بخشی از مقاله
پروژه شبکه
پیشگفتار
با رشد روز افزون IT ، آشنایی با شبکه های کامپیوتری به منظور نصب و راه اندازی این شبکه ها در محیط های صنعتی، اداری، آموزشی و ... ، تبدیل به یک ضرورت اجتناب ناپذیر شده است.
آشنایی با تجهیزات شبکه
در این قسمت از پروژه قصد داریم با اهداف ، ویژگی ها و وظایف تجهیزات مورد استفاده در شبکه های مدرن کامپیوتری از قبیل هاب ها ، سویچ ها ، روترها ، دروازه ها ، CSU/DSU ، کارت های شبکه ، نقاط دسترسی بی سیم و مودم ها آشنا شویم.
هر یک از این دستگاه ها ، نقش ویژه ای را در یک شبکه بازی م
ی کنند. اگرچه فقط بزرگترین و پیچیده ترین شبکه های مدرن کامپیوتری از همه این تجهیزات بهره گیری می نمایند.
ما بحث خود را با معرفی تجهیزاتی از شبکه که ساده ترین و رایج ترین ابزار مورد استفاده در شبکه های امروزی هستند آغاز می کنیم.
تکرار کننده ها
اصولاً به طور سنتی هر بحثی از عناصر شبکه ، منجر به معرفی تکرار کننده ها می گردد اما امروزه تکرار کننده ها کمتر در شبکه ها مورد استفاده قرار می گیرند . تکرار کننده ها در گذشته برای افزایش طول مفید کابل مورد استفاده قرار می گرفتند واغلب در پیکربندی های شبکه مبتنی بر کابل کواکسیال مورداستفاده قرارمی گرقتند. از آنجایی که شبکه های کواکسیال تقریباً از رده خارج می باشند و از آنجایی که وظایف تکرار کننده ها اکنون به عهده تجهیزاتی همچون هاب ها و سویچ ها گذاشته شده است امروزه به ندرت از تکرار کننده ها استفاده می گردد.
هاب ها
هاب ها ساده ترین تجهیزات شبکه های کامپیوتری هستند وسادگی آنها در هزینه و قیمت پایین آنها منعکس می گردد . هاب های کوچک با 4 یا 5 درگاه دارای هزینه کمتر از 50 دلار هستند. با کمک کابل های مربوطه این تجهیزات یک شبکه کوچک را ایجاد می نمایند. هاب ها با پورت های بیشتر برای شبکه هایی که به ظرفیت بیشتری نیاز دارند مورد استفاده قرار می گیرند.
کامپیوترها از طریق کابل زوج به هم تابیده به یک هاب متصل می گردند علاوه بر پورت ها برای متصل کردن کامپیوتر ها حتی یک هاب خیلی ارزان معمولاً دارای یک پورت با نام پورت upink می باشد که امکان اتصال این هاب به هاب دیگر را فراهم نموده و سبب ایجاد شبکه های بزرگتر می گردد.
توکن رینگ و MSAU ها
هاب ها و سویچ ها هردو در شبکه های اترنت مورد استفاده قرار می گیرند .
شبکه های توکن رینگ که امروزه کم و بیش کاربرد دارند از دستگاه های مخصوصی به نام MSAU ( Multi Station Access Unit ) برای ایجاد یک شبکه استفاده می کنند. در برخی موارد ، MSAUها به عنوان سویچ های توکن رینگ مطرح می باشند ، اما به دلیل روشی که تکنولوژی توکن رینگ استفاده می نماید، این دستگاه ها کار بسیار متفاوتی را نسبت به هاب ها و سویچ ها به انجام می رسانند.
اغلب هاب ها به عنوان تجهیزات اکتیو در نظر گرفته می شوند زیرا قبل از انتقال سیگنال دریافتی به همه پورت های روی دستگاه آن را باز تولید می نمایند برای انجام این کار، هاب به یک منبع تغذیه نیاز دارد. هاب های کوچک Workgroup معمولاً از یک آداپتور توان خارجی استفاده می کنند اما دستگاه های بزرگتر دارای منبع تغذیه داخلی هستند. هاب های غیر فعال نیازی به
منبع تغذیه ندارند زیرا آنها سیگنال را باز تولید نمی نمایند.
جدای این باز تولید سیگنال، وظیفه اصلی یک هاب دریافت داده ها از یکی از دستگاه های متصل به هاب و انتقال آن به همه پورت های دیگر روی هاب می باشد. این روش عملکرد خیلی مؤثر می باشد زیرا در اغلب موارد داده ها فقط برای یکی از دستگاه های متصل به هاب مدنظر می باشد. شکل 3 نحوه عملکرد هاب را نشان می دهد.
بواسطه عدم کفایت سیستم هاب و تقاضای دایماً رو به افزایش عرض باند بیشتر ، هاب ها بسیار کند عمل نموده و یقیناً بوسیله سویچ ها جایگزین خواهد گردید .
سوئیچ ها
به طور سطحی یک سوئیچ بسیار شبیه به یک هاب می باشد، اما به طور قابل توجهی گرانتر از آن است .
دلیل اصلی برای قیمت بالای آن این است که سوئیچ ها کارهای خیلی بیشتری را نسبت به هاب هاانجام داده و مزایای بسیار بیشتری نسبت به آنها دارند . شکل 4 مثالی از یک سوئیچ اترنت 32 پورت را نشان می دهد. همانند هاب ها، کامپیوترها از طریق کابل زوج به هم تابیده به سوئیچ متصل می شوند.برای ایجاد شبکه های بزرگتر همانند هاب ها ، از چندین سوئیچ می توان استفاده نمود . علیرغم تشابه آنها و اتصالات فیزیکی مشابه به کامپیوتر ها ، سوئیچ مزیت های عملیاتی قابل توجهی را نسبت به هاب ها ارائه می کنند
یک سوئیچ به جای انتقال داده¬ها به همه درگاههای خود، داده¬ها را فقط به درگاهی که سیستم مقصد به آن متصل می باشد، منتقل خواهد کرد سوئیچ به آدرس MAC دستگاه متصل به خود نگاه کرده و پورت مناسب را تعیین می¬کند. یک آدرس MAC یک شماره منحصر به فرد می باشد که در داخل هر کارت شبکه برنامه ریزی می شود. با انتقال داده¬ها فقط به سیستمی که داده مذکور به آن آدرس دهی شده است. سوئیچ مقدار ترافیک روی هر پیوند شبکه را به میزان قابل توجهی کاهش می دهید در واقع سوئیچ داده¬ها را بین پورتهای خود کا
نالیزه می کند.
