نموده و يا شبکه ای که سيستم بر روی آن اجراء می گردد  ، نخواهند بود.  نمونه عملياتی را که يک اپراتور وب می تواند انجام دهد ، عبارتند از :
- مديريت محتويات وب ( تغيير ، اضافه و حذف )
- فعال نمودن Logging
- تغيير اسناد پيش فرض وب
- تنظيم مجوزهای دستيابی سرويس دهنده وب
کاربرانی که عضوء گروه Administrators ويندوز 2000 می باشند ، قادر به انجام عمليات مرتبط با IIS ، زير خواهند بود :
- تغيير در ايزولاسيون برنامه  ( جدا سازی برنامه )
- ايجاد دايرکتوری های مجازی و يا تغيير مسير آنان
- تغيير نام و رمز عبور Anonymous
- تغيير مشخصه و يا پيکربندی يک وب سايـت

Home Directory Tab . با استفاده از امکانات موجود در اين بخش می توان ، تنظيمات متعددی را انجام داد . تنظيمات مربوط به  کنترل عرضه محتويات وب  ، مجوزهای دستيابی ، پيکربندی و اشکال زدائی ASP ، نمونه هائی در اين زمينه می باشند. تمامی تنظيمات مرتبط با امنيت از طريق A directory located on this computer  ، پوشش داده می شوند.

Access Permissions . مجموعه مجوزهای موجود در اين محل می بايست با مجوزهای NTFS  مطابقت نمايند . عمليات مربوط به پيکربندی دايرکتوری ها و تعريف مجوزهای مناسب برای سايت ها ، با عنوان :" عمليات قبل ازنصب " در  بخش  اول اين مقاله اشاره گرديد .
کنترل محتويات : در اين رابطه می توان تنظيمات زيررا انجام داد :

·         Script Source access . با انتخاب گزينه فوق ، کاربران قادر به دريافت فايل های Source خواهند بود.  در صورتيکه گزينه Read انتخاب گردد ، کاربران قادر به خواندن Source  و در صورتيکه Write انتخاب گردد ، امکان بازنويسی Source در اختيار کاربران قرار خواهد گرفت  . Script Source access  ، شامل دستيابی به Source  اسکريپت ها نظير اسکريپت های استفاده شده در يک برنامه ASP است . پيشنهاد می گردد ، گزينه فوق به همان صورت پيش فرض ( انتخاب نشده ) باقی بماند . ويژگی فوق،  صرفا" در زمانيکه قصد نشر و ارائه اطلاعات از راه دور را داشته باشيم ، مفيد و ضروری خواهد بود ( نظير WebDAV )

·         Directory browsing . با انتخاب گزينه فوق ، ليستی از دايرکتوری ها و فايل های موجود بر روی سيستم  بصورت hypertext  ، برای کاربران نمايش داده خواهد شد.پيشنهاد می شود ، گزينه فوق فعال نگردد.

·         Log visits . پيشنهاد می گردد ، گزينه فوق فعال باشد( بصورت پيش فرض فعال است) . با فعال شدن گزينه فوق ، اطلاعات مربوط به  تمامی کاربران ( ملاقات کنندگان سايت )   ثبت خواهد شد.

- Application Settings . يک برنامه ، دايرکتوری ها و فايل های موجود بهمراه  يک دايرکتوری  است که  نقطه شروع برنامه  را مشخص می نمايد.در اين بخش می توان تنظيمات زير را انجام داد :

·         Application protection . گزينه فوق باعث ايزوله نمودن يک برنامه مبتنی بر وب از طريق استقرار آن در مکانی متمايز از ساير برنامه ها و سرويس دهنده وب ، می گردد . پيشنهاد می گردد ، مقدار گزينه فوق ، medium و يا high در نظر گرفته شود. در صورتيکه مقدار medium انتخاب گردد ، حفاظت اعمال شده باعث پيشگيری برنامه ها از مسائل بوجود آمده تصادفی و سهوی مرتبط  با نرم افزار سرويس دهنده وب ، خواهد شد. در صورتيکه مقدار گزينه فوق ، high در نظر گرفته شود ، برنامه بطورکامل در فضائی جداگانه از حافظه اجراء و در اين حالت بر روی ساير برنامه ها تاثير نخواهد گذاشت .

·         Execute Permissions . تنظيمات موجود در اين بخش ، اجراء برنامه های موجود در دايرکتوری را کنترل می نمايند . در اين رابطه می توان از تنظيمات زير استفاده کرد :
- none . باعث ممانعت در اجرای  برنامه ها و يا اسکريپت ها می گردد .
- Scripts . محدوديت اجراء در رابطه با اسکريپت ها اعمال خواهد شد ( انشعابات فايلی که قبلا" به برنامه های اسکريپت ، نسبت داده شده اند ) . دايرکتوری هائی که مجوز فوق ، به آنها داده می شود، می بايست ، امکان  Read  مربوط به  کاربران ناشناس ( Anonymouse ) ، از آنها سلب گردد. در صورتيکه مجوز Read به account فوق ، داده شود، امکان مشاهده اطلاعات همراه در اسکريپت ها ، برای کاربران فراهم خواهد شد.( برخی از اطلاعات ممکن است حساس باشند نظير : رمز عبور )
- Scripts and Executables . گزينه فوق، امکان اجرای هر نوع برنامه ای ( اسکريپت و فايل های باينری نظير فايل های exe . و يا dll .) را فراهم می نمايد . در زمان واگذاری مجوز فوق ، می بايست حساسيت خاصی را مد نظر داشت . مجوز فوق، صرفا" می بايست در رابطه با دايرکتوری هائی واگذار گردد  که از فايل های باينری موجود  در آنان سرويس دهنده وب استفاده می نمايد. در صورتيکه کاربران سايت نيازمند مجوز فوق در رابطه با يک دايرکتوری خاص می باشند ، مطمئن شويد که آنان دارای مجوز write مربوط به NTFS در ارتباط با کاربران anonymous سايت مورد نظر نخواهند بود  . مجوز فوق ، شرايط لازم برای استقرار کدهای اجرائی بر روی سرويس دهنده را فراهم و ممکن است کدهای فوق ، کدهای مخربی باشند که زمينه  شروع يک تهاجم اطلاعاتی را فراهم نمايند.

- Application Configuration  . برای تنظيم جزئيات بيشتر مرتبط با  برنامه ها ، می توان از امکان ( دکمه ) Configuration  استفاده کرد . در ادامه يک جعبه محاوره ای جداگانه نمايش که دارای گزينه های :App Mappings , App Options , App Debugging و Process Options ( در صورتيکه مقدار High در رابطه با application protection انتخاب شده باشد ) .  است .

·         App options Tab . از طريق امکانات موجود در اين بخش می توان ، اقدام به پيکربندی وب سايت ، دايرکتوری مجازی و  level دايرکتوری نمود . 
- Enable session state  و Session timeout  . با  انتخاب گزينه فوق ، ASP برای هر کاربری که به برنامه ASP دستيابی پيدا می نمايد يک Session ايجاد می نمايد . بدين ترتيب امکان تشخيص  کاربر در بين چندين صفحه ASP موجود در برنامه ، فراهم می گردد . زمانيکه کاربر صفحه ای را درخواست ننمايد و يا صفحه را در مدت زمان تعريف شده ( Session timeout ) ، بازخوانی ( Refresh )  ننمايد ، Session  متوقف خواهد شد .
- با مقداردهی ASP Script timeout ، در صورتيکه يک اسکريپت در زمان تعريف شده اجرای خود را به اتمام نرساند ، يک entry در Event log ويندوز 2000 ايجاد و به اجرای اسکريپت خاتمه داده می شود . تنظيم مقدار Timeout باعث پيشگيری از بروز تهاجم اطلاعاتی از نوع غير فعال نمودن سرويس می گردد ( انکار سرويس )
- پيشنهاد می گردد ، گزينه Enable parent paths ، غير فعال باشد . بدين ترتيب اسکريپت های ASP امکان استفاده از مسيرهای Relative نسبت به دايرکتوری مادر دايرکتوری جاری را نخواهند داشت . ( گرامر " .. " ) . در صورتيکه  دايرکتوری مادر امکان Execute را فراهم نموده باشد ، يک اسکريپت می تواند تلاشی را در جهت اجرای يک برنامه غير مجاز در دايرکتوری مادر ، آغاز نمايد..

·         Process Options Tab . در اين رابطه گزينه Write Unsuccessful client requests to event log  ( صرفا" در حالتيکه ايزولاسيون High در رابطه با حفاظت برنامه انتخاب شده باشد) ، ارائه خواهد شد .

- Documents Tab . پيشنهاد می گردد ، مديريت سيستم ( شبکه ) همواره يک سند پيش فرض را مشخص تا تمامی کاربران در زمان دستيابی به سايت آن را مشاهده نمايند. بدين ترتيب از نمايش ناخودآگاه ساختار دايرکتوری ، پيشگيری بعمل می آيد . وضعيت فوق زمانی انجام خواهد شد که گزينه Directory browsing فعال شده باشد .

- Directory Security Tab . خصلت های امنيتی را می توان در رابطه با وب سايت ، دايرکتوری ، دايرکتوری مجازی و يا Level  فايل ، اعمال نمود.

·         Anonymous access and Authenticated access ، در رابطه با گزينه فوق در بخش دوم مقاله ، توضيحاتی ارائه گرديده است .

·         IP Address and Domain Name Restrictions ، مديران سيستم می توانند با استفاده از گزينه فوق ، کاربران مجاز به  استفاده از وب سايت را  بر اساس آدرس IP مربوطه ، مشخص نمايند. در اين رابطه دو گزينه ارائه می گردد : Granted Access و Denied Access . با انتخاب گزينه Gtanted Access ، تمامی کامپيوترها،  مجاز به استفاده از منابع موجود بر روی سيستم خواهند بود بجزء آنهائيکه آدرس IP آنان مشخص شده است . Denied Access ، امکان  دستيابی به منابع سيستم را صرفا" ( فقط) برای کامپيوترهائی که آدرس IP آنان مشخص شده است ، ميسر می سازد . در چنين حالتی درخواست های دريافتی از ساير کامپيوترها ، ناديده گرفته خواهد شد . زمانيکه آدرس های IP  را مشخص می نمائيم ، دارای سه گزينه ديگر خواهيم بود: Single Computer ، در اين حالت مديريت شبکه ( سيستم ) صرفا" يک آدرس IP را مشحص می نمايد . Group of computers ، در اين حالت مديريت network ID و Sbunet mask را مشخص و در زمانيکه Domain name انتخاب می گردد ، يک پيام هشداردهنده نمايش داده می شود . (انتخاب فوق باعث کاهش کارآئی سيستم خواهد شد) . در چنين حالتی برای هر درخواست اتصال ، می بايست از DNS Reverse lookup ، استفاده گردد .

·         Secure Communications ، از گزينه فوق ، بمنظور پيکربندی ويژگی های SSL قابل دسترس بر روی سرويس دهنده وب ، استفاده می گردد . با انتخاب گزينه فوق ، تمامی ترافيک بين سرويس گيرنده و سرويس دهنده بصورت رمز شده انجام خواهد شد . پس از پيکربندی لازم ، ملاقات کنندگان سايت ، می بايست از مرورگرهائی استفاده نمايند که از Secure Communications ، حمايت می نمايند. ( جزئيات مربوطه در مقالات آتی ارائه می گردد ) .

- Server Extensions Tab .  برنامه IIS 5.0 ، امکان توليد و نشر اطلاعات از راه دور را فراهم می نمايد. پيشنهاد می گردد ، برای هر يک از وب سايت های موجود بر روی سرويس دهنده IIS ،  گزينه enable authoring ، غير فعال گردد . ويژگی فوق ، امکان تغيير در يک صفحه وب و در نهايت Upload نمودن آن  بر روی وب سايت را  در اختيار برنامه  Frontpage  ، قرار خواهد داد .

در بخش پنجم اين مقاله ، به بررسی سرويس FTP ، خواهيم پرداخت
+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:11 AM |

پيکربندی IIS با رعايت مسائل امنيتی ( بخش دوم )

در بخش اول اين مقاله، پيکربندی IIS با رعايت مسائل امنيتی تشريح  گرديد . در بخش دوم ، به بررسی نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager با رعايت مسائل امنيتی خواهيم پرداخت .
کنسول مديريتی ماکروسافت (Microsoft Management Console :MMC) ، يک برنامه رابط کاربر گرافيکی با نام کنسول را ارائه می نمايد .هدف از ارائه کنسول فوق، ارائه محيط لازم بمنظور انجام تمام عمليات مديريتی از طريق کنسول مديريت است( تمام عمليات قابل دسترس، تابعی از کنسول مديريت می باشند) .اين نوع فرآيند ها، Snap-ins ناميده می شود . MMC خود دارای هيچگونه رفتار مديريتی نبوده ولی محيط لازم برای Snap-ins را فراهم می نمايد.بدين ترتيب کنترل مديريتی و راهبردی محيط مربوطه ، متمرکز می گردد . در زمان نصب برنامه IIS ، يک Snap-ins با نام ISM(Internet Service Manager)  ارائه و در اختيار مديران سيستم قرار خواهد گرفت . بمنظور فعال نمودن برنامه ISM از مسير زير استفاده می کنيم :

Start => Programs => Administrative Tools =>Internet Service Manager  

  شکل زيرصفحه اصلی برنامه  ISM را نشان می دهد .

معرفی برنامه ISM)Internet Service Manager)
زمانيکه برنامه IIS  فعاليت خود را آغاز می نمايد،  يک کنسول MMC  اجرای خود را آغاز و بصورت خودکار Snap-in مربوط به ISM را فعال و در حافظه مستقر می نمايد . صفحه مربوط به Server Properties ، دارای دو گزينه است :  Internet Information Services ( که بصورت پيش فرض فعال است ) و Server Extensions . در صفحه مربوط به IIS ، سه جعبه محاوره ای عمده وجود  دارد :

Master Properties , Enable Bandwidth Throttling , Computer MIME Map  

درموارديکه قصد ايجاد چندين وب سايت بر روی سرويس دهنده را داشته باشيم ، تنظيم هر يک از خصلت های فوق، بسيار مفيد خواهد بود . خصلت های تعريف شده، بصورت اتوماتيک به تمام وب سايت های موجود بر روی سرويس دهنده ،نسبت داده می شود( توارث) . بدين ترتيب در زمان مربوط به پيکربندی هر يک از سايت های موجود بر روی سرويس دهنده ،صرفه جوئی خواهد شد . در صورتيکه برخی از سايت ها نيازمند تنظيمات خاص خود  باشند ، می توان در زمان پيکربندی هر يک از سايت ها ، موارد دلخواه را اعمال نمود .
بمنظور دستيابی به جعبه محاوره ای خصلت اصلی مربوط به سرويس دهنده IIS ،  مراحل زير را دنبال نمائيد :

·         نام سرويس دهنده IIS را در برنامه ISM ،  انتخاب نمائيد .

·         از طريق منوی Action گزينه Properties را انتخاب نمائيد .

·         سرويس WWW و يا FTP را از طريق منوی مربوطه انتخاب و دکمه Edit را بمنظور پيکربندی Master Properties   سرويس مربوطه ، فعال نمائيد .

سرويس WWW
از جعبه محاوره ای  Master Properties ، بمنظور تنظيم مقادير پيش فرض برای تمام سايت های موجود بر روی سرويس دهنده استفاده می شود . با انتخاب گزينه Edit در صفحه  Master Properties ،  می توان پيکربندی عمومی  خصلت های مربوط به وب سايت( وب سايت ها )  را انجام داد . در صفحه فوق، گزينه های متفاوتی وجود دارد . چهار گزينه به خصلت هائی مربوط می گردد که دارای تاثير امنيتی در رابطه با عملکرد يک وب سايت می باشند :

Web site ,Operators , Home Directory , Directory Security .  

·         Web site Tab . در اين جعبه محاوره ای ،Enable Logging تنها آيتمی است  که با مسائل امنيتی مرتبط بوده و بصورت پيش فرض نيز فعال می باشد . با فعال بودن ( شدن ) گزينه فوق ، اطلاعات متفاوتی در رابطه با استفاده کنندگان از  تمام وب سايت های موجود بر روی سرويس دهنده ثبت می گردد .

·         Operators Tab . با استفاده از امکان فوق، می توان گروهها و يا account هائی با مجوز خاص را بمنظور انجام عمليات مديريتی در رابطه با تمام سايت های موجود بر روی سرويس دهنده ، مشخص کرد .  در صورتيکه سرويس دهنده ، مسئوليت پشتيبانی از چندين وب سايت را برعهده داشته باشد،می بايست برای هر وب سايت، يک گروه مجزا بمنظور مديريت محتويات ، ايجاد شود .

·         Home Directory Tab . در اين محل می توان ، گزينه مربوط به ثبت (log)  ملاقات های انجام شده در رابطه با  سايت های موجود بر روی سرويس دهنده را فعال نمود . با فعال شدن  گزينه ثبت ملاقات کنندگان، می توان همواره اين اطمينان را داشت که تمام سايت ها و حتی سايت هائی که بعدا" ايجاد می گردند ، بصورت پيش فرص قادر به ثبت ملاقات کنندگان خود، خواهند بود . ثبت ملاقات کنندگان، از اصول اوليه برای تشخيص رفتار مزاحمين در رابطه با وب سايت ها خواهد بود . با تنظيم گزينه فوق در اين مکان ، مديريت سرويس دهنده وب ضرورتی ندارد که برای هر سايتی که ايجاد می گردد،گزينه  ثبت ملاقات کنندگان را فعال نمايد . مجوزهای Read , Write و Directory Browsing  می بايست به همان حالت پيش فرض باقيمانده و ضرورتی به  تنظيم آنها در اين محل نخواهد بود . (برای هر سايتی که در آينده ايجاد می گردد ، می توان مجوزهای مربوطه را متناسب با سياست های موجود تنظيم و پيکربندی کرد ) . مجوز Read  امکان مشاهده سايت را به ملاقات کنندگان ، مجوز Write امکان نوشتن اطلاعات در فهرستی که سايت نصب شده است و مجوز Directory Browsing  امکان مشاهده ليستی از تمام فايل های موجود در يک فهرست خاص را برای کاربر، فراهم می نمايد.پيشنهاد می گردد ، در صفحه Master Properties ، تمام گزينه های فوق غير فعال گردند ( عدم انتخاب ) . در صفحه Home Directory ، ليست مربوط به مجوزهای اجراء  نيز وجود دارد . پيشنهاد می گردد در اين مقطع مقدار آن None در نظر گرفته شود . در صورت نياز به اختصاص مجوزهای فوق ، می توان اين عمليات را بصورت خاص برای برای هر يک از وب سايت های موجود بر روی سرويس دهنده انجام داد .

·         Directoty Security Tab . روش های تاييد اعتبار با توجه به اينکه محدوده عملياتی و مجاز کاربران  ( کنترل دستيابی به فايل هائی خاص ، فهرست ها و اسکريپت ها  )  را مشخص می نمايند، دارای  اهميت زيادی می باشند .تنظيم و انتخاب روش های تاييد اعتبار کاربران به نوع استفاده از سايت بر می گردد ( آيا سايت بر روی اينترنت و يا اينترانت است ؟) . بمنظور مشاهده صفحه مربوط به Authentication Methods  گزينه Edit  را از طريق ناحيه  Anonymouse access and authentications control ، انتخاب نمائيد . مجوز Anonymous Access  ، می تواند  به بصورت پيش فرض در اختيار در تمام وب سايت های موجود بر روی سرويس دهنده قرارگرفته  و يا  اين امکان از آنها سلب گردد. در صورتيکه سايت از طريق اينترانت و يا يک شبکه داخلی  ( يک شبکه مبتنی بر ويندوز)  استفاده می گردد، می بايست گزينه فوق، غير فعال گردد . بدين ترتيب کاربران شبکه ، می بايست با استفاده از نام و رمز عبور مربوطه به شبکه وارد تا زمينه استفاده آنان از امکانات موجود فراهم گردد . در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، اکثر وب سايت ها امکان دستيابی بصورت  Anonymous را فراهم می نمايند . بجزء روش دستيابی Anonymouse ، از سه روش تاييد اعتبار ديگر نيز می توان استفاده کرد :

توضيحات

روش

روش فوق، امکان حرکت و انتقال نام و رمز عبور در طول شبکه را بصورت کاملا" مشخص و متن شفاف فراهم می نمايد . بدين ترتيب يک مزاحم اطلاعاتی قادر به شناسائی  account های معتبر، بمنظور نفوذ در سايت خواهد بود.

Basic Authentication

 روش فوق، برای سرويس دهندگان Windows Domain ، مشابه Basic Authentication با اين تفاوت است که در مقابل استفاده از نام و رمز عبور بصور متن شفاف ، يک رمز عبور Hash شده  بمنظور ارتقاء سطح اعتبارسنجی ارسال می گرد .اين روش صرفا" توسط مرورگرهائی  که HTTP 1.1 را حمايت می نمايند، قابل استفاده می باشد  ( نظير مرورگر IE5 ) .جهت استفاده از روش فوق،  سرويس دهنده IIS  می بايست در يک Domain  ويندوز 2000 قرار داشته و رمزهای عبور در فايل های متنی و بر روی کنتترل کننده Domain  ذخيره گردند .بنابراين کنترل کننده Domain  ، می بايست بدرستی ايمن و حفاظت گردد .

Digest authentication

مشابه روش  Challange/Respones در IIS 4.0 مربوط به ويندوز NT است. روش فوق، صرفا" از طريق مرورگرهای وب شرکت ماکروسافت قابل استفاده خواهد بود .

Integrated windows authentication

انتخاب يک روش اعتبار سنجی ، مبتنی برسياست های امنيتی تدوين شده  بوده  و نمی توان يک راه حل جامع را معرفی  تا تمام وب سايت ها از آن تبعيت نمايند .

سرويس FTP
صفحه اصلی مربوط به تنظيمات خصلت های FTP  ، دارای گزينه های بمراتب کمتری نسبت به سرويس WWW است . بمنظور فعال نمودن صفحه فوق ، از طريق IIS Server Properties  سرويس FTP را انتخاب و در ادامه دکمه Edit را فعال نمائيد .

·         FTP Site Tab . پيشنهاد می گردد که امکان Logging در اين بخش فعال تا اگر در آينده و در رابطه با يک سايت اين موضوع فراموش گرديد، با مشکلاتی مواجه نگرديم .با توجه به نوع سرويس FTP ، تعداد ارتباطات همزمان مجاز بهمراه زمان timeout را می توان در اين بخش تنظيم کرد .