درشبکه¬های اترنت هنگامی که دو دستگاه ارتباطی، قصد ارسال همزمان داده¬ها را دارند. امکان برخورد بین داده¬های ارسال شده روی محیط ارسال وجود دارد. چنین
برخوردهایی سبب می¬گردد تا عملکرد شبکه تضعیف گردد.
با کانالیزه نمودن داده¬ها فقط روی خطوط ارتباطی که می¬بایست آنرا دریافت کنند، سوئیچ¬ها تعداد برخوردهایی را که روی یک شبکه رخ می دهد کاهش می دهند. در نتیجه سوئیچ¬ها عملکرد قابل توجهی نسبت به هایها ارائه می¬نمایند.
روشهای سوئیچنیگ
سوئیچ¬ها از سه روش برای کار با داده¬هایی که دریافت می¬کنند، استفاده می¬نمایند :
• Cut through :
در یک پیکره بندی Cut through ، سوئیچ به محض دریافت بسته داده آن را انتقال می دهد هیچ فرایند بررسی خطائی روی بست هاجرا نمی¬گردد، بنابراین بسته داده خیلی سریع از داخل سوئیچ منتقل می شوند.
عیب روش cut through آن است که از آنجائی که تمامیت بسته داده مورد بررسی قرار نمی-گیرد، سوئیچ می تواند خطاها را روی شبکه منتشر کند.
• Store forward :
در یک پیکره بندی Store forward سوئیچ در انتظار دریافت بسته نشسته و قبل از دریافت کامل بسته شروع به انتقال آن نمی یایند. در این روش از تکنیک های بررسی پایه استفاده می گردد.
• Fragment – free :
با بهره گیری از مزایای سرعت سوئیچینگ Fragment– free، سوئیچینگ Fragment – free کار خود را با خواندن فقط بخشی از بسته داده که مابین تعداد fragments یک واحد ارسال داده می باشد، کار خود را انجام می دهد. هنمانطور که می توان انتظار داشت فرایند Store and forward زمانی بیشتر را نسبت به Cut though نیاز دارد اما این روش قابل اعتمادتر می باشد. بعلاوه تاخیر ایجاد شده بوسیله سوئیچینگ Store and forward با اندزه بسته افزایش می¬یابد. تاخیر ایجاد شده بوسیله سوئیچینک Cut though معمولاً در مورد همه بسته¬های داده یکسان است. ( زیرا قفط بخش آدرس بسته خوانده می شود و این قسمت در همه بسته¬های داده دارای اندازه یکسان می باشد. تفاوت در تاخیر بین این دو پروتل خیلی زیاد می باشد
به طور متوسط سوئیچنیگ Cut though سی برابر سریع تر از سوئیچینگ Store and forward می باشد.
تاخیر
زمان لازم برای انتقال داده¬ها بیندو مکان، تاخیر نام دارد. هر چه تاخیر بیشتر باشد زمان مورد نیاز برای ارسال برای داده¬ها بیشتر خواهد بود. ظاهرا به نظر می رسد که سوئیچینگ انتخاب مناسب¬ تری است اما سوئیچ¬های امروزی به اندازه کافی سرعت داشته و برای استفاده از سوئیچینگ Store and forward مناسب می باشد. در برخی از سوئیچ¬ها
ی قابل مدیریت، شما می ¬توانید روش سوئیچینگ را انتخاب کنید.
کار با هاب ها و سوئیچ
همچنان که سوئیچ¬ها کاربرد بیشتر یافته و این تکنولوژی ارزانتر می شود م قابل اعتماد دستگاههای شبکه بندی بدان معناست که شما احتمالا هاب های نصب شده در شبکه¬ها را تا زمان طولانی شاهد خواهد بود. بنابر این مهم است که بدانید چگونه با هاب ها و سوئیچ¬ها کار کنید. شما می-بایست از برخی از جنبه¬های هاب ها و سوئیچ ها هنگام کار با آنها آگاه باشید این بسیار مهم است زیرا شما اختمالا در یک محیط شبکه با هر دوی این دستگاه ها سرو کار دارید.
پورتهای هاب و سوئیچ
سوئیچ هادارای دو نوع پورت هستند :
MBI(medium depend interface) و MDI-X (dependent interface Crossed):
این دو نوع پورت در نوع سیم¬کشی با یکدیگر متفاوت هستند همانطور که از حرف x بر می¬آید، یک سیم کشی پورت MDI-X از نوع تبادلی است زیرا سیم ارسال از دستگاه متصل به سوئیچ می بایست، به خط دریافت در سمت دیگر متصل گردد. به جای استفاده از کابلCrossover شما می¬توانیدازکابل ساده¬تر Straight-through برای اتصال سیستمها به سوئیچ یا هاب استفاده نماید.
در اغلب هاب ها و سوئیچ های مدرن، یک پورت ویژه به نام پورت Uplink وجود دارد که امکان می دهد شما دو هاب و سوئیچ را به منظور ایجاد شبکه¬های بزرگتر به یکدیگر متصل کنید. از آنجائی که هدف این نوع اتصال شبکه ایجاد شبکه¬های بزرگتر می باشد اتصال در گاه ها از نوع تقاطعی نمی¬باشد. از یک کابل شبکه Straight-through برای متصل کردن دو هاب یا سوئیچ به یکدیگر استفاده می شود
پروتهای هاب
به جای داشتن یک پورت uplink اختصاصی، برخی سوئسچ ها و هاب ها دارای یک پورت هستند که می توانید با فشار دادن دکمه از وضعیت MBI به MBI- x وبلعکس سوئیچ نمائید. در صورتی که از این پورت برای اتصال به یک کامپیوتر استفاده می¬کنید، می¬بایست اطمینان حاصل نمائید که این پورت در وضعیت MEI-x تنظیم شده است. اگر شما از این پورت برای اتصال به هاب دیگر یا سوئیچ دیگر می¬بایست آنرا در وضعیت MDI تنظیم نماید.