·         Security Tab . مشابه سرويس www ، می توان امکان دستيابی Anonymous را برای سرويس FTP در اين بخش مشخص نمود . در صورتيکه سايت از طريق اينترنت استفاده می گردد وتمايل به فعال شدن مجوز دستيابی anonymous وجود داشته باشد ،  می توان آن را در اين بخش تنظيم نمود . پيشنهاد می گردد که امکان Allow only anonymous connection  انتخاب گردد . عملکرد Allow IIS to control password مشابه گزينه Enable automatic password synchronization در نسخه شماره چهار IIS است . بدين ترتيب امکان يکسان سازی رمز عبور موجود در اين صفحه با مقدار موجود در Computer Management ، بمنظور کنترل رمز عبور کاربران  و گروه ها انجام خواهد شد . account مربوط به IUSR_computername می بايست بر روی ماشينی که بر روی آن IIS نصب شده است موجود باشد .(وضعيت  فوق بصورت پيش فرض بوده و نبايد آن را  تغيير داد)  . از يک نام و رمز عبور تعريف شده در Domain ويندوز بمنظور FTP استفاده نمی گردد . دومين بخش صفحه فوق، شامل ليستی بمنظور مشخص نمودن FTP site operators است . معرفی و مشخص نمودن گروه و يا  account  مربوطه با مجوزهای لازم بمنظور انجام عمليات مديريتی برای تمام سرويس دهندگان FTP موجود بر روی سرويس دهنده در اين بخش انجام می شود.در زمان پيکربندی يک سايت، گروه و account  ايجاد شده،  بصورت اتوماتيک مشمول سايت جديد شده  ( از ليست گروه و کاربران مجاز که قبلا" ايجاد شده اند ، می توان در رابطه با سايت جديد نيز استفاده کرد ) و می توان به ليست تعريف شده ، گروه و يا کاربران جديدی را اضافه و يا حذف نمود . در صورتيکه سرويس دهنده ، مسئول پاسخگوئی به چندين سايت FTP است ، پيشنهاد می گردد  برای هر سايت،  يک گروه مديريتی جداگانه ايجاد تا امکان مديريت محتويات سايت برای مسئول مربوطه فراهم گردد .

·         Home Directory Tab . در اين محل صرفا" يک گزينه مرتبط با مسائل امنيتی وجود دارد:  Log visits . گزينه فوق، خوشبختانه بصورت پيش فرض فعال است . پيشنهاد می گردد گزينه فوق به همين وضعيت باقی بماند . ثبت ملاقات کنندگان سايت روشی مناسب بمنظور تشخيص رفتار مزاحمين و ساير موارد مشابه در رابطه با مهاجمان اطلاعاتی است . .

·         Directory Security Tab . در اين بخش امکان تعريف محدوديت دستيابی بر اساس  TCP/IP ،  وجود دارد .در اين راستا می توان،  امکان دستيابی به سرويس دهنده را برای تمام کامپيوترها فراهم  و يا اين امکان را از آنها سلب نمود. در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، مديريت سايت می بايست امکان دستيابی به تمام کامپيوترها  را انتخاب نمايد ( مقدار پيش فرض ) در صورتيکه سايت بصورت اينترانت استفاده می گردد ، می توان از رويکرد اشاره شده در رابطه با اينترنت استفاده و يا ليستی از کاربران و گروهها ی مجاز را بمنظور دستيابی به سايت مشخص نمود . در چنين حالتی، گزينه Denied Access انتخاب و در ليست مربوطه (Except ) ،  کاربران و گروه های مجاز مشخص می گردند .

Server Property Server Extensions 
دومين بخش صفحه Master Properties به Server Extensions بر می گردد . IIS ،امکان نشراطلاعات از راه دور را فراهم می نمايد. ويژگی فوق،  برای برنامه FrontPage مناسب است . بدين ترتيب  يک مولف، قادر به ايجاد تغييرات لازم در رابطه با يک صفحه وب و ارسال آن بر روی سرويس دهنده ،از راه دور می باشد . وضعيت فوق از لحاظ امنيتی يک ريسک بشمار می رود . در اين بخش می توان تنظيمات لازم را بمنظور  بهره برداری از ويژگی فوق، انجام داد . گزينه های موجود در اين بخش که به مسائل امنيتی مرتبط می باشند، در ناحيه Permission قرار دارند.در صورت استفاده از  ويژگی فوق، می بايست گزينه های Log authoring actions  ,Require SSL for authoring و Manage Permissinos manually فعال گردند .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:8 AM |

استفاده از شبکه های کامپيوتری از چندين سال قبل رايج و در ساليان اخير روندی تصاعدی پيدا کرده است .اکثر شبکه های پياده سازی

سرويس های شبكه

 

پيکربندی IIS با رعايت مسائل امنيتی  ( بخش اول )

 

 شده در کشور  مبتنی برسيستم عامل شبکه ای  ويندوز می باشند .  شبکه های کامپيوتری، بستر و زير ساخت مناسب برای سازمان ها و موسسات را در رابطه با تکنولوژی اطلاعات فراهم می نمايد . امروزه  اطلاعات  دارای ارزش خاص خود بوده و تمامی ارائه دهندگان اطلاعات با استفاده از شبکه های کامپيوتری زير ساخت لازم را برای عرضه اطلاعات  بدست آورده اند . عرضه اطلاعات  توسط سازمان ها و موسسات می تواند بصورت محلی ويا  جهانی  باشد. با توجه به جايگاه والای اطلاعات از يکطرف و نقش شبکه های کامپيوتری ( اينترانت و يا اينترنت )  از طرف ديگر ، لازم است به مقوله امنيت در شبکه های کامپيوتری توجه جدی شده و هر سازمان با تدوين يک سياست امنيتی مناسب ، اقدام به پياده سازی  سيستم امنيتی نمايد . مقوله تکنولوژی اطلاعات به همان اندازه که جذاب و موثر است ، در صورت عدم رعايت اصول اوليه  به همان ميزان و يا شايد بيشتر ، نگران کننده و مسئله آفرين خواهد بود . بدون ترديد امنيت در شبکه های کامپيوتری ، يکی از نگرانی های  بسيار مهم در رابطه با تکنولوژی اطلاعات بوده   که متاسفانه کمتر به آن  بصورت علمی پرداخته شده است . در صورتيکه دارای اطلاعاتی  با ارزش بوده  و قصد ارائه آنان  را بموقع  و در سريعترين زمان ممکن  داشته باشيم ،  همواره می بايست به مقوله امنيت، نگرشی عميق  داشته و با يک فرآيند  مستمر آن را دنبال نمود .
اغلب سازمان های دولتی و خصوصی در کشور، دارای وب سايت اختصاصی  خود در اينترنت می باشند . سازمان ها و موسسات برای ارائه وب سايت ، يا خود امکانات مربوطه را فراهم نموده و با نصب تجهيزات سخت افزاری و تهيه پهنای باند لازم،  اقدام به عرضه سايت خود در اينترنت نموده و يا از امکانات مربوط به شرکت های ارائه دهنده خدمات ميزبانی استفاده می نمايند . وجه اشتراک دو سناريوی فوق و يا ساير سناريوهای ديگر، استفاده از يک سرويس دهنده وب است  . بدون ترديد سرويس دهنده وب يکی از مهمترين نرم افزارهای موجود در دنيای اينترنت محسوب می گردد . کاربرانی که به سايت يک سازمان و يا موسسه متصل  و درخواست اطلاعاتی را  می نمايند ، خواسته  آنان در نهايت در اختيار سرويس دهنده وب  گذاشته می شود . سرويس دهنده وب،  اولين نقطه ورود اطلاعات  و آخرين نقطه خروج اطلاعات از يک سايت  است . بديهی است نصب و پيکربندی مناسب چنين نرم افزار مهمی ، بسيار حائز اهميت بوده  و تدابيرامنيتی خاصی را طلب می نمايد .در ادامه  به بررسی  نحوه پيکربندی سرويس دهنده وب IIS در شبکه های مبتنی بر ويندوز با تمرکز بر مسائل امنيتی ، خواهيم پرداخت .

IIS)Internet Information services) ، يکی از سرويس دهندگان وب است  که از آن برای برای نشر و توزيع سريع محتويات مبتنی بر وب ، برای مرورگرهای استاندارد استفاده می شود . نسخه پنج IIS ، صرفا" برای سيستم های  مبتنی بر ويندوز 2000 قابل استفاده است . نسخه های ويندوز 2000  Server و Advanced server  بمنظور نصب IIS  ، مناسب و بهينه می باشند . نسخه پنج برای  استفاده در نسخه های قديمی ويندوز طراحی  نشده است . امکان نصب IIS نسخه پنج ،  بهمراه ويندوز Professional نيز وجود داشته  ولی برخی از امکانات آن نظير : ميزبان نمودن چندين وب سايت ،  اتصال به يک بانک اطلاعاتی ODBC و يا محدوديت در دستيابی از طريق IP   در آن لحاظ نشده است .
نسخه پنج IIS ، سرويس های  WWW ، FTP، SMTP و NNTP را ارائه می نمايد . سه نرم افزار و سرويس ديگر نيز با IIS در گير می شوند : Certificate Server , Index server و Transaction server .
امنيت در  IIS  متاثر از سيستم عامل است . مجوزهای فايل ها ،  تنظيمات ريجستری ،  استفاده از رمزعبور،  حقوق کاربران و ساير موارد مربوطه ارتباط مستقيم و نزديکی با امنيت در IIS دارند .
قبل از پيکربندی مناسب IIS ،  لازم است که نحوه استفاده از سرويس دهنده دقيقا" مشخص گردد . پيکربندی دايرکتوری های IIS ، فايل ها ،  پورت های TCP/IP  و Account کاربران نمونه هائی در اين زمينه بوده که پاسخ مناسب به سوالات زير در اين رابطه راهگشا خواهد بود :

·         آيا سرويس دهنده از طريق اينترنت قابل دستيابی است ؟

·         آيا سرويس دهنده از طريق اينترانت قابل دستيابی است ؟

·         چه تعداد وب سايت بر روی سرويس دهنده ميزبان خواهند شد ؟

·         آيا وب سايت ها  نيازمند استفاده از محتويات  بصورت اشتراکی می باشند ؟

·         آيا سرويس دهنده امکان دستيابی را برای افراد ناشناس ( هر فرد ) فراهم نموده و يا صرفا" افراد مجاز حق استفاده از سرويس دهنده را خواهند داشت ؟ و يا هر دو ؟

·         آيا امکان استفاده و حمايت از SSL)Secure Socket Layer) وجود دارد ؟

·         آيا سرويس دهنده صرفا" برای دستيابی به وب از طريق HTTP استفاده می گردد ؟

·         آيا سرويس دهنده ، سرويس FTP را حمايت می نمايد ؟

·         آيا کاربرانی وجود دارد که نيازمند عمليات خاصی نظير کپی، فعال  نمودن، حذف و يا نوشتن فايل هائی بر روی سرويس دهنده  باشند ؟

موارد زير در زمان نصب IIS پيشنهاد  می گردد :

·         کامپيوتری که IIS بر روی آن نصب شده است را در يک محل امن فيزيکی قرار داده و صرفا" افراد مجاز قادر به دستيابی فيزيکی به سرويس دهنده باشند .

·         در صورت امکان،  IIS را بر روی يک سرويس دهنده Standalone نصب نمائيد. در صورتيکه IIS بر روی يک سرويس دهنده از نوع Domain Controller نصب گردد و سرويس دهنده وب مورد حمله قرار گيرد، تمام سرويس دهنده بهمراه اطلاعات موجود در معرض آسيب قرار خواهند گرفت . علاوه بر مورد فوق،  نصب IIS بر روی يک سرويس دهنده از نوع Domain controller ، باعث افزايش حجم عمليات سرويس دهنده و متعاقبا" کاهش کارآئی سيستم در ارائه سرويس های مربوط به وب خواهد شد .

·          برنامه های کاربردی و يا ابزارهای پياده سازی نمی بايست بر روی سرويس دهنده IIS نصب گردند .

·         کامپيوتر مربوط به نصب IIS را بگونه ای مناسب پارتيشن نموده تا هر يک از سرويس ها نظير www و يا FTP بر روی پارتيشن های مجزاء قرار گيرند .

·         IIS امکان نصب برنامه ها را در مکانی ديگر بجز پارتيشن C فراهم نمی نمايد ( مگراينکه يک نصب سفارشی داشته باشيم )  .موضوع فوق به  عملکرد سيستم عامل مرتبط می گردد . مجوزهای پيش فرض در رابطه با %Systemdrive%   اعمال می گردد ( مثلا" درايو C)  . موضوع فوق می تواند باعث عدم صحت کارکرد مناسب برخی از سرويس های IIS گردد. می بايست مطمئن شد که مجوزهای سيستم عامل با عمليات مربوط به سرويس های IIS ، رابطه ای  ندارند .

·         تمام پروتکل های پشته ای (Stack) غير از TCP/IP را از روی سيستم حذف نمائيد. ( در موارديکه برخی از کاربران اينترانت نيازمند برخی از اين نوع پروتکل ها می باشند می بايست با دقت اقدام به نصب و پيکربندی مناسب آن نمود ) .

·         روتينگ IP ، بصورت پيش فرض غيرفعال است و می بايست به همان حالت باقی بماند . در صورت فعال شدن  روتينگ ، اين امکان وجود خواهد داشت که داده هائی از طريق کاربران اينترانت به اينترنت ارسال گردد .

·         نصب Client for Microsoft networking ، بمنظور اجرای سرويس های HTTP,FTP,SMTP و NNTP ضروری خواهد بود . در صورتيکه ماژول فوق نصب نگردد، امکان اجرای سرويس های فوق   بصورت دستی و يا اتوماتيک وجود نخواهد داشت .

·         در صورتيکه  تمايل به نصب سرويس های NNTP و SMTP ، می بايست سرويس File and Print Sharing for Microsoft نيز نصب گردند .

عمليات قبل از نصب IIS
در زمان نصب IIS ، يک account پيش فرض به منظور ورود کاربران گمنام ( ناشناس ) به شبکه ايجاد می گردد . نام پيش فرض برای account فوق ، IUSER_computername بوده که computername  نام کامپيوتری است که IIS بر روی آن نصب شده است . account فوق ، می بايست دارای کمترين حقوق و مجوزهای مربوطه بوده  و  گزينه ها ی user cannot change password و password Never Expires  فعال شده باشد. account فوق همچنين می بايست از نوع local account بوده و domain-wide account را شامل نگرديده و دارای مجور ورود به شبکه بصورت محلی باشد (log on locally) . مجوزهای  Access this computer from the network و يا log on as a batch job در رابطه با account ، فوق می بايست غير فعال گردند .  در صورتيکه سياست ارتباط با وب سايت ، صرفا" کاربران مجاز باشد، پيشنهاد می گردد account فوق ، غير فعال گردد . بدين ترتيب تمام کاربران با استفاده از نام و رمز عبور مربوطه  قادر به ورود به سايت خواهند بود . 
گروه هائی برای فايل دايرکتوری و اهداف مديريتی
حداقل دو گروه جديد که در IIS قصد استفاده از انان را داريم، می بايست ايجاد گردد : گروه WebAdmin  ( نام فوق کاملا" اختياری است ) . در گروه فوق،  کاربرانی که مسئوليت مديريت محتويات WWW/FTP را دارند، تعريف می گردند . در صورتيکه سرويس دهنده ،  چندين سايت را ميزبان شده است، برای هر سايت يک گروه مديريتی ايجاد می گردد .  گروه WebUser ( نام فوق کاملا" اختياری است ) . در گروه فوق ليست account افراد  مجاز برای ارتباط با  سايت ، تعريف می گردد. در حالت اوليه ، گروه فوق صرفا" شامل IUSER_computername  است . از گروه های فوق برای تنظيمات مربوط به مجوزهای NTFS استفاده می گردد . IUSER_computername نبايد عضو گروهی ديگر باشد . بصورت پيش فرض IUSER_computername عضو گروه های Guests، Everyone  و Users است  . پيشنهاد  می گردد account فوق ، از گروه Guests حذف و به گروه WebUsers اضافه گردد .( امکان حذف account فوق از ساير گروهها وجود ندارد ) . دقت گردد که تمام افراد  موجود در گروه WebUsers می بايست صرفا" برای دستيابی به وب سايت تعريف شده باشند و نبايد عضوی از ساير گروهها باشند .  
مديريت IIS با چندين گروه
نسخه  شماره چهار IIS ، امکان تعريف گروههای محلی بمنظور پيکربندی و تعريف گروههای مديريتی متفاوت برای سرويس های IIS را فراهم می نمود . رويکرد فوق در نسخه شماره پنج IIS ، تغيير يافته است . گروهها ی محلی می توانند و می بايست برای گروههای مديريتی متفاوت ايجاد گردند . تفاوت موجود بين گروههای محلی برای سرويس www و FTP صرفا"  استفاده از  مجوزهای NTFS  خواهد بود . سرويس های SMTP و NNTP ، قابليت تنظيم گروههای محلی را بعنوان اپراتورهای مديريتی برای سرويس دهنده  IIS فراهم می نمايد .
نصب تمام Patch ها برای سيستم عامل و IIS
مديران IIS ،  می بايست همواره بررسی های لازم در خصوص آخرين نسخه های  fixes و  patch  را انجام داده  و پس از تهيه ، اقدام به نصب آنان نمايند . بدين منظور می توان از بخش Security سايت ماکروسافت ملاقات و برنامه های جديد را اخذ و نصب نمود .
دايرکتوری پيش فرض نصب IIS
پس از نصب IIS ، می بايست تغييرات لازم در خصوص مجوزهای دستيابی NTFS را در رابطه با دايرکتوری هائی که IIS نصب شده است ، انجام داد .  گروه های Everyone و Guests بهمراه account  مربوط به Guest می بايست  حذف گردند . گروه Everyone بصورت پيش فرض دارای تمامی مجوزهای لازم در رابطه با دايرکتوری Inetpub است . کاربران غير مجاز با استفاده  از ويژگی گروه فوق قادر به دستيابی به سيستم خواهند بود، بنابراين لازم است در اين راستا اقدام لازم ( حذف )  صورت پذيرد . دايرکتوری Inetpub ،  بر روی درايو پيش فرض نصب می گردد . ( مثلا" درايو C ) . دايرکتوری جديد و يا ساختار موجود می بايست به پارتيشن ديگر منتقل و عملا" تمايزی بين سايت های در دسترس از محل سيستم های عملياتی را بوجود آورد  . پيشنهاد  می گردد Inetpub به نام دلخواه ديگری تغيير يابد .
دايرکتوری های  IIS نسخه پنج  را می توان در يک محل خاص ( سفارشی ) ديگر نيز نصب نمود( تحقق خواسته فوق صرفا" از طريق يک نصب سفارشی  ميسر می گردد ) . بدين منظور از يک فايل پاسخ استفاده می شود. فايل پاسخ ( مثلا" iis5.txt) می بايست دارای اطلاعات زير باشد :

اطلاعات ضروری در فايل پاسخ بمنظور تغيير محل نصب IIS

[Components]
iis_common = on
iis_inetmgr = on
iis_www = on
iis_ftp = on
iis_htmla = on
iis_doc = on
iis_pwmgr = on
iis_smtp = on
iis_smtp_docs = on
mts_core = on
msmq = off
[InternetServer]
PathFTPRoot={put your drive and install location here, i.e. f:\FTPROOT}
PathWWWRoot={put your drive and install location here, i.e. f:\WWWRoot}

در ادامه از دستور زير برای نصب استفاده می گردد . ( از طريق خط دستور )

Sysocmgr/I:%windir%\inf\sysoc.inf /u:a:\iis5.txt

جدول زير مجوزهای لازم NTFS و IIS در رابطه با دايرکتوری های مربوطه را نشان می دهد :

Type of
Data

Example Directories

Data Examples

NTFS File Permissions

IIS 5.0
Permissions

Static Content

\Inetpub\wwwroot\images
\Inetpub\wwwroot\home
\Inetpub\ftproot\ftpfiles

HTML, images, FTP
downloads, etc.

Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute
,Write, Modify)
Authenticated Users (Read)
Anonymous (Read)

Read

FTP Uploads
(if required)

\Inetpub\ftproot\dropbox

Directory used as a
place for users to store
documents for review
prior to the Admin
making them available
to everyone

Administrators (Full Control)
WebAdmins or FTPAdmins
(Read & Execute, Write, Modify)
Specified Users (Write)

Write

Script Files

\Inetpub\wwwroot\scripts

.ASP

Administrators (Full Control)
System (Full Control)
WebAdmins(Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)

Scripts only

Other
Executable and
Include Files

\WebScripts\executables
\WebScripts\include

.exe, .dll, .cmd, .pl
.inc, .shtml, .shtm

Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)

Scripts only
Or
Scripts and
Executables**
**(Depending on
necessity)

Metabase

\WINNT\system32\inetsrv

MetaBase.bin

Administrators (Full Control)
System (Full Control)

N/A

دايرکتوری ها ئی  که شامل فايل های فقط خواندنی هستند ( فايل های Html ، تصاوير،  فايل های آماده برای Download توسط FTP و ... ) ، می بايست دارای مجوز فقط خواندنی بمنظور دستيابی گروه WebUsers باشند . هر نوع از فايل های فوق می تواند  دارای دايرکتوری اختصاصی خود با مجوز فقط خواندنی باشند  . مجوزهای لازم Read&Execute write و Modify را می بايست به گروهی که مسئوليت مديريت محتويات وب را برعهده دارد اعطاء گردد ( مثلا" گروه WebAdmin) . برای فايل های اجرائی ( اسکريپت ها ، فايل های batch و ... ) ، می بايست  يک دايرکتوری اختصاصی ايجاد کرد . دايرکتوری های فوق  صرفا" دارای مجوز Travesr Folder/Execute مربوط به NTFS برای کاربرانی می باشند  که مجوز لازم بمنظور دستيابی به سايت را دارا می باشند ( کاربر IUSER_computername و ساير کاربران تعريف شده در گروه WebUsers ) . دايرکتوری فوق همچنين می بايست دارای مجوز های مربوط به IIS و از نوع Script only باشد. مجوز Scripts and Executables مربوط به IIS ، می بايست صرفا" به دايرکتوری هائی که به اين مجوز نياز دارند اعطاء گردد. مثلا" يک دايرکتوری که شامل فايل های باينری بوده و می بايست اين فايل ها توسط سرويس دهنده وب اجراء گردند .
تمام دايرکتوريهائی که دارای نمونه مثال هائی بوده و يا هر اسکريپت استفاده شده بمنظور اجرای برنامه های نمونه را می بايست حذف و يا انتقال داد . در زمان نصب IIS دايرکتوری های متعددی ايجاد که در آنها فايل های نمونه بهمراه اسکريپت ها قرار می گيرد. پيشنهاد می گردد دايرکتوری های فوق حذف و يا مکان آنها تغيير يابد .  دايرکتوری های زير نمونه هائی در اين زمينه می باشند :

\InetPub\iissamples
\InetPub\AdminScripts

سرويس های IIS
در زمان نصب IIS ، چهار سرويس بر روی سيستم نصب خواهد شد  :

·         www . سرويس فوق،بمنظور ايجاد يک سرويس دهنده وب  و سرويس دهی لازم به درخواست سرويس گيرندگان برای صفحات وب استفاده می گردد .

·         FTP . سرويس فوق، بمنظور ارائه خدمات  لازم در خصوص ارسال و دريافت فايل بر روی سرويس دهنده برای کاربران استفاده می گردد .

·         SMTP . سرويس فوق،امکان ارسال و دريافت نامه الکترونيکی برای سرويس گيرندگان را در پاسخ به فرم ها و برنامه های خاص ديگر فراهم می نمايد .

·         NNTP . سرويس فوق، بمنظور ميزبانی يک سرويس دهنده خبری USENET  استفاده می گردد .

در زمان نصب IIS ، می توان تصميم به نصب برخی از سرويس ها  و يا همه  آنها گرفت . پس از نصب IIS ، در صورتيکه به وجود برخی از سرويس ها نياز نباشد، می توان آنها را غير فعال نمود. بدين منظور می بايست مراحل زير را  دنبال کرد :

·         انتخاب گزينه Services از طريق مسير زير :

Programs => Administrative Tools => Services

·         انتخاب سرويسی  که قصد غير فعال کردن آن را داريم . در ادامه با فعال کردن کليد سمت راست موس ،  گزينه Stop را بمنظور توقف سرويس فعال نمائيد .