در غیاب یک پورت uplink شما می¬توانید با استفاده از پورتهای MDI-X دوهاب و یک سوئیچ را به یکدیگر متصل کنید اما برای انجام این کار می¬بایست از یک کابل Crossover استفاده نمائید.
کابل های متصل کننده هاب ها و سوئیچ ها
برای متصل کردن دستگاههابه هاب هاو سوئیچ ها از دو نوع کابل استفاده می شود.
کابل های Crossoverو کابل هایStraight – through :
تفاوت بین این دو کابل آن است که در کابل Crossover ، دو تا از سیم ها در دو انتهای کابل حالت معکوس دارند و در یک کابل Straight – through سیم ها کاملاً مستقیم و با یکدیگر متناظر هستند.
به ویژه در یک کابل Crossover ، سیمهای 2 و6 در دو انتهای کابل نسبت به یکدیگر وضعیت معکوس دارند : سیم I در یک انتها به سیم 3 تبدیل می شود و بلعکس.
با وجودی که استاندارد اترنت به شما اجازه می دهد که تا 1024 گره را روی یک شبکه داشته باشید عملا حداکثر تعداد گره¬ها خیلی کمتر از این مقدار می باشد.
چراغ های نشانگر هاب و سوئیچ
هم هاب ها و هم سوئیچ ها از دیودهای نور گسیل (LED) برای نشان دادن شرایط ارتباطی معین استفاده می کنند. حداقل یک چراغ روشن روی هاب وجود یک ارتباط فعال را نشان می دهد روی دستگاه های سطح بالاتر چراغ های نشانگر می توانند بیانگر فعالیت، سرعت
ارتباط، نوع ارتباط از قبیل half – duplex وfull–duplex باشند. LED ها بعنوان یک نشانگر تصویری فوری در مورد وضعیت دستگاه مورد استفاده قرار می گیرند.
برخی هاب ها و سوئیچ ها و نیز بسیاری از دستگاه های دیگر شبکه طوری طراحی شده¬اند که در داخل قفسه¬های مخصوصی نصب می گردند. این گونه دستگاه ها دارای stackable یا freestanding می باشند. دستگاههای قابل نصب در قفسه¬ها در داخل اتاق های کامپوتری قرار می گیرند. Rackها، تقریبا 19 اینچ عرض دارند و دستگاه های قابل نصب در داخل rack کمی کوچکتر از دستگاه های freestandingمی باشند.
هاب ها و سوئیچ¬های قابل مدیریت شده
هم هاب ها و سوئیچ ها به دو شکل مدیریت شده و مدیریت نشده عرضه می گردد.
یک دستگاه قابل مدیریت دارای یک اینترفیس می باشد که از طریق آن می توان وظایف خاص و معینی را روی آن پیکره¬بندی نمود برای مثال می توان قابلیت port mirroring را روی آن اجرا نمود که برای نظارت بر شبکه و تنظیم سرعت پورت ها مناسب می باشد. دستگاه های قابل مدیریت به طور قابل توجهی گرانتر از دستگاه های مدیریت نشده هستند هنگامی که شما مشغول تعیین سوئیچ ها یاهاب های شبکه خود هستند نیاز به امکان مدیریت دستگاه ها را دقیقاً مورد بررسی قرار دهید.
پل ها
پل ها تجهیزاتی هستند که شبکه¬ها را به اجراء کوچکتر تقسیم می¬کنند.
مزایای پل ها بسیار ساده و مهم می باشد. با جلوگیری از ترافیک غیر ضروری به سگمنت¬های دیگر شبکه، یک پل می تواند مقدار ترافیک شبکه روی یک سگمنت به طور قابل توجهی کاهش دهد.
پیکره بندی پل به صورت دستی
برخی از پیاده سازی های اولیه پل الزام می داشتند که شما اطلاعات مربوط به هر دستگاه روی شیکه را به طور دستی وارد کنید. خوشبختانه اکنون پل ها این کار را به طور اتوماتیک انجام داده و دیگر نیازی به پیکره بندی دستی پل نیست.
ملاحظاتی در پیاده سازی پل
با وجودی که پیاده سازی پل ها می تواند بهبود بسیار قابل توجه¬ای را در عملکرد آنها ایجاد نماید شما می¬بایست تعدادی از عوامل را همواره مد نظر داشته باشید. اولین فاکتور مکان پل می باشد معمولاً شما می¬باست از قاعده 80/20 برای مکان پل استفاده کنی
د . بیش از 80 درصد ترافیک نمی¬بایست این پل را قطع نماید و 20 درصد ترافیک می¬بایست در سمت دیگر پل باقی بماند . فهم این قواعد آسان است و مکان صحیح پل را به طور دقیق تعیین می¬نمایند. مسئله دیگر، بروز حلقه¬های پل می باشد در صورت وجود بیش از یک پل ممکن است رخ است. استفاده از چندین پل می تواند تلورانس خطا را افزایش دهد.
فصل دوم
تعاریف
شبکه منطقی محلی ( Local Area Network : LAN ) :
LAN متشکل از اتصال تعدادی کامپیوتر به یکدیگر از طریق یک محیط در یک محدوده کوچک و محلی است.
شبکه منطقه ای وسیع ( Wide Area Network : WAN ) :
WAN یک شبکه به هم پیوسته ( Internet work ) از چندین LAN راه دور (Remote) است. اتصالات WAN از خطوط تلفن ، امواج رادیویی، امواج مادون قرمز یا هر نوع تکنولوژی دیگر ارسال داده ، استفاده می نماید. معمولاً WAN ها با یکدیگر اتصال نقطه به نقطه ( Point to Point ) دارند.
گره شبکه (Node) :
هر تجهیز روی LAN یک گره یا Node نامیده می شود.
شبکه های به هم متصل( Interconnected Network : Internetwork ) :
مجموعه ایست از شبکه های مجزا شامل LAN ها که توسط تجهیزات محیط شبکه نظیر مسیریاب ها به یکدیگر متصل شده ، و به صورت یک شبکه بزرگ یکپارچه عمل می نماید.
ستون فقرات شبکه (Backbone) :
وقتی اندازه LAN بزرگ می شود، ارتباط LAN ها با یکدیگر پیچیده می گردد. یک راه حل، ترکیب مجموعه ای از سگمنت های افقی LAN با یک ستون فقرات شبکه محلی یا Backbone LAN است. معمولاً محیط این ستون فقرات سریعتر از محیط هر سگمنت شبکه است.