·         بمنظور اطمينان از عدم اجرای سرويس غير فعال شده در زمان راه اندازی مجدد سيستم،  سرويس را مشخص و پس از فعال کردن کليد سمت راست موس،  گزينه Properties را انتخاب ودر بخش Startup type  وضعيت اجرای سرويس را از حالت Automatic به Disable تغيير دهيد . شکل زير نحوه غير فعال نمودن سرويس www  را نشان می دهد .

ايمن سازی متابيس
متابيس (Metabase) ،  مقادير مربوط به پارامترهای  پيکربندی برنامه IIS  را  ذخيره می نمايد . متابيس بمنظور استفاده  در  IIS طراحی و بمراتب سريعتر و انعطاف پذيرترنسبت به ريجستری ويندوز 2000 است . هر گره در ساختار متابيس ،  يک کليد (key) ناميده شده و می تواند دارای يک و يا چندين مقدار مربوط به پيکربندی بوده که خصلت ناميده می شوند . کليدهای متابيس IIS به عناصر و قابليت های مربوط به IIS اختصاص داده شده و هر کليد شامل خصلت هائی است که تاثير مستقيمی  بر روی سرويس و پتانسيل  مربوطه ، خواهد داشت . ساختار استفاده شده در متابيس بصورت سلسله مراتبی بوده و تصويری مناسب از ساختار IIS است که بر روی سيستم نصب شده است . اکثر کليدهای پيکربندی IIS بهمراه مقادير مربوطه در نسخه های قبلی  IIS ، در ريجستری سيستم ذخيره می گرديدند. در نسخه پنج ، تمام مقادير فوق در متابيس ذخيره می گردند . کليدهای ديگری نيز  بمنظور افزايش کنترل انعطاف پذيری IIS  در متابيس ذخيره می گردد . يکی از مزايای ساختار استفاده شده در متابيس ، اختصاص تنظميات متفاوت يک خصلت خاص برای  نمونه های متفاوتی از کليد ها ی مشابه  است . مثلا" خصلت MaxBandwidth ،حداکثر پهنای باند قابل دسترس را برای يک سرويس دهنده مشخص و می تواند به تراکنش های متعدد وب تعميم يابد . متابيس ، قادر به نگهداری مقادير متفاوت MaxBandwidth برای هر يک از سايت های وب می باشد .
متابيس در يک فايل خاص با نام Metabase.bin و در آدرس winnt\system32\ineterv \  ذخيره می گردد . پس از استقرار  IIS در حافظه ، متابيس نيز از روی ديسک خوانده شده و در حافظه مستقر می گردد . پس از غيرفعال شدن IIS ، متابيس مجددا" بر روی ديسک ذخيره خواهد شد . ( متابيس بدفعاتی که IIS اجراء خواهد شد بر روی ديسک ذخيره  می گردد) . با توجه به نقش حياتی فايل فوق برای برنامه IIS  ، حفاظت  و کنترل دستيابی به آن دارای اهميت فراوان است . در صورتيکه فايل فوق ،  با يک فايل ديگر ( نامعتبر)  جايگزين گردد، عملکرد صحيح برنامه IIS بمخاطره خواهد افتاد . برنامه IIS سريعا" متاثر از تغييرات خواهد شد . (اولين مرتبه ای که IIS پس از اعمال تغييرات اجراء می گردد ) . در چنين مواردی ممکن است  سرويس مربوطه از طريق سرويس دهنده ، اجراء نشود. پيشنهاد  می گردد که فايل Metabsat.bin   بر روی پارتيشننی از نوع NTFS ذخيره  و با استفاده از امکانات امنيتی ويندوز 2000 آن را حفاظت کرد . مجوزهای پيش فرض برای فايل فوق ،  System و Administrator Full Access می باشد . محدوديت دستيابی به System و local Administrators  امنيتی قابل قبول در رابطه با فايل فوق را ايجاد و ضرورتی به تغيير و يا اضافه نمودن تنظيمات جديدی نخواهد بود . 
بمنظورايجاد پوسته حفاظتی مطلوبتر امنيتی در رابطه با فايل فوق ،  پيشنهاد  می گردد  فايل فوق  برای کاربران غير مجاز  مخفی شود . انتقال و يا تغيير نام فايل نيز می تواند امنيت فايل فوق ر ا مضاعف نما يد . بدين منظور می بايست در ابتدا برنامه IIS متوقف و پس از تغيير نام و يا انتقال فايل فوق ،  تغييرات لازم را در کليد ريجستری  زير اعمال نمود . 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetMgr\Parameters

در ادامه يک مقدار جديد REG_SZ  برای کليد فوق با نام MetadataFile  ايجاد و مسير کامل فايل  را که شامل نام درايو و نام فايل است  ، بعنوان نام جديد فايل متابيس معرفی  نمائيم . بدين ترتيب برنامه IIS آگاهی لازم در خصوص نام و آدرس فايل متابيس را پيدا و در زمان را اندازی از آن استفاده خواهد کرد .

پيشنهادات تکميلی در رابطه با امنيت برنامه IIS

·         بر روی سرويس دهنده IIS صرفا" IIS و عناصر مورد نياز را نصب و از نصب برنامه ها و ابزارهای پياده سازی ممانعت بعمل آيد .

·         تمام سرويس های غير ضروری را غير فعال نمائيد .

·         در رابطه با IUSER_Computername  account  ،  گزينه های User cannot change password و Password Never Expires را انتخاب و فعال نمائيد .

·         در صورتيکه تمايلی  به ورود افراد گمنام (anonymous) به شبکه وجود نداشته باشد ،  می بايست account مربوطه را غير فعال نمود (IUSER_Computername) .

·         برای هر وب سايت local admin groups ايجاد و account مربوطه را مشخص نمائيد .

·         برای کاربران وب يک local group ايجاد و صرفا" account های مورد نياز و مجاز نظير IUSER_Computername را در آن فعال نمائيد .

·         از تمام گروه های ديگر، account مربوط به IUSER_Computername را حذف نمائيد .

·         تمام مجوزهای NTFS مربوط به دايرکتوری Inetpub را حذف و صرفا" گروه ها و account های مجاز را به آن نسبت دهيد .

·         يک ساختار منطقی برای دايرکتوری ايجاد نمائيد . مثلا" برای  محتويات ايستا ، فايل های  asp  ، scripts  و Html  ، اسامی دايرکتوری ديگری ايجاد و با يک ساختار مناسب بيکديگر مرتبط گردند.

·         مجوزهای لازم NTFS بر روی ساختار دايرکتوری ها  را در صورت نياز اعمال نمائيد .

·         تمام دايرکتوری های نمونه و اسکريپت هائی که نمونه برنامه هائی را اجراء می نمايند ،  حذف نمائيد .

·         مجوز Log on locally به کاربر اعطاء و امکان log on as a batch service  و  Access this computer from the  network از کاربر سلب گردد .

در بخش دوم اين مقاله  به بررسی نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager با رعايت مسائل امنيتی خواهيم پرداخت .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:7 AM |

آشنائی با پروتکل  DNS

DNS از کلمات Domain Name System اقتباس و  يک پروتکل شناخته شده در عرصه شبکه های کامپيوتری خصوصا" اينترنت است . از پروتکل فوق به منظور ترجمه  اسامی کامپيوترهای ميزبان و Domain به آدرس های IP استفاده می گردد. زمانی که شما آدرس www.srco.ir را در مرورگر خود تايپ می نمائيد ، نام فوق به يک آدرس IP و بر اساس يک درخواست خاص ( query )  که از جانب کامپيوتر شما صادر می شود ، ترجمه می گردد . 

تاريخچه DNS
DNS ، زمانی که اينترنت تا به اين اندازه گسترش پيدا نکرده بود و صرفا" در حد و اندازه يک شبکه کوچک بود ، استفاده می گرديد . در آن زمان ، اسامی کامپيوترهای ميزبان به صورت دستی در فايلی با نام HOSTS درج می گرديد . فايل فوق بر روی يک سرويس دهنده مرکزی قرار می گرفت . هر سايت و يا کامپيوتر که نيازمند ترجمه اسامی کامپيوترهای ميزبان بود ، می بايست از فايل فوق استفاده می نمود . همزمان با گسترش اينترنت و افزايش تعداد کامپيوترهای ميزبان ، حجم فايل فوق نيز افزايش و  امکان استفاده از آن با مشکل مواجه گرديد ( افزايش ترافيک شبکه ). با توجه به مسائل فوق ، در سال 1984 تکنولوژی DNS معرفی گرديد .

پروتکل DNS
DNS  ، يک "بانک اطلاعاتی توزيع شده " است  که بر روی ماشين های متعددی مستقر می شود ( مشابه ريشه های يک درخت که از ريشه اصلی انشعاب می شوند ) . امروزه اکثر شرکت ها و موسسات دارای يک سرويس دهنده DNS کوچک در سازمان خود می باشند تا اين اطمينان ايجاد گردد که کامپيوترها بدون بروز هيچگونه مشکلی ، يکديگر را پيدا می نمايند . در صورتی که از ويندوز 2000 و اکتيو دايرکتوری استفاده می نمائيد، قطعا" از DNS به منظور  ترجمه اسامی کامپيوترها به آدرس های IP ، استفاده می شود . شرکت مايکروسافت در ابتدا نسخه اختصاصی سرويس دهنده DNS  خود را با نام ( WINS ( Windows Internet Name Service  طراحی و پياده سازی نمود . سرويس دهنده فوق مبتنی بر تکنولوژی های قديمی بود و از پروتکل هائی استفاده می گرديد که هرگز دارای کارائی مشابه DNS نبودند .  بنابراين طبيعی بود که شرکت مايکروسافت از WINS فاصله گرفته و به سمت DNS حرکت کند . 
از پروتکل DNS  در مواردی که کامپيوتر شما اقدام به ارسال يک درخواست مبتنی بر DNS برای يک سرويس دهنده نام به منظور يافتن آدرس Domain  می نمايد ، استفاده می شود .مثلا" در صورتی که در مرورگر خود آدرس www.srco.ir  را تايپ نمائيد ،  يک درخواست مبتنی بر DNS از کامپيوتر شما و به مقصد يک سرويس دهنده DNS صادر می شود . ماموريت درخواست ارسالی ، يافتن آدرس IP وب سايت سخاروش است .

پروتکل DNS و مدل مرجع OSI
پروتکل DNS معمولا" از پروتکل UDP به منظور حمل داده استفاده می نمايد . پروتکل UDP نسبت به TCP دارای overhead کمتری می باشد. هر اندازه overhead يک پروتکل کمتر باشد ، سرعت آن بيشتر خواهد بود . در مواردی که حمل  داده با استفاده از پروتکل UDP با مشکل و يا بهتر بگوئيم خطاء مواجه گردد ، پروتکل DNS از پروتکل TCP به منظور حمل داده استفاده نموده تا اين اطمينان ايجاد گردد که داده بدرستی و بدون بروز خطاء به مقصد خواهد رسيد .

فرآيند ارسال يک درخواست DNS و دريافت پاسخ آن ، متناسب با نوع سيستم عامل نصب شده بر روی يک کامپيوتر است .برخی از سيستم های عامل اجازه  استفاده از پروتکل TCP برای DNS را نداده و صرفا"  می بايست از پروتکل UDP  به منظور حمل داده استفاده شود . بديهی است در چنين مواردی همواره اين احتمال وجود خواهد داشت که با خطاهائی مواجه شده و عملا" امکان ترجمه نام يک کامپيوتر و يا Domain به آدرس IP وجود نداشته باشد .
پروتکل DNS از پورت 53 به منظور ارائه خدمات خود استفاده می نمايد . بنابراين  يک سرويس دهنده DNS به پورت 53 گوش داده و اين انتظار را خواهد داشت که هر سرويس گيرنده ای که تمايل به استفاده از سرويس فوق را دارد از پورت مشابه استفاده نمايد . در برخی موارد ممکن است مجبور شويم از پورت ديگری استفاده نمائيم . وضعيت فوق به سيستم عامل و سرويس دهنده DNS نصب شده بر روی يک کامپيوتر بستگی دارد.

ساختار سرويس دهندگان نام دامنه ها در اينترنت
امروزه بر روی اينترنت ميليون ها سايت با اسامی Domain ثبت شده  وجود دارد . شايد اين سوال برای شما تاکنون مطرح شده باشد که اين اسامی چگونه سازماندهی می شوند ؟ ساختار DNS بگونه ای طراحی شده است که يک سرويس دهنده DNS ضرورتی به آگاهی از تمامی اسامی Domain ريجستر شده نداشته و صرفا" ميزان آگاهی وی به يک سطح بالاتر و يک سطح پائين تر  از خود محدود می گردد . شکل زير بخش های متفاوت ساختار سلسله مراتبی DNS را نشان می دهد :

Internic ، مسئوليت کنترل دامنه های ريشه را برعهده داشته که شامل تمامی Domain های سطح بالا می باشد (در شکل فوق به رنگ  آبی نشان داده شده است) . در بخش فوق تمامی سرويس دهندگان DNS  ريشه قرار داشته و آنان دارای آگاهی لازم در خصوص دامنه های موجود  در سطح پائين تر از خود می باشند ( مثلا" microsoft.com ) . سرويس دهندگان DNS ريشه مشخص خواهند کرد که کدام سرويس دهنده DNS در ارتباط با دامنه های microsoft.com و يا Cisco.com می باشد .
هر domain شامل يک Primary DNS  و يک  Secondary DNS می باشد . Primary DNS ، تمامی اطلاعات مرتبط با Domain خود را نگهداری می نمايد. Secondary DNS به منزله يک backup بوده و در مواردی که Primary DNS با مشکل مواجه می شود از آن استفاده می گردد . به فرآيندی که بر اساس آن يک سرويس دهنده Primary DNS اطلاعات خود را در سرويس دهنده Secondary DNS تکثير می نمايد ، Zone Transfer  گفته می شود .
امروزه صدها وب سايت وجود دارد که می توان با استفاده از آنان يک Domain  را ثبت و يا اصطلاحا" ريجستر نمود . پس از ثبت يک Domain ، امکان مديريت آن در اختيار شما گذاشته شده و می توان رکوردهای منبع (RR ) را در آن تعريف نمود.  Support, www و Routers  ، نمونه هائی از رکوردهای منبع در ارتباط با دامنه Cisco.com می باشد. به منظور ايجاد Sub domain می توان از يک برنامه مديريتی DNS استفاده نمود .  www و يا هر نوع رکورد منبع ديگری را  می توان با استفاده از اينترفيس فوق تعريف نمود . پس از اعمال تغييرات دلخواه خود در ارتباط با Domain ، محتويات فايل های خاصی که بر روی سرويس دهنده ذخيره شده اند  نيز تغيير نموده و در ادامه تغييرات فوق به ساير سرويس دهندگان تائيد شده اطلاع داده می شود . سرويس دهندگان فوق ، مسئوليت Domain شما را برعهده داشته و در ادامه تمامی اينترنت که به اين سرويس دهندگان DNS متصل می شوند از تغييرات ايجاد شده آگاه و قادر به برقراری ارتباط با هر يک از بخش های Domain  می گردند.
مثلا" در صورتی که قصد ارتباط با  Support.Cisco.com را داشته باشيد، کامپيوتر شما با سرويس دهنده DNS که مسئوليت مديريت دامنه های Com. را دارد ، ارتباط برقرار نموده و سرويس دهنده فوق اطلاعات لازم در خصوص دامنه Cisco.com را در اختيار قرار خواهد داد . در نهايت سرويس دهنده DNS مربوط به Cisco.com  ( سرويس دهنده فوق ، تمامی اطلاعات مرتبط با دامنه Cisco.com را در خود نگهداری می نمايد ) ، آدرس IP کامپيوتر مربوط به Support.Cisco.com را مشخص نموده تا امکان برقراری ارتباط با آن فراهم گردد .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 11:6 AM |

آشنائی با پروتكل FTP ( بخش اول )        

امروزه از پروتكل های متعددی در شبكه های كامپيوتری استفاده می گردد كه صرفا" تعداد اندكی از آنان به منظور انتقال داده طراحی و پياده سازی شده اند . اينترنت نيز به عنوان يك شبكه گسترده از اين قاعده مستثنی نبوده و در اين رابطه از پروتكل های متعددی استفاده می شود.
برای بسياری از كاربران اينترنت همه چيز محدود به وب و پروتكل مرتبط با آن يعنی HTTP است ، در صورتی كه در اين عرصه از پروتكل های متعدد ديگری نيز  استفاده می گردد. FTP  نمونه ای در اين زمينه است .

پروتكل FTP چيست ؟
تصوير اوليه اينترنت در ذهن بسياری از كاربران،  استفاده از منابع اطلاعاتی و حركت از سايتی به سايت ديگر است و شايد به همين دليل باشد كه اينترنت در طی ساليان اخير به سرعت رشد و متداول شده است . بسياری از كارشناسان اين عرصه اعتقاد دارند كه اينترنت گسترش و  عموميت خود را مديون  سرويس وب می باشد .
فرض كنيد كه سرويس وب را از اينترنت حذف نمائيم . برای بسياری از ما اين سوال مطرح خواهد شد كه چه نوع استفاده ای را می توانيم از اينترنت داشته باشيم ؟ در صورت تحقق چنين شرايطی ،  يكی از عملياتی كه كاربران قادر به انجام آن خواهند بود ،  دريافت داده ، فايل های صوتی ، تصويری و ساير نمونه فايل های ديگر با استفاده از پروتكل FTP (برگرفته از File Transfer Protocol ) است.  

ويژگی های پروتكل FTP

·         پروتكل FTP ، اولين تلاش انجام شده برای‌ ايجاد يك استاندارد به منظور مبادله فايل بر روی شبكه های مبتنی بر پروتكل TCP/IP  است كه از اوايل سال 1970 مطرح  و مشخصات استاندارد آن طی RFC 959  در اكتبر سال 1985 ارائه گرديد .

·         پروتكل FTP  دارای حداكثر انعطاف لازم و در عين حال امكان پذير به منظور استفاده در شبكه های مختلف با توجه به نوع پروتكل شبكه است .

·         پروتكل FTP از مدل سرويس گيرنده - سرويس دهنده تبعيت می نمايد . برخلاف HTTP كه يك حاكم مطلق در عرصه مرورگرهای وب و سرويس دهندگان وب است ، نمی توان ادعای مشابهی را در رابطه با پروتكل FTP  داشت و هم اينك مجموعه ای گسترده از سرويس گيرندگان و سرويس دهندگان FTP وجود دارد .

·         برای ارسال فايل با استفاده از پروتكل FTP به يك سرويس گيرنده FTP نياز می باشد . ويندوز دارای يك برنامه سرويس گيرنده FTP از قبل تعبيه شده می باشد ولی دارای محدوديت های مختص به خود می باشد . در اين رابطه نرم افزارهای متعددی تاكنون طراحی و پياده سازی شده است:
ulletProof FTP  ، WS FTP Professional، FTP Explorer  و Smart FTP  نمونه هائی در اين زمينه می باشند .

·         پروتكل FTP را می توان به عنوان يك سيستم پرس وجو نيز تلقی نمود چراكه سرويس گيرندگان و سرويس دهندگان گفتگوی لازم به منظور تائيد يكديگر و ارسال فايل را انجام می دهند. علاوه بر اين، پروتكل فوق مشخص می نمايد  كه سرويس گيرنده و سرويس دهنده، داده را بر روی كانال گفتگو ارسال نمی نمايند . در مقابل ،‌ سرويس گيرنده و سرويس دهنده در خصوص نحوه ارسال فايل ها بر روی اتصالات مجزا و جداگانه ( يك اتصال برای هر ارسال داده ) با يكديگر گفتگو خواهند كرد ( نمايش ليست فايل های موجود در يك دايركتوری نيز به عنوان يك ارسال فايل تلقی می گردد ) .

·         پروتكل FTP امكان استفاده از سيستم فايل را مشابه پوسته يونيكس و يا خط دستور ويندوز در اختيار كاربران قرار می دهد .

·         سرويس گيرنده در ابتدا يك پيام را برای سرويس دهنده ارسال و سرويس دهنده نيز به آن پاسخ خواهد داد و در ادامه ارتباط غيرفعال می گردد . وضعيت فوق با ساير پروتكل هائی كه به صورت تراكنشی كار می كنند ،‌ متفاوت می باشد ( نظير پروتكل HTTP ) . برنامه های سرويس گيرنده زمانی قادر به شبيه سازی يك محيط تراكنشی می باشند كه از مسائلی كه قرار است در آينده محقق شوند ، آگاهی داشته باشند . در واقع ، پروتكل FTP يك دنباله stateful  از يك و يا چندين تراكنش است.

·         سرويس گيرندگان ، مسئوليت ايجاد و مقداردهی اوليه درخواست ها را برعهده دارند كه  با استفاده از  دستورات اوليه FTP انجام می گردد. دستورات فوق ،  عموما" سه و يا چهار حرفی می باشند (مثلا" برای تغيير دايركتوری از دستور CWD استفاده می شود ).  سرويس دهنده نيز بر اساس يك فرمت استاندارد به سرويس گيرندگان پاسخ خواهد داد ( سه رقم كه به دنبال آن از  space استفاده شده است به همراه يك متن تشريحی ) . سرويس گيرندگان می بايست صرفا" به كد عددی نتيجه استناد نمايند چراكه متن تشريحی تغيير پذير بوده و در عمل برای اشكال زدائی مفيد است ( برای كاربران حرفه ای ) .

·         پروتكل FTP دارای امكانات حمايتی لازم برای ارسال داده با نوع های مختلف می باشد . دو فرمت  متداول،  اسكی برای متن ( سرويس گيرنده  با ارسال دستور  TYPE A ،‌موضوع را به اطلاع سرويس دهنده می رساند ) و image برای داده های باينری است ( توسط  TYPE I  مشخص می گردد) . ارسال داده با فرمت اسكی در مواردی كه ماشين سرويس دهنده و ماشين سرويس گيرنده از استانداردهای متفاوتی برای متن استفاده می نمايند ، مفيد بوده و  يك سرويس گيرنده می تواند پس از دريافت داده آن را به فرمت مورد نظر خود ترجمه و استفاده نمايد . مثلا" در نسخه های ويندوز  از يك دنباله  carriage return و  linefeed برای نشان دادن انتهای خط استفاده می گردد در صورتی كه در  سيستم های مبتنی بر يونيكس صرفا" از يك  linefeed استفاده می شود . برای ارسال هرنوع داده كه به ترجمه نياز نداشته باشد،می توان از ارسال باينری استفاده نمود.

·          اتخاذ تصميم در رابطه با نوع ارسال فايل ها  در اختيار سرويس گيرنده است ( برخلاف HTTP كه می تواند به سرويس گيرنده نوع داده ارسالی را اطلاع دهد ) . معمولا" سرويس گيرندگان ارسال باينری را انتخاب می نمايند و پس از دريافت فايل ، ترجمه لازم را انجام خواهند داد . ارسال باينری ذاتا" دارای كارآئی بيشتری است چراكه سرويس دهنده و سرويس گيرنده نيازی به انجام تراكنش های on the fly نخواهند داشت . ارسال اسكی گزينه پيش فرض انتخابی توسط پروتكل FTP  است و در صورت نياز به ارسال باينری ، سرويس گيرنده می بايست اين موضوع را از سرويس دهنده درخواست نمايد .

·         يك اتصال پروتكل TCP/IP ( نسخه شماره چهار)  شامل دو  نقطه مجزا می باشد كه هر نقطه از يك آدرس IP و يك شماره پورت استفاده می نمايد . برقراری ارتباط بين يك سرويس گيرنده و يك سرويس دهنده منوط به وجود چهار عنصر اطلاعاتی است : آدرس سرويس دهنده ،‌پورت سرويس دهنده ، آدرس سرويس گيرنده و پورت سرويس گيرنده . در زمان برقراری يك ارتباط ، سرويس گيرنده از يك شماره پورت استفاده می نمايد . اين شماره پورت می تواند متناسب با نوع عملكرد برنامه سرويس گيرنده به صورت اختياری و يا اجباری باشد . مثلا"  برخی برنامه های سرويس گيرنده به منظور ارتباط با سرويس دهنده ، نيازمند استفاده از يك شماره پورت خاص می باشند ( نظير برنامه های سرويس گيرنده وب و يا مرورگرهای وب كه از پورت شماره 80 به منظور ارتباط با سرويس دهنده وب استفاده می نمايد) . در مواردی كه الزامی در خصوص شماره پورت وجود ندارد از يك شماره پورت موقتی و يا   ephemeral  استفاده می گردد . اين نوع پورت ها موقتی بوده و توسط IP stack ماشين مربوطه به متقاضيان نسبت داده شده و پس از خاتمه ارتباط ، پورت آزاد می گردد . با توجه به اين كه اكثر IP Stacks بلافاصله از پورت موقت آزاد شده استفاده نخواهند كرد ( تا زمانی كه تمام pool تكميل نشده باشد ) ،‌در صورتی كه سرويس گيرنده مجددا" درخواست  برقراری يك ارتباط را نمايد ، يك شماره پورت موقتی ديگر به وی تخصيص داده می شود .

·          پروتكل FTP منحصرا" از پروتكل TCP استفاده می نمايد( هرگز از پروتكل UDP  استفاده نمی شود) . معمولا" پروتكل های لايه Application ( با توجه به مدل مرجع OSI ) از يكی از پروتكل های TCP و يا UDP استفاده می نمايند ( به جزء پروتكل DNS  ) . پروتكل FTP نيز از برخی جهات شرايط خاص خود را دارد و برای انجام وظايف محوله از دو پورت استفاده می نمايد . اين پروتكل معمولا" از پورت شماره 20 برای ارسال داده و از پورت 21 برای گوش دادن به فرامين استفاده می نمايد . توجه داشته باشيد كه برای ارسال داده همواره از پورت 20 استفاده نمی گردد و ممكن است در برخی موارد از پورت های ديگر استفاده شود .

·         اكثر سرويس دهندگان FTP  از روش خاصی برای رمزنگاری اطلاعات استفاده نمی نمايند و در زمان  login  سرويس گيرنده به سرويس دهنده ، اطلاعات مربوط به نام و  رمز عبور كاربر به صورت متن معمولی در شبكه ارسال می گردد . افرادی كه دارای يك Packet sniffer  بين سرويس گيرنده و سرويس دهنده می باشند ، می توانند به سادگی اقدام به سرقت نام و رمز عبور نمايند . علاوه بر سرقت رمزهای عبور ، مهاجمان می توانند تمامی مكالمات بر روی اتصالات FTP را شنود و محتويات داده های ارسالی را مشاهده نمايند . پيشنهادات متعددی به منظور ايمن سازی سرويس دهنده FTP مطرح می گردد ولی تا زمانی كه رمزنگاری و امكانات حفاظتی در سطح لايه پروتكل IP اعمال نگردد ( مثلا" رمزنگاری توسط  IPsecs  ) ،‌ نمی بايست از FTP استفاده گردد خصوصا" اگر بر روی شبكه اطلاعات مهم و حياتی ارسال و يا دريافت می گردد .

·         همانند بسياری از پروتكل های لايه Application ، پروتكل FTP دارای كدهای وضعيت خطاء مختص به خود می باشد ( همانند HTTP ) كه اطلاعات لازم در خصوص وضعيت ارتباط ايجاد شده و يا درخواستی را ارائه می نمايد . زمانی كه يك درخواست ( GET , PUT   ) برای يك سرويس دهنده FTP ارسال می گردد ، سرويس دهنده پاسخ خود را به صورت يك رشته اعلام می نمايد . اولين خط اين رشته معمولا" شامل نام سرويس دهنده و نسخه نرم افزار FTP است .در ادامه می توان  دستورات GET و يا PUT را برای سرويس دهنده ارسال نمود . سرويس دهنده با ارائه يك پيام وضعيت به درخواست سرويس گيرندگان پاسخ می دهد . كدهای وضعيت برگردانده شده را می توان در پنج گروه متفاوت تقسيم نمود :
كدهای 1xx : پاسخ اوليه
كدهای 2xx : درخواست بدون خطاء‌ اجراء گرديد .
كدهای 3xx : به اطلاعات بشتری نياز است .
كدهای 4xx : يك خطاء موقت ايجاد شده است .
كدهای 5xx : يك خطاء دائمی ايجاد شده است .
متداولترين كدهای وضعيت FTP به همراه مفهوم هريك در جدول زير نشان داده شده است :

كدهای وضعيت سری 100

110

Restart reply

120

Service ready in x minutes

125

Connection currently open, transfer starting

150

File status okay, about to open data

كدهای وضعيت سری 200

200

Command okay

202

Command not implemented, superfluous at this site

211

System status/help reply

212

Directory status

213

File status

214

System Help message

215

NAME system type

220

Service ready for next user.

221

Service closing control connection. Logged off where appropriate

225

Data connection open; no transfer in progress.

226

Closing data connection. Requested action successful

227

Entering Passive Mode

230

User logged in, continue

250

Requested file action okay, completed

257

"PATHNAME" created.

كدهای وضعيت سری 300

331

User name okay, need password.

332

Need account for login

350

Requested file action pending further information.

كدهای وضعيت سری 400

421

Service not available, closing control connection.

425

Can't open data connection

426

Connection closed; transfer aborted.

450

Requested file action not taken. File not available - busy etc..

451

 Request aborted: error on server in processing.

452

Requested action not taken. Insufficient resources on system

كدهای وضعيت سری 500

500

Syntax error, command unrecognized

501

Syntax error in parameters or arguments.

502

Command not implemented.

503

Bad sequence of commands

504

Command not implemented for that parameter.

530

Not logged in.

532

Need account for storing files

550

Requested action not taken. File unavailable

552

Requested file action aborted. Exceeded storage allocation

553

Requested action not taken. File name not allowed

مفهوم برخی از كدهای متداول

226

دستور بدون هيچگونه خطائی اجراء گرديد .

230

زمانی اين كد نمايش داده می شود كه يك سرويس گيرنده رمز عبور خود را به درستی درج و عمليات login با موفقيت انجام شده باشد .

231

كد فوق نشاندهنده دريافت  username  ارسالی سرويس گيرنده توسط سرويس دهنده می باشد و تائيدی است بر اعلام وصول Username ( نه صحت آن  )  .

501

دستور تايپ شده دارای خطاء گرامری است و می بايست مجددا" دستور تايپ گردد .

530

عمليات login با موفقيت انجام نشده است . ممكن است Username و يا رمز عبور اشتباه باشد .

550

فايل مشخص شده در دستور تايپ شده نامعتبر است .

در بخش دوم به بررسی نحوه عملكرد پروتكل FTP خواهيم پرداخت .

آشنائی با پروتكل FTP ( بخش دوم )

 FTP ،‌ يك پروتكل ارسال فايل است كه با استفاده از آن سرويس گيرندگان می توانند به سرويس دهندگان متصل و صرفنظر از نوع سرويس دهنده اقدام به دريافت و يا ارسال فايل نمايند . پروتكل FTP به منظور ارائه خدمات خود از دو حالت متفاوت استفاده می نمايد : Active Mode و Passive Mode .  مهمترين تفاوت بين روش های فوق جايگاه سرويس دهنده و يا سرويس گيرنده  در ايجاد و خاتمه يك ارتباط است .
همانگونه كه در بخش اول اشاره گرديد ، يك اتصال پروتكل TCP/IP ( نسخه شماره چهار)  شامل دو  نقطه مجزا می باشد كه هر نقطه از يك آدرس IP و يك شماره پورت استفاده می نمايد . برقراری ارتباط بين يك سرويس گيرنده و يك سرويس دهنده منوط به وجود چهار عنصر اطلاعاتی است : آدرس سرويس دهنده ،‌پورت سرويس دهنده ، آدرس سرويس گيرنده و پورت سرويس گيرنده . در زمان برقراری يك ارتباط ، سرويس گيرنده از يك شماره پورت استفاده می نمايد . اين شماره پورت می تواند متناسب با نوع عملكرد برنامه سرويس گيرنده به صورت اختياری و يا اجباری باشد . مثلا"  برخی برنامه های سرويس گيرنده به منظور ارتباط با سرويس دهنده ، نيازمند استفاده از يك شماره پورت خاص می باشند ( نظير برنامه های سرويس گيرنده وب و يا مرورگرهای وب كه از پورت شماره 80 به منظور ارتباط با سرويس دهنده وب استفاده می نمايد) . در مواردی كه الزامی در خصوص شماره پورت وجود ندارد از يك شماره پورت موقتی و يا   ephemeral  استفاده می گردد . اين نوع پورت ها موقتی بوده و توسط IP stack ماشين مربوطه به متقاضيان نسبت داده شده و پس از خاتمه ارتباط ، پورت آزاد می گردد . با توجه به اين كه اكثر IP Stacks بلافاصله از پورت موقت آزاد شده استفاده نخواهند كرد ( تا زمانی كه تمام pool تكميل نشده باشد ) ،‌در صورتی كه سرويس گيرنده مجددا" درخواست  برقراری يك ارتباط را نمايد ، يك شماره پورت موقتی ديگر به وی تخصيص داده می شود .
پس از اين مقدمه ،‌ در ادامه به بررسی هر يك از روش های Active و Passive در پروتكل FTP خواهيم پرداخت .

Active Mode
Active Mode ، روش سنتی ارتباط بين يك سرويس گيرنده FTP و يك سرويس دهنده می باشد كه عملكرد آن بر اساس فرآيند زير است :

·         سرويس گيرنده  يك ارتباط با پورت 21 سرويس دهنده  FTP برقرار می نمايد . پورت 21 ، پورتی است كه سرويس دهنده  به آن گوش فرا می دهد تا از صدور فرامين آگاه و آنان را به ترتيب پاسخ دهد . سرويس گيرنده برای برقراری ارتباط با سرويس دهنده از يك پورت تصادفی و موقتی ( بزرگتر از 1024 ) استفاده می نمايد( پورت x ).

·         سرويس گيرنده شماره پورت لازم برای ارتباط سرويس دهنده با خود را  از طريق صدور دستور PORT N+1 به وی اطلاع می دهد ( پورت x+1 )

·         سرويس دهنده يك ارتباط را از طريق پورت 20  خود با پورت مشخص شده سرويس گيرنده ( پورت x+1 ) برقرار می نمايد .

لطفا" به من از طريق پورت 1931  بر روی آدرس
 IP: 192.168.1.2  متصل  و سپس داده را ارسال نمائيد .

سرويس گيرنده

 تائيد دستور

سرويس دهنده

در فرآيند فوق ، ارتباط  توسط  سرويس گيرنده آغاز  و پاسخ به آن توسط سرويس دهنده و از طريق پورت x+1 كه توسط سرويس گيرنده مشخص شده است ،  انجام می شود . در صورتی كه سرويس گيرنده از سيستم ها و دستگاه های امنيتی خاصی نظير فايروال استفاده كرده باشد ، می بايست تهميدات لازم به منظور ارتباط كامپيوترهای ميزبان راه دور به سرويس گيرنده پيش بينی تا آنان بتوانند به هر پورت بالاتر از 1024 سرويس گيرنده دستيابی داشته باشند . بدين منظور لازم است كه پورت های اشاره شده بر روی ماشين سرويس گيرنده open باشند . اين موضوع می‌ تواند تهديدات و چالش های امنيتی متعددی را برای سرويس گيرندگان به دنبال داشته باشد .

Passive Mode
در Passive Mode ، كه به آن " مديريت و يا اداره سرويس گيرندگان FTP" نيز گفته می شود از فرآيند زير استفاده می گردد :

·         سرويس گيرنده دو پورت را فعال می نمايد ( پورت x و x+1 )

·         ارتباط اوليه از طريق پورت x سرويس گيرنده با پورت 21  سرويس دهنده  آغاز می گردد .

·         سرويس دهنده يك پورت را فعال ( Y ) و به سرويس گيرنده شماره پورت را اعلام می نمايد .

·         در ادامه سرويس گيرنده يك اتصال از طريق پورت x+1 با پورت y سرويس دهنده برقرار می نمايد .

 

لطفا" به من بگوئيد  كه از كجا می توانم داده را دريافت نمايم

سرويس گيرنده

 با من از طريق پورت 4023  بر روی آدرس
 IP: 192.168.1.25 ارتباط برقرار نمائيد .

سرويس دهنده

در فرآيند فوق ، سرويس گيرنده دارای نقش محوری است و فايروال موجود بر روی سرويس گيرنده می تواند درخواست های دريافتی غيرمجاز به پورت های بالاتر از 1024 را به منظور افزايش امنيت بلاك نمايند .  در صورتی كه بر روی كامپيوترهای سرويس دهنده نيز فايروال نصب شده باشد ، می بايست پيكربندی لازم به منظور استفاده از پورت های بالاتر از 1024 بر روی آن آنجام و آنان open گردند . باز نمودن پورت های فوق بر روی سرويس دهنده می تواند چالش های امنيتی خاصی را برای سرويس دهنده به دنبال داشته باشد .
متاسفانه تمامی سرويس گيرندگان FTP از Passive Mode حمايت نمی نمايند . اگر يك سرويس گيرنده بتواند به يك سرويس دهنده  login نمايد ولی قادر به ارسال داده بر روی آن نباشد ، نشاندهنده اين موضوع است كه فايروال و يا Gateway برای استفاده از Passive Mode  به درستی پيكربندی نشده است .

ملاحضات امنيتی
در صورتی كه فايروال های موجود بر روی كامپيوترهای سرويس گيرنده به درستی پيكربندی نگردند ، آنان نمی توانند از Active Mode استفاده نمايند .  در Passive Mode استحكام سيستم امنيتی در سمت سرويس دهنده و توسط فايروال مربوطه انجام خواهد شد . بنابراين لازم است به سرويس دهنده اجازه داده شود كه به اتصالات هر پورت بالاتر از 1024 پاسخ دهد . ترافيك فوق ، معمولا" توسط فايروال سرويس دهنده بلاك می گردد . در چنين شرايطی امكان استفاده از Passive Mode وجود نخواهد داشت .

Passive Mode  و يا Active Mode ؟
با توجه به مستندات درج شده در RFC 1579 ، استفاده از Passive Mode به دلايل متعددی به Active Mode ترجيح داده می شود :

·          تعداد سرويس دهندگان موجود بر روی اينترنت به مراتب كمتر از سرويس گيرندگان می باشد .

·         با استفاده از امكانات موجود می توان سرويس دهندگان را پيكربندی تا بتوانند از مجموعه پورت های محدود و تعريف شده ای با در نظر گرفتن مسائل امنيتی ، استفاده نمايند.

پيكربندی فايروال
جدول زير  پيكربندی فايروال در Active Mode و  Passive Mode  را نشان می دهد .

Active Mode

Server Inbound

from any client port >1024 to port 21 on the server

Server Outbound

from port 20 on the client on any port > 1024

Client Inbound

ports 20 from the server to any port >1024 on client

Client Outbound

from any port >1024 to port 21 on the server

Passive Mode

Server Inbound

port 21 and any port >1024 from client/anywhere, from any port >1024

Server Outbound

port 21 and any port >1024 to client/anywhere, to any port >1024

Client Inbound

Return traffic, any port > 1024 from server using any port >1024

و اما يك نكته ديگر در رابطه با پروتكل FTP !
در صورتی كه در زمان دريافت يك فايل با استفاده از پروتكل FTP مشكلات خاصی ايجاد  كه منجر به قطع ارتباط با سرويس دهنده FTP گردد ،‌ سرويس گيرنده می تواند با مشخص كردن يك offset از فايل دريافتی  به سرويس دهنده اعلام نمايد كه عمليات ارسال را از جائی كه ارتباط قطع شده است ، ادامه دهد ( سرويس گيرنده از محلی شروع به دريافت فايل می نمايد كه ارتباط غيرفعال شده بود ) . استفاده از ويژگی فوق به امكانات سرويس دهنده FTP بستگی دارد . 

 

آشنائی با پروتکل های روتينگ

پروتکل های روتينگ به منظور استفاده در روترها ، ايجاد شده اند . پروتکل های فوق ،  بدين منظور طراحی شده اند که امکان مبادله اطلاعات جداول روتينگ  بين روترها را فراهم نمايد . تاکنون پروتکل های متفاوتی به منظور استفاده در شبکه هائی با ابعاد گوناگون ، طراحی و پياده سازی شده است .


دو نوع عمده روتينگ : پويا و  ايستا 
روتر ، با استفاده از روترهای مجاور ( همسايه) و يا توسط مدير شبکه، آگاهی لازم در خصوص شبکه های راه دور را پيدا می نمايد . روتر در ادامه ، يک جدول روتينگ را ايجاد که مسئوليت آن تشريح نحوه يافتن شبکه های راه دور است . در صورتی که شبکه مستقيما" متصل شده باشد ، روتر در خصوص شبکه ، مشکل خاصی نخواهد داشت . در صورتی که شبکه ها به يکديگر متصل نمی باشند ، روتر می بايست آگاهی لازم در خصوص شبکه های راه دور را پيدا نمايد . در اين رابطه از روتينگ ايستا (درج دستی مسيرها در جدول روتينگ توسط مدير شبکه ) و يا روتينگ پويا ( درج اتوماتيک مسيرها در جدول روتينگ با استفاده از پروتکل های روتينگ )، استفاده می گردد.
روترها در ادامه اقدام به بهنگام سازی اطلاعات خود در ارتباط با تمامی شبکه هائی می نمايند که نسبت به آنان آگاهی لازم را پيدا نموده اند . در صورتی که تغييری ايجاد گردد ( مثلا" يک روتر با مشکل مواجه شده و عملا" قادر به سرويس دهی نباشد ) ، پروتکل های روتينگ پويا ، به صورت اتوماتيک به تمامی روترها اين موضوع را اطلاع خواهند داد . در صورت استفاده از روتينگ ايستا ، می بايست مدير شبکه تغييرات لازم را در تمامی روترها ، اعمال نمايد ( عدم استفاده از پروتکل های روتينگ ) .
در روتينگ پويا از پروتکل های روتينگ به منظور نيل به اهداف زير استفاده می گردد . 

·         تشخيص و نگهداری پويای روترها

·         محاسبه مسيرها

·         توزيع اطلاعات بهنگام شده روتينگ برای ساير روترها

·         حصول توافق با ساير روترها در خصوص توپولوژی شبکه

در صورت برنامه ريزی ايستای روترها ، امکان يافتن روترها و يا ارسال اطلاعات برای ساير روترها وجود نخواهد داشت . آنان داده مورد نظر را بر روی روترهائی که توسط مدير شبکه تعريف شده است ، ارسال می نمايند .

پروتکل های روتينگ پويا
در اين رابطه از سه نوع( گروه) پروتکل روتينگ پويا استفاده می گردد . تفاوت عمده بين آنان ، روش استفاده شده به منظور  يافتن روترها و محاسبات لازم در خصوص مسيريابی آنان است.

·          Distance Vector : اين نوع روترها بهترين مسير  را از طريق اطلاعات ارسال شده توسط ساير روترهای مجاور ، محاسبه می نمايند .

·          Link state : اين نوع روترها هر يک دارای نسخه ای  از تمامی مپ شبکه بوده و بهترين مسير را با استفاده از آن محاسبه می نمايند .

·          Hybrid  : پروتکل های روتينگ Hybrid  حد فاصل بين پروتکل های روتينگ Link state و Distance Vector می باشند .

+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 10:58 AM |

مبانی شبكه : سرويس دهنده DNS ( بخش سوم )
در بخش اول  با عناصر سخت افزاری پايه نظير هاب و سوئيچ كه از آنها به منظور ايجاد يك شبكه كامپيوتری استفاده می گردد ، آشنا شديم .  همچنين اشاره گرديد كه چگونه تمامی كامپيوترهای موجود بر روی يك سگمنت  می توانند يك محدده آدرس IP  ر ا به اشتراك گذارند .
در بخش دوم  پس از آشنائی با جايگاه روتر در يك شبكه كامپيوتری به اين موضوع اشاره گرديد كه در صورت تمايل يك كامپيوتر به دستيابی اطلاعات بر روی كامپيوتر موجود بر روی يك شبكه و يا سگمنت ديگر  ، اين وظيفه روتر است كه بسته های اطلاعاتی ضروری را از شبكه محلی به شبكه ديگر نظير اينترنت منتقل نمايد .
در اين بخش ، با توجه به جايگاه برجسته سرويس دهنده DNS ( برگرفته از Domain Name System  ) در شبكه های كامپيوتری خصوصا" اينترنت ، با نحوه عملكرد آن بيشتر آشنا خواهيم شد .
 
چرا به يك سرويس دهنده نام نياز داريم ؟
در صورتی كه قصد دستيابی به يك وب سايت خاص را داشته باشيد ، در ابتدا لازم است كه يك برنامه مرورگر نظير Internet Explorer را فعال نمائيد. مرورگر  به منظور اتصال به وب سايت درخواستی ، می بايست از آدرس IP آن آگاهی داشته باشد . توجه داشته باشيد كه صرفا" پس از آگاهی از آدرس  IP وب سايت مورد نظر است كه آدرس فوق در اختيار روتر قرار داده خواهد شد تا با توجه به مسئوليت خود بسته های اطلاعاتی درخواستی را به مقصد مورد نظر هدايت نمايد .  با اين كه  هر وب سايت دارای يك آدرس IP است است ولی به منظور بازديد يك سايت ضرورتی ندارد كه كاربران از آدرس IP آن آگاهی داشته باشند . شايد برای شما اين سوال مطرح شود كه چگونه چنين چيزی محقق می گردد . قبل از اين كه به اين سوال پاسخ داده شود لازم است مجددا" به اين نكته مهم اشاره گردد كه آگاهی از  آدرس IP برای مبادله اطلاعات مبتنی بر پروتكل TCP/IP بين دو كامپيوتر ، يك امر ضروری است .
زمانی كه شما مرورگر را فعال و نام يك وب سايت ( كه به آن domain سايت و يا  URL نيز گفته می شود ) را در بخش آدرس آن تايپ می نمائيد ، بدون اين كه شما مجبور به آگاهی از آدرس IP آن باشيد ، مرورگر مستقيما" به وب سايت مورد نظر خواهد رفت .
برای درك بهتر اين موضوع اجازه دهيد ادامه بحث را با يك مثال و مقايسه آدرس IP با آدرس پستی دنبال نمائيم .  شما نمی توانيد بر روی پاكت نامه صرفا" نام دريافت كننده را بنويسيد و پس از ارسال ، اين انتظار را داشته باشيد كه نامه شما به درستی به مقصد برسد . اداره پست قادر به توزيع نامه شما به مقصد مورد نظر نخواهد بود ، مگر اين كه آن نامه دارای يك آدرس صحيح پستی باشد . مفهومی اينچنين نيز در رابطه با مشاهده و يا استفاده از  وب سايت ها وجود دارد . كامپيوتر شما نمی تواند از يك وب سايت استفاده نمايد  مگر اين كه از آدرس IP آن سايت آگاهی داشته باشد . بنابراين ، اگر كامپيوتر شما نيازمند آگاهی از آدرس IP يك وب سايت قبل از دستيابی به آن است و شما آدرس IP را در مرورگر تايپ نمی نمائيد ، آدرس IP از كجا و به چه صورت پيدا خواهد شد ؟ كليد حل اين موضوع در دست سرويس دهندگان DNS است كه مسئوليت آنها ترجمه اسامی domain به آدرس IP است.
در زمان پيكربندی پروتكل TCP/IP ( چه به صورت دستی و چه به صورت پويا و متاثر از خدمات ارائه شده توسط يك سرويس دهنده DHCP ) ،‌ اطلاعاتی نظير يك آدرس IP  ، يك subnet mask و gateway پيش فرض تعريف و تنظيم می گردد .  همچنين در اين رابطه از يك گزينه پيكربندی ديگر در بخش تنظيمات پروتكل TCP/IP كه از آن با نام   Preferred DNS server نام برده می شود ، استفاده می گردد .
شكل زير صفحه پيكربندی تنظيمات پروتكل TCP/IP را نشان می دهد .