توپولوژی ( Topology ) :
الگویی است که برای اتصال کامپیوترها به هم استفاده می گردد. در واقع توپولوژی روش سیم بندی میان اجزاء شبکه را مشخص می کند . انواع توپولوژی ها عبارتند از : توپولوژی باس (Bus) ، ستاره (Star) ، حلقه (Ring) یا تلفیقی از این توپولوژی ها.
محیط شبکه (Medium) :
محیطی است که برای ارسال داده از میان شبکه استفاده می شود. محیط یا مدیا در واقع اتصال فیزیکی واقعی میان کامپیوترهای موجود در شبکه است . این اتصال می تواند کابل مسی، فیبرنوری، امواج رادیوئی، و یا امواج مادون قرمز باشد.
پخش وسیع (broadcast) :
ارسال پیام برای همه سیستم های گیرنده در یک شبکه است.
ارسال پیام برای تعدادی از سیستم های گیرنده در یک شبکه است.
پخش تکی (unicast) :
ارسال پیام فقط یکی از سیستم های گیرنده در یک شبکه است.
شبکه باند پایه (BaseBand) :
در بیشتر کاربرد ها LAN ها از یک محیط شبکه مشترک مانند کابل ارتباطی ، استفاده می نمایند، که در هر زمان فقط می تواند یک سیگنال را حمل نماید و همه سیستم ها به نوبت از آن استفاده می کنند، به این نوع شبکه ، شبکه باند پایه گفته می شود.
باند وسیع ( Broad Band ):
برای استفاده از سوئیچینگ مدار شرکت های تلفن از باند وسیع استفاده می کنند. باند پایه نقطه مقابل باند وسیع است. در باند وسیع چندین سیگنال در یک کابل به طور همزمان ارسال می شوند. یک نمونه تلویزیون کابلی است که در آن میتوان در یک زمان با چندین تلویزیون شبکه های مختلف را از طریق یک کابل مشاهده نمود. تکنولوژی باند وسیع هرگز برای LAN استفاده نشده است ، اما به طور وسیعیبرای WAN استفاده می گردد. از دیگر نمونه های این شبکه ها می توان از شبکه های فیبر نوری و موبایل نام برد.
سوئیچینگ پاکت ( Packet Switching ) :
برای آنکه یک باند پایه جهت اشتراک میان کامپیوترها عملی باشد ، دیتای ارسال شده توسط هر سیستم به واحد های مجزایی به نام پاکت ( Packet ) شکسته می شود. در کامپیوتر گیرنده این پاکت ها مجدداً اسمبل می شوند و دیتای ارسالی را می سازند. این عملیات اساس شبکه سوئیچینگ پاکت را تشکیل می دهد.
سوئیچینگ مدار ( Circuit Switching ) :
گزینه دیگری علاوه بر شبکه سوئیچینگ پاکت ، شبکه سوئیچینگ مدار است که در آن دو سیستمی که می خواهند تبادل داده نمایند مسیری را از میان شبکه بنام مدار، قبل از ارسال هرگونه داده ای ایجاد می نمایند.
سوئیچینگ مدار در شبکه های باند پایه غیر عملی است ، زیرا دو سیستمی که با یک مدار به هم متصل می شوند ، محیط شبکه ( medium ) را برای
پریودهای طولانی زمان به خود اختصاص می دهند، و مانع برقراری ارتباط میان سایر سیستم ها می گردند. سوئیچینگ مدار برای سیستم هایی نظیر ( Public Switching Telephone Network ) PSTN عمومی تر است، که در آن ارتباط میان خط تلفن با شخصی که با او صحبت می کنید برای مدت طولانی به طور کامل باز است.
فصل 3
حفاظت توسط کلمه عبور:
ایجاد امنیت ( Security ) برای شبکه ، وظیفه هر سرپرست شبکه است.
روش های مختلفی برای ایجاد امنیت وجود دارد، که یکی از آنها استفاده از کلمه عبور ( Password) است.
بدون در نظر گرفتن اینکه چه سیستم عاملی روی کامپیوترهای شبکه استفاده می¬گردد، از سیاست کلمه عبور (Password Policiy) ، استفاده می شود تا دسترسی هر کاربر به منابع مشخصی روی آن شبکه تعیین گردد. ابزارهای تشخیص هویت ( Authentication ) پیچیده ای برای شبکه هایی که نیاز به حجم فوق العاده زیادی امنیت دارند، وجود دارد. مثلاً ممکن است یک مکانیزم امنیتی نیاز داشته باشد که یک کارت هوشمند یا یک کارت اعتباری ، که معمولاً یک نوار مغناطیسی دارد از میان تجهیز کارت خوان ( Card Reader ) متصل به شبکه ، عبور داده شود تا کاربر به شبکه دسترسی یابد همچنین ممکن است از تجهیزات زیست سنجی Biometric) ( نظیر تشخیص اثر انگشت یا شبکیه چشم استفاده گردد تا کاربران روی شبکه شناسایی و تصدیق هویت گردند. اما معمولاً بیشتر شبکه ها به یک چنین امنیت بالایی نیاز ندارند. بنابراین در این شبکه ها سرپرستان، از کلمات عبور برای تشخیص هویت آنها استفاده می کنند.
استفاده از کلمه عبور هم می تواند یک روش بسیار عالی برای ایمن کردن منابع شبکه باشد، و هم می تواند مشکل ساز تر از عدم استفاده آن باشد. مفید بودن حفاظت از طریق کلمه عبور، به سیاستهای امنیتی که سرپرستان در شبکه تعریف می کنند وابسته است.
سیاست های کلمه عبور
زمانی که یک حساب ( Account ) کاربر جدید در ویندوز 2000 ایجاد می شود، دیالوگ باکس New Object User مطابق شکل زیر باز می شود . در این دیالوگ باکس، چک باکس هایی وجود دارد که می توان از آنها استفاده نمود تا عناصر اساسی را برای سیاست های کلمه عبور برای حساب جدید کنترل نمود.