 

شكل 1 : صفحه تنظيمات پروتكل TCP/IP

همانگونه كه در شكل فوق مشاهده می نمائيد ، سرويس دهنده DNS ، بخشی از پيكربندی پروتكل TCP/IP بر روی يك كامپيوتر است . با تعريف و مقداردهی مناسب اين گزينه ، كامپيوتر شما همواره آدرس IP اولين سرويس دهنده DNS را می داند  . توجه داشته باشيد كه يك كامپيوتر قادر به برقراری ارتباط با كامپيوتر ديگر با استفاده از پروتكل TCP/IP نخواهدبود مگر اين كه آدرس IP كامپيوتر مقصد شناخته شده باشد . 

فرآيند دستيابی به يك سايت
زمانی كه شما قصد دستيابی به يك وب سايت خاص را داشته باشيد ، ماجرا با فعال كردن مرورگر و درج آدرس سايت مورد نظر آغاز می گردد .  مرورگر می داند تا زمانی كه از آدرس IP وب سايت مورد نظر آگاهی پيدا ننمايد ، نمی تواند صرفا" با آگاهی از URL به آن دستيابی داشته باشد . بدين منظور ، آدرس IP سرويس دهنده DNS از طريق تنظميات پيكربندی TCP/IP بازيابی و URL درخواستی به سرويس دهنده DNS ارسال می گردد . سرويس دهنده DNS در يك جدول به دنبال URL می گردد . جدول فوق دارای دو ستون فرضی است كه در يك ستون URL و در ستون ديگر آدرس IP معادل آْن قرار داده شده است . سرويس دهنده DNS در صورت يافتن آدرس IP ، آن را برآی مرورگر وب برمی گرداند تا اين برنامه بتواند با وب سايت درخواستی ارتباط برقرار نمايد . 
گرچه مطالب عنوان شده بيانگر يك فرآيند ساده است ولی در مجموع فرآيند ترجمه اسامی domain به آدرس IP  با روشی اينچنين كار می كند و سرويس دهنده DNS شامل ركوردی است كه مرتبط با يك وب سايت خاص شده است .
در صورت مشاهده يك وب سايت بطور تصادفی ، به احتمال بسيار زياد سرويس دهنده DNS شامل ركورد حاوی آدرس IP وب سايت درخواستی نخواهد بود و می بايست اين درخواست در اختيار ساير سرويس دهندگان DNS گذاشته شود . با توجه به اين كه هم اينك ميليون ها وب سايت وجود دارد و هر روز نيز به تعداد آنها اضافه می گردد ، عملا" روشی  وجود ندارد كه بتوان با يك سرويس دهنده DNS ،‌ تمامی آدرس های IP را در آن ذخيره و اين سرويس دهنده نيز قادر باشد به هر درخواستی جهت اتصال به اينترنت پاسخگو باشد . علاوه بر اين ، ايده استفاده از يك سرويس دهنده متمركز می تواند هدف خوبی برای مهاجمان به منظور از كارانداختن آن باشد .
در مقابل استفاده از يك سرويس دهنده DNS متمركز ، سرويس دهندگان DNS توزيع شده اند . بنابراين يك سرويس دهنده DNS دارای تمامی اسامی و آدرس های IP برای تمامی شبكه اينترنت نخواهد بود .
سازمان ICANN ( برگرفته از  Internet Corporation for Assigned Names and Numbers ) ، مسئوليت ثبت تمامی اسامی domain بر روی اينترنت را برعهده دارد . با توجه به اين كه مديريت اسامی domain كار بسيار بزرگی است ، سازمان فوق ، مسئوليت بخش ها‍ ئی از آن را به سازمان های ديگر واگذار نموده است .به عنوان نمونه Network Solutions مسئوليت تمامی اسامی domain  كه به com. ختم می شوند را برعهده دارد . سازمان فوق ليستی بزرگ از آدرس های IP نگهداری می نمايد . در اكثر موارد ،‌ سرويس دهندگان DNS سازمان فوق حاوی ركوردهائی می باشند كه به سرويس دهنده DNS مرتبط به هر domain اشاره می نمايد. 

مثال 
برای آشنائی با فرآيند يافتن نام يك وب سايت ، فرض كنيد قصد مشاهده وب سايت http://www.google.com را داشته باشيم . پس از تايپ آدرس فوق ، مرورگر آدرس درخواستی را برای سرويس دهنده DNS كه توسط پيكربندی TCP/IP بر روی كامپيوتر شما مشخص شده است ارسال می نمايد .  فرض كنيد  سرويس دهنده DNS  شما نسبت به آدرس IP وب سايت فوق آگاهی نداشته باشد . بنابراين آن را برای سرويس دهنده DNS مربوط به ICANN  ارسال می نمايد . DNS فوق آدرس IP وب سايت فوق را نمی داند ولی از آدرس IP سرويس دهنده DNS مرتبط با نام domain كه به com . ختم می شود آْگاهی دارد . در ادامه ، آدرس سرويس دهنده DNS مربوط به domain درخواستی (در اين مثال google.com ) برای مرورگر شما ارسال خواهد شد و در نهايت درخواستی برای سرويس دهنده DNS مربوط به domain  ارسال تا آدرس IP كامپيوتری با نام www مشخص و برای متقاضی بازديد از وب سايت برگردانده شود .
برای يافتن آدرس IP يك وب سايت ، می بايست مراحل متعددی با يك نظم خاص اجراء گردند . برای كمك در جهت كاهش تعداد درخواست های DNS ، نتايج آن با توجه به پيكربندی ماشين چندين ساعت و يا روز cache خواهد شد . بدين ترتيب ، كارآئی سيستم بهبود  و در ميزان استفاده از پهنای باند به منظور ارسال و دريافت درخواست های DNS صرفه جوئی می گردد .

خلاصه
در اين مطلب به نحوه عملكرد سرويس دهندگان DNS به منظور ترجمه اسامی domain به آدرس IP اشاره گرديد . توجه داشته باشيد كه ICANN و ساير سرويس دهندگان سطح بالای DNS به منظور توزيع درخواست بين تعداد بسيار زيادی از سرويس دهندگان DNS از روشی موسوم به load balancing استفاده می نمايند . با استفاده از روش فوق ، از حجم عملياتی سنگين بر روی يك سرويس دهنده پيشگيری و جهت پاسخگوئی به درخواست های DNS وابستگی به يك نقطه متمركز ايجاد نخواهد شد .

بدون وجود سرويس دهندگان DNS هر يك از ما مجبور خواهيم بود به منظور دستيابی به يك وب سايت آدرس IP آن را بدانيم . وجود ميليون ها سايت بر روی اينترنت ، بخاطر سپردن آدرس IP را به معظل بزرگی تبديل خواهد كرد.
سرويس دهندگان DNS با هدف حل چنين معظلی طراحی شده اند . 

 

آشنائی با شبكه های WAN 

WAN ( برگرفته از   wide-area network  ) ،‌ يك شبكه ارتباطی است كه يك حوزه جغرافيائی گسترده نظير يك شهرستان ، استان و يا كشور را تحت پوشش قرار می دهد. اين نوع شبكه ها دارای  مشخصات منحصربفرد مختص به خود می باشند كه آنان را از يك شبكه محلی متمايز می نمايد .

ويژگی های يك شبكه WAN 
 شبكه های WAN ،‌ يك حوزه جغرافيائی گسترده  نظير يك شهرستان ،  استان  و يا يك كشور را تحت پوشش قرار داده و معمولا" از امكانات ارائه شده توسط شركت های  مخابراتی استفاده می نمايند . اين نوع شبكه ها دارای خصوصيات زير می باشند :

·         دستگاه های موجود در يك حوزه جغرافيائی گسترده را به يكديگر متصل می نمايند .

·         از سرويس های ارائه شده توسط شركت های مخابراتی به منظور حمل داده استفاده می نمايند .

·         از اتصالات سريال مختلف به منظور دستيابی به پهنای باند در يك حوزه  جغرافيائی گسترده استفاده می نمايند . 

تفاوت يك شبكه WAN با LAN
شبكه های WAN دارای تفاوت های عمده ای  نسبت به شبكه های LAN می‌باشند . مثلا" برخلاف يك شبكه LAN كه ايستگاه ها ، دستگاه های جانبی ، ترمينال ها و ساير دستگاه های موجود در يك ساختمان و يا منطقه جغرافيائی محدود و كوچك را به يكديگر متصل می نمايد ، شبكه های WAN امكان مبادله اطلاعات بين دستگاه های موجود در يك حوزه جغرافيائی گسترده را فراهم می نمايند . سازمان ها و موسسات می توانند با استفاده از اين نوع شبكه ها ،‌ دفاتر و نمايندگی های خود را كه در مناطق مختلفی توزيع شده اند به يكديگر متصل تا امكان مبادله اطلاعات بين آنان فراهم گردد .
جدول زير تفاوت بين شبكه های LAN و WAN را با توجه به حوزه جغرافيائی تحت پوشش نشان می دهد :

نوع شبكه

توزيع دستگاه ها

فاصله بين دستگاه ها

LAN

 يك اطاق

10 m

LAN

 يك ساختمان

100m

LAN

 يك دانشگاه

1000m=1km

WAN

 يك شهر

10,000m=10km

WAN

 يك كشور

100,000m=100km

WAN

 يك قاره

1,000,000m=1,000km

WAN

 چندين قاره

10,000,000m=10,000km

جايگاه WAN در مدل مرجع OSI
شبكه های WAN در لايه فيزيكی و لايه data link مدل مرجع OSI كار می كنند . با استفاده از اين نوع شبكه ها ، می توان شبكه های محلی موجود در مكان های متعدد و مسافت های طولانی را به يكديگر متصل نمود .
شبكه های WAN امكانات و پتانسيل های لازم به منظور مبادله بسته های اطلاعاتی و فريم ها بين روترها ، سوئيچ ها و شبكه های محلی را ارائه می‌نمايند .

تجهيزات و دستگاه های استفاده شده در شبكه های WAN
در شبكه های WAN از تجهيزات و  دستگاه های متعددی‌ استفاده می گردد :

عملكرد

آيكون

دستگاه

دستگاه های لايه سوم  كه امكان ارتباط بين شبكه ای و پورت های اينترفيس WAN را ارائه می نمايند.

 روتر

دستگاه های لايه دوم كه از آنان جهت  اتصالات مورد نياز برای مبادله داده ، صوت و ويدئو استفاده می‌گردد.

سوئيچ

اينترفيس های لازم برای سرويس های مختلفی نظير ISDN ، T1/E1 و يا Voice - grade را ارائه می نمايند .

مودم

دستگاه هائی كه از آنان به منظور تمركز و مديريت ارتباطات dial-in و dial-out كاربران استفاده می گردد .

سرويس دهنده مخابراتی

پروتكل های data link شبكه های WAN
پروتكل های data link نحوه حمل فريم ها بين سيستم ها بر روی يك لينك داده را تشريح می نمايند .از پروتكل های فوق به منظور كار بر روی لينك های اختصاصی Point-to-Point و يا سرويس های سوئيچ  Multi-access نظير Frame Relay  استفاده می گردد .
استانداردهای WAN توسط مراكز و موسسات متعددی تعريف و مديريت می گردد :

·         ITU-T ( برگرفته از International Telecommunication Union-Telecommunication Standardization Sector  )

·         ISO ( برگرفته از  International Organization for Standardization  )

·         IETF ( برگرفته از  Internet Engineering Task Force  )

·         EIA  ( برگرفته از Electronic Industries Association )

APIPA چيست ؟

در يك شبكه كامپيوتری سرويس ها و خدمات متعددی از طريق سرويس دهندگان مختلف در اختيار سرويس گيرندگان قرار می گيرد . اختصاص پويای اطلاعات مربوط به آدرس دهی IP توسط سرويس دهنده DHCP ( برگرفته از Dynamic Host Configuration Protocol  ) ،  نمونه ای در اين زمينه است .
DHCP ، پس از پروتكل BOOTP مطرح و مهمترين هدف آن تامين اطلاعات مورد نياز يك ايستگاه و يا ساير دستگاه های شبكه ای در ارتباط با پروتكل TCP/IP است . بدين منظور از سه روش متفاوت استفاده می گردد :

·         اختصاص اتوماتيك : در اين روش سرويس دهنده DHCP يك آدرس دائم را به يك سرويس گيرنده نسبت می دهد .

·         اختصاص پويا : متداولترين روش استفاده از سرويس دهنده DHCP  در يك شبكه می باشد كه بر اساس آن سرويس دهنده يك آدرس را به صورت پويا در اختيار سرويس گيرنده قرار می دهد . آدرس نسبت داده شده به سرويس گيرنده بر اساس مدت زمان مشخص شده توسط سرويس دهنده DHCP  تعيين می گردد ( محدود و يا نامحدود )

·         اختصاص دستی : در اين روش كه معمولا" توسط مديران شبكه استفاده می گردد  ، يكی از آدرس های موجود در بانك اطلاعاتی سرويس دهنده DHCP  به صورت دستی به يك سرويس گيرنده و يا سرويس دهنده خاص نسبت داده می شود (  Reservations)  .

در صورتی كه پيكربندی پروتكل TCP/IP  بر روی يك كامپيوتر بگونه ای انجام شده  است كه كامپيوتر و يا دستگاه شبكه ای مورد نظر را ملزم به استفاده از خدمات سرويس دهنده DHCP می نمايد ( تنظيمات انجام شده در صفحه Properties پروتكل TCP/IP )  ولی در عمل سرويس دهنده وجود نداشته باشد و يا سرويس گيرندگان قادر به برقراری ارتباط با آن نباشند و يا برای سرويس دهنده DHCP  مشكل خاصی ايجاد شده باشد ، تكليف سرويس گيرندگان و متقاضيان استفاده از خدمات سرويس دهنده DHCP چيست ؟
در چنين مواردی سرويس گيرندگانی كه بر روی آنان يكی از نسخه های ويندوز ( به جزء ويندوز NT ) نصب شده است ، می توانند از APIPA (  برگرفته از Automatic Private IP Addressing   ) استفاده نمايند . با استفاده از سرويس فوق كه صرفا" در شبكه های كوچك قابل استفاده خواهد بود ( حداكثر 25 دستگاه موجود در شبكه ) ، هر يك از سرويس گيرندگان می توانند به صورت تصادفی يك آدرس IP  خصوصی را بر اساس مشخصات جدول زير به خود نسبت دهند .
 

آدرس رزو شده توسط APIPA 

 169.254.0.1 TO 169.254.255.254

Subnet Mask

 255 . 255 . 0 . 0

و اما چند نكته در ارتباط با روش آدرس دهی APIPA :

·         زمانی كه يك سرويس گيرنده پاسخ مناسبی را از سرويس دهنده DHCP دريافت ننمايد ، پس از مدت زمان كوتاهی يك آدرس تصادفی را از شبكه دريافت می نمايد .

·         با توجه به اين كه سرويس گيرنده به صورت كاملا" تصادفی يك آدرس IP را انتخاب می نمايد ، همواره اين احتمال وجود خواهد داشت كه يك كامپيوتر آدرسی را انتخاب نمايد كه قبلا" توسط كامپيوتر ديگری استفاده شده باشد . برای حل اين مشكل ، پس از انتخاب يك آدرس IP توسط سرويس گيرنده ، يك بسته اطلاعاتی broadcast شامل آدرس IP  توسط سرويس گيرنده در شبكه ارسال و بر اساس پاسخ دريافتی ، در خصوص نگهداری و يا آزادسازی آدرس IP تصميم گيری می گردد.

·         اطلاعات ارائه شده توسط APIPA ، يك آدرس IP و يك Subnet mask می باشد و ساير اطلاعلاتی كه عموما" توسط سرويس دهنده DHCP ارائه می گردد را شامل نمی شود . مثلا" با استفاده از APIPA نمی توان آدرس  gateway پيش فرض را در اختيار سرويس گيرندگان قرار داد . بنابراين مبادله اطلاعات محدود به كامپيوترهای موجود در يك شبكه محلی كوچك می گردد كه تماما" دارای فضای آدرس دهی شبكه   0 . 0 . 254 . 169  می باشند . در صورت نياز می بايست ساير اطلاعات لازم در ارتباط با پيكربندی پروتكل TCP/IP به صورت دستی مشخص گردد. 

·         سرويس گيرندگانی كه از APIPA استفاده می نمايند به صورت ادواری و در بازه های زمانی پنج دقيقه ، شبكه را به منظور وجود يك سرويس دهنده DHCP بررسی می نمايند . در صورتی كه سرويس دهنده DHCP در دسترس قرار بگيرد ، سرويس گيرنده يك درخواست را برای وی ارسال و اطلاعات مربوط به پيكربندی TCP/IP را از آن دريافت می نمايد .

·         پتانسيل استفاده از APIPA به صورت پيش فرض بر روی تمامی نسخه های ويندوز فعال می باشد . برای غيرفعال نمودن آن می بايست تنظميات ريجستری را تغيير داد:
- اجرای برنامه Regedit
- يافتن كليد زير بر اساس نام در نظر گرفته شده برای كارت شبكه :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

·         - ايجاد يك DWORD Value  ( نام آن IPAutoconfigurationEnabled و مقدار آن صفر در نظر گرفته شود )
- در صورتی بر روی كامپيوتر چندين آداپتور موجود است ،‌ می بايست مراحل فوق برای هر يك از آنان تكرار گردد .
 

تجهيزات و پيکربندی يک شبکه Wireless
سخت افزار مورد نياز به منظور پيکربندی يک شبکه بدون کابل به ابعاد شبکه مورد نظر بستگی دارد . عليرغم موضوع فوق ، در اين نوع شبکه ها اغلب و شايد هم قطعا"  به يک access point و يک اينترفيس کارت شبکه نياز خواهد بود . در صورتی که قصد ايجاد يک شبکه موقت بين دو کامپيوتر را داشته باشيد ، صرفا" به دو کارت شبکه بدون کابل نياز خواهيد داشت .

Access Point چيست ؟
سخت افزار فوق ، به عنوان يک پل ارتباطی بين شبکه های کابلی و دستگاههای بدون کابل عمل می نمايد . با استفاده از سخت افزار فوق ، امکان ارتباط چندين دستگاه به منظور دستيابی به شبکه فراهم می گردد .access point می تواند دارای عملکردی مشابه يک روتر نيز باشد . در چنين مواردی انتقال اطلاعات در محدوده وسيعتری انجام شده و داده از يک access point به access point ديگر ارسال می گردد .

يک نمونه دستگاه access point

کارت شبکه بدون کابل
هر يک از دستگاههای موجود بر روی يک شبکه بدون کابل ، به يک کارت شبکه بدون کابل نياز خواهند داشت . يک کامپيوتر Laptop  ، عموما" دارای يک اسلات PCMCIA است که کارت شبکه درون آن قرار می گيرد . کامپيوترهای شخصی نيز به يک کارت شبکه داخلی که معمولا" دارای يک آنتن کوچک و يا آنتن خارجی است ، نياز خواهند داشت .آنتن های فوق بر روی اغلب دستگاهها ،اختياری بوده و افزايش سيگنال بر روی کارت را بدنبال خواهد داشت .

يک نمونه کارت شبکه بدون کابل

پيکربندی يک شبکه بدون کابل
به منظور پيکربندی يک شبکه بدون کابل از دو روش متفاوت استفاده می گردد :

·         روش Infrastructure  : به اين نوع شبکه ها، hosted و يا managed نيز گفته می شود . در اين روش از يک و يا چندين access point ( موسوم به gateway و يا روترهای بدون کابل ) که به يک شبکه موجود متصل می گردند ، استفاده می شود . بدين ترتيب دستگاههای بدون کابل، امکان استفاده از منابع موجود بر روی شبکه نظير چاپگر و يا اينترنت را بدست می آورند .

·         روش Ad-Hoc : به اين نوع شبکه ها ، unmanaged و يا peer to peer نيز گفته می شود . در روش فوق هر يک از دستگاهها  مستقيما" به يکديگر متصل می گردند.مثلا" يک شخص با دارا بودن يک دستگاه کامپيوتر laptop مستقر در محوطه منزل خود می تواتند با کامپيوتر شخصی موجود در منزل خود  به منظور دستيابی به اينترنت ، ارتباط برقرار نمايد .

پس از تهيه تجهيزات سخت افزاری مورد نياز به منظور ايجاد يک شبکه بدون کابل ، در ادامه می بايست تمامی تجهيزات تهيه شده را با هدف ايجاد و سازماندهی يک شبکه به يکديگر متصل تا امکان ارتباط بين آنان فراهم گردد . قبل از نصب و پيکربندی يک شبکه بدون کابل ، لازم است به موارد زير دقت نمائيد :

  • تهيه درايورهای مربوطه از فروشنده سخت افزار و کسب آخرين اطلاعات مورد نياز
  • فاصله بين دو کامپيوتر می بايست کمتر از يکصد متر باشد .
  • هر يک از کامپيوترهای موجود می بايست بر روی يک طبقه مشابه باشند .

·         استفاده  از تجهيزات سخت افزاری مربوط به يک توليد کننده ، دارای مزايا و معايبی است . در اين رابطه پيشنهاد می گردد ليستی از  ويژگی های هر يک از سخت افزارهای مورد نياز عرضه شده توسط توليد کنندگان متعدد تهيه شود تا امکان مقايسه و اخذ تصميم مناسب، فراهم گردد .

مراحل لازم به منظور نصب يک شبکه ( فرضيات : ما دارای يک شبکه کابلی موجود هستيم و قصد پياده سازی يک شبکه بدون کابل به منظور ارتباط دستگاههای بدون کابل به آن را داريم ) :

·         اتصال access point به برق و سوکت مربوط به شبکه اترنت

·         پيکربندی access point ( معمولا" از طريق يک مرورگر وب ) تا امکان مشاهده آن توسط شبکه موجود فراهم گردد . نحوه پيکربندی access point بستگی به نوع آن دارد.

·         پيکربندی مناسب کامپيوترهای سرويس گيرنده به منظور ارتباط با access point ( در صورتی که تمامی سخت افزارهای شبکه بدون کابل از يک توليد کننده تهيه شده باشند ، عموما" با تنظيمات پيش فرض هم می توان شبکه را فعال نمود . به هر حال پيشنهاد می گردد همواره به راهنمای سخت افزار تهيه شده به منظور پيکربندی بهينه آنان ، مراجعه گردد ) .

نحوه ذخيره و نگهداری Domain names
يکی از بزرگترين ويژگی های اينترنت عدم تعلق آن به فرد و يا شرکت خاصی است . اينترنت ، متشکل از  شبکه های کامپيوتری ( بزرگ و کوچک )  متعددی است که با  استفاده از روش های مختلفی به يکديگر متصل تا موجود جديدی  با نام "اينترنت" را خلق نمايند. در اين شبکه عظيم ، تعدادی از کامپيوترها به عنوان سرويس دهنده مطرح بوده که از طريق آنان سرويس های متعددی در اختيار کاربران اينترنت قرار می گيرد . اين نوع از سرويس دهندگان به منزله "ميزبان " ( host ) سرويس ها و خدمات مطرح بوده و به منظور ارائه خدمات خود می بايست دارای يک آدرس ثابت در مدت زمان حيات خود باشند . متقاضيان با آگاهی از آدرس کامپيوتر ميزبان ، قادر به ايجاد يک ارتباط با آن می باشند.کامپيوترها با اعداد ( کد ) سروکار دارند و انسان ها علاقه مند به اسامی هستند .
در سال 1969 هسته اوليه اينترنت امروزی متشکل از چهار کامپيوتر ميزبان تشکيل گرديد. با توجه به روند رشد اعجازگونه اينترنت ، تعداد کامپيوترهای ميزبان نيز بسرعت افزايش يافت ،بگونه ای که ما امروزه شاهد حضور ميليون ها کامپيوتر ميزبان در اينترنت می باشيم . در ابتدای اين مطلب به اين موضوع اشاره گرديد که اينترنت در تملک شخص و يا شرکت خاصی نيست ولی اين بدين مفهوم نيست که مانيتورينگ و نگهداری آن نيز  تابع مجموعه مقررات و سياست هائی نمی باشد . Internet Society در سال 1992 تاسيس و مسئوليت تدوين سياست ها و پروتکل های مورد نياز به منظور ارتباط با اينترنت را برعهده گرفت .
در ابتدا به منظور ارتباط با کامپيوترهای ميزبان ، کاربران ملزم به استفاده از آدرس های (  IP :Internet Protocol) بودند . استفاده مستقيم از آدرس های IP ( يک عدد 32 بيتی منحصر بفرد ) به منظور ايجاد ارتباط با کامپيوترهای ميزبان در صورتی که تعداد کامپيوترهای ميزبان کم باشد ، می تواند مفيد و کارساز واقع شود ، ولی همزمان با رشد سريع اينترنت و حضور سازمان و موسسات متعددی در عرصه جهانی ، روش فوق مشکلات خاص خود را بدنبال داشت .بدين منظور تلاش های متعددی در جهت ارائه راه حل های جايگزين ، صورت پذيرفت .
در اولين تلاش ، پيشنهاد استفاده از يک فايل متنی با نام HOST.TXT  به منظور ذخيره اطلاعات مرتبط با کامپيوترهای ميزبان ( نام و آدرس مربوطه )، مطرح گرديد . در فايل فوق برای هر کامپيوتر يک نام و معادل آدرس آن به عنوان يک رکورد اطلاعاتی ذخيره می گرديد . مسئوليت نگهداری و بهنگام سازی اين فايل به موسسه تحقيقاتی استنفورد در کاليفرنيا واگذار گرديد . فايل فوق از طريق يک کامپيوتر اصلی با نام SRI-NIC در اختيار ديگران قرار می گرفت . مديران فنی شبکه ، تغييرات مربوطه را از طريق پست الکترونيکی و يا به صورت دستی هر هفته يک مرتبه اعمال می کردند . همزمان با رشد اينترنت ، حجم فايل فوق بزرگ و عملا"  امکان استفاده از آن با مشکل مواجه گرديد . در روش فوق ، امکان بروز مسائل متعددی وجود داشت : 

  • Name Collisions : امکان درج اسامی يکسان برای دو کامپيوتر
  • Trafic&Load : افزايش ترافيک و لود عمليات بر روی کامپيوتر حاوی فايل آدرس دهی 
  • Consistency : بروز مشکل در پشتيبانی،کنترل يکپارچگی اطلاعات و بروز رسانی 

در سال 1983 ، در دانشگاه Wisconsin  سيستم ( DNS ( Domain Name System   ، ايجاد  گرديد . در سيستم فوق ، به منظور معادل سازی نام و آدرس از يک بانک اطلاعاتی توزيع شده و با يک ساختار سلسله مراتبی و "سرويس دهندگان نام"  مرکزی که به منزله هسته اين سيستم می باشند ، استفاده می گردد . مسئوليت نگهداری و پشتيبانی از "سرويس دهندگان نام مرکزی " به منظور پيشگيری از تعريف اسامی تکراری به سازمان خاصی واگذار گرديد .
در سال 1993 U.S. Department of Commerce  با همکاری چندين بخش دولتی و خصوصی ، InterNIC را به منظور نگهداری يک بانک اطلاعاتی مرکزی مشتمل بر تمامی اسامی دامنه ريجستر شده بهمراه آدرس های IP مرتبط در امريکا ايجاد نمود. ( ساير کشورها مسئوليت نگهدارای NIC:Network Information Center خود را بر عهده دارند ).شرکت Network Solutions ، عضوی از InterNIC به منظور مديريت و نگهداری رشد اسامی دامنه های اينترنتی و آدرس های IP  آنان انتخاب گرديد . بانک اطلاعاتی مرکزی بر روی سرويس دهندگان "سطح بالای دامنه " ( TLD:Top Level Domain ) در سراسر جهان تکثير و جداول روتينگ اوليه به منظور ارتباط هر کامپيوتر با اينترنت را ايجاد می نمايد .

آشنائی با پروتكل HTTP ( بخش اول )

در اينترنت همانند ساير شبكه های كامپيوتری از پروتكل های متعدد و با اهداف مختلف استفاده می گردد. هر پروتكل از يك ساختار خاص برای ارسال و دريافت اطلاعات  (بسته های اطلاعاتی ) استفاده نموده و ترافيك مختص به خود را در شبكه ايجاد می نمايد .  HTTP  ( برگرفته از Hyper Text Transfer Protocol ) ، يكی از متداولترين پروتكل های لايه application است  كه مسئوليت ارتباط بين سرويس گيرندگان و سرويس دهندگان وب را برعهده دارد .
در ادامه با پروتكل فوق بيشتر آشنا خواهيم شد.

پروتكل HTTP چيست ؟
دنيای شبكه های كامپيوتری دارای عمری چند ساله است و بسياری از كاربران ، ضرورت استفاده از شبكه را همزمان با متداول شدن اينترنت در اوايل سال 1990 دريافتند . عموميت اينترنت، رشد و گسترش شبكه های كامپيوتر‌ی را به دنبال داشته است . اينترنت نيز با سرعتی باورنكردنی رشد و  امروزه شاهد ايجاد ده ها  ميليون وب سايت در طی يك سال در اين عرصه می باشيم .
تمامی وب سايت های موجود بر روی‌ اينترنت از پروتكل HTTP استفاده می نمايند . با اين كه پروتكل HTTP  با استفاده از پروتكل های ديگری نظير IP و TCP ماموريت خود را انجام می دهد ، ولی اين پروتكل HTTP است كه به عنوان زبان مشترك ارتباطی بين سرويس گيرنده و سرويس دهنده وب به رسميت شناخته شده و از‌ آن استفاده می گردد . در واقع مرورگر وب صدای خود را با استفاده از پروتكل HTTP به گوش سرويس دهنده وب رسانده و از وی درخواست يك صفحه وب را می نمايد.
به منظور انجام يك تراكنش موفقيت آميز بين سرويس گيرندگان وب ( نظير IE )  و سرويس دهندگان وب ( نظير IIS ) ، به اطلاعات زيادی نياز خواهد بود . پس از handshake پروتكل TCP/IP ، مرورگر اطلاعات گسترده ای را ‌ برای سرويس دهنده وب  ارسال می نمايد .
يك بسته اطلاعاتی نمونه در شكل زير نشان داده شده است :

توضيحات  :
داده مربوط به پروتكل لايه application ( در اين مورد خاص پروتكل HTTP ) ، پس از هدر TCP/IP قرار می گيرد  . جدول زير برخی اطلاعات مبادله شده بين سرويس گيرنده و سرويس دهنده وب را نشان می دهد .

عملكرد

نوع اطلاعات

سرويس گيرنده وب يك درخواست GET را برای سرويس دهنده وب ارسال و از وی درخواست اطلاعاتی را با استفاده از  پروتكل HTTP 1.1 می نمايد.
پروتكل HTTP دارای نسخه شماره يك نيز می باشد كه امروزه عموما" از نسخه فوق استفاده نمی گردد و در مقابل از نسخه 1 . 1 استفاده می شود.

GET /HTTP/1.1

وب سايتی است كه سرويس گيرنده قصد ارتباط با آن را دارد .

Host:
 www.google.ca

به سرويس دهنده وب ، نوع  نرم افزار سرويس گيرنده ( در اين مورد خاص   Mozilla version 5.0 ) و  نوع سيستم عامل نصب شده بر روی كامپيوتر ( در اين مورد خاص Windows version NT 5.1 و يا همان ويندوز XP  ) اعلام می گردد.

User-agent:
 Mozilla/5.0 (Windows; U; Windows NT 5.1;

نوع character set استفاده شده به سرويس دهنده اعلام می گردد ( در اين مورد خاص از  en:us  و نسخه شماره  10 . 7 . 1  استفاده شده است ) .

en-US; rv: 1.7.10)

نام مرورگر استفاده شده توسط سرويس گيرنده به سرويس دهنده وب اعلام می گردد ( در اين مورد خاص از مرورگر FireFox استفاده شده است ) .

Gecko/20050716 Firefox/1.0.6

سرويس گيرنده به سرويس دهنده وب فرمت  اطلاعاتی را كه می تواند دريافت نمايد ، اعلام می نمايد ( در اين مورد خاص هم برای متن و هم برای   application  از فرمت xml استفاده می گردد ) . 

Accept:
 text/xml, application/xml, application/xhtml+xml

سرويس گيرنده  به سرويس دهنده نوع فرمت متن دريافتی را اعلام می نمايد ( در اين مورد خاص html و يا plain text ) .
همچنين فرمت فايل های گرافيكی ( در اين مورد خاص png . و ساير فرمت های متداول ) نيز اعلام می گردد .

 text/html; q=0.9, text/plain; q=0.8, image/png, */*;q=0.5

ليست character set كه سرويس گيرنده وب قادر به فهم آنان است،  اعلام می گردد ( در اين مورد خاص  ISO-8859 , و يا utf-8  ) .

Accept-Charset:
 ISO-8859-1, utf-8; q=0.7, *;q=0/7

به  سرويس دهنده وب مدت زمان نگهداری  session  اعلام می گردد ( در اين مورد خاص 300 ثانيه ) .
سرويس گيرندگان می توانند با صراحت پايان يك session را اعلام نمايند . در نسخه شماره 1 . 1  پروتكل HTTP ، ارتباط و يا اتصال برقرار شده فعال و يا open باقی خواهد ماند تا زمانی كه سرويس گيرنده خاتمه آن را اعلام  و يا مدت زمان حيات آن به اتمام رسيده باشد .
در نسخه شماره يك پروتكل HTTP ، پس از هر درخواست و اتمام تراكنش ، ارتباط ايجاد شده غيرفعال و يا close می گردد .

Keep-Alive:
 300 Connection: keep-alive

cookie  و مقدار مربوطه  به آن اعلام می گردد. كوكی يك متن اسكی فلت می باشد كه اطلاعات متفاوتی را در خود نگهداری می نمايد .
مدت زمان حيات يك كوكی می تواند موقت ( تا زمانی كه مرورگر فعال است ) و يا دائم ( ذخيره بر روی هارد ديسك كامپيوتر  و در يك محدوده زمانی تعريف شده ) باشد .

 Cookie: PREF=ID=01a0822454acb293: LD=en:TM=1121638094?..

 User agent نوع مرورگر و سيستم عامل  سرويس گيرنده را مشخص می نمايد و اين موضوع می تواند  مواد اوليه لازم برای تدارك برخی حملات توسط مهاجمان را تامين نمايد .

آشنائی با پروتكل HTTP ( بخش دوم )

در بخش اول با  جايگاه پروتكل HTTP به منظور مبادله اطلاعات بين سرويس گيرندگان و سرويس دهندگان وب اشاره و در ادامه با نوع و ماهيت اطلاعات ارسالی سرويس گيرندگان وب به منظور دريافت خدمات از سرويس دهندگان ، آشنا شديم .
در اين بخش با نوع و ماهيت اطلاعات ارسالی سرويس دهندگان وب به منظور پاسخ به درخواست سرويس گيرندگان آشنا خواهيم شد. 

مرورگر وب ، صدای خود را با استفاده از پروتكل HTTP به گوش سرويس دهنده وب می رساند و از وی درخواست يك صفحه وب را می نمايد.
سرويس دهنده وب علاوه بر اين كه با اين صدا آشنا است خود نيز برای پاسخ به مرورگر وب از مجموعه قوانين آن تبعيت می كند .

پروتكل HTTP  : يك معماری سرويس گيرنده و سرويس دهنده
سرويس گيرنده وب ، مقادير خاصی را با اهداف كاملا" مشخص شده برای سرويس دهنده وب ارسال می نمايد ( حصول اطمينان از وجود يك زبان مشترك برای گفتگو بين سرويس گيرنده و سرويس دهنده وب ) .  سرويس دهنده پس از بررسی اطلاعات ارسالی ، آنان را تفسير و متناسب با آن اطلاعاتی را برای سرويس گيرنده ارسال می نمايد . در معماری فوق يك نرم افزار در سمت سرويس گيرنده و به عنوان يك سرويس گيرنده وب ( نظير IE و يا  Mozilla Firefox   ) ايفای وظيفه می نمايد و در سمت سرويس دهنده يك نرم افزار به عنوان سرويس دهنده وب ( نظير : IIS و يا   Apache  ) وظايف تعريف شده خود را انجام می دهد.
سناريوی فوق مدل و يا معماری سرويس گيرنده - سرويس دهنده را در ذهن تداعی می نمايد ( معماری مبتنی بر درخواست و پاسخ ) .

پاسخ سرويس دهنده 
شكل زير يك بسته اطلاعاتی HTTP از مبداء يك سرويس دهنده به مقصد يك سرويس گيرنده  را نشان می دهد ( پاسخ سرويس دهنده ). 

 توضيحات  :
جدول زير برخی اطلاعات ارسالی توسط سرويس دهنده را نشان می دهد .

عملكرد

نوع اطلاعات

به سرويس گيرنده اعلام می گردد كه :

·        سرويس دهنده وب از پروتكل  HTTP نسخه  1 .1  استفاده می نمايد.

·        فايل درخواستی وی توسط سرويس دهنده پيدا شده است .

200 ، يك كد وضعيت است كه وضعيت پاسخ به درخواست را مشخص می نمايد .

HTTP/1.1 200 OK  

مستند و يا فايل درخواستی سرويس گيرنده  توسط يك پراكسی cache نخواهد شد و هدف آن صرفا" برای كاربر متقاضی فايل است .

Cache-Control:
 private

فرمت ارسال فايل و يا مستند درخواستی به سرويس گيرنده وب اعلام می شود . در اين مورد خاص ، اطلاعات با فرمت  text/html ارسال می گردند .
سرويس گيرنده وب دارای دانش لازم به منظور بررسی و نمايش اطلاعات با فرمت اشاره شده می باشد .

Content-type:
 text/html

نوع سرويس دهنده و يا نرم افزار سرويس دهنده ( سرويس دهنده وب ) مشخص می گردد .
در اين مورد خاص ،  سرويس دهنده وب Google نمايش داده شده است .

Server:
 GWS/2.1

پروتكل HTTP نسخه شماره 1 .1  از ارسال اطلاعات به صورت chuncked حمايت می نمايد. در روش فوق ، بدنه يك پيام به منظور ارسال مجموعه ای از ماژول ها اصلاح می گردد . مسوليت مشخص كردن اندازه هر ماژول ارسالی بر عهده يكی از فيلدهای موجود در اين ساختار گذاشته می شود .
در صورت ارسال معمولی اطلاعات  توسط پروتكل HTTP ، از يك فيلد با نام "Content-Length" به منظور مشخص نمودن حجم داده ارسالی،استفاده می گردد .

Transfer-Encoding: chunked
 

زمان و تاريخ سرويس دهنده وب مشخص می گردد.

Date:
 Sat 30 Jul 2005 14:14:50 GMT
 

تگ های HTML ارسالی توسط سرويس دهنده وب به مقصد سرويس گيرنده وب می باشند كه توسط سرويس گيرندگان وب ( نظير IE  ) تفسير و نمايش داده می شوند .
با استفاده از گزينه view موجود در برنامه های مرورگر ، می توان تگ های HTML يك صفحه وب را مشاهده نمود . 

 

 

آشنائی با پروتكل HTTP ( بخش سوم )

در بخش اول و دوم با جايگاه پروتكل HTTP به منظور مبادله اطلاعات بين سرويس گيرندگان و سرويس دهندگان وب آشنا شديم . همچنين به اين موضوع اشاره گرديد كه   پروتكل فوق ، همانند اغلب پروتكل های لايه application ،  از معماری سرويس گيرنده - سرويس دهنده استفاده می نمايد .
در اين بخش به بررسی برخی پتانسل های ارائه شده توسط پروتكل HTTP خواهيم پرداخت .

HTTP يك پروتكل با قابليت های فراوان
HTTP ،‌ پروتكلی با قابليت های فراوان است كه عليرغم برخی محدوديت ها ، دارای سابقه درخشانی در  عرصه شبكه های كامپيوتری ( اينترانت ، اينترنت )  است .
 

HTTP پروتكلی ‌است كه امكان ارتباط بين سرويس گيرندگان و سرويس دهندگان وب را فراهم می نمايد .
يك سرويس دهنده وب در واقع  به عنوان يك سرويس دهنده HTTP  نيز ايفای وظيفه می نمايد .

زمانی كه مرورگر وب درخواست يك صفحه را از سرويس دهنده وب می نمايد، در واقع يك HTTP request  را ارسال و  سرويس دهنده وب نيز پاسخ آن را با يك HTTP response  خواهد داد  . يك پيام HTTP ، يك درخواست ( request ) و يا پاسخ ( response ) است كه از يك ساختار خاص تبعيت می نمايد .
HTTP  به يك پروتكل خاص لايه حمل وابستگی نداشته و عموما" از پروتكل TCP استفاده می نمايد (پورت شناخته شده 80 ) .

 كدهای وضعيت
همانند بسياری از پروتكل ها ، پروتكل  HTTP بر اساس يك مدل سرويس گيرنده - سرويس دهنده كار می كند .  كدهای وضعيت توسط تعداد زيادی از پروتكل های لايه application استفاده می گردد و می توان آنان را به پنج گروه عمده تقسيم نمود . جدول زير گروه های پنج گانه كدهای وضعيت  را در ارتباط با پروتكل HTTP  نشان می دهد .

عملكرد

كد

 اطلاع رسانی برای استفاده در آينده

1XX

 انجام موفقيت آميز تراكنش 

2XX

 راهنمائی مجدد

3XX

 بروز خطاء سمت سرويس گيرنده

4XX

 بروز خطاء سمت سرويس دهنده

5XX

 هر يك از پنج گروه فوق، دارای كدهای وضعيت زير مجموعه ای می باشند كه بيانگر جزئيات عمليات است . جدول زير برخی از كدهای وضعيت هر يك از گروه های پنج گانه فوق را در ارتباط با پروتكل HTTP نشان می دهد .

عملكرد

كد وضعيت

 تراكنش با موفقيت انجام شده است

200

 دستور POST با موفقيت انجام شده است

201

 درخواست ارسالی دريافت گرديد.

202

 منبع درخواستی در مكان های مختلفی پيدا شده است

300

 منبع درخواستی به صورت دائم منتقل شده است

301

 منبع درخواستی به صورت موقت  منتقل شده است

302

 درخواست نامناسب از جانب سرويس گيرنده

400

 درخواست غيرمجاز

401

 منبع درخواستی پيدا نگرديد

404

 بروز خطاء بر روی سرويس دهنده

500

 متد استفاده شده ، پياده سازی نشده است

501

 درخواست های سرويس گيرندگان  و دستورات 
سرويس گيرندگان وب به منظور استفاده از خدمات سرويس دهندگان وب از مجموعه پتانسيل های ارائه شده ( دستورات )  توسط پروتكل HTTP استفاده می نمايند :

·         GET : سرويس گيرنده وب درخواست يك منبع موجود بر روی سرويس دهنده وب را می نمايد .

·         POST : سرويس گيرنده وب اطلاعاتی را برای سرويس دهنده وب ارسال می نمايد .

·         PUT : سرويس گيرنده وب يك مستند جايگزين را برای سرويس دهنده وب ارسال می نمايد .

·         HEAD : سرويس گيرنده وب اطلاعات  خاصی را در ارتباط با يك منبع موجود بر روی سرويس دهنده  درخواست می نمايد ( عدم نياز به خود منبع ) 

·         DELETE : سرويس گيرنده وب درخواست حذف يك سند موجود بر روی سرويس دهنده را می نمايد .

·         TRACE : سرويس گيرندگان وب ، پراكسی مربوط به خود را تعريف می نمايند . از متد فوق اغلب در موارد اشكال زدائی استفاده می گردد .

·         OPTIONS : ساير پتانسيل های موجود به منظور كار بر روی يك سند توسط يك سرويس گيرنده وب درخواست می گردد .

·         CONNECT : سرويس گيرنده وب به عنوان يك پراكسی به يك سرويس دهنده HTTPS متصل می گردد .

در اغلب موارد صرفا" از متد‍ GET و در برخی موارد از HEAD استفاده می گردد ( در صورت اشكال زدائی يك برنامه وب از تمامی امكانات فوق استفاده می شود ) .

مراحل ايجاد يك تراكنش  
يك سرويس گيرنده وب قبل از اين كه بتواند با يك سرويس دهنده وب داده ئی را مبادله نمايد ، می بايست با آن ارتباط برقرار نمايد . بدين منظور از پروتكل TCP/IP استفاده می گردد . همانگونه كه اشاره گرديد سرويس گيرنده و سرويس دهنده وب برای ارسال يك درخواست و پاسخ به آن از پروتكل HTTP استفاده نموده و   ارتباط ايجاد شده بين خود را  صرفا" برای يك تراكنش نگهداری می نمايند ( HTTP يك پروتكل Stateless است ) .
فرآيند ايجاد يك تراكنش بين سرويس گيرنده و سرويس دهنده وب را می توان در چهار مرحله زير خلاصه نمود:

·          مرحله اول ، برقراری ارتباط : در ابتدا می بايست يك ارتباط و يا اتصال مبتنی بر پروتكل  TCP/IP  بين يك سرويس دهنده و يك سرويس گيرنده وب ايجاد گردد .  به منظور تشخيص نوع پروتكل استفاده شده  ، برنامه ها از يك عدد منحصر بفرد با نام  شماره پورت استفاده می نمايند .( پروتكل FTP از پورت 21 ، پروتكل Telnet از پورت 32 ، پروتكل SMTP از پورت 25 ، پروتكل HTTP از پورت 80 ) .