این عناصر عبارت اند از :
: User must change password at next logon
این انتخاب سرپرست، شبکه را قادر می سازد تا کلمه عبور مشابهی را به هر حساب جدید کاربر که تولید می کند بدهد، و کاربر را مجبور می نماید تا آن کلمه عبور را در اولین اتصال ( Logon ) خود تغییر دهد.
: User cannot change password
این انتخاب مانع از آن می شود که کاربر بتواند کلمه عبور تخصیص یافته به خود را تغییر دهد . با این انتخاب سرپرست ، کنترل کامل روی کلمات عبور خواهد داشت.
: Password never expires
این انتخاب مانع از آن می شود که کلمه عبور پس از یک مدت زمان اعتبار خود را از دست بدهد.
: Account is disabled
این انتخاب به سرپرست اجازه می دهد تا بطور دلخواه به یک حساب دسترسی یابد، بدون آنکه نیازی به حذف و ایجاد مجدد آن باشد.
پس از تعریف یک حساب کاربر ، باید سیاست های کلمه عبور تعریف شوند. برای این کار باید در Control panel-System Administrator آیتم Domain Security Policy را باز نمود تا دیالوگ باکس مربوطه به شکل زیر فعال گردد. در این دیالوگ باکس برای تنظیم سیاست های کلمه عبور به برگه Account Policies-Password Policy مراجعه می گردد. در قاب سمت راست، با کلیک بر روی هر آیتم سیاست مربوطه پیکربندی می گردد.
سیاست حداقل طول کلمه عبور (Minimum Password Length )
سیاست حداکثر طول عمر کلمه عبور ( Maximum Password Age )
سیاست اجبار تاریخچه کلمه عبور ( Enforce Password History )
سیاست حداقل طول عمر کلمه عبور( Minimum Password Age ) :
سیاست اجبار پیچیدگی کلمه عبور
: ( Passwords Must Meet Complexity Reuirements)
سیاست کنترل رمز کلمه عبور
( Store Password Using Reversible Encryption For All Users
In The Domain ) :
فایروال ها
مکانیزم هایی هایی که تاکنون در این بخش بررسی شدند با امنیت شبکه داخلی مرتبط شده و مانع از دسترسی کاربران روی یک LAN یا روی یک شبکه به هم پیوسته به فایل ها و منابعی می شوند که نیازی به دسترسی ندارند . اما محدوده وسیعی از خطرات امنیتی با القوه خارج از شبکه LAN نیز وجود دارد ، و اینترنت راه ورود این خطرات به داخل این شبکه ها است. بدین جهت فایروال ( Firewall ) به صورت یک محصول سخت افزاری و یا نرم افزاری طراحی گشته است تا یک شبکه را از دسترسی های بدون مجوز اشخاص خارجی محافظت نماید. اگر شبکه ای به اینترنت متصل باشد باید نوعی فایروال روی آن قرار داد تا بتواند از این ش
بکه و تجهیزات آن محافظت نماید، زیرا در غیر این صورت متجاوزین با نفوذ در این شبکه خواهند توانست خرابی در شبکه مورد نظر به بار آورند.
یک فایروال اساساً می تواند فرم های مختلفی داشته و قواعد مختلفی را استفاده نماید. تا ترافیک دریافتی را مورد سنجش قرار دهد. برخی از فایروال ها تجهیزات سخت افزاری مانند مسیر یاب ها بوده و برخی دیگر نرم افزارهایی هستند که ترافیک روی ورودی / خروجی را کنترل می نمایند . در یک زمان همه انواع فایروال ها بسیار پیچیده و گران قیمت بوده و فقط در نصب شبکه های حرفه ای مورد استفاده قرار می گرفتند. این محصولات گران قی
مت هنوز هم وجود دارند، اما امروزه می توان نرم افزارهای فایروال ارزان قیمت را نیز خریداری نمود، که برای یک شبکه کوچک طراحی شده اند تا از آن در مقابل دسترسی های بدون مجوز از طریق اینترنت محافظت به عمل آورند.
چندین متد وجود دارد که فایروال ها می توانند برای آزمون ترافیک شبکه استفاده نموده و تهدیدات بالقوه را آشکار کنند. بیشتر محصولات فایروال از بیش از یک متد سنجش ترافیک استفاده می نمایند و اغلب علاوه بر این ها سرویس های اضافی دیگری را نیز فراهم می آورند. به عنوان مثال، یک پروکسی سرور به عنوان یکی از انواع محصولات فایروال ، نه تنها کاربران را قادر می سازد تا به صفحات وب با امنیت کامل دسترسی یابند، بلکه می تواند صفحاتی را که مکرراً استفاده می گردد، برای بازیابی سریعتر توسط سیستم های دیگر ذخیره نماید. در ادامه برخی از محصولات فایروال معرفی می گردند.
فیلترینگ پاکت
یک فیلتر پاکت ( packet Filter ) اساسی ترین نوع فایروال است، که پاکت ای ورودی از طریق اینترفیس های خود را آزموده و تصمیم گیری می نمایند که آیا به آنها اجازه دسترسی به شبکه های دیگر را بر اساس اطلاعات موجود در هدرهای پروتکل های مختلف استفاده شده برای ساخت آن پاکت ها بدهد یا خیر. فیلترینگ پاکت در هر یک از لایه های مدل OSI می تواند انجام شود. یک فایروال می تواند بر اساس هر یک از مشخصات ذیل پاکت ها را فیلتر نماید:
آدرس سخت افزاری:
فیلترینگ پاکت بر اساس آدرس سخت افزاری ، فقط تعداد محدودی از کامپیوتر
ها را قادر می سازد تا بتوانند دیتا را برای یک کامپیوتر دیگر ارسال نمایند. این نوع از فیلترینگ معمولاً برای محافظت از شبکه ها در مقابل دسترسی از طریق اینترنت ، استفاده نمی شود. بلکه از این تکنیک در یک فایروال داخلی استفاده می شود تا فقط به کامپیوتر های خاصی اجازه دسترسی به یک شبکه خاص دیگر داده شود.
آدرس های IP :
از این نوع فیلترینگ می توان استفاده نمود تا به ترافیک هایی اجازه عبور از مین شبکه داده شود که از آدرس خاصی آغاز گشته اند. اگر مثلاً یک سرور وب عمومی روی شبکه خود داشته باشیم، می توان یک فایروال را چنان پیکر بندی کرد تا فقط به آن ترافیک های اینترنتی اجازه عبور داده شود که برای آنها آدرس IP مجاز تعریف شده است.
مشخص کننده های پروتکل:
فایروال ها می توانند پاکت ها را بر اساس پروتکلی که اطلاعات را ایجاد نموده و داخل دیتا گرام IP قرار داده اند ، فیلتر کنند ( مانند ICMP و UDP و TCP ) .
شماره های پورت:
فایروال ها می توانند پاکت ها را بر اساس شماره پورت مبدأ یا مقصد که در هدر پروتکل لایه انتقال قرار دارد، فیلتر کنند. به این روش " فیلترینگ وابسته به سرویس " نیز می گویند. این روش شماره پورت ها ، سرویس و یا کاربردی را مشخص می نماید که پاکت را تولید نموده ، یا پاکت برای آن ارسال می گردد. مثلاً می توان یک فایروال را چنان پیکر بندی نمود که به کاربران شبکه اجازه دسترسی به اینترنت را از طریق پورت های 110 و 25 ( شماره پورت هـای شناخته شده برایE-mail های ورودی/ خروجی )، داده شود، ولی مانع شد که این کاربران بتوانند از طریق پورت شماره 80 به سرورهای وب دسترسی یابند.
قدرت محافظت ایجاد شده توسط فیلترینگ پاکت، در توانایی آن برای ترکیب انواع مختلف فیلترها است. مثلاً ممکن است بخواهیم برای دسترسی راه دور به تعدادی کامپیوتر خاص به
ترافیک Telnet از طریق اینترنت اجازه دهیم. برای این کار باید پورت 23 را برای ارتباط Telnet باز گذاشت. اما باز گذاشتن این پوت برای همه کاربران اینترنت موجب بروز قانون شکنی های خطرناکی خواهد شد .
بنابراین در این حالت باید از یک فایروال ترکیبی شامل فیلترینگ شماره پورت به آدرس IP توأماً استفاده نمود ، تا فقط سرپرستان شبکه بتوانند از طریق Telnet به آن کامپیوترهای خاص دسترسی یابند.
توانایی های فیلترینگ پاکت معمولاً بوسیله یک مسیریاب استاندارد فراهم می گردد. در فصل پیکربندی TCP/IP توضیح داده شد که ویندوز 2000 دارای سیستم فیلترینگ پاکت خودش است. این بدین معنی است که توسط این سیستم عامل می توان یک مکانیزم فیلترینگ پاکت را پیاده سازی نمود که بتواند بدون تحمیل هیچگونه هزینه اضافی از شبکه محافظت نماید.
فیلترینگ پاکت معمولاً اثر زیادی روی راندمان کاری یک مسیریاب ندارد ، مگر آنکه تعداد قوانین فیلترینگ افزوده شود. از آنجاکه یک مسیریاب هرپاکت را به طور مجزا در مقابل قوانین فیلترینگی ک ایجاد شده است پردازش می کند ، یک سیستم پیچیده از فیلترها می تواند سرعت شبکه را به طور چشمگیری کاهش دهد.
توجه به این نکته ضروری است که متجاوزین به شبکه، همواره در پی یافتن تکنیک های جدیدی جهت نفوذ به شبکه هستند و بنابراین باید همواره با اصلاح این فیلترها آماده مقابله با آن تکنیک های جدید نفوذ در شبکه بود.
تکنیک ترجمه آدرس شبکه (NAT)
تکنیک NAT (Network Address Translation) یک تکنیک لایه شبکه است که کامپیوتر ها را روی شبکه از هر گونه تصرف متجاوزان اینترنتی مصون می دارد. این تکنیک با ماسک کردن آدرس های IP کامپیوترها عمل می نماید.اگر شبکه ای بدون نصب هر گونه فایروال به اینترنت متصل شود ، برای آنکه کامپیوترهای روی این شبکه بتوانند با کامپیوترهای دیگر روی اینترنت ارتباط برقرار کنند،باید دارای آدرس های IP ثبت شده باشند. اما آدرس های IP ثبت شده طبق تعریف ، از اینترنت قابل روئت هستند. این بدان معنی است که هر کاربر اینترنت می تواند به کامپیوتر های شبکه مذکور دسترسی یافته و با کمی قوه ابتکار، به همه منابع موجود در آن شبکه دسترسی یابد .
با استفاده از NAT می توان از این دسترسی های غیر مجاز جلوگیری نمود. باری رسیدن به این منظور، تکنیک NAT ما را قادر می سازد تا بتوانیم آدرس های ثبت نشده ای را به کامپیوتر های شبکه جهت اتصال به اینترنت اختصاص دهیم. بنابراین این کامپیوترها از دید اینترنت قابل روئت نخواهند بود و سایر کاربران اینترنت نخواهند توانست به آنها دسترسی یابند.
پروکسی سرورها
سرورهای پروکسی ( Proxy Servers ) ، محصولات نرم افزاری مشابه با سرور های NAT هستند با این تفاوت که در لایه کاربرد مدل مرجع OSI کار می کنند. مشابه یک مسیریاب NAT ، یک پروکسی سرور نیز مانند یک میانجی میان کلاینت های روی یک شبکه خصوصی و منابع اینترنتی که قصد دسترسی به آنها را دارند، عمل می نماید. کلاینت ها درخواست های خود را به پروکسی سرور می فرستند. پروکسی سرور نیز آن درخواست را برای سرور اینترنت ارسال می کند. سرور اینترنت به سرور پروکسی پاسخ می دهد، و این سرور نیزپاسخ برای کلاینت مورد نظر رله می کند. این فرایند به طور مؤثری شبکه خصوصی را برای اینترنت غیر قابل رویت می سازد.
مشکل اصلی که در رابطه با پروکسی سرور ها وجود دارد این است که باید برنامه های کاربردی را جهت استفاده از این سرور ها پیکربندی نمود. همانطور که قبلاً نیز ذکر شد پروکسی سرورهامی توانند اطلاعاتی را که از اینترنت دریافت می دارند ، ذخیره کنند به قسمی که اگر کلاینت دیگری اطلاعات مشابهی را درخواست نمود، پروکسی سرور بتواند فوراً آن را از حافظه ( Caستان شبکه ، همچنین می توانند سرورهای پروکسی را پیکربندی نمایند تا ترافیک دریافتی را فیلتر نموده و کاربران روی شبکه خصوصی را از دسترسی به سرویس های معینی باز دارند. مثلاً می توانند دسترسی آنها به سایت های وب خاصی ممنوع کنند.