·         مرحله دوم : ‌ايحاد و يا صدور يك درخواست توسط سرويس گيرنده

·         مرحله سوم : ‌پاسخ سرويس دهنده به درخواست سرويس گيرنده

مرحله چهارم ،‌ خاتمه و يا توقف ارتباط : سرويس دهنده مسئوليت خاتمه ارتباط TCP با سرويس گيرنده وب را پس از پاسخ به درخواست سرويس گيرنده برعهده دارد . به منظور برخورد با مسائل غيرقابل پيش بينی ، هم سرويس گيرنده و هم سرويس دهنده می بايست قادر به مديريت يك ارتباط باشند . مثلا" پس از فعال نمودن دكمه stop در مرورگر ، می بايست به ارتباط ايجاد شده توسط سرويس گيرنده خاتمه داده شود
+ نوشته شده توسط اسلام الدین در سه شنبه بیست و سوم آذر 1389 و ساعت 10:53 AM |
 

از کابل‌کشي تا به اشتراك گذاشتن چاپگر

از کابل‌کشي تا به اشتراك گذاشتن چاپگر

اشاره :
در اين مقاله شما به راحتي و بدون نياز به سرور مي توانيد يك شبكه كوچك راه اندازي و نكاتي در خصوص كابل كشي ، نصب پريز ، تخصيص IP ، به اشتراك گذاشتن پوشه و پرينتر را فرا بگيريد.

تا چند سال گذشته علم کامپيوتر يکي از علوم مدرن به حساب مي‌آمد بطوريکه عده زيادي از اقشار مختلف جامعه ، خصوصا قشر تحصيلکرده را به خود معطوف کرد. اما امروزه و با گذشت چندين سال از عرضه کامپيوتر نوبت به علم ارتباط بين کامپيوترها با يکديگر يعني علم شبکه رسيده است و اکثر علاقمندان به علم کامپيوتر را بر آن داشته تا در اين زمينه نيز به کسب آگاهي بپردازند.
در خصوص شبکه ( Network ) کتاب هاي گوناگوني نوشته شده است ، اما ظاهرا ( و متاسفانه ) خوانندگان وقت چنداني براي مطالعه کتاب‌هاي تئوري ندارند و باز هم متاسفانه محيط و زمينه آموزش عملي نيز براي آنها به راحتي فراهم نيست.
در صورتي که جز خوانندگان ماهنامه رايانه خبر و علاقمند به گذراندن يک کارگاه عملي شبکه هستيد مي توانيد فقط با مطالعه اين مقاله ، اطلاعات نسبتا خوبي در زمينه راه اندازي يک شبکه در مقياس کوچک را بدست آوريد.يكي از درخواست هاي هميشگي خوانندگان محترم ، آموزش راه اندازي يك شبكه محلي ( LAN ) بصورت عملي در ماهنامه بوده است. بنابراين بخشي به همين نام ( يعني شبكه ) در ماهنامه راه اندازي شد. در اين بخش از ابتدا آموزش مباحث مختلف مانند نصب ويندوز 2003 ، نصب اكتيو دايركتوري ، ايجاد كاربر و ... ارائه شد و در ادامه آن نيز نصب برخي سرويس هاي شبكه مانند DHCP ، RRAS و ... آموزش داده شد. اما در بررسي نامه هاي خوانندگان محترم متوجه شديم بسياري از شما عزيزان خواهان يك كارگاه عملي آموزشي " راه اندازي شبكه در مقياس كوچك " هستيد. از آنجا كه ما وظيفه اي جز پاسخ مثبت به درخواست هاي شما نداريم در اين مقاله سعي شده است در حد بضاعت به درخواست جمع کثيري از خوانندگان جامع عمل بپوشانيم. ( البته بهتر است با مفاهيم پايه اي شبكه كه در شماره هاي گذشته در ماهنامه به چاپ رسيده است آشنا باشيد. )
بنابراين دراين مقاله سعي مي كنيم از توضيح مفاهيم شبكه بپرهيزيم و فرض مي كنيم به كليات شبكه واقف هستيد و مستقيما كارهايي كه براي راه اندازي يك شبكه در حد يك اداره يا دفتر کوچک با 10 الي 20 كامپيوتر نياز است را بصورت كاملا عملي حضورتان تقديم نماييم.
لازم به توضيح است براي عملي تر و كاربردي تر شدن اين مقاله ، نوع شبكه از نوع Workgroup با توپولوژي ستاره ( Star ) انتخاب شده است. كسانيكه مايل به راه اندازي Domain Controller ( DC ) در شبكه خود باشند با مطالعه شماره‌هاي قبلي ماهنامه و اعمال کردن  تغييرات مختصري مي توانند به خواسته خود يعني راه اندازي شبکه از نوع Domain دست يابند.

تهيه چك ليست
معمولا براي انجام هرکاري لازم است از ابتدا تا انتها مواردي كه مي خواهيد انجام دهيد را روي كاغذ بياوريد. ما نيز بدون پرداختن به مسائل متفرقه دقيقا به سراغ همين كار مي رويم. پس با ما شروع به تهيه ليست نماييد:
ـ ليست نمودن تجهيزات مورد نياز و تهيه آنها
ـ نصب درايور كارت شبكه
ـ ساخت كابل هاي رابط و برقراري اتصالات فيزيكي
ـ انجام تنظيمات لازم TCP / IP در كارت شبكه
ـ تنظيم نام کامپيوتر و نام Workgroup
ـ تست ارتباطات شبكه با دستور Ping
ـ Share كردن فولدر و درايوهاي كامپيوترها براي يك ديگر
ـ Share كردن چاپگر

تجهيزات مورد نياز
قبل از هر چيز بايد كامپيوترها در يك بستر ارتباطي مناسب و با رعايت استانداردهاي مربوطه با هم ارتباط برقرار نمايند. به نحوه همبندي كامپيوترها توپولوژي گويند.
همانطور که قبلا نيز اشاره شد ، توپولوژي انتخابي ما در اين مقاله از نوع ستاره اي و نوع بستر آن كابل مي باشد.
پس به يكسري كانكتور و كابل مخصوص اين نوع توپولوژي نياز داريد. در اينجا فرض مي كنيم شبكه محلي ما داراي10 كامپيوتر است. در اين صورت تجهيزات زير مورد نياز است :
ـ تعداد 10 كامپيوتر که مي تواند يكي از سيستم عامل هاي WindowsXP , Windows2000 , Windows 98 , Windows2003 رو ي آن نصب شده باشد.
ـ 20 عدد كانكتور يا سر سيم RJ-45 . به ازاي هر كامپيوتر 2 عدد سرسيم نياز است.

 

شكل 1 : نمونه اي از يك كانكتور RJ-45


ـ پريز ديواري ( Keystone ) به تعداد كامپيوترهاي موجود ( بستگي به طراحي کابل کشي دارد. اين موضوع در ادامه توضيح داده مي‌شود.) 

 

شكل 2 : نمونه اي از يك Keystone


نكته : در صورتيكه از پريز ديواري استفاده شود ، تعداد سرسيم (كانكتور RJ-45 ) بايد سه برابر تعداد كامپيوتر ها باشد.

ـ يك دستگاه با سرعت 100Mb/s . هاب و سوئيچ هاي موجود در بازار 5 ، 8 ، 16 و 32 پورت مي باشند.
براي اين مثال،  ما نياز به يك هاب يا سوئيچ 16 پورت داريم.
ـ يك دستگاه Crimping Tools يا آچار شبكه

 

شكل 3 : نمايي از يك هاب 8 پورت و آچار شبكه


ـ كابل  UTP از نوع CAT5e به مقدار مورد نياز. ارتباط بين هر كامپيوتر و هاب از طريق كابل بر قرار مي شود. مقدار كابل مورد نياز برابر است با مجموع فاصله هر كامپيوتر با هاب.

 

شكل 4: نمايي از كابل شبكه


ـ كارت شبكه PCI به تعداد كامپيوترهاي موجود

نصب درايور كارت شبكه
اولين قدم نصب کارت شبکه کامپيوترها مي‌باشد. ابتدا سيستم‌ها را باز كرده سپس كارت‌هاي شبكه را داخل اسلات‌هاي PCI جا بزنيد. پس از نصب ، سيستم را روشن و درايور كارت شبكه را نصب نماييد. بعضي از مادربردها داراي كارت شبكه Onboard مي‌باشد و نصب درايور آنها توسط سي دي مادربرد انجام مي‌گيرد.

ساخت كابل هاي رابط و برقراري اتصالات فيزيكي
براي ساخت كابل هاي ارتباطي  به چندين عدد سوكت يا كانكتور RJ45 و چندين متر كابل نياز است. ارتباط ميان كامپيوترها با دستگاه هاب توسط به دو طريق مي تواند صورت گيرد:
• اتصال مستقيم هاب به كامپيوتر : در اين روش كه راحت ترين روش مي‌باشد ، هاب بصورت مستقيم توسط كابل به كامپيوتر متصل مي شود. نام اين نوع كابل‌ها ، كابل مستقيم است. در كابل مستقيم سيم هاي وارد شده به دو سوكت RJ45 كه در دو طرف كابل زده مي شود از يك چند استاندارد پيروي مي‌کند که ما استاندارد 568B را انتخاب کرده‌ايم. ترتيب رشته سيم ها براي دو سوكت در اين روش مطابق جدول 1 مي باشد. توجه داشته باشيد كه ترتيب رشته ها براي حالتي كه زبانه سوكت به سمت پايين و محل ورود رشته سيم ها از روبرو قرار دارد مي باشد. سوكت را همانطور كه در شكل 1 نشان داده شده است نگهداريد و به ترتيب كابل شماره 1 ( يعني سيم سفيد نارنجي ) به پايه سمت چپ ، كابل شماره 2 يعني نارنجي به پايه شماره 2 و ... وارد مي شود. دقت نماييد تا رشته ها تا انتها به داخل سوكت فرو رفته باشند سپس بوسيله آچار مخصوص همين كار ، آن را پرس نماييد. ( نتيجه را در شكل 5 ببينيد. )
در اين مثال فرض براين است كه كابل CAT5e كه دو سر آن طبق جدول 1 سوكت RJ45 خورده است، دستگاه كامپيوتر را مستقيم به هاب متصل مي كند.

 

جدول 1

شكل 5 : روش قرار گرفتن سيم ها در سوكت


در صورتيكه مي خواهيد شبكه تان با كم ترين هزينه برپا گردد و مطمئن هستيد محل كامپيوترها را زياد تغيير نمي دهيد اين روش راحترين روش و مقرون به صرفه است.
• اتصال هاب به پريز و پريز به كامپيوتر: در اين روش مسير هاب به كامپيوتر به دو قطعه تقسيم شده است.

الف ) هاب به Keystone : قسمت داخلي پريز كه كابل به آن وصل مي شود كيستون نام دارد. به يك سر كابل ، كانكتور RJ45 با همان سيم بندي استاندارد 568B ( مانند روش قبل ) پرس  و به هاب متصل مي کنيم و سر ديگر به كيستون كه توسط يك پريز روي ديوار قرار مي گيرد متصل مي شود. طريقه اتصال كابل به كيستون نيز طبق استاندارد 568B (كه روي كيستون نيز چاپ شده است) ، صورت مي گيرد.
ب ) اتصال كامپيوتر به كيستون : براي اين كار كافي است يك كابل مستقيم ( مانند روش اول ) اما كوتاه و به اندازه بين كامپيوتر و پريز ديواري ساخته شود . يك طرف آن به كارت شبكه و طرف ديگر به پريز ديواري كه كيستون داخل آن قرار دارد زده مي شود.
مزيت اين روش ، امكان تغيير محل كامپيوتر مي باشد.چون با تعويض كابل رابط بين كامپيوتر و كيستون مي توانيد اين كار را به راحتي و بدون هيج محدوديتي انجام دهيد.
يكي از اين دو روش را انتخاب و كامپيوترها را به هاب متصل نماييد.

چند نكته :
ـ هاب هيچ مديريت و تنظيمي نياز ندارد فقط كافي است كابل هاي شبكه كامپيوترها را از يك طرف به هاب و از طرف ديگر به كارت شبكه وصل كرده و سپس هاب را روشن نماييد تا چراغ سبز رنگ روي كارت شبكه و چراغ متناظر با پورت مربوطه روي هاب روشن شود.
ـ با انجام مراحل فوق يك آيكون شبكه مطابق شكل 6 روي نوار وظيفه كنار ساعت نمايان مي شود.

 

شكل 6


ـ براي اينكه كابل ها روي زمين پخش نشود و كار بصورت شسته رفته صورت گيرد مي‌توانيد كابل‌هاي شبكه را كه بين كامپيوتر و هاب و يا بين كيستون و هاب كشيده ايد داخل داكت قرار دهيد. داكت روكش پلاستيكي يا فلزي است كه كابل‌هاي تلفن و شبكه مي تواند داخل آن قرار گيرد. داكت ها در اندازه هايي متفاوتي وجود دارد.

تا اينجا مراحل فيزيكي و سخت افزاري كار تمام شده است و درصد زيادي از كار انجام شده است. از اين پس به تنظيمات نرم‌افزاري مي پردازيم.

انجام تنظيمات TCP / IP
همانطور كه مي دانيد براي اينكه سيستم در يك شبكه بتواند با كامپيوترهاي ديگر ارتباط برقرار كند بايد يك عدد منحصربفرد به نام آيپي آدرس ( IP Address ) داشته باشد. براي تخصيص IP به يك كامپيوتر در شبكه 3 روش متداول وجود دارد كه عبارتند از :
ـ تخصيص IP توسط DHCP
ـ تخصيص IP به روش APIPA ( Automatic Private IP Addressing )
ـ تخصيص IP بصورت دستي ( Manual )

روش اول يعني DHCP ، در شماره 13 ماهنامه شرح داده شده است و روش دوم در شماره هاي بعدي حضورتان تقديم خواهد شد. اما در اين مقاله روش سوم مورد نظر ما مي باشد. در ادامه مي خواهيم بصورت دستي بر روي تك تك كامپيوترهاي موجود در شبكه IP تنظيم نماييم.
براي تنظيم دستي مراحل زير را انجام دهيد :
ـ به كنترل پانل برويد.
ـ گزينه Network Connections را بازكنيد.
ـ گزينه Local Area Connection را دوبار كليك كنيد تا پنجره 
Local Area Connection Setting باز شود.
ـ از پايين اين پنجره دكمه Properties را بزنيد تا پنجره
Local Area Connection Properties باز شود.
ـ مطابق شكل 7 در اين صفحه ضمن زدن دو تيك پايين صفحه ،
گزينه Internet Protocol را انتخاب نماييد.

شكل 7


ـ مطابق شكل 8 در صفحه Internet Protocol ( TCP / IP ) Properties در قسمت
IP Address براي هر ماشين يك IP تنظيم نماييد. در قسمت Subnet Mask تمام ماشين ها عدد 255.255.255.0 را وارد كنيد.

 

شکل 8


دقت نماييد اعداد بايد منحصربفرد باشد. پيشنهاد مي شود از آيپي آدرس 192.168.0.1 شروع شود و بعنوان مثال اگر 12 كامپيوتر در شبكه داريد به آخرين كامپيوتر آيپي آدرس 192.168.0.12 را اختصاص دهيد.

تنظيم نام کامپيوتر و نام Workgroup
بعد از  تنظيم IP Address ها لازم است کاهاري زير را نيز انجام دهيد:
ـ انتخاب نام براي کامپيوترها ( Computer Name ) : يعني همه کامپيوترهاي موجود در شبکه بايد يک نام منحصربفرد براي خو داشته باشند.
ـ انتخاب يک نام براي Workgroup : به دليل اينکه شبکه‌اي که در اين مثال به آن اشاره شده از نوع Peer to Peer يا Workgroup اي مي باشد لازم است يک نام براي Workgroup‌ نيز تعيين گردد. نام Workgroup مي‌تواند نام شرکت يا اداره يا مخفف آنها باشد.
براي اين دو پارامتر روي تک تک کامپيوترها مراحل زير را انجام دهيد:
ـ روي My Computer راست کليک کنيد و گزينه Properties را بزنيد.
ـ به قسمت Computer Name‌ برويد.
ـ در اين صفحه گزينه Change را بزنيد.
ـ مطابق شکل 9 در قسمت Computer Name نامي متناسب با وظيفه يا بخشي که کامپيوتر در آن قرار دارد را وارد نماييد و در قسمت Workgroup نامي که براي Workgroup تعيين نموده‌ايد را وارد نماييد. توجه داشته باشيد كه نام Workgroup بايد براي همه کامپيوترها يکي است.

 

شکل 9


همانطور که مي‌دانيد شبکه از نوع دامنه يا Domain نيز وجود دارد که تفاوت هايي با نوع Workgroup دارند.
براي راه اندازي شبکه از نوع دامنه بايد ابتدا سيستم عاملي مانند ويندوز 2000 يا ويندوز 2003 و اکتيودايرکتوري روي يکي از سيستم‌ها نصب شود که مراحل آن در شماره‌هاي گذشته ماهنامه به چاپ رسيده است.

تست ارتباطات شبكه با دستور Ping
هم اكنون تا حدودي تنظيمات سخت‌افزاري و نرم‌افزاري که لازم است انجام شود كامل شده است. براي تست کارهايي که انجام داده‌ايم لازم است شبکه را از لحاظ اتصالات و ارتباطات تست نماييم. نگران نباشيد نياز به دستگاه خاصي نيست. فقط با چند دستور مي توان فهميد که ارتباط کامپيوترها باهم برقرار است يا خير.
اما يک بار ديگر و بصورت گذرا کارهايمان را مرور مي کنيم.
ـ کارت شبکه روي سيستم نصب گرديد
ـ‌ کابل‌هاي رابط بين کامپيوترها ساخته شد.
ـ ارتباطات بين هاب و کامپيوترها برقرار گرديد.
ـ در تنظيمات مربوط  TCP / IP براي هرکامپيوتر يک IP Address در نظر گرفته شده است.
اما براي تست مي توان از يکي از دستورات مشهور TCP / IP استفاده نماييد. با دستور Ping مي توانيد ارتباط بين دو کامپيوتر را تست نماييد.
بعنوان مثال مي‌خواهيم ارتباط سيستم خود را با کامپيوتري که IP آن 192.168.0.1 است را تست كنيم . براي اين منظور مراحل زير را انجام دهيد:
ـ از منوي Start منوي Run را باز کنيد.
ـ در آنجا دستور cmd را تايپ و اجرا نماييد.
ـ مطابق شکل 10 دستور Ping 192.168.0.1 را اجرا نماييد. اين دستور يک Packet براي کامپيوتر با آيپي 192.168.0.1 ارسال مي کند. اگر آن کامپيوتر در شبکه وجود داشته باشد و تمام تنظيمات سخت‌افزاري و نرم‌افزاري به درستي انجام شده باشد مطابق شکل 10 پيغام  Reply from 192.168.0.1  …. براي شما ارسال مي‌شود.

 

شکل 10


در صورتيکه کامپيوتر مقصد داخل شبکه نباشد يا ارتباط آن به هر دليل با شبکه قطع باشد پيغام Request timed out را خواهيد گرفت. ( به شکل 11 دقت نماييد. )

 

شکل 11


حال با توجه به تست‌هاي فوق و فرض اين مطلب که همه کارها فوق با موفقيت انجام شده است مي توانيد از مزاياي شبکه مانند Share کردن چاپگر و فايل و فولدر مي باشد استفاده نماييد.

Share كردن فولدر و درايوهاي كامپيوترها براي يك ديگر يکي از استفاده‌هايي که امروزه از شبکه مي‌شود به اشتراک گذاشتن ( Share کردن )  فايل ، فولدر و حتي درايوهاي يک کامپيوتر براي استفاده ديگر کامپيوترهاي موجود در شبکه است. در اينجا براي نشان دادن نحوه به اشتراک گذاشتن فايل ، فولدر و حتي يک درايو به مثال زير توجه نماييد. لازم به ذکر است که مثال زير را براي فايل ، فولدر و درايو مي‌توانيد انجام دهيد.
فرض کنيد در اداره يا شرکت لازم است همه  به يکسري فايل که در يک فولدر قرار دارند دسترسي داشته باشند. بنابراين بايد مراحل زير را براي به اشتراک گذاشتن آن فايل‌ها مراحل زير را انجام دهيد:
ـ روي يکي از کامپيوترها و داخل يکي از درايوها يک پوشه به نام For All بسازيد.
ـ روي آن پوشه راست کليک نماييد و گزينه Sharing and Security… را انتخاب نماييد.
ـ مطابق شکل 12 گزينه Share this folder را انتخاب و سپس در قسمت
Share Name: يک نام براي آن در نظر بگيريد. ( با وجود اينکه مي‌توانيد يک نام متفاوت با نام پوشه قرار دهيد اما پيشنهاد مي‌شود همان نام پوشه را بگذاريد. زيرا اين پوشه با نامي که در اين قسمت مي‌نويسيد در شبکه معرفي خواهد شد. )

 

شکل 12


ـ براي ديدن نتيجه کار ، با ردن دکمه Start گزينهMy Network Places  را انتخاب نماييد تا مانند شکل 13 در پنجره باز شده گزينه ForAll on Comp1 را ببينيد.

 

شکل 13


Share كردن چاپگر
يکي ديگر از مزاياي شبکه به اشتراک گذاشتن يا Share کردن چاپگر در يک شبکه است. اين کار نيز شباهت بسيار زيادي به اين Share کردن فايل و فولدر دارد. براي انجام اين کار نيز مراحل زير ار انجام دهيد:
ـ به کنترل پانل کامپيوتري که روي آن قبلا چاپگر تعريف شده است رفته و گزينه Printers and Faxes را باز کنيد.
ـ روي چاپگري که مي‌خواهيد ديگران از آن استفاده نمايند راست کليک کنيد و گزينه Sharing را بزنيد.
ـ مطابق شکل 14 در قسمت Share this printer و جلوي باکس Share name: يک نام براي آن درنظر بگيريد.

 

شکل 14


تا اينجا چاپگر براي همه Share شده است. حالا بايد روي کامپيوترهاي ديگر اين چاپگر تعريف شود. براي اين منظور مراحل زير را روي کامپيوترهايي که مي‌خواهيد براي اين چاپگر دستور چاپ بدهند انجام دهيد:
ـ به کنتر پانل برويد و گزينه Printers and Faxes را انتخاب نماييد.
ـ از پانل سمت راست گزينه Add Printer را بزنيد.
ـ در پنجره Welcome to add printer  دکمه Next را بزنيد.
ـ در صفحه Local or Network printer گزينه دوم يعني A Network printer … را انتخاب و Next را بزنيد.
ـ در پنجره Specify a printer گزينه اول يعني Brows for printer‌ را انتخاب سپس دکمه Next را بزنيد.
ـ در پنجره بعدي و مطابق شکل 15 چاپگري که قبلا Share کرده ايد مي‌خواهيد و دکمه Next را بزنيد.