یک مسیریاب NAT حفاظت در مقابل کامپیوترهای شبکه را با غیر قابل رویت کردن کامپیوترها از دید اینترنت فراهم می آورد، در حالی که فرایند پیکر بندی یک کامپیوتر مشتری برای استفاده از پروکسی سرورها، دامنه وسیعی از کاربرد ها را پوشش می دهد.
فصل چهار
The Resurrecting Duckling
مسائل امنیتی شبکه های بی سیم Ad-hoc
در آینده ی نزدیک، بسیاری از دستگاه های الکترونیکی قادر خواهند بود با یکدیگر از طریق کانال بی سیم گستره کوتاه ارتباط برقرار کنند. ما در اینجا مسائل مهم امنیتی دررابطه با چنین محیط را بررسی خواهیم کرد. این بحث بر اساس یک مثال عینی از یک دماسنج که مقادیر خود از طریق هوا برای دیگر Nodeها قابل دسترسی می سازد، بنا شده است. برخی از مطالب در این بحث بیشتر مختص شبکه های Ad-hoc بوده و متفاوت با آنچه درمورد سیستم های رایج انتظار داریم می باشد:
the goals of authentication وnaming all need re-examination denial of service,
در این بحث مدل سیاست امنیتی Resurrecting duckling ارائه خواهد شد که پیوند امن موقت یک دستگاه با چندین دارنده سریالی شده شرح می دهد.
روند تولید وسایل الکترونیکی به سمت قرارگرفتن یک Microprocessor در همه ی چیز ها سوق گرفته است - تلفن های همراه، ضبط ماشین ها ، تلوزیون ها ، ویدئو ها، ساعت ها، گیرنده های GPS و دوربین های دیجیتال- تا آنجا که شمار آنها از ذهن بسیاری خارج شده است. در بعضی محیط های خاص مانند الکترونیک هوابرد، دستگاه های الکترونیکی از قبل شبکه شده اند. در بعضی کار در حال انجام است. سازندگان دستگاه های پزشکی نیازمند ابزار هایی چون دماسنج ، مانیتور های قلب و اندازه گیرنده های اکسیژن خون برای گزارش دهی به ایستگاه های پرستاری می باشند. تولید کنندگان دستگاه های الکترونیکی مشغول رواج استاندارد FireWire
جهت ارتباط PC ها و Stereo ها ، تلوزیون ها و پخش کننده ها ی DVD هستند. فروشندگان وسائل برقی آشپزخانه آینده ای را پیش بینی می کنند که در آن اجاق گاز با یخچال تبادل اطلاعات می کند تا درخواست مجدد یک غذا را بر روی آن شبکه بدهد.
ما پیش بینی می کنیم که در آینده نزدیک ، شبکه بسیار فراگیر خواهد شد. قدم بعدی قرار دادن یک گیرنده فرستنده ی بی سیم در همه ی چیز ها است. بنابراین بسیاری ابزارها بو
سیله ارتباطات و همکاری بسیار مفید تر و موثر تر خواهند شد. برای مثال یک دوربین می تواند در هر بار عکس گرفتن محل جغرافیایی و زمان دقیق را از واحد GPS مجاور خود دریافت کرده و همراه با تصویر ذخیره کند. در حال حاضر اگر عکاس بخواهد یک یاداشت صوتی همراه عکس ضبط کند، دوربین باید یک سخت افرار صوتی دیجیتالی در خود داشته باشد، در آینده ممکن است دوربین این امکان را به او بدهد تا با ضبط صوت یا تلفن همراه خود ارتباط برقرار کند.
هر دستگاه وقتی یک Node شبکه می شود می تواند به جای استفاده از یک امکان اضافی در خود از سرویس های دستگاه های مجاور خود استفاده کند.
شبکه های بی سیم Ad-hoc
شبکه های بی سیم چندین سال است که در آزمایشگاه های AT&T تحت عنوان پروژه Piconet در حال گسترش است و اکنون نیز دنبال می شود اگرچه با تاکید بر جنبه های دیگر آن و به وسیله گروه های دیگر که شامل IrDA ، HomeRF ، Bluetooth می شوند.
واضح است که شبکه های بی سیم بیشتر مستعد حمله های استراق سمع می باشند اما این تنها مسئله امنیتی نگران کننده نسیت.
در اینجا ما مسائل امنیتی محیط را که با توجه به وجود بسیاری از فاکتور های مهم، که به عنوان همترازهای شبکه ای با ارتباط متناوب ، طبقه بندی شده ان د بررسی می کنیم. برای آنکه بنای این برسی را بر یک مثال عینی قرار دهیم یک دماسنج بی سیم را در نظر می گیریم. Node های مجاور ممکن است مجاز به درخواست دمای جاری باشند یا آنکه یک کنترل که باعث شده دماسنج یک مشاهده خاص را هنگامی که دما در یک بازه خاص وارد می شود ارسال کند را ثبت کنند.ما متمایلیم تا دماسنج را در اغلب محیط ها شامل کنترل های محیطی، کنترل پروسس های صنعتی و پزشکی به عنوان یک ابزار مفید مورد استفاده قرار دهیم.
بنابراین باید مسائل امنیتی مورد نیاز دماسنج را در نظر بگیریم که شامل محرمانه
, یکپارچه بودن , موجود و در دسترس بودن می باشد. بر خلاف سنت های آکادمیک ما در اینجا باید آنها را به ترتیب مخالف بررسی کنیم. در ابتدا محدودیت هایی که از نظر منابعی در چنین شبکه هایی وجود دارند بررسی می کنیم.
محدودیت های سیستمی
3 محدودیت اصلی در Piconet و سیستم های مشابهی که از شبکه های بی سیم Ad-hoc دستگاهای با باطری پشتیبانی می کند وجود دارد :
• CPU ضعیف :
قدرت محاسباتی پردازنده در Node معمولا کم بوده بنابراین محاسبات سنگین
, کند می باشند.
• توان باطری:
کل انرژی که در اختیار یک Node است ناچیزمی باشد. بنابراین Node متمایل در هر زمان که ممکن بود به وضعیت Sleep می رود. در نتیجه از زمان آزاد نمی توان جهت محاسبات سنگین در Background استفاده نمود.
• تاخیر بالا:
برای صرف جویی در انرژی ، اکثر اوقات Nodeها در وضعیت Sleep می باشند و تنها گیرنده خود را به صورت متناوب روشن می کنند. ارتباط با چنین Node مستلزم صبر تا زمان بعدی بیداری است.
پیامد چنین محدودیت هایی آن است که، اگرچه رمزنگاری متقارن, مناسب وقدرتمند می باشد, اما محاسبات Modular دشوار می باشد. این قضیه در مورد رمز نگاری قدرتمند نامتقارن نیز صدق می کند. درجایی که یک Node کوچک مانند آنچه در یک دوربین است با یک Node قوی مانند آنچه در یک تلفن همراه یا Laptop است در تقابل است، یکی ممکن است از تکنیک هایی چون نمونه کوچک RSA استفاده کند، با پروتکل هایی که طراحی شده اند تا Node ضعیف از عملیات کم هزینه رمز نگاری و تصدیق استفاده کند.
به صورت کلی هنگامی که یک مبادله بین عمر باطری و امنیت وجود دارد ما ممکن است کنترل آن را به کاربر واگذار کنیم. برای مثال اگر دماسنج ما جهت اندازه گیری دمای بیرون و نمایش آن بر روی صفحه نمایش داخل سالن است احتمالا نیازی به رمز نگاری نیست , در غیر این صورت می بایست باطری را به جای سالی یک بار, ماهی یک بار عوض کرد.
یک چالش آن است که این انعطاف را بدون ایجاد حفره های بنیادی امنیتی جهت Attacker ها در سیستم ایجاد کنیم تا Security به دلخواه تنظیم شود.
2.Availability
Availability به معنای اطمینان از سرویس دهی یک Node به کاربران خود در موقع نیاز است. در بسیاری از سناریو های غیر نظامی ,این مهم ترین ویژگی حائز اهمیت امنیتی از نظر کاربر می باشد. تمام موارد دیگر در مرحله بعدی قرار می گیرند.
2.1 Radio jamming
در مدل خطرات سنتی ، که از ارتش ناشی می شد،Attacker می توانست سرویس دهی به Nodeها را در محیط توسط فرستادن پارازیت بر روی فرکانس های رادیویی مورد استفاده آنها مختل کند. راه های سنتی برای مبارزه با این حمله ها Spread Spectrum و Frequency Hopping بود که در هر دوی آنهاAttacker می باسیت بر روی باند وسیعی پارازیت بفرستد و بنابر این باید از توان و انرژی بسیاری استفاده می کرد.در بخش زیر به طور خلاصه وار با آنها آشنا خواهیم شد.اگرچه چنین مواردی کمتر به دنیای تجاری مربوط می شود زیرا Attacker با شکایت به سازمان ها روبرو شده و دستگیر می شود.
در حمله های جدید و جالب خطر به گونه ی دیگریست و در آنجا به تهی سازی باطری مربو ط می شود. حمله های تهی سازی حملاتی واقعی هستند و بسیار مشهور تر از حملات مشهوری چون تهی سازی CPU هستند، هنگامی که باطری تمام شد کار Attacker تمام شده و کاربر دیگر هیچ کاری نمی تواند انجام دهد. ما می توانیم به این حمله عنوان sleep deprivation torture بدهیم برای هر سروری که به آن دستری های عمومی می شود ،همیشه این نگرانی وجود دارد که به کاربران مجاز سرویس بدهد و در عین حال جلوی کا Attacker ها را نیز بگی
رد. در حالی بعضی Application ها می توانند جلوی خطر های اصلی را بگیرند اما در دیگر موارد مانند سرورهای Web و Name این عملی نیست زیرا فایده این سرویس ها آن است که به صورت جهانی در دسترس باشند.اگر سرور یک عمل اصلی را انجام می دهد , مانند فرستادن دمای بیرون به دفتر سنجش در هر ساعت، و همچنین یک عمل فرعی متفاوت مانند فرستادن دمای جاری به درخواست کنندگان ، و اینکه این اعمال قابلیت اولویت بندی داشته باشند می توان مطمئن بود که کار اصلی مقدم بر کار فرعی انجام خواهد شد.در واقع بیشترین اولویت را مدیریت باطری می باشد. اگر هر کدام بتوانند مقدار صحیح انرژی باقی مانده قابل استفاده را بداند، در نتیجه سرویس می تواند کنترل شود و در نتیجه پروسس در انرژی ای که در اختیار دارد صرفه جویی می کند.
3.Authenticity
3.1 فرد اصلی با چه کسی می تواند صحبت کند؟
در بعضی Application ها دماسنج ما دریافت های دما ئی خود را Broadcast می کند اما به طور کلی تنها مشاهدات به گیرنده های مجاز فرستاده می شود. برای مثال در یک بیمارستان فرستادن مشاهدات به ایستگاه پزشک ها و پرستاران مجاز است، اما ممکن است لازم باشد که در فرستادن مشاهدات محدودیت بگذاریم مثلا در مورد فرستاده شدن دمای بدن یک فرد مشهور به یک ایستگاه خاص.
مکانیزم ایجاد محدودیت در دسترسی ها که در اینجا کمترین جذابیت را داراست, شامل یک Administrator مرکزی می باشد.که ممکن است به صورت لیست کنترل دسترسی ها ACL پیاده سازی شود(Administrator برای دماسنج تعریف می کند چه کسی مجاز است) و یا استفاده از بعضی قابلیت ها مانند Certificate (که کاربر در هنگام در خواست دما به دماسنج ارائه می دهد).
اگر چه در محیط های Ad-hoc یک مشکل جدید به وجود می آورد : عدم وجود
یک رور Online .
ارتباط و تعامل با Administrator بعد از آنکه دماسنج ساخته شد و یا موسسه ای که مالک آن است و دماسنج را تنظیم کرده می تواند زمان بر و هزینه بر باشد، همانطور که داشتن یک ارتباط شبکه ای با یک سرور مرکزی و یا یک دستگاه مدیریتی نیز می تواند چنین
باشد.