شکل 15


اکنون يک شبکه کوچک از نوع Workgroup راه‌اندازي کرده‌ايد که در آن چاپگر و فولدر Share شده است. در صورت لزوم مي‌توانيد از مزاياي ديگر اين شبکه استفاده‌هاي لازم را ببريد.

 

+ نوشته شده توسط اسلام الدین در یکشنبه بیست و یکم آذر 1389 و ساعت 4:53 PM |
image

+ نوشته شده توسط اسلام الدین در یکشنبه بیست و یکم آذر 1389 و ساعت 4:50 PM |

       مزاياي شبکه: 

•        به اشتراک گذاری فایل ها , فولدرها , دیتا ها وگرافیکها بین کامپوترها.

•        به اشتراک گذاری انترنت (کافی نت)

•        به اشتراک گذاری پرنتر بین کامپیوترها « دریک محیط سازمانی »

•        به اشتراک گذاری منابع نرم افزاری وسخت افزاری بین کامپیوترها مثل ( تقسیم بندی مدم , سی دی رام , یا اجزائی ازاین قبیل )

•        مدیریت متمرکز درداده ها یا درمنابع ( فایلها , فلدرها , پرنتر ) برای محدودکردن کاربران

          شبکه ازنظرنوع برقراری فزيکی به سه دسته تقسيم ميشوند.

 

1- شبکه مستقيم :                         2- شبکه ازطريق خطوط تلفن:                  3- شبکه واقعي

1- شبکه مستقيم :

          این نوع شبکه ازطریق پورتها ودیوایس های زیربه هم وصل میشود .

1.                     USB

2.                     serial

3.                     parallel

4.                     Infrared

5.                     Bluetooth

 USB

          این نوع شبکه برقراری مستقیم بین دوسیستم با استفاده ازدودانه پورت USB میباشد , به این صورت که یک کانکتوربه پشت مادربورد درقسمت پورت USB وصل ودیگری به پشت کامپیوترشماره 2 نصب , درنتیچه دوسیستم با هم دیگربدون نیازبه Restart نمودن کامپیوتر, شبکه میشوند .

          نکته : لازم به زکراست که حداکثرطول کیبل USB 4.5 , متر, حد اکثرانتقال دیتا 800 میگابایت درثانیه وحداکثرتعداد کانکتورهای آن تا 127 عدد میتواند باشد .

Serial

          برای برقراری ارتبا ط بین دوسیستم ازطریق پورت serial نیازمند دودانه کانکتوربا ورودی وخروجی serial نیازمندیم , لازم به زکراست که درهنگام  وصل کردن دوسیستم به همدیگربه هیچ گونه ابزارجانبی دیگری نیازمند نمیباشیم فقط با استفاده ازدوپورت سریال به اضافه حداقل 4.5 مترکیبل دوسیستم را به همدیگرنت ورک مینمائیم .

نکته : شرکت (IEEE) که استنداردهای سخت افزاری را مشخص میکند استنانداردی بنام (RS232) رابرای سریال مشخص نموده , سه نوع ویرژن استندارد سریال (DB9_ DB15_DB25) میباشد.

Parallel

          برای برقراری ارتباط ازین طریق نیازمند دوپورت Parallel میباشیم که البته این نوع شبکه یکی ازکم سرعت ترین وپربارترین شبکه میباشد که امروزه درهیچ جا دیده نمیشود که ازآن استفاده کنند.

Infrared

          این نوع برقراری ارتباط نیازمند دودیوایس با قابلیت Infrared « مادون قرمز» میباشد , درهنگام استفاده ازاین نوع تکنالوژی باید حتما هردودیوایس روبروی هم قرارگرفته وهیچ مانعی دربین شان قرار نگیرد , لازم به ذکراست که درین شبکه به هیچ نوع کیبل یا دستگاه اضافی ضرورت نمیباشد , میتواند دیوایس مورد نظررا  مثل فلش دیسک درپشت پورت USB وصل نمود

Bluetooth

          این نوع شبکه نیازمند دوعدد دیوایس , یکی برای یک سیستم ودیگری برای سیستم شماره 2 میباشد برخلاف شبکه Infrared درین نووع شبکه مکان دودیوایس واینکه باید درمقابل همدیگرقراربگیرند مطرح نمیباشد , حداقل فاصله بین دوسیستم 30 متروحد اکثرآن تا 700 متر میباشد که با فاصله بیشترســرعت دریافت وارسال اطلاعات کمتروبا فاصله کمتراین سرعت افزایش میابد . برای راه اندازی این نوع شبکه نیازمند هیچ گونه کیبل یا دستگاه اضافی دیگری نمیباشیم :

2- شبکه , ازطريق خطوط تلفن :

          برای برقراری ارتباط بین دوسیستم ازابزاری بنام " Hyper Terminal " وسرویسی بنام "VPN" (Virtual Private Network) استفاده میکنیم , برای انجام این عمل نیازمند دوخط تلفن دردوموقعیت جغرافیائی ودوعدد مدم میباشیم :

3- شبکه واقعی :

          انواع پیکربندی یا کانفیگور کردن نت ورک ازنظرفزیکی وهمچنین انواع نت ورک ازنظرموقعیت جغرافیائی .

o      LAN           (Local Area Network)

o      MAN          (Metropolitan Area Network)

o      WAN                   (Wide Area Network)

o      PAN           (Personal Area Network)

o      RAN           (Regional Area Network)

LAN:

          این نوع شبکه یکی ازپرکاربرد ترین نوع شبکه درسازمانها , دفاتردولتی وتمام موسسات میباشد , بطورکلی برای برقراری ارتباط بین سیستم ها ازاستنداردهای مختلفی برای بوجود آوردن یک LAN استفاده میشود .

MAN:

          این نوع پیکربندی یا ترتیب دادن برای برقراری ارتباط ووصل کردن چندین شبکه LAN بااستفاده ازدستگاهی بنام Router « راه یاب » به همدیگرصورت میگیرد ؛ یعنی به این معنی که دوشبکه LAN را به دستگاهی بنام Router وصل کرده که هردومیتوانند ازطریق این دستگاه به همدیگروصل شوند.

WAN:

          برای برقراری ارتباط بین چندین Router ازشبکه WAN استفاده میشود ؛ یا به عبارت دیگر هنگامیکه چندین Router به همدیگروصل میشوند به صورت ناخواسته استنداردی بنام WAN بوجود میآید بطورکلی انترنت ازمجموع وصل شدن Router ها درسطح جهان بوجود آمده است . یعنی بدین معنی که شما درخانه خودتان چند کامپیوتررا ازطریق کیبل به هم وصل میکنید , شبکه LAN بوجود میآید وچندین

شبکه LAN  که درنقاط دیگری وجوددارند با استفاده ازRouter به یکدیگروصل میکنید وبعدازآن این Router  را به یک Router دیگری که چندین LAN را بهم وصل کرده است , وصل میکنید ودرنتیجه این دوRouter شما به Router دیگری درخارج ازکشوربه هردلیلی وصل , وبهمین ترتیب این پیوند درسطح جهانی ادامه داده میشود که نهایتا شبکه ای بنام « اینترنت » بوجود میآ ید :

PAN:

          این نوع شبکه ازمجموع کمترازده کامپیوتربوجود میآید , همان طورکه ازاسمش مشخص است شخصی میباشد یعنی با شبکه های خارجی ارتباطی ندارد وصرف درهمان موقعیت جغرافیائی مرتبط است:

RAN:

          این نوع شبکه ازنظرفزیکی ومنطقی بین شبکه های MAN وWAN قرارمیگیرد , بدین معنی هنگامیکه ما شبکه ای کانفیگورمیکنیم وآنرا به شبکه دیگری درشهردیگری وصل کنیم , ازنظرمنطقی از تکنالوژی RAN استفاده کرده ایم :

پارامترهای  (فاکتور) مهم درشبکه واقعی

o      Network Architecture (Standard).

o      Topology.

o      Protocol.

o      Operating system.

o      Other.

Architecture (Standard)

معماری « استندارد » یا پیکربندی شبکه ازنظرفزیکی :

•        Ethernet

•        Wireless

•        Token Ring

Ethernet:

          تمامی تنظیماتی که درقسمت بسته بندی کردن کامپیوترها ازنظرشبکه ای وبا استفاده ازکیبل انجام میشود Ethernet نامگذاری میشود , درنتیجه به تمامی استنداردهائیکنه با استفاده ازکیبل کامپیوترهارا به یکدیگروصل میکنیم درچهارچوب Ethernet میباشد .

          قبل ازبـــوجــــودآمدن نت ورک یـــا اتصال بین کـــامپیوترها ازروش هـــای مختلفی بـنام Dumb Terminal برای وصل کردن سیستم ها استفاده میشد , به سبب اینکه وزارت دفاع امریکا تمامی منابع اطلاعاتی خودرا برروی یک سیستم ذخیره کند وکامپیوترهای دیگربتوانند ازآن استفاده کنند , نوع شبکه ای بنام ALOA که درادبیات گفتاری مکزیک بـنا م « ســـلام » یاد میشد توسط شخــصی بنام Ramp son ارائه شد ؛ واولین نوع شبکه درسطح جهان میباشد . ولی بعدها شخصی بنام Bob Metcalf که هم اکنون رئیس شرکت 3Come میباشد استنداردی را بنام Ethernet به بازارارائه نمود.

نامومشخصات مکمل کابلها دراستندارد Ethernet

Connector

Maximum length

Cable Type

Specification

No

 

BNC

185Meters

Thin Coaxial

10Base2

1

AUI

500Meters

Thick Coaxial

10Base5

2

Jack

100Meters

Unshielded Twisted Pair

Shielded Twisted Pair

10BaseT

3

 

2000Meters

Fiber Optic

10BaseF

4

RJ11

100Meters

Unshielded Twisted Pair

100BaseT

5

RJ45

220Meters

Unshielded Twisted Pair

100BaseTX

6

ST/SC

200Meters

Fiber

100BaseF

7

ST/SC

550Meters

Fiber

1000BaseSX

8

ST/SC

5000Meters

Fiber

1000BaseLX

9

RJ45

25Meters

STP

1000BaseCX

10

RJ45

100Meters

UTP

1000BaseT

11

 

 

 

10GBaseSR

12

 

 

 

10GBaseSW

13

 

 

 

10GBaseLR

14

 

 

 

10GBaseLW

15

نکته 1 :

          باید یاد آورشد که درجدول فوق 10Base5 بدین معنی است »

10 = قدرت انتقال داده درثانیه.

Base = اصول کیبل کشی استندارد.

5 = حد اقل فاصله بین دوقطعه.

نکته 2 :

          یک کیبل باید دومزیت داشته باشد »

1.     قدرت انتقال داده درثانیه.

2.     فاصله یا مصافت کیبل.

نکته 3 :

          درصورتیکه درشبکه بخواهیم ازنوع 10Base5 استفاده نمائیم ولی فاصله بین دوقطعه بیش از500 مترباشد راه حل این است که ازدستگاهی بنام Repeater استفاده نمائیم , این دستگاه قادراست بین دو500 متر قرارگرفته وتا هراندازه که خواسته باشیم فاصله  را طولانی نمائیم :

نکته 4 :

          برای راه اندازی شبکه ای ازنام 10Base2 باید موارد زیررا رعایت کنیم »

1.     حد اکثرفاصله بین دوسیستم با کانکتورBNC باید 185 مترباشد.

2.  برای اینکه دوسیستم را به همدیگروصل کنیم باید ازقطعات سخت افزاری بنام T Connector جهت حفظ سگنالها درآخرکیبل استفاده نمائیم , قابل ذکراست که درین نوع نت ورک اگریکی ازسیستم ها خراب شود متأسفانه کل نت ورک میخوابد:

نکته 5 :

          بطورکلی دردنیای شبکه ازتجهیزات متفاوتی استفاده میشود که یکی ازآنها {سویچ} میباشد ؛ با استفاده ازاین دستگاه ما میتوانیم دوکامپیوتررا به یکدگیروصل کنیم , ازنظرکلی سویچ ها به دودسته تقسیم میشوند »

1.                                 Active یا هوشمند.

2.                                Passive یا غیرهوشمند.

نکته 6 :

          یکی ازروش های وصل شدن به انترنت ( کیبلی ) میباشد , درین روش ما برای اتصال به انترنت کافی است ازمرکزخدمات انترنتی , درصورتیکه موقعیت جغرافیائی شما تحت پوشش آن مرکز قرارداشته باشد یک کیبل کشیده ودرپشت کارت LAN خود نصب , بعدا ازطرف مرکزخدماتی به شما آی پی آدرس اختصاص داده میشود که بااستفاده ازان میتوانید به انترنت دسترسی داشته باشید:

Wireless

          به تمامی استنداردهائیکه بدون نیازبه کیبل , سیستم ها را به همدیگروصل کند اصطلاحا (Wireless) گفته میشود یا به عبارت دیگرتمام اجزائیکه درپیکربندی یا کانفیگورکردن یک شبکه بدون نیازبه سیم یاکیبل سیستم ها را به همدیگروصل کند {Wireless} گفته میشود.

Token Ring

          بطورکلی سیستم کابل کشی دیگری وجوددار بنام (Token Ring) که با استفاده ازاین نوع تکنالوژی میتوان کامپیوترها را به همدیگروصل کرد این استندارد مزایای فراوانی دارد که درادامه بحث به تک تک آنها خواهیم پرداخت :

Topology

          بطورکلی دردنیای شبکه به نوع چیدن کامپیوترها وکانفیگورکردن فزیکی آنها اصطلاحا Topology گفته میشود , اگرخواسته باشیم به تاریخچه کانفیگورکردن فزیکی کامپیوترها توجه نمائیم به ترتیب ذیل میباشند »

1.     Bus.

2.     Star.

3.     Ring.

4.     Mesh.

Bus:

          در يک شبکه خطي چندين کامپيوتر به يک کابل به نام BUS متصل ميشود. در اين توپولوژي رسانه انتقال بين کليه کامپيوتر ها مشترک است. توپولوژي BUS از متداولترين توپولوژيهاست که در شبکه هاي محلي مورد استفاده قرار ميگيرد. سادگي ، کم هزينه بودن و توسعه آسان اين شبکه از نقاط قوت توپولوژي BUS ميباشد. ضعف عمده اين شبکه اين است که اگر کابل اصلي Back bone که پل ارتباطي بين کامپيوتر هاي شبکه است ، قطع شود ، کل شبکه از کار خواهد افتاد.

توپولوژی باس (BUS)

Star:

          امروزه درتمامی سازمانهای دولتی وشرکتهای مختلف ازتوپولوژی Star یا همان ستاره نیز استفاده میشود , عیب یابی درین توپولوژی بسیارآسان میباشد چراکه تمام کامپیوترها به یک نقطه مرکزی (سویچ یا هاب ) طورجداگانه وصل میشوند . برعکس توپولوژی باس مزیت این توپولوژی این است که وقتی یکی ازسیستم ها به گونه ای ازکار بیفتدبه آسانی تشخیص , وصرفا همان سیستم ازدایره خارج شده ودرجریان ارتباط دیگرسیستم ها هیچ تغیری رخ نمیدهد :

Ring:

          در توپولوژي باس کامپيوتر ها توسط يک رشته سيم به يکديگر متصل ميشوند که آغاز و پايان آن سيستم توسط يک مقاومت 50 اهمي بسته شده است. در توپولوژي رينگ بجاي بستن دو سر سيم آنها را به يکديگر وصل نموده و تشکيل يک حلقه ميدهند. اين توپولوژي تمامي مزايا و معايب باس را دارد با اين تفاوت که کنترل مقاومت سيم استوار تر بوده و اتصال آغاز و پايان سيم گاهي اوقات به دليل فاصله زياد دو سر سيم مشکل ساز ميگردد

Mesh:

          این توپولوژی ازمجموع توپولوژی های Star و Ring بوجود میاید ومزیت آن میکس دونوع  اجزای سخت افزاری نت ورک به یکدیگرمیباشد :

Protocol:

ظوابط :

          دردنیای شبکه کامپیوترها برای برقراری ارتباط با همدیگر, نیازمند ظابطه استنداردی میباشند که به آن {Protocol} گفته میشود؛ منظورازپروتوکل همان زبان کامپیوتراست , یعنی بدین منظورکه اگرسیستمی قصد ارتباط با سیستم دیگری را داشته باشد باید حتما برای هردوی این سیستم ها پروتوکول تعریف کنیم , تعریف کردن پروتوکول قواعد خاصی دارد که عملا به آنها باید پرداخت . به عنوان مثال یکی ازمعروف ترین وکاملترین مجموعه پروتوکول های بین المللی پروتوکولی است بنام (TCPIP Suite) این پروتوکول بطورکلی کاملترین ومورد تأئید تمامی شرکتهای سازنده سیستم عامل درسطح جهان میباشد که استندارد آن توسط موسسه ای بنام {AINA} که دردانشگاه {AOWA} کالیفورنیا تمامی آزمایشات مهم برای برقراری ارتباط بین سیستم ها درین موسسه ودردانشگاه مذکورانجام میشود , واگرکسی درتمام جهان خواسته باشد که ادرس (IP) خریداری کند باید حتما ازموسسه یا نمایندگی های موسسه مذکورمجوزآنرا بگیرد ؛ به عنوان مثال اگرما درافغانستان خواسته باشیم IP آدرس خریداری نمائیم باید حتما به یکی ازدفاتر نمایندگی های  AOWA مراجعه نمائیم .

          علت اینکه ما مجبوریت داریم این است که تمامی شرکتهای مخابراتی جهان مجوزوصل کردن ستلایتهای بین المللی را به این موسسه واگذارکرده اند :

خانواده (TCPIP) به ترتیب ذیل میباشند:

1.     DNS.                    Domain Naming Service.  

2.     DHCP.                 Dynamic Host Configuration Protocol.

3.     FTP.                     File Transfer Protocol.

4.     TCP.

DNS:

          وظیفه این سرویس " تبدیل زبان کاربربه آدرس های IP وباالعکس " میباشد , یکی ازمهم ترین سرویس های TCPIP میباشد , طوریکه اگراین سرویس نباشد هیچ گونه ارتباط انترنتی درجهان وجود نخواهد داشت .

DHCP:

          شما به عنوان یک مدیردریک سازمان موظفید تا برای تک تک سیستم ها آدرس IP معرفی کنید , اما اگرسیستم ها درین سازمان بیشترازصد دانه باشد , رسیدگی وتعریف نمودن IP برای تک تک آنها کاری بسیاردشوارخواهد بود, چون وقتی درین میان به مشکلی برخورد کنید حتما باید تک تک سیستم ها را با حضورفزیکی تست کنید , ما درین میان سرویس DHCP را داریم که توسط شرکت ماکروسافت ارائه میشود ووظیفه اش اینست که برای تک تک سیستم ها بصورت اتوماتیک IP تعریف نموده وهرزمان که خراب شوند آنها را تعمیرنماید :

FTP:

          اگردریک سازمان خواسته باشیم به سوالات تک تک کاربران همه روزه جواب ارائه دهیم بسیار مشکل است , برای حل این مشکل ازسرویس FTP استفاده میکنیم این سرویس باعث میشود که ما بتوانیم صفحات وب درداخل سرورساخته وهرکدام ازکلاینتها با مراجعه به آن پاسخ خویش را بدست آورند , دقیقا مشابه به انترنت میباشد :

TCP:

          این سرویس وظیفه انتقال Package یا بسته را ازیک مکان به مکان دیگردارد :

Operating System:

Server's family:

No

Operating System

RAM

CPU

1

Win Web Development Edition

2GB

2SMP

2

Win Standard Edition

4GB

4SMP

3

Win Enterprise Edition

128GB

32 up to 60SMP

4

Win Data center Edition

512GB

128SMP

 

SMP = Symmetric Multi Processor.

قاعده SMP

این مفهوم برای سیستم هائی تلقی میشود که بیشترازیک پروسسر ومادربورد هائی که بیشترازیک CPU داشته باشند SMP گفته میشود

بحث عملي شبكه:

v   روش نصب وراه اندازي شبكه LAN با استفاده ازاستندارد Ethernet .

v   روش نصب و راه اندازي كافي نت با استفاده ازاستندارد Ethernet .

v   نصب وراه اندازي Game net يا شبكه بازي درمركزتفريحي .

v   استفاده ازابزارهاي ويندوز براي انجام تنظيمات Network .

1. LAN

براي راه اندازي LAN به پارامترهاي ذيل ضرورت ميباشد ›

1.     كيبل ‹ رابط ›

2.     كانكتور‹ Jack ›

3.     دستگاه پرچ ‹ آچار›

4.     كارت LAN

5.     كنترول كننده شبكه (Operating System)

6.     پانچ ‹ Punch ›

7.     هاب سويچ ‹ Hub Or Switch ›

كيبل ‹ رابط ›

 

•        UTP

•        STP

UTP:

UTP Categories

Cat.6

Cat.5

Cat.4

Cat.3

Cat.2

Cat. 1

STP:

STP Types

Type.1

Type.2

Type.3

Type.4

Type.5

Type.6

Type.7

 

ترتيب رنگ بندي يا چيدن كابل :

          دونوع ترتيب چيدن كابل وجود دارد ››

ü    Straight Through

ü    Cross Over

 

Straight Through

8

7

6

5

4

3

2

1

ـ

ــ

ـ

ــ

ـ

ــ

ـ

ــ

قوه اي

سفيد قهوه اي

سبز

سفيد آبي

آبي

سفيد سبز

نارنجي

سفيد نارنجي

Cross Over

8

7

2

5

4

1

6

3

ـ

ــ

ـ

ــ

ـ

ــ

ـ

ــ

قوه اي

سفيد قهوه اي

نارنجي

سفيد آبي

آبي

سفيد نارنجي

سبز

سفيد سبز

نكته 1 :

          توجه داشته باشيد همانطوريكه درجدول فوقاني ميبينيد درترتيب Cross Over جاهاي رنگ هاي 1 را با 3 و2 را با 6 عوض مينمائيم.

نكته 2:

          توجه داشته باشيد اگردرترتيب رنگ بندي اشتباهي رخ دهد نت ورك ما فعال نخواهد شد وآن كيبل به هيچ وجه ارسال ودريافت (Send & Receive) نخواهد داشت .

نكته 3:

          جهت اتصال نمودن دوسيستم بصورت مستقيم بايد حتما ازکیبل UTP , وازنوع ترتيب بندي Cross Over دريك سر كيبل استفاده نمائيم ، يعني بدين معني كه دريك سرديگركيبل بايد ازترتيب رنگ بندي  Straight through استفاده نمائيم كه درجدول فوق طريقه هركدام ازين دونوع نمايش داده شده .

نكته 4:

          بايد اين نكته را هم ياد آورشد كه وقتي خواسته باشیم دريك محيط نت وركي ازسويچ يا هاب استفاده نمائيم بايد ازنوع Straight through درهردوسر كيبل استفاده نمائيم .


مراحل نرم افزاري درراه اندازي نت ورك :

1.     IP Address.

2.     Workgroup Name & Computer Name.

3.     Network Setup Wizard.

4.     Sharing Data’s (Files; Folders; Printers….)

5.     Applying Security.

 

+ نوشته شده توسط اسلام الدین در یکشنبه بیست و یکم آذر 1389 و ساعت 4:18 PM